14
Zieht er nun vom SUS-Server
oder weiterhin vom Windows-Update Server
Hallo, Ich habe einen SUS-Server mit folgender Config:
W2K Advanced Server, IIS 5, IE 5.5, SUS 1 mit SP.
Das Download der Updates funktioniert prima. Nun habe Ich mich an die Clients gemacht.
Hierzu habe Ich vor dem Einrichten der GP an einem Rechner das Windows Updates gestartet (NICHT installiert), um festzustellen, welche Patches noch fehlen. Aktuell war das folgendes Patch:
Microsoft .NET Framework 1.1 Service Pack 1
Anschließend habe Ich über gpedit.msc das Template WUAU hinzugefügt (direkt am Rechner) und die Richtlinien eingerichtet:
Richtlinie 1) Modus 4, 0-täglich, 15 Uhr
Richtlinie 2) Beides mal http://IP-Adresse (des SUS-Servers/ geht auch DNS-Name?)
Richtlinie 3) Aktiviert
Richtlinie 4) Aktiviert
So weit - so gut
Wenn Ich nun in den Client Status Monitor schaue, zeigt er mir verschiedene Infos für den Rechner an.
Er hat also bereits Verbindung mit dem SUS-Server aufgenommen. Aber nach 2 Tagen war das o.a. Update immer noch nicht gezogen?!?!? Wenn Ich das Windows-Update erneut starte, bietet er es mir immer noch an!
Hier meine erste Frage: Wenn Ich Windows-Update starte, "schaut" er dann auf die Windows-Webseite nach, oder schaut er auf dem SUS-Server nach? Und: wenn Ich das Download anstoße, lädt er dann vom SUS-Server (oder vom Web)?
Was auffällt: Immer wenn Ich Windows-Update gestartet hatte (um zu schauen, ob das Update mittlerweile gezogen wurde), wurde ein Eintrag in das Log-File geschrieben, welches beim Client Status Monitor angezeigt wird.
Ich habe dann irgendwann das Update angestoßen und es wurde installiert. Das hatte zur Folge, daß erneute Log-Einträge auf dem SUS-Server hinterlegt wurden, die darauf hinweisen, daß das Update erfolgreich installiert wurde. Bei gleichzeitigem laufen lassen eines Netmeters auf dem SUS-Server habe Ich gesehen, daß der SUS ein erhöhten Download hat. Was mich zur Vermutung bringt, daß das Update vom SUS-Server installiert und nicht vom Web gezogen wurden. Aber: Wie prüfe Ich das nach?
Wenn Ich auf Installationsverlauf der Windows-Download Webseite schaue, wird als Quelle Website angezeigt (und nicht mein SUS-Server).
Und: Wenn dem so ist, wieso mußte Ich den Download manuell anstoßen? Ist es etwa so, daß nur sicherheitrelevante Updates automatisch gezogen werden? Das Microsoft .NET Framework 1.1 Service Pack 1 ist ja nun eher optional zu betrachten.
Ich habe mal verschiede Logeinträge des Rechners beigefügt. Vielleich kann mir jemand eine Erklärung dazu geben (oder mir sagen, wo Ich eine finde).
Noch ein Hinweis für die Leute, bei denen die Gifs im Client Status Monitor nicht funktionieren:
Kopiert doch mal die Gifs aus dem Ordner Images (der heruntergeldenen Zip-Datei) in den Ordner c:\Inetpub\wwwroot\images. In meiner Version verweist der Pfad nämlich dorthin.
So, vorerst mal vorab Vielen Dank für Ideen
Salvatore
W2K Advanced Server, IIS 5, IE 5.5, SUS 1 mit SP.
Das Download der Updates funktioniert prima. Nun habe Ich mich an die Clients gemacht.
Hierzu habe Ich vor dem Einrichten der GP an einem Rechner das Windows Updates gestartet (NICHT installiert), um festzustellen, welche Patches noch fehlen. Aktuell war das folgendes Patch:
Microsoft .NET Framework 1.1 Service Pack 1
Anschließend habe Ich über gpedit.msc das Template WUAU hinzugefügt (direkt am Rechner) und die Richtlinien eingerichtet:
Richtlinie 1) Modus 4, 0-täglich, 15 Uhr
Richtlinie 2) Beides mal http://IP-Adresse (des SUS-Servers/ geht auch DNS-Name?)
Richtlinie 3) Aktiviert
Richtlinie 4) Aktiviert
So weit - so gut
Wenn Ich nun in den Client Status Monitor schaue, zeigt er mir verschiedene Infos für den Rechner an.
