Wsus updates niet op clients niet 100 Procent - Serversoftware en clouddiensten

woensdag 4 februari 2009 09:41

Acties:

Verwijderd

Topicstarter

Goedemorgen,

Ik heb bij een bedrijf een wsus server draaien het is een erg grote omgeving 3000+ clients.
Nu is het zo dat de clients wel de updates krijgen dat gaat met een enorme vertraging maar dat heeft te maken met het netwerk , maar clients pc's zijn nooit 100% met updates er zijn er altijd een paar die niet installed zijn of approved . Maar nu het volgende bij de ene pc zijn het 10 updates die niet geinstalleerd zijn en bij de andere zijn het er 3 die niet geinstalleerd zijn . Weten jullie misschien een verklaring daarvoor waarvoor het zoveel verschild in het aantal update's dat hij mist.

woensdag 4 februari 2009 12:59

Acties:

Verwijderd

Wat zeggen je logfiles?
Op de server-side staan die dacht ik in c:\program files\update services\logfiles
Je zou ook eens in de logs op de client kunnen kijken

woensdag 4 februari 2009 13:11

Acties:

alt-92

ye olde farte

Verwijderd schreef op woensdag 04 februari 2009 @ 09:41:
Weten jullie misschien een verklaring daarvoor waarvoor het zoveel verschilt in het aantal update's dat hij mist?

Omdat de gebruiker invloed kan uitoefenen?
Omdat de PC langer heeft uitgestaan?

Zomaar wat opties, waar je mee aan de slag kan, zonder dat jij echt relevante informatie in je topic aangeeft kunnen wij niet meer dan gokken/glazenbollenturen/wildcard-query-runnen.

Lijkt mij niet handig, jou wel?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 6 februari 2009 10:53

Acties:

Verwijderd

Topicstarter

Ik ga effe die logfiles bekijken ik kom hier op terug.

Alt-92 : Het is bekend dat de gebruiker invloed kan uitoefenen .

Al heeft de pc langer uitgestaan , zodra hij aan gaat geeft hij meteen meldingen.

vrijdag 6 februari 2009 10:59

Acties:

DeeJee

Dus...

Wat voor meldingen? Foutmeldingen?

Money for nothin' and your chicks for free

vrijdag 6 februari 2009 11:08

Acties:

pennenlikker

Je hebt het ook over 1 wsus server voor zo'n groot netwerk, het zou ook goed kunnen dat je server de updates er niet op tijd allemaal uit kan krijgen.
Zit hij bijvoorbeeld op een 1gbps connectie? Je zou even netmeter kunnen installeren en even kijken hoeveel van de bandbreedte word gebruikt.
En ook omdat je met verschillende subnets zit waarover de updates moeten worden verstuurd zou je misschien aan een twee wsus server kunnen denken.

Hoeveel clients er eigenlijk op 1 wsus server in 'theorie' kunnen kon ik niet vinden eigenlijk

http://technet.microsoft....emanagement/bb245848.aspx

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

vrijdag 6 februari 2009 14:39

Acties:

alt-92

ye olde farte

Verwijderd schreef op vrijdag 06 februari 2009 @ 10:53:

Al heeft de pc langer uitgestaan , zodra hij aan gaat geeft hij meteen meldingen.

dat wil je juist.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 10 februari 2009 10:36

Acties:

Verwijderd

Topicstarter

Het heeft te maken met een schedule task die staat in de policy dat om een bepaalde tijd gekeken wordt welke update's hij mist daar gaat het ergens niet goed.

dinsdag 10 februari 2009 10:44

Acties:

DeeJee

Dus...

Wat zeggen de logfiles op de client zelf?
Hebben die clients ooit eerder wel updates van je WSUS gekregen?
Staan ze misschien in een andere OU waardoor ze een andere GPO instelling krijgen?

Graag wat meer info over je inrichting zou wel handig zijn.

Money for nothin' and your chicks for free

dinsdag 10 februari 2009 11:40

Acties:

Verwijderd

Topicstarter

De logfiles van de client staat niet in de c:\programfiles\windowsupdate\ deze kan je vinden in c:\windows\windowsupdate.log.

