8
Vorsicht bei automatischen Updates auf Exchange-Servern
Vorsicht bei Verwendung der Option "Automatische Updates sofort installieren" auf einem Host für Exchange (zumindest Exchange 2013 betroffen). Die Option installiert zwar angeblich nur "kleine" Updates die keinen Neustart brauchen, Exchange zählt aber wohl nicht als Windows-Dienst, bei mir wurde heute "Security Update For Exchange Server 2013 CU23 (KB5019076)" ausgerollt. Im Anschluss war es das dann mit Exchange Diensten...
Ich Teste die Funktion jetzt schon seit Monaten um vor allem Signaturupdates auf Windows 2022 direkt aus zu rollen, unter 2012 R2 war das jetzt mein erstes Problem. Wenn ihr noch Tipps für mich habt gerne her damit. Ich würde gerne Updates ohne Neustarts komplett automatisieren aber den Rest eben komplett manuell machen.
Legt fest, ob Updates, für die weder die Windows-Dienste unterbrochen werden müssen noch Windows neu gestartet werden muss, automatisch installiert werden.Ich Teste die Funktion jetzt schon seit Monaten um vor allem Signaturupdates auf Windows 2022 direkt aus zu rollen, unter 2012 R2 war das jetzt mein erstes Problem. Wenn ihr noch Tipps für mich habt gerne her damit. Ich würde gerne Updates ohne Neustarts komplett automatisieren aber den Rest eben komplett manuell machen.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4251256641
Url: https://administrator.de/contentid/4251256641
Ausgedruckt am: 18.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Unabhängig davon haben wir das Vertrauen in Microsoft/Windows Update Funktion schon lange verloren. Wenn mögliche nutze dafür eine Softwareverteilung (UEM) o.ä.
Gruß,
Dani
ch Teste die Funktion jetzt schon seit Monaten um vor allem Signaturupdates auf Windows 2022 direkt aus zu rollen, unter 2012 R2 war das jetzt mein erstes Problem.
Dafür würde ich auf PowerShell zurückgreifen: PSWindowsUpdate. Somit kannst du das granularer steuern.Unabhängig davon haben wir das Vertrauen in Microsoft/Windows Update Funktion schon lange verloren. Wenn mögliche nutze dafür eine Softwareverteilung (UEM) o.ä.
Gruß,
Dani
Wenn Du einen WSUS nutzt, kannst Du hier die Signaturupdates (z.B. Defender) separat freigeben. Somit können die dann automatisch installiert werden, während die anderen manuell installiert werden müssen.
Gruß
Looser
Gruß
Looser
Moin,
das ist leider eine fiese Stolperstelle die MS da gebaut hat. Hintergrund:
Dem ist auch so. Die GPO verhindert, dass Updates installiert werden, die Windows-Dienste unterbrechen oder neu starten. Du gehst natürlich wie etwa 100% der Admins, die damit noch nicht auf die Nase gefallen sind, davon aus, dass die Updates vom Exchange, dazu gehören. Das tun sie aber nicht. Kurze Erläuterung warum:
Du hast vermutlich den Haken gesetzt, dass bei Updates auch andere Microsoft-Produkte aktualisiert werden sollen. Der Exchange-Server ist ein solches anderes Produkt (genau wie zum Beispiel der SQL-Server). Als Faustregel merke dir, was du separat lizensieren musst ist kein Windows-Dienst. Demzufolge verhindert die GPO nicht, dass der Exchange-Dienst beendet wird. Der Exchange Dienst ist ein Dienst, der im Windows läuft, aber kein nativer Windows-Dienst. Daher: Worked as designed, not as expected.
Hättest du den Haken nicht gesetzt, dann wäre der Exchange-Dienst nicht neu gestartet worden. Du hättest das Update dann aber auch nicht über die Update-Funktion bekommen, sondern hättest das MSI händisch herunterladen und installieren müssen. Spielt an der Stelle übrigens auch keine Rolle ob WSUS oder nicht. Der Exchange-Dienst ist immer ein MS-Dienst, aber niemals ein Windows-Dienst.
Gruß
Doskias
Nachtrag: Siehe hier. Das ist die Liste der Dienste, die nicht beendet oder neu gestartet werden durch die gesetzte GPO.
das ist leider eine fiese Stolperstelle die MS da gebaut hat. Hintergrund:
Legt fest, ob Updates, für die weder die Windows-Dienste unterbrochen werden müssen noch Windows neu gestartet werden muss, automatisch installiert werden.
Dem ist auch so. Die GPO verhindert, dass Updates installiert werden, die Windows-Dienste unterbrechen oder neu starten. Du gehst natürlich wie etwa 100% der Admins, die damit noch nicht auf die Nase gefallen sind, davon aus, dass die Updates vom Exchange, dazu gehören. Das tun sie aber nicht. Kurze Erläuterung warum:
Du hast vermutlich den Haken gesetzt, dass bei Updates auch andere Microsoft-Produkte aktualisiert werden sollen. Der Exchange-Server ist ein solches anderes Produkt (genau wie zum Beispiel der SQL-Server). Als Faustregel merke dir, was du separat lizensieren musst ist kein Windows-Dienst. Demzufolge verhindert die GPO nicht, dass der Exchange-Dienst beendet wird. Der Exchange Dienst ist ein Dienst, der im Windows läuft, aber kein nativer Windows-Dienst. Daher: Worked as designed, not as expected.
