Bei einem Kunden scheiterte Reihenweise die Installation des Updates KB4549951. Auf den Windows 10-Arbeitsplätzen fand sich sowohl in den Einstellungen bei “Update und Sicherheit” als auch im Ereignisprotokoll die Meldung, das ein Update nicht heruntergeladen werden konnte.

Auf dem WSUS war das Update allerdings genehmigt und vermeintlich vorhanden. In der Konsole wurde kein Fehler, mit Ausnahme das die Clients das genannte Update nicht installieren können, zu finden.

Um Rückschlüsse auf die eigentliche Update-Datei zu erhalten, kann man in der WSUS-Konsole mit der rechten Maustaste auf den entsprechenden Eintrag klicken und “Dateiinformationen” auswählen. In der Spalte “Datei-URI” wird die Adresse zum WSUS-Server samt dem Pfad angezeigt:

https://wsus.domain.tld:8531/Content/B8/B4B915F118A64152F6B81F6626E5FE955B8.cab

Dieser entspricht mit Ausnahme von “http(s)://<Servername>:<Port>/…” dem Pfad im Dateisystem. D.h. die entsprechende *.cab-Datei findet man quasi an der gleichen Stelle:

C:\WSUS\WsusContent\B8\B4B915F118A64152F6B81F6626E5FE955B8.cab

Im konkreten Fall war die Datei sogar vorhanden, beim Versuch diese zu öffnen erhielt man allerdings eine Fehlermeldung. Ein Blick in das Protokoll des Virenscanner offenbarte, das dieser einen Trojaner in der Datei detektiert und diesen gelöscht hatte. Das Ganze ist (natürlich) ein False-Positive. Der Virenscanner wurde hinsichtlich des WSUS entschärft, so das nun nur noch Update-Datei neu geladen werden musste.

Die beschädigte Datei wurde gelöscht und das Update wurde abgelehnt. Selbst nach mehreren Durchläufen des Serverbereinigungsassistenten und anschließendem neu genehmigen sowie synchronisieren führten allerdings zu keinen erneuten Download.

Abhilfe schaffte dann der Einsatz des wsusutil. In einer Eingabeaufforderung folgende Befehle ausführen:

cd "C:\Program Files\Update Services\Tools"
wsusutil.exe reset

Die Befehle sind quasi sofort abgeschlossen. Im Hintergrund prüft der WSUS ob die Datenbankeinträge mit den vorhandenen Dateien übereinstimmen. Dieser Vorgang benötigt einige Zeit und erzeugt Last auf dem Server. Anschließend werden alle fehlenden Update-Dateien (nochmals) heruntergeladen. Auch dies dauert je nach Umfang und Internetverbindung durchaus seine Zeit.

Sind diese Vorgänge abgeschlossen sollte beim nächsten Updatedurchlauf auf den Arbeitsplätzen alles wieder ordnungsgemäss funktionieten. In diesem Praxisfall war es auch so.

Ähnliche Artikel:

  1. WSUS – Serverbereinigung nicht vergessen
  2. Windows: Den WSUS mit dem Local Update Publisher (LUP) aufbohren
  3. WSUS: Die Serverbereinigung bricht ab
  4. Windows: Zugang zum WSUS über WAN reglementieren
  5. WSUS: Computer wird nach Upgrade mit falschem Betriebssystem angezeigt