Microsoft hat mit Windows 11, 24H2, den SNMP-Client (FOD, Feature on Demand) beschädigt. Besonders deutlich wurde das auf WSUS-Clients.
Es gab eine GPO, dass „Optionale Features“ immer von Microsoft anstatt vom WSUS gedownloadet werden sollen. Diese GPO wurde anscheinend geändert, inzwischen kann man nur noch eine „Alternative Downloadquelle“ definieren (die geänderte GPO bleibt aktiv und in der Standardeinstellung die Quelle leer; wenn man die alte GPO aktiviert hatte).
Ich habe auf meinen Systemen vier unterschiedliche Verhaltensweisen beobachten können:
- SNMP bleibt erhalten und konfiguriert (kein WSUS-Client)
- SNMP wurde auf Standardeinstellungen zurückgesetzt, Community, erlaubte Hosts (kein WSUS-Client)
- SNMP (WSUS-Client) wurde komplett entfernt -> Installation mittels DISM möglich
- SNMP (WSUS-Client) wurde komplett entfernt -> Installation mittels FOD-ISO möglich
1.) In dem Fall war nichts zu tun, SNMP blieb installiert und konfiguriert.
2.) In dem Fall müssen die Einstellungen des SNMP-Dienstes wieder gesetzt werden. Der Dienst selbst bleibt aber erhalten.
3.) SNMP wurde auf allen WSUS-Clients komplett entfernt (der Dienst war verschwunden). Die Installation über die GUI (Optionale Features) scheiterte wie auch über DISM (DISM /online /add-capability /capabilityname:SNMP.Client~~~~0.0.1.0) und Add-WindowsCapability (Add-WindowsCapability -Online -Name „SNMP.Client~~~~0.0.1.0“). Als Fehlermeldung wurde ausgegeben, dass die Quelldatei nicht gefunden wurde (vermutlich wegen der geänderten GPO).
Es waren die folgenden Schritte nötig:
- WAN für Rechner aktivieren (wenn der Rechner keinen Internetzugang hat)
- Aus administrativer Shell: DISM /online /cleanup-image /restorehealth
- Registey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
key: UseWUServer
new / temp value: 0 - gpupdate /force
- DISM /online /add-capability /capabilityname:SNMP.Client~~~~0.0.1.0
- Registey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
key: UseWUServer
value: 1 - gpupdate /force
- SNMP-Dienst konfigurieren
- WAN für Rechner deaktivieren (wenn der Rechner keinen Internetzugang hatte)
4.) Wenn auch das nicht klappt (der DISM-Fehler 0x800f0950 bei der SNMP-Installation auftritt), muss SNMP aus dem FOD-Image von Microsoft installiert werden.
Hat man das Image, ist das Vorgehen ähnlich wie oben:
- WAN für Rechner aktivieren (wenn der Rechner keinen Internetzugang hat)
- Aus administrativer Shell: DISM /online /cleanup-image /restorehealth
- Registey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
key: UseWUServer
new / temp value: 0 - gpupdate /force
- ISO mounten (hier Laufwerk „D“)
DISM /online /add-package /packagepath:“D:\Microsoft-Windows-SNMP-Client-Package~31bf3856ad364e35~amd64~~.cab“ - DISM /online /add-capability /capabilityname:SNMP.Client~~~~0.0.1.0
- Registey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
key: UseWUServer
value: 1 - gpupdate /force
- ISO „entmounten“
- SNMP-Dienst konfigurieren
- WAN für Rechner deaktivieren (wenn der Rechner keinen Internetzugang hatte)
Leider ist das FOD-Image nicht öffentlich zugänglich. Ich habe es hier downloaden können:
https://techwithjasmin.com/monitoring/how-to-enable-snmp-on-windows-without-internet-access/
Interessant ist, dass die Installation über das FOD-Image nur dann geklappt hat, wenn zuvor der DISM-Fehler 0x800f0950 auftrat. Das Ganze gleich über das Image zu installieren schlug sonst ebenfalls fehl.
In jedem Fall hinterlässt das Ganze Thema SNMP unter den WSUS-Clients kein gutes Bid von Microsoft! Warum der (vorher installierte!) SNMP-Dienst bei 24H2 gänzlich entfernt wurde und warum die alte GPO bei der Migration auf die neue GPO auf „aktiviert“ mit leerer Downloadquelle bleibt, ist merkwürdig. Das führt vermutlich zu dem Fehler, dass SNMP nicht einfach nachinstalliert werden kann. Dass der WSUS selbst bei angehakten „Features on Demand“ (in seinen Produkten und Klassifizierungen) SNMP nicht anbietet, wundert mich inzwischen schon gar nicht mehr…
Referenzen
- https://kb.paessler.com/en/topic/83046-snmp-going-away#reply-289155
- https://learn.microsoft.com/de-de/security-updates/windowsupdateservices/21669493
- ‚https://techwithjasmin.com/monitoring/how-to-enable-snmp-on-windows-without-internet-access/
- ‚https://www.stephenwagner.com/2018/10/08/enable-windows-update-features-on-demand-and-turn-windows-features-on-or-off-in-wsus-environments/
System- und Netzwerkadministrator
Informationstechnik – Netzwerktechnik – Consulting
MCSA+M | MCSE | MTCNA