Windows 11 24H2: WSUS-Hürde fehlender SNMP-Client (FOD scheitert)

Windows[English]Ich greife mal ein Thema hier im Blog auf, was "begeisterte" Windows 11 24H2-Adminstratoren, die auf den SNMP-Client angewiesen sind, in Schwierigkeiten bringen dürfte. Der SNMP-Client fehlt in dieser Windows 11-Version  und lässt sich über Feature one Demand (FOD) nicht installieren, da was "kaputt" ist, was z.B. die Verwaltung über WSUS stört.


Anzeige

Ein Leserhinweis und eine Diskussion

Blog-Leser Markus K. hat mich gerade per Mail auf ein spezielles Problem bei Windows 11 24H2-Clients hingewiesen. Er schrieb: "Nachdem wir bei manchen unserer Clients SNMP brauchen, haben wir festgestellt, dass das jetzt nicht mehr so ganz einfach funktioniert. Das Ganze macht einem das Leben nicht gerade leicht, wenn man einen WSUS hat."

Auf Patchmanagement.org hat er dazu den Eintrag W11 24H2 and FOD in der Mailing-Liste eingestellt und beschreibt dort etwas mehr Details. Die Installation von Features on Demand (FOD) wie SNMP sei in Windows 11 24H2 eine Qual. Die GPO "Einstellungen für optionale Komponenteninstallation und Komponentenreparatur festlegen Reparatur" sei wohl geändert oder defekt.

Mit anderen Worten: Es lassen sich keine Feature on Demand über die GPO zum System hinzufügen. Er merkt an, dass er aktuell nur die Möglichkeit sehe, den Windows 11 24H2 Clients zusätzliche Features On Demand (FOD) nur über ISOs aus dem Volumen Lizenz Center (VLSC) bereitzustellen.

Problem: SNMP wird gebraucht

Markus hat in seiner Mail nicht mitgeteilt, warum er SNMP in den Windows 11 24H2-Clients benötigt. Die Wikipedia merkt zu SNMP an, dass das Simple Network Management Protocol ein von der IETF entwickeltes Netzwerkprotokoll sei, um Netzwerkelemente (z. B. Router, Server, Switches, Drucker, Computer usw.) von einer zentralen Station aus überwachen und steuern zu können.


Anzeige

Das Protokoll regelt dabei die Kommunikation zwischen den überwachten Geräten und der Überwachungsstation. SNMP beschreibt den Aufbau der Datenpakete, die gesendet werden können und den Kommunikationsablauf. Es wurde dabei so ausgelegt, dass jedes netzwerkfähige Gerät mit in die Überwachung aufgenommen werden kann.

Beschreibung der Hintergründe

Markus hat mir dann noch einen Link auf den Blog-Beitrag   24H2 + WSUS + SNMP von IT-Service Hohenleitner mitgeschickt, wo das Problem recht gut umrissen wird. Marc Hohenleitner schreibt dort, dass Microsoft mit Windows 11 24H2, den SNMP-Client (FOD, Feature on Demand) beschädigt habe. Gemeint ist wohl das Problem, SNMP über Features on Demand zu Windows 11 hinzuzufügen.

Besonders deutlich werde das auf WSUS-Clients, merkt Hohenleitner an. Er schreibt, dass es eine GPO gab, dass "Optionale Features" immer von Microsoft anstatt vom WSUS  heruntergeladen werden sollen.

Nun sei diese GPO geändert worden, denn inzwischen könne man nur noch eine "Alternative Downloadquelle" definieren. Das Problem ist, dass die geänderte GPO aktiv  bleibt und in der Standardeinstellung die Quelle leer ist, sofern man die alte GPO aktiviert hatte. Hohenleitner gibt an, auf seinen Windows-Systemen vier unterschiedliche Verhaltensweisen beobachten können:

  1. SNMP bleibt erhalten und konfiguriert (kein WSUS-Client)
  2. SNMP wurde auf Standardeinstellungen zurückgesetzt, Community, erlaubte Hosts (kein WSUS-Client)
  3. SNMP (WSUS-Client) wurde komplett entfernt -> Installation mittels DISM möglich
  4. SNMP (WSUS-Client) wurde komplett entfernt -> Installation mittels FOD-ISO möglich

Je nachdem welcher Fall eintritt, muss der Administrator dann reagieren. In Fall 1 sei nichts zu tun, in Fall 2 müssen die Einstellungen des erhalten gebliebenen SNMP-Dienstes wieder gesetzt werden.

Kniffeliger sind die obigen Fälle 3 und 4, da SNMP auf dem WSUS komplett entfernt wurde. Man kann SNMP nicht einfach im WSUS per Features on Demand nachinstallieren. In seinem Blog-Beitrag beschreibt Hohenleitner, wie er diese beiden Fälle 3 und 4 mit Klimmzügen aufgelöst hat.

