Sunny61

Wenn Du in https://support.microsoft.com/de-de/topic/hinweise-zu-inhaltlichen-änderungen-bei-software-update-services-und-windows-server-update-services-im-jahr-2021-kb894199-0c540f4f-60c8-7dc2-23c9-48153749966d danach suchst, findest Du die Klassifizierung in der das Update zu finden ist.

Man darf auch Nein im Leben sagen. ;) Automapping ist wie ein Blinker, geht, geht nicht. Also umstellen, fertig.

Etwas anderes hatte ich auch nicht erwartet, leider.

Von welcher Windows 10 Version sprechen wir hier? ich tendiere hier eigentlich immer etwas hinten dran zu sein. BETA-Tester dürfen gerne andere für mich machen, muss ich nicht mehr haben. :)

Was spricht dagegen, die Dateien in den Autostart zu packen?

Norbert spricht vom WSUS direkt, Du kannst dort ja Updates von WU/MU Online direkt importieren. Das geht wohl auch per Script, hab ich selbst noch nicht probiert: https://www.windowspro.de/wolfgang-sommergut/updates-manuell-wsus-importieren-ie-powershell EDIT: Import von Updates direkt in den WSUS: https://www.wsus.de/updates-importieren/

Wenn dein BAT nicht ausgeführt wird, und das ist genau das, was ich hier raus lese, leg das Script direkt lokal ab, pass den Pfad im GPO an und probiere es erneut. Findet sich eigentlich irgendein Hinweis im Eventlog? Es gibt übrigens auch ein eigenes Eventlog für GPOs.

In einem *.bat per powershell.exe -deineParameter die Ausführung von PS-Scripten erlauben und in der nächsten Zeile rufst Du dein Script auf. So sollte es funktionieren. Alternativ kann man natürlich auch über das Signieren von PS-Scripten nachdenken und nur noch signierte Scripte zulassen. Und natürlich die Scripte *VOR* der Ausführung lokal auf den Computer bringen.

Schau dich hier mal um: http://www.dieseyer.de/vbs-erklaeren.html Die Befehlszeile in eine txt schreiben, den Inhalt auslesen und aufrufen. Ausprobieren, keine Ahnung ob das so funktioniert.

Du schreibst es selbst sehr deutlich. Lies dir das doch einfach mal ganz laut vor, dann fällt sicherlich der Groschen. ;)

Lies mal: https://www.mcseboard.de/topic/220255-abmeldeskript-powershell-via-gpo-funktioniert-nicht/?do=findComment&comment=1421561

Schreibe vor jeder Zeile einen Eintrag ins Eventlog: https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.management/write-eventlog?view=powershell-5.1 BTW: In der Aufgabenplanung kann man übrigens auch beim Trennen einer Benutzersitzung ein Script ausführen.

Leg das Script lokal in ein Verzeichnis und probier es erneut. Evtl. ist die Verbindung schon gekappt und es wird nichts ausgeführt. Um zu prüfen ob das Script ausgeführt wird, kannst Du dir ja zuerst eine TXT im o.g. Verzeichnis erstellen lassen. Als Inhalt evtl. den Inhalt des o.g. Verzeichnisses auflisten lassen.

Ich hab das gerade mal schnell getestet. Aufgabe erstellt, Programmname: C:\Windows\System32\gpupdate.exe Parameter: /force Gespeichert und ausgeführt. Kein Commdfenster oder ähnliches zu sehen. Wenn man natürlich C:\Windows\System32\cmd.exe mit Parametern gpupdate /force ausführt, wird ziemlich sicher ein 'schwarzes' Fenster aufpopppen. BTW: Weshalb ist ein /force unnötig: https://www.gruppenrichtlinien.de/artikel/gpupdate-vs-gpupdate-force

Alternativ die Aufgabe mit einer Batch starten und darin prüfen ob der UNC-Pfad erreichbar ist. Wenn ja, VB-Script ausführen, ansonsten schlafen legen. ;)

Welche Befehle hast Du denn gefunden? Und welche Fehlermeldungen hast Du bei der Ausführung der uns unbekannten Befehle bekommen? Leg doch einen neuen weiteren Benutzer an und melde dich mit dem an, funktioniert es dann?

Bloss nicht, du müllst dir den neuen WSUS gleich wieder zu. Neuen WSUS aufsetzen, Erstsynchronisierung anwerfen, keine Automatische Genehmigungsregel erstellen, Updates manuell genehmigen. GPO umstellen und ein paar Tage warten. Das lässt sich mit ein paar Klicks reparieren. Jede Datenbank, auch die vom WSUS, braucht ein klein wenig Wartung. Nein, WSUS = WSUS. Entweder oder. Hybrid gibt es noch nicht. ;) Segen. Mit Hilfe vom WSUS Package Publisher kann man auch 3rd Party Software zur Verfügung stellen.Adobe Reader und so weiter.

Stimmt natürlich. :)

Ja, aber nur wenn auf dem Host NUR die Hyper-V Rolle installiert ist. Nichts anderes darf installiert/konfiguriert sein. Dann darfst Du mit 1 Lizenz 2 VM mit dem gleichen Server OS installieren und betreiben.

Was genau hast Du denn umgesetzt? Zeig das was in der Registry beim Problem Server ankommt. Dann wird es wohl an einem Device zwischen den beiden Netzen hängen. Gibt es einen Proxy? Welcher AV-Scanner läuft auf dem Server? ist auf dem WSUS in der Windows Firewall evtl. das andere Subnetz nicht eingetragen? BTW: Häng doch in Zukunft, wenn es jemand anfordert, das Log als TXT dran, Danke. Hat das denn schon in der Vergangenheit funktioniert?

Dann doch per GPO. :)

Für den FF gibt es eigene ADMX-Templates, dort einfach mal reinschauen. Für Windows im allgemeinen hilft es immer noch, die Zonen zu pflegen. Muss aber nicht mehr im IE sein.

Ich lese etwas von 2 Standorten, per VPN miteinander verbunden. Sind denn dort auch unterschiedlich Subnetze im Einsatz? Man kann hier natürlich schon 2 AD-Standorte draus machen. Muss man aber nicht. Nur sollte die verschiedenen Subnetze im AD Standorte und Dienste, dem richtigen Standort zugeordnet sein, falls es mehrer Subnetze gibt.

OK. Wenn Du 3 Einträge für den WSUS machst UND wenn Du DisableDualScan auf 1 setzt, wird Windows Update vom lokalen Windows Update Agent nicht mehr aufgerufen. Solange noch nichts installiert ist, kannst Du natürlich löschen. In einer Admin Commandline: net stop wuauserv rd /s /q %windir%\softwaredistribution net start wuauserv wuauclt /resetauthorization /detectnow 5 Minuten warten wuauctl /reportnow Nach weiteren 5 Minuten die WSUS-Console aktualisieren, jetzt sollte eine aktuellere Uhrzeit vorliegen. BTW: Niemand erhält vom WSUS eine Downloadaufforderung, der lokale Windows Update Agent weiß anhand der Registry Einträge wohin er schauen muss um Updates zu holen. Der WSUS steht nur da und hält sie bereit.

Die Einstellung sieht gut aus, Gruppen auf dem WSUS kannst Du in der GUI nicht umbenennen, entweder löschen und neu anlegen, oder in der SUSDB direkt editieren. Probier es aus wie beschrieben, einzelnes GPO nur für dieses Sever, hier dann Stück für Stück einstellen und prüfen. Auch in die Registry schauen, was alles in den Policies ankommt: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Evtl. hat ja jemand auch per GPEDIT.MSC etwas eingestellt.