Canni 11 Geschrieben 16. August 2008 Autor Melden Teilen Geschrieben 16. August 2008 Hallo, also erstmal vielen Dank, dass Du mich so unterstützt. Mir geht das Problem wirklich nahe. Virenschutz prüfen wir täglich - alles in Ordnung. Aber Windows-Update .. dass das so stockt ... Is jetzt n anderer Client: Registry: Updateverlauf, damit ihr mal ein Beispiel habt: http://www12.file-upload.net/thumb/16.08.08/x6xhjh.jpg Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP big1010:2952 localhost:27015 HERGESTELLT TCP big1010:27015 localhost:2952 HERGESTELLT TCP big1010:3017 firmasrv02.firma.local:netbios-ssn HERGESTELLT TCP big1010:3018 firmafs01:https HERGESTELLT TCP big1010:3026 207.46.211.124:http HERGESTELLT TCP big1010:3028 207.46.211.124:https HERGESTELLT TCP big1010:3029 cds416.frf.llnw.net:http HERGESTELLT TCP big1010:3389 firma1003.firma.local:50678 HERGESTELLT Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 16. August 2008 Melden Teilen Geschrieben 16. August 2008 Kannst Du Bilder in einem lesbaren Format hochladen? Oder seh nur ich nichts? Habt ihr denn überhaupt einen WSUS im Einsatz? Hast Du die Befehle von mir ausgeführt? Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 16. August 2008 Autor Melden Teilen Geschrieben 16. August 2008 Peinlich, sorry. Jetzt passts aber. WSUS haben wir nicht im Einsatz, die Befehle habe ich exakt so ausgeführt. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 16. August 2008 Melden Teilen Geschrieben 16. August 2008 Peinlich, sorry. Jetzt passts aber.[/qute] Hmm, aber nur für das Bild der Registry. WSUS haben wir nicht im Einsatz, die Befehle habe ich exakt so ausgeführt. Was spricht denn gegen einen WSUS? Dann hättet ihr die Updates alle auf einem Server, der stellt sie den Clients im Netz zur Verfügung. Kleines HowTo zur Installation: WSUS 3.0 - Windows Software Update Service Lade doch mal die WindowsUpdate.log hoch, von dem Rechner, an dem Du die Befehle zuletzt ausgeführt hast. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 18. August 2008 Autor Melden Teilen Geschrieben 18. August 2008 Hallo, jetzt habe ich mal die Prüfung auf Dateiendungen in der Firewall deaktiviert, jetzt scheint er schonmal die neuen Updates zu installieren. SP 3 "steht" aber trotzdem auf den Clients, müsste also als Admin manuell installiert werden. Sollte aber doch auch automatisch ablaufen, oder? WSUS ist bei uns sicher eher kontaproduktiv, da wir mehr Notebooks haben, als Desktops, d.h. wir würden unsere VPN-Verbindung negativ beeinflussen. Bisher ging es doch auch so perfekt. Hier Deine Befehle nochmal an nem anderen Client eingegeben. Netstat danach: Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP firma1005:1049 firmasrv02.firma.local:netbios-ssn HERGE TCP firma1005:1231 firmafs01:https HERGESTELLT TCP firma1005:1235 207.46.211.124:http HERGESTELLT TCP forma1005:1237 207.46.211.124:https HERGESTELLT Hier noch das WindowsUpdate.log: File-Upload.net - windowsupdate.log Was machen wir mit den alten Updates, die nicht installiert wurden, z.B. das SP3? Müsste doch automatisch installieren, oder? