Server Installiert Update obwohl im WSUS nicht approved

elmeracmeee
Goto Top
Hallo,
wir nutzen schon recht lange den WSUS für die interne Update Verteilung der Server. Das Ganze funktioniert auch recht zuverlässig.
Standardmäßig geben wir die monatlichen Updates mit ca 2-3 Wochen Versatz frei.
Nun hat sich aber das Juni-Update für Server 2016 (KB5014702) auf 3 Servern installiert, obwohl es im WSUS noch gar nicht freigegeben ist.
Auf den restlichen ca 150 Servern wird das Update auch wie erwartet erst gar nicht angeboten.
Setzt man einen betroffenen Server zurück, würde er es auch wieder erneut installieren wollen .
Laut dem WindowsUpdateLog sieht es danach aus, als würden die vom WSUS freigegebenen Updaten auch wirklich vom WSUS heruntergeladen und installiert, aber das Juni Update zieht er sich von Microsoft direkt.
Die Server auf denen es installiert ist, haben auch vollkommen unterschiedliche Funktionen und haben für mich keinen erkennbaren, gemeinsamen Nenner.
Das Problem ist aktuell nicht kritisch, das Update darf jedoch auf einigen Servern nicht installiert werden, da bekannte Probleme.
Config ist per GPO gesetzt und stimmt mit anderen überein (Registry geprüft).
Sonstige Deploymenttools sind nicht im Einsatz.
Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?
Danke und Gruß

Content-Key: 3229659166

Url: https://administrator.de/contentid/3229659166

Ausgedruckt am: 19.08.2022 um 13:08 Uhr

Mitglied: emeriks
emeriks 01.07.2022 um 15:56:10 Uhr
Goto Top
Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.

E.
Mitglied: em-pie
em-pie 01.07.2022 aktualisiert um 16:10:51 Uhr
Goto Top
Moin,
Zitat von @emeriks:

Hi,
pragmatischer Ansatz:
Benötigt der Rechner einen Internetzugang? Wenn nein, dann sperren.

E.

bzw. Nur die tatsächlich benötigten URLs/ Server im WAN erlauben - aber das sollte man bei Systemen, die nicht direkt durch User genutzt werden, ohnehin festlegen.


Ich würde aber mal prüfen, ob die GPO richtig definiert wurde. Wir können das aktuell nicht, da du nichts zu den gesetzten Einstellungen geschrieben hast!

Edit: könnte es sein, dass jemand „Online nach Updates suchen“ an dem Server geklickt hat?
Mitglied: mbehrens
mbehrens 01.07.2022 um 17:30:20 Uhr
Goto Top
Zitat von @ElmerAcmeee:

Habt ihr ne Idee wie ein Update am WSUS vorbei auf die Server gelangen kann?

Zu viel Internet, WuFB, andere Softwareaktualisierungen.
Mitglied: NixVerstehen
Lösung NixVerstehen 01.07.2022 um 21:07:38 Uhr
Goto Top
Servus,

ich würde auch die GPO nochmal genau unter die Lupe nehmen, aber auch mal in Richtung
"Update Dual Scan" ermitteln.
Windowspro - Windows Update for Business und DualScan
Andy's Blog - DualScan

Gruß NV
Mitglied: StefanKittel
Lösung StefanKittel 02.07.2022 um 10:18:05 Uhr
Goto Top
Hallo,

auch ein Punk für das DualScan.
Ich hatte es manchmal, dass W10 PCs Updates installiert hatten obwohl diese aktiv verboten waren.
Aber MS war der Meinung die wären wichtig und so wurden sie installiert.

Da man DualScan nicht 100% verhindern kann, hilft da wirklich nur "kein Internet".

Stefan
Mitglied: ElmerAcmeee
ElmerAcmeee 04.07.2022 um 06:33:45 Uhr
Goto Top
Moin,
es scheint wirklich am DualScan zu liegen. Haben am Freitag eine betroffene VM wechselweise mehrfach mit und ohne dem entsprechenden Flag getestet. Verhindert man den DualScan erscheint das Update auch nicht.
Wir werden das nun per GPO für alle abschalten.
Warum das allerdings genau bei diesen 3 VMs ausglöst wurde, erschließt sich mir aber immer noch nicht.
(Werde das auf unsere lange Liste der X-Akten setzen)
Danke für die Hilfe