Auf patchmanagement.org wies Aboddi auf Microsofts Support-Beitrag KB5044786 hin. In diesem Support-Beitrag geht Microsoft auf einen Fehler bei der Installation von .msu-Paketen unter Windows 11 24H2 und Windows Server 2025 ein. Hintergrund sind die sogenannten "Checkpoint Cumulative Updates", die Ende 2024 in Windows 11 24H2 und Windows Server 2025 eingeführt wurden.

Bei der Installation von Updates über .msu-Pakete kann es bei fehlender Internetverbindung zum Fehler "Operation is not supported" ("Vorgang wird nicht unterstützt") kommen. Ich hatte das Problem Anfang Januar 2025 im Blog-Beitrag Windows 11 24H2; Server 2025: Problem "Operation is not supported" mit MSU-Update-Installation aufgegriffen. Wenn ich es nicht falsch sehe, dürfte das dann auch die Ursache sein, dass FOD-Installationen den oben beschriebenen Ärger machen.

Ergänzung: So soll es wieder gehen

Markus hat sich nochmals gemeldet und schrieb: "laut Patchmanagement.org-Mailing-Liste gibt es sogenannte "checkpoint updates" die in den aktuellen CU's gelistet sind (also eigentlich haben wir nun wieder Servicepacks?). Fazit: SP in den Slip und am besten ein aktuelles CU dazu und dann kann man doch glatt auch wieder ein FOD auch ohne der ursprünglichen GPO (ist auch egal, wenn man die alte GPO gelinkt lässt) ein FOD nachinstallieren."


Anzeige

Dieser Beitrag wurde unter Problemlösung, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

16 Antworten zu Windows 11 24H2: WSUS-Hürde fehlender SNMP-Client (FOD scheitert)

  1. Anonym sagt:

    Bei WSUS vs FUD würde ich mal die Settings dieser diese GPO:
    Specify source service for specific classes of Windows Updates

    unter
    Windows Components/Windows Update/Manage updates offered from Windows Server Update Service/
    überprüfen

  2. Fritz sagt:

    Nur mal zum Verständnis, geht es um die Komponente, welche als Dienst (in der klassischen Ansicht "SNMP-Dienst") installiert wird und auf Anfragen (typischerweise Port 161/UDP) wartet und die dann beantwortet?
    Die Formulierung "SNMP wurde auf Standardeinstellungen zurückgesetzt, Community, erlaubte Hosts" läßt mich genau das vermuten.

    Dann ist der Artikeltitel sehr unglücklich gewählt, nach klassischem Datenmodell ist das der "SNMP-Server" (eine häufige Bezeichnung ist noch "SNMP-Agent"), nicht aber der "Client".

    Clienten sind eher Userspace-Programme wie z.B. Getif oder natürlich Monitoringprogramme (z.B. MRTG, CheckMK, Cacti) welche zyklisch bestimmte Daten abfragen und z.B. Graphen daraus erstellen – oder Alarmierungen.

    • Markus K. sagt:

      Hallo Fritz,

      primär geht es hier generell um dsas nachinstallieren von Features. Wir brauchen zufällig SNMP (zum überprüfen der Funktionalität kommen wir erst).
      Anscheinend lassen sich solche Features nur mehr nachinstallieren, wenn man das entsprechende Checkpoint-Update installiert hat.
      Jetzt ist es bei mir so, dass das Feature bei KB5043080 im install.wim installieren lässt und auch via PS "Installed" vermeldet.
      Nachdem der Rechner aber final aus dem deploy Prozess kommt steht der Status mit installiertem 2025-01-CU auf "NotPresent".
      Ich hoffe mal nicht, dass man mit jedem CU ein Feature neu installieren muss, denn dann komm ich bald in die Klapse :)

      Viele Grüße,
      Markus

      • Fritz sagt:

        Ja, die Entscheidung, dieses Feature als FOD auszulagern war sehr ungünstig. An anderen Stellen (SSH Server, Sprachpakete) habe ich auch schon darüber geflucht. Allerdings habe ich hier ein Template, mit dessen Hilfe ich neue Server-VMs (bei Windows 11 brauche ich SNMP nicht) ausrolle, da ist das schon integriert und hat bisher auch jeden Patch überstanden.

  3. Dennis sagt:

    Moin zusammen,

    mir erklärt sich auch nicht, warum SNMP noch gebraucht wird.
    SNMP gilt als veraltet und unsicher, da unverschlüsselte Übertragung.
    SNMPv3 wird von MS offiziell nicht unterstützt (das Thema hatten wir schon oft genug bzgl. Server Monitoring).

