6
Server Installiert Update obwohl im WSUS nicht approved
Hallo,
wir nutzen schon recht lange den WSUS für die interne Update Verteilung der Server. Das Ganze funktioniert auch recht zuverlässig.
Standardmäßig geben wir die monatlichen Updates mit ca 2-3 Wochen Versatz frei.
Nun hat sich aber das Juni-Update für Server 2016 (KB5014702) auf 3 Servern installiert, obwohl es im WSUS noch gar nicht freigegeben ist.
Auf den restlichen ca 150 Servern wird das Update auch wie erwartet erst gar nicht angeboten.
Setzt man einen betroffenen Server zurück, würde er es auch wieder erneut installieren wollen .
Laut dem WindowsUpdateLog sieht es danach aus, als würden die vom WSUS freigegebenen Updaten auch wirklich vom WSUS heruntergeladen und installiert, aber das Juni Update zieht er sich von Microsoft direkt.
Die Server auf denen es installiert ist, haben auch vollkommen unterschiedliche Funktionen und haben für mich keinen erkennbaren, gemeinsamen Nenner.
Das Problem ist aktuell nicht kritisch, das Update darf jedoch auf einigen Servern nicht installiert werden, da bekannte Probleme.
Config ist per GPO gesetzt und stimmt mit anderen überein (Registry geprüft).
Sonstige Deploymenttools sind nicht im Einsatz.
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Danke und Gruß
wir nutzen schon recht lange den WSUS für die interne Update Verteilung der Server. Das Ganze funktioniert auch recht zuverlässig.
Standardmäßig geben wir die monatlichen Updates mit ca 2-3 Wochen Versatz frei.
Nun hat sich aber das Juni-Update für Server 2016 (KB5014702) auf 3 Servern installiert, obwohl es im WSUS noch gar nicht freigegeben ist.
Auf den restlichen ca 150 Servern wird das Update auch wie erwartet erst gar nicht angeboten.
Setzt man einen betroffenen Server zurück, würde er es auch wieder erneut installieren wollen .
Laut dem WindowsUpdateLog sieht es danach aus, als würden die vom WSUS freigegebenen Updaten auch wirklich vom WSUS heruntergeladen und installiert, aber das Juni Update zieht er sich von Microsoft direkt.
Die Server auf denen es installiert ist, haben auch vollkommen unterschiedliche Funktionen und haben für mich keinen erkennbaren, gemeinsamen Nenner.
Das Problem ist aktuell nicht kritisch, das Update darf jedoch auf einigen Servern nicht installiert werden, da bekannte Probleme.
Config ist per GPO gesetzt und stimmt mit anderen überein (Registry geprüft).
Sonstige Deploymenttools sind nicht im Einsatz.
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Danke und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3229659166
Url: https://administrator.de/contentid/3229659166
Ausgedruckt am: 18.11.2024 um 21:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.
E.
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.
E.
Moin,
bzw. Nur die tatsächlich benötigten URLs/ Server im WAN erlauben - aber das sollte man bei Systemen, die nicht direkt durch User genutzt werden, ohnehin festlegen.
Ich würde aber mal prüfen, ob die GPO richtig definiert wurde. Wir können das aktuell nicht, da du nichts zu den gesetzten Einstellungen geschrieben hast!
Edit: könnte es sein, dass jemand „Online nach Updates suchen“ an dem Server geklickt hat?
Zitat von @emeriks:
Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.
E.
Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.
E.
bzw. Nur die tatsächlich benötigten URLs/ Server im WAN erlauben - aber das sollte man bei Systemen, die nicht direkt durch User genutzt werden, ohnehin festlegen.
Ich würde aber mal prüfen, ob die GPO richtig definiert wurde. Wir können das aktuell nicht, da du nichts zu den gesetzten Einstellungen geschrieben hast!
Edit: könnte es sein, dass jemand „Online nach Updates suchen“ an dem Server geklickt hat?
Zitat von @ElmerAcmeee:
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Zu viel Internet, WuFB, andere Softwareaktualisierungen.
Servus,
ich würde auch die GPO nochmal genau unter die Lupe nehmen, aber auch mal in Richtung
"Update Dual Scan" ermitteln.
Windowspro - Windows Update for Business und DualScan
Andy's Blog - DualScan
Gruß NV
ich würde auch die GPO nochmal genau unter die Lupe nehmen, aber auch mal in Richtung
"Update Dual Scan" ermitteln.
Windowspro - Windows Update for Business und DualScan
Andy's Blog - DualScan
Gruß NV
1
Hallo,
auch ein Punk für das DualScan.
Ich hatte es manchmal, dass W10 PCs Updates installiert hatten obwohl diese aktiv verboten waren.
Aber MS war der Meinung die wären wichtig und so wurden sie installiert.
Da man DualScan nicht 100% verhindern kann, hilft da wirklich nur "kein Internet".
Stefan
auch ein Punk für das DualScan.
Ich hatte es manchmal, dass W10 PCs Updates installiert hatten obwohl diese aktiv verboten waren.
Aber MS war der Meinung die wären wichtig und so wurden sie installiert.
Da man DualScan nicht 100% verhindern kann, hilft da wirklich nur "kein Internet".
Stefan
Moin,
es scheint wirklich am DualScan zu liegen. Haben am Freitag eine betroffene VM wechselweise mehrfach mit und ohne dem entsprechenden Flag getestet. Verhindert man den DualScan erscheint das Update auch nicht.
Wir werden das nun per GPO für alle abschalten.
Warum das allerdings genau bei diesen 3 VMs ausglöst wurde, erschließt sich mir aber immer noch nicht.
(Werde das auf unsere lange Liste der X-Akten setzen)
Danke für die Hilfe
es scheint wirklich am DualScan zu liegen. Haben am Freitag eine betroffene VM wechselweise mehrfach mit und ohne dem entsprechenden Flag getestet. Verhindert man den DualScan erscheint das Update auch nicht.
Wir werden das nun per GPO für alle abschalten.
Warum das allerdings genau bei diesen 3 VMs ausglöst wurde, erschließt sich mir aber immer noch nicht.
(Werde das auf unsere lange Liste der X-Akten setzen)
Danke für die Hilfe
