Seitenindex umschalten Seiten: [1] 2  Thema versendenDrucken
Heißes Thema (mehr als 10 Antworten) PC in anderen Gruppen als im AD (Gelesen: 3946 mal)
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
PC in anderen Gruppen als im AD
20.02.13 um 11:52:01
Beitrag drucken  
Hallo Community,
unser WSUS läuft seit 2 Jahren sehr stabil und verteilt auch brav die MS Updates. Jetzt nervt mich die Turnschuh-Administartion und ich experimentiere gerade mit dem LUP (Softwareverteilung).
Jetzt habe ich gesehen, dass die PCs in den WSUS Gruppen ganz andere sind, als im AD (ursprünglich aber richtig eingerichtet). Die Gruppennamen sind die gleichen, nur die darin enthaltenen PCs sind in den WSUS-Gruppen andere als in den AD-Gruppen.
Kann mir jemand eine Erleuchtung geben, warum das so ist, wie das passieren kann und/oder wie ich das beheben kann/soll.
Ich bedanke mich im voraus für Eure Hilfe.
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #1 - 20.02.13 um 12:28:21
Beitrag drucken  
Redryder schrieb on 20.02.13 um 11:52:01:
Kann mir jemand eine Erleuchtung geben, warum das so ist, wie das passieren kann und/oder wie ich das beheben kann/soll.

Kontrolliere die Optionen von Deinem WSUS unter Computer, was da steht.
Wenn Du mit AD-Gruppen OU meinst, die haben nichts mit dem WSUS zu tun. Die Zuordnung der Clients nimmst Du über einen entsprechende GPO und der entsprechenden Option auf dem WSUS vor.
  
Zum Seitenanfang
 
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
Re: PC in anderen Gruppen als im AD
Antwort #2 - 20.02.13 um 13:45:00
Beitrag drucken  
Hi. Danke für die Hilfe.
In den optionen steht, dass die Zuweisung via GPO's erfolgen soll. Das hat ja auch funktioniert.
ja, die AD-Gruppen sollten OUs sein Zwinkernd
d.h. ich müsste die Gruppen nicht wie im AD aufbauen? ich könnte die auch individuell benennen?
Ich weiss, dass ich die Einstellungen per GPO verteile (Wo ist der WSUS, welche Einstellungen gelten für das Win-Update). Wo ich mir nicht sicher bin, ist, wie ich die Clients in die Gruppen verschoben habe. Ich glaube aber, mich erinnern zu können, dass ich die innerhalb der WSUS-Console von der AD-OU Computers in die WSUS-Gruppen verschoben habe...
Mal anders gefragt, wie kann ich die Computerverteilung bereinigen und neu Zuweisen?
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #3 - 20.02.13 um 17:28:28
Beitrag drucken  
Redryder schrieb on 20.02.13 um 13:45:00:
In den optionen steht, dass die Zuweisung via GPO's erfolgen soll. Das hat ja auch funktioniert.

Dann musst Du das auch in der GPO so einstellen, Stichwort Clientseitige Zielzuordnung. Die Gruppe muss dann aber auch im WSUS angelegt sein.
Redryder schrieb on 20.02.13 um 13:45:00:
d.h. ich müsste die Gruppen nicht wie im AD aufbauen? ich könnte die auch individuell benennen?

Ja natürlich. Die Gruppen im WSUS haben NICHTS mit den OU zu tun.
Redryder schrieb on 20.02.13 um 13:45:00:
Mal anders gefragt, wie kann ich die Computerverteilung bereinigen und neu Zuweisen?

Du baust Dir im WSUS Deine Gruppen, wie Du sie brauchst und aktivierst die Clientseitige Zielzuordnung.
Oder Du schaltest die Zuweisung per GPO im WSUS ab und verschiebst die CLients manuell in die entsprechende Gruppe.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #4 - 20.02.13 um 20:59:00
Beitrag drucken  
Redryder schrieb on 20.02.13 um 11:52:01:
unser WSUS läuft seit 2 Jahren sehr stabil und verteilt auch brav die MS Updates.


