ukulele-7
Goto Top

Vorsicht bei automatischen Updates auf Exchange-Servern

Vorsicht bei Verwendung der Option "Automatische Updates sofort installieren" auf einem Host für Exchange (zumindest Exchange 2013 betroffen). Die Option installiert zwar angeblich nur "kleine" Updates die keinen Neustart brauchen, Exchange zählt aber wohl nicht als Windows-Dienst, bei mir wurde heute "Security Update For Exchange Server 2013 CU23 (KB5019076)" ausgerollt. Im Anschluss war es das dann mit Exchange Diensten...

Legt fest, ob Updates, für die weder die Windows-Dienste unterbrochen werden müssen noch Windows neu gestartet werden muss, automatisch installiert werden.

Ich Teste die Funktion jetzt schon seit Monaten um vor allem Signaturupdates auf Windows 2022 direkt aus zu rollen, unter 2012 R2 war das jetzt mein erstes Problem. Wenn ihr noch Tipps für mich habt gerne her damit. Ich würde gerne Updates ohne Neustarts komplett automatisieren aber den Rest eben komplett manuell machen.

Content-ID: 4251256641

Url: https://administrator.de/contentid/4251256641

Printed on: November 6, 2024 at 18:11 o'clock

Dani
Dani Oct 12, 2022 updated at 13:03:01 (UTC)
Goto Top
Moin,
ch Teste die Funktion jetzt schon seit Monaten um vor allem Signaturupdates auf Windows 2022 direkt aus zu rollen, unter 2012 R2 war das jetzt mein erstes Problem.
Dafür würde ich auf PowerShell zurückgreifen: PSWindowsUpdate. Somit kannst du das granularer steuern.

Unabhängig davon haben wir das Vertrauen in Microsoft/Windows Update Funktion schon lange verloren. Wenn mögliche nutze dafür eine Softwareverteilung (UEM) o.ä.


Gruß,
Dani
Looser27
Looser27 Oct 12, 2022 at 13:06:00 (UTC)
Goto Top
Wenn Du einen WSUS nutzt, kannst Du hier die Signaturupdates (z.B. Defender) separat freigeben. Somit können die dann automatisch installiert werden, während die anderen manuell installiert werden müssen.

Gruß

Looser
Doskias
Doskias Oct 12, 2022 updated at 14:07:38 (UTC)
Goto Top
Moin,

das ist leider eine fiese Stolperstelle die MS da gebaut hat. Hintergrund:
Legt fest, ob Updates, für die weder die Windows-Dienste unterbrochen werden müssen noch Windows neu gestartet werden muss, automatisch installiert werden.

Dem ist auch so. Die GPO verhindert, dass Updates installiert werden, die Windows-Dienste unterbrechen oder neu starten. Du gehst natürlich wie etwa 100% der Admins, die damit noch nicht auf die Nase gefallen sind, davon aus, dass die Updates vom Exchange, dazu gehören. Das tun sie aber nicht. Kurze Erläuterung warum:

Du hast vermutlich den Haken gesetzt, dass bei Updates auch andere Microsoft-Produkte aktualisiert werden sollen. Der Exchange-Server ist ein solches anderes Produkt (genau wie zum Beispiel der SQL-Server). Als Faustregel merke dir, was du separat lizensieren musst ist kein Windows-Dienst. Demzufolge verhindert die GPO nicht, dass der Exchange-Dienst beendet wird. Der Exchange Dienst ist ein Dienst, der im Windows läuft, aber kein nativer Windows-Dienst. Daher: Worked as designed, not as expected. face-wink
Hättest du den Haken nicht gesetzt, dann wäre der Exchange-Dienst nicht neu gestartet worden. Du hättest das Update dann aber auch nicht über die Update-Funktion bekommen, sondern hättest das MSI händisch herunterladen und installieren müssen. Spielt an der Stelle übrigens auch keine Rolle ob WSUS oder nicht. Der Exchange-Dienst ist immer ein MS-Dienst, aber niemals ein Windows-Dienst.