Er hat also bereits Verbindung mit dem SUS-Server aufgenommen. Aber nach 2 Tagen war das o.a. Update immer noch nicht gezogen?!?!? Wenn Ich das Windows-Update erneut starte, bietet er es mir immer noch an!
Hier meine erste Frage: Wenn Ich Windows-Update starte, "schaut" er dann auf die Windows-Webseite nach, oder schaut er auf dem SUS-Server nach? Und: wenn Ich das Download anstoße, lädt er dann vom SUS-Server (oder vom Web)?
Was auffällt: Immer wenn Ich Windows-Update gestartet hatte (um zu schauen, ob das Update mittlerweile gezogen wurde), wurde ein Eintrag in das Log-File geschrieben, welches beim Client Status Monitor angezeigt wird.
Ich habe dann irgendwann das Update angestoßen und es wurde installiert. Das hatte zur Folge, daß erneute Log-Einträge auf dem SUS-Server hinterlegt wurden, die darauf hinweisen, daß das Update erfolgreich installiert wurde. Bei gleichzeitigem laufen lassen eines Netmeters auf dem SUS-Server habe Ich gesehen, daß der SUS ein erhöhten Download hat. Was mich zur Vermutung bringt, daß das Update vom SUS-Server installiert und nicht vom Web gezogen wurden. Aber: Wie prüfe Ich das nach?
Wenn Ich auf Installationsverlauf der Windows-Download Webseite schaue, wird als Quelle Website angezeigt (und nicht mein SUS-Server).
Und: Wenn dem so ist, wieso mußte Ich den Download manuell anstoßen? Ist es etwa so, daß nur sicherheitrelevante Updates automatisch gezogen werden? Das Microsoft .NET Framework 1.1 Service Pack 1 ist ja nun eher optional zu betrachten.
Ich habe mal verschiede Logeinträge des Rechners beigefügt. Vielleich kann mir jemand eine Erklärung dazu geben (oder mir sagen, wo Ich eine finde).
Noch ein Hinweis für die Leute, bei denen die Gifs im Client Status Monitor nicht funktionieren:
Kopiert doch mal die Gifs aus dem Ordner Images (der heruntergeldenen Zip-Datei) in den Ordner c:\Inetpub\wwwroot\images. In meiner Version verweist der Pfad nämlich dorthin.
So, vorerst mal vorab Vielen Dank für Ideen
Salvatore
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2533
Url: https://administrator.de/contentid/2533
Printed on: April 19, 2024 at 18:04 o'clock
14 Comments
Latest comment
Hi,
also ich hab bei den GP folgende Einstellungen und geht eigentlich einwandfrei:
Richtlinie 1: indentisch mit deinen (bis auf Installzeit)
Richtlinie 2: da hab ich 2x den DNS Namen eingetragen: http://Servername
Richtlinie 3: aktiviert 10 min.
Richtlinie 4: Deaktiviert
Wichtig ist noch (hab ich anfangs bei mir übersehen) dass bei den Eigenschaften der Richtlinie nicht die "Konfigurationseinstellungen des Computers deaktivieren" aktiviert ist. (pah was für ein Satz; also Häckchen raus)
Bei den SUS Einstellungen hab ich unter:
"Specify the name your clients use to locate this update server:"
Nur den Servernamen: Server
Außerdem hab ich den Zugriff der User auf die Windows Updates per GP deaktiviert.
Zum Testen kannst du ja die Installzeit runtersetzen und mit secedit die GP in der Domäne updaten.
Gruß Micholos
also ich hab bei den GP folgende Einstellungen und geht eigentlich einwandfrei:
Richtlinie 1: indentisch mit deinen (bis auf Installzeit)
Richtlinie 2: da hab ich 2x den DNS Namen eingetragen: http://Servername
Richtlinie 3: aktiviert 10 min.
Richtlinie 4: Deaktiviert
Wichtig ist noch (hab ich anfangs bei mir übersehen) dass bei den Eigenschaften der Richtlinie nicht die "Konfigurationseinstellungen des Computers deaktivieren" aktiviert ist. (pah was für ein Satz; also Häckchen raus)
Bei den SUS Einstellungen hab ich unter:
"Specify the name your clients use to locate this update server:"
Nur den Servernamen: Server
Außerdem hab ich den Zugriff der User auf die Windows Updates per GP deaktiviert.
Zum Testen kannst du ja die Installzeit runtersetzen und mit secedit die GP in der Domäne updaten.
