7
WSUS - Updates werden automatisch genehmigt
Hallo
Bei unserem WSUS werden die Updates für unsere Clients automatisch genehmigt.
Ich möchte zukünftig die Updates manuell genehmigen, kann aber keine Einstellung entdecken welche die automatische Genehmigung ausführt.
Auf dem WSUS unter "Optionen - Automatische Genehmigungen" ist keine Regel aktiv.
Ich vermute die GPO-Einstellung "Automatische Updates konfigurieren".
Diese ist bei uns auf "4 - Automatisch herunterladen und nach Zeitplan installieren" konfiguriert.
Führt diese Gruppenrichtlinie dazu, dass Updates auf dem WSUS automatisch genehmigt werden?
Ich bin der Meinung, diese Aussage schon mal irgendwo aufgeschnappt zu haben, kann aber keine entsprechenden Informationen dazu finden.
Eigentlich möchte ich ja, das Updates nach der Freigabe automatisch installiert werden, aber sie sollen auf dem WSUS nicht automatisch genehmigt werden.
Server sind übrigens alle 2019 Standard, Clients sind Windows 10 Pro 1903.
Gruss,
eraiser
Bei unserem WSUS werden die Updates für unsere Clients automatisch genehmigt.
Ich möchte zukünftig die Updates manuell genehmigen, kann aber keine Einstellung entdecken welche die automatische Genehmigung ausführt.
Auf dem WSUS unter "Optionen - Automatische Genehmigungen" ist keine Regel aktiv.
Ich vermute die GPO-Einstellung "Automatische Updates konfigurieren".
Diese ist bei uns auf "4 - Automatisch herunterladen und nach Zeitplan installieren" konfiguriert.
Führt diese Gruppenrichtlinie dazu, dass Updates auf dem WSUS automatisch genehmigt werden?
Ich bin der Meinung, diese Aussage schon mal irgendwo aufgeschnappt zu haben, kann aber keine entsprechenden Informationen dazu finden.
Eigentlich möchte ich ja, das Updates nach der Freigabe automatisch installiert werden, aber sie sollen auf dem WSUS nicht automatisch genehmigt werden.
Server sind übrigens alle 2019 Standard, Clients sind Windows 10 Pro 1903.
Gruss,
eraiser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 496744
Url: https://administrator.de/contentid/496744
Printed on: April 19, 2024 at 02:04 o'clock
7 Comments
Latest comment
Hallo,
Bei unserem WSUS werden die Updates für unsere Clients automatisch genehmigt.
Ich möchte zukünftig die Updates manuell genehmigen, kann aber keine Einstellung entdecken welche die automatische Genehmigung ausführt.
Auf dem WSUS unter "Optionen - Automatische Genehmigungen" ist keine Regel aktiv.
Ich möchte zukünftig die Updates manuell genehmigen, kann aber keine Einstellung entdecken welche die automatische Genehmigung ausführt.
Auf dem WSUS unter "Optionen - Automatische Genehmigungen" ist keine Regel aktiv.
Da stimmt was nicht.
Ich vermute die GPO-Einstellung "Automatische Updates konfigurieren".
Diese ist bei uns auf "4 - Automatisch herunterladen und nach Zeitplan installieren" konfiguriert.
Führt diese Gruppenrichtlinie dazu, dass Updates auf dem WSUS automatisch genehmigt werden?
Diese ist bei uns auf "4 - Automatisch herunterladen und nach Zeitplan installieren" konfiguriert.
Führt diese Gruppenrichtlinie dazu, dass Updates auf dem WSUS automatisch genehmigt werden?
Nein. Das betrifft ausschließlich den Client.
Ich bin der Meinung, diese Aussage schon mal irgendwo aufgeschnappt zu haben, kann aber keine entsprechenden Informationen dazu finden.
Eigentlich möchte ich ja, das Updates nach der Freigabe automatisch installiert werden, aber sie sollen auf dem WSUS nicht automatisch genehmigt werden.
Eigentlich möchte ich ja, das Updates nach der Freigabe automatisch installiert werden, aber sie sollen auf dem WSUS nicht automatisch genehmigt werden.
So sollte es sein.
Server sind übrigens alle 2019 Standard, Clients sind Windows 10 Pro 1903.
Gruss,
eraiser
Gruss,
eraiser
Du solltest mal prüfen, ob in der GPO der WSUS auch korrekt eingetragen ist. Dann sollte den Clients untersagt sein, Windows-Update Quellen im Internet zu nutzen und dann solltest Du noch prüfen, ob die GPO überhaupt auf die Clients angewendet wird.
Gruß
Looser
Eingetragen ist der richtige Server, auf Port 8530.
Und gemäss RSOP wenden die Clients die Richtlinien auch korrekt an.
Es war auch so, das die Clients zu Beginn gar keine Updates geladen haben. Zwar war der WSUS via GPO konfiguriert, auf dem WSUS hatte ich aber die Kategorie "Windows 10" noch nicht aktiviert.
