Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS GPO Einstellung

Mitglied: winlin

winlin (Level 2) - Jetzt verbinden

05.11.2015 um 11:34 Uhr, 2145 Aufrufe, 18 Kommentare

Hallo Leute,

habe Windows Server 2012R2 Systeme in einer AD. GPOs werden angewendet und Probleme bestehen aktuell mit den Windows Updates. Bei den Systemen handelt es sich um Terminal Server und es sind somit viele User eingeloggt. Z.t. nur Administratoren aber auch normale User. Für getrennte Session gibt es eine GPO die das Problem löst.

Nun kommt es aber öfters vor das die Kisten sich aifach selbstständig rebooten. Aktuell sie die Richtlinie so aus:
Configure autoated updates -> enabled
(auto download and schedule the install)
scheduled install day: every day
Time: 03:00

und

no auto restart for with logged on users....enabled
always automatically restart ....disabled
Wsus Server ist noch mit angegeben und enable side client targeting

Zum Szenario: Die Systeme die einfach so durchgebootet werden sind Adminsysteme. Wie gesagt sind zum Teil dort angemeldete admins und auch normale user (wobei deren session auch getrennt sein kann). Sollte ich meine "Configure automated updates Regel umstellen? Evtl. auf "3" auto download and notify for install???
Dies hätte dann zur Folge das meine Systeme nicht automatisch upgedatet werden sondern der Admin dies dann in einem Wartungsfenster durchführt, stimmts?

Gibt es keine Möglichkeit eine Regel zu erstellen die alle systeme automatisch updatet aber niemals einen reboot mach egal ob user/admins drauf sind oder nicht???
Mitglied: DerWoWusste
05.11.2015 um 12:48 Uhr
Hi.

Dafür gibt es keine regel, nein. Du kannst per Skript updaten, ich glaube, dann kommt kein Reboot.
wuauclt /updatenow
Bitte warten ..
Mitglied: winlin
05.11.2015 um 13:28 Uhr
reboots werden durchgeführt auch wenn admins eingeloggt sind?
Bitte warten ..
Mitglied: DerWoWusste
05.11.2015 um 13:34 Uhr
Nein, dazu hast Du doch die Policy "no auto restart for with logged on users" gesetzt.
Bitte warten ..
Mitglied: winlin
05.11.2015 um 13:38 Uhr
und an was kann es liegen wenn ich diese regel aktiv habe und ich als admin auf einer maschine bin diese trotzdem durchgebootet wird....im eventviewer stand dann nur wichtiges update wurde durchgeführt welches einen reboot erfordert.wurde einfach aus der vm geschmissen und das update wurde durchgeführt...und das obwohl ich die regel no autorestart for with logged on users
Bitte warten ..
Mitglied: DerWoWusste
05.11.2015 um 13:39 Uhr
Hattest Du eine Deadline (unwissentlich) bei der Bewilligung des Updates eingetragen? Nachprüfen.
Bitte warten ..
Mitglied: winlin
05.11.2015 um 15:25 Uhr
genau das ist es ja da steht keine dealline drin nur ein schedule every day für die automatic updates...aber auch wenn er updates installiert wieso schmeisst er mich als admin aus der session???
Bitte warten ..
Mitglied: DerWoWusste
05.11.2015 um 15:27 Uhr
Er macht das nicht. Ich sage nicht, dass Du es Dir einbildest, aber es wird etwas an dem, wie Du es wiedergibst, nicht stimmern.

Prüfe mal das Eventlog auf
A den Reboot-Grund
B ob jemand angemeldet war
C ob die Policy angewendet worden war
Bitte warten ..
Mitglied: winlin
05.11.2015 um 15:50 Uhr
im Even Log steht:
A Reboot Grund wurde durch ein wichtiges Upate initiiert welches einen Neustart des Systems benötigt
B angemeldet waren mehrere User (alles Admins)
C die Policy wurde angewendet
Bitte warten ..
Mitglied: DerWoWusste
05.11.2015 um 15:55 Uhr
Gut, dann hast Du Systeme, die durch Erdstrahlen verstellt wurden. Ernsthaft, so lange keine Deadline besteht und da kein Admin geistesabwesend auf "ja, mach mal'n Reboot" klickt, passiert das nicht. Du musst etwas übersehen.
Bitte warten ..
Mitglied: winlin
05.11.2015 um 16:04 Uhr
ich werde das ganze nochmals auf Herz und Nieren prüfen. Die Deadline von welcher du redest ist doch in der Regel "configure automatic updates" hinterlegt, meinst damit den schedule??? Werde aber trotzdem nun für die Server diese Einstellung auf "3" setzen (aut. herunterladen aber nicht sofort installieren).

