Zuvor genehmigte Softwareupdates sind möglicherweise ungenehmigt, wenn Sie einen Server, der SUS 1.0 mit SP1 ausführt, nach dem 12. Dezember 2005 synchronisieren

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 912307 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
912307 Previously approved software updates may be unapproved if you synchronize a server that is running SUS 1.0 with SP1 after December 12, 2005
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Wenn Sie einen Server, der Microsoft Software Update Services (SUS) 1.0 mit Service Pack 1 (SP1) ausführt, nach dem 12. Dezember 2005 synchronisieren, sind alle zuvor genehmigten Softwareupdates möglicherweise ungenehmigt. Außerdem zeigen diese Updates auf der Seite Approve updates (Updates genehmigen) möglicherweise den Status "updated" (aktualisiert) an. Bei Servern, die SUS 1.0 mit SP1 ausführen und am 13. Dezember 2005 oder danach bereitgestellt wurden, tritt dieses Problem nicht auf.

Wenn auf der Seite Set Options (Optionen festlegen) die Option Automatically approve new versions of previously approved updates (Neue Versionen von zuvor genehmigten Updates automatisch genehmigen) aktiviert ist, zeigen die Updates den Status "updated" an, sind jedoch auf der Seite Approve updates nicht deaktiviert. In diesem Szenario sind Sie von diesem Problem nicht betroffen.

Mögliche Auswirkungen

Dieses Problem hat in Umgebungen, in denen auf allen SUS-Clientcomputern alle zuvor genehmigten Updates installiert sind, nur minimale Auswirkungen. Allerdings können Clientcomputer, die zuvor genehmigte Updates noch nicht heruntergeladen haben, anfällig gegenüber Sicherheitsrisiken sein, die von diesen Updates behoben werden. Diese SUS-Clientcomputer bleiben anfällig, bis die Genehmigungen zurückgesetzt werden.

Folgende Clients können u. a. von dieser Anfälligkeit betroffen sein:
  • Neue Systeme, die gerade erst online geschaltet wurden.
  • Mobile Systeme, die außerhalb der Umgebung waren und SUS für einige Zeit nicht verwendet haben.
  • Systeme, die ausgeschaltet waren.
Es wird empfohlen, eine der Methoden im Abschnitt "Abhilfe" zu verwenden, um die Genehmigungen für Ihre Umgebung zurückzusetzen. Wenn Sie diese Methoden nicht verwenden, könnte für Ihre Umgebung ein Sicherheitsrisiko bestehen.

Abhilfe

Verwenden Sie je nach Ihrer Situation eine der folgenden Methoden, um dieses Problem zu umgehen.

Wichtig: Wenn Sie in Ihrer Umgebung einen untergeordneten SUS-Server verwenden, lesen Sie den Abschnitt "Überlegungen für Umgebungen mit einem untergeordneten SUS-Server".
  • Verwenden Sie Methode 1, wenn eine Sicherungskopie der Datei "Approveditems.txt" verfügbar ist.

    Hinweis: Methode 1 ist die empfohlene Methode zur Umgehung dieses Problems. Wenn Sie eine Sicherungskopie der Datei "Approveditems.txt" haben, sollten Sie diese Methode verwenden.
  • Verwenden Sie Methode 2 oder Methode 3, wenn keine Sicherungskopie der Datei "Approveditems.txt" verfügbar ist.

    Hinweis: Methode 2 ist die empfohlene Methode zur Umgehung dieses Problems, wenn Sie keine Sicherungskopie der Datei "Approveditems.txt" haben.

Methode 1: Datei "Approveditems.txt" wiederherstellen

Diese Methode wird empfohlen, wenn eine Sicherungskopie der Datei "Approveditems.txt" verfügbar ist.

Stellen Sie die Datei "Approveditems.txt" wieder her, und gehen Sie auf die vorherigen Einstellungen zurück. Gehen Sie hierzu folgendermaßen vor:
  1. Beenden Sie den SUS-Synchronisierungsdienst. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
      net stop wusyncservice
      exit
  2. Kopieren Sie Ihre Sicherungskopie der Datei "Approveditems.txt" in die folgenden Ordner:
    • Virtuelles SUS-Stammverzeichnis\
    • Virtuelles SUS-Stammverzeichnis\Autoupdate\Dictionaries
    Hinweis: Virtuelles SUS-Stammverzeichnis steht für den Pfad zum virtuellen SUS-Stammverzeichnis. Dies könnte zum Beispiel der Pfad "Inetpub\Wwwroot" sein.
  3. Starten Sie den SUS-Synchronisierungsdienst neu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
      net start wusyncservice
      exit
  4. Klicken Sie auf der Seite "http://Servername/SUSAdmin" auf Set options.
  5. Klicken Sie im Bereich Select how you want to handle new versions of previously approved updates (Auswählen, wie neue Versionen zuvor genehmigter Updates behandelt werden) auf Automatically approve new versions of previously approved updates.
  6. Führen Sie eine erneute Synchronisierung des SUS-Servers durch.
Die zuvor genehmigten Updates erscheinen als genehmigt. Die neuesten Updates stehen zur Genehmigung zur Verfügung.