Gruß Micholos
Hallo Micholos,
wo finde Ich den die Richtlinie "Konfigurationseinstellungen des Computers deaktivieren" genau? (Ich habe die GP direkt am PC eingestellt. Später möchte Ich es in der AD für alle meine PC machen). Ist diese Einstellung evtl. am lokalen PC nicht vorhanden? Habe Sie jedenfalls nicht gefunden (Suchfunktion gibt es ja leider nicht).
...Zum Testen kannst du ja die Installzeit runtersetzen und mit secedit die GP in der Domäne updaten...Was heißt hier:"...mit secedit die GP in der Domäne updaten"? Muß Ich das überhaupt, wenn Ich das momentan nur am lokalen PC eingestellt habe?
Danke dir
Salva
wo finde Ich den die Richtlinie "Konfigurationseinstellungen des Computers deaktivieren" genau? (Ich habe die GP direkt am PC eingestellt. Später möchte Ich es in der AD für alle meine PC machen). Ist diese Einstellung evtl. am lokalen PC nicht vorhanden? Habe Sie jedenfalls nicht gefunden (Suchfunktion gibt es ja leider nicht).
...Zum Testen kannst du ja die Installzeit runtersetzen und mit secedit die GP in der Domäne updaten...Was heißt hier:"...mit secedit die GP in der Domäne updaten"? Muß Ich das überhaupt, wenn Ich das momentan nur am lokalen PC eingestellt habe?
Danke dir
Salva
Hallo Salvatore,
sorry hab da wohl was mißverstanden.
In dem Fall gibt´s die Einstellungen nicht, sondern nur wenn du´s übers AD machst.
Hab´s leider auf diese Art noch nie probiert.
Meld mich nochmal wenn mir was einfällt
sorry hab da wohl was mißverstanden.
In dem Fall gibt´s die Einstellungen nicht, sondern nur wenn du´s übers AD machst.
Hab´s leider auf diese Art noch nie probiert.
Meld mich nochmal wenn mir was einfällt
... so ganz verstehe ich Deine Vorgehensweise mit dem lokalen PC nicht, warum machst Du es nicht gleich richtig und erstellst im AD die Organisationseinheit für die Gruppenrichtlinie so, wie es in der Anleitung beschrieben ist? Du brauchst ja am Ende nur den Test-PC in die OU aufzunehmen und kannst später die PC's einzeln dahin überführen.
Gruß
Atti.
Gruß
Atti.
Hallo Atti,
weil die OU für unseren Bereich noch erstellt werden muß. Z. Zt. sind alle PC in Deutschland aus unserer Firma in einer OU. Da man die GP nur pro OU machen kann, würde Ich die Rechner von anderen Standorten dazu zwingen, sich von unserem SUS upzudaten. Das wollen wir aber nicht. Also muß zuerst ein OU erstellt werden, die Ich administrieren kann und dann die PC die uns betreffen dorthin verschieben. Aber das geht erst ab übernächster Woche. Ich wollte halt die Sache vorher testen. Und normalerweise sollte es auch per lokale GP gehen. (Aber anscheinend doch nicht....)
Grüße
Salva
weil die OU für unseren Bereich noch erstellt werden muß. Z. Zt. sind alle PC in Deutschland aus unserer Firma in einer OU. Da man die GP nur pro OU machen kann, würde Ich die Rechner von anderen Standorten dazu zwingen, sich von unserem SUS upzudaten. Das wollen wir aber nicht. Also muß zuerst ein OU erstellt werden, die Ich administrieren kann und dann die PC die uns betreffen dorthin verschieben. Aber das geht erst ab übernächster Woche. Ich wollte halt die Sache vorher testen. Und normalerweise sollte es auch per lokale GP gehen. (Aber anscheinend doch nicht....)
Grüße
Salva
Das ist nicht richtig, Du kannst diese OU erstellen, die GP zuweisen und einen PC in die OU verschieben, der dann vom SUS seine Updates erhält. Alle anderen Computer bleiben davon unberührt und werden nicht von SUS verwaltet ....
... noch eine ganz dumme Frage: zugewiesen hast Du das .NET Framework Paket, oder?
Hallo Atti:
<Zitat>Das ist nicht richtig, Du kannst diese OU erstellen, die GP zuweisen und einen PC in die OU verschieben, der dann vom SUS seine Updates erhält. Alle anderen Computer bleiben davon unberührt und werden nicht von SUS verwaltet ....<Zitat>
Wenn du meine Antwort nochmal sorgfältig durchließt, wirst du bemerken, daß Ich es genau so vorhabe. Nur: das erstellen der OU kann Ich nicht vornehmen. Das muß von den "höheren" Admins gemacht werden. Muß alles seinen Gang gehen. Daher dauert es etwas länger.