Nur zur Richtigstellung, der WSUS verteilt nichts, er stellt zur Verfügung. Die Clients holen sich die Updates.

Redryder schrieb on 20.02.13 um 11:52:01:
Jetzt nervt mich die Turnschuh-Administartion und ich experimentiere gerade mit dem LUP (Softwareverteilung).
Jetzt habe ich gesehen, dass die PCs in den WSUS Gruppen ganz andere sind, als im AD (ursprünglich aber richtig eingerichtet). Die Gruppennamen sind die gleichen, nur die darin enthaltenen PCs sind in den WSUS-Gruppen andere als in den AD-Gruppen.
Kann mir jemand eine Erleuchtung geben, warum das so ist, wie das passieren kann und/oder wie ich das beheben kann/soll.
Ich bedanke mich im voraus für Eure Hilfe.


Die Gruppen im WSUS haben mit dem AD und den OUs, das sind übrigens auch keine Gruppen, nichts, aber überhaupt gar nichts zu tun. Zum Rest hat UMeadow schon genug geschrieben.
  
Zum Seitenanfang
 
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
Re: PC in anderen Gruppen als im AD
Antwort #5 - 21.02.13 um 10:59:14
Beitrag drucken  
Hallo, danke für Eure Hilfe. Laut gpresult und rsop funktioniert die Zuweisung der GPO's.
Zur Historie möche ich noch hinzufügen, dass dieses Phänomän erst aufgetreten ist, nachdem ich meinen WSUS-Content (Sunny erinnert sich vielleicht) verschoben habe. kann es sein, dass er da was mit den Gruppen macht?
Des weiteren wollte ich auch das ADImporter Tool ausprobieren. Ich habe also meinen PC aus dem WSUS gelöscht. Das Tool aufgerufen und vom AD in die entsprechende Gruppe des WSUS verschoben. Lt. Tool hat alles geklappt.
Leider steht mein PC und ein anderer Test-Server mit folgenden Werten im WSUS:
   
PC7.Domäne     IP: unbekannt  OS: Windows 0.0   Statusbericht: Noch nicht erstellt   Letzter Kontakt: Noch kein Bericht erstellt.
Die selben Werte auch bei dem Server.

Ein Anfordern eines Berichts vom WSUS bringt keine Änderung. Da sind nur die gleichen Werte. Auch ein wuauclt.exe /reportnow bringt keine Änderung...
Auf den betreffenden PCs ist die GPO wie auf allen anderen Clients/Servern wos funktioniert - sollte also gehen.
Funktioniert die Zuweisung über das ADImporter Tool nicht oder hat er da Probleme?

Könnt ihr mir dabei noch mal helfen?
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #6 - 21.02.13 um 12:39:32
Beitrag drucken  
Hast Du mal in die Gruppe nicht zugewiesene Computer nachgesehen?
Ist denn nun die Clientseitige Zielzuordnung aktiviert und wenn ja dort auch dir Gruppen (WSUS-Gruppen) eingetragen?
Redryder schrieb on 21.02.13 um 10:59:14:
Auf den betreffenden PCs ist die GPO wie auf allen anderen Clients/Servern wos funktioniert - sollte also gehen

Du hast doch oben gesagt die Zuordnung funktioniert nicht.
  
Zum Seitenanfang
 
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
Re: PC in anderen Gruppen als im AD
Antwort #7 - 21.02.13 um 13:02:19
Beitrag drucken  
Hi. ich hab jetzt noch mal genau gesucht., bei meinem pc funktioniert gpresult nicht. fehler: kein zugriff??? rsop liefert ein ergebnis, aber leider nicht alles, was in den gpos drin steht. ein gpupdate /force bringt keine fehler.

im windowsupdate.log steht folgendes:

2013-02-21      11:38:52:562       332      13c      Service      ** START **  Service: Service startup
2013-02-21      11:38:52:578       332      13c      Service      *********
2013-02-21      11:38:52:640       332      13c      Agent        * WU client version 7.6.7600.256
2013-02-21      11:38:52:656       332      13c      Agent        * Base directory: C:\WINDOWS\SoftwareDistribution
2013-02-21      11:38:52:656       332      13c      Agent        * Access type: No proxy
2013-02-21      11:38:52:671       332      13c      Agent        * Network state: Connected
2013-02-21      11:39:49:875       332      13c      Agent      ***********  Agent: Initializing Windows Update Agent  ***********
2013-02-21      11:39:49:875       332      13c      Agent      ***********  Agent: Initializing global settings cache  ***********
2013-02-21      11:39:49:875       332      13c      Agent        * WSUS server: <NULL>
2013-02-21      11:39:49:875       332      13c      Agent        * WSUS status server: <NULL>
2013-02-21      11:39:49:875       332      13c      Agent        * Target group: (Unassigned Computers)
2013-02-21      11:39:49:875       332      13c      Agent        * Windows Update access disabled: No
2013-02-21      11:39:50:015       332      13c      DnldMgr      Download manager restoring 0 downloads
2013-02-21      11:39:50:531       332      13c      AU      ###########  AU: Initializing Automatic Updates  ###########
2013-02-21      11:39:50:656       332      13c      AU      AU setting next sqm report timeout to 2013-02-21 10:39:50
2013-02-21      11:39:50:656       332      13c      AU        # Approval type: Pre-install notify (User preference)
2013-02-21      11:39:50:656       332      13c      AU        # Auto-install minor updates: No (User preference)
2013-02-21      11:39:50:656       332      13c      AU        # Will interact with non-admins (Non-admins are elevated (Policy))
2013-02-21      11:39:50:875       332      13c      AU      Initializing featured updates
2013-02-21      11:39:50:890       332      13c      AU      Found 0 cached featured updates
2013-02-21      11:39:51:109       332      13c      AU      AU finished delayed initialization
2013-02-21      11:39:51:343       332      13c      Report      ***********  Report: Initializing static reporting data  ***********
2013-02-21      11:39:51:343       332      13c      Report        * OS Version = 5.1.2600.3.0.65792
2013-02-21      11:39:51:359       332      13c      Report      WARNING: Failed to load reporting information from Win32_ComputerSystem with hr = 80070005.
2013-02-21      11:39:51:390       332      13c      Report      WARNING: Failed to load reporting information from Win32_BiosProperties with hr = 80070005.
2013-02-21      11:39:51:390       332      13c      Report        * Locale ID = 1031
2013-02-21      12:21:35:984       332      8c4      AU      AU found 0 updates for install at shutdown
2013-02-21      12:21:35:984      2960      dc4      Misc      ===========  Logging initialized (build: 7.6.7600.256, tz: +0100)  ===========
2013-02-21      12:21:35:984      2960      dc4      Misc        = Process: C:\WINDOWS\Explorer.EXE
2013-02-21      12:21:35:984      2960      dc4      Misc        = Module: C:\WINDOWS\system32\wuaueng.dll
2013-02-21      12:21:35:984      2960      dc4      Shutdwn      Install at shutdown: no updates to install
2013-02-21      12:36:23:578       332      13c      AU      AU received policy change subscription event
2013-02-21      12:39:11:406       332      13c      AU      AU received policy change subscription event
2013-02-21      12:58:35:750       332      438      AU      Windows Update is disabled by policy for user

Die Einträge: * WSUS server: <NULL>
                      * WSUS status server: <NULL>
verwundern mich.

ich glaube langsam, dass der PC die GPO nicht oder nicht komplett übernimmt.

