winlin
Goto Top

WSUS GPO Einstellung

Hallo Leute,

habe Windows Server 2012R2 Systeme in einer AD. GPOs werden angewendet und Probleme bestehen aktuell mit den Windows Updates. Bei den Systemen handelt es sich um Terminal Server und es sind somit viele User eingeloggt. Z.t. nur Administratoren aber auch normale User. Für getrennte Session gibt es eine GPO die das Problem löst.

Nun kommt es aber öfters vor das die Kisten sich aifach selbstständig rebooten. Aktuell sie die Richtlinie so aus:
Configure autoated updates -> enabled
(auto download and schedule the install)
scheduled install day: every day
Time: 03:00

und

no auto restart for with logged on users....enabled
always automatically restart ....disabled
Wsus Server ist noch mit angegeben und enable side client targeting

Zum Szenario: Die Systeme die einfach so durchgebootet werden sind Adminsysteme. Wie gesagt sind zum Teil dort angemeldete admins und auch normale user (wobei deren session auch getrennt sein kann). Sollte ich meine "Configure automated updates Regel umstellen? Evtl. auf "3" auto download and notify for install???
Dies hätte dann zur Folge das meine Systeme nicht automatisch upgedatet werden sondern der Admin dies dann in einem Wartungsfenster durchführt, stimmts?

Gibt es keine Möglichkeit eine Regel zu erstellen die alle systeme automatisch updatet aber niemals einen reboot mach egal ob user/admins drauf sind oder nicht???

Content-ID: 287605

Url: https://administrator.de/contentid/287605

Ausgedruckt am: 22.11.2024 um 17:11 Uhr

DerWoWusste
DerWoWusste 05.11.2015 um 12:48:53 Uhr
Goto Top
Hi.

Dafür gibt es keine regel, nein. Du kannst per Skript updaten, ich glaube, dann kommt kein Reboot.
wuauclt /updatenow
winlin
winlin 05.11.2015 um 13:28:04 Uhr
Goto Top
reboots werden durchgeführt auch wenn admins eingeloggt sind?
DerWoWusste
DerWoWusste 05.11.2015 um 13:34:53 Uhr
Goto Top
Nein, dazu hast Du doch die Policy "no auto restart for with logged on users" gesetzt.
winlin
winlin 05.11.2015 um 13:38:31 Uhr
Goto Top
und an was kann es liegen wenn ich diese regel aktiv habe und ich als admin auf einer maschine bin diese trotzdem durchgebootet wird....im eventviewer stand dann nur wichtiges update wurde durchgeführt welches einen reboot erfordert.wurde einfach aus der vm geschmissen und das update wurde durchgeführt...und das obwohl ich die regel no autorestart for with logged on users
DerWoWusste
DerWoWusste 05.11.2015 um 13:39:48 Uhr
Goto Top
Hattest Du eine Deadline (unwissentlich) bei der Bewilligung des Updates eingetragen? Nachprüfen.
winlin
winlin 05.11.2015 um 15:25:17 Uhr
Goto Top
genau das ist es ja da steht keine dealline drin nur ein schedule every day für die automatic updates...aber auch wenn er updates installiert wieso schmeisst er mich als admin aus der session???
DerWoWusste
DerWoWusste 05.11.2015 um 15:27:04 Uhr
Goto Top
Er macht das nicht. Ich sage nicht, dass Du es Dir einbildest, aber es wird etwas an dem, wie Du es wiedergibst, nicht stimmern.

Prüfe mal das Eventlog auf
A den Reboot-Grund
B ob jemand angemeldet war
C ob die Policy angewendet worden war
winlin
winlin 05.11.2015 um 15:50:18 Uhr
Goto Top
im Even Log steht:
A Reboot Grund wurde durch ein wichtiges Upate initiiert welches einen Neustart des Systems benötigt
B angemeldet waren mehrere User (alles Admins)
C die Policy wurde angewendet
DerWoWusste
DerWoWusste 05.11.2015 um 15:55:37 Uhr
Goto Top
Gut, dann hast Du Systeme, die durch Erdstrahlen verstellt wurden. Ernsthaft, so lange keine Deadline besteht und da kein Admin geistesabwesend auf "ja, mach mal'n Reboot" klickt, passiert das nicht. Du musst etwas übersehen.
winlin
winlin 05.11.2015 um 16:04:51 Uhr
Goto Top
ich werde das ganze nochmals auf Herz und Nieren prüfen. Die Deadline von welcher du redest ist doch in der Regel "configure automatic updates" hinterlegt, meinst damit den schedule??? Werde aber trotzdem nun für die Server diese Einstellung auf "3" setzen (aut. herunterladen aber nicht sofort installieren).

