WSUS … The request failed with HTTP status 503

Ich administriere den WSUS sehr gerne über PowerShell, da dass ein hohes Maß an Automation zulässt.

Beim verschieben von Computern in eine von WSUS Gruppe habe ich die folgende Fehlermeldung erhalten.

image

Das Verschieben erfolgt übrigens über den folgenden PowerShell Befehl.

Get-WsusComputer | Add-WsusComputer -TargetGroupName "Update Services Computers"

Diese Fehlermeldung steckt nach meiner Erfahrung auch hinter einer Vielzahl von Problemen wenn die WSUS MMC sich nicht zum WSUS Server verbinden kann. Das Drücken der Reset Server Option bringt hier auch nichts, da das eigentliche Problem in einem gestoppten WsusPool im IIS liegt.

image Ein Start des Application Pools reicht aus um sowohl den PowerShell Befehl als auch die WSUS MMC wieder funktionsfähig zu bekommen.

Das funktioniert sowohl beim WSUS in Windows Server 2012 R2 als auch unter Windows Server 2016.

Enjoy it, b!

WSUS Post Installation Task schlägt fehl

Es wird mal wieder Zeit etwas über den WSUS zu schreiben. Fast alle meiner Small Business Umgebungen laufen inzwischen oder immer noch (kommt drauf an wie man das sehen möchte) auf Windows Server 2012R2 und bekommen damit auch die WSUS Rolle installiert. Früher ist der WSUS mal ein problemlos funktionierendes und wartungsarmes System gewesen, doch zumindest bei mir hat sich diese Rolle des Windows Servers seit dem R2 Release zu einem Problembären entwickelt.

Im Rahmen einer Neuinstallation der WSUS-Rolle (vorher deinstalliert und alles bereinigt) wollte der WSUS Post Installation Task (die Vorbereitung des WSUS nach der Installation) nicht durchlaufen. Der Task brach mit einem Fehler ab und dem Verweis auf das Logfile, welches dazu noch leer war.

C:\Users\administrator\AppData\Local\Temp\tmp9D23.tmp

Nach einigem hin- und her (WSUS Rolle wieder deinstalliert, Verzeichnisse und Datenbank gelöscht, …) bin ich immer wieder in den gleichen Fehler gelaufen.

Neben dem Start des Post Installation Tasks über den Wizard, kann dieser auch über die Kommandozeile initiiert werden. Ein Wechsel in das Programm-Verzeichnis des WSUS zeigte mir aber, dass bei der Installation der Rolle das Tools-Verzeichnis nicht angelegt wurde.

C:\Program Files\Update Services\Tools\wsusutil.exe

Mit dem Fehlen der Tools war auch nicht die WSUSUTIL.EXE vorhanden, welche ebenfalls vom Wizard im Servermanager verwendet wird. Damit war mir auch klar, wieso das Logfile leer war. Das Tools-Verzeichnis habe ich darauf hin, von einer anderen WSUS-Installation kopiert und auf dem Server angelegt, bzw. entpackt.
Danach funktionierte der Aufruf problemlos und der WSUS startete mit dem Dialog zur Konfiguration.

cd "C:\Program Files\Update Services\Tools"

.\wsusutil.exe postinstall SQL_INSTANCE_NAME="localhost" CONTENT_DIR="D:\WSUS"

Enjoy it, b!

Installation von KB3000850 auf Windows Server 2012 R2 schlägt fehl …

Alle die meinen Blog verfolgen, wissen – der WSUS und ich haben ein schwieriges Verhältnis … zumindest wollte mir dieser partout nicht der Update Windows8.1-KB3014442-x64.msu zur Installation anbieten, welches neben Windows8.1-KB3016437-x64.msu und dem Windows8.1-KB3003057-x64 die Voraussetzung für Windows8.1-KB3000850-x64 darstellt.

Die Vorgehensweise ist eigentlich immer die gleiche, zu erst auf der Microsoft Webseite nach dem Update suchen, welches fehl schlägt. Dann werden hier manchmal weitere Updates im gleichen Download mit angeboten. Hier einfach alle Updates runter laden und probieren welche sich installieren lassen. Bei mir waren alle drauf, mit Ausnahme von KB3014442-x64.msu und der scheint die Grundlage für Windows8.1-KB3000850-x64.msu zu sein.

image

Danach hat es problemlos funktioniert Smile

 

Enjoy it, b!

WSUS läßt sich nicht auf Windows Server 2012 R2 installieren

Manchmal kann einen ein Windows Server schon zur Verzweiflung bringen…. neulich wollte ich auf einem schon seit geraumer Zeit in Betrieb befindlichen Windows Server 2012 R2 mit der Essentials Rolle den WSUS nach installieren.