<Zitat>... noch eine ganz dumme Frage: zugewiesen hast Du das .NET Framework Paket, oder?<Zitat>
Meinst du damit, ob Ich dieses Paket Approved habe? Habe Ich, definitiv (Approval Log).
Muß Ich vielleicht noch am SUS-Rechner etwas einstellen?
Oder Ich frage mich: Kann es evtl. sein, daß Einstellungen in der AD vorhanden sind, die verhindern, daß lokale Einstellungen zum tragen kommen?
Nur so eine Idee.
Grüße
Salva
<Zitat>Das ist nicht richtig, Du kannst diese OU erstellen, die GP zuweisen und einen PC in die OU verschieben, der dann vom SUS seine Updates erhält. Alle anderen Computer bleiben davon unberührt und werden nicht von SUS verwaltet ....<Zitat>
Wenn du meine Antwort nochmal sorgfältig durchließt, wirst du bemerken, daß Ich es genau so vorhabe. Nur: das erstellen der OU kann Ich nicht vornehmen. Das muß von den "höheren" Admins gemacht werden. Muß alles seinen Gang gehen. Daher dauert es etwas länger.
<Zitat>... noch eine ganz dumme Frage: zugewiesen hast Du das .NET Framework Paket, oder?<Zitat>
Meinst du damit, ob Ich dieses Paket Approved habe? Habe Ich, definitiv (Approval Log).
Muß Ich vielleicht noch am SUS-Rechner etwas einstellen?
Oder Ich frage mich: Kann es evtl. sein, daß Einstellungen in der AD vorhanden sind, die verhindern, daß lokale Einstellungen zum tragen kommen?
Nur so eine Idee.
Grüße
Salva
Was mir auch auffällt:
Wenn Ich an einem Rechner, bei dem Ich WUAU konfiguriert habe, das Windows-Update starte, holt er sich die Pakete von der Website NICHT vom SUS-Server.
Sollte er doch eigentlich machen. Wozu lade Ich die Pakete sonst auf den SUS.
In der SUSlog wird aber hineingeschrieben, daß er die Pakete von der Microsoft-Seite heruntergeladen hat.
Was auch komisch ist: Vor der konfiguration des WUAU-Templates, stand in der Windows Update.log des Rechners:
2004-09-15 08:54:40 06:54:40 Success IUENGINE Querying software update catalog from https://v4.windowsupdate.microsoft.com/getmanifest.asp
danach
2004-09-15 13:41:42 11:41:42 Success IUENGINE Querying software update catalog from http://10.29.168.12/autoupdate/getmanifest.asp
Was für mich darauf hindeutet, daß er jetzt auf dem SUS nachschaut (10.29.168.12). Warum lädt er dann nicht von dort?
Seltsam...
Salva
Wenn Ich an einem Rechner, bei dem Ich WUAU konfiguriert habe, das Windows-Update starte, holt er sich die Pakete von der Website NICHT vom SUS-Server.
Sollte er doch eigentlich machen. Wozu lade Ich die Pakete sonst auf den SUS.
In der SUSlog wird aber hineingeschrieben, daß er die Pakete von der Microsoft-Seite heruntergeladen hat.
Was auch komisch ist: Vor der konfiguration des WUAU-Templates, stand in der Windows Update.log des Rechners:
2004-09-15 08:54:40 06:54:40 Success IUENGINE Querying software update catalog from https://v4.windowsupdate.microsoft.com/getmanifest.asp
danach
2004-09-15 13:41:42 11:41:42 Success IUENGINE Querying software update catalog from http://10.29.168.12/autoupdate/getmanifest.asp
Was für mich darauf hindeutet, daß er jetzt auf dem SUS nachschaut (10.29.168.12). Warum lädt er dann nicht von dort?
Seltsam...
Salva
Hallo
Wir haben ein Problem mit SUS.
Und da es ja bei dir läuft habe ich mir gedacht, du könntest uns helfen.
1. Kannst du mir bitte sagen, wie du den server bei IIS angibst.
(bei uns: http://IP-Adresse:80)
2. Wo finde ich die Log-file?
3. Braucht der Client schreibrecht auf dem SUS-Server?
4. Hast du eine Epo-Konsole auf dem Server laufen?
5. Wie öffnest du die SUS Konsole
(bei uns: http://IP-Adresse:82)
Vielen Dank
Romika GmbH
Wir haben ein Problem mit SUS.
