Sunny61

Auf https://www.wsus.de/ findest Du HowTos zur Nutzung von WPP + WSUS. Lesen, lesen und nochmal lesen. Dann an einem Produkt ausprobieren.

Wie soll er sich denn mit dem Server verbinden? Soll er nur auf eine Freigabe zugreifen? Falls ja, dann ist dein eingeschlagener Weg falsch.

In obigen Bild musst Du den Silent Parameter in der Befehlszeile eingeben. Wenn der Client allerdings rückmeldet 0 Updates erforderlich, passen die Regeln noch nicht. Zuerst kommt die Regel ob das Update bereits installiert ist, mit einem MSI geht das natürlich einfach. Es wird der Productcode geprüft. Als zweite Regel wird geprüft, ob das Update installiert werden kann. Schau dir dazu dieses HowTo an: https://www.wsus.de/uninstall2install-update-erstellen/ Das HowTo sollte auch beim Verständnis helfen: https://www.wsus.de/chrome-per-wpp-als-update-bereitstellen/

Darunter ist dann das VB-Script zu finden. ;)

Aufgrund dieser Befehle wird IMO kein einziges Update installiert. In diesem Thread https://social.technet.microsoft.com/Forums/exchange/de-DE/76ffb02b-15df-45e0-b4a9-473be4757d31/wuauclt-updatenow-doesnt-work-on-windows-server-2012-r2?forum=winserver8gen geht es daru, dass /Updatenow wohl nur unter ganz bestimmten Bedingungen, Einstellungen am Client, funktioniert. Da ist diese Variante die sicherere: https://znil.net/index.php/Windows_Update_per_Skript_suchen_herunterladen_installieren_reboot

Wie genau hast Du das denn gemacht? Woher weißt Du dass der Server up2date ist? Hast Du keinen WSUS im Einsatz?

Geht doch IMO recht einfach. Entweder per mittels Script in eine Freigabe alle Drucker pro User in eine Logdatei ausgeben oder gleich zu Beginn beim Login jeden Drucker auf dem Client löschen und im zweiten Schritt neu anlegen. Wenn per Script, dann die Logdateien auslesen und gezielt die Drucker löschen. Sind es wirklich viele Drucker oder nur ein paar?

Diese Änderung fand im Juni 2016 statt, es jährt sich in diesen Tagen schon wieder. ;) Aufmerksam lesen und das/die GPO(s) anpassen, schon läuft wieder alles wie vor Juni 2016. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Bist Du sicher? Ich kann das nicht sehen und noch weniger glauben, dass MS das gestrichen haben soll. Welche genaue Einstellung meinst Du? Per GPP geht es immer noch.

Ein Ticketsystem ist hier ein passendes System. Einmal eingerichtet und die User dorthin geleitet hilft das beiden Seiten. Der Kunde, in dem Fall der User, kann reinschreiben und sieht auch Kommunikation eines Tickets. Zusätzlich kann der Admin benötigte Zeiten eintragen. BTW: Solche Ansprachen/Anfragen auf dem Flur kann man dann gleich ins Ticketsystem einkippen lassen.

Seit 14.06.2016 gibt es diese Änderung, Aber es muss ein Geheimnis sein, hält sich ziemlich lange im Hintergrund. :) https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Ob es der WSUS das Update hat kann und soll man manuell prüfen.

@d33jay Das Log von einem Client nützt nichts, wenn es der WSUS schon nicht downlädt. @Squire Hast Du denn die Möglichkeit, dass der eine WSUS vom anderen abholt? Ich kann das von dir nachvollziehen, wir haben das hier auch bei einem WSUS. Hast Du denn schon mal probiert, auf dem WSUS, auf dem es NICHT funktioniert, das Update manuell zu importieren in den WSUS? Dazu musst Du in der WSUS-Konsole bei Updates > Rechtsklick ausführen > Updates importieren. Es muss über den IE abgewickelt werden.

Erstell doch mal ein Update mit einem MSI, dann wird eine Package Level Rule erstellt.

