Normales Thema WSUS mit PC-Wächter (Gelesen: 1040 mal)
cotec
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 22
Mitglied seit: 04.06.13
WSUS mit PC-Wächter
04.08.16 um 13:35:57
Beitrag drucken  
Hallo,

ich hab in vielen Einrichtungen PC-Wächter-Karten in Verbindung mit Win7-Rechnern im Einsatz.
PC-Wächter bedeutet, nach dem Rechnerneustart werden alle Änderungen am PC verworfen.
Ansich ne schöne Sache um Manipulationen vorzubeugen, allerdings hab ich zunehmend Probleme um die Clients zu überreden Ihre Updates vom WSUS zu ziehen.

Gruppenrichtlinien ist entsprechend eingerichtet.
WSUS aktiv - wuauserv starten und Dienst auf automatisch setzen (die GPO wird von mir manuell aktiviert wenn Wartungszeitraum ist)
WSUS deaktiv - wuauserv beenden und Dienst auf deaktiviert setzen (standard)

Problematisch wird es, wenn die Clients sich länger als ein halbes Jahr nicht beim WSUS melden. Meine Vermutung ist, das das SessionCookie bzw. die ID dann vom WSUS "herausgeworfen" wird und sich der PC nicht mehr verbinden kann.
Ich bin daher immer, wenn an den Rechnern lange nichts passiert und ich mal Windows Updates machen will, am Forschen mit verschiedenen Windows Update Fehlern.
ClientDiag, WSUSDiag, sonstige Tools werfen mir jedes mal andere Errorcodes um die Ohren.
detectnow / reportnow  / resetauthorization bringen dagegen garkeine Ausgabe, wo ich nichtmal weiß hat er es nun ausgeführt oder nicht...

Symptomatik ist eigentlich immer die gleiche:
Manche schicken keinen report obwohl mal 10x "wuauclt /reportnow" ausgeführt hat.
Manchmal reporten die PCs, ziehen sich aber trotzdem keine Updates. Melden sie wären up-to-date.
Mal funktionierts reibungslos. (passiert allerdings sehr selten)

Mir geht die ganze Thematik ziemlich auf den Sack. Teilweise habe ich nun schon mit WSUS-Offline die Rechner versorgt, da ich die Fehlersuche Client <-> WSUS leid bin.
Ich habe das Gefühl, jedes mal wenn ich die WSUS-deaktivieren-GPO aktiviere, dass an der Dienste-Registrierung des lokalen PCs irgendwas vermurkst wird.

Ich suche nach einer Möglichkeit den Clients zu sagen:
Reporte deinen Status regelmäßig aber installiere keine Updates. Wenn dann Wartungszeitraum ist -> PCs schießt los.
Bin jetzt schon auf die Idee gekommen eine Firewall-Regel zu bauen auf Port 8530 die ich auf dem WSUS bei Wartung de/aktiviere, aber ich hab parallel auch noch Notebooks im Einsatz die dauerhaft WSUS-Updates ziehen sollen...


verzweifelten Gruß
cotec
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS mit PC-Wächter
Antwort #1 - 05.08.16 um 07:59:21
Beitrag drucken  
Wir haben hier auch PCs die manchmal länger ausgeschaltet sind, einschalten und ein paar Stunden stehen lassen, schon reporten sie.

Du kannst an so einem Client natürlich die Hammermethode ausprobieren:

net stop wuauserv
rd /s /q %windir%\SoftwareDistribution
net start wuauserv

wuauclt /reportnow
wuauclt /detectnow

Jetzt 20 Mnuten warten, anschließend sollte sich der Client beim WSUS melden. Auf W7 Clients hilft es auch immer, den aktuellsten WU-Agent (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). downzuloaden und zu installieren. Neustart, nach Updates suchen lassen. Klappt das nicht, die Hammermethode ausprobieren.

Wie definierst Du deinen Wartungsmodus? Wie oft ist das?
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden