Server Installiert Update obwohl im WSUS nicht approved
Hallo,
wir nutzen schon recht lange den WSUS für die interne Update Verteilung der Server. Das Ganze funktioniert auch recht zuverlässig.
Standardmäßig geben wir die monatlichen Updates mit ca 2-3 Wochen Versatz frei.
Nun hat sich aber das Juni-Update für Server 2016 (KB5014702) auf 3 Servern installiert, obwohl es im WSUS noch gar nicht freigegeben ist.
Auf den restlichen ca 150 Servern wird das Update auch wie erwartet erst gar nicht angeboten.
Setzt man einen betroffenen Server zurück, würde er es auch wieder erneut installieren wollen .
Laut dem WindowsUpdateLog sieht es danach aus, als würden die vom WSUS freigegebenen Updaten auch wirklich vom WSUS heruntergeladen und installiert, aber das Juni Update zieht er sich von Microsoft direkt.
Die Server auf denen es installiert ist, haben auch vollkommen unterschiedliche Funktionen und haben für mich keinen erkennbaren, gemeinsamen Nenner.
Das Problem ist aktuell nicht kritisch, das Update darf jedoch auf einigen Servern nicht installiert werden, da bekannte Probleme.
Config ist per GPO gesetzt und stimmt mit anderen überein (Registry geprüft).
Sonstige Deploymenttools sind nicht im Einsatz.
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Danke und Gruß
wir nutzen schon recht lange den WSUS für die interne Update Verteilung der Server. Das Ganze funktioniert auch recht zuverlässig.
Standardmäßig geben wir die monatlichen Updates mit ca 2-3 Wochen Versatz frei.
Nun hat sich aber das Juni-Update für Server 2016 (KB5014702) auf 3 Servern installiert, obwohl es im WSUS noch gar nicht freigegeben ist.
Auf den restlichen ca 150 Servern wird das Update auch wie erwartet erst gar nicht angeboten.
Setzt man einen betroffenen Server zurück, würde er es auch wieder erneut installieren wollen .
Laut dem WindowsUpdateLog sieht es danach aus, als würden die vom WSUS freigegebenen Updaten auch wirklich vom WSUS heruntergeladen und installiert, aber das Juni Update zieht er sich von Microsoft direkt.
Die Server auf denen es installiert ist, haben auch vollkommen unterschiedliche Funktionen und haben für mich keinen erkennbaren, gemeinsamen Nenner.
Das Problem ist aktuell nicht kritisch, das Update darf jedoch auf einigen Servern nicht installiert werden, da bekannte Probleme.
Config ist per GPO gesetzt und stimmt mit anderen überein (Registry geprüft).
Sonstige Deploymenttools sind nicht im Einsatz.
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Danke und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3229659166
Url: https://administrator.de/contentid/3229659166
Ausgedruckt am: 19.12.2024 um 03:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
bzw. Nur die tatsächlich benötigten URLs/ Server im WAN erlauben - aber das sollte man bei Systemen, die nicht direkt durch User genutzt werden, ohnehin festlegen.
Ich würde aber mal prüfen, ob die GPO richtig definiert wurde. Wir können das aktuell nicht, da du nichts zu den gesetzten Einstellungen geschrieben hast!
Edit: könnte es sein, dass jemand „Online nach Updates suchen“ an dem Server geklickt hat?
Zitat von @emeriks:
Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.
E.
Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.
E.
bzw. Nur die tatsächlich benötigten URLs/ Server im WAN erlauben - aber das sollte man bei Systemen, die nicht direkt durch User genutzt werden, ohnehin festlegen.
Ich würde aber mal prüfen, ob die GPO richtig definiert wurde. Wir können das aktuell nicht, da du nichts zu den gesetzten Einstellungen geschrieben hast!
Edit: könnte es sein, dass jemand „Online nach Updates suchen“ an dem Server geklickt hat?
Zitat von @ElmerAcmeee:
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Zu viel Internet, WuFB, andere Softwareaktualisierungen.
Servus,
ich würde auch die GPO nochmal genau unter die Lupe nehmen, aber auch mal in Richtung
"Update Dual Scan" ermitteln.
Windowspro - Windows Update for Business und DualScan
Andy's Blog - DualScan
Gruß NV
ich würde auch die GPO nochmal genau unter die Lupe nehmen, aber auch mal in Richtung
"Update Dual Scan" ermitteln.
Windowspro - Windows Update for Business und DualScan
Andy's Blog - DualScan
Gruß NV