Glaube am besten ist es wenn diese REgel eingestellt ist, er lädt alle updates herunter installiert diese nicht. DAs werde ih dann in einem Zyklus machen und zwar mit einem Task. Werde dann den Befehl wuauclt /updatenow verwenden mit shutdown -r- t 0.
Bitte warten ..
Mitglied: DerWoWusste
05.11.2015 um 16:15 Uhr
Deadline
Ich schrieb doch oben
eine Deadline (unwissentlich) bei der Bewilligung des Updates eingetragen
Es ist auf das Update/die Updates selbst geschrieben. Schau Dir mal die Bewilligungsoptionen für Updates am WSUS an.
Bitte warten ..
Mitglied: winlin
05.11.2015 um 16:32 Uhr
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..

naja ich werde nun einen Task erstellen das er zu einem bestimmten zeitpunkt die heruntergeladenen Updates installiert und dann auch den reboot macht....Dies werde ich in einem Wartungszeitraum definieren.
Bitte warten ..
Mitglied: Edelweis
05.11.2015 um 16:46 Uhr
Zitat von winlin:
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
Kein Geheimnis. Wenn auf dem WSUS ein Stichtag (Deadline) festgelegt ist und das Update auf dem "betroffenen" System einen Neustart braucht, wird dieser gnadenlos durchgeführt, unabhängig davon, was auf dem Client an GPOs konfiguriert ist und ob User (egal, welche(r)) angemeldet sind.
Wenn du dieses Verhalten nicht haben willst, musst du am WSUS die Einstellungen für die Updates ändern und nirgends anders.
Bitte warten ..
Mitglied: DerWoWusste
05.11.2015 um 17:12 Uhr
Die Deadline ist nicht angeklickt
schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Bitte warten ..
Mitglied: Edelweis
05.11.2015 um 17:53 Uhr
Zitat von DerWoWusste:
Die Deadline ist nicht angeklickt
Joar, hat er geschrieben, aber hat er auch jedes relevante Update auf dem WSUS geprüft?

Zitat von winlin:
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Aber er hat es nicht gegengeprüft auf dem WSUS, ob dort ein Stichtag eingetragen ist.

schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Stimmt.
Bitte warten ..
Mitglied: departure69
06.11.2015 um 08:18 Uhr
@winlin:

Hallo.

Warum sitzt die GPO-Einstellung hierzu bei Dir auf 3?

Die Einstellung, wie mit Updates verfahren werden soll, die es an der lokalen Maschine völlig manuell dem Administrator überläßt, ob, wie und wann Updates installiert werden, ist nicht die Nr. 3, sondern die Nr. 5.

Deshalb:

Zweimal monatlich Downtime planen (immer am zweiten Mittwoch und vierten Mittwoch im Monat, weil jeweils in der Nacht von Dienstag auf Mittwoch die Updates eintrudeln, gleichgültig, ob von WSUS oder von WU). Updates durch einen Admin durchführen lassen, danach manuell neustarten, danach Leute wieder auf den Server drauflassen.

Bei Dir gibt's aber eine Besonderheit: Du beschreíbst das Problem anhand Eurer Terminalserver. Müssen denn Terminalserver nicht ohnehin jeden Tag bzw. jede Nacht neu gestartet werden? Früher war das mal so, wobei da meine Kenntnisse zum Thema TS bei W2K3 aufhören.

Wenn ein TS sowieso jede Nacht neu gestartet wird, dann könntest Du bei Deiner Nr. 3 bleiben, als Uhrzeit für die Updates fünf Uhr früh festlegen und noch einen zusätzlichen Reboot-Task (shutdown -r) eine halbe Stunde später um 05.30 Uhr. Wir hatten da früher auch noch einen Task, um die stehengebliebenen Profile vom TS zu löschen, dieser lief kurz vor dem Reboot.


Viele Grüße

von

departure69
Bitte warten ..
Mitglied: DerWoWusste
06.11.2015 um 09:23 Uhr
Er muss klarstellen, ob eine Deadline besteht. Hat er noch nicht getan. Man muss in alle Update reinschauen, welche am fraglichen Tag, wo der Server unerwünscht neu gestartet wurde, installiert wurden und nicht bloß in die automatische Bewilligungsrichtlinie.
So lange das nicht getan wird, ist Weiteres unnütz.
Bitte warten ..
Mitglied: winlin
06.11.2015 um 10:10 Uhr
Hi,

also es ist eindeutig klar das wir keine Deadline eingestellt haben. Habe die Updates welche an diesem Tag installiert worden sind angesehen - es ist keine Deadline eingetragen.

Wir werden wohl die Updates doch auf 3 stellen, weil wir nicht jede Maschine als Admin manuell updaten wollen. Es werden Critical und Security Updates automatisch heruntergeladen und installiert werden diese aber erst zum Wartungsfenster welchen wir mit wuauclt /detectnow und einem shutdown Befehl versehen werden (Task). Ich denke das wird in Zukunft dann auch ungewollte Reboots verhinder, warum auch immer diese bei uns passiert sind.
Bitte warten ..
Ähnliche Inhalte
Windows Update

Update-Einstellung für local Admin ist ausgegrauht , WSUS GPO?

gelöst Frage von Leo-leWindows Update4 Kommentare

Hallo Forum, seit kurzem lassen sich auf keinem Server die Updates mehr suchen bzw. konfigurieren. Die Update-GPO wurde nicht ...

Windows Userverwaltung

Netzwerkadresse hinzufügen GPO Einstellung

Frage von banane31Windows Userverwaltung3 Kommentare

Hallo zusammen, mir ist die Frage fast schon peinlich, aber ich komme gerade auf keinen Nenner. Wir haben eine ...

Windows Server

WSUS GPO Vererbung

gelöst Frage von 77282Windows Server10 Kommentare

Hallo zusammen, mal eine Frage: Ein Kunde hat in der Default Domain Policy den WSUS Teil folgender maßen konfiguriert: ...

Windows 7

Bildschirmschoner-Einstellung wird trotz GPO nicht übernommen

gelöst Frage von fox14chWindows 72 Kommentare

Hallo zusammen Ich habe eine 2008R2 AD und 15 Stk Win7Pro Clients. Per GPO verteile ich die Bildschirmschoner-Einstellungen. Bei ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 13 StundenViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 23 StundenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)4 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 2 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Leiser stromsparender Debian EXT4 NAS-Heimserver: ECC-RAM wie betreiben?
Frage von Laser12SAN, NAS, DAS25 Kommentare

Moin, aktuell stelle ich einen Rechner zusammen, den mein Computerhändler bauen wird. Nach Jahrzehnten mit Desktops und zwei Notebooks ...

Windows Server
Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet?
Frage von LochkartenstanzerWindows Server13 Kommentare

Moin Kollegen, Kurze Frage: Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet? Da ich i.d.R. nicht für die ...

Netzwerkgrundlagen
Proxmox auf dedicated Root Server mit nur einer IP nutzen
gelöst Frage von ndreier933Netzwerkgrundlagen12 Kommentare

Hallo Community, ich bin neu hier im Forum und weiß nicht ob ich das Thema richtg zugeordnet habe?Zusätzlich habe ...

Windows Server
Name einer neuen AD Gesamtstruktur ? immer .local?
gelöst Frage von Motte990Windows Server11 Kommentare

Hallo ihr Lieben Ich bin gerade dabei auf einem Windows Server 2019 Core oder Desktop eine neu Active Directory ...