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 19. August 2008 Melden Teilen Geschrieben 19. August 2008 jetzt habe ich mal die Prüfung auf Dateiendungen in der Firewall deaktiviert, jetzt scheint er schonmal die neuen Updates zu installieren. OK, geht schon mal voran. ;) SP 3 "steht" aber trotzdem auf den Clients, müsste also als Admin manuell installiert werden. Sollte aber doch auch automatisch ablaufen, oder? Es wird automatisch gedownloadet, siehe weiter unten dazu. WSUS ist bei uns sicher eher kontaproduktiv, da wir mehr Notebooks haben, als Desktops, d.h. wir würden unsere VPN-Verbindung negativ beeinflussen. Bisher ging es doch auch so perfekt. Von wievielen Clients/Servern insgesamt sprechen wir? Hatte ich schon nach einem Active Directory gefragt? Hier Deine Befehle nochmal an nem anderen Client eingegeben. Netstat danach: Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP firma1005:1049 firmasrv02.firma.local:netbios-ssn HERGE TCP firma1005:1231 firmafs01:https HERGESTELLT TCP firma1005:1235 207.46.211.124:http HERGESTELLT TCP forma1005:1237 207.46.211.124:https HERGESTELLT Der 207er Server ist von MS, passt also. Hier noch das WindowsUpdate.log: File-Upload.net - windowsupdate.log Was machen wir mit den alten Updates, die nicht installiert wurden, z.B. das SP3? Müsste doch automatisch installieren, oder? Auszug aus der WU.log: Validating signature for C:\WINDOWS\SoftwareDistribution\Download\eac129044bb68298c81589f4b51d4c64\WindowsXP-KB936929-SP3-Express-x86-DEU.exe: 2008-08-18 22:52:32:466 1076 7dc Misc Microsoft signed: Yes 2008-08-18 22:52:32:514 1076 7dc DnldMgr Download job bytes total = 73090678, bytes transferred = 2826792 2008-08-18 22:52:32:530 1076 388 AU AU checked download status and it changed: Downloading is paused Das SP3-Express wurde noch nicht vollständig gedownloadet auf dem Client. Hast Du nicht die Möglichkeit ein großes Paket downzuloaden und manuell auf die Clients zu installieren? Dann wäre das Thema IMHO am schnellsten durch. Wenn Du ein AD hast, kannst Du das auch via GPO machen: Service Pack Installation über die Softwareverteilung Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 19. August 2008 Autor Melden Teilen Geschrieben 19. August 2008 Hallo Sunny61, erstmal danke für die vielen Antworten und dafür, dass Du Dich so um mein Problem kümmerst. Ich muss wohl doch etwas ausholen ;-) Ein AD mit einem DC ist vorhanden. Keine serverbasierenden Profile. Wir haben ca. 20 Clients, die fast (!) ausschließlich aus Notebooks bestehen und fast ausschließlich NICHT im Lan sind. Mal konkret: Unsere Notebooks sind verstreut auf mehrere Arbeitsplätze, die nicht zum Firmenlan gehören. Wir haben Geräte, die alle paar Monate ins LAN kommen, andere wiederrum sind nie im Netzwerk. Wie melden sich die Nutzer außerhalb des LANs an: - Nutzer meldet sich bei Windows mit seinem Domänen-Benutzernamen und -Kennwort an. Notebook läd die cached credentials (da ja keine Verbindung zum Firmennetzwerk, respektive zum DC, besteht) und Nutzer kann lokal arbeiten. - Nutzer stellt die Internetverbindung her (falls noch nicht geschehen) - z.B. via UMTS, bei mobilen Nutzern. - Nutzer verbindet sich mit VPN-Client zur Firewall. Ab jetzt steht die Verbindung zum Firmennetzwerk, d.h. die Netzlaufwerke funktionieren, die GPOs werden im Hintergrund übertragen etc. --> Ein WSUS wäre hier nicht unbedingt von Vorteil, wenn die Updates vom WSUS heruntergeladen werden würden - das würde ja die VPN-Verbindungen belasten! Mit dem Virenscanner von NOD halten wir es auch so, dass die Updates nicht zentral zur Verfügung gestellt werden, da es einfach zu wenig Clients sind, die sich im Büro direkt befinden. Aus diesem Grunde würde eine Softwareverteilung garnicht greifen, da die Softwareinstallation ja immer direkt nach der Windows-Anmeldung abläuft - wo noch überhaupt keine Verbindung zum Firmennetzwerk besteht. Natürlich könnte ich Daten manuell auf die Clients "schieben"... aber was ist eigentlich der Grund? Wo liegt denn nun der Fehler? :-) Danke! Canni Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 19. August 2008 Melden Teilen Geschrieben 19. August 2008 erstmal danke für die vielen Antworten und dafür, dass Du Dich so um mein Problem kümmerst. Bitte, gern geschehen. ;) - Nutzer stellt die Internetverbindung her (falls noch nicht geschehen) - z.B. via UMTS, bei mobilen Nutzern. - Nutzer verbindet sich mit VPN-Client zur Firewall. Ab jetzt steht die Verbindung zum Firmennetzwerk, d.h. die Netzlaufwerke funktionieren, die GPOs werden im Hintergrund übertragen etc. --> Ein WSUS wäre hier nicht unbedingt von Vorteil, wenn die Updates vom WSUS heruntergeladen werden würden - das würde ja die VPN-Verbindungen belasten! Der WSUS kann hier schon eingesetzt werden. Bei mir gibts run 40 AD-Mitarbeiter, die auch nur via VPN in die Firma kommen. Mit dem SP3 mach ich das natürlich nicht, aber alle anderen Updates bekommen die schon seit vielen Jahren via WSUS. Der WU-Agent/WSUS nutzt zur Übertragung den BITS (Intelligenter Hintergrundübertragungsdienst), der nutzt nur 10% der vorhandenen Bandbreite, bzw. kann auch konfiguriert werden: WSUS.DE | Background Intelligent Transfer Services (BITS) Mit dem Virenscanner von NOD halten wir es auch so, dass die Updates nicht zentral zur Verfügung gestellt werden, da es einfach zu wenig Clients sind, die sich im Büro direkt befinden. Reporten die Clients wenigstens zentral in die Firma? Aus diesem Grunde würde eine Softwareverteilung garnicht greifen, da die Softwareinstallation ja immer direkt nach der Windows-Anmeldung abläuft - wo noch überhaupt keine Verbindung zum Firmennetzwerk besteht. Die Softwareverteilung greift vor der Benutzeranmeldung, da auch zu diesem Zeitpunkt noch alle Rechte für die Installation vorhanden sind. Natürlich könnte ich Daten manuell auf die Clients "schieben"... aber was ist eigentlich der Grund? Wo liegt denn nun der Fehler? Ich tippe eher drauf, da die User keine Adminrechte haben, bekommen sie das SP3 auch nicht installiert. Für das SP2 gabs mal einen Registry Eintrag, damit das SP2 nicht installiert wurde, ob es den auch für das SP3 gibt, weiß ich nicht. Alternativ kannst Du das SP3 ja auch manuell installieren, sobald die Clients sich mal wieder im LAN befinden. Bei mir wird das für die Außendienstmitarbeiter auch erst Ende des Jahres sein. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 21. August 2008 Autor Melden Teilen Geschrieben 21. August 2008 Hallo auch ;-) Softwareverteilung: Klar, vor der Windows-Anmeldung - aber da besteht ja noch keine Verbindung ins Netzwerk ?! Deshalb müssen ja z.B. auch Logon-Skripte lokal abgelegt werden ;-) Admin-Rechte benötigt? Das ist es, was ich wissen wollte - dann muss ich mir ja keine Gedanken mehr machen ;-) Nur wie bekommen wir es hin, dass die "Fehler"-Updates "nachinstalliert" werden? NOD32: Selbstverständlich verwenden wir den Remote Administrator, mit dem wir zentrale Reports erhalten. Weißt Du schon was Neues wegen dem Registry-Eintrag? Danke :-) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 21. August 2008 Melden Teilen Geschrieben 21. August 2008 Klar, vor der Windows-Anmeldung - aber da besteht ja noch keine Verbindung ins Netzwerk ?! Deshalb müssen ja z.B. auch Logon-Skripte lokal abgelegt werden ;-) Naja, wenn man das so machen will, man kann es auch anders machen. Admin-Rechte benötigt? Das ist es, was ich wissen wollte - dann muss ich mir ja keine Gedanken mehr machen ;-) Haben die User denn Adminrechte? Nur wie bekommen wir es hin, dass die "Fehler"-Updates "nachinstalliert" werden? Wenn die Updates auf den Clients gedownloadet wurden, dann werden sie auch zum angegebenen Zeitpunkt installiert. Ist der Client zu dem Zeitpunkt ausgeschaltet, wird nach dem nächsten Einschalten installiert. Du könntest den WSUS trotzdem einsetzen und ihn passend konfigurieren: http://www.gruppenrichtlinien.de/Bilder/WSUS3_56.gif NOD32: Selbstverständlich verwenden wir den Remote Administrator, mit dem wir zentrale Reports erhalten. Und genau aus diesem Grund solltest Du auch den WSUS einsetzen. Dann kannst Du das SP3 auch ablehnen oder installieren lassen. Das sollte dann mit der von geposteten Beispiel GPO auch funktionieren. Weißt Du schon was Neues wegen dem Registry-Eintrag? Von welchem Eintrag sprichst Du? Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 22. August 2008 Autor Melden Teilen Geschrieben 22. August 2008 Ich spreche vom Registry-Eintrag, der das SP3 ohne Adminrechte installieren lässt ;-) Hast Du da vielleicht was gefunden? Das heisst, einen WSUS aufsetzen, kann ich auch ohne, dass ich die Clients einzeln zu mir reinhole, da ja per GPO. Nun, aber was mache ich mit den "Fehler"-Updates? Frage: Wenn ich WSUS habe - installiert er mir das SP3 dann auch OHNE Admin-Rechte auf den Clients? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. August 2008 Melden Teilen Geschrieben 22. August 2008 Ich spreche vom Registry-Eintrag, der das SP3 ohne Adminrechte installieren lässt ;-) Hast Du da vielleicht was gefunden? Hmm, müsste der hier sein: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU > NoAUShutdownOption REG_DWORD 1 Das heisst, einen WSUS aufsetzen, kann ich auch ohne, dass ich die Clients einzeln zu mir reinhole, da ja per GPO. Jupp. Nun, aber was mache ich mit den "Fehler"-Updates? IMHO sollten die sich installieren, sobald der o.g. Wert gesetzt ist. Frage: Wenn ich WSUS habe - installiert er mir das SP3 dann auch OHNE Admin-Rechte auf den Clients? Nur mit dem o.g. Key und Wert in der Registry. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 22. August 2008 Autor Melden Teilen Geschrieben 22. August 2008 Aber ob der Key was bringt? Oder SP3 einfach noch stehen lassen und dann manuell installieren, wenn die Maschinen doch mal reinkommen? Sag mal, wenn ich Programme o.ä. bei den Maschinen installiere, geh ich per Remote drauf, Rechtsklick --> "Ausführen als" .. weil ich mich ja nicht als "Administrator" anmelden kann, da dann ja die VPN-Verbindung weg wäre ;-) Wie könnte ich auf diese Art das SP installieren? Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 22. August 2008 Melden Teilen Geschrieben 22. August 2008 Aber ob der Key was bringt? Probiers aus und Du wirst es wissen. ;) Oder SP3 einfach noch stehen lassen und dann manuell installieren, wenn die Maschinen doch mal reinkommen? Das geht natürlich auch. Sag mal, wenn ich Programme o.ä. bei den Maschinen installiere, geh ich per Remote drauf, Rechtsklick --> "Ausführen als" .. weil ich mich ja nicht als "Administrator" anmelden kann, da dann ja die VPN-Verbindung weg wäre ;-) Wie könnte ich auf diese Art das SP installieren? Das könntest Du natürlich so machen, wäre mir aber zu unsicher. Solange die Clients ihre Updates bekommen, sollte es IMHO kein Sicherheitsproblem geben. Installier das SP3 manuell, wenn ein Rechner reinkommt, dann kannst Du vorher auch gleich ein Image ziehen, für den Fall der Fälle. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.