forums.wsusoffline.net

Hallo,

beim Installieren aller Updates auf einen Windows 7 Clienten, hat der Rechner beim Neustart gefragt ob ich den Start der CMD(oder war es eine BAT?!?)-Datei zulassen möchte.
Wenn ich automatische Neustarts aktiviere und nicht am Rechner sitzen kann, werden deswegen keine weiteren Updates installiert.
Bitte verseht den Benutzer der dafür erstellt wird, bitte mit den Rechten ohne Smartscreen arbeiten zu dürfen.

Vielen Dank im Vorraus.


blackerking

Kurzer Test:
Gehen Sie in den Ordner .\client\cmd und sehen sich die Eigenschaften der Datei "CleanupRecall.cmd" an. Steht dort etwas von "Diese Datei kann Schaden [...] anrichten." mit einem Zulassen-Button ganz unten?

Viele Grüße

Ja, diese Datei muss erst mit einen Haken bei "Zulassen" erlaubt werden.

Dann bitte eine Eingabeaufforderung öffnen und folgende Befehle eingeben:

Code: Select all

cd /d "<Ihr wsusou Verzeichnis">
.\bin\streams.exe -d -s .


Bitte einmal gegenprüfen, ob diese Meldung nun entfernt ist. Wenn ja ist das Problem gelöst.
Sonst vor dem Download von wsusou, den Zulassen-Butten in den Eigenschaften des ZIP-Archives anklicken, bevor Sie es entpacken.

@WSUSUpdateAdmin
Könnte die DownloadUpdates.cmd nicht bei existierendem ZoneIdentifier diesen automatisch löschen?

Viele Grüße

Moin!

aker wrote:Könnte die DownloadUpdates.cmd nicht bei existierendem ZoneIdentifier diesen automatisch löschen?

Letztlich stört der "zone identifier" im Verzeichnis %SystemRoot%\Temp\WOURecall, von wo die Batches ja beim "recall" aufgerufen werden (vgl. PrepareRecall.cmd Zeile 59).
Dabei werden sie vom WOU-Installationsmedium dorthin kopiert, also zu einem Zeitpunkt, zu dem der Download-Teil mit "streams.exe" möglicherweise gar nicht mehr verfügbar ist.

Um beurteilen zu können, ob eine Umstellung/Änderung hier sinnvoll oder notwendig ist, wüsste ich zunächst einmal gern, wo bzw. wie die WOU-Batches sich denn in diesem Szenario den "zone identifier" eingefangen haben, denn ausgeliefert wird das Release-Archiv bzw. dessen Inhalt ohne die "zone identifier".

Also: Ist das ein Einzelfall-Problem (wild übers Netz kopiert, einzelne Datei manuell von http://trac.wsusoffline.net/browser/trunk nachgeladen o.ä.) oder ein generelles (, das bisher noch niemandem aufgefallen ist)?

Gruß
Torsten

Soweit ich weiß, werden die ZoneIDs 'vererbt' wenn die ZIP (mit ZoneID) entpackt wird (möglicherweise nur für das Windows-eigene 'ZIP-Ordner' Feature). Das erklärt allerdings nicht die Ereignisse auf dem Zielsystem, da die Installationsdatenträger ja keine Alternate Streams unterstützen.

Möglich wären:
- Es wurde ein NTFS-formatiertes USB-Medium benutzt, oder
- hohe Sicherheitseinstellung auf dem Zielsystem schreiben neue ZoneIDs (meistens bei Servern).

Sollte jemand ein konkretes Szenario kennen, bitte vortreten.

Die Identifier werden aus ZIPs vererbt, sofern der Windows Explorer zum Entpacken verwendet wird (bei Drittanbiereprogrammen weiß ich es nicht, 7-Zip vererbt ihn nicht). Ob dies mit der Internetsicherheitsrichtlinie zusammenhängt, weiß ich jetzt zumindest nicht auswendig. Dieses Verhalten konnte ich schon unter Windows XP, 8.1 x64 und diversen Windows 7 Versionen (x86 und x64) mit Default-Einstellungen beobachten.

Viele Grüße

Moin!

http://trac.wsusoffline.net/browser/trunk (r687): '- DownloadUpdates.cmd script will now delete NTFS alternate data streams from new or updated script files (Thanks to "blackerking", "boco" and "aker")'

Danke, Gruß & ein schönes Wochenende,
Torsten

Beim Durchsehen der Änderungen aus r687 fiel mir gerade auf, dass der Code zur Entfernung der Streams (":ZoneIdentifier") nach Erst-Entpacken gar nicht aufgerufen/ausgeführt wird, weil die streams.exe nicht existiert.
Ausschnitt aus der DoUpdate.cmd:

Code: Select all

if exist UpdateOU.new ( *** nur nach Download bzw. Update ***
  [...]
  if exist ..\bin\streams.exe ( *** da bei Erst-Entpacken die streams.exe nicht vorhanden ist: nur noch nach Update ***
    ..\bin\streams.exe /accepteula ..\*.* >nul 2>&1
    [...]
  ) else (
    echo Warning: Sysinternals' NTFS alternate data stream handling tool ..\bin\streams.exe not found.
    echo %DATE% %TIME% - Warning: Sysinternals' NTFS alternate data stream handling tool ..\bin\streams.exe not found>>%DOWNLOAD_LOGFILE%
  )
)


M.E. ist aber die Erst-"Installation" eine der Hauptursachen für den Zone-Identifier. Bei einem Selbst-Update mittels unzip.exe tritt dies in Standard-Konfiguration con Windows tritt dies nämlich nicht auf. Somit sollte der Fall "Erst-Installation" auch mit abgedeckt werden (Stream-Cleanup nach hinten verschieben bzw. streams.exe vorher downloaden).

Viele Grüße

Moin!

Richtig, http://download.wsusoffline.net/wsusoffline1002.zip.

Danke, Gruß & ein schönes Wochenende,
Torsten