18
WSUS GPO Einstellung
Hallo Leute,
habe Windows Server 2012R2 Systeme in einer AD. GPOs werden angewendet und Probleme bestehen aktuell mit den Windows Updates. Bei den Systemen handelt es sich um Terminal Server und es sind somit viele User eingeloggt. Z.t. nur Administratoren aber auch normale User. Für getrennte Session gibt es eine GPO die das Problem löst.
Nun kommt es aber öfters vor das die Kisten sich aifach selbstständig rebooten. Aktuell sie die Richtlinie so aus:
Configure autoated updates -> enabled
(auto download and schedule the install)
scheduled install day: every day
Time: 03:00
und
no auto restart for with logged on users....enabled
always automatically restart ....disabled
Wsus Server ist noch mit angegeben und enable side client targeting
Zum Szenario: Die Systeme die einfach so durchgebootet werden sind Adminsysteme. Wie gesagt sind zum Teil dort angemeldete admins und auch normale user (wobei deren session auch getrennt sein kann). Sollte ich meine "Configure automated updates Regel umstellen? Evtl. auf "3" auto download and notify for install???
Dies hätte dann zur Folge das meine Systeme nicht automatisch upgedatet werden sondern der Admin dies dann in einem Wartungsfenster durchführt, stimmts?
Gibt es keine Möglichkeit eine Regel zu erstellen die alle systeme automatisch updatet aber niemals einen reboot mach egal ob user/admins drauf sind oder nicht???
habe Windows Server 2012R2 Systeme in einer AD. GPOs werden angewendet und Probleme bestehen aktuell mit den Windows Updates. Bei den Systemen handelt es sich um Terminal Server und es sind somit viele User eingeloggt. Z.t. nur Administratoren aber auch normale User. Für getrennte Session gibt es eine GPO die das Problem löst.
Nun kommt es aber öfters vor das die Kisten sich aifach selbstständig rebooten. Aktuell sie die Richtlinie so aus:
Configure autoated updates -> enabled
(auto download and schedule the install)
scheduled install day: every day
Time: 03:00
und
no auto restart for with logged on users....enabled
always automatically restart ....disabled
Wsus Server ist noch mit angegeben und enable side client targeting
Zum Szenario: Die Systeme die einfach so durchgebootet werden sind Adminsysteme. Wie gesagt sind zum Teil dort angemeldete admins und auch normale user (wobei deren session auch getrennt sein kann). Sollte ich meine "Configure automated updates Regel umstellen? Evtl. auf "3" auto download and notify for install???
Dies hätte dann zur Folge das meine Systeme nicht automatisch upgedatet werden sondern der Admin dies dann in einem Wartungsfenster durchführt, stimmts?
Gibt es keine Möglichkeit eine Regel zu erstellen die alle systeme automatisch updatet aber niemals einen reboot mach egal ob user/admins drauf sind oder nicht???
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 287605
Url: https://administrator.de/contentid/287605
Printed on: April 23, 2024 at 09:04 o'clock
18 Comments
Latest comment
Hi.
Dafür gibt es keine regel, nein. Du kannst per Skript updaten, ich glaube, dann kommt kein Reboot.
wuauclt /updatenow
Dafür gibt es keine regel, nein. Du kannst per Skript updaten, ich glaube, dann kommt kein Reboot.
wuauclt /updatenow
reboots werden durchgeführt auch wenn admins eingeloggt sind?
Nein, dazu hast Du doch die Policy "no auto restart for with logged on users" gesetzt.
und an was kann es liegen wenn ich diese regel aktiv habe und ich als admin auf einer maschine bin diese trotzdem durchgebootet wird....im eventviewer stand dann nur wichtiges update wurde durchgeführt welches einen reboot erfordert.wurde einfach aus der vm geschmissen und das update wurde durchgeführt...und das obwohl ich die regel no autorestart for with logged on users
Hattest Du eine Deadline (unwissentlich) bei der Bewilligung des Updates eingetragen? Nachprüfen.
genau das ist es ja da steht keine dealline drin nur ein schedule every day für die automatic updates...aber auch wenn er updates installiert wieso schmeisst er mich als admin aus der session???
Er macht das nicht. Ich sage nicht, dass Du es Dir einbildest, aber es wird etwas an dem, wie Du es wiedergibst, nicht stimmern.
