Sunny61

IPV6 DHCP auf der FB deaktivieren.

Dann solltest Du auf den Central Store umstellen und die aktuellsten ADM/ADMX-Templates in den Store kopieren. Wie das geht, steht in diesem Artikel: https://www.gruppenrichtlinien.de/de/artikel/central-store-fuer-administrative-vorlagen/ Alternativ die GPOs für W10 von einem W10 Client aus bearbeiten, der die gleiche Build hat, wie die Clients, die Du damit treffen willst.

Mit ein Grund weshalb beim letzten AG auf Defender gesetzt wurde.

Die Computer müssen das GPO lesen dürfen. Hier der Artikel bei Mark zu dem Thema: https://www.gruppenrichtlinien.de/de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Auch wenn es Aktualisierungsmeldungen gibt, die User klicken es so lange weg, bis es eben zu spät ist. Die machen es sich leicht. :) Ich bin mir ziemlich sicher, 99% bekommen es *NICHT* mit, zumindest bei den Consumern.

Sind die verwendeten AV-Scanner Versionen die aktuellsten des jeweiligen Herstellers? Nicht die Pattern sind gemeint, sondern die Programmversionen. AVIRA soll ein Problem damit haben.

Was passiert bei einer manuellen Installation? Die gleichen Probleme?

Ja, hatte ich schon mal früher konfiguriert. Du musst dem Server natürlich sagen, wo (WSUS) er seine Updates holen muss. Vergiss einfach mal den Nano Server in diesem Artikel, interessant sind die Angaben für den WSUS: https://www.windowspro.de/wolfgang-sommergut/nano-server-ueber-windows-update-wsus-aktualisieren Und in diesem Artikel sind die Beispiele für den Updateserver gut: https://technet.microsoft.com/de-de/library/dn433287.aspx Auch dieser Artikel sollte helfen: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-antivirus/manage-protection-updates-windows-defender-antivirus Und ja, die Defender Updates sollte automatisch genehmigt werden, auch sollte das mehrmals täglich passieren.

Am besten deinstallieren und das Removal Tool vom uns unbekannten Hersteller benutzen. Zweimal neu starten.

Wenn Du nur *1* Frage beantworten kannst, sag Bescheid, dann sparen wir uns *2* Fragen in einem Posting zu stellen.

Nach 14 Jahren sollte das Problem gelöst sein.

Alles aus der DB in eine neue leere DB kopieren.

Wenn Du Updates für eine Gruppe genehmigst, siehst Du das auch sehr deutlich. Install (1/6) zum Beispiel. Was das jetzt bedeutet findest Du sicherlich recht schnell selbