Server 2019 GPO Wsus Problem

[goat82 2]

Hallo Zusammen,

ich habe ein Registrierungsproblem an einigen produktiven 2019 Server.

Leider war anscheinend das VM template anscheinend corrupt, sfc/scannow hatte bei neu erstellten Servern Fehler gemeldet und korrigiert.

Die Server laufen einwandfrei, allerdings funktioniert der Kontakt zum WSUS an den betroffenen Servern nicht mehr automatisch obwohl die GPOs richtig angewendet wurden.

Ich habe das VM template erneuert und da tritt der sfc/scannow Fehler und die Wsus Verbindungsstörung nicht mehr auf.

Hat jemand eine Idee? Ich habe in der Registry das WindowsUpdate gelöscht und vieles ausprobiert, leider vergebens.

WSUS funktioniert wenn ich es manuell anstoße und ohne Wsus gehen die Updates mit MS auch. Aber automatisch findet keine Synchronisation mit dem WSUS mehr statt.

 

Wie kann ich die angezeigten GPOs entfernen ?

Gpresult /r zeigt keine angewendetet Wsus GPO an und in lokalen GPO steht alles auf nicht konfiguriert.

Ich bekomme die 3 EInstellungen nicht entfernt. Wenn ich den Server aus der Wsus OU entferne und gpupdate ausführe, bleiben die 3 Einstellungen aktiv. Schiebe ich den Server wieder in die OU sind alle anderen Einstellungen aktiv aber bei den betroffenen Servern sucht er nicht alle 4h nach Updates wie bei den Servern, wo es funktioniert. DIe GPO ist für die OU und alle Server gleich, es ist auch kein Berechtigungsproblem.

 

Hat jemand eine Idee oder workarround außer Neuinstallation ?

 

 

bearbeitet 10. März 2021 von goat82

[Sunny61 806]

Du kannst die beiden rd-Befehle https://www.windows-faq.de/2018/01/31/per-befehl-die-lokalen-gpos-komplett-zuruecksetzen/ ausführen und anschließend ein gpupdate durchführen. /force ist nicht nötig, einfach neu starten.

[goat82 2]

Danke für den Tipp, hat leider gar nichts gebracht. Ich vermute das die gesamte Windowsinstallation futsch ist.

Anbei der Stand nach dem löschen der Policy und nach Gpupdate/Neustart

 

 

 

 

 

 

 

2. Versuch. Istzustand nach Update (GPOs ohne Wsus, die ich nicht löschen kann):

Funktioniert leider nicht die GPO wird richtig angezeigt aber es tut sich mit dem Wsus nix.

 

 

 

bearbeitet 11. März 2021 von goat82

[Sunny61 806]

vor 32 Minuten schrieb goat82:

Ich vermute das die gesamte Windowsinstallation futsch ist.

Wenn das der Fall wäre, würde dein Windows nicht mehr starten.

vor 32 Minuten schrieb goat82:

Danke für den Tipp, hat leider gar nichts gebracht.

Anbei der Stand nach dem löschen der Policy und nach Gpupdate/Neustart

Du kannst den Computer mal in Computers verschieben und sobald er dort ist, einmal neu starten. Achtung! Er bekommt dann keine GPOs mehr.

 

Bei beiden rd-Befehlen musst Du schon auf die korrekte Schreibweise achten. Wenn man die Tab-Taste zur Autovervollständigung nutzt, hilft das ungemein. :P

 

BTW: Und bitte nicht so große und viele Screenshots.

bearbeitet 11. März 2021 von Sunny61

[goat82 2]

Hat jemand eine Idee ? Irgendwoher muss er ja diese 3 Einstellungen ziehen? in der lokalen GPO war nix. Eventuell den Registrypfad löschen?

Es stehen noch folgende DInge zur Verfügung welche aber wahrsheinlich nicht helfen.

 

bearbeitet 11. März 2021 von goat82

[MurdocX 952]

Hallo goat82,

 

es wäre hilfreich, wenn du genannten Tipps ausprobierst und dann eine Rückmeldung dazu gibst. So ist es einfacher für die Helfenden zu sehen, was schon probiert wurde.

[goat82 2]

@Sunny und MurdocX

RD /S /Q %WinDir%\System32\GroupPolicy  erfolgreich ausgeführt  //Ordner wurde gelöscht

RD /S /Q %WinDir%\System32\GroupPolicyusers  // Ordner nicht gelöscht da nicht vorhanden

 

Sfc/scannow // Keine Fehler gefunden.

Gpupdate und Neustart durchgeführt, %WinDir%\System32\GroupPolicy existiert weiterhin nicht

 

Aktueller Stand: Windows Update: weiterhin 3 GPOs konfiguriert. Außer Default domain Policy  (nur Kennwortrichtninien, keine WSUS Einstellungen!) ist keine GPO am Client aktiv

 

PS: Sorry für den Screenshot mit dem falschen Befehl

 

bearbeitet 11. März 2021 von goat82

[Sunny61 806]

Ein allerletzter Versuch von mir: Verschieb den Server/Client in Computers und starte ihn dort zweimal neu. Was passiert? Sind die GPOs immer noch vorhanden?

[goat82 2]

Hab den Server verschoben und sogar 3x neu gestartet der Ordner Grouppolicy unter %WinDir%\System32\ existiert nicht und die 3 Einstellungen werden leider weiterhin in Windowsupdate angezeigt.

 

Irgendein Idee von dem blauen Screenshot ? MS Update habe ich eigentlich schon resettet, aber ohne Erfolg.Irgendwoher muss er sich die 3 Einstellungen ja ziehen, sonst würde es da nicht stehen.

 

Hab mal in der lokalen GPO alles auf konfiguriert gesetzt, da wurde mir in Windowsupdate gar nichts angezeigt. Vielleicht liegt der Hund an der Registry ?

Wenn ich den PC in die Wsus Ou verschiebe, dann werden die Einstelllungen ja übernommen, aber die 3 bestehenden Einstellungen überschreiben die Wsus GPOs der OU, daher vermute ich das hier der Hund begraben liegt.

bearbeitet 11. März 2021 von goat82

[goat82 2]

Neuer Fehler: Server wieder verschoben, GPO angewendet (funktioniert natürlich nicht) aber der Ordner WinDir%\System32\GroupPolicy existiert nicht mehr.Wahrscheinlich ist das dass Problem. Wo ist der Pfad definiert ? Vielleicht stimmt hier etwas nicht ?

Werde nun mal die Registry manuell bearbeiten und sehen ob ich damit das Windowsupdate ändern kann.

bearbeitet 11. März 2021 von goat82

[daabm 1.356]

Wirre Vorgehensweise... Lösch mal HKLM\Software\Policies und HKLM\Software\Microsoft\Windows\CurrentVersion\Policies. Nicht alles, was da drin steht, muß per GPO kommen, man kann das auch "einfach so" oder per SCCM reinschreiben.

Dann neu booten. GPOs immer noch da? Wenn ja: "gpresult /h report.html" und das HTML dann anschauen. Wo kommen die GPOs her?

[goat82 2]

Regedit Ordner gelöscht und neu gestartet,keine Änderung. Windows Update zeigt immernoch die 3 Gpos an.

Gpresult /h zeigt keine angewendete Wsus GPO an (außer default domain policy aber nix was mit wsus zusammenhängt).

Ordner %WinDir%\System32\GroupPolicy weiterhin nicht vorhanden.

 

Ist es normal dass der Ordner fehlt ? Woher bekommt WindowsUpdate die Info, dass 3 Richtlinien angewendet wurden ?

bearbeitet 11. März 2021 von goat82

[Sunny61 806]

Und in der Default Domain Policy steht ganz sicher nichts davon drin? Was sagt gpresult?

[goat82 2]

gpresult /r sagt: Usereinstellungen: Default Domain Policy, Benutzereinstellungen: Default Domain Policy

Inhalt Default Domain Policy im Anhang geht leider nicht, da Quota voll. Da steht 100% nix mit Wsus drinnen.

Kann die Dateianhänge leider nicht entfernen, geht das irgendwie? Quota von 5MB erreicht!

 

Wo ist hier der Bug bei meinem Problem ?

Es kann doch nicht sein, dass der GPO Ordner nicht erstellt wird. Die WSUS Gpos funktionieren an sich ja fast alle, aber die 3 Wsus Gpos blockieren die Wsus Automatik, d.h. ich muss immer Updates in Wsus freigeben (normal) und bei den betroffenen Server manuell suchen und nach dem Einspielen erneut suchen, damit der Report übertragen wird.

Wie können die Gpos überhaupt gehen, wenn der GPO Ordner nicht erstellt wird ?

bearbeitet 11. März 2021 von goat82

[goat82 2]

schade, dass niemand noch eine Idee hat oder mir zumindest sagen kann warum der Ordner wo die Policys local sind bei mir nicht vorhanden ist und er dennoch Gpos anwenden tut :-(