Group Policies + WSUS Server

[Soepstengel]

Ik ben voor school bezig met een project waarin wij een complete server in elkaar moeten zetten in VPC. Het probleem waar ik nu tegen aan loop is dat de group policies die ik aan maak en op een OU zet niet over worden genomen door de client.

De bedoeling is dat ik via een group policy mijn client computer ga vertellen dat hij geen gebruik moet maken van de online update service van MS zelf maar via mijn server. De WSUS server draait nu en kan alles prima verwerken maar ik krijg er geen computers in.

Ik heb al aardig wat zoekwerk vericht op het internet en ben zo dan ook een aantal zaken tegen gekomen die fout waren echter komt mijn group policy nooit bij mijn client aan. Aller eerst heb ik een GP aangemaakt met de naam Test Omgeving en in deze GP staan instellingen voor de computer (Administrative Templates > Update etc), deze staan volgens vele websites en howto's goed ingesteld en zijn dus NIET leeg. Op de client PC voer ik dan de volgende commando uit om de GP te updaten "gpupdate /force" en direct daarna "gpresult" om te kijken welke policies er nou aangekomen zijn en of deze wel zijn door gevoerd. Om een lang verhaal kort te maken staat mijn zelf gemaakt GP niet in de lijst (zie het stuk code hieronder).

Microsoft (R) Windows (R) XP Operating System Group Policy Result tool v2.0
Copyright (C) Microsoft Corp. 1981-2001

Created On 5/7/2007 at 9:27:07 PM



RSOP results for CLIENT01\Administrator on CLIENT01 : Logging Mode
-------------------------------------------------------------------

OS Type:                     Microsoft Windows XP Professional
OS Configuration:            Member Workstation
OS Version:                  5.1.2600
Domain Name:                 RKO
Domain Type:                 Windows 2000
Site Name:                   Default-First-Site
Roaming Profile:             
Local Profile:               C:\Documents and Settings\Administrator
Connected over a slow link?: Yes


COMPUTER SETTINGS
------------------
    CN=CLIENT01,OU=Test Omgeving,DC=rko,DC=local
    Last time Group Policy was applied: 5/7/2007 at 4:09:51 PM
    Group Policy was applied from:      server01.rko.local
    Group Policy slow link threshold:   500 kbps

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups:
    --------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        NT AUTHORITY\Authenticated Users
        

USER SETTINGS
--------------
    
    Last time Group Policy was applied: 5/7/2007 at 4:09:51 PM
    Group Policy was applied from:      N/A
    Group Policy slow link threshold:   500 kbps

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The user is a part of the following security groups:
    ----------------------------------------------------
        None
        Everyone
        BUILTIN\Administrators
        BUILTIN\Users
        NT AUTHORITY\INTERACTIVE
        NT AUTHORITY\Authenticated Users
        LOCAL

Ik heb al gelezen over het feit dat bij er bij mij achter Slow link? yes staat echter heb ik al meerdere malen gehad dat dit nog al eens wisselt. Ik denk eigenlijk ook dat Slow Link niks met GP te maken heeft die niet aan komt.

Heeft iemand dit probleem ook gehad en kunnen jullie mij mischien wat op weg helpen? Ik ben nu namelijk al meer dan twee weken bezig met dit probleem Alvast bedankt in ieder geval!

 

[ZipPe]

De policy automatic update detection frequenty staat default nogal hoog ingesteld 22 h.
Deze loopt op de interne systemklok (cmos). Deze kan je verlagen dan gaat het wat sneller. Ook moet je de "client site targeting" (group name of computer name van wsus server) en de intranet server location goed configureren (naar de wsus server).

Na het instellen van de policies kan je de boel iets bespoedigen met het commando

gpupdate /force

Dan wordt het verniewingsbeleid direct toegepast.

Verder staat WSUS (voorheen SUS) nog een beetje in de kinder schoenen en is nog in ontwikkeling.. Het kan het best lang duren zelfs dagen voor dat hij alle clients en member servers heeft opgepikt.. Als hij er al eens eentje heeft gevonden staat ie goed geconfigureerd en volgt de rest vanzelf wel dan moet je gewoon een beetje geduld hebben.
Hier denkt men al snel dat er wat fout zit.. Maar dat zit meestal in de service zelf die is dus nog niet helemaal af..

In een virtuele omgeving werkt dat na een weekje perfect maar in de praktijk is het ook erg hardware afhankelijk betreffende de clients.
Als daar wat oudjes tussen zitten dan vind hij ze misschien nooit...