De clients krijgen door een deployment server (Altiris ) een image gepushed daar zitten updates in maar je moet dat image wel iedere keer updaten dat is tot een bepaalde tijd gebeurd . Nu mis het image 21 update's en staat er in de policy ingesteld dat er om 12 uur wordt gekeken naar de wsus server welke updates de client mist en die worden dan geupdate dus ik wacht het effe af en kijk effe wat er gebeurd.

dinsdag 10 februari 2009 13:35

Acties:

Verwijderd

Topicstarter

Ik heb opnieuw een pc ingespoeld met een nieuwe image hij miste 21 updates . In de policy stond hij gescheduled om te updaten om 12 uur en inderdaad gebeurde dat om 12uur zojuist. Maar nu heeft hij maar 3 updates gedownload en geinstalleerd. Dus er blijven nu nog steeds 18 updates over nou zitten er een paar tussen die niet approved zijn maar toch installeerd hij er een paar niet. Mijn vragen aan jullie .

Kan het zo zijn dat een patch die bv dateert uit juni 2008 dat hij die gewoon niet installeert omdat die in de interexplorer die in augustus is gedownload al erin zit ?

Zo ja dan is het logisch dat de wsus server aangeeft dat de patch niet geinstalleerd kan worden omdat hij in de internet explorer geintregeerd is. Maar is het onlogisch dat hij dat toch blijft weergeven in de wsus console dat hij niet geinstalleerd is.

dinsdag 10 februari 2009 13:42

Acties:

gasemans

Er zijn een aantal updates die anderen vervangen
Als je in WSUS kijkt naar de client, wat geeft die aan?
Daar moet als het goed is ook staan hoeveel updates hij nog moet installeren

En is het niet zo dat hij na de check minimaal 12 uur wacht voor het volgende verzoek?
Zit hier met een netwerk van 1000 machines en 1 WSUS server
en heb de policy op 1 uur gezet zodat de clients overdag na aanpassing in WSUS alsnog de updates voor hun kiezen krijgen.

dinsdag 10 februari 2009 13:46

Acties:

Dracula

Verwijderd schreef op dinsdag 10 februari 2009 @ 13:35:
Ik heb opnieuw een pc ingespoeld met een nieuwe image hij miste 21 updates . In de policy stond hij gescheduled om te updaten om 12 uur en inderdaad gebeurde dat om 12uur zojuist. Maar nu heeft hij maar 3 updates gedownload en geinstalleerd. Dus er blijven nu nog steeds 18 updates over nou zitten er een paar tussen die niet approved zijn maar toch installeerd hij er een paar niet. Mijn vragen aan jullie .

Kan het zo zijn dat een patch die bv dateert uit juni 2008 dat hij die gewoon niet installeert omdat die in de interexplorer die in augustus is gedownload al erin zit ?

Zo ja dan is het logisch dat de wsus server aangeeft dat de patch niet geinstalleerd kan worden omdat hij in de internet explorer geintregeerd is. Maar is het onlogisch dat hij dat toch blijft weergeven in de wsus console dat hij niet geinstalleerd is.

Ten eerste kan hoef je echt niet tot 12:00 te wachten, een wuauclt /detectnow vanaf de command line doet meteen een check wat er eventueel nog nodig is aan patches (als ik mij niet vergis doet hij dit ook als de service automatic updates (her)gestart wordt)

Als een patch ala anwezig is, op wat voor manier dan ook, dan zal WSUS die niet meer raporteren als needed maar als installed.

Wat zijn de laatste regels uit je log file?

Meestal staat er iets als :

2008-11-14 07:47:46:351 800 14a8 Agent *********
2008-11-14 07:47:46:351 800 14a8 Agent ** END ** Agent: Finding updates [CallerId = AutomaticUpdates]
2008-11-14 07:47:46:351 800 14a8 Agent *************
2008-11-14 07:47:46:351 800 1618 AU >>## RESUMED ## AU: Search for updates [CallId = {36E30FA1-54B2-4955-B4E0-D33768F3DD66}]
2008-11-14 07:47:46:351 800 1618 AU # 0 updates detected
2008-11-14 07:47:46:351 800 1618 AU #########
2008-11-14 07:47:46:351 800 1618 AU ## END ## AU: Search for updates [CallId = {36E30FA1-54B2-4955-B4E0-D33768F3DD66}]
2008-11-14 07:47:46:351 800 1618 AU #############

dinsdag 10 februari 2009 13:56

Acties:

Verwijderd

Topicstarter

2009-02-10 12:02:50:352 1060 5fc AU #########
2009-02-10 12:02:50:352 1060 5fc AU ## END ## AU: Download updates
2009-02-10 12:02:50:352 1060 5fc AU #############
2009-02-10 12:02:50:352 1060 5fc AU Setting AU scheduled install time to 2009-02-11 11:00:00
2009-02-10 12:02:50:352 1060 5fc AU AU setting pending client directive to 'Install Approval'
2009-02-10 12:02:51:023 1060 154 AU Windows Update is disabled by policy for user
2009-02-10 12:02:51:023 1060 154 AU WARNING: AU found no suitable session to launch client in
2009-02-10 12:02:55:352 1060 d74 Report REPORT EVENT: {CB9E8F1D-970C-49B1-B13D-CC9C4BF83C1A} 2009-02-10 12:02:50:352+0100 1 162 101 {F07072C5-7ED2-4DE7-96DC-DA5EFF556032} 101 0 AutomaticUpdates Success Content Download Download succeeded.
2009-02-10 12:02:55:352 1060 d74 Report REPORT EVENT: {4589D9D1-8FD8-44D7-BCBA-A8304C47E7E3} 2009-02-10 12:02:50:352+0100 1 188 102 {00000000-0000-0000-0000-000000000000} 0 0 AutomaticUpdates Success Content Install Installation Ready: The following updates are downloaded and ready for installation. This computer is currently scheduled to install these updates on Wednesday, February 11, 2009 at 12:00 PM: - Security Update for Windows XP (KB956802) - Security Update for Windows XP Service Pack 3 (KB952069) - Security Update for Windows XP (KB958687) - Group Policy Preference Client Side Extensions for Windows XP (KB943729) - Cumulative Security Update for Internet Explorer 7 for Windows XP (KB958215)

dit is een gedeelte die ik krijg

Nu heb ik dit gekopieerd van die client pc waarvan de wsus server aangaf dat hij 21 applicatie's neit geinstalleerd heeft. En nu na 12 uur waren dat er 18 dus hij heeft er toch 3 geinstalleerd maar de rest laat hij gaan ? Vreemd

[ Voor 7% gewijzigd door Verwijderd op 10-02-2009 14:15 ]

dinsdag 10 februari 2009 14:01

Acties:

arjants

This computer is currently scheduled to install these updates on Wednesday, February 11, 2009 at 12:00 PM:

Hij heeft ze dus gedownload voor installatie
Deze installatie zal morgen plaatsvinden en terug gerapporteerd worden aan de WSUS server.
Lijkt me te kloppen met de policy die je gezet hebt.

[ Voor 9% gewijzigd door arjants op 10-02-2009 14:02 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

dinsdag 10 februari 2009 14:29

Acties:

Verwijderd

Topicstarter

2009-02-10 12:02:04:211 1060 d74 Agent Update {B5064E0C-2C90-45A1-A064-2195815F2390}.102 has no local extended metadata. Not returning it.
2009-02-10 12:02:04:211 1060 d74 Agent Update {E195380D-E1CE-4DB6-AD8E-F7B3884335D0}.100 has no local extended metadata. Not returning it.
2009-02-10 12:02:04:211 1060 d74 Agent Update {2B0B2515-192D-470A-9745-4A3FB7C02030}.105 has no local extended metadata. Not returning it.
2009-02-10 12:02:04:211 1060 d74 Agent Update {2B0B2515-192D-470A-9745-4A3FB7C0203A}.102 has no local extended metadata. Not returning it.
2009-02-10 12:02:04:211 1060 d74 Agent Update {1403F223-A63F-F572-82BA-C92391218055}.110 has no local extended metadata. Not returning it.
2009-02-10 12:02:04:211 1060 d74 Agent Update {3BE47429-68D2-41D9-947B-6EB2D71B73FD}.100 has no local extended metadata. Not returning it.
out due to potential supersedence

Wat zeg dit dan ?

[ Voor 62% gewijzigd door Verwijderd op 10-02-2009 15:41 ]

dinsdag 10 februari 2009 15:44

Acties:

Verwijderd

Topicstarter

Ook ben ik nog iets vreemds tegen gekomen waar ik ook geen antwoord op internet kan over vinden.
Deze patch KB956391 Security update Killbits for Windows XP.
Onder het veld Approval is hij niet NOT APPROVED maar toch staat er in het rijtje STATUS installed .

Is hij nu gedownload op de client er geinstalleerd ?

dinsdag 10 februari 2009 15:53

Acties:

Graviton12

Toevallig geen multiple besturingssystemen zoals Win2000?
Geef je de clients rechten om updates te weigeren/kiezen, gebruikers in groepen die meer rechten hebben, admin toestand ofzo?
Eventueel 1 van die clients meenemen en apart testen?

dinsdag 10 februari 2009 16:07

Acties:

Verwijderd

Topicstarter

De clients kunnen kiezen om het later te installeren ze kunnen dus weigeren, maar ze krijgen wel om de 60 minuten een popup te zien dat ze moeten herstarten

Pagina: 1

Reageer