hotzenplotz 10 Geschrieben 11. Februar 2022 Melden Teilen Geschrieben 11. Februar 2022 Hi liebe Community, wir haben da immer mal wieder vereinzelt Windows 10 Clients, die sich merkwürdig verhalten. Im Unternehmen haben wir einen WSUS und geben die Updates so frei. Klappt zu 90% auch gut. Ab und zu haben wir aber Clients, egal ob frisch per Softwareverteilung installiert oder länger nicht am Netz oder auch ganz normal am LAN, Updates liefen immer fein bis zu einem undefinierten Zeitpunkt / Zustand. Windows 10 Versionen waren da nicht spezifisch, kam bei 1909, 2004 und 20H2 vor. Haben die Settings/Button "Online nach Updates suchen" nicht deaktiviert (hatten wir aber auch schon) und die spezielle Einstellung, die den DualScan deaktiviert ist gesetzt (genaue Bezeichnung leider vergessen, ich sehe aber das der Registry Wert entsprechend gesetzt ist - soll ja damit Probleme geben). Zum eigentlichen Problem: Diese Clients erhalten dann in dem Windows Update Fenster, das Updates fehlen beispielsweise und der PC gefährdet ist - manchmal ist da aber auch gar nichts auffällig. Dann klickt man schön auf den Button nach Updates suchen, es wird gesucht, aber auf dem WSUS nix gefunden. Klickt man dann auf Online nach Updates suchen, werden unter anderem natürlich auch von uns nicht genehmigte Updates gefunden und dann auch immer KB4023057. Sobald dieses Update drauf ist, kann man auch wieder nur auf "Nach Updates suchen" klicken und siehe da, es werden auch andere Updates vom WSUS gefunden. So wie ich das immer lese ist KB4023057 im WSUS / Unternehmensumfeld überhaupt nicht relevant, man bekommts für neuere Windows Versionen auch gar nicht aus dem Catalog heruntergeladen. Wir sind da ein bisschen ratlos, woran es nun liegt - weil die anderen funktionierenden Clients ja die gleiche GPOs erhalten, wie die, die manchmal einfach rumspacken. Danke. Viele Grüße Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 11. Februar 2022 Melden Teilen Geschrieben 11. Februar 2022 MS hat bekanntlich in fast jeder Version von Windows 10 wieder an WU rumgeschraubt. D.h. du bist gut beraten, pro Windows 10 Version ein eigenes GPO für WU zu erstellen. Und das natürlich auf einem Client der diese Version installiert hat. Bei uns habe ich das Verhalten von deiner Umgebung bisher noch nicht gesehen. Wir haben auch den DualScan deaktiviert, lassen keine Clients zu WU/MU nach draußen und haben auch als AlternateDownloadserver den internen WSUS eingetragen. Ebenfalls benutzen wir intern noch den BITS, d.h. wir haben den Downloadmode auf 100 gestellt. Details findest Du hier: https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.DeliveryOptimization::DownloadMode&Language=de-de In dem gen. Artikel wird auch geschrieben, dass KBxxx nicht für Umgebungen mit WSUS erforderlich ist, also weglassen. Zeig doch mal deine Einstellungen wie sie die Clients empfangen, evtl. sieht man ja was. Zitieren Link zu diesem Kommentar
hotzenplotz 10 Geschrieben 14. Februar 2022 Autor Melden Teilen Geschrieben 14. Februar 2022 Danke für die Rückmeldung. Alternate Downloadserver ist bei uns wieder leer. Wir haben noch in der DMZ einen WSUS, der soll aber nicht nochmal das komplette Updategeraffel speichern, deshalb haben wir den so konfiguriert, das Updates dann direkt bei MS heruntergeladen werden, aber trotzdem an den WSUS reportet wird. Wenn da nun als Alternate Downloadserver unser WSUS drin steht, klappt das nicht mehr mit den externen Clients die da ohne VPN rumdümpeln. Da ist sicherlich noch viel Zeugs aus Win 7 und gar XP mitgeschleppt bzw. eingestellt. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 14. Februar 2022 Melden Teilen Geschrieben 14. Februar 2022 Wenn noch viel altes Zeugs dabei ist, wird es Zeit aufzuräumen. Am besten auf einem Client-OS das im Einsatz ist, so wenig wie möglich konfigurieren und nur so viel wie nötig. Zuerst kannst Du testen den Downloadmode auf 100 umzustellen, damit wird der BITS benutzt. https://docs.microsoft.com/en-us/windows/deployment/update/waas-delivery-optimization-reference Evtl. läuft es danach schon etwas besser. Zitieren Link zu diesem Kommentar
hotzenplotz 10 Geschrieben 22. Februar 2022 Autor Melden Teilen Geschrieben 22. Februar 2022 späte antwort, erstmal danke für die antwort. bin noch nicht wirklich weiter, habe hier und da noch bisschen probiert und die GPOs wirklich bzgl WSUS aufs minimalste runtergeschraubt und noch den alternativen Server gesetzt, Kontakt zu MS Updates deaktiviert und den Downloadmode auf 100 gesetzt. Mal funktionierts dann mal nicht vereinzelt. Wie gesagt, ist noch nicht wirklich gelöst. aber danke Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 22. Februar 2022 Melden Teilen Geschrieben 22. Februar 2022 Immer wieder hilft es das %windir%\softwaredistribution auf den Clients zu löschen und ein gpupdate durchzuführen. Ansonsten hilft es nur Logfiles lesen und hoffen auf etwas zu stoßen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.