6
WSUS Updatverhalten für SRV 2016 (als Client) und jünger
Hallo zusammen,
ich habe eine Frage zum Thema Updateverhalten und Möglichkeiten von WSUS mit SRV 2016/2019.
Wir betreiben WSUS auf SRV2019 in einem MS Domainumfeld.
Es sind diverse MS Server (als Clients) angebunden. Das Updatewunschszenario ist das folgende.
Product- oder Systemowner schaltet sich auf den Server den er betreut und wählt manuell "Suche nach Updates" aus, dann soll er manuell den Downloadvorgang starten ebenso die Installation und den zu initiierenden Neustart falls erforderlich.
Sprich:
manuelle Suche
manueller download
manuelle Installation
manueller Neustart
Ist dies per gpedit bzw. Regkeys umsetzbar?
In erster Linie stolpere ich hier immer wieder über die Option:
AUOptions 2 = Notify before downloading and installing any updates.
Dieser scheint aber für SRV2016 und jünger nicht funktional. Nach Klick auf Updatesuche erfolgen download und Installation automatisch.
Habt ihr Erfahrungen zu diesem Setting. Wir arbeiten in einem GMP relevanten Umfeld und jeder Schritt soll durch den Systemowner erfolgen. Danke.
ich habe eine Frage zum Thema Updateverhalten und Möglichkeiten von WSUS mit SRV 2016/2019.
Wir betreiben WSUS auf SRV2019 in einem MS Domainumfeld.
Es sind diverse MS Server (als Clients) angebunden. Das Updatewunschszenario ist das folgende.
Product- oder Systemowner schaltet sich auf den Server den er betreut und wählt manuell "Suche nach Updates" aus, dann soll er manuell den Downloadvorgang starten ebenso die Installation und den zu initiierenden Neustart falls erforderlich.
Sprich:
manuelle Suche
manueller download
manuelle Installation
manueller Neustart
Ist dies per gpedit bzw. Regkeys umsetzbar?
In erster Linie stolpere ich hier immer wieder über die Option:
AUOptions 2 = Notify before downloading and installing any updates.
Dieser scheint aber für SRV2016 und jünger nicht funktional. Nach Klick auf Updatesuche erfolgen download und Installation automatisch.
Habt ihr Erfahrungen zu diesem Setting. Wir arbeiten in einem GMP relevanten Umfeld und jeder Schritt soll durch den Systemowner erfolgen. Danke.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5672597759
Url: https://administrator.de/contentid/5672597759
Ausgedruckt am: 26.11.2024 um 22:11 Uhr
6 Kommentare
Neuester Kommentar
Moin,
wenn Du eh ein Domainumfeld hast, mach das per GPO.
Dann sollte auch die Einstellung gehen. Ich selber habe die aber immer automatisch nach Updates suchen und herunterladen lassen, die Installation jedoch immer manuell angestoßen.
Den Neustart nach Installation kannst Du manuell oder zeitgesteuert automatisch durchführen.
Gruß
Looser
wenn Du eh ein Domainumfeld hast, mach das per GPO.
Dann sollte auch die Einstellung gehen. Ich selber habe die aber immer automatisch nach Updates suchen und herunterladen lassen, die Installation jedoch immer manuell angestoßen.
Den Neustart nach Installation kannst Du manuell oder zeitgesteuert automatisch durchführen.
Gruß
Looser
N'Abend.
Klares JEIN - GPO passt, aber die GUI macht dir hier einen Strich durch die Rechnung. Wie du ja schon festgestellt hast, beginnt die Installation automatisch, sobald nach dem Klick auf "Suchen" Updates gefunden werden. Das lässt sich in der GUI auch nicht ändern.
Abhilfe könnte hier ein RMM schaffen (TacticalRMM kann das z.B. steuern; halt über die RMM-Console, nicht über eine Anmeldung direkt am Server). Alternativ PSWindowsUpdates nutzen:
https://www.powershellgallery.com/packages/PSWindowsUpdate/2.2.0.3
Cheers,
jsysde
P.S.:
TacticalRMM hat nen weiteren "Vorteil" - die Updates sind auch unter Server 2016/2019/2022 und Windows 10/11 direkt "installiert" und werden nicht erst bei Neustart installiert. Das mindert unter 2016 die verdammt langen Reboot-Zeiten bei Windows Updates deutlich.
Klares JEIN - GPO passt, aber die GUI macht dir hier einen Strich durch die Rechnung. Wie du ja schon festgestellt hast, beginnt die Installation automatisch, sobald nach dem Klick auf "Suchen" Updates gefunden werden. Das lässt sich in der GUI auch nicht ändern.
Abhilfe könnte hier ein RMM schaffen (TacticalRMM kann das z.B. steuern; halt über die RMM-Console, nicht über eine Anmeldung direkt am Server). Alternativ PSWindowsUpdates nutzen:
https://www.powershellgallery.com/packages/PSWindowsUpdate/2.2.0.3
Cheers,
jsysde
P.S.:
TacticalRMM hat nen weiteren "Vorteil" - die Updates sind auch unter Server 2016/2019/2022 und Windows 10/11 direkt "installiert" und werden nicht erst bei Neustart installiert. Das mindert unter 2016 die verdammt langen Reboot-Zeiten bei Windows Updates deutlich.
Hallo jsysde, Danke für Deine Rückmeldung. Das heißt dass das Verhalten mit WSUS 2019 ist trotz korrekt eingestellter Richtlinie "Configure automated updates = 7" nicht korrekt ist? Das ist ja schwach. Und es gibt keine Lösung mit Boardmitteln ggf. manuellen RegKeys?
N'Abend.
Wenn du mit nem automatischen Download leben kannst, funktioniert doch alles wie gewünscht.
Cheers,
jsysde
Zitat von @Puschel78:
[...]Das heißt dass das Verhalten mit WSUS 2019 ist trotz korrekt eingestellter Richtlinie "Configure automated updates = 7" nicht korrekt ist?
Doch, ist es - eingangs sprachst du davon, dass auch der Download erst per Mausklick angeschubst werden soll und danach per weiterem Mausklick die Installation. Das geht, wie beschrieben, nicht.[...]Das heißt dass das Verhalten mit WSUS 2019 ist trotz korrekt eingestellter Richtlinie "Configure automated updates = 7" nicht korrekt ist?
Wenn du mit nem automatischen Download leben kannst, funktioniert doch alles wie gewünscht.
Cheers,
jsysde
Wichtig wäre in erster Linie, dass der Install nie automatisiert sondern nur durch Dazutun des Systemowners angestoßen wird. Das scheint aber mit keinem Setting zu funktionieren. Auch wenn ich die entsprechenden anderen AUOptions auswähle. Irgendwas scheint da zwischenzugrätschen.
2 Notify of download and installation.
3 Automatically download and notify of installation.
2 Notify of download and installation.
3 Automatically download and notify of installation.
N'Abend.
Wir haben bei uns Option 3 eingestellt, klappt tadellos und zuverlässig.
Hast du WufB und Dual-Scan deaktiviert? Die GPOs korrekt verlinkt? So ohne auf deine Umgebung schauen zu können ist das schwierig zu beurteilen - ich kann dir nur soviel sagen: Es funktioniert prinzipiell und zwar genau wie von dir gewünscht.
Cheers,
jsysde
Wir haben bei uns Option 3 eingestellt, klappt tadellos und zuverlässig.
Hast du WufB und Dual-Scan deaktiviert? Die GPOs korrekt verlinkt? So ohne auf deine Umgebung schauen zu können ist das schwierig zu beurteilen - ich kann dir nur soviel sagen: Es funktioniert prinzipiell und zwar genau wie von dir gewünscht.
Cheers,
jsysde
