Windows Server 2016 wird nicht über WSUS aktualisiert

10

Wir haben einen WSUS-Server unter Windows Server 2016. WSUS erkennt und sendet Updates an alle Systeme, einschließlich der 2012-Server. WSUS erkennt, sendet jedoch keine Updates an einen der 2016-Server.

Es werden 0 erforderliche Updates angezeigt. Alle Updates zeigen "installiert oder nicht zutreffend" an. Hierbei handelt es sich um neue Serverinstallationen, die direkt von einem im November letzten Jahres erstellten Disk-Image installiert wurden.

Wenn ich einen Bericht auf einem der Server ausführe und den Produktfilter auf "Windows Server 2016" setze, werden 31 Updates installiert oder sind nicht anwendbar.

Alle 31 Updates werden auf die Genehmigung "Installieren" gesetzt. Der Status für alle lautet "Nicht zutreffend". Dies sind alle kritischen Updates und Sicherheitsupdates.

Ich habe die installierten Updates auf einem der betreffenden Server manuell durchgesehen und überprüft, dass diese "Nicht zutreffenden" Updates nicht installiert sind.

Alle diese Server sind Neuinstallationen und befinden sich in einer Organisationseinheit, die verhindert, dass sie sich nach einer Update-Installation neu starten. Ich bin der einzige, der sie manuell neu startet. Seit ihrer Installation haben sie 0 Updates erhalten. Es fällt mir schwer zu glauben, dass es 0 anwendbare Updates für eine Neuinstallation von Windows Server 2016 gibt.

Ich habe sichergestellt, dass BITS und die Windows Update-Dienste ausgeführt werden. Ich habe wuauclt / reportnow und wuauclt / detectnow ausgeführt. Es scheint nichts zu tun. Ich habe den Bereinigungsassistenten ausgeführt, um alle ersetzten Updates abzulehnen und zu entfernen. Ich habe überprüft, ob sich die Computer in AD und in WSUS in den richtigen Gruppen befinden. Ich habe in der Registrierung auf den betroffenen Computern überprüft, dass sie auf den WSUS-Server verweisen, und dieser kann gepingt werden. Der Client kann vom WSUS-Server aus gepingt werden. Es gibt keine Firewall oder Portblocker oder ähnliches. Ich habe eine komplett neue Serverinstallation für 2016 erstellt, auf der absolut nichts installiert ist. Keine Rollen, keine Firewalls, kein Virenscanner, kein Nichts, nur ein leerer Server und versucht, eine Verbindung zu erzwingen. WSUS erkennt, dass der Server vorhanden ist, aber das ist es auch.

Jedes andere Betriebssystem funktioniert einwandfrei. Nur die 2016-Server haben dieses Problem. Es ist definitiv ein WSUS-Serverproblem. Wenn ich in die Registrierung gehe und sie wieder auf den Microsoft-Server ändere, werden Updates gefunden.

Hat jemand eine Idee, was das Problem verursachen könnte und wie es behoben werden kann?

Vielen Dank.

EDIT - UPDATE: Immer noch Probleme. Versucht, einen 2. 2016 WSUS-Server zu installieren, das gleiche Problem, nur mit den 2016-Servern.

Ich habe sogar versucht, den Server 2019 zu installieren (obwohl ich glaube, dass es keine Unterschiede gibt ...). Kein Unterschied.

Ich habe sogar Gruppenrichtlinien ausgeschlossen. Ich habe einen 2016er Testserver ganz alleine in eine Organisationseinheit mit blockierter Vererbung gestellt. Das einzige Gruppenrichtlinienobjekt, das ich verknüpft habe, war die WSUS-Servereinstellung, die auf den Server 2019 zeigte. Die Maschine erhält keine andere Richtlinie. Auf dem Test 2016-Server ist nicht einmal ein Virenscanner oder eine Firewall konfiguriert. Sie befinden sich sogar im selben Segment.

