Windows Server 2022 WSUS und GPO
Hallo,
ich wollte mal nachfragen wie andere Leute den WSUS Server inkl. GPO konfigurieren.
Szenario ist eine Produktion wo die Systeme 24/7 laufen sollen und nicht einfach so nach einem Windows Update der Server bzw. die VM neustarten soll.
Bei Windows 10 Clients lässt sich das ja so einigermaßen gut Steuern weil die User vor dem Reboot informiert werden und OT Systeme quasi nicht im WSUS enthalten sind sondern Firewalltechnisch getrennt laufen.
Aber wie sieht das bei Windows Server 2022 eigentlich aus? Bei Windows Server 2012 konnte man noch einstellen, dass das System nur nach Updates sucht und diese auch herunterlädt nur bei Windows Server 2022 scheint das nicht mehr zu funktionieren weil einige Server OSes einfach rebooted sind in der Nacht.
Habt ihr solche Einsatzszenarien auch? Es gibt zwar in meinem Umfeld Server die Hochverfügbar sind wie zb. eine Exchange DAG oder die Domain Controller aber was zb. ist mit dem Rest zb. Fileserver oder nicht Hochverfügbare SQL oder Applikationsserver?
ich wollte mal nachfragen wie andere Leute den WSUS Server inkl. GPO konfigurieren.
Szenario ist eine Produktion wo die Systeme 24/7 laufen sollen und nicht einfach so nach einem Windows Update der Server bzw. die VM neustarten soll.
Bei Windows 10 Clients lässt sich das ja so einigermaßen gut Steuern weil die User vor dem Reboot informiert werden und OT Systeme quasi nicht im WSUS enthalten sind sondern Firewalltechnisch getrennt laufen.
Aber wie sieht das bei Windows Server 2022 eigentlich aus? Bei Windows Server 2012 konnte man noch einstellen, dass das System nur nach Updates sucht und diese auch herunterlädt nur bei Windows Server 2022 scheint das nicht mehr zu funktionieren weil einige Server OSes einfach rebooted sind in der Nacht.
Habt ihr solche Einsatzszenarien auch? Es gibt zwar in meinem Umfeld Server die Hochverfügbar sind wie zb. eine Exchange DAG oder die Domain Controller aber was zb. ist mit dem Rest zb. Fileserver oder nicht Hochverfügbare SQL oder Applikationsserver?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63884052426
Url: https://administrator.de/contentid/63884052426
Ausgedruckt am: 24.11.2024 um 15:11 Uhr
9 Kommentare
Neuester Kommentar
Nabend.
Dieselben Einstellungen sind ja für Server 2022 genauso vorhanden. Auch kann man definieren, dass bei angemeldetem Benutzer, kein Neustart durchgeführt werden soll.
Diese sind jedoch eingeschränkt auf maximal 08:00 - 18:00 Uhr. Das heißt, danach startet der Server neu.
Gruß
Marc
Dieselben Einstellungen sind ja für Server 2022 genauso vorhanden. Auch kann man definieren, dass bei angemeldetem Benutzer, kein Neustart durchgeführt werden soll.
Zitat von O.Gensch:
du kannst bei den Servern Nutzungszeiten eingeben. In der Zeitspanne werde die Server nicht neu gestartet.
du kannst bei den Servern Nutzungszeiten eingeben. In der Zeitspanne werde die Server nicht neu gestartet.
Diese sind jedoch eingeschränkt auf maximal 08:00 - 18:00 Uhr. Das heißt, danach startet der Server neu.
Gruß
Marc
Zitat von @radiogugu:
Diese sind jedoch eingeschränkt auf maximal 08:00 - 18:00 Uhr. Das heißt, danach startet der Server neu.
Gruß
Marc
Diese sind jedoch eingeschränkt auf maximal 08:00 - 18:00 Uhr. Das heißt, danach startet der Server neu.
Gruß
Marc
Das stimmt, da hast du fast recht. Es sind max. 18 Stunden einstellbar. Für Server sollte man die Updates auch selber kontrolliert installieren. und nicht auf durchzug stellen...
LG
Moin.
Unsere GPOS für die Server stehen auf "3 – Autom. Herunterladen, aber vor Installation benachrichtigen" - damit erfolgt die Installation erst, wenn jemand auf den Button "Jetzt installieren" klickt. Oder genau das eben von einem Skript erledigt wird.
Funktioniert seit ner Ewigkeit völlig schmerzfrei und ohne ungeplante Installation/Reboot.
Einziges "Problem": Auf nem Terminalserver kann leider auch ein User die Update-Installation starten. Sobald der Server dann auf "Jetzt neustarten" steht, tut er halt genau das außerhalb der definierten Arbeitszeiten.
Cheers,
jsysde
Unsere GPOS für die Server stehen auf "3 – Autom. Herunterladen, aber vor Installation benachrichtigen" - damit erfolgt die Installation erst, wenn jemand auf den Button "Jetzt installieren" klickt. Oder genau das eben von einem Skript erledigt wird.
Funktioniert seit ner Ewigkeit völlig schmerzfrei und ohne ungeplante Installation/Reboot.
Einziges "Problem": Auf nem Terminalserver kann leider auch ein User die Update-Installation starten. Sobald der Server dann auf "Jetzt neustarten" steht, tut er halt genau das außerhalb der definierten Arbeitszeiten.
Cheers,
jsysde
Zitat von @luky90:
Was habt ihr bei Windows Server 2022 eingestellt?
In der aktuellen GPO steht der Wert auf 4 Auto download and schedule the install
Lt. diversen Foren hat geholfen Option 7 - Auto Download, Notify to install, notify to Restart.
Was habt ihr bei Windows Server 2022 eingestellt?
In der aktuellen GPO steht der Wert auf 4 Auto download and schedule the install
Lt. diversen Foren hat geholfen Option 7 - Auto Download, Notify to install, notify to Restart.
Aber das installiert die Updates und ein Neustart wird "angedroht". Wenn dann alles für den Server stimmt (kein Benutzer angemeldet / Nutzungszeit "verlassen") startet der Server neu.
Man sollte die Updates auf Servern manuell und damit kontrolliert installieren, wenn man automatische Neustarts verhindern / vermeiden will.
Daher ist die Option 3 (Automatischer Download, aber ausschließlich benachrichtigen) die einzig richtige.
Gruß
Marc
Ich würde dir empfehlen nicht nur die Windows 10 Clients aus der Produktion sondern auch die produktionsrelevanten Server durch Segmentierung abzuschotten. Grade wenn es um Produktion und Dauerbetrieb geht würde ich nur das absolut nötigste in oder aus dem Netz lassen.
Was die Updates angeht teile ich meine Systeme auf verschiedene GPOs auf, die meisten Server machen Updates nur manuell (also durch mich angestoßen). Einige wenigeführen "kleinere Updates ohne Neustartbedarf" selbstständig aus. Das kann man aber echt nur mit Servern machen auf denen nur Windows Dienste laufen. Sobald irgendwas nicht zu Windows gehört, auch wenn es von Microsoft ist, kannst du damit rechnen das es Probleme geben wird.
Was die Updates angeht teile ich meine Systeme auf verschiedene GPOs auf, die meisten Server machen Updates nur manuell (also durch mich angestoßen). Einige wenigeführen "kleinere Updates ohne Neustartbedarf" selbstständig aus. Das kann man aber echt nur mit Servern machen auf denen nur Windows Dienste laufen. Sobald irgendwas nicht zu Windows gehört, auch wenn es von Microsoft ist, kannst du damit rechnen das es Probleme geben wird.