SUS Administration im Active Directory

Hallo zusammen,

ich habe mal wieder ein blödes Problem und brauche eure Hilfe:

Ich habe einen SUS Server (mit Hilfe aus dem Forum hier  ) aufgesetzt und jetzt habe ich das Problem, dass ich die nicht administrieren kann. D.h. im Active Directory (MS 2000 Server) habe ich eine Gruppenrichtlinie erstellt und dazu ein paar Testrechner (MS 2000 Pro) und -benutzer. Diese fallen unter keine andere Richtlinie, nur unter die, welche ich SUS genannt habe. Hier habe ich erstmal eingestellt unter Computereinstellung -> Administrative Vorgaben -> Windows Update (Nach einlesen der Wuau.adm oder wie die heißt), dass sich die Clients der Gruppe automatische Updates von Microsoft.com ziehen sollen. Das ganze hab ich per Zuweisung (also Punkt 4) gemacht und jetzt müssten sich die Clients eigentlich jede Nacht um 3 Uhr die Updates ziehen. Ich hab noch nicht mal einen SUS-Pfad definiert, aber er macht es einfach nicht. Man kann auch allgemein bei uns in der Domäne keine automatischen Updates in der Systemsteuerung auswählen (Die Struktur ist noch von vor meiner Zeit, deswegen kenn ich mich nicht so aus).

Jetzt meine Frage:
Kann es sein, dass andere Policies den überschreiben? Gibt es ein Protokoll für die Updatesession, wo ich den Status nachlesen könnte?

Ich würde gerne ein paar Screenshots einfügen @ die Admins

Danke für eure Hilfe

Tach Hendrik,

schon mal in den Default Domain Policy geschaut?
Unter Computerconf - Admin-Vorlagen - Windows update kannst Du das komplett abstellen.
Automatische Updates konfigurieren
Zumindest unter W2003SBS.

Hoffe das ist unter W2000 auch schon so.

Tschau, Aett

Das ist nicht so einfach. Unser AD ist schon etwas komplexer und es gibt keine Default mehr, sondern verschiedene Richtlinien, die sich auf bestimmt Gruppen beziehen. Aber das kann es ja gar nicht sein, weil ich die ja aus allen anderen Gruppen rausgenommen habe. Dachte ich zumindest bis ich heute vormittag ein Phenomän beobachtet habe:
Sobald ich einen von meinen Testcomputern mit Administrationsrechten betrete dann geht die Verteilung. Auch das Softwareupdate direkt von der Microsoftseite geht nicht, er schreibt ich brauche Adminrechte. Aber ich kann jetzt nicht jeden Benutzer mit Adminrechten ausstatten.

Klingt das danach, dass ich etwas übersehen habe und die von mir erstellten Testbenutzer immer noch unter eine andere Richtlinie fallen? Oder wie kann einstellen, dass das Update keine Adminrechte mehr braucht. Ist doch auch Quatsch.

Ich mach jetzt erst einmal Wochenende weil mein Kopf = 

Danke für eure Hilfe

Wo sind all die Systemadmins hin?

Hat keiner eine Idee, welche Gruppenrichtlinie meinen Befehl zum automatischen Patchdownload überlagern könnte? Ich kann nicht einfach wild rumprobieren, dass ist mein Problem. Und für die Admins geht diese automatische Synchronisation, nur für normale Benutzer nicht. Weshalb???

Schau doch mal bei Mark auf der Seite: www.gruppenrichtlinien.de
In den Whitepapers, die Microsoft zu SUS bereitstellt, ist btw ne haarkleine und sehr genaue Anleitung enthalten - wenn du dich Schritt für Schritt daran hälst, sollte es eigentlich gehen.

Ich kann dein Problem halt nicht ganz nachvollziehen, daher auch bisher keine Antwort - es gibt ein paar allgemeine Stolperfallen zum Thema GPOs:
- DNS-Auflösung muss stimmen, also auf den Clients MUSS der DC/einer der DCs als prim. DNS-Server eingetragen sein
- Die GPOs selbst muss entsprechend verknüpft werden
- Die Vererbung der GPOs muss stimmen bzw. das Erzwingen, wenn nötig
- In der Sicherheitsfilterung müssen die entsprechenden User drin stehen etc.

Das sind aber alles Punkte, die in den Whitepapers und bei Mark ausführlich beschrieben werden - sorry, ums selber Lesen wirst du nicht herumkommen.. ;D

Cheers,
Joshua

Hallihallo,

so habe mich jetzt erfolgreich durch die White-Papers gekämpft (Die Seite www.Gruppenrichtlinien.de kannt ich schon; hab meinen SUS-Server danach eingerichtet) und bin zu dem Schluss gekommen, dass alles richtig eingestellt ist UND ich trotzdem diesen Fehler habe, dass nur Administrator automatisch in die per Gruppenrichtlinien erstellte Updateaufforderung kommen. D.h. wenn ich in den GPO´s einstelle 04 - Update erzwingen (oder wie es heißt) und das auf einen bestimmten Computer anwende und mich auf dem einlogge als Admin, dann kann ich unter System -> autom. Updates sehen, dass ein Auto-Update z.B. um 14.00 Uhr eingestellt ist und dieses führt er auch zu dieser Zeit aus. Wenn ich das mit meinem Benutzerkonto Test mache, zeigt er mir die Standareinstellung an und macht garnichts!

Ich habe die GPO auch schon auf mehrere Standardbenutzer unserer Domäne losgelassen, aber ohne Erfolg (Hab einen Rechner die Nacht über laufen gelassen, aber kein Update erfolgt).

Was soll ich tun???

Danke für eure Hilfe

Hallo,

Schau mal hier im forum.... solche thema wurden schon besprochen!!! Hatte sogar selbs eine ähnliche frage... die antwort steht dann auch normalerweise schon dabei ....

Jarod

Das Thema was du erstellt hast, hat aber kein Happy End! Der User (der übrigens genau das selbe Problem wie ich hatte) hat wohl immer noch keine Ahnung.

Ich hab aber gesehen, dass das Problem anscheinend verbreitet ist.

Also für Hilfe:
Ich kann als Administrator problemlos Updates ziehen, als Benutzer nicht.

Für weitere Hilfe dankbar

Tschö
Hendrik

Und nochmal ich...

also ich habe jetzt endlich die Windows Update.log gefunden und einer von vielen Einträge war:

Und so weiter (Sind bis auf Namen alle so). SV-zen334 ist übrigens unser SUS-Server. Das sieht ja alles sehr erfolgreich aus, aber ich habe das Problem, wenn ich einen manuelles Update mache, zeigt er mir wieder knapp 40 Patches an, die zu installieren sind.

ICH HABE DEN SUS-SERVER BEREITS AUF DEM NEUESTEN STAND!!!

Für Hilfe die diesen Punkt nicht betrifft bin ich dankbar.

Tschö
Hendrik

Hmm hatte dann nicht genug weit nachgelesen,
auf jeden fall geht bei mir des SUS server bei mir gut, es gibt ja 2 verschiedene fälle:

- Als admin eingeloggt: der windows update icon ist vorhanden und ich sehe den ganzen ablauf.
- Als normaler user eingeloggt: der user sieht nichts vom downloaden weder installation, das einzige was der sieht ist eine reboot auforderung nachdem die updates installiert sind.

Für beiden fälle:
In der windowsupdate.log file siehst du ob er auf dem sus server heruntergeladen hat und ob er am installieren ist.
Das downloaden geschieht irgendwann, aber das installieren wird genau an der zeit angefangen die in der GPO festgelegt ist. (12 uhr in der GPO, windowsupdate.log file: 11.59.59 starting... )

Das downloaden scheint bei dir zu klappen, und das installieren müsste dann um 2:59:59 uhr anfangen (da die gpo auf 3 uhr ist)

Naja ansonsten log dich als Admin ein und dann müsstest du nach 2-5 min. das windowsupdate icon sehen der dir sagt das die update zur installation verfügbar sind....

Gruß

Jarod

Hab auch ein flotter tool gefunden, ist nur ein kleiner Visualbasic script aber kann dir dabei helfen nachzuschauen ob deine clients richtig eingestellt sind und so.

Schau nach AuBehave in google nach!!!!

oder die seite: www.susserver.com/Tools/aubehave

Gruß aus Luxembourg

PS: Niemand kann mir mit meinem probleem helfen --> siehe forum: SP2 WXP mit SUS installiert und WindowsUpdate Software version funkt. nicht ???????

[blue]Link korrigiert[/blue]

Hey nettes Tool danke.

Also er sagt mir, dass alles paletti ist, aber trotzdem kann ich nach erfolgter Installation (Also ich denke, dass sie erfolgt ist) noch knapp 40 Patche runterladen. Das ist uncool. Naja erst mal Dank an alle, die sich so viel Mühe gemacht haben, ich geh jetzt erst mal zwei Wochen in Urlaub .

Tschö
Hendrik

Ob und wann die Installation erfolgt ist siehst du im Eventlog der Maschine.

Cheers,
Joshua

Es klappt 

Ich weiß nicht warum aber es geht, obwohl ich alles nicht anders eingestellt habe als vor 2 Wochen. Windows halt.

Resümee:
Ich habe Windows 2000 Server mit SP2 und dem ersten Template auf 4 (erzwungene Installation) gestellt und diese dann auf eine Gruppe namens SUS losgelassen, in der alle Maschinenkonten unserer Mitarbeiter waren.

Feddich.

Das hatte ich ungelogen von Anfang an so, aber das Problem, dass er die Installation nur bei Leuten mit Adminrechten durchgeführt hat. Jetzt macht er das überall. Cool.

Sehr geholfen hat mir das Tool AUBehave.vbs von www.susserver.de, mit dem man nachschauen konnte, wie der Status des Clients ist (ist er Automatische Updatedienst gestartet, findet er den internen SUS-Pfad usw.).

Vielen Danke für eure Hilfe und ich lass das Thema mal offen bei so viel Andrang hier drin.

Tschö
Hendrik