Workshop: Patch-Management

WSUS vereinfacht Update-Services

30.11.2012
Von 
Thomas Joos ist freiberuflicher IT-Consultant und seit 20 Jahren in der IT tätig. Er schreibt praxisnahe Fachbücher und veröffentlicht in zahlreichen IT-Publikationen wie TecChannel.de und PC Welt.

Problemlösungen bei der Client-Anbindung

Nach der Konfiguration der Gruppenrichtlinie kann es eine Weile dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche des WSUS erscheinen. Auf den einzelnen Rechnern können Sie in der Befehlszeile durch Eingabe des Befehls

wuauclt.exe /detectnow

eine sofortige Verbindung zum WSUS erzwingen. Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows unter Umständen die Gruppenrichtlinie noch nicht angewendet. In diesem Fall können Sie mit dem Befehl

gpupdate /force

das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen. Mit Standardmitteln lässt sich nicht ohne Weiteres überprüfen, ob eine gesetzte Gruppenrichtlinie bei den Clients im Netzwerk auch ankommt und diese die Einstellungen auch übernehmen, die Sie in Gruppenrichtlinien gesetzt haben. Der einzige Weg besteht über die Überwachung der Ereignisanzeige und das Auswerten entsprechender Fehlermeldungen.

Administratoren können auf der Seite von SDMSoftware das kostenlose CMDlet Group Policy Help herunterladen. Nachdem Sie das CMDlet in die PowerShell eingebunden haben, können Sie mit dem Befehl

Get-SDMGPHealth -computer <Computername>

überprüfen, ob gesetzte Gruppenrichtlinien funktionieren. Dazu verbindet sich das Tool mit dem Zielrechner, auf Wunsch auch mit mehreren, und überprüft, ob der Ablauf von Richtlinien auf dem entsprechenden Computer funktioniert.

Sollten einige Rechner auch nach dieser Zeit nicht angezeigt werden, versuchen Sie folgende Problemlösung:

1. Auf dem Computer, der nicht im WSUS angezeigt wird, benennen Sie die Datei \windows\system32\wuaueng.dll in wuaueng.old um.

2. Kopieren Sie danach die Datei wuaueng.dll des WSUS-Servers aus dem gleichen Verzeichnis auf den fehlenden Computer.

3. Starten Sie diesen Computer neu.

4. Nach dem Anmelden sollten die Dateien, die mit wu* beginnen, im Verzeichnis \Windows\system32 ebenfalls aktualisiert sein.

5. Geben Sie in der Befehlszeile den Befehl wuauclt.exe /detectnow ein.

Sollte das nicht funktionieren, können Sie noch im Registry-Schlüssel HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/WindowsUpdate die Einträge für den WSUS löschen. Anschließend geben Sie den Befehl

wuauclt /detectnow /reauthorization

ein. Mit dem kostenlosen Zusatz-Tool WSUS DETECTNOW 2.0 von der Internetseite http://www.wsus.de/ können Sie das Herunterladen von Aktualisierungen auf dem Client manuell starten.

Check: den Client mit dem WSUS Client Diagnostics Tool überprüfen.
Check: den Client mit dem WSUS Client Diagnostics Tool überprüfen.

Außerdem lässt sich mit dem Tool eine neue ID für den Client erzeugen, falls die Anbindung nicht funktioniert. Ein ebenfalls wichtiges Hilfsmittel für die Diagnose von Client-Problemen ist das WSUS Client Diagnostics Tool von Microsoft. Es ermittelt in der Befehlszeile, ob die Anbindung an den Server funktioniert, und teilt eventuelle Probleme mit.