9
Automatische Neustarts 15 Minuten nach Windows Updates verhindern
Hi Leute,
wir haben ein Problem mit unerwünschten automatischen Neustarts von Windows 10 immer 15 Minuten nach Abschluß der Update-Installation am Patchday.
Was wir wollen:
- Clients sollten ihre Windows-Updates hauptsächlich von SCCM/MECM beziehen, Benutzer sollten danach von SCCM/MECM eine Information erhalten, dass ein Neustart erforderlich/empfohlen wird, um die Installation erfolgreich abzuschließen, aber es soll kein automatischer Neustart erfolgen.
- Wenn SCCM/MECM für den Benutzer nicht verfügbar ist (weil der mobile Client möglicherweise außerhalb unseres Netzwerks ist), wäre es für uns kein Problem, wenn die Clients die Updates aus der offiziellen Windows-Update-Routine erhalten.
- Wichtigster Punkt, unabhängig von der Frage, wie die Clients ihre Updaets beziehen: Sie sollen nach der Update-Installation nicht automatisch neu starten. Es genügt ein Hinweis an den User, dass ein Neustart sinnvoll wäre, den dieser aber bei Bedarf wegklicken kann. Der User soll in seiner Arbeit nicht durch einen unerwünschten Neustart behindert werden.
Was wir haben/bekommen:
An jedem Microsoft-Patchtag (2. Dienstag/Monat) starten die Clients nach der Installation der monatlichen Windows-Updates automatisch neu, ohne dass dies für die Benutzer gestoppt/vermieden werden kann, egal ob sie angemeldet sind oder nicht. Angemeldete Benutzer erhalten direkt nach der Update-Installation im Hintergrund eine Meldung in einem blauen Kasten:
„Automatischer Neustart geplant. Ihr Gerät wird um hh:mm neu gestartet, um die Installation der Updates abzuschließen. Wählen Sie „Schließen“, um Ihre Arbeit zu speichern, oder „Jetzt neu starten“, um sofort neu zu starten“.
Angeboten werden nur die Schaltflächen „Schließen“ und „Jetzt neu starten“, der Neustart selbst erfolgt 15 Minuten nach Erscheinen der Meldung. Folgendes haben wir bereits getan, nachdem wir die verfügbaren Informationen in Foren/Wissensdatenbanken überprüft haben:
- Unsere SCCM/MECM-Einstellungen überprüft: Nicht der Grund für den Neustart, SCCM/MECM ist nur so konfiguriert, dass eine Meldung angezeigt wird, dass Updates installiert wurden und ein Neustart empfohlen wird. Der Benutzer kann diese Meldung wegklicken, es wird kein automatischer Neustart über SCCM/MECM konfiguriert/initiiert. Die SCCM/MECM-Meldung hat ein anderes (von uns selbst gewähltes) Layout als das blaue Kästchen mit der 15-Minuten-Meldung zum automatischen Neustart, die von Windows selbst kommt, nicht von SCCM/MECM, daher handelt es sich meiner Meinung nach um ein Windows-Problem.
- Deaktivierung der Dual Scans via GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update -> Do not allow update deferral policies to cause scans against Windows Update" -> “enabled”. (Hintergrund: https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ..)
- Deaktivierung des Registry policy processing: “Computer Configuration -> Administrative Templates -> System -> Group Policy -> Configure registry policy processing" -> “disabled”. (Hintergrund: https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ..)
- GPO “No auto-restart with logged on users for scheduled automatic updates installation” -> “enabled”.
- Verschiedene Einstellungen für GPO-Setting “Configure automatic updates” in GPOs -> Keine führte zum Erfolg.
https://learn.microsoft.com/en-us/windows/deployment/update/waas-restart
Jemand eine Idee, wo ich noch nachschauen kann (Registry / GPO), welche Einstellung auf den Clients für den 15-Minuten-Auto-Neustart verantwortlich ist und was ich versuchen kann, um das zu verhindern? Aus meiner Sicht sind die GPOs bereits so konfiguriert, dass dies nicht passieren dürfte, und der SCCM/MECM ist nicht verantwortlich, hier verhalten sich die Updates so wie gewünscht/konfiguriert, irgendwoher muss heir eine falsche Einstellung auf den Windows Clients kommen.
Danke!
wir haben ein Problem mit unerwünschten automatischen Neustarts von Windows 10 immer 15 Minuten nach Abschluß der Update-Installation am Patchday.
Was wir wollen:
- Clients sollten ihre Windows-Updates hauptsächlich von SCCM/MECM beziehen, Benutzer sollten danach von SCCM/MECM eine Information erhalten, dass ein Neustart erforderlich/empfohlen wird, um die Installation erfolgreich abzuschließen, aber es soll kein automatischer Neustart erfolgen.
- Wenn SCCM/MECM für den Benutzer nicht verfügbar ist (weil der mobile Client möglicherweise außerhalb unseres Netzwerks ist), wäre es für uns kein Problem, wenn die Clients die Updates aus der offiziellen Windows-Update-Routine erhalten.
- Wichtigster Punkt, unabhängig von der Frage, wie die Clients ihre Updaets beziehen: Sie sollen nach der Update-Installation nicht automatisch neu starten. Es genügt ein Hinweis an den User, dass ein Neustart sinnvoll wäre, den dieser aber bei Bedarf wegklicken kann. Der User soll in seiner Arbeit nicht durch einen unerwünschten Neustart behindert werden.
Was wir haben/bekommen:
An jedem Microsoft-Patchtag (2. Dienstag/Monat) starten die Clients nach der Installation der monatlichen Windows-Updates automatisch neu, ohne dass dies für die Benutzer gestoppt/vermieden werden kann, egal ob sie angemeldet sind oder nicht. Angemeldete Benutzer erhalten direkt nach der Update-Installation im Hintergrund eine Meldung in einem blauen Kasten:
„Automatischer Neustart geplant. Ihr Gerät wird um hh:mm neu gestartet, um die Installation der Updates abzuschließen. Wählen Sie „Schließen“, um Ihre Arbeit zu speichern, oder „Jetzt neu starten“, um sofort neu zu starten“.
Angeboten werden nur die Schaltflächen „Schließen“ und „Jetzt neu starten“, der Neustart selbst erfolgt 15 Minuten nach Erscheinen der Meldung. Folgendes haben wir bereits getan, nachdem wir die verfügbaren Informationen in Foren/Wissensdatenbanken überprüft haben:
- Unsere SCCM/MECM-Einstellungen überprüft: Nicht der Grund für den Neustart, SCCM/MECM ist nur so konfiguriert, dass eine Meldung angezeigt wird, dass Updates installiert wurden und ein Neustart empfohlen wird. Der Benutzer kann diese Meldung wegklicken, es wird kein automatischer Neustart über SCCM/MECM konfiguriert/initiiert. Die SCCM/MECM-Meldung hat ein anderes (von uns selbst gewähltes) Layout als das blaue Kästchen mit der 15-Minuten-Meldung zum automatischen Neustart, die von Windows selbst kommt, nicht von SCCM/MECM, daher handelt es sich meiner Meinung nach um ein Windows-Problem.
- Deaktivierung der Dual Scans via GPO: Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Windows Update -> Do not allow update deferral policies to cause scans against Windows Update" -> “enabled”. (Hintergrund: https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ..)
- Deaktivierung des Registry policy processing: “Computer Configuration -> Administrative Templates -> System -> Group Policy -> Configure registry policy processing" -> “disabled”. (Hintergrund: https://www.borncity.com/blog/2022/04/11/falle-windows-clients-installie ..)
- GPO “No auto-restart with logged on users for scheduled automatic updates installation” -> “enabled”.
- Verschiedene Einstellungen für GPO-Setting “Configure automatic updates” in GPOs -> Keine führte zum Erfolg.
https://learn.microsoft.com/en-us/windows/deployment/update/waas-restart
Jemand eine Idee, wo ich noch nachschauen kann (Registry / GPO), welche Einstellung auf den Clients für den 15-Minuten-Auto-Neustart verantwortlich ist und was ich versuchen kann, um das zu verhindern? Aus meiner Sicht sind die GPOs bereits so konfiguriert, dass dies nicht passieren dürfte, und der SCCM/MECM ist nicht verantwortlich, hier verhalten sich die Updates so wie gewünscht/konfiguriert, irgendwoher muss heir eine falsche Einstellung auf den Windows Clients kommen.
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4161105093
Url: https://administrator.de/contentid/4161105093
Printed on: April 16, 2024 at 05:04 o'clock
9 Comments
Latest comment
Hi,
mal ein allgemeiner Ansatz:
Habt Ihr sicher überprüft, dass diese GPO tatsächlich von den Clients angewendet werden?
E.
mal ein allgemeiner Ansatz:
Habt Ihr sicher überprüft, dass diese GPO tatsächlich von den Clients angewendet werden?
E.
@emeriks: Ja, über gpresult.
Habt ihr mittlerweile was rausgefunden?
Diese bescheuerten Neustarts mit nem Timer von 15 Minuten machen mich wahnsinnig!
Diese bescheuerten Neustarts mit nem Timer von 15 Minuten machen mich wahnsinnig!
Wir haben mit einem größeren IT-Dienstleister gesprochen, das Problem lässt sich nicht beheben, Microsoft hat das Updateverhalten dahingehend geändert, dass nach einer Installation eines sicherheitsrelevanten Updates z.B. CUs ein Neustart erfolgen muss, egal ob das Update a) manuell, b) automatisiert über den internen Updatemechanismus oder c) automatisiert über MECM/SCCM erfolgt. Die einschlägigen Funktionen in den GPOs zum Verhinden des Auto-Restarts ziehen bei den neuern Win10-Versionen schlicht nicht mehr. Einzige "Lösung" wäre, dass man statt einer automatisierten Installation nur die Update-Suche und den Hinweis auf die Verfügbarkeit des Updates konfiguriert. Das ist aber nicht wirklich zielführend für uns, da die User die Hinweise dann wegklicken und die Updates überhaupt nicht installiert werden...
Das ist wirklich bedauerlich zu hören. Dabei sehen WSUS-GPO-Einstellungen, die auch für Windows 10 gelten oder erst ab Windows 10 doch bei genauem Lesen das alles vor. Wenn ich denn wenigstens einen Neustart verzögern könnte...was ja lt. Richtlinie problemlos bis zu 14 Tage möglich sein soll. WindowsUpdate.admx ist natürlich krachneu.
Bei uns kommt allerdings noch ein Problem mit Benachrichtigungen hinzu. Bin mir nicht ganz sicher, wie genau das Verhalten ist. Beim letzten Patchday habe ich u.a. zwei Feature-Updates freigegeben (21h2 und 22h2), um mal alle Versionen gerade zu ziehen. Bei vielen (oder allen?) war's dann so, dass über die ersten Updates noch informiert wurde (Leider auch nicht so, wie ich das von Windows 7 kenne; Die Richtlinie für die zusätzlichen Einträge zur Installation beim Herunterfahren/Neustart gelten nur bis Windows 7), als das System dann nach Neustart auf 22H2 neue Updates heruntergeladen hatte, wurde nicht mehr darüber informiert.
Die waren nur über den manuellen Aufruf von Windows Update sichtbar und installierbar, worum sich keiner der Mitarbeiter gekümmert hat, bis dann heute Stichtag war (4 Wochen ist wirklich zu lang!), installiert wurde und ein forced reboot nach 15 Minuten stattfand. Wo die 15 Minuten herkommen, ist mir auch völlig unklar, da in jeder Richtlinie, wo ein Timeout einzustellen wäre, ich andere Werte eingegeben habe.
Die Reaktionen der Mitforisten lässt mich allerdings eher an meinen Fähigkeiten zweifeln und nicht daran, dass Microsoft das Updateverhalten so kindermäßig geändert hat. Dass muss doch mehreren Admins aufgefallen sein, dass sich ein Neustart nicht mehr verzögern lässt. Oder >99% der Admins macht die Installation+Neustart automatisch in nem Wartungsfenster. Naja.. kränkt mich etwas in meiner Ehre als Admin, das nicht so umsetzen zu können, wie es mal war.
Bei uns kommt allerdings noch ein Problem mit Benachrichtigungen hinzu. Bin mir nicht ganz sicher, wie genau das Verhalten ist. Beim letzten Patchday habe ich u.a. zwei Feature-Updates freigegeben (21h2 und 22h2), um mal alle Versionen gerade zu ziehen. Bei vielen (oder allen?) war's dann so, dass über die ersten Updates noch informiert wurde (Leider auch nicht so, wie ich das von Windows 7 kenne; Die Richtlinie für die zusätzlichen Einträge zur Installation beim Herunterfahren/Neustart gelten nur bis Windows 7), als das System dann nach Neustart auf 22H2 neue Updates heruntergeladen hatte, wurde nicht mehr darüber informiert.
Die waren nur über den manuellen Aufruf von Windows Update sichtbar und installierbar, worum sich keiner der Mitarbeiter gekümmert hat, bis dann heute Stichtag war (4 Wochen ist wirklich zu lang!), installiert wurde und ein forced reboot nach 15 Minuten stattfand. Wo die 15 Minuten herkommen, ist mir auch völlig unklar, da in jeder Richtlinie, wo ein Timeout einzustellen wäre, ich andere Werte eingegeben habe.
Die Reaktionen der Mitforisten lässt mich allerdings eher an meinen Fähigkeiten zweifeln und nicht daran, dass Microsoft das Updateverhalten so kindermäßig geändert hat. Dass muss doch mehreren Admins aufgefallen sein, dass sich ein Neustart nicht mehr verzögern lässt. Oder >99% der Admins macht die Installation+Neustart automatisch in nem Wartungsfenster. Naja.. kränkt mich etwas in meiner Ehre als Admin, das nicht so umsetzen zu können, wie es mal war.
Dito. Aber wir haben alles versucht, sobald ein CU o.ä. sicherheitsrelevantes Update bei den monatlichen Updates fertig installiert wurde, bekommen wir die Update-Problematik, bei früheren Versionen von Win10 war das bei uns definitiv nicht so. Ich kann in den GPOs und der Registry kein irgendwo eingestelltes 15min-Zeitlimit finden... Für den heutigen/morgigen Patchday haben wir zusammen mit unserem IT-Dienstleister, der uns beim MECM/SCCM-Aufbau unterstützt hat, nochmasl etwas am MECM/SCCM umgestellt, aber relativ wenig Hoffnung, mal schauen.
Ich klopf auf Holz!
Gibt's hier Neuigkeiten?
Gleiches Spiel wie gehabt, die CUs erfordern einen Neustart...