Wir konvertieren von 2012 bis 2016 immer mehr unserer Server, was bedeutet, dass dies immer mehr ein Problem darstellt, da KEINER von ihnen Updates von WSUS erhält ... So viel ich nicht will, werde ich haben Microsoft anrufen ...

windows wsus windows-server-2016 Redwizard000
quelle
1.WSUS pusht keine Updates. WSUS ist ein lokales Windows Updates-Repository. Windows-Clients "ziehen" Updates von WSUS. 2.Führen Sie Windows-Updates manuell auf dem betreffenden Server aus und wählen Sie die Option zum Herstellen einer Online-Verbindung zu Windows-Updates aus, die WSUS umgeht. Überprüfen Sie dann, ob entsprechende Updates verfügbar sind. Wenn ja, schauen Sie sie sich an und verwenden Sie sie, um festzustellen, warum der Server sie in WSUS nicht findet. Möglicherweise sind Updates verfügbar, aber Sie haben nicht die entsprechenden Produkte oder Update-Klassifizierungen in WSUS ausgewählt.
Joeqwerty
Das habe ich versucht. Hier ist ein Beispiel. KB4022715 wird über den internetbasierten Dienst von Microsoft installiert. Ich habe den WSUS-Server meines Unternehmens überprüft, KB4022715 ist verfügbar und die Genehmigung ist auf "Installieren" gesetzt. KB4022715 ist für Windows 2016 und Windows 10 verfügbar. Die Windows 10-Boxen erhalten es, aber die Windows 2016-Boxen sagen "Nicht zutreffend". Beide Versionen des Updates befinden sich auf dem WSUS-Server.
Redwizard000
1
Titel: 2017-06 Kumulatives Update für Windows Server 2016 für x64-basierte Systeme (KB4022715) Klassifizierung: Sicherheitsupdate Genehmigung: Installationsstatus: Nicht zutreffend. Dies steht im WSUS-Serverbericht für einen der betreffenden Computer. Wenn ich den Computer anweise, Microsoft anstelle des WSUS-Servers zu überprüfen, wird er von Microsoft heruntergeladen.
Redwizard000

Antworten:

7

Ok, nachdem wir 3 Wochen mit dem technischen Support von Microsoft verbracht haben, haben wir das Problem gelöst.

Das Problem besteht darin, dass Dual Scan versucht, eine Verbindung zu Windows Update (online) herzustellen, und dies fehlschlägt. Wenn dies fehlschlägt, hört das System einfach auf zu versuchen und weigert sich, eine Verbindung zu WSUS herzustellen.

Das zusätzliche Problem ist, dass auf dem Serverinstallationsmedium ein Fehler vorliegt, der verhindert, dass sich der Dual Scan ändert. Es ignoriert nur die Richtlinie und behält die Standard-Update-Quelle Windows Update bei.

Folgendes müssen Sie tun, um das Problem zu beheben: Führen Sie die folgenden Befehle in Powershell auf dem fehlerhaften Server aus

$MUSM = New-Object -ComObject "Microsoft.Update.ServiceManager"
$MUSM.Services | select Name, IsDefaultAUService

Sie erhalten so etwas zurück:

Windows Update Standalone Installer - False   
Windows Server Update Service - False   
Windows Update - True

Wenn dort "Windows Update - True" steht, ist dies Ihre Standardquelle, unabhängig davon, was in Ihrem Gruppenrichtlinienobjekt steht ...

Als erstes müssen Sie sicherstellen, dass die folgenden Patches auf Ihrem Server installiert sind.

kb4103720 und kb4462928

Du brauchst sie beide. Sie sind beide riesig, die Installation dauert ewig und einen Tag und beide erfordern einen Neustart des Servers.

Diese KBs beheben das Dual-Scan-Problem, sodass der Server auf das Gruppenrichtlinienobjekt antwortet und ihm mitteilt, welche Standardquelle verwendet werden soll.

Jetzt müssen Sie die Gruppenrichtlinie so konfigurieren, dass der Server nur den WSUS-Server verwendet. Laut Microsoft sind dies die erforderlichen Einstellungen (bei einigen bin ich zweifelhaft, aber ich habe nicht jede getestet ... Ich bin nur froh, dass die Sache endlich funktioniert).

Computerkonfiguration> Richtlinien> Administrative Vorlagen> System> Geräteinstallation

Geben Sie den Suchserver für die Speicherorte der Gerätetreiber an 

Set to "Enabled"  
Select search order: "Do not search Windows Update"

Geben Sie den Suchserver für Gerätetreiberaktualisierungen an 

Set to "Enabled"  
Select Update Server: "Search Managed Server"

Computerkonfiguration> Richtlinien> Administrative Vorlagen> System> Internetkommunikationsverwaltung> Internetkommunikationseinstellungen

Deaktivieren Sie den Zugriff auf alle Windows Update-Funktionen (In Microsoftspeak bedeutet dies, dass der Online-Server nicht "make, damit keine Updates abgerufen werden können"). 

Set to "Enabled"

Deaktivieren Sie den Zugriff auf den Store 

Set to "Enabled"

Computerkonfiguration> Richtlinien> Administrative Vorlagen> Windows-Komponenten> Windows Update

Lassen Sie nicht zu, dass Richtlinien zum Aufschieben von Updates Scans für Windows Update verursachen 

Set to "Enabled"

Kein automatischer Neustart mit angemeldeten Benutzern für geplante automatische Update-Installationen 

Set to "Enabled"

Geben Sie den Speicherort des Microsoft-Aktualisierungsdienstes im Intranet an 

Set to "Enabled"  
Set the intranet update service for detecting updates: "http://[YOUR SERVER]:8530"  
Set the intranet statistics server:"http://[YOUR SERVER]:8530"  
Set the alternate download server: "http://[YOUR SERVER]:8530"  
Uncheck the box Download files with no Url in the metadata if alternate download server is set

Verschieben Sie Ihre Server in eine Organisationseinheit mit aktiviertem Gruppenrichtlinienobjekt. Ich habe eine separate Organisationseinheit in meiner Server-Organisationseinheit nur für den Server 2016 erstellt und dieses Gruppenrichtlinienobjekt damit verknüpft.

Führen Sie die obigen Powershell-Befehle erneut aus.

Es sollte jetzt sagen 

 Name                                   IsDefaultAUService    
-------                                 --------------------------  
Windows Server Update Service              True  
Windows Update                             False

Wenn Sie "Windows Server Update Service" True erhalten, sollte es funktionieren!

Ich hoffe das hilft jemand anderem. Dies war sicherlich ein frustrierendes Problem ...

Ich akzeptiere Spenden in nicht gekennzeichneten Scheinen, Goldbarren und Scotch.

Redwizard000
quelle
1
Woohoo! Ich bin froh, dass du es gelöst hast @ Redwizard000 :-)
Anon
Ich auch Kumpel, ich auch :)
Redwizard000
4

Wenn Sie das Web scannen, werden Sie sehen, dass alle Dinge, die @ Redwizard000 versucht hat, vorgeschlagen wurden. Es ist also klar, dass @ Redwizard000 wirklich versucht hat, dieses Problem zu lösen (siehe https://serverfault.com/a/940236/203726, wie @ Redwizard000 schließlich gelöst wurde die Angelegenheit). Lesen Sie weiter für meine Erfahrung:

In meinem Fall lief der WSUS-Server unter Windows Server 2012 R2, hatte alle Patches, hatte das VB-Bereinigungsskript ausgeführt, das Sie im Umlauf sehen, hatte den Bereinigungsprozess durchlaufen (der Stunden dauerte), konnte aber Updates für Windows 10-Computer bereitstellen Neue Windows Server 2016-Clientcomputer konnten keine Updates von WSUS abrufen und gaben 0x8024401c-Fehlermeldungen aus. Das einzige, was geholfen hat, war auf dem WSUS-Server: Erhöhen / Entfernen einiger Ressourcenlimits für den IIS-Anwendungspool (z. B. Warteschlangenlänge, Grenzwertintervall, Limit für privaten Speicher, aber es gibt andere) für den WSUS-Anwendungspool, wie in https: // beschrieben serverfault.com/a/835941 undhttps://blogs.msdn.microsoft.com/the_secure_infrastructure_guy/2015/09/02/windows-server-2012-r2-wsus-issue-clients-cause-the-wsus-app-pool-to-become-unresponsive- with-http-503 / und dann IIS neu starten. Es scheint, dass das Suchen nach Updates etwa 2 GB Speicher vom IIS-Server benötigte und ungefähr 8 Minuten dauerte. Danach verschwand die Fehlermeldung aber ...

..die Windows Server 2016-Clientcomputer würden beim Herunterladen von 0% der Updates auf unbestimmte Zeit hängen bleiben. Um dies zu überwinden, musste ich ein aktuelles kumulatives Update (auf den Windows Server 2016-Clientcomputern) manuell von http://www.catalog.update.microsoft.com/home.aspx herunterladen (oder vorübergehend die Windows-Update-Server von Microsoft zum Abrufen verwenden ein kumulatives Update) und installieren Sie dieses, bevor Sie die Einstellungen für die Verwendung von WSUS ändern.

Update : Es gibt einen MS-Support-Artikel mit dem Titel " Windows Update steckt unter Windows 10 oder Windows Server 2016 bei 0 Prozent fest ", in dem erläutert wird, wie Sie den Windows Update-Agenten auf Windows 10/2016 /2019-Clientcomputern nach der RTM-Version (10.0) aktualisieren müssen .14393.0), bevor Sie WSUS verwenden können. Dies klingt wie das, was im vorherigen Absatz effektiv getan wurde.

Anon
quelle
Ja, wir haben auch das IIS-Ding ausprobiert ... kein Glück dort. Derzeit scheint es keine gute Lösung für dieses Problem zu geben. Ich habe festgestellt, dass ein paar Patches bis in die 2016er Jahre heruntergekommen sind, aber es gibt immer noch viele fehlende Patches, die genehmigt wurden, aber "nicht anwendbar" sind, obwohl sie direkt von MS D \ L können. Dies sieht aus wie ein Fehler, den Microsoft beheben muss.
Redwizard000
@ Redwizard000 Es tut mir leid das zu hören. Ich kann nur hoffen, dass Sie dieses bei Microsoft einreichen und sehen können, ob Sie es zu einem Abschluss bringen können (vielleicht wenden Sie sich an die Leute, die den WSUS-Blog betreiben?). Die einzigen Hinweise, die ich fand, waren im Ereignisprotokoll des WSUS-Computers und der Clients, die versuchten, eine Verbindung zu WSUS herzustellen.
Anon
3

Ich hatte so ein Problem, 2016 würde den Fehler 0x8024401crauswerfen : und in WSUS würde sich zeigen 0% updated (not reported yet).

Um dies zu beheben, habe ich die Werte des WSUS-Anwendungspools in IIS (Erweiterte Einstellungen) und auf allen 2016-Servern geändert.

Queue Length: 25000 from 1000
Limit Interval (minutes): 15 from 5
"Service Unavailable" Response: TcpLevel from HttpLevel

Gehen Sie dann zu https://community.spiceworks.com/scripts/show/2998-adamj-clean-wsus und kopieren Sie den Code wie angewiesen.

  1. Nennen Sie es Clean-WSUS.ps1
  2. Installieren Sie die erforderliche Software
  3. Lauf .\Clean-WSUS.ps1 -FirstRun
  4. Schließlich, .\Clean-WSUS.ps1 -DirtyDatabaseCheck

Dieser Typ hat definitiv eine Spende verdient!

Vacheslav
quelle
Credits zu social.technet.microsoft.com/Forums/systemcenter/en-US/…
Vacheslav
Das Problem ist, dass meine 2016er Server keine Fehler auslösen. Es wird in WSUS angezeigt und zeigt 0 benötigte Updates, 0 fehlgeschlagene Updates und 100 etwas, das nicht benötigt wird oder nicht anwendbar ist. Und ich habe trotzdem versucht, mit den IIS-Einstellungen herumzuspielen, und sie haben mir nicht geholfen. Außerdem können Windows 10-Workstations problemlos eine Verbindung herstellen und Updates herunterladen.
Redwizard000
0

Gleiches Problem, gleiches Szenario. Deaktivieren Sie "Upgrades" in den Klassifizierungen für die Konfigurationspunktkonfigurationen Ihrer Site Server-Software.

Ein anderer Vorschlag war, die Kommandozeile zu machen

"c: \ Programme \ Update Services \ Tools \" "wsusutil.exe nach der Installation / Wartung"

Aber ich habe diesen Prozess noch nicht durchlaufen, da ich auf weitere Erklärungen von MS warte.

Kevin
quelle
Willkommen bei ServerFault! Es ist eine schlechte Idee, eine Antwort zu veröffentlichen, die jemand anderem sagt, dass er eine nicht getestete Option ausführen soll, auf die Sie nicht ohne weitere Informationen verzichten möchten. Antworten sollen im Beitrag erklärt werden, nicht ohne Verständnis dafür, was sie tun.
Cory Knutson
0

Ich hatte das gleiche Problem. So habe ich es behoben.

  1. Aktivieren Sie in der Richtlinie (unabhängig davon, ob es sich um eine Gruppenrichtlinie oder eine lokale Richtlinie handelt) die Richtlinie "Keine Verbindung zu Windows Update-Speicherorten herstellen". Dadurch wird verhindert, dass der Server Microsoft / Windows Update kontaktiert.
  2. In der Richtlinie wurde unter "Microsoft Update-Speicherort angeben" ein alternativer Update-Server hinzugefügt. Dies war derselbe Server wie der Berichts- und Update-Server.
  3. Deaktivieren Sie in Windows Update - Erweiterte Optionen - das Kontrollkästchen "Feature-Updates verschieben".

Danach konnte ich den Server vollständig über WSUS patchen. Dies wurde auf zwei Servern in zwei verschiedenen Umgebungen bestätigt. Es scheint, dass die wichtigste Änderung darin besteht, die Option zum Aktualisieren von Updates zu deaktivieren, aber die anderen können auch Update-Probleme verursachen, basierend auf dem, was ich im Internet gelesen habe.

Allen Howard
quelle
Ich habe es gerade versucht. Der einzige Richtlinienunterschied, den ich hatte, war die verzögerten Aktualisierungen "Aktiviert". Ich habe es ausgeschaltet, die Richtlinie neu geladen und es erneut versucht. Es wird weiterhin gemeldet, dass der Server auf dem neuesten Stand ist. WSUS hat protokolliert, dass der Server mit ihm gesprochen und einen Statusbericht erstellt hat, aber das war es auch schon. Ging in die Registrierung und änderte die Einstellung, damit der Server Updates von Microsoft erhalten und Updates finden konnte. Verifiziert, dass Updates in WSUS "genehmigt" sind.
Redwizard000
Können Sie überprüfen, ob in den Windows Update-Einstellungen selbst das Kontrollkästchen für die verzögerten Updates ebenfalls deaktiviert ist? In meinem Fall wurde die Richtlinie nicht festgelegt, aber das Feld wurde ausgewählt, und eines davon wird anscheinend ein Problem verursachen.
Allen Howard
Es ist deaktiviert und ausgegraut.
Redwizard000
Okay, wenn es ausgegraut ist, scheint es immer noch von der Politik verwaltet zu werden. Haben Sie die Richtlinie deaktiviert oder auf "Nicht konfiguriert" gesetzt? Es sollte so eingestellt sein, dass es nicht konfiguriert ist, damit es ordnungsgemäß funktioniert.
Allen Howard
0

Wenn Sie dieses Setup in der Gruppenrichtlinie haben, würde ich vorschlagen, den Registrierungsschlüssel zu überprüfen [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]. Erstellen Sie eine Sicherungskopie des Schlüssels, löschen Sie ihn und führen Sie ihn aus gpupdate /force, um ihn neu zu erstellen.

In meinem Fall habe ich nach dem Vergleich der Sicherung und des neuen Datensatzes einen Schlüssel mit dem Namen gefunden "DisableWindowsUpdateAccess"=dword:00000000, der mein Problem verursacht hat. Dieser Schlüssel wurde von einem Dritten erstellt.

Nixphoe
quelle