WSUS GPO Einstellung
Hallo Leute,
habe Windows Server 2012R2 Systeme in einer AD. GPOs werden angewendet und Probleme bestehen aktuell mit den Windows Updates. Bei den Systemen handelt es sich um Terminal Server und es sind somit viele User eingeloggt. Z.t. nur Administratoren aber auch normale User. Für getrennte Session gibt es eine GPO die das Problem löst.
Nun kommt es aber öfters vor das die Kisten sich aifach selbstständig rebooten. Aktuell sie die Richtlinie so aus:
Configure autoated updates -> enabled
(auto download and schedule the install)
scheduled install day: every day
Time: 03:00
und
no auto restart for with logged on users....enabled
always automatically restart ....disabled
Wsus Server ist noch mit angegeben und enable side client targeting
Zum Szenario: Die Systeme die einfach so durchgebootet werden sind Adminsysteme. Wie gesagt sind zum Teil dort angemeldete admins und auch normale user (wobei deren session auch getrennt sein kann). Sollte ich meine "Configure automated updates Regel umstellen? Evtl. auf "3" auto download and notify for install???
Dies hätte dann zur Folge das meine Systeme nicht automatisch upgedatet werden sondern der Admin dies dann in einem Wartungsfenster durchführt, stimmts?
Gibt es keine Möglichkeit eine Regel zu erstellen die alle systeme automatisch updatet aber niemals einen reboot mach egal ob user/admins drauf sind oder nicht???
habe Windows Server 2012R2 Systeme in einer AD. GPOs werden angewendet und Probleme bestehen aktuell mit den Windows Updates. Bei den Systemen handelt es sich um Terminal Server und es sind somit viele User eingeloggt. Z.t. nur Administratoren aber auch normale User. Für getrennte Session gibt es eine GPO die das Problem löst.
Nun kommt es aber öfters vor das die Kisten sich aifach selbstständig rebooten. Aktuell sie die Richtlinie so aus:
Configure autoated updates -> enabled
(auto download and schedule the install)
scheduled install day: every day
Time: 03:00
und
no auto restart for with logged on users....enabled
always automatically restart ....disabled
Wsus Server ist noch mit angegeben und enable side client targeting
Zum Szenario: Die Systeme die einfach so durchgebootet werden sind Adminsysteme. Wie gesagt sind zum Teil dort angemeldete admins und auch normale user (wobei deren session auch getrennt sein kann). Sollte ich meine "Configure automated updates Regel umstellen? Evtl. auf "3" auto download and notify for install???
Dies hätte dann zur Folge das meine Systeme nicht automatisch upgedatet werden sondern der Admin dies dann in einem Wartungsfenster durchführt, stimmts?
Gibt es keine Möglichkeit eine Regel zu erstellen die alle systeme automatisch updatet aber niemals einen reboot mach egal ob user/admins drauf sind oder nicht???
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 287605
Url: https://administrator.de/contentid/287605
Ausgedruckt am: 13.11.2024 um 07:11 Uhr
18 Kommentare
Neuester Kommentar
Zitat von @winlin:
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
Kein Geheimnis. Wenn auf dem WSUS ein Stichtag (Deadline) festgelegt ist und das Update auf dem "betroffenen" System einen Neustart braucht, wird dieser gnadenlos durchgeführt, unabhängig davon, was auf dem Client an GPOs konfiguriert ist und ob User (egal, welche(r)) angemeldet sind.Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
Wenn du dieses Verhalten nicht haben willst, musst du am WSUS die Einstellungen für die Updates ändern und nirgends anders.
Joar, hat er geschrieben, aber hat er auch jedes relevante Update auf dem WSUS geprüft?
Zitat von @winlin:
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Aber er hat es nicht gegengeprüft auf dem WSUS, ob dort ein Stichtag eingetragen ist.auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Stimmt.
@winlin:
Hallo.
Warum sitzt die GPO-Einstellung hierzu bei Dir auf 3?
Die Einstellung, wie mit Updates verfahren werden soll, die es an der lokalen Maschine völlig manuell dem Administrator überläßt, ob, wie und wann Updates installiert werden, ist nicht die Nr. 3, sondern die Nr. 5.
Deshalb:
Zweimal monatlich Downtime planen (immer am zweiten Mittwoch und vierten Mittwoch im Monat, weil jeweils in der Nacht von Dienstag auf Mittwoch die Updates eintrudeln, gleichgültig, ob von WSUS oder von WU). Updates durch einen Admin durchführen lassen, danach manuell neustarten, danach Leute wieder auf den Server drauflassen.
Bei Dir gibt's aber eine Besonderheit: Du beschreíbst das Problem anhand Eurer Terminalserver. Müssen denn Terminalserver nicht ohnehin jeden Tag bzw. jede Nacht neu gestartet werden? Früher war das mal so, wobei da meine Kenntnisse zum Thema TS bei W2K3 aufhören.
Wenn ein TS sowieso jede Nacht neu gestartet wird, dann könntest Du bei Deiner Nr. 3 bleiben, als Uhrzeit für die Updates fünf Uhr früh festlegen und noch einen zusätzlichen Reboot-Task (shutdown -r) eine halbe Stunde später um 05.30 Uhr. Wir hatten da früher auch noch einen Task, um die stehengebliebenen Profile vom TS zu löschen, dieser lief kurz vor dem Reboot.
Viele Grüße
von
departure69
Hallo.
Warum sitzt die GPO-Einstellung hierzu bei Dir auf 3?
Die Einstellung, wie mit Updates verfahren werden soll, die es an der lokalen Maschine völlig manuell dem Administrator überläßt, ob, wie und wann Updates installiert werden, ist nicht die Nr. 3, sondern die Nr. 5.
Deshalb:
Zweimal monatlich Downtime planen (immer am zweiten Mittwoch und vierten Mittwoch im Monat, weil jeweils in der Nacht von Dienstag auf Mittwoch die Updates eintrudeln, gleichgültig, ob von WSUS oder von WU). Updates durch einen Admin durchführen lassen, danach manuell neustarten, danach Leute wieder auf den Server drauflassen.
Bei Dir gibt's aber eine Besonderheit: Du beschreíbst das Problem anhand Eurer Terminalserver. Müssen denn Terminalserver nicht ohnehin jeden Tag bzw. jede Nacht neu gestartet werden? Früher war das mal so, wobei da meine Kenntnisse zum Thema TS bei W2K3 aufhören.
Wenn ein TS sowieso jede Nacht neu gestartet wird, dann könntest Du bei Deiner Nr. 3 bleiben, als Uhrzeit für die Updates fünf Uhr früh festlegen und noch einen zusätzlichen Reboot-Task (shutdown -r) eine halbe Stunde später um 05.30 Uhr. Wir hatten da früher auch noch einen Task, um die stehengebliebenen Profile vom TS zu löschen, dieser lief kurz vor dem Reboot.
Viele Grüße
von
departure69
Er muss klarstellen, ob eine Deadline besteht. Hat er noch nicht getan. Man muss in alle Update reinschauen, welche am fraglichen Tag, wo der Server unerwünscht neu gestartet wurde, installiert wurden und nicht bloß in die automatische Bewilligungsrichtlinie.
So lange das nicht getan wird, ist Weiteres unnütz.
So lange das nicht getan wird, ist Weiteres unnütz.