Server2016 mit KSWS keine WSUS-Updates mehr

[FrankB]

Hallo,
wir haben verschiedene Servertypen, alle mit KSWS (aktuelle Version) und neuestem Agent (12.2) am laufen. 

Seit Mitte Oktober haben wir jedoch ein unsägliches und überaus problematisches Problem:

Ruft man die Windowsupdates auf, kommt KEIN Hinweis mehr auf die GPO-Steuerung und ein Suchen führt zu dem Fehler 

 

Mit Server 2012R2 und Server 2019 tritt dieses Problem NICHT auf. Einige Server konnten wir inplace auf 2019 updaten und seitdem ist das Problem weg. Das geht aber nicht bei allen Servern.

Installieren wir einen frischen Server2016 ohne Kaspersky, hat dieser das Problem erstmal nicht und kann sämtliche Updates reinziehen.

Sucht man nach 0x80070006 führt zu den abstrusesten Artikeln, die jedoch nicht weiterhelfen. Das schein eine allgemeine Universalfehlermeldung zu sein.

Probiert man die Problembehebung für WSUS, wird scheinbar der BITS “behoben”. Dieser startet dann aber glücklicherweise nach einem Serverreboot doch wieder. Aber das Problem bleibt bestehen. Die anderen typischen clientseitigen WSUS-Behebungen haben wir schon durch.

Am WSUS-Server scheint es nicht zu liegen, denn Clients und andere Server werden ja weiterhin betankt.

Was kann man tun?

 

 

[Rene.W]

Hi Frank.

 

ich schließe  mich Deinen Problem mit an. Das selbe ist bei uns auch so. Wir betreiben Server 2016 und mit der aktuellsten Version ist es nicht mehr möglich Windows Updates zu installieren. Die Server, die noch auf der älteren Version laufen (10.1.2.966) funktionieren einwandfrei.

[alexcad]

Aktuellste Version ist KS4WS 11.0 oder 10.1.2?

Grüße
Alex

[Rene.W]

Die Version: 11.0.0.480

[FrankB]

KSWS 11.0.0.480 setzen wir ein

[alexcad]

Dann würde ich euch empfehlen ein Ticket beim Support zu erstellen
https://companyaccount.kaspersky.com/account/login

Ticketnummer und Lösung gerne hier posten.

Grüße
Alex​​​​​​​

[FrankB]

Ticket ist erstellt: INC000012081600

Mal sehen, was passiert. Ist ja gar nicht dringend, da heute schon wieder Patchday ist.

Grüße
Frank

[FrankB]

habe noch etwas experimentiert und es wird immer grausiger:

Installiert man auf einem frischen und funktionstüchtigen Server2016, kann man ab der Installation von KSWS11.0.0.480 keine Updates mehr vom WSUS herunterladen. Unser Server hatte bereits Updates gesehen bevor der KSWS11 installiert wurde. Seitdem (ca. 12h) steht er auf "lade herunter".
Ein System-Neustart hat nicht geholfen.
Deinstallation KSWS11 hilft auch nicht mehr, es werden keinerlei Updates mehr gefunden. Der Hinweis auf "wird durch ihre Organisation verwaltet" taucht nicht mehr auf.

Ein weiteres System, welches bereits in diesem Fehlerbild hängt. Vermutung war zunächst das letzte eingespielte Update "2020-10 Cumulative Update for Windows Server 2016 for x64-based Systems (KB4580346)".
Daher wurde dieses testweise deinstalliert. Leider ohne weitere Abhilfe, aber er findet genau nur dieses Update, welches er wieder einspielt.
Jetzt wird es ganz abstrus, denn man kann über die Systemsteuerung wieder dieses KB4580346 deinstallieren, bekommt aber über die WindowsUpdate-Eintellungsseite genau diese Update zum Einspielen angeboten.
Scheinbar haben das Patchmanagement (Patches Deinstallieren) und Windowsupdate (Update einspielen) nicht mehr die gleichen Daten.

 

[Marcus S.]

Hallo FrankB,

 

leider habe ich die Nachricht von Dir zu spät gelesen und gestern nach dem Windows Update-Lauf auf allen Windows Servern 2016 std., welche ich betreue, die KS4WS 11.0.0.280 installiert, nachdem auf vielen Servern noch die 10.1.0.622 installiert war.

Leider jetzt auch selbiges Problem auf allen Servern.