Gruß
Doskias

Nachtrag: Siehe hier. Das ist die Liste der Dienste, die nicht beendet oder neu gestartet werden durch die gesetzte GPO.
ukulele-7
ukulele-7 Oct 12, 2022 at 14:19:11 (UTC)
Goto Top
Das ein Exchange kein Windows-Dienst ist leuchtet durchaus ein, ich hatte aber die Hoffnung das MS die Updates generell unterteilt in "unterbricht Dienste / Neustart erforderlich" und eben keine Unterbrechung. So das "Windows-Dienst" nur ein schlechtes Wording darstellt face-smile Ergänzen möchte ich aber das eben nicht einfach ein Neustart erforderlich wurde oder etwas selbst neu gestartet wurde sondern das Dienste vom Exchange auf Fehler gelaufen sind und ich um einen Neustart nicht herum kam, zumindest nicht auf die Schnelle. Das ärgert mich noch mehr als die fehlerhafte Einschätzung mit der Update-Einstufung.

Ich glaube bei SQL dürfte das so nicht passieren, oder hast du das schon so gehabt? Ich habe jetzt den Exchange von der Regel ausgenommen, wieder alles grundsätzlich nur durch Admin anstoßen.

Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen. So richtig kann ich mich dafür nicht erwärmen... Eventuell lasse ich einige Server wie RD-SH und Fileserver die Updates noch installieren und stelle die Server für Hintergrunddienste wieder auf komplett manuell.
Dani
Dani Oct 12, 2022 at 14:49:23 (UTC)
Goto Top
@ukulele-7
Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen.
Bei WSUS gibt es dafür die automatisch Genehmigung. Bei dem Posh-Modul gibt es entsprechende Parameter um dies automatisch laufen zu lassen. In beiden Fällen kann man das Ganze auf Siganturdefinitions eingrenzen, so dass nichts anders installiert wird.


Gruß,
Dani
Doskias
Doskias Oct 12, 2022 at 14:51:00 (UTC)
Goto Top
Zitat von @ukulele-7:
Ich glaube bei SQL dürfte das so nicht passieren, oder hast du das schon so gehabt? Ich habe jetzt den Exchange von der Regel ausgenommen, wieder alles grundsätzlich nur durch Admin anstoßen.
Es kann passieren, aber ist mir bislang nur einmal in 20 Jahren passiert und das war auf einem ewig nicht gewarteten Server und da war die GPO auch nicht aktiv. Im Kern gilt aber, dass der SQL-Server kein Windows-Dienst ist und es daher nicht gänzlich auszuschließen ist. Dafür legt man Wartungsfenster zur Updateinstallation ja auch auf Zeitpunkte, bei den möglichst wenig Anwender gestört werden. Ich mach die Updates entweder händisch oder per GPO nachts um 4 Uhr.
ukulele-7
ukulele-7 Oct 12, 2022 at 14:52:58 (UTC)
Goto Top
Zitat von @Dani:

@ukulele-7
Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen.
Bei WSUS gibt es dafür die automatisch Genehmigung. Bei dem Posh-Modul gibt es entsprechende Parameter um dies automatisch laufen zu lassen. In beiden Fällen kann man das Ganze auf Siganturdefinitions eingrenzen, so dass nichts anders installiert wird.
Stimmt jetzt wird mir klar wie du das meinst. Das werde ich mir mal genauer angucken wenn ich meinen WSUS auf 2022 migriere und eh neu mache.
aehrfoordt
aehrfoordt Oct 20, 2022 at 09:32:20 (UTC)
Goto Top
Allgemein ist mir schon seit einigen Jahren aufgefallen, daß die Ausfälle von Serverdiensten zu 99,99 % durch Microsoft selbst verursacht werden. Damals (Win NT/ Win 2000/ Win 2003/ vielleicht noch Win 2008) waren Hardware - Ausfälle die Gründe, warum ein Dienst nicht mehr lief. Erfreulicherweise erweist sich heute die Hardware meist als wesentlich stabiler und langlebiger, allerdings sind Windows Updates und die deutliche verschlechterten Möglichkeiten diese zu steuern nun der Grund warum Serverdienste sehr häufig ausfallen/ unterbrochen werden. Einen Qualitätsanspruch an Stabilität von Serversystemen scheint es bei Microsoft nicht mehr zu geben. Die Zeiten werden moderner, die Technik wird smarter, Server und Dienste, die MS-Dienste voraussetzen laufen weniger zuverlässig. Habt Ihr Ideen, wie man dem als Administrator begegnen kann, ohne jede Woche neu zu booten?

mfg