Clients wollen keine WSUS Updates mehr...

[Poe 4]

Hallo,

ich weiß, gabs schon häufig, aber ich komm trotzdem nicht weiter...

 

Bei mir wollen dutzende Clients seit November keine Updates vom WSUS mehr.

Nach aktueller Lage betrifft  es offenbar alle W11 23H2 und 24H2 Clients.  Ich upgrade auch weiterhin W10 auf W11 24H2 ohne Probleme.

Andere, teilweise ganze AD-OUs bzw. korrespondierende WSUS Gruppen wollen gar keine Upgrades. 

- sie melden normal und regelmäßig Kontakt im WSUS

- sie melden normal und regelmäßig Statusupdates im WSUS

- wenn sie nach Updates suchen laufen sie NICHT auf Fehler

- sie sind allerdings der Meinung das sie 0 Updates brauchen. Nicht nur das sie keine wollen, auch im WSUS stehen sie mit 0 fehlenden Updates. Laut Windows Versionsnummer haben sie aber Stand Oktober oder November oder noch älter.  Es betrifft also nicht EIN Update sondern auch zurückliegende aus einer Zeit wo noch alles funktionierte.

Die Updates liegen im WSUS an und sind auch für die WSUS Gruppe freigegeben.

Die freigegeben Produktupdate-Gruppen hab ich natürlich geprüft. Aber an den kanns eigentlich nicht liegen, sonst würde es ja bei keinem Client funktionieren. Andererseits ist das der plausibelste Ansatzpunkt aus meiner Sicht.  Kann man da irgendwas prüfen?

 

Ich hab von einem solchen Kandidaten das Update Log gezogen, etwas undurchsichtig für mich....kann aber nichts auffälliges finden.

Ich hab einen Problemfall aus dem WSUS rausgeworfen, neu aufgenommen und in die Gruppen sortiert - keine Veränderung.

 Softwaredistribution Ordner gelöscht, Sfc scannow, DISM Reparatur,..... das ganze Programm des WindowsUpdateReset Tools.... die Clients scheinen okay zu sein.

 

Außer direkt an den Clients updaten wir auch über Baramundi. Da der ebenfalls vom WSUS zieht - gleiches Ergebnis. Ich bin nicht 100% sicher, aber über Baramundi irritiert außerdem das bei den entsprechenden Clients auch die Updateliste der erfolgreich abgearbeiten Updates leer ist.

 

Bin etwas ratlos. Entweder fehlt den Clients was oder die reporten nicht auswertbare Infos an den WSUS, oder am WSUS läuft irgendwas schief.  Wo setze ich an ?

 

Schöne Grüße, Pö

[Sunny61 809]

Du könntest eine Test-OU erstellen, zwei, drei Clients dort hinein verschieben, SoftwareDistribution mehrmals hintereinander leeren und ein neues GPO für den WSUS erstellen und auf diese Test-OU verlinken. Die Test-Clients sollten in einer WSUS-Gruppe sein, für die die aktuellsten Updates freigegeben sind. So wenig wie möglich Einstellungen einbringen. Nur soviel wie wirklich nötig sind. Hast Du auch die richtigen ADMX-Templates zur Verfügung? Die von W11 23H2 und von 24H2 jeweils?

 

GPO verlinken, SoftwareDistribution löschen, Client neu starten. Anschließend als Admin eine Commandline starten und das hier eingeben:

 

wuauclt /resetauthorization /detectnow (2x)
(2 Minuten warten)
wuauclt /reportnow (2x)

Jetzt die WSUS-Konsole aktualisieren. Wenn sich nach weiteren 5 Minuten nichts ändert trotz aktualisieren, die WindowsUpdate.log mit der PS erzeugen und nach Fehlern suchen.

 

Zusätzlich kannst Du dir überlegen was in den letzten Monaten am System verändert wurde.

[Poe 4]

Hallo,

Danke für die Hinweise.

Gut, den Weg über eine separate AD-OU und abgespeckte GPOs kann ich ausprobieren. Abzuklären ob GPO bedingt was reinpfuscht sollte man machen.

 

Als ADMX kommt die aktuelle für W11 24H2 zum Einsatz, die wurde kurz nach Erscheinen in den CentralStore kopiert. Ich bin der Meinung das es danach noch funktionierte, aber wer weiß.  Gibt es denn da Fallstricke mit den neuen ADMX? Ich weiß das da wieder mal was dazu gekommen ist in Sachen Updateverhalten, aber ich sah da kein Bedarf am bestehenden Reglement was zu ändern.

Die .ADMX für 23H2 wurden dabei ersetzt wenn ich mich recht erinnere.

 

Sonstige Änderungen... tja. Globale Richtlinien für SMB1 deaktivierung und NTLM fällt mir spontan ein....

 

Faszinierend jedenfalls das die W10 22H2 Systeme keine Probleme haben. Man sollte ja meinen das es dort eher zu Probleme kommt mit den 24H2 ADMx....

 

Eine frevelhafte Frage..... eine Gruppenrichtlinie welche dafür sogt das zwar Gesucht werden kann aber nichts gefunden wird? Und der WSUS deklariert weiterhin keine Updates als erforderlich?  Hab ich ja noch nie von gehört....

 

 

[Sunny61 809]

vor 24 Minuten schrieb Poe:

Eine frevelhafte Frage..... eine Gruppenrichtlinie welche dafür sogt das zwar Gesucht werden kann aber nichts gefunden wird? Und der WSUS deklariert weiterhin keine Updates als erforderlich?