Und da es ja bei dir läuft habe ich mir gedacht, du könntest uns helfen.
1. Kannst du mir bitte sagen, wie du den server bei IIS angibst.
(bei uns: http://IP-Adresse:80)
2. Wo finde ich die Log-file?
3. Braucht der Client schreibrecht auf dem SUS-Server?
4. Hast du eine Epo-Konsole auf dem Server laufen?
5. Wie öffnest du die SUS Konsole
(bei uns: http://IP-Adresse:82)
Vielen Dank
Romika GmbH
Hi,
1. Kannst du mir bitte sagen, wie du den server bei IIS angibst.
(bei uns: http://IP-Adresse:80)
Du meinst, wie Ich den Server im Template WUAU eintrage?
http://NetBIOS-Name (ohne :80)
Diese Frage hatte Ich mir auch gestellt. Du kannst auch die IP-Adresse eintragen
(außer du hast DHCP, dann mußt du den NetBIOS-Namen verwenden)
2. Wo finde ich die Log-file?
Die Logfiles auf dem SUSServer findest du unter c:\Windows\System32\Logfiles\W3SVC1
3. Braucht der Client schreibrecht auf dem SUS-Server?
Nicht das Ich wüßte.
4. Hast du eine Epo-Konsole auf dem Server laufen?
Nein (was ist das?)
5. Wie öffnest du die SUS Konsole
(bei uns: http://IP-Adresse:82)
Du mußt als Admin angemeldet sein. Dann in IE http://NetBIOS-Name vom SUS/Susadmin.
Geht von jedem Rechner aus.
Grüße
Salva
1. Kannst du mir bitte sagen, wie du den server bei IIS angibst.
(bei uns: http://IP-Adresse:80)
Du meinst, wie Ich den Server im Template WUAU eintrage?
http://NetBIOS-Name (ohne :80)
Diese Frage hatte Ich mir auch gestellt. Du kannst auch die IP-Adresse eintragen
(außer du hast DHCP, dann mußt du den NetBIOS-Namen verwenden)
2. Wo finde ich die Log-file?
Die Logfiles auf dem SUSServer findest du unter c:\Windows\System32\Logfiles\W3SVC1
3. Braucht der Client schreibrecht auf dem SUS-Server?
Nicht das Ich wüßte.
4. Hast du eine Epo-Konsole auf dem Server laufen?
Nein (was ist das?)
5. Wie öffnest du die SUS Konsole
(bei uns: http://IP-Adresse:82)
Du mußt als Admin angemeldet sein. Dann in IE http://NetBIOS-Name vom SUS/Susadmin.
Geht von jedem Rechner aus.
Grüße
Salva
Uuups hatte Ich vergessen.
Ich benutze den Client Status Monitor als Erweiterung.
Damit kann man bequem sehen, welcher Client sich Updates gezogen hat.
Wenn es bei dir mal läuft, kann Ich dir gerne mehr über dieses Tool schreiben.
Grüße
Salva
Ich benutze den Client Status Monitor als Erweiterung.
Damit kann man bequem sehen, welcher Client sich Updates gezogen hat.
Wenn es bei dir mal läuft, kann Ich dir gerne mehr über dieses Tool schreiben.
Grüße
Salva
@salva:
mir könntest du aber mal bitte mehr über dieses Tool erzählen
Danke!
mir könntest du aber mal bitte mehr über dieses Tool erzählen
Danke!
Hi Flashy,
Schau mal unter www.susserver.de oder www.susserver.com, dort unter Tools.
Es handelt sich um das SUS_App.
Das ist eine Erweiterung, mit dem du sehen kannst, wer Updates gezogen hat. Ist dann einfach ein zusätzlicher Menüpunkt in deiner SUSAdmin-Ansicht.
Es ist eine Beschreibung dabei, aber wenn du Probleme hast, ruhig melden.
PS:
Falls das SUS_App dort nicht mehr liegt, schicke Ich es dir gerne per Mail.
Grüße
Salva
Schau mal unter www.susserver.de oder www.susserver.com, dort unter Tools.
Es handelt sich um das SUS_App.
Das ist eine Erweiterung, mit dem du sehen kannst, wer Updates gezogen hat. Ist dann einfach ein zusätzlicher Menüpunkt in deiner SUSAdmin-Ansicht.
Es ist eine Beschreibung dabei, aber wenn du Probleme hast, ruhig melden.
PS:
Falls das SUS_App dort nicht mehr liegt, schicke Ich es dir gerne per Mail.
Grüße
Salva