Mein PC hat auch im regedit folgende einstellung, die nicht passen kann und meinen Verdacht evtl. erhärtet.:
  
Zum Seitenanfang
 
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
Re: PC in anderen Gruppen als im AD
Antwort #8 - 21.02.13 um 16:09:41
Beitrag drucken  
Hi. Ich hab Neuigkeiten, ich glaub ich bin auf dem Weg der Lösung.. Ich versteck mich jetzt mal, jemand hat in den GPO die Richtlinie für meine Gruppe deaktiviert...!°!!! ich hab se aktiviert, gpupdate /force und auf einmal steht der WSUS im Windowsupdate.log und in der Registry.
Was allerdings noch nicht funzt ist das gpresult. Da hab ich immer noch Fehler:          Kein Zugriff....
Mein PC taucht jetzt auch im WSUS auf. Leider nicht in der Gruppe, in die ich ihn geschoben hab...???
Ich habe in den WSUS Optionen den Punkt: Verwaltung auf die WSUS-Console gesetzt und siehe da, ich kann die Clients/server in die Gruppe schieben, in die sie gehören.
Was ist der genaue Unterschied zwischen den beiden Optionen (GPO verwaltung, WSUS-Consolen-Verwaltung)?

Ich werd morgen mal beobachten, was sich so tut und evtl. am Montag noch die eine oder andere Frage stellen...
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #9 - 22.02.13 um 12:27:02
Beitrag drucken  

Redryder schrieb on 21.02.13 um 16:09:41:
Was ist der genaue Unterschied zwischen den beiden Optionen (GPO verwaltung, WSUS-Consolen-Verwaltung)?

Ich meine das hier geschrieben zu haben. Was ist den der Unterschied zwischen AD und WSUS?
Du solltest Dich eventuell doch mal intensiver mit den Grundlagen vom WSUS beschäftigen. Der WSUS hat eine sehr gute Hilfe.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #10 - 23.02.13 um 19:43:44
Beitrag drucken  
Redryder schrieb on 21.02.13 um 16:09:41:
Ich hab Neuigkeiten, ich glaub ich bin auf dem Weg der Lösung.. Ich versteck mich jetzt mal, jemand hat in den GPO die Richtlinie für meine Gruppe deaktiviert...!°!!! ich hab se aktiviert, gpupdate /force und auf einmal steht der WSUS im Windowsupdate.log und in der Registry.
Was allerdings noch nicht funzt ist das gpresult. Da hab ich immer noch Fehler:          Kein Zugriff....


Hast Du die Commandline dazu auch als Administrator ausgeführt?

Redryder schrieb on 21.02.13 um 16:09:41:
Mein PC taucht jetzt auch im WSUS auf. Leider nicht in der Gruppe, in die ich ihn geschoben hab...???


Wo dann? Was ist den Optionen vom WSUS gesetzt? Wie sieht der Gruppenname in dem GPO aus? Tippfehler sind ausgeschlossen?

Redryder schrieb on 21.02.13 um 16:09:41:
Ich habe in den WSUS Optionen den Punkt: Verwaltung auf die WSUS-Console gesetzt und siehe da, ich kann die Clients/server in die Gruppe schieben, in die sie gehören.


Wolltest Du das nicht automatisch vornehmen lassen?

Redryder schrieb on 21.02.13 um 16:09:41:
Was ist der genaue Unterschied zwischen den beiden Optionen (GPO verwaltung, WSUS-Consolen-Verwaltung)?


Diese Frage solltest Du dir nach 10 Sekunden nachdenken wirklich selbst beantworten können.
  
Zum Seitenanfang
 
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
Re: PC in anderen Gruppen als im AD
Antwort #11 - 25.02.13 um 12:27:47
Beitrag drucken  
Hallo ,
vielen Dank für Eure Hilfe.
Ich bitte Euch mich nicht zu schlagen...
Ich hab meinen Fehler gefunden. Da die WSUS-Gruppenzuweisung via GPO eingestellt war und ich leider erst jetzt an einem anderen PC gesehen hab, dass die falschen Gruppen in der GPO definiert sind....... Es ist immer wieder erschreckend, dass der PC meistens recht hat...
Das GPRESULT funzt bei mir immer noch nicht. auch ein Ausführen als Admin geht nicht brimt immer wieder den Fehler Zugriff verweigert.....