 

[Soepstengel]

De policy automatic update detection frequenty staat default nogal hoog ingesteld 22 h.
Deze loopt op de interne systemklok (cmos). Deze kan je verlagen dan gaat het wat sneller. Ook moet je de "client site targeting" (group name of computer name van wsus server) en de intranet server location goed configureren (naar de wsus server).

Oke, en hoe zet ik die detection frequency lager dan?

De "client side targeting" is in principe niet zo'n probleem, deze zorgt er eigenlijk alleen maar voor dat de desbetreffende computer meteen in de goede groep staat. Als deze niet ingesteld staat wordt hij gewoon in de group "unasigned" gezet. De intranet server location staat gewoon prima ingesteld.

Zoals ik al zei ligt het probleem niet in de policy, deze staat gewoon (volgens meerdere bronnen) goed ingesteld, de policy verschijnt echter hellemaal niet. Als de policy leeg is zou deze in ieder geval wel verschijnen maar weg gefilterd worden en zou dat dus in de gpresult tegen moeten komen.

Ik denk ook niet dat het probleem bij de detection freq. ligt omdat de policy gewoon hellemaal niet overkomt (hij is ook nooit overgenomen want de reg keys staan nog gewoon standaard).

 

[ZipPe]

Ik had wat settings door elkaar gehaald

Client side targeting

Specifies the target group name that should be used to receive updates from an intranet Microsoft update service.

Vul daar eens de naam van de OU waar de update server staat.
Dat is de groep waar de client de opdates moet halen..

Zo staat het bij mij nog geconfigureerd en werkt..
Ik heb het nogal al geleden gedaan en moet hard nadenken om de reden precies uit te leggen.. Geen tijd voor..

Dit is de export van mijn settings
Setting State
Do not display 'Install Updates and Shut Down' option in Shut Down Windows dialog box Not configured
Do not adjust default option to 'Install Updates and Shut Down' in Shut Down Windows dialog box Not configured
Configure Automatic Updates Enabled
Specify intranet Microsoft update service location Enabled (2x wsus server name@domain.com)

Enable client-side targeting Enabled (naam van OU waar de wsus server is geplaatst)

Reschedule Automatic Updates scheduled installations Not configured
No auto-restart for scheduled Automatic Updates installations Enabled

Automatic Updates detection frequency Enabled (1 uur)

Allow Automatic Updates immediate installation Enabled
Delay Restart for scheduled installations Not configured
Re-prompt for restart with scheduled installations Enabled
Allow non-administrators to receive update notifications Not configured

Het enige wat daar nog kan knellen is Default domain policies.
Die klinken ook niet altijd even logisch. Als je daar de user toegang tot windows update weigert.. Kan je al problemen verwachten.

Local group policies kan je ook eens nakijken..


Ik heb een week moeten wachten voor dat alle clients waren gevonden..
Het is een rare service, meer kan ik op het moment niet eraan kwijt..

 

[Soepstengel]

Ik vindt het erg vreemd wat je nu verteld want dit zeg absoluut niks van wat er officieel door Microsoft is gezegd en de rest van de informatie op internet. Volgens de documentatie van MS geeft de Client Side Targeting aan waar de client moet komen in welke groep, ook moet je als intranet server een intranet server opgeven (alla http://server01). Ik heb alles trouwens nog een keer nagebootst in VMware en daar werkt alles prima.

Vandaag heb ik VPC de Group Policy Managment tool geinstalleerd en daarmee een simulatie gedraaid op mijn GPO, resultaat daarvan was dat alle instellingen gewoon overgenomen moest worden. Ik ben de resultaten gaan vergelijken en ben er achter gekomen dat mijn client pc niet lid is van de security group Domain Users terwijl dit in de active directory wel het geval is. Blijkbaar is er iets niet goed met de client, hier probeer ik nu een nieuwe voor te vinden/installeren.

 

[ZipPe]

Je hebt helemaal gelijk, ik heb die instelling client side targeting idd verkeerd opgevat..
Sorry.

 

[Soepstengel]

Je hebt helemaal gelijk, ik heb die instelling client side targeting idd verkeerd opgevat..
Sorry.

Maakt niet uit, we zijn hier allemaal om te leren toch?

Ik ga morgen verder me de installatie van mijn nieuwe Win XP, als het goed is moet dit alles oplossen. Als dat waar is post ik dat hier natuurlijk

 

[Soepstengel]

Oke probleem is opgelost! Er zat iets niet goed in de Windows XP client, deze hebben we daarom opnieuw geïnstalleerd en alles werkt nu eindelijk. Waar het probleem binnen de oude XP client lag weet ik niet, maar gelukkig werkt het nu

Bedankt voor de hulp!