Defender ist out of the Box auf dem Exchange an, beendet und deaktiviert wirklich jeder den Dienst vor der Installation der CUs? Dann erst ist der Defender aus. Bei 3rd Party AV-Scanner Dienst beenden, deaktivieren und Reboot machen. So wäre meine Vorgehensweise. Und das Wartungsfenster immer schön großzügig planen. :)

Bisher habe ich auch immer nach einem Exchange CU gebootet, unabhängig von anderen Updates, die ich sowieso nie mit den Exchange CUs gemeinsam installiere.

Danke für den Hinweis, da kann man sich ja mal richtig Zeit nehmen für das Update. :)

Unabhängig vom Problem, ja, ein Update auf CU 16 macht natürlich Sinn. Nach der Lösung deines Problemes solltest Du auf jeden Fall aktualisieren, ohne wenn und aber. Da kommt die Frage auf: Weshalb ist der Server so lange nicht gepatcht worden?

Meinst Du mich?

Nein, aber Du kannst mittels GPO Schlüssel/Werte in der Registry ablegen und dessen Existenz im WPP dann abfragen. Funktioniert. Und ja, WPP kann man immer noch verwenden.

Was kosten deine Versuche? Was kostet die große Version des Tools, das alles macht?

Dann beschreib doch nochmal ganz genau was Du wie und wo gemacht hast. Hast Du wirklich eine OU angelegt und dort NUR eine Gruppe abgelegt? Keine Computer- und Benutzerobjekte? Und wie genau hast Du die Sicherheitsgruppe in das GPO gebracht? Bitte genau den Weg beschreiben. Und um noch mehr Verwirrung zu stiften: Ein GPO greift nicht auch Gruppen, nur auf (Gruppen von) Comuter- und/oder Benutzerobjekten. :)

WMI Abfrage in Powershell/VBScript erstellen, an einem Testclient anschauen ob das die benötigten Angaben sind, SQL Server installieren, konfigurieren. Datenbank und Tabellen dafür anlegen, Zugriffsrechte einrichten, verteilen, fertig. Bevor die vom Script gesammelten Daten in die DB geschrieben werden, müssen die bereits vorhandenen Daten gelöscht werden. Man kann noch einbauen, schicke die Daten nur, wenn man den SQL Server per Ping erreicht und vieles andere mehr. Dazu müsst ihr euch zuerst vollkommen im Klaren sein, was genau ihr wie oft bekommen und aktualisieren wollt. Falls Du auf ein fertiges Script anspielst, das kann ich dir nicht hier posten. Aber dafür finden sich genügend Beispiele im Netz wie man sowas schreibt und testet. Hilfreich für das Schreiben eines Scriptes, egal ob in PS oder VB ist der WMI Creator von MSFT. Alt aber immer noch aktuell: https://www.microsoft.com/en-us/download/details.aspx?id=8572 https://www.windowspro.de/script/get-computerinfo-systeminformationen-auslesen-powershell Grundsätzlich bietet sich auch Docusnap für so etwas an, das inventarisiert nicht nur Clients/Server. Kommt immer auf die Größe der Umgebung an.

Wo genau schaust Du denn im Eventlog nach? Für GPOs gibt es einen eigenen Zweig. Mit gpresult /h kommt nichts, gar nichts? Keine Ausgabe? Den letzten Satz verstehe ich überhaupt nicht. Was willst Du uns damit mitteilen? Wir filtern hier auch immer wieder auf Computergruppen, funktioniert wie gewünscht und gedacht. Liegen Computer- und Benutzerobjekte in der gleichen OU? Liegt das GPO auch auf dieser OU oder höher? Die User- und Computerobjekte müssen unterhalb dem GPO liegen, ansonsten funktioniert das Gewünschte nicht. Die Gruppe kann liegen wo Du sie hinlegen willst. Wichtig ist auch noch der Weg wie man die Gruppe in die Sicherheitsfilterung des GPO bringt. Und natürlich muss die Gruppe, wenn Computer- und Benutzerobjekte in der Gruppe sein, auch das Recht zum Lesen und Übernehmen des GPO haben.