Als ich dann die korrekte Windows-Version als Kategorie aktiviert habe, wurden auf dem WSUS sämtliche Updates angezeigt, waren aber auch bereits genehmigt und wurden von den Clients installiert.
Benötigte Updates werden von den Clients auch jetzt noch korrekt über den WSUS bezogen, allerdings eben automatisch genehmigt.
Deshalb schliesse ich bis jetzt das Problem mit den Windows-Update-Quellen aus dem Internet aus.
Hat bis jetzt zu keine Katastrophe geführt, ich möchte uns aber vor einer allfälligen zukünftigen Katastrophe bewahren.
eraiser
Und gemäss RSOP wenden die Clients die Richtlinien auch korrekt an.
Es war auch so, das die Clients zu Beginn gar keine Updates geladen haben. Zwar war der WSUS via GPO konfiguriert, auf dem WSUS hatte ich aber die Kategorie "Windows 10" noch nicht aktiviert.
Als ich dann die korrekte Windows-Version als Kategorie aktiviert habe, wurden auf dem WSUS sämtliche Updates angezeigt, waren aber auch bereits genehmigt und wurden von den Clients installiert.
Benötigte Updates werden von den Clients auch jetzt noch korrekt über den WSUS bezogen, allerdings eben automatisch genehmigt.
Deshalb schliesse ich bis jetzt das Problem mit den Windows-Update-Quellen aus dem Internet aus.
Hat bis jetzt zu keine Katastrophe geführt, ich möchte uns aber vor einer allfälligen zukünftigen Katastrophe bewahren.
eraiser
Seit Windows 10 gibt es den Dual-Scan. Der erlaubt W10-Clients parallel zum WSUS auch weiterhin die MS-Updateadressen im Internet anzufunken und auch Updates zu installieren, selbst wenn diese im WSUS nicht genehmigt sind.
Weitere Infos dazu hier https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-bu ...
Weitere Infos dazu hier https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-bu ...
Benötigte Updates werden von den Clients auch jetzt noch korrekt über den WSUS bezogen, allerdings eben automatisch genehmigt.
Deshalb schliesse ich bis jetzt das Problem mit den Windows-Update-Quellen aus dem Internet aus.Das zeigt doch, dass Deine Clients machen können, was sie wollen.
Die Einstellungen in der GPO haben wir letztens noch diskuttiert:
WSUS Client GPO Setting Best Practice
Gruß
Looser
Zitat von @chgorges:
Seit Windows 10 gibt es den Dual-Scan. Der erlaubt W10-Clients parallel zum WSUS auch weiterhin die MS-Updateadressen im Internet anzufunken und auch Updates zu installieren, selbst wenn diese im WSUS nicht genehmigt sind.
Seit Windows 10 gibt es den Dual-Scan. Der erlaubt W10-Clients parallel zum WSUS auch weiterhin die MS-Updateadressen im Internet anzufunken und auch Updates zu installieren, selbst wenn diese im WSUS nicht genehmigt sind.
Danke für die Info, aber die entsprechende Konstellation das "Windows Update für Unternehmen" aktiviert wird, ist bei uns nicht vorhanden (keine Option in "Windows Update für Unternehmen" konfiguriert).
Danke,
eraiser
Zitat von @Looser27:
Das zeigt doch, dass Deine Clients machen können, was sie wollen.
Benötigte Updates werden von den Clients auch jetzt noch korrekt über den WSUS bezogen, allerdings eben automatisch genehmigt.
Deshalb schliesse ich bis jetzt das Problem mit den Windows-Update-Quellen aus dem Internet aus.
Deshalb schliesse ich bis jetzt das Problem mit den Windows-Update-Quellen aus dem Internet aus.
Das zeigt doch, dass Deine Clients machen können, was sie wollen.
Ok, ich hab die Richtlinie jetzt mal aktiviert.
Aber wie erwähnt, haben die Clients keine Updates gezogen bis ich im WSUS die entsprechende Kategorie (Windows 10 1903 und später) aktiviert habe und die Synchronisation der neuen Kategorie / Updates durchgelaufen war. Ab diesem Zeitpunkt haben sie Updates geladen.
Bis jetzt bleibe ich bei meiner Vermutung, dass das Problem eine automatische Freigabe auf dem WSUS ist, deren Ursache ich noch nicht gefunden habe.
Gruss,
eraiser
So, ich habe den Übeltäter gefunden.
Auf unserem WSUS-Server war ein geplanter Task für das Tool "WSUS Smart Approve" eingerichtet.
https://archive.codeplex.com/?p=wsussmartapprove
http://dhgms-solutions.github.io/wsussmartapprove/
Nach Deaktivierung dieser Aufgabe läuft alles wieder wie geplant.
Gruss, eraiser
Auf unserem WSUS-Server war ein geplanter Task für das Tool "WSUS Smart Approve" eingerichtet.
https://archive.codeplex.com/?p=wsussmartapprove
http://dhgms-solutions.github.io/wsussmartapprove/
Nach Deaktivierung dieser Aufgabe läuft alles wieder wie geplant.
Gruss, eraiser
