luky90
Goto Top

Windows Server 2022 WSUS und GPO

Hallo,

ich wollte mal nachfragen wie andere Leute den WSUS Server inkl. GPO konfigurieren.
Szenario ist eine Produktion wo die Systeme 24/7 laufen sollen und nicht einfach so nach einem Windows Update der Server bzw. die VM neustarten soll.

Bei Windows 10 Clients lässt sich das ja so einigermaßen gut Steuern weil die User vor dem Reboot informiert werden und OT Systeme quasi nicht im WSUS enthalten sind sondern Firewalltechnisch getrennt laufen.

Aber wie sieht das bei Windows Server 2022 eigentlich aus? Bei Windows Server 2012 konnte man noch einstellen, dass das System nur nach Updates sucht und diese auch herunterlädt nur bei Windows Server 2022 scheint das nicht mehr zu funktionieren weil einige Server OSes einfach rebooted sind in der Nacht.

Habt ihr solche Einsatzszenarien auch? Es gibt zwar in meinem Umfeld Server die Hochverfügbar sind wie zb. eine Exchange DAG oder die Domain Controller aber was zb. ist mit dem Rest zb. Fileserver oder nicht Hochverfügbare SQL oder Applikationsserver?

Content-ID: 63884052426

Url: https://administrator.de/contentid/63884052426

Ausgedruckt am: 24.11.2024 um 15:11 Uhr

O.Gensch
O.Gensch 21.10.2023 um 19:39:56 Uhr
Goto Top
Hallo,

du kannst bei den Servern Nutzungszeiten eingeben. In der Zeitspanne werde die Server nicht neu gestartet.

LG
radiogugu
radiogugu 21.10.2023 aktualisiert um 19:54:01 Uhr
Goto Top
Nabend.

Dieselben Einstellungen sind ja für Server 2022 genauso vorhanden. Auch kann man definieren, dass bei angemeldetem Benutzer, kein Neustart durchgeführt werden soll.

Zitat von O.Gensch:
du kannst bei den Servern Nutzungszeiten eingeben. In der Zeitspanne werde die Server nicht neu gestartet.

Diese sind jedoch eingeschränkt auf maximal 08:00 - 18:00 Uhr. Das heißt, danach startet der Server neu.

Gruß
Marc
O.Gensch
O.Gensch 21.10.2023 aktualisiert um 21:09:58 Uhr
Goto Top
Zitat von @radiogugu:

Diese sind jedoch eingeschränkt auf maximal 08:00 - 18:00 Uhr. Das heißt, danach startet der Server neu.

Gruß
Marc

Das stimmt, da hast du fast recht. Es sind max. 18 Stunden einstellbar. Für Server sollte man die Updates auch selber kontrolliert installieren. und nicht auf durchzug stellen...

LG
jsysde
jsysde 21.10.2023 um 21:34:01 Uhr
Goto Top
Moin.

Unsere GPOS für die Server stehen auf "3 – Autom. Herunterladen, aber vor Installation benachrichtigen" - damit erfolgt die Installation erst, wenn jemand auf den Button "Jetzt installieren" klickt. Oder genau das eben von einem Skript erledigt wird.

Funktioniert seit ner Ewigkeit völlig schmerzfrei und ohne ungeplante Installation/Reboot.

Einziges "Problem": Auf nem Terminalserver kann leider auch ein User die Update-Installation starten. Sobald der Server dann auf "Jetzt neustarten" steht, tut er halt genau das außerhalb der definierten Arbeitszeiten.

Cheers,
jsysde
Sperling
Sperling 22.10.2023 um 10:34:00 Uhr
Goto Top
Hallo,

wenn man etwas 'basteln' will, man kann auch den Updatedienst zeitgesteuert deaktivieren. z.B. mit einem Skript per Aufgabenplanung (via GPO). Ein zweites Skript aktiviert dann den Dienst zur gewünschten Zeit wieder und spielt ggf. auch die Updates ein.

VG Sperling
luky90
luky90 22.10.2023 um 12:03:12 Uhr
Goto Top
Du sagst es richtig "Bei angemeldeten Benutzer". Aber auf den Servern ist kein Benutzer angemeldet weil alles als Service läuft.
luky90
luky90 22.10.2023 um 12:19:46 Uhr
Goto Top
Was habt ihr bei Windows Server 2022 eingestellt?
In der aktuellen GPO steht der Wert auf 4 Auto download and schedule the install
Lt. diversen Foren hat geholfen Option 7 - Auto Download, Notify to install, notify to Restart.
radiogugu
radiogugu 22.10.2023 um 17:30:30 Uhr
Goto Top
Zitat von @luky90:
Was habt ihr bei Windows Server 2022 eingestellt?
In der aktuellen GPO steht der Wert auf 4 Auto download and schedule the install
Lt. diversen Foren hat geholfen Option 7 - Auto Download, Notify to install, notify to Restart.

Aber das installiert die Updates und ein Neustart wird "angedroht". Wenn dann alles für den Server stimmt (kein Benutzer angemeldet / Nutzungszeit "verlassen") startet der Server neu.

Man sollte die Updates auf Servern manuell und damit kontrolliert installieren, wenn man automatische Neustarts verhindern / vermeiden will.

Daher ist die Option 3 (Automatischer Download, aber ausschließlich benachrichtigen) die einzig richtige.

Gruß
Marc
ukulele-7
ukulele-7 23.10.2023 um 09:28:34 Uhr
Goto Top
Ich würde dir empfehlen nicht nur die Windows 10 Clients aus der Produktion sondern auch die produktionsrelevanten Server durch Segmentierung abzuschotten. Grade wenn es um Produktion und Dauerbetrieb geht würde ich nur das absolut nötigste in oder aus dem Netz lassen.

Was die Updates angeht teile ich meine Systeme auf verschiedene GPOs auf, die meisten Server machen Updates nur manuell (also durch mich angestoßen). Einige wenigeführen "kleinere Updates ohne Neustartbedarf" selbstständig aus. Das kann man aber echt nur mit Servern machen auf denen nur Windows Dienste laufen. Sobald irgendwas nicht zu Windows gehört, auch wenn es von Microsoft ist, kannst du damit rechnen das es Probleme geben wird.