WSUS-Dienst läuft noch - Gott sei Dank - die PCs, Laptops, Tablets, etc. bekommen alle noch ihre Updates geliefert, aber alle Server die jetzt die aktuelle KS4WS 11.x drauf haben, zeigen die identische Fehlermeldung, wie bei Dir.
 

Ticket meinerseits ist auch erstellt: INC000012085769

 

Ich hoffe, dass es hier bald Abhilfe gibt.

 

Es wird bei Dir sicher auch auf den Servern so aussehen, wenn Du die Problembehandlung für Windows Update laufen lässt, zeigt es irgendwann an, dass die Datenbank von Windows Update beschädigt ist und nicht repariert werden kann/konnte.
Auf einem Testsystem habe ich die Datenbank anschließend gelöscht und neu erstellen lassen, das hilft aber leider nicht. Der Fehler bleibt weiterhin bestehen.

Und wie Du schon schreibst, Deinstallation der KS4WS 11.x hilft auch nicht mehr.

 

Grüße

Marcus

[FrankB]

Hallo Markus,

ja die Problembehandlung ist zunächst sogar fast kontraproduktiv, denn danach startet der BITS erst wieder nach einem Reboot. Aber helfen tut sie nicht.

sfc /scannow oder die DISM-Reparaturen helfen ebensowenig

Deinstallation des Kaspersky beläßt ebenso alle Probleme.

Aber man kann im KSC eine Aufgabe erstellen “Schwachstellensuche usw.” und hier ebenso WindowsUpdates erfragen lassen. Das wird nach Doku vom UpdateClient lokal ausgeführt. Ich konnte das im Windowupdate.log sehen, ebenso steht dort der Auftraggeber “Agent” vermerkt. Über diesen Vorgang findet der Updateclient bei unserem System 14 Updates​​​, die allerdings einige Dubletten aufweisen. In der GUI des Servers gibts dagegen nur diese Fehlermeldung und keine Chance die Updates einzuspielen. Merkwürdig ist auch hier, daß der Updateclient dann direkt ins Internet geht, den WSUS per GPO ignoriert, und daher meint er hätte kein Target. In der Registry stehen diese Werte aber sehr wohl. ​Interessant auch, warum die Suche bei “Failed to retrieve SLS response data for service xyz” den Fehler “0x80040154” vermerkt und er dann umgeleitet wird. Inwieweit das “normal” ist, kann ich nicht beurteilen. Müßte ich das Log mit denen anderer Systeme vergleichen.

Grüße
Frank

[Rene.W]

Habe soeben eine Antwort vom Kaspersky Support erhalten:

 

Öffnen Sie dann die Eingabeaufforderung als Adminsitrator und geben folgendes ein::
sc config wuauserv binPath= "C:\Windows\system32\svchost.exe -k netsvcs"

Dieser command ändert den aktuellen Wert

%systemroot%\system32\svchost.exe -k wuausvcs
in
%systemroot%\system32\svchost.exe -k netsvcs
unter Regkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv

Starten Sie danach die BITS- und WU-Dienste neu und verifizieren Sie sie.
Wenn das Problem weiterhin besteht, starten Sie das Gerät neu und überprüfen Sie es erneut.

 

Bei unseren Servern wurde das Problem damit gelöst. Windows Updates können nun wieder ohne Probleme gesucht werden.

[FrankB]

Hallo Rene, das ist wirklich easy und scheint zu funktionieren.

Bitte ergänze hier noch deine Ticketnummer. Der Kaspersky-Support soll nicht unnötig viele Antworten für das gleiche Problem verbreiten müssen;-)

[Rene.W]

Meine Ticketnummer lautet: INC000012081241

[alexcad]

Hallo FrankB,

kannst du bitte Renes Beitrag als Lösung markieren? Danke!

Grüße
Alex

[FrankB]

Hallo Alex,

ich habe leider ein System, bei dem WindowsUpdate mit dieser Lösung zwar keinen Fehler mehr gezeigt und dafür notwendige Updates angezeigt hat, aber nichts davon geladen hat.

Hier hane ich eine Problembehebung WindowsUpdate durchgeführt und danach wieder genau das ursprüngliche Fehlerbild erhalten.

Das wäre natürlich fatal, wenn eine spätere Problembehebung die Lösung jederzeit wieder zunichte machen kann. Daher teste ich noch und rufe diejenigen auf, es an einem Testsystem auch ggf. auszuprobieren.

Wenn dies nur ein Einzelfall ist und alle anderen Server heute abend sich vernünftig verhalten, werde ich die Lösung entsprechend markieren. Der Kaspersky-Support ist hier übrigens auch vorsichtig und wartet von sich aus noch mit dem Schließen des Tickets.

Grüsse
Frank

[Marcus S.]

Hallo zusammen,

ich bin erst heute dazu gekommen, es zu testen.
Leider funktioniert Windows Update weiterhin nicht. Die Fehlermeldungen lauten jedoch jetzt anders, trotz Neustart:

• Anwendungsserver:  0x80244007
• WSUS-Server: 0x8084401c

Bei beiden zeigt die Problembehandlung der Windows Update Routine:

“Es wurde ein potentieller Fehler bei der Windows Update-Datenbamk erkennt” welcher nicht behoben werden konnte.

Ein Windows Server 2016, auf welchem Exchange 2016 läuft, zeigte nach dem erneuten booten einen BlueScreen mit dem Fehler: Critical Service Failed.
Ich konnte diesen Server nur noch booten, nachdem ich die Treibersignatur ausgeschaltet habe.

Oh man, da kann ja lustig werden.

Grüße

Marcus

[Marcus S.]

Edit um 21:55 Uhr:

Fehler: 0x80244007 konnte durch leeren des Ordners “C:\SoftwareDistribution\” behoben werden.
Fehler: 0x8084401c hat sich von selbst erledigt.

Treibersignatur beim Exchange-Server muss ausgeschaltet bleiben, sonst bootet er nicht mehr.


Grüße

Marcus 

[FrankB]

@Marcus: bei uns läuft Exchange2016 CUL17 auf Server2016 mit Treibersignatur in gewohnten Farben (3 Server)

 

 

 

 

[Marcus S.]

Hallo Frank,

danke für Deine Rückmeldung.
Das Problem tritt mit CU18 tatsächlich nur bei einem auf.
Ich werde da mal suchen. 
Alles andere - sprich Windows Update - funktioniert wieder problemlos.

Grüße

[FrankB]

@Markus: inzwischen mußt du CU19 installieren;-)

[LKaderavek]

Hallo,

ich setze auch Windows Server 2016 ein und habe KSC12 aktualisiert und dann die KSWS11.0.0.480.

Ich setze keinen WSUS ein.

 

Nachdem Rollout von KSWS11 über das KSC und Neustart haben die Server den 0x80070006 gebracht.

 

Ich habe einen Case INC000012206951 geöffnet und bin dann auf diesen Thread gestoßen.

 

Die Anpassung der Service-Config bringt bei mir aber nicht den gewünschten Erfolg, sondern wechselt auf Fehler 0x8007050a.

Dienst-Neustarts und das Löschen des Distribution-Ordners lösen das Problem nicht.

Nachdem ich keinen WSUS einsetze, sondern MS Updates direkt beziehe, würde ich das Problem nun im KSC suchen.

Haben Sie vlt. weitere Infos, wie man den Fehler beheben kann.

Kaspersky meint nämlich, dass es kein Kaspersky Problem sei, das mag stimmen, weil es ja auch die Windows-Updates betrifft, aber eben durch KSWS/KSC ausgelöst.

Bitte um Info.

Danke

LG
Lukas

 

[FrankB]

Hallo,

bei uns funktioniert Renes Lösung auch noch im Dezember. Es wurden vom WSUS-angebotene Patches gesucht, gefunden und eingespielt. Damit bin ich erstmal optimistisch und hoffe, daß bei uns der Spuk wirklich ein Ende hat.

@LKaderavek : viel Glück bei der Suche

Grüsse
Frank

[LKaderavek]

Hallo,

 

wie gesagt wechselt bei mir der Fehler durch Rene’s Lösung in 0x8007050a.

 

Kaspersky findet da irgendwie keinen Zugang zur Lösungsorientierung.

Beim DC war heute auch der RPC Server nicht verfügbar...

 

Ich bleibe dran.

[Marcus S.]

Hallo Frank,

 

ja, danke ich weiß :)

 

Grüße 

Marcus

[alexcad]

Update: Inzwischen wurde CF2 zurück gezogen- CF3 soll zeitnah kommen.

“Inzwischen steht CF2 für KS4WS 11.0.0. zur Verfügung - bitte beim Support anfordern.”

Grüße
Alex