Prüfe mal das Eventlog auf
A den Reboot-Grund
B ob jemand angemeldet war
C ob die Policy angewendet worden war
Prüfe mal das Eventlog auf
A den Reboot-Grund
B ob jemand angemeldet war
C ob die Policy angewendet worden war
im Even Log steht:
A Reboot Grund wurde durch ein wichtiges Upate initiiert welches einen Neustart des Systems benötigt
B angemeldet waren mehrere User (alles Admins)
C die Policy wurde angewendet
A Reboot Grund wurde durch ein wichtiges Upate initiiert welches einen Neustart des Systems benötigt
B angemeldet waren mehrere User (alles Admins)
C die Policy wurde angewendet
Gut, dann hast Du Systeme, die durch Erdstrahlen verstellt wurden. Ernsthaft, so lange keine Deadline besteht und da kein Admin geistesabwesend auf "ja, mach mal'n Reboot" klickt, passiert das nicht. Du musst etwas übersehen.
ich werde das ganze nochmals auf Herz und Nieren prüfen. Die Deadline von welcher du redest ist doch in der Regel "configure automatic updates" hinterlegt, meinst damit den schedule??? Werde aber trotzdem nun für die Server diese Einstellung auf "3" setzen (aut. herunterladen aber nicht sofort installieren).
Glaube am besten ist es wenn diese REgel eingestellt ist, er lädt alle updates herunter installiert diese nicht. DAs werde ih dann in einem Zyklus machen und zwar mit einem Task. Werde dann den Befehl wuauclt /updatenow verwenden mit shutdown -r- t 0.
Glaube am besten ist es wenn diese REgel eingestellt ist, er lädt alle updates herunter installiert diese nicht. DAs werde ih dann in einem Zyklus machen und zwar mit einem Task. Werde dann den Befehl wuauclt /updatenow verwenden mit shutdown -r- t 0.
Deadline
Ich schrieb doch obeneine Deadline (unwissentlich) bei der Bewilligung des Updates eingetragen
Es ist auf das Update/die Updates selbst geschrieben. Schau Dir mal die Bewilligungsoptionen für Updates am WSUS an.
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
naja ich werde nun einen Task erstellen das er zu einem bestimmten zeitpunkt die heruntergeladenen Updates installiert und dann auch den reboot macht....Dies werde ich in einem Wartungszeitraum definieren.
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
naja ich werde nun einen Task erstellen das er zu einem bestimmten zeitpunkt die heruntergeladenen Updates installiert und dann auch den reboot macht....Dies werde ich in einem Wartungszeitraum definieren.
Zitat von @winlin:
Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
Kein Geheimnis. Wenn auf dem WSUS ein Stichtag (Deadline) festgelegt ist und das Update auf dem "betroffenen" System einen Neustart braucht, wird dieser gnadenlos durchgeführt, unabhängig davon, was auf dem Client an GPOs konfiguriert ist und ob User (egal, welche(r)) angemeldet sind.Das heisst also das er eben dieses W2K12R2 Update installiert hat. Und dieses Update hat einen neustart benötigt nur wieso er diesen reboot gemacht hat obwohl admins eingeloggt waren bleibt ein geheimnis..
Wenn du dieses Verhalten nicht haben willst, musst du am WSUS die Einstellungen für die Updates ändern und nirgends anders.
Die Deadline ist nicht angeklickt
schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Joar, hat er geschrieben, aber hat er auch jedes relevante Update auf dem WSUS geprüft?
Zitat von @winlin:
auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
Aber er hat es nicht gegengeprüft auf dem WSUS, ob dort ein Stichtag eingetragen ist.auf dem wsus stehen unter automatic approvals Produkte wie MSSQL AD und W2K12R2 usw. Die Deadline ist nicht angeklickt.....aber beim heutigen Fall war es ein W2K12R2 Update und genau diesersteht in der automatic approval liste und unter gruppen steht für alle computer.....
schrieb er ja bereits. Allerdings muss das nichts Definitives heißen, Deadlines kann man ja auch (versehentlich) manuell hinzufügen.
Stimmt.
@winlin:
Hallo.
Warum sitzt die GPO-Einstellung hierzu bei Dir auf 3?
Die Einstellung, wie mit Updates verfahren werden soll, die es an der lokalen Maschine völlig manuell dem Administrator überläßt, ob, wie und wann Updates installiert werden, ist nicht die Nr. 3, sondern die Nr. 5.
