Die Windows Software Update Services kurz WSUS genannt sind als wertvolles Basistool in Unternehmen nicht wegzudenken. Neben dem Vorteil eines zentralisierten Managements lässt sich damit auch die spezifische Updatepolicy eines Unternehmens umsetzen und obendrein wird die Internetleitung entlastet.

Aber was tun, wenn es Clients gibt welche sich laut Verwaltungskonsole schon länger nicht mehr beim WSUS gemeldet haben. Dem sollte man im Zeitalter von Ransomware, Viren und Trojanern nachgehen um Schadsoftware gar nicht erst zu ermöglichen Sicherheitslücken zu auszunutzen.

Bei meiner Tätigkeit in unserem Supportteam hatte ich kürzlich wieder so einen Fall. Einige Clients wurden in der Verwaltungskonsole des WSUS entweder gar nicht, oder mit dem Hinweis „Der Status dieses Computers wurde innerhalb von mindestens X Tagen nicht gemeldet.“ angezeigt.

Wie in Abbildung 1 zu sehen ist war der Client der Ansicht er sei auf dem aktuellen Stand. Die letzte Suche war jedoch bereits mehrere Monate her. An einem anderen Client im Netzwerk wurde das aktuelle Datum angezeigt. Das Datum der zuletzt installierten Updates wich jedoch wie beim zuerst geprüften Client um mehrere Monate ab.

 

Abbildung 1 – Windows Updates Status

 

Ein Blick in die Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate eines betroffenen Clients gab Aufschluss über die Konfiguration des WSUS Clients.

  • „WUServer“=“http://WSUS-Server-Name oder IP-Adresse:Port“
  • „WUStatusServer“=“http://WSUS-Server-Name oder IP-Adresse:Port“
  • „ElevateNonAdmins“=dword:00000000
  • „TargetGroupEnabled“=dword:00000001
  • „TargetGroup“=“WSUS-Gruppenname“
  • „AcceptTrustedPublisherCerts“=dword:00000001
  • „DoNotConnectToWindowsUpdateInternetLocations“=dword:00000001

 

In diesem Fall standen in den Schlüsseln WUServer, WUStatusServer und TargetGroup die korrekten Werte. Der Client kontaktiert also den beabsichtigen Server und frägt bei diesem an ob neue Updates zur Installation verfügbar sind. Als nächstes wurde die Datei WindowsUpdate.log des WSUS Clients unter C:\Windows genauer betrachtet und nach Fehlern durchsucht. Dabei wurden Fehler, wie im Log Auszug unten dargestellt, gefunden.

******************************Auszug aus dem LOG des Clients*************************

2017-05-24        15:18:32:148        5876        137c        Misc          = Process: C:\Windows\system32\wuauclt.exe

2017-05-24        15:18:32:147        5876        137c        AUClnt        Launched Client UI process

2017-05-24        15:18:32:210        5876        137c        Misc  ==Logging initialized (build: 7.6.7601.19161, tz: +0200)==

2017-05-24        15:18:32:210        5876        137c        Misc          = Process: C:\Windows\system32\wuauclt.exe

2017-05-24        15:18:32:210        5876        137c        Misc          = Module: C:\Windows\system32\wucltux.dll

2017-05-24        15:18:32:210        5876        137c        CltUI        FATAL: Failed to get notification handle, hr=80070057

**********************************************************************************************

 

Die Lösung des Problems ist hier das Zurücksetzen des WSUS Client. Hierfür wird das Verzeichnis Software Distribution und das WindowsUpdate.log, wie im weiteren beschreiben, geleert.

Um Schreibzugriffe und somit ein Fehler beim Löschen des Verzeichnisses SoftwareDistribution auszuschließen muss zuerst der WindowsUpdate Dienst beendet werden. Führen Sie, wie in Abbildung 2 dargestellt, auf dem betroffenen Client folgende Befehle in einer PowerShell aus:

  • Net stop wuauserv
  • Net stop bits

 

Achten Sie darauf, dass Sie die PowerShell mit administrativer Berechtigung starten.

 

Abbildung 2 – Beenden des Windows Update Dienstes

Öffnen Sie nun das Verzeichnis C:\Windows\SoftwareDistribution wie in Abbildung 3 zu sehen und Löschen Sie dessen Inhalt. Alternativ können die Ordner auch in einen anderen Ordner außerhalb des SoftwareDistribution Verzeichnis verschoben werden. Es müssen alle Ordner und Dateien entfernt werden.

 

Abbildung 3 – Das SoftwareDistribution Verzeichnis vor der Bereinigung

 

Ist das Software Distribution Verzeichnis bereinigt kann zur einfacheren Kontrolle der folgenden WSUS- Client Events das WindowsUpdate.log umbenannt und eine neue LOG- Datei angelegt werden. Anschließend können die Windows Update Dienste wieder gestartet werden und der WSUS Client angewiesen werden erneut bei seinem zuständigen WSUS- Server nach Updates zu suchen:

  • Net start wuauserv
  • Net start bits
  • wuauclt /detectnow /resetauthorization

 

Wie in Abbildung 4 dargestellt werden die fehlenden Updates nun nach einiger Zeit korrekt angezeigt. Alternativ kann die Suche auch durch Klick auf „Nach Updates suchen“ gestartet werden.

 

Abbildung 4 – Der WSUS- Client findet nun wieder die auf ihn zutreffenden Windows Updates

Abschließend sollte der Client korrekt in der Managementkonsole des WSUS angezeigt werden.

 

Redakt.: Markus Potz