pedant
Goto Top

WSUS: Client-Zwangsneustart unterbinden?

Hallo,

Das Problem

WSUS-Clients (Arbeitsplatz-PC und Server) führen, nach Updates, die einen Neustart erforderlich machen, den Neustart automatisch und zwangsweise aus.
Ich möchte aber, dass bei angemeldetem Benutzer, ein Neustart nur ausgeführt wird, wenn der Benutzer dem ausdrücklich zustimmt oder ihn aktiv auslöst.


Der Hintergrund

Vor zirka zwei Wochen, habe ich den WSUS neu aufgesetzt.
Das Konzept und die Infrastruktur habe ich dabei nicht verändert, also einfach nur komplett deinstalliert (WSUS/MSSQL/Datenbank/Updates) und wieder gleichartig neu installiert.
Der Grund für die Neuinstallation waren Fehlfunktionen, die ich anders nicht beheben konnte.

Es funktioniert wieder Alles, nur ist es jetzt so, dass bei Updates, die einen Neustart erfordern, die Clients (Arbeitsplatz-PC und Server) selbstätig den Neustart ausführen und der angemeldete User, keine Option hat, das zu unterbinden oder wenigstens beliebig oft zu verschieben.

b522c63477397c99462f381a01d09ed4

Vor der Neuinstallation war es so, dass an den Arbeitsplatz-PC die Option "Später erinnern:" verfügbar war und an den Server nur informiert wurde, dass ein Neustart (manuell) durchgeführt werden sollte.


Die Infrastruktur

Der WSUS und alle Clients befinden sich in einer Arbeitsgruppe (keine Domäne).
An allen Rechner (Arbeitsplatz-PC und Server) ist immer ein Benutzer angemeldet.
Alle Benutzer haben Administratorrechte.
(Über Sinn oder Unsinn an Servern einen Administrator angemeldet zu lassen, möchte ich jetzt ungern diskutieren)

Die Clients sind per Reg-Datei auf den WSUS konfiguriert.
Die Regeinträge der Clients habe ich bei der Neuinstallation von WSUS nicht verändert.
Sie sehen so aus:



WSUS-Server
Windows Server 2008 Standard, SP2, 32-Bit
Update Services Version: 3.2.7600.226
wuauclt.exe Version: 7.6.7600.256

WSUS-Clients
- WIndows Server 2003 / wuauclt.exe Version: 7.6.7600.256
- Windows Server 2008 R2 / wuauclt.exe Version: 7.6.7601.19161
- Windows 7 / wuauclt.exe Version: 7.6.7601.19161


Die Frage
Wie bekomme ich es wieder hin, die Neustarts selbst zu kontrollieren?
Anmerkungen/Rückfragen/Anregungen...?

Gruß Frank

Content-Key: 297915

Url: https://administrator.de/contentid/297915

Ausgedruckt am: 02.10.2022 um 20:10 Uhr

Mitglied: agowa338
agowa338 02.03.2016 um 11:34:36 Uhr
Goto Top
Ich denke, dein Fehler liegt unter [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
hier habe ich bei mir diese Einträge gesetzt:

Wahrscheinlich ist es die Option "RebootRelaunchTimeoutEnabled", aber genau kann ich es dir nicht sagen.
Was du aber machen kannst, ist auf einem Rechner an dem die Einstellungen NICHT gesetzt sind gpedit.msc => "Administrative Vorlagen" => "Windows-Komponenten" => "Windows Update" => Nun setzt du alle Einstellungen, die du haben willst.
Anschließend sollte in den Registry Schlüsseln alle erforderlichen Einträge gesetzt worden sein.
Mitglied: em-pie
Lösung em-pie 05.03.2016, aktualisiert am 08.03.2016 um 11:07:08 Uhr
Goto Top
Hi,

wie gibst du denn den die Updates frei?

Wenn ich die normal Freigebe und die User das Update-Icon sehen und unter Umständen dann selbst aktiv werden, können die den Neustart (max. 4h) verschieben, bevor man erneut erinnert wird.

In aller Regel werden die Updates aber beim herunterfahren installiert (zumindest bei uns), vorher unternimmt keiner etwas.

Wenn ich mich recht entsinne, löst die Stichtagsoption einen erzwungenen Reboot aus...

Gruß
em-pie
Mitglied: Judgelg
Judgelg 08.03.2016 um 09:48:11 Uhr
Goto Top
setzt du GPO`s ein? Wenn ja würde ich das ganze damiut unterbinden.
Mitglied: Pedant
Pedant 08.03.2016 um 11:51:55 Uhr
Goto Top
Hallo,

@em-pie hat geschrieben:
wie gibst du denn den die Updates frei?
...
Wenn ich mich recht entsinne, löst die Stichtagsoption einen erzwungenen Reboot aus...

Das war der entscheidende Hinweis.
Ich hatte eine Regel für "Automatische Genehmigungen" angelegt und aktiviert.
Bei der Neuinstallation hatte ich - wohl anders als zuvor - bei den Eigenschaften der Genehmignungsregel diese Option angehakt:
[x] Stichtag für die Genehmigung festlegen
Als Stichtag hatte ich 0 ausgewählt (denselben Tag wie die Genehmigung).

Die Stichtagsoption habe ich wieder rausgenommen und siehe da, der User wird wieder gefragt, ob er neustarten möchte oder später erneut erinnert werden will.

@agowa338 hat geschrieben:
Was du aber machen kannst, ist auf einem Rechner an dem die Einstellungen NICHT gesetzt sind gpedit.msc => "Administrative Vorlagen" => "Windows-Komponenten" => "Windows Update" => Nun setzt du alle Einstellungen, die du haben willst.

Das war eine gute Idee, denn in den Gruppenrichtlinien sind die Optionen recht gut erklärt, also die Wirkungen, Nebenwirkungen, Abhängigkeiten und das Defaultverhalten.
Ich konne damit aber auch feststellen, dass meine Reg-Einträge nicht die Ursache für den Zwangsreboot waren.
Das war, wie schon erwähnt, die blöde Stichtagsoption.
Ich werde mich demnächst nochmal im Detail mit allen Optionen beschäftigen und meine Regeinträge damit eventuell optimieren.

@Judgelg hat geschrieben:
setzt du GPO`s ein?

Nein, wie eingangs erwähnt, sind die Clients per Reg-Datei auf den WSUS konfiguriert,
wobei Gruppenrichtlinien im Ergebnis ja auch nichts anderes sind als Reg-Einträge.

Vielen Dank Euch Dreien
Gruß Frank