Jump to content

IIS / WSUS Problem

reinerk

Von reinerk
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

reinerk Enthusiast

reinerk   10

Geschrieben
Geschrieben

Hallo an die Gemeinde,

förmlich "über Nacht" hat sich der WSUS auf einem Server 2003 "verabschiedet:

Ich wurde darauf aufmerksam, da im Systemprotokoll Event-ID's

12002, 12022, 12032, 12042, 12052, 13042 auftauchen.

EventID.Net und Microsoft "befragt", aber leider keine brauchbaren Lösungen

für dieses Problem gefunden.

WSUS deinstalliert und neu installiert : keine Besserung

IIS deinstalliert und neu installiert : ebenfalls negativ

Dann ist mir im Systemprotokoll des Servers aber aufgefallen, dass

dem Konto IUSR_Server der Zugriff verweigert wurde ( Aufruferbenutzername

"Netzwerkdienst" )

Die lokale Gruppe im AD "IIS_WPG" enthält nur ein Mitglied , nämlich den IUSR.

Es fehlen "Dienst" , "System" und "Netzwerkdienst", und ich denke, da liegt das Problem.

Aber wie bekomme ich die jetzt in diese lokale Domänengruppe ?

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben
Hallo an die Gemeinde,

förmlich "über Nacht" hat sich der WSUS auf einem Server 2003 "verabschiedet:

Ich wurde darauf aufmerksam, da im Systemprotokoll Event-ID's

12002, 12022, 12032, 12042, 12052, 13042 auftauchen.

 

Ui, kann ich den Server haben? Ich wollte schon immer mal einen zauberserver haben. ;) SCNR! :)

 

Irgendeinen Grund muß und wird es auch dafür geben. Wurde ein Update von 3.0 auf 3.0 SP1 gemacht? 13042 sagt aus, daß Selfupdate nicht funktioniert. Dafür gibts nicht viele Fehlerquellen.

 

EventID.Net und Microsoft "befragt", aber leider keine brauchbaren Lösungen

für dieses Problem gefunden.

WSUS deinstalliert und neu installiert : keine Besserung

IIS deinstalliert und neu installiert : ebenfalls negativ

Dann ist mir im Systemprotokoll des Servers aber aufgefallen, dass

dem Konto IUSR_Server der Zugriff verweigert wurde ( Aufruferbenutzername

"Netzwerkdienst" )

 

Unter diesem Konto "Netzwerkdienst" läuft normalerweise der Dienst Update Services.

 

Die lokale Gruppe im AD "IIS_WPG" enthält nur ein Mitglied , nämlich den IUSR.

Es fehlen "Dienst" , "System" und "Netzwerkdienst", und ich denke, da liegt das Problem.

Aber wie bekomme ich die jetzt in diese lokale Domänengruppe ?

 

Glaub ich nicht, daß es daran liegt. Kontrollier doch lieber mal die NTFS-Berechtigungen gem. diesen Dokumenten: Appendix D: Permissions on WSUS Directories and Registry Keys

Appendix C: IIS Settings for Web Services

 

Aber bitte Schritt für Schritt, nichts auslassen!

 

Kontakten die Clients den WSUS noch? Oder gibts Fehlermeldungen in der WindowsUpdate.log?

Link zu diesem Kommentar
reinerk Enthusiast

reinerk   10

Geschrieben
  • Autor
Geschrieben
....

Irgendeinen Grund muß und wird es auch dafür geben...

.... Kontrollier doch lieber mal die NTFS-Berechtigungen gem. diesen Dokumenten:

-----------------------------------------------------------------

Aber bitte Schritt für Schritt, nichts auslassen!

 

 

ok, war ein Stück Arbeit, das alles abzuchecken

Ergebnis : alles so wie es sein soll.

Das ist es ja eben, daß es sozusagen aus "heiterem Himmel nicht mehr funktioniert.

Das Update auf WSUS 3SP1 wurde gleich nach dem Erscheinen durchgeführt und lief problemlos.

 

Alle NTFS Berechtigungen sind ok, alle Einstellungen f. die virtuellen Verzeichnisse im IIS ebenfalls.

Ich glaube doch bald, daß es an dieser Gruppenmitgliedschaft in der Gruppe

"IIS_WPG" liegt :

Bei mir läuft ebenfalls der WSUS in der genau gleichen Konfiguration (selbst die

Verzeichnisnamen sind identisch) und auf meinem Server sind eben in dieser Gruppe IIS_WPG die Mitglieder "Dienst" "System" und "Netzwerkdienst" automatisch bei der Installation vom IIS hinzugefügt worden.

Auf diesem Problemserver fehlen die..und lassen sich ja auch nicht hinzufügen.

Irgendwie geht es jetzt nicht weiter.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben
ok, war ein Stück Arbeit, das alles abzuchecken

Ergebnis : alles so wie es sein soll.

 

Das glaub ich dir. Mein Hinweis war aber nicht unbegründet. Wir hatten hier schon mal einen Thread dazu, da war im IIS an einer Stelle ein Häkchen zu viel. ;)

 

Das ist es ja eben, daß es sozusagen aus "heiterem Himmel nicht mehr funktioniert.

 

Hmm, sehr misteriös.

 

Das Update auf WSUS 3SP1 wurde gleich nach dem Erscheinen durchgeführt und lief problemlos.

 

Gut.

