fiese GPO: bei WSUS-Server Einsatz schlägt Windows 10 Aktivierung fehl

Im Rahmen der Umstellung auf Windows 10 in einer Windows-Domäne habe ich gerade 3 Windows 10 „Systemrücksetzungen“ hinter mir, um herauszubekommen, warum Windows 10 sich nicht übers Internet aktivieren ließ.

Das Setting

Zum besseren Verständnis hier nur kurz das Setting:

  • Windows Domäne
  • 1x Windows Server 2012 als Domänencontroller und DNS-Server
  • 1x Windows Server 2012 als Fileserver
  • 1x Windows Server 2012 als WSUS-Server, der IIS verteilt auch die Proxy-Settings per WPAD
  • Firewall mit aktiviertem Webproxy u. DHCP-Server
  • z.Z. noch Windows 7 Clients

Ich hatte in einem ähnlichen Setting schon einige Probleme mit WPAD bzw. dem Proxyserver als Ursache. Die Fehlermeldung in den „Einstellungen“ unter „Aktivierung“ deuteten auch erstmal darauf hin, weswegen ich auch diverse Einstellungen und Whitelisting-Einträge ausprobierte. Die fehlenden Log-Einträge im Proxy machten mich aber stutzig.

Die Analyse

Was mich auch stutzig machte, war die Tatsache, dass die erste Aktivierung problemlos lief. Diese wurde einfach automatisch über die digitale Upgrade-Berechtigung übers Internet vollzogen. Zu diesem Zeitpunkt befand sich der Rechner noch nicht in der Domäne, müsste sich aber schon die Proxy-Settings über WPAD gezogen haben. Nach der Aufnahme in die Domäne lief erstmal alles so wie es sollte, auch die Windows-Updates wurden über den WSUS gezogen.

Ich hatte dann eine Upgrade-Installation simuliert, indem ich das „System zurücksetzte“. Das Zurücksetzen läuft ähnlich wie eine Upgrade-Installation ab. Getestet hab ich das, weil Windows 10 ja in Zukunft öfter mal solche Upgrade-Installationen auf höhere Build-Nummern vornimmt (Windows-as-a-Service). 100%ig vergleichbar ist das natürlich nicht, da nach einem Upgrade auch neue Funktionen zum Vorschein kommen (die wiederum neue Probleme mit sich bringen können).

Tatsächlich lief das System wieder – bis auf die fehlende Windows-Aktivierung. Da der einzige Unterschied zur ersten Aktivierung die Domänenaufnahme war, nahm ich den Rechner wieder aus der Domäne heraus und nach einem Neustart war Windows plötzlich wieder aktiviert. Ab hier war dann klar, dass eigentlich nur eine GPO schuld sein kann, die Frage war nur, welche?

Die Ursache

Nach mehreren System-Rücksetzungen, Aktivieren und Deaktiveren von GPOs stellte sich folgende Richtlinie als die Ursache heraus:

keine_verbindung_mit_windows_update-internetadressen_herstellen

Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows Komponenten/Windows Update -> keine Verbindungen mit Windows Update-Internetadressen herstellen. Aktiviert man diese Richtlinie und hat einen internen WSUS-Server definiert, verbindet sich Windows 8.1/10/2012R2 nicht mehr mit den Aktivierungsservern. Ein ähnliches Problem hatte ich hier schonmal mit den Windows-Defender Updates beschrieben.

Warum diese Richtlinie so problematisch ist, ist mir nicht 100% klar. Ich vermute, dass hier nicht nur die Windows-Update Adressen blockiert werden oder dass die Aktivierungen ähnlich wie die Windows Defender Siganturupdates auch über die Windows Updates gesteuert werden.

Ein Gedanke zu „fiese GPO: bei WSUS-Server Einsatz schlägt Windows 10 Aktivierung fehl“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.