Nein, keine Gruppenrichtlinie, sondern eine Einstellung in einer Gruppenrichtlinie.

 

Habt ihr auch etwas in der Übermittlungsoptimierung oder in Windows Update for Business eingestellt?

vor 28 Minuten schrieb Poe:

Gut, den Weg über eine separate AD-OU und abgespeckte GPOs kann ich ausprobieren. Abzuklären ob GPO bedingt was reinpfuscht sollte man machen.

Zusätzlich solltest Du noch dafür sorgen, dass keine GPO von 'oben' vererbt wird. Dann Schritt für Schritt testen.

[Poe 4]

vor 2 Minuten schrieb Sunny61:

dass keine GPO von 'oben' vererbt wird.

da sist mir zwischenzeitlich auch eingefallen, und DAS könnte natürlich ein Problem werden, da wüßte ich spontan nicht wie ich das fix hinpopel. Zumindest sind aber wenigstens alle Richtlinien welche das Updateverhalten steuern nicht global.

 

vor 31 Minuten schrieb Sunny61:

Habt ihr auch etwas in der Übermittlungsoptimierung oder in Windows Update for Business eingestellt?

Ich seh nach.. das stamm noch aus vor meienr Zeit..... hab ja eh Bereitschaft.... oha.

Übermittlungsoptimierung steht auf :

Downloadmodus: Überbrückung(100)

 

Tatsächlich gibts da Unterschiede zwischen W10 und W11. W10 verwendet in dem Modus keine Übermittlungsoptimierung sondern BITS. Für W11 ist das veraltet, das verwendet statt dessen Modus 99 ...ähm...und macht da irgendwelchen Übermittlungsmodus HTTP Hokuspokus..... okay.. also da sehe ich wohl Handlungsbedarf. Übermittlungsoptimierung brauch ich überhaupt nicht. Versuch ich morgen mal zu ändern.  Immer schön ein Versuch nach dem anderen

 

Auf den ersten Blick betrifft uns das nicht, mein Problem umfasst 23H2 UND 24H2, und die Installs kamen alle über WSUS und nicht vom Stick... aber merkwürdig find ich solche Zufälle schon. 

https://winfuture.de/news,147763.html

 

Danke für weihnachtliche Unterstützung...

[NorbertFe 2.074]

vor 4 Minuten schrieb Poe:

also da sehe ich wohl Handlungsbedarf.

Naja, das ist ja nicht soviel. 100 funktioniert normalerweise trotzdem.

[Poe 4]

Nach Microsoft sollte unter W11  Modus 0 statt Modus 100 verwendet werden um die Übermittlungsoptimierung zu deaktivieren.

Weiß nicht warum das bei uns nicht sowieso eingestellt war.

 

Löst vermutlich nicht das Hauptproblem, aber nehm ich gerne als flankierenden Effekt mit

[NorbertFe 2.074]

vor 1 Stunde schrieb Poe:

Nach Microsoft sollte unter W11  Modus 0 statt Modus 100 verwendet werden um die Übermittlungsoptimierung zu deaktivieren.

War’s nicht 99?

[Sunny61 809]

Häng dich nicht an solchen Kleinigkeiten auf, die Vererbung der GPOs von oben deaktivieren und ein GPO für den WSUS mit ein paar einfachen Einstellungen erstellen. Falls das funktioniert, Schritt für Schritt weiter. Das ist nicht schwer und dauert nur ein paar Stunden.

[Poe 4]

Mach ich, aber das ist ein Fall für ARBEITSZEIT, und nicht für Feiertags :-). Muss also bis übermorgen warten es sei denn ich kann nicht schlafen deswegen

[Sunny61 809]

vor 16 Stunden schrieb Poe:

da wüßte ich spontan nicht wie ich das fix hinpopel. Zumindest sind aber wenigstens alle Richtlinien welche das Updateverhalten steuern nicht global.

Ist egal ob Global oder nicht, OU erstellen, Vererbung deaktivieren und einfach anfangen. Hier siehst Du wie die Deaktivierung der Vererbung funktioniert. https://www.windowspro.de/wolfgang-sommergut/gpos-anwenden-vererbung-deaktivieren-erzwungen-verknuepfung-aktiviert

Das hier könnte auch hilfreich sein: https://www.gruppenrichtlinien.de/artikel/vererbung-und-hierarchien

[Poe 4]

vor 19 Stunden schrieb NorbertFe:

War’s nicht 99?

 

Hm. Irgendwie ja und nein.

Ich verstehs nicht. Ich soll 0 verwenden wenn er nicht von anderen Clients laden soll. Ich soll 99 verwenden wen die Geräte kein Internetzugang haben. 

Okay... also die Geräte haben kein Internetzugang und sollen nicht von anderen Clients laden. (sondern nur vom WSUS)  Nehm ich da dann die 990 oder was :-))))))

 

Auf keinen Fall soll ich die 100 nehmen, was genau das ist was noch eingestellt ist.

 

bearbeitet 26. Dezember 2024 von Poe

[NorbertFe 2.074]

vor 9 Minuten schrieb Poe:

Ich soll 99 verwenden wen die Geräte kein Internetzugang haben

99 nimmt nur den wsus und afair nur über Bits.

[Poe 4]

Okay, das hatte ich so nicht rausgelesen, aber wenn du es sagst.

[NorbertFe 2.074]

Naja wie geschrieben bei Bits war ich mir nicht ganz sicher, aber der Rest ist so. Es wird der wsus genutzt.