WSUS Verbindungsfehler, Serverknoten zurücksetzen (Event 501 und SQL Event 18456)

Problem

Die WSUS-Dienste starten nicht mehr so ganz richtig, es gibt den Fehler bei der Anmeldung für den Benutzer „NT-AUTORITÄT\Netzwerkdienst“. Das passiert nach der Installation des Updates KB3148812 und/oder KB3159706. Die Updatesuche auf den Clients schlägt ebenfalls fehl.

Lösung

Schuld ist ein Fehler beim Starten der WSUS-Dienste aufgrund einer unvollständigen Patchinstallation. Die schnellste Möglichkeit ist die Deinstallation von KB3148812 / KB3159706.

Die vollständige Fehlerbehebung ist allerdings zwar umständicher, aber sicherer. Nachfolgende Upates funktionieren wieder und die sichere Anmeldung bleibt intakt.

  1. „Als Administrator“ die Post-Setup Scripts für die WSUS-Utils ausführen ausführen:
    C:\> "%programfiles%\Update Services\Tools\wsusutil.exe" postinstall /servicing
  2. „Als Administrator“ die .NET HTTP-Aktivierung nachinstallieren
    PC C:\> Add-WindowsFeature NET-HTTP-Activation
  3. „Als Administrator“ die Datei „%programfiles%\Update Services\WebServices\ClientWebService\Web.Config“ bearbeiten und ganz unten vor dem „</system.serviceModel>“ Tag eine Site-Bindung einfügen:
    </bindings>
    <serviceHostingEnvironment aspNetCompatibilityEnabled="true" multipleSiteBindingsEnabled="true" />
    </system.serviceModel>
  4. „Als Administrator“ einen IIS-Neustart auslösen
    c:\> iisrest /noforce

Mehr Informationen und eine Klick-Anleitung: https://support.microsoft.com/en-us/help/3159706/

.NET Framework 3.5 Fehler 0x800f0906, Fehler 0x800f0907 oder Fehler 0x800f081f

Während der Installation des .NET Framework 3.5 unter Windows 8/10 oder Windows Server 2012/2012R2 treten möglicherweise einer oder mehrere dieser Fehler auf:

  • .NET Framework Fehler 0x800f0906
  • .NET Framework Fehler 0x800f0907
  • .NET Framework Setup-Fehler 0x800f081f

Das liegt vermutlich an einer „verfrüht“ aktualisierten .NET Komponente, die sich bereits auf dem System befindet. Ohne weiteres ist die auch nicht manuell zu entfernen.

In der Regel hilft es, diesen Patch zu installieren. Dann klappt meistens das Setup nach einem Reboot sofort: https://support.microsoft.com/en-us/help/3005628

Das Update wird zwar auch über Windows-Update verteilt, aber auf manchen Maschinen klappt das nicht freiwillig. Da einfach manuell herunterladen und installieren. Wenn das nicht funktioniert, erst SAUBER NEU STARTEN (!) und dann den Windows-Troubleshooter herunterladen und ausführen. In allen unseren Fällen ging es danach wieder problemlos: https://support.microsoft.com/de-de/help/4027322

 

.NET Framework 3.5 unter Windows 10 offline installieren

Problem

Eine wichtige Software braucht das .NET Framework 3.5 um unter Windows 10 korrekt zu funktionieren. Die Maschine ist aber nicht so richtig mit dem Internet verbunden und offline. Wie kann man jetzt die .NET 3.5 Features aktivieren?

Lösung

Auf dem Installationsmedium für Windows 10 (DVD oder ISO-Datei) und Windows Server 2012/2012R2 ist das .NET Framework enthalten. Mit DISM lässt es sich problemlos installieren, unabhängig davon ob die Maschine Internet hat oder nicht:

C:\> dism.exe /online /enable-feature /featurename:NetFX3 /source:E:\sources\sxs /LimitAccess

Das Quell-Laufwerk muss natürlich entsprechend angepasst werden.

Standard OU von „Computer“ und „Users“ für neue Objekte ändern

AD Standardorte für neue Objekte ändern

Problem

Neue Computer-Objekte im Active Directory werden standardmäßig im „WellKnownObjects“ Container (CN) CN=Computers abgelegt und neue Benutzer-Objekte in CN=Users. In den guten alten SBS-Installationen ist der Ort anders und lautet „SBSComputers“ und „SBSUsers“. Das ist nicht immer perfekt – wie ändert man das?

Lösung

An der (Admin-) Kommandozeile lässt sich ab Server 2008 der Standardpfad ändern. Es empfielt sich, die neue OU vor „unabsichtlichem löschen“ zu schützen. Außerdem benötigt die Änderung ein Domänenfunktionslevel von mindestens „Windows Server 2003“ und Windows Server 2008 als ausführenden DC.

Für Computer

C:\> redircmp OU=NeueComputerOU,DC=domain,dc=tld
Beispiel: redircmp OU=NeueComputerOU,DC=diebestedomain,dc=local

Für Benutzer

C:\> redirusr OU=NeueBenutzerOU,DC=domain,dc=tld
Beispiel: redirusr OU=NeueBenutzerOU,DC=diebestedomain,dc=local

Mögliche Fehler

„Error, could not locate the Primary Domain Controller for the current domain: The specified domain either does not exist or could not be contacted. Redirection was NOT successful.“

Der PDC-Emulator ist in diesem Moment nicht erreichbar oder der SID-Master war (in der Vergangenheit einmal) zu lange nicht erreichbar.

„Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: Insufficient Rights Redirection was NOT successful.

Nicht ausreichende Berechtigungen – CMD als Administrator aufgeführt?

„Error, unable to modify the wellKnownObjects attribute. Verify that the domain functional level of the domain is at least Windows Server 2003: No Such Object Redirection was NOT successful.“

Die angegebene OU existiert nicht – Pfad prüfen.

Mehr Informationen in der KB: https://support…/324949

 

BitLocker fragt ständig nach Recovery-Key

Problem

Nach einem Firmware oder BIOS-Update fragt Bitlocker ständig beim booten nach dem superlangen Wiederherstellugnsschlüssel (Recovery-Key).

Lösung

Korrekte Vorgehensweise um ein BIOS-Update bei Bitlocker durchzuführen wäre:

  1. Systemsteuerung > System und Sicherheit > Bitlocker-Laufwerksverschlüsselung
  2. Schutz anhalten“ (NICHT „DEAKTIVIEREN“!!)
  3. *reboot* (mit Schlüsseleingabe)
  4. Systemsteuerung > System und Sicherheit > Bitlocker-Laufwerksverschlüsselung
  5. Schutz aktivieren
  6. *reboot*

Microsoft Office Picture Manager in Office 2013/2016 kostenlos nachinstallieren

Problem

Benutzer beschweren sich, dass bei Office 2013/2016 der nette „Office Picture Manager“ nicht mehr dabei ist. Dieser war so komfortabel zu bedienen und so weiter.

Lösung

Man kann den Microsoft Office Picture Manager jederzeit kostenlos und ohne Lizenz-Probleme nachinstallieren. Der Picture Manager ist nämlich im „Microsoft SharePoint Designer 2010“ enthalten und diesen gibt es kostenlos zum Download.

Nach der Installation steht der Picture Manager wie gewohnt zur Verfügung. Bei einem Lizenz-Audit wird aus der Lizenzverwendung der „SharePoint-Designer“ ausgelesen, welcher kostenlos erhältlich ist. Das Produkt ist nicht in der Office-Lizenz ehthalten.

Auf der ersten Setup-Karte bei den Office-Tools „nicht verfügbar“ auswählen, dann auf der Folgekarte unter „Office Tools“ denPicture Manager auf „Installieren“ stellen.