Glaube am besten ist es wenn diese REgel eingestellt ist, er lädt alle updates herunter installiert diese nicht. DAs werde ih dann in einem Zyklus machen und zwar mit einem Task. Werde dann den Befehl wuauclt /updatenow verwenden mit shutdown -r- t 0.
DerWoWusste
DerWoWusste 05.11.2015 um 16:15:51 Uhr
Goto Top
Deadline
Ich schrieb doch oben
eine Deadline (unwissentlich) bei der Bewilligung des Updates eingetragen
Es ist auf das Update/die Updates selbst geschrieben. Schau Dir mal die Bewilligungsoptionen für Updates am WSUS an.
winlin
winlin 05.11.2015 um 16:32:34 Uhr
Goto Top
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..

naja ich werde nun einen Task erstellen das er zu einem bestimmten zeitpunkt die heruntergeladenen Updates installiert und dann auch den reboot macht....Dies werde ich in einem Wartungszeitraum definieren.
Edelweis
Edelweis 05.11.2015 um 16:46:45 Uhr
Goto Top
Zitat von @winlin:
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
Kein Geheimnis. Wenn auf dem WSUS ein Stichtag (Deadline) festgelegt ist und das Update auf dem "betroffenen" System einen Neustart braucht, wird dieser gnadenlos durchgeführt, unabhängig davon, was auf dem Client an GPOs konfiguriert ist und ob User (egal, welche(r)) angemeldet sind.
Wenn du dieses Verhalten nicht haben willst, musst du am WSUS die Einstellungen für die Updates ändern und nirgends anders.
DerWoWusste
DerWoWusste 05.11.2015 um 17:12:46 Uhr
Goto Top
Die Deadline ist nicht angeklickt
schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Edelweis
Edelweis 05.11.2015 um 17:53:58 Uhr
Goto Top
Zitat von @DerWoWusste:
Die Deadline ist nicht angeklickt
Joar, hat er geschrieben, aber hat er auch jedes relevante Update auf dem WSUS geprüft?

Zitat von @winlin:
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Aber er hat es nicht gegengeprüft auf dem WSUS, ob dort ein Stichtag eingetragen ist.

schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Stimmt.
departure69
departure69 06.11.2015 um 08:18:06 Uhr
Goto Top
@winlin:

Hallo.

Warum sitzt die GPO-Einstellung hierzu bei Dir auf 3?

Die Einstellung, wie mit Updates verfahren werden soll, die es an der lokalen Maschine völlig manuell dem Administrator überläßt, ob, wie und wann Updates installiert werden, ist nicht die Nr. 3, sondern die Nr. 5.

Deshalb:

Zweimal monatlich Downtime planen (immer am zweiten Mittwoch und vierten Mittwoch im Monat, weil jeweils in der Nacht von Dienstag auf Mittwoch die Updates eintrudeln, gleichgültig, ob von WSUS oder von WU). Updates durch einen Admin durchführen lassen, danach manuell neustarten, danach Leute wieder auf den Server drauflassen.

Bei Dir gibt's aber eine Besonderheit: Du beschreíbst das Problem anhand Eurer Terminalserver. Müssen denn Terminalserver nicht ohnehin jeden Tag bzw. jede Nacht neu gestartet werden? Früher war das mal so, wobei da meine Kenntnisse zum Thema TS bei W2K3 aufhören.

Wenn ein TS sowieso jede Nacht neu gestartet wird, dann könntest Du bei Deiner Nr. 3 bleiben, als Uhrzeit für die Updates fünf Uhr früh festlegen und noch einen zusätzlichen Reboot-Task (shutdown -r) eine halbe Stunde später um 05.30 Uhr. Wir hatten da früher auch noch einen Task, um die stehengebliebenen Profile vom TS zu löschen, dieser lief kurz vor dem Reboot.


Viele Grüße

von

departure69
DerWoWusste
DerWoWusste 06.11.2015 um 09:23:23 Uhr
Goto Top
Er muss klarstellen, ob eine Deadline besteht. Hat er noch nicht getan. Man muss in alle Update reinschauen, welche am fraglichen Tag, wo der Server unerwünscht neu gestartet wurde, installiert wurden und nicht bloß in die automatische Bewilligungsrichtlinie.
So lange das nicht getan wird, ist Weiteres unnütz.
winlin
winlin 06.11.2015 um 10:10:24 Uhr
Goto Top
Hi,

also es ist eindeutig klar das wir keine Deadline eingestellt haben. Habe die Updates welche an diesem Tag installiert worden sind angesehen - es ist keine Deadline eingetragen.

Wir werden wohl die Updates doch auf 3 stellen, weil wir nicht jede Maschine als Admin manuell updaten wollen. Es werden Critical und Security Updates automatisch heruntergeladen und installiert werden diese aber erst zum Wartungsfenster welchen wir mit wuauclt /detectnow und einem shutdown Befehl versehen werden (Task). Ich denke das wird in Zukunft dann auch ungewollte Reboots verhinder, warum auch immer diese bei uns passiert sind.