    Aktuell sollte man beim Monitoring also auf SSH oder andere verschlüsselte Abfragen umstellen. Wir haben inzwischen eine Verwaltungslösung, wo auf den Clients nen Agent arbeitet und verschlüsselt überträgt.

    Dass keine Daten den Agent/Server an Dritte verlassen (Datenschutz) haben wir uns schriftlich bestätigen lassen.

    Vllt. hilft das als Denkanstoß

    Liebe Grüße

    • Tomas Jakobs sagt:

      Nur weil Microsoft sich weigert etablierte Internet-Standards zu unterstützen bedeutet es nicht, dass SNMP veraltet oder nicht gebraucht würde. Außerhalb der Klicki-Bunti-Mausschubser Blase ist es insbesondere bei IOT, POS, Druckern und Industrieanlagen unerlässlich für ernsthaftes Monitoring und Diagnose.

      • Joerg sagt:

        Ebenso auf eine Agentenbasierenden Lösung zu setzen halte ich für sehr fraglich, ist wieder eine Applikation mehr um die man sich kümmern muss.

        WMI Abfrage sind ja auch möglich, kosten aber im Vergleich zu SNMP unfassbar viele Ressourcen, das gleiche gilt für SNMPv3, was im Vergleich zu SNMPv2 deutlich mehr CPU Leistung benötigt.

        Die ggf. mangelnde Verschlüsselung bei v2 lässt sich mit passenden Regeln in der Windows Firewall relativ gut kontrollieren, wo man dann nur die Hosts für Monitoring zulässt auch bei Netzwerkendgeräten kann man über passende ACL Listen die Verbindungen beschränken, wir haben hier kein Gerät im Einsatz wo man es nicht einrichten kann

        • Tomas Jakobs sagt:

          > Die ggf. mangelnde Verschlüsselung bei v2 …

          … und ist zudem durch Segmentierung/Isolierung sowie entsprechendem Routing an jeder Firewall mitigierbar. Hardware Unix/Linux Firewall nicht das Windows Spielzeug. Daher habe ich auch kein Problem mit SNMP v1

          • Hans sagt:

            Es geht doch um das Nachinstallieren und nicht unterstützen. Wäre es immer installiert, würde jemand schreiben bei Linux muss ich das installieren wenn ich es brauche. Jemand fragt nach einen fod Installations Problem und soll nun eine Linux Firewall betreiben. Jetzt hat er eine Linux Firewall aber immer noch kein SNMP ;) sehr hilfreich wie immer.

            • Tomas Jakobs sagt:

              Du scheinst diesem Thread offensichtlich nicht ganz folgen zu können. Wir sprachen längst über SNMP auf anderer Ebene, losgelöst von der ursprünglichen Problemstellung. Unterlasse doch bitte Deine vergifteten Kommentare in meine Richtung, Danke!

      • Fritz sagt:

        Problem ist unter anderem, daß dann das Monitoring zerfasert.
        Windows will ja seinen eigenen Mechanismus (Windows Management Instrumentation WMI) durchsetzen, der außerhalb der Windows-Welt kaum Anklang findet, Check-MK und Konsorten bringen eigene Agenten mit, die separat deployed und aktuell gehalten werden müssen.

        Zudem liegt der Fokus nicht auf den Servern, sondern sonstigen Netzwerkgeräten, allen voran Switchen, bei denen so der Traffic jedes Ports gemonitort werden kann sowie Drucker, USVs und und und…

        Richtig administriert (reiner Lesezugang, gefiltert auf bestimmte MIBs, nicht erratbare Community und Begrenzung auf die IPs der Monitoring-Stationen) stellt es kein Sicherheitsrisiko dar, zudem gibt es die kryptographisch abgesicherte Variante SNMPv3, falls man wirklich ein Problem damit hat, daß diese Informationen (z.B. CPU-Last, Temperaturen oder Paketzähler pro Interface) unverschlüsselt durch das eigene Netz (wir reden ja nicht von Internet) gehen.

  4. Yumper sagt:

    Es gibt ja immer noch Datenbanken und andere Programme die Emails ohne TLS versenden wollen. Zuletzt war das bei mir IBM Doors. Dazu setzt man dann einen SMTP Server ein. Verschickt die Mails im lokalen Netzwerk unverschlüsselt. Der SNMP Server schickt die Emails dann mit TLS an einen definierten Host raus.

    so long

    Yumper

  5. Pau1 sagt:

    Mirco soft hat schon andere veraltete Protokolle "zur Sicherheit aller" gecancelt. (smb lvl1)

    Die korrekte Übersetzung von SNMP lautet nicht zum Spaß:
    "Security? Not My Problem".

    Es ist Historie das SNMP tot ist.
    wer das noch braucht, dem hätte man früher vermutlich ein freundliches Merk Befreiunga Formular empfohlen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.