Windows 10 zeigt nicht alle Drucker an

An einem Windows 10 Pro-Rechner fiel auf, das nicht alle Drucker unter der Ansicht „Geräte und Drucker“ angezeigt werden. In den „STRG+P“ Druckdialogen von Anwendungen hingegen schon. Für dieses Verhalten kann es offensichtlich einige verschiedene Ursachen geben – meistens ein kaputter Druckertreiber (oder PDF-Writer). Als schnellen workaround kann man die Druckeransicht von früher verwenden.

Start -> Ausführen:

shell:::{26EE0668-A00A-44D7-9371-BEB064C98683}\0\::{2227A280-3AEA-1069-A2DE-08002B30309D}

WSUS 4 Performance optimieren durch Datenbank-Reindexierung, Löschen und manuelles bearbeiten

Der WSUS unter Windows Server 2012/2012R2 und 2016 zeigt ab und zu gewisse Performance-Schwächen. Das äußert sich beispielsweise in dem berüchtigten „Serverknoten zurücksetzen“ Fehler oder dem „Fehler bei der Verbindung zur WSUS-Datenbank“ Anzeige.

Lösung

Der WSUS-Server ist tatsächlich ein Performance-Fresser. die Update-Datenbank ist riesig. Nicht immer ist hier die WID (Windows-Interne Datenbank) die richtie Lösung. Wartungsscripts und Neuindexierungsjob gibt es hier leider nicht.

Tipp 1 – WSUS-Datenbank defragmentieren und neuindexieren

  1. WSUSDBMaintenance Scripts herunterladen (nicht auf die Version achten – läuft auch unter WSUS 4)
  2. Microsoft® Command Line Utilities 11 for SQL Server herunterladen und installieren (oder alternativ das SMSS verwenden)
  3. Die Scripts ausführen:
    sqlcmd -E -S np:\\.\pipe\MICROSOFT##WID\tsql\query -i WsusDBMaintenance.sql

Tipp 2 – Cleanup-Agent laufen lassen

Der WSUS „Assistent für die Serverbereinigung“ kann die Datenbank deutlich entschlacken (und für mehr Platz sorgen). Läuft der Assistent nicht durch, hilft oft dieser Artikel.

Tipp 3 – Mehr Leistung

Ein WSUS mit vier Kernen und 8Gb RAM kann etwa 5000 Clients gut und schnell bedienen. viele WSUS-Maschinen haben aber deutlich weniger Ressourcen; eine leichte Aufstockung kann hier wunder bewirken.

Tipp 4 – Abgelaufene oder ersetzte Updates löschen

Der Fehler in diesem Artikel kann auch die Ursache für Verbindungstimeouts des Konsolenclients sein.

Dieses SQL-Script löscht die Updates direkt in der Datenbank, ohne einen externen Binärassistenten. Alle diese Updates auf einmal, ohne manuelles suchen.

DECLARE @var1 INT 
DECLARE @msg nvarchar(100) 
CREATE TABLE #results (Col1 INT) INSERT INTO #results(Col1) 
EXEC spGetObsoleteUpdatesToCleanup 
DECLARE WC Cursor FOR SELECT Col1 FROM #results 
OPEN WC 
FETCH NEXT FROM WC INTO @var1 WHILE (@@FETCH_STATUS > -1) 
BEGIN SET @msg = 'Deleting ' + CONVERT(varchar(10), @var1) RAISERROR(@msg,0,1) WITH NOWAIT 
EXEC spDeleteUpdate @[email protected] 
FETCH NEXT FROM WC INTO @var1 
END 
CLOSE WC 
DEALLOCATE WC 
DROP TABLE #results

Tipp 5 – SQL-Server Timeout für di WID/SUSDB hochsetzen/abschalten

Die meisten Konsolenaktionen laufen fehlerfrei durch, wenn man das SQL-Timout für querys entweder sehr hoch ansetzt, oder gleich ganz abschaltet. Achtung: Wenn man das Timeout abschaltet, laufen auch „tote“ Anfragen durch, bis sie fertig sind. Default sind 600 Sekunden.

USE SUSDB;  
GO  
EXEC sp_configure 'remote query timeout', 0 ;  
GO  
RECONFIGURE ;  
GO