An meinen Clients erscheinen die im LUP definierten Updates (Flash Player, Chrome, Java (32 und 64 Bit) leider schlagen alle Updates bei der Installation fehl. im WindowsUpdate.log habe ich nach der Installation folgende Fehlercodes:
Flashplayer IE mit Schalter /s : Handler        : WARNING: Operation failed at update 0, Exit code = 0x8024200B
                         AU        # WARNING: Install failed, error = 0x80070667 / 0x80070667

Flashplayer FF, Chrome mit Schalter /s: AU        # WARNING: Install failed, error = 0x80070667 / 0x80070667

Java 64-Bit:AU        # WARNING: Install failed, error = 0x80070661 / 0x80070661

Java 32-Bit: AU        # WARNING: Install failed, error = 0x80070667 / 0x80070667

Das das 64-Bit net geht is OK, da dies eine 32-Bit Maschine ist.
Google Chrome hat fumktioniert.
Jetzt die Frage was die Fehlercodes zu sagen haben oder ob ich noch an anderen Stellen im Update.log suchen muss. Das WSUS-Zertifikat ist überall an den Clients installiert. Hab ich im Zertifikatsspeicher geprüft. Daran sollte es net liegen... Habt ihr noch ne Idee, wo ich schauen kann?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #12 - 25.02.13 um 14:30:14
Beitrag drucken  
Redryder schrieb on 25.02.13 um 12:27:47:
Das GPRESULT funzt bei mir immer noch nicht. auch ein Ausführen als Admin geht nicht brimt immer wieder den Fehler Zugriff verweigert.....


Das solltest Du in einem anderen Forum klären/lösen. Die Technet Foren von MS bieten sich dafür an.

Redryder schrieb on 25.02.13 um 12:27:47:
Flashplayer IE mit Schalter /s : Handler        : WARNING: Operation failed at update 0, Exit code = 0x8024200B
                         AU        # WARNING: Install failed, error = 0x80070667 / 0x80070667


0x80070667 is the error code for 'bad command line'.

Wenn Du vom Flashplayer das MSI gedownloadet hast, kannst Du dir alle Schalter sparen, sind vollkommen überflüssig. Mittels Rechtsklick im LUP auf das Update kannst Du es erneut bearbeiten.
  
Zum Seitenanfang
 
UMeadow
WSUS Spezialist
*****
Offline


I Love WSUS!

Beiträge: 1381
Standort: Berlin
Mitglied seit: 22.01.08
Geschlecht: männlich
Re: PC in anderen Gruppen als im AD
Antwort #13 - 25.02.13 um 16:50:43
Beitrag drucken  
Redryder schrieb on 25.02.13 um 12:27:47:
Java 64-Bit:AU# WARNING: Install failed, error = 0x80070661 / 0x80070661

Java 32-Bit: AU# WARNING: Install failed, error = 0x80070667 / 0x80070667

Wie Sunny geschrieben hat, auch hier der Fehlercode für 'bad command line'.
Übrigens sehr schnell per Google zu finden.
Außerdem gibt es auch ein wunderbares Ereignislog auf den Clients wo so einiges steht und zusätzlich schreiben die meisten Programme auch noch ein Installationslog im %TEMP% Verzeichnis.
Redryder schrieb on 25.02.13 um 12:27:47:
Das das 64-Bit net geht is OK, da dies eine 32-Bit Maschine ist.

Auch das könntest Du mit LUP abfangen.
  
Zum Seitenanfang
 
Redryder
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 15.10.10
Re: PC in anderen Gruppen als im AD
Antwort #14 - 25.02.13 um 17:06:39
Beitrag drucken  
Danke UMeadow.
Das mit der Prozessorarchitektur hab ich grade eingearbeitet. Noch ne kurze Frage, Wie lange dauerts in der Regel, bis die geänderten Updates ausgerollt sind? Macht es Probleme, wenn ein Client schon mal versucht hat, die "falschen" Updates zu installieren?
  
Zum Seitenanfang
 
Seitenindex umschalten Seiten: [1] 2 
Thema versendenDrucken
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden