Windows11: Optionale Features können nicht installiert werden und Windows-Update wird nicht gezogen

Clientpflege Windowsclient
1

Hallo zusammen,
ich habe das Problem, dass ich keine optionalen Features, wie RSAT-Tools oder Windows-Media-Pack auf meinem Windows11-Client hinzufügen kann. Ich bekomme den Fehler 0x80072EE6 angezeigt (Fehlerbeschreibung). Dieses Problem besteht ebenfalls bei unseren älteren Win10-Modellen.
Nach einigen Recherchestunden und einigen Umsetzungsversuchen scheitere ich weiterhin, Updates oder Features hinzuzufügen.

Folgendes habe ich bereits versucht:

  • GPO: Computer-Konfiguration > Administrative Vorlagen > System > Einstellungen für die Installation optionaler Komponenten und Reparatur von Komponenten angeben > Aktivieren mit dem Haken bei Laden Sie Inhalte für das Reparieren… direkt von Windows Update anstatt von WSUS herunter
  • In der Registry die Pfade bei dem Update-, Alternativ- und Statistik-Server um https:// ergänzt
  • WSUS ausgeschalten, 5 Minuten gewartet, eingeschaltet
  • In der Registry unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU „UseWUServer“=dword:00000001 > auf 0 gesetzt, anschließend den Windows-Update-Dienst neu gestartet
  • Netzwerkprobleme kann ich ausschließen, da das Internet einwandfrei funktioniert
  • Firewall oder Antivirus-Software habe ich überprüft - hier könnte es natürlich sein, dass die Verbindung zum Windows-Update-Server nicht hergestellt werden kann, da der ganze Traffic bei uns über den Proxy geleitet wird - wobei ich dies auch ohne Proxy erfolglos probiert habe. Dennoch könnte es eine Option sein die Whitelist der Firewall anzupassen, wobei die Frage wäre welche Adressen alle für ein Windows-Update bzw. die Optionalen Features benötigt werden (die gängigen Adressen rund um Microsoft sind bereits hinterlegt)
  • Den Ordner SoftwareDistribution habe ich versucht zu löschen, was allerdings nicht ging, da mindestens eine Datei immer in Verwendung war (auch wenn ich diese Datei aus den laufenden Prozessen gekickt habe) - ein Anwendungsfehler meinerseits ist natürlich nicht auszuschließen, da gegebenenfalls ein anderer Prozess auf die Datei zugreift.
  • Ich habe versucht in der Powershell mit dem Befehl DISM.exe /Online /Cleanup-Image /RestoreHealth das aktuelle Image zu reparieren. Allerdings funktioniert dies nur mit einer Quelldatei, die nicht auf dem Client hinterlegt ist, sondern der Client via Linbo bzw. Lmn, was vom Server gezogen wird, geimaged wird. Daher gehe ich nicht davon aus, dass sich solch eine Quelldatei auf den Clients befindet.
  • Es könnte auch an fehlenden Windows-Updates liegen, die ich mit der Fehlermeldung 0x8024500C nicht installieren kann Fehlerbeschreibung. Diesen Fehler habe ich auch versucht zu umgehen bzw. zu lösen, indem ich unter anderem GPOs angepasst (analog zu oben und noch zusätzlich Keine Richtlinie für Updaterückstellungen zulassen, … aktiviert habe.

Conclusion/ Annahme
Ich gehe davon aus, dass es mit der Dömane zu tun hat. Sobald ich den Domänenjoin aufhebe kann ich die Optionalen Features installieren. Die Idee mit Austreten>Installieren>Beitreten funktioniert allerdings nicht, da wir ein Vertrauensstellungsproblem haben, sobald ich der Dömane erneut beitrete. Hinzukommt, dass dies eher eine Symptombekämpfung statt einer Fehlerbehebung wäre.

Langer Beitrag, was daran liegt, dass ich schon vieles versucht habe und nichts funktionieren wollte. Vielleicht hat ja jemand aus der Community ähnliche Probleme gehabt und kann mir weiterhelfen.

Viele Grüße
Mario

2

Hallo,

wen du einen Proxy dafür nutzen willst, sollte dieser auch für den SYTEM-Nutzer hinterlegt sein. Enthält die Ausgabe von netsh winhttp show proxy deinen Proxy? Die Liste von Adressen zum Whitelisten findest du auf Step 2 - Configure WSUS | Microsoft Learn.

Um Software-Distribution löschen zu können, muss der Dienst Windows Update (wuauserv) gestoppt sein.

Pfade zum WSUS-Server sollten nur https:// sein, wenn du da HTTPS entsprechend eingerichtet hast. Per default ist das nicht der Fall, also sollte das ggf. http:// sein.

Normalerweise sollten Sie IIS so konfigurieren, dass Port 8531 für HTTPS-Verbindungen und Port 8530 für HTTP-Verbindungen verwendet wird.

Quelle: Schritt 2: Konfigurieren von WSUS | Microsoft Learn

Viele Grüße
Buster

2 „Gefällt mir“
3

Hallo Buster,
eine späte Antwort meinerseits erfolgt nun, da wir in der Zwischenzeit an der Schule viel ausprobiert haben, wobei ich jetzt nicht alle Umsetzungsideen beschreibe, sondern lediglich die zielführende Lösung (Vgl. unten).
Vielen Dank für deine Tipps, anbei meine Antworten auf die „offnen“ Fragen bzw. Hinweise:

  • winhttp show proxy: wir haben bei uns an der Schule die proxy settings per User, d.h. über diesen Befehl erhalten wir immer die Meldung no proxy, da der Befehl meines Wissens nach den Proxy der Local Machine ausgibt > die Proxy settings per User kommen aber an - das passt.
  • Software Distribution löschen: exakt, den Dienst habe ich ausgeschaltet/ gestoppt, den Ordner gelösch und den Windows Update Dienst neu gestartet - ohne Erfolg
  • Pfade: sind mit https:// hinterlegt

Das Problem besteht nach wie vor, dass keine Kommunikation zum WSUS-Server hergestellt werden kann. Einen WSUS-Server haben wir bei uns auch nicht in der Infrastruktur angelegt, weshalb wir die Kommunikation mit dem „allgemeinen“ Windows Server suchen. Da wir viel mit GPOs arbeiten, liegt der starke Verdacht nahe, dass eine GPO hier blockiert. Grund dafür ist auch, dass der PC außerhalb der Domäne die Updates installiert (s. gleich unten). Diese GPOs muss ich mal in einem ruhigen Moment mit viel Zeit analysieren.
Solange überbrücken wir mit dem Vorgehen:

  1. Domänen Unjoin (Ziel: GPOs der Domain aushebeln)
  2. Updates und Windows Features installieren
  3. Domänen Join (Problem hier: Vertrauensstellung mit der Domäne nicht vorhanden, da Maschinenpasswort nicht übereinstimmend)
  4. Maschinenpasswort als local-admin neusetzen Reset-ComputerMachinePassword -Server yourServer -Credential -yourDomainAdmin
  5. Neues Image schreiben

Wichtig ist hierbei: Zeit mit einplanen, da anschließend alle PCs mit Win11 neu geimaged werden müssen (logisch, da Maschinen-Passwort zurückgesetzt).

Vielleicht hat jemand anderes eine ähnliche Problematik, für die das beschriebene Vorgehen ebenfalls weiterhilft.
Viele Grüße
mweidner