 

Ich glaube doch bald, daß es an dieser Gruppenmitgliedschaft in der Gruppe

"IIS_WPG" liegt :

Bei mir läuft ebenfalls der WSUS in der genau gleichen Konfiguration (selbst die

Verzeichnisnamen sind identisch) und auf meinem Server sind eben in dieser Gruppe IIS_WPG die Mitglieder "Dienst" "System" und "Netzwerkdienst" automatisch bei der Installation vom IIS hinzugefügt worden.

Auf diesem Problemserver fehlen die..und lassen sich ja auch nicht hinzufügen.

Irgendwie geht es jetzt nicht weiter.

 

Doch die lassen sich hinzufügen. Du mußt den lokalen Computer auswählen, dann gehts. Habs grade gemacht. ;)

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben
:confused:

..auf einem DC ?

 

Hab ich was überlesen? Ich hab nix von einem DC in diesem Thread gelesen. :confused:

 

..im AD Benutzer und Computer ?

 

Gib doch einfach mal NETZWERKDIENST ein und klick auf Namen überprüfen. Ich habs auf meinem DC gerade nachvollzogen. Gibts und geht.

 

Mein WSUS läuft auf einem Memberserver, daher zuerst der Hinweis auf lokale Konten. ;)

 

Kann es sein, daß der Server vorher mit installiertem WSUS ein Member war und dann einfach zum DC promoted wurde?

Link zu diesem Kommentar
reinerk Enthusiast

reinerk   10

Geschrieben
  • Autor
Geschrieben
Hab ich was überlesen? Ich hab nix von einem DC in diesem Thread gelesen. :confused:

Kann es sein, daß der Server vorher mit installiertem WSUS ein Member war und dann einfach zum DC promoted wurde?

 

..hab vergessen den DC zu erwähnen.

Nein die Kiste ist von Anfang an ein DC un der WSUS kam erst später rauf.

"Netzwerkdienst" gibt's nicht zum hinzufügen.

habe es auch schon mit ADSiEdit versucht, ohne Erfolg

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben
..hab vergessen den DC zu erwähnen.

Nein die Kiste ist von Anfang an ein DC un der WSUS kam erst später rauf.

 

OK, dann ist es ja gut. ;)

 

"Netzwerkdienst" gibt's nicht zum hinzufügen.

habe es auch schon mit ADSiEdit versucht, ohne Erfolg

 

Auf einem Ordner oder Freigabe kannst Du aber den NETZWERKDIENST hinzufügen, oder geht das da auch nicht?

Link zu diesem Kommentar
reinerk Enthusiast

reinerk   10

Geschrieben
  • Autor
Geschrieben

Auf einem Ordner oder Freigabe kannst Du aber den NETZWERKDIENST hinzufügen, oder geht das da auch nicht?

 

ja das klappt,

aber im AD Benutzer&Computer fehlen unter "ForeignSecurityPrincipals"

2 SID's :

1-5-18 und 1-5-6 also Dienst und System

will ich sie hinzufügen, ist "diese Gruppe bereits vorhanden"

au mann, ich denke das AD ist hier "verbogen".

 

Habs anders herum probiert :

Netzwerkdienst als "Mitglied von" : IIS_WPG aber ebenso erfolglos :

"AD Fehler: Ein neues Mitglied konnte nicht zu einer lokalen Gruppe hinzugefügt werden, da das Mitglied den falschen Kontentyp aufweist"

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben
ja das klappt,

aber im AD Benutzer&Computer fehlen unter "ForeignSecurityPrincipals"

2 SID's :

1-5-18 und 1-5-6 also Dienst und System

will ich sie hinzufügen, ist "diese Gruppe bereits vorhanden"

au mann, ich denke das AD ist hier "verbogen".

 

Wenn dem wirklich so ist, dann solltest Du aber im Eventlog vom DC noch ein andere Fehler finden. Hast Du mehrere DCs? In Sachen AD bin ich kein Spezialist, da muß ich passen.

 

Habs anders herum probiert :

Netzwerkdienst als "Mitglied von" : IIS_WPG aber ebenso erfolglos :

"AD Fehler: Ein neues Mitglied konnte nicht zu einer lokalen Gruppe hinzugefügt werden, da das Mitglied den falschen Kontentyp aufweist"

 

Sorry, ich kann dir hier nicht mehr weiterhelfen.

Link zu diesem Kommentar
reinerk Enthusiast

reinerk   10

Geschrieben
  • Autor
Geschrieben

..@Sunny61

 

Es ist "vollbracht"

Zum Glück war auf dem Server noch ein "SystemState-Backup"

Verzeichniswiederherstellung gestartet...Backup zurück

Alles wieder in bester Ordnung !

In der Tat war das AD irgendwie "verbogen"

Mit ADSIEdit oder anderen ( zB von Sysinternals) AD-Tools kann man ja nun mal nichts bekennen, wenn die Datenbank online ist.

Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   812

Geschrieben
Geschrieben

Es ist "vollbracht"

Zum Glück war auf dem Server noch ein "SystemState-Backup"

Verzeichniswiederherstellung gestartet...Backup zurück

Alles wieder in bester Ordnung !

 

Super, freut mich für dich und Danke für die Rückmeldung. ;)

 

In der Tat war das AD irgendwie "verbogen"

Mit ADSIEdit oder anderen ( zB von Sysinternals) AD-Tools kann man ja nun mal nichts bekennen, wenn die Datenbank online ist.

 

Jetzt solltest Du nur noch die Ursache für das "verbiegen" finden. AV-Scanner? HDD-Probleme?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...