Hättest du den Haken nicht gesetzt, dann wäre der Exchange-Dienst nicht neu gestartet worden. Du hättest das Update dann aber auch nicht über die Update-Funktion bekommen, sondern hättest das MSI händisch herunterladen und installieren müssen. Spielt an der Stelle übrigens auch keine Rolle ob WSUS oder nicht. Der Exchange-Dienst ist immer ein MS-Dienst, aber niemals ein Windows-Dienst.
Gruß
Doskias
Nachtrag: Siehe hier. Das ist die Liste der Dienste, die nicht beendet oder neu gestartet werden durch die gesetzte GPO.
1
Das ein Exchange kein Windows-Dienst ist leuchtet durchaus ein, ich hatte aber die Hoffnung das MS die Updates generell unterteilt in "unterbricht Dienste / Neustart erforderlich" und eben keine Unterbrechung. So das "Windows-Dienst" nur ein schlechtes Wording darstellt 
Ergänzen möchte ich aber das eben nicht einfach ein Neustart erforderlich wurde oder etwas selbst neu gestartet wurde sondern das Dienste vom Exchange auf Fehler gelaufen sind und ich um einen Neustart nicht herum kam, zumindest nicht auf die Schnelle. Das ärgert mich noch mehr als die fehlerhafte Einschätzung mit der Update-Einstufung.
Ich glaube bei SQL dürfte das so nicht passieren, oder hast du das schon so gehabt? Ich habe jetzt den Exchange von der Regel ausgenommen, wieder alles grundsätzlich nur durch Admin anstoßen.
Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen. So richtig kann ich mich dafür nicht erwärmen... Eventuell lasse ich einige Server wie RD-SH und Fileserver die Updates noch installieren und stelle die Server für Hintergrunddienste wieder auf komplett manuell.
Ergänzen möchte ich aber das eben nicht einfach ein Neustart erforderlich wurde oder etwas selbst neu gestartet wurde sondern das Dienste vom Exchange auf Fehler gelaufen sind und ich um einen Neustart nicht herum kam, zumindest nicht auf die Schnelle. Das ärgert mich noch mehr als die fehlerhafte Einschätzung mit der Update-Einstufung.Ich glaube bei SQL dürfte das so nicht passieren, oder hast du das schon so gehabt? Ich habe jetzt den Exchange von der Regel ausgenommen, wieder alles grundsätzlich nur durch Admin anstoßen.
Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen. So richtig kann ich mich dafür nicht erwärmen... Eventuell lasse ich einige Server wie RD-SH und Fileserver die Updates noch installieren und stelle die Server für Hintergrunddienste wieder auf komplett manuell.
@ukulele-7
Gruß,
Dani
Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen.
Bei WSUS gibt es dafür die automatisch Genehmigung. Bei dem Posh-Modul gibt es entsprechende Parameter um dies automatisch laufen zu lassen. In beiden Fällen kann man das Ganze auf Siganturdefinitions eingrenzen, so dass nichts anders installiert wird.Gruß,
Dani
Zitat von @ukulele-7:
Ich glaube bei SQL dürfte das so nicht passieren, oder hast du das schon so gehabt? Ich habe jetzt den Exchange von der Regel ausgenommen, wieder alles grundsätzlich nur durch Admin anstoßen.
Es kann passieren, aber ist mir bislang nur einmal in 20 Jahren passiert und das war auf einem ewig nicht gewarteten Server und da war die GPO auch nicht aktiv. Im Kern gilt aber, dass der SQL-Server kein Windows-Dienst ist und es daher nicht gänzlich auszuschließen ist. Dafür legt man Wartungsfenster zur Updateinstallation ja auch auf Zeitpunkte, bei den möglichst wenig Anwender gestört werden. Ich mach die Updates entweder händisch oder per GPO nachts um 4 Uhr.Ich glaube bei SQL dürfte das so nicht passieren, oder hast du das schon so gehabt? Ich habe jetzt den Exchange von der Regel ausgenommen, wieder alles grundsätzlich nur durch Admin anstoßen.
Zitat von @Dani:
@ukulele-7
Stimmt jetzt wird mir klar wie du das meinst. Das werde ich mir mal genauer angucken wenn ich meinen WSUS auf 2022 migriere und eh neu mache.@ukulele-7
Das mit Powershell oder händischer Freigabe würde beides bedeuten das ich erst aktiv entscheiden muss welche Updates ausgerollt werden können und welche warten müssen.
Bei WSUS gibt es dafür die automatisch Genehmigung. Bei dem Posh-Modul gibt es entsprechende Parameter um dies automatisch laufen zu lassen. In beiden Fällen kann man das Ganze auf Siganturdefinitions eingrenzen, so dass nichts anders installiert wird.
Allgemein ist mir schon seit einigen Jahren aufgefallen, daß die Ausfälle von Serverdiensten zu 99,99 % durch Microsoft selbst verursacht werden. Damals (Win NT/ Win 2000/ Win 2003/ vielleicht noch Win 2008) waren Hardware - Ausfälle die Gründe, warum ein Dienst nicht mehr lief. Erfreulicherweise erweist sich heute die Hardware meist als wesentlich stabiler und langlebiger, allerdings sind Windows Updates und die deutliche verschlechterten Möglichkeiten diese zu steuern nun der Grund warum Serverdienste sehr häufig ausfallen/ unterbrochen werden. Einen Qualitätsanspruch an Stabilität von Serversystemen scheint es bei Microsoft nicht mehr zu geben. Die Zeiten werden moderner, die Technik wird smarter, Server und Dienste, die MS-Dienste voraussetzen laufen weniger zuverlässig. Habt Ihr Ideen, wie man dem als Administrator begegnen kann, ohne jede Woche neu zu booten?
mfg
mfg
1