Deshalb:
Zweimal monatlich Downtime planen (immer am zweiten Mittwoch und vierten Mittwoch im Monat, weil jeweils in der Nacht von Dienstag auf Mittwoch die Updates eintrudeln, gleichgültig, ob von WSUS oder von WU). Updates durch einen Admin durchführen lassen, danach manuell neustarten, danach Leute wieder auf den Server drauflassen.
Bei Dir gibt's aber eine Besonderheit: Du beschreíbst das Problem anhand Eurer Terminalserver. Müssen denn Terminalserver nicht ohnehin jeden Tag bzw. jede Nacht neu gestartet werden? Früher war das mal so, wobei da meine Kenntnisse zum Thema TS bei W2K3 aufhören.
Wenn ein TS sowieso jede Nacht neu gestartet wird, dann könntest Du bei Deiner Nr. 3 bleiben, als Uhrzeit für die Updates fünf Uhr früh festlegen und noch einen zusätzlichen Reboot-Task (shutdown -r) eine halbe Stunde später um 05.30 Uhr. Wir hatten da früher auch noch einen Task, um die stehengebliebenen Profile vom TS zu löschen, dieser lief kurz vor dem Reboot.
Viele Grüße
von
departure69
Hallo.
Warum sitzt die GPO-Einstellung hierzu bei Dir auf 3?
Die Einstellung, wie mit Updates verfahren werden soll, die es an der lokalen Maschine völlig manuell dem Administrator überläßt, ob, wie und wann Updates installiert werden, ist nicht die Nr. 3, sondern die Nr. 5.
Deshalb:
Zweimal monatlich Downtime planen (immer am zweiten Mittwoch und vierten Mittwoch im Monat, weil jeweils in der Nacht von Dienstag auf Mittwoch die Updates eintrudeln, gleichgültig, ob von WSUS oder von WU). Updates durch einen Admin durchführen lassen, danach manuell neustarten, danach Leute wieder auf den Server drauflassen.
Bei Dir gibt's aber eine Besonderheit: Du beschreíbst das Problem anhand Eurer Terminalserver. Müssen denn Terminalserver nicht ohnehin jeden Tag bzw. jede Nacht neu gestartet werden? Früher war das mal so, wobei da meine Kenntnisse zum Thema TS bei W2K3 aufhören.
Wenn ein TS sowieso jede Nacht neu gestartet wird, dann könntest Du bei Deiner Nr. 3 bleiben, als Uhrzeit für die Updates fünf Uhr früh festlegen und noch einen zusätzlichen Reboot-Task (shutdown -r) eine halbe Stunde später um 05.30 Uhr. Wir hatten da früher auch noch einen Task, um die stehengebliebenen Profile vom TS zu löschen, dieser lief kurz vor dem Reboot.
Viele Grüße
von
departure69
Er muss klarstellen, ob eine Deadline besteht. Hat er noch nicht getan. Man muss in alle Update reinschauen, welche am fraglichen Tag, wo der Server unerwünscht neu gestartet wurde, installiert wurden und nicht bloß in die automatische Bewilligungsrichtlinie.
So lange das nicht getan wird, ist Weiteres unnütz.
So lange das nicht getan wird, ist Weiteres unnütz.
Hi,
also es ist eindeutig klar das wir keine Deadline eingestellt haben. Habe die Updates welche an diesem Tag installiert worden sind angesehen - es ist keine Deadline eingetragen.
Wir werden wohl die Updates doch auf 3 stellen, weil wir nicht jede Maschine als Admin manuell updaten wollen. Es werden Critical und Security Updates automatisch heruntergeladen und installiert werden diese aber erst zum Wartungsfenster welchen wir mit wuauclt /detectnow und einem shutdown Befehl versehen werden (Task). Ich denke das wird in Zukunft dann auch ungewollte Reboots verhinder, warum auch immer diese bei uns passiert sind.
also es ist eindeutig klar das wir keine Deadline eingestellt haben. Habe die Updates welche an diesem Tag installiert worden sind angesehen - es ist keine Deadline eingetragen.
Wir werden wohl die Updates doch auf 3 stellen, weil wir nicht jede Maschine als Admin manuell updaten wollen. Es werden Critical und Security Updates automatisch heruntergeladen und installiert werden diese aber erst zum Wartungsfenster welchen wir mit wuauclt /detectnow und einem shutdown Befehl versehen werden (Task). Ich denke das wird in Zukunft dann auch ungewollte Reboots verhinder, warum auch immer diese bei uns passiert sind.