Dabei kam es immer wieder zu folgender Fehlermeldung:image

Fu… den Server hatte ich dabei schon mehrfach neu gestartet, daran kann es also bei Leibe nicht liegen. Ein erster Schritt in der Fehleranalyse ist immer der Blick ins Eventlog (System und dann Application) und hier fand ich folgenden interessanten Eintrag.

image

Ein Blick in die GPO des DCs zeigte dann auch, dass der Service-Account nicht die richtigen (ok, keine Smile ) Rechte hatte.

image

Da es sich um eine kleine Umgebung handelt, habe ich das Recht allen lokalen Diensten (NT SERVICE\ALL SERVICES) eingeräumt und dass über die Default Domain Controller Policy konfiguriert, was die Berechtigung wiederum auf diesen einen DC (SBS Umgebungen haben in der Regel nur einen) einschränkt. Tritt das Problem auf Member Servern auf, dann hierzu entweder die Default Domain Policy, oder einfach die Local Policy auf dem Server selbst anpassen.

Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/User Rights Assignment/Log on as a service

Hier dann NT SERVICE\ALL SERVICES eintragen und den folgenden Befehl ausführen.

C:\Windows\system32> gpupdate /force
Updating policy...

Computer Policy update has completed successfully.
User Policy update has completed successfully.

Nach einem Refresh der GPO MMC haben wir hier auch den korrekten Eintrag.

image

Danach funktionierte das Hinzufügen der WSUS Rolle ohne Probleme. Wer übrigens einen SQL Server Express für die SUSDB verwendet kann die WID nach erfolgter Installationn des WSUS wieder entfernen.

Enjoy it, b!

WSUS Service terminated …, 7031

Desaster haben einen Namen, bei mir ist es der WSUS mit dem ich mich immer wieder rumschlagen muss.

Inzwischen hatte ich auf drei SBE (Windows Server 2012 R2 mit Essentials Rolle) Servern das Problem, dass nach der Installation von rund 80 Updates keine Verbindung der WSUS Konsole auf den WSUS Server möglich war – mal lief der WSUS Service, mal auch wieder nicht (dann hatte ich im Eventlog einen 7031).

Nun gibt es im Web eine Menge von teilweise esoterischen Lösungen für dieses Problem … welche bei mir alle nicht funktioniert haben, oder vielleicht besser gesagt – ich die Richtige nicht gefunden habe.

Update 12.07.2016: Das Problem wird durch den KB3148812 verursacht, welcher die ESD Verschlüsselung aktiviert und damit den WSUS lahm legt. Die schnelle Lösung des Problems stellt einfach die Deinstallation von KB3148812 dar, und damit funktioniert auch der WSUS wieder.

Update 20.07.2016: Inzwischen hatte ich zwei weitere WSUS Server ohne KB3148812 welche ebenfalls nach der Installation von Updates den Dienst mit einem 7031 eingestellt haben.

Sollte die Deinstallation von KB3148812 aus irgend einem Grund NICHT möglich sein, oder das Problem dennoch weiter bestehen, besteht die Möglichkeit den WSUS nochmals neu zu initialisieren, also einen Reset durch zu führen.

Dazu sind die folgenden Schritte notwendig, aber Achtung – alle Einstellungen Updates, etc. sind danach weg!

  1. Prüfen ob der WSUS im Service Manager auch wirklich nicht läuft (sonst einfach stoppen)
    net stop "WSUS Service"
  2. Umbenennen, bzw. löschen des WSUS Verzeichnisses
    rd e:\wsus /s /q
  3. Löschen der SUSDB im SQL Server (das erfolgt über das SQL Server Management Studio, mit rechter Maustaste auf die SUSDB und der Auswahl delete)
  4. Start der WSUS Postinstallation mit folgendem Befehl
    wsusutil postinstall SQL_INSTANCE_NAME=SBE CONTENT_DIR=E:\WSUS

    Auf dem SBE Server (welcher auch als Computername SBE hat, läuft SQL Server Express als Default-Instanz. Daher tragen wir als Instanzname SBE ein. Das Verzeichnis für den WSUS ist bei mir E:\WSUS

  5. Der Prozess erstellt ein Logfile, welches ich gleich mit Notepad++ öffne und die Erstellung verfolgen kann
    Log file is located at C:\Users\bernd-adm\AppData\Local\Temp\tmp9CC2.tmp
    Post install is starting
    Post install has successfully completed

Danach muss der WSUS nochmals neu eingerichtet werden … macht aber nix, tut ja nun wieder Smile

Enjoy it, b!

WSUS MMC (Konsole) Reset

Stellt man in der WSUS Konsole unter Update Services / WSUS Servername / Updates / All Updates die Anzeige des Status von Failed or Needed auf Any, kann es dazu kommen das die WSUS Konsole nicht mehr in der Lage ist alle vorhandenen Updates an zu zeigen, was sich in einem Timeout darstellt.

Unglücklicher Weise merkt sich die WSUS Konsole diese Einstellung und so ist es nicht mehr so einfach möglich zur alten Anzeige zurück zu kehren. Daher habe ich mit dem Process-Monitor von Sysinternals mir die WSUS MMC angeschaut und festgestellt, dass die Einstellungen beim beenden der MMC in folgendem Verzeichnis abgelegt werden.

image

Löscht man die Datei wsus im Verzeichnis …

del %USERPROFILE%\appdata\roaming\microsoft\mmc\wsus

… dann startet die WSUS Konsole wieder mit den Standard-Einstellungen.

image

Enjoy it, b!