Methode 2: Approval Analyzer Tool verwenden

Diese Methode wird empfohlen, wenn keine Sicherungskopie der Datei "Approveditems.txt" verfügbar ist.

So laden Sie das Approval Analyzer Tool herunter

Hinweis: Es ist inzwischen eine aktualisierte Version des Approval Analyzer Tools verfügbar. Bei der ursprünglichen Version des Approval Analyzer Tools vom 14. Dezember 2005 besteht ein bekanntes Problem. Dieses Problem könnte dazu führen, dass einige Updates, die zuvor vom SUS-Administrator nicht genehmigt wurden, genehmigt und möglicherweise bereitgestellt werden. Wenn Sie die Version des Approval Analyzer Tools vom 14. Dezember 2005 bereits heruntergeladen haben, verwenden Sie diese Version nicht. Laden Sie stattdessen die neueste Version des Tools herunter.

Die neueste Version des Approval Analyzer Tools steht auf folgender Microsoft-Website zum Download zur Verfügung:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8D7310F8-DE9C-4326-AA26-39D633C295FF
Hinweis: Das Approval Analyzer Tool ist in einer selbstextrahierenden EXE-Datei enthalten, die mithilfe von IExpress gepackt wurde. Weitere Informationen zu Befehlszeilenoptionen für IExpress-Softwareupdatepakete finden Sie im folgenden Artikel der Microsoft Knowledge Base:
197147 Befehlszeilenoptionen für IExpress-Softwareupdatepakete

Dateiinformationen zum Approval Analyzer Tool

Die englische Version dieses Pakets weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie sich die Dateiinformationen ansehen, werden diese Angaben in die lokale Zeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln.
Tabelle minimierenTabelle vergrößern
DateinameDateiversionDateigrößeDatumUhrzeit
Approval analyzer tool.exe6.0.3790.091.88815.12.0519:12

Vom Approval Analyzer Tool durchgeführte Aktionen

Wenn Sie das Approval Analyzer Tool ausführen, führt es folgende Aktionen durch:
  • Es erstellt eine Sicherungskopie der Datei "ApprovedItems.txt". Die Sicherungsdatei erhält den Namen "ApprovedItems.txt.bup" und wird im folgenden Ordner gespeichert:
    Virtuelles SUS-Stammverzeichnis\autoupdate\dictionaries\
    Hinweis: In diesem Pfad steht Virtuelles SUS-Stammverzeichnis für den Pfad zum virtuellen SUS-Stammverzeichnis. Dies könnte zum Beispiel der Pfad "Inetpub\Wwwroot" sein.
  • Es identifiziert die fehlerhafte Synchronisierung, nachdem der neue Katalog freigegeben wird.
  • Es findet den letzten gültigen Genehmigungsstatus vor diesem Synchronisierungsdatum.
  • Es stellt die Genehmigungen vom letzten gültigen Genehmigungsstatus in einer temporären Datei "ApprovedItems.txt" wieder her.
  • Es stellt sicher, dass alle Genehmigungen vom letzten gültigen Genehmigungsstatus wiederhergestellt werden. Außerdem stellt es sicher, dass alle Genehmigungen nach der fehlerhaften Synchronisierung wiederhergestellt werden.
  • Es generiert eine temporäre Datei "ApprovedItems1.txt" mit allen vorherigen Genehmigungen.

So verwenden Sie das Approval Analyzer Tool

Gehen Sie folgendermaßen vor, um dieses Problem mithilfe des Approval Analyzer Tools zu umgehen:
  1. Führen Sie das Approval Analyzer Tool aus. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung net stop wusyncservice ein, und drücken Sie die [EINGABETASTE].
    3. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE]:
      run "cscript RollBackToLKGApprovals.vbs"
      exit
  2. Benennen Sie die Datei "ApprovedItems1.txt" in "ApprovedItems.txt" um, und kopieren Sie die umbenannte Datei in die beiden folgenden Ordner, um alle vorhandenen Kopien der Datei "ApprovedItems.txt" zu überschreiben:
    • Virtuelles SUS-Stammverzeichnis\
    • Virtuelles SUS-Stammverzeichnis\autoupdate\dictionaries\

      Hinweis: Der Standardpfad für das virtuelle SUS-Stammverzeichnis ist "Inetpub\Wwwroot". Gehen Sie folgendermaßen vor, um das virtuelle SUS-Stammverzeichnis zu finden:
      1. Klicken Sie auf Start, klicken Sie auf Alle Programme, klicken Sie auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.
      2. Klicken Sie auf Websites.
      3. Klicken Sie mit der rechten Maustaste auf die Website, auf der SUS installiert ist, klicken Sie auf Eigenschaften und anschließend auf die Registerkarte Basisverzeichnis. Notieren Sie sich den lokalen Pfad.

        Hinweis: SUS ist standardmäßig auf der Standardwebsite installiert.
  3. Starten Sie den SUS-Synchronisierungsdienst, um die Änderungen von der reparierten Datei "ApprovedItems.txt" zu übernehmen, und stellen Sie dann den vorherigen Status des Computers wieder her. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE]:
      net start wusyncservice
      exit
  4. Bestätigen Sie im Bereich Approve updates der Festplattenseite, dass neue Updates vom Dezember-Sicherheitsupdate den korrekten Genehmigungsstatus haben.
Hinweis: Wenn bei der Ausführung des Approval Analyzer Tools ein Problem auftritt, lesen Sie den Abschnitt "Maßnahmen, wenn beim Ausführen des Approval Analyzer Tools ein Problem auftritt".

Methode 3: Datei "Approveditems.txt" manuell aktualisieren

Diese Methode wird empfohlen, wenn Sie keine Sicherungskopie der Datei "Approveditems.txt" haben und nicht warten möchten, bis eine aktualisierte Version des in Methode 2 beschriebenen Approval Analyzer Tools zum Download zur Verfügung steht.

Gehen Sie folgendermaßen vor, um die Datei "Approveditems.txt" manuell zu aktualisieren:
  1. Erstellen Sie eine Sicherungskopie der Datei "Inetpub\Wwwroot\Approveditems.txt".
  2. Beenden Sie den SUS-Synchronisierungsdienst. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
      net stop wusyncservice
      exit
  3. Überprüfen Sie in der Datei "Inetpub\Wwwroot\Autoupdate\Administration\History_Approve.xml", welche Softwareupdates genehmigt wurden.

    Stellen Sie sicher, dass dabei alle in der Datei "History _Approve.xml" aufgelisteten Updates einbezogen werden, die vor der Synchronisierung vom 13. Dezember 2005 genehmigt wurden. Beziehen Sie auch alle Updategenehmigungen ein, die nach der Synchronisierung vom 13. Dezember 2005, aber vor der Identifizierung dieses Problems durchgeführt wurden.
  4. Verwenden Sie den Editor oder einen anderen Texteditor, um die Datei "Inetpub\Wwwroot\Approveditems.txt" so zu ändern, dass sie den Genehmigungen in der Datei "History_Approve.xml" vor der Synchronisierung vom 13. Dezember 2005 entspricht.

    Nachfolgend sehen Sie einen Abschnitt einer Beispieldatei "Approveditems.txt":
    com_microsoft.q832894_ie_server2003,<approval_value>|0@|0@|2004-03-11T01:03:16
    com_microsoft.q832894_ie501_sp2,<approval_value>|0@|0@|2004-03-11T01:03:16
    com_microsoft.q832894_ie501_sp3,<approval_value>|0@|0@|2004-03-11T01:03:16
    com_microsoft.q832894_ie501_sp4,<approval_value>|0@|0@|2004-03-11T01:03:16
    In diesem Beispiel steht <approval_value> (Genehmigungswert) für einen Wert, der die Genehmigungsinformationen angibt. Der Genehmigungswert erscheint in der Textdatei als 0@ oder 1@.

    Hinweis: Für die Genehmigungsinformationen gelten folgende Regeln:
    0@ = nicht genehmigt
    1@ = genehmigt
    Beispielsweise kann die Datei "Approveditems.txt" einen Abschnitt wie den folgenden enthalten:
    com_microsoft.q832894_ie_server2003,1@|0@|0@|2004-03-11T01:03:16
    com_microsoft.q832894_ie501_sp2,0@|0@|0@|2004-03-11T01:03:16
    com_microsoft.q832894_ie501_sp3,1@|0@|0@|2004-03-11T01:03:16
    com_microsoft.q832894_ie501_sp4,0@|0@|0@|2004-03-11T01:03:16
    In diesem Beispiel ist das Update "com_microsoft.q832894_ie_server2003" genehmigt. Das Update "com_microsoft.q832894_ie501_sp2" ist nicht genehmigt.
  5. Speichern und schließen Sie die Datei "Approveditems.txt".
  6. Kopieren Sie die geänderte Datei "Approveditems.txt" vom Ordner "Inetpub\Wwwroot" in den Ordner "Inetpub\Wwwroot\Autoupdate\Dictionaries".
  7. Starten Sie den SUS-Synchronisierungsdienst neu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
      net start wusyncservice
      exit
  8. Klicken Sie auf der Seite "http://Servername/SUSAdmin" auf Set options.
  9. Klicken Sie im Bereich Select how you want to handle new versions of previously approved updates auf Automatically approve new versions of previously approved updates.
  10. Führen Sie eine erneute Synchronisierung des SUS-Servers durch.
Die zuvor genehmigten Updates erscheinen als genehmigt.

Weitere Informationen

Überlegungen für Umgebungen mit einem untergeordneten SUS-Server

Wenn Sie einen untergeordneten SUS-Server verwenden und dieser nicht darauf konfiguriert ist, den Ersetzungsmodus (Replace Mode) zu verwenden, führen Sie die Schritte im Abschnitt "Abhilfe" für den untergeordneten SUS-Server durch.

Wenn Sie einen untergeordneten SUS-Server verwenden und dieser darauf konfiguriert ist, den Ersetzungsmodus zu verwenden, führen Sie die Schritte im Abschnitt "Abhilfe" für den übergeordneten SUS-Server durch, und synchronisieren Sie dann den untergeordneten SUS-Server mit dem übergeordneten Server. Dabei kopiert der übergeordnete SUS-Server die reparierte Datei "Approveditems.txt" auf den untergeordneten SUS-Server.

Gehen Sie folgendermaßen vor, um festzustellen, ob ein untergeordneter SUS-Server für den Ersetzungsmodus konfiguriert ist:
  1. Öffnen Sie die Seite "http://Servername/SUSAdmin", und klicken Sie auf Set Options.
  2. Vergewissern Sie sich unter Select which server to synchronize content from (Auswählen, von welchem Server Inhalte synchronisiert werden), dass die Option Synchronize list of approved items updated from this location (Replace Mode) (Von diesem Standort aktualisierte Liste genehmigter Elemente synchronisieren [Ersetzungsmodus]) aktiviert ist.

Maßnahmen, wenn beim Ausführen des Approval Analyzer Tools ein Problem auftritt

Das Tool ist nicht invasiv und kann den Computer nicht beschädigen.

Gehen Sie folgendermaßen vor, um den Computer nach dem Ausführen des Tools im Zustand vor der Genehmigung wiederherzustellen:
  1. Beenden Sie den SUS-Synchronisierungsdienst. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
      net stop wusyncservice
      exit
  2. Suchen Sie die Datei "Approveditems.txt". Benennen Sie die Datei in "ApprovedItems.txt.old" um.

    Die Datei "Approveditems.txt" befindet sich in den folgenden Ordnern:
    • Virtuelles SUS-Stammverzeichnis\
    • Virtuelles SUS-Stammverzeichnis\Autoupdate\Dictionaries
    Hinweis: Virtuelles SUS-Stammverzeichnis steht für den Pfad zum virtuellen SUS-Stammverzeichnis.
  3. Suchen Sie die Datei "ApprovedItems.txt.bup". Benennen Sie die Datei in "Approveditems.txt" um. Kopieren Sie die Datei anschließend in die in Schritt 2 aufgelisteten Ordner.

    Die Datei "ApprovedItems.txt.bup" befindet sich im folgenden Ordner:
    <Virtuelles SUS-Stammverzeichnis>\autoupdate\dictionaries\
  4. Starten Sie den SUS-Synchronisierungsdienst neu. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und auf Ausführen, geben Sie cmd in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, und drücken Sie nach jedem Befehl die [EINGABETASTE].
      net start wusyncservice
      exit
Die zuvor genehmigten Elemente werden entfernt. Diese Elemente erscheinen wie vor der Ausführung des Approval Analyzer Tools als "updated".

Eigenschaften

Artikel-ID: 912307 - Geändert am: Dienstag, 31. Januar 2006 - Version: 5.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Software Update Services
Keywords: 
kbtshoot kbsecurity kbexpertiseadvanced KB912307
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com