Hallo Forengemeinde!

Gegeben ist ein funktionierender WSUS auf SRV2016, an dem ca. 230 Clients (W7) hängen. Die Clients sind in 2 verschiedene AD-OUs eingruppiert, im WSUS gibt es deckungsgleich 2 Gruppen. Einstellungen werden via GPO an die Clients verteilt. In dieser Konstellation hat bislang alles funktioniert.

Nun wurde die IP-Adresse des WSUS-Servers geändert.
Seit dem gibt es bei ca. 2/3 der PC-Systeme einer AD-OU/einer WSUS-Gruppe das Problem, dass die PCs zwar reporten aber die ermittelten Downloads dann nicht herunterladen können. Am Client wird Fehler "80072EE2" angezeigt, am WSUS bei den fehlgeschlagenen Updates Fehler "0x80246007" oder nur allgemein "Fehler beim Herunterladen".

Das andere Drittel der PCs dieser OU/WSUS-Gruppe sowie alle PCs der anderen OU/WSUS-Gruppe haben keine Probleme. Ich schließe daher eigentlich ein Problem am WSUS-Server aus, denn das müsste ja dann alle Clients betreffen, oder?

Es gab eine zeitl. Verzögerung zwischen der Änderung der IP-Adresse des WSUS-Servers und der Anpassung der GPO. Es ist also möglich, das einige PCs in der Zwischenzeit versucht haben, den WSUS unter der alten Adresse zu kontaktieren. Vielleicht sind genau die PCs, die das getan haben, jetzt meine Problem-PCs, das ist aber nur eine Vermutung.

Noch einige ergänzende Angaben:
In der GPO wird die direkt IP des WSUS-Servers angegeben. Sinnig oder unsinnig, funktioniert(e) aber und es kann daher m.E. kein DNS-Problem sein.

Auf den PC-Systemen aus der Problem-Gruppe ist Symantec Endpoint Protection installiert, allerdings zentral gemanaged, so dass die Einstellungen auf allen Clients identisch sein sollten.

Die PC-Systeme der Nicht-Problem-Gruppe haben keine AntiVirus-Anwendung installiert und rufen Updates auch nicht automatisch sondern nur auf Zuruf durch ein Drittanbieter-Tool ab.

Hat dazu jemand vlt. eine Idee?

Vielen Dank im Voraus!

Hallo!

Danke!

Dachte mir schon, dass ich "Prügel" wegen IP statt Name bekomme...Und stimmt ja auch was Du sagst...

Die Registry meiner Problem-Clients habe ich natürlich überprüft. Da ist der WSUS korrekt eingetragen.

Hätte mich aber auch gewundert, denn der Eintrag kommt ja über eine GPO, die genau so die Nicht-Problem-Clients versorgt.

Symantec ist wie gesagt zentral gemanaged, aber ich kann mal eine Deinstallation probieren.

Den WU-Reset kann ich ebenfalls mal testen. Ich hatte aber aufgrund der Fehler, die m.W. auf Timeout hindeuten, eher auf ein Problem in der Verbindung  getippt und das daher bislang nicht in Betracht gezogen.

Falls jemand in der Zwischenzeit noch andere Ideen hat: Immer her damit!

Danke!

TJ

Hallo!

Danke!

Leider musste ich mich gestern anderen Problemen widmen, so dass ich in dieser Sache bislang nicht weitergekommen bin.

Deine Vermutung war übrigens auch meine erste Annahme.

Dagegen spricht m.E. allerdings, dass ich auch Symantec-Clients habe, die keine Probleme machen, die aber die selbe Symantec-Richtlinie ziehen wie die Problem-Clients.
Außerdem habe ich gestern entdeckt, dass ich entgegen meiner Beschreibung oben das Problem auch auf EINEM Client habe, auf dem Symantec gar nicht installiert ist.

TJ

Hallo!

Problem gelöst!

Die Symatec Endpoint Protection habe ich dafür aber gar nicht angefasst. Statt dessen ein klassischer WU-Reset auf den Problem-Clients, seit dem können Updates nun auch wieder heruntergeladen und installiert und nicht nur ermittelt werden.

Danke für die Unterstützung!

TJ

What I did:

net stop bits
net stop wuauserv
net stop appidsvc
net stop cryptsvc
Del "C:\ProgramData\Microsoft\Network\Downloader\qmgr*.dat"
Ren "C:\Windows\SoftwareDistribution" "SoftwareDistribution.bak"
Ren "C:\Windows\system32\catroot2" "catroot2.bak"
sc.exe sdset bits D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
sc.exe sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
netsh winsock reset
netsh winhttp reset proxy
net start bits
net start wuauserv
net start appidsvc
net start cryptsvc

Hallo!

DNS-Umstellung ist erfolgt.

Dabei ist mir aufgefallen, dass wohl auch meine 4 Server (alle Windows Server 2016) das Problem haben, keine Updates mehr vom WSUS zu ziehen. Einer dieser 4 Server IST übrigens der WSUS.

Kann ich den Reset (s. oben) auch auf Servern durchführen, auch auf dem WSUS selbst?

Vielen Dank im Voraus!

TJ

Hi!

Server: Danke für die Bestätigung!

Den "dritten Eintrag" kannte ich bislang gar nicht, auch dafür: DANKE!

...und wenn man - wie ich gestern - seine ADM-Vorlagen aktualisiert, kann man diesen Eintrag sogar per GPO steuern...Wonderful!   

TJ