WSUS Troubleshooting – Zurücksetzen des WSUS Clients
Die Windows Software Update Services kurz WSUS genannt sind als wertvolles Basistool in Unternehmen nicht wegzudenken. Neben dem Vorteil eines zentralisierten Managements lässt sich damit auch die spezifische Updatepolicy eines Unternehmens umsetzen und obendrein wird die Internetleitung entlastet.
Aber was tun, wenn es Clients gibt welche sich laut Verwaltungskonsole schon länger nicht mehr beim WSUS gemeldet haben. Dem sollte man im Zeitalter von Ransomware, Viren und Trojanern nachgehen um Schadsoftware gar nicht erst zu ermöglichen Sicherheitslücken zu auszunutzen.
Bei meiner Tätigkeit in unserem Supportteam hatte ich kürzlich wieder so einen Fall. Einige Clients wurden in der Verwaltungskonsole des WSUS entweder gar nicht, oder mit dem Hinweis „Der Status dieses Computers wurde innerhalb von mindestens X Tagen nicht gemeldet.“ angezeigt.
Wie in Abbildung 1 zu sehen ist war der Client der Ansicht er sei auf dem aktuellen Stand. Die letzte Suche war jedoch bereits mehrere Monate her. An einem anderen Client im Netzwerk wurde das aktuelle Datum angezeigt. Das Datum der zuletzt installierten Updates wich jedoch wie beim zuerst geprüften Client um mehrere Monate ab.
Abbildung 1 – Windows Updates Status
Ein Blick in die Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate eines betroffenen Clients gab Aufschluss über die Konfiguration des WSUS Clients.
- „WUServer“=“http://WSUS-Server-Name oder IP-Adresse:Port“
- „WUStatusServer“=“http://WSUS-Server-Name oder IP-Adresse:Port“
- „ElevateNonAdmins“=dword:00000000
- „TargetGroupEnabled“=dword:00000001
- „TargetGroup“=“WSUS-Gruppenname“
- „AcceptTrustedPublisherCerts“=dword:00000001
- „DoNotConnectToWindowsUpdateInternetLocations“=dword:00000001
In diesem Fall standen in den Schlüsseln WUServer, WUStatusServer und TargetGroup die korrekten Werte. Der Client kontaktiert also den beabsichtigen Server und frägt bei diesem an ob neue Updates zur Installation verfügbar sind. Als nächstes wurde die Datei WindowsUpdate.log des WSUS Clients unter C:\Windows genauer betrachtet und nach Fehlern durchsucht. Dabei wurden Fehler, wie im Log Auszug unten dargestellt, gefunden.
******************************Auszug aus dem LOG des Clients*************************
2017-05-24 15:18:32:148 5876 137c Misc = Process: C:\Windows\system32\wuauclt.exe
2017-05-24 15:18:32:147 5876 137c AUClnt Launched Client UI process
2017-05-24 15:18:32:210 5876 137c Misc ==Logging initialized (build: 7.6.7601.19161, tz: +0200)==
2017-05-24 15:18:32:210 5876 137c Misc = Process: C:\Windows\system32\wuauclt.exe
2017-05-24 15:18:32:210 5876 137c Misc = Module: C:\Windows\system32\wucltux.dll
2017-05-24 15:18:32:210 5876 137c CltUI FATAL: Failed to get notification handle, hr=80070057
**********************************************************************************************
Die Lösung des Problems ist hier das Zurücksetzen des WSUS Client. Hierfür wird das Verzeichnis Software Distribution und das WindowsUpdate.log, wie im weiteren beschreiben, geleert.
Um Schreibzugriffe und somit ein Fehler beim Löschen des Verzeichnisses SoftwareDistribution auszuschließen muss zuerst der WindowsUpdate Dienst beendet werden. Führen Sie, wie in Abbildung 2 dargestellt, auf dem betroffenen Client folgende Befehle in einer PowerShell aus:
- Net stop wuauserv
- Net stop bits
Achten Sie darauf, dass Sie die PowerShell mit administrativer Berechtigung starten.
Abbildung 2 – Beenden des Windows Update Dienstes
Öffnen Sie nun das Verzeichnis C:\Windows\SoftwareDistribution wie in Abbildung 3 zu sehen und Löschen Sie dessen Inhalt. Alternativ können die Ordner auch in einen anderen Ordner außerhalb des SoftwareDistribution Verzeichnis verschoben werden. Es müssen alle Ordner und Dateien entfernt werden.
Abbildung 3 – Das SoftwareDistribution Verzeichnis vor der Bereinigung
Ist das Software Distribution Verzeichnis bereinigt kann zur einfacheren Kontrolle der folgenden WSUS- Client Events das WindowsUpdate.log umbenannt und eine neue LOG- Datei angelegt werden. Anschließend können die Windows Update Dienste wieder gestartet werden und der WSUS Client angewiesen werden erneut bei seinem zuständigen WSUS- Server nach Updates zu suchen:
- Net start wuauserv
- Net start bits
- wuauclt /detectnow /resetauthorization
Wie in Abbildung 4 dargestellt werden die fehlenden Updates nun nach einiger Zeit korrekt angezeigt. Alternativ kann die Suche auch durch Klick auf „Nach Updates suchen“ gestartet werden.
Abbildung 4 – Der WSUS- Client findet nun wieder die auf ihn zutreffenden Windows Updates
Abschließend sollte der Client korrekt in der Managementkonsole des WSUS angezeigt werden.
Redakt.: Markus Potz
Tags In
Categories
- abtis (70)
- Backup & Archiv (17)
- Cloud (72)
- Communication & Collaboration (2)
- Datacenter (119)
- Events (11)
- IT Strategie (1)
- Management & Automation (1)
- News (5)
- Referenzen (8)
- Security (45)
- Server, Storage & Virtualisierung (4)
- Services (8)
- Virtual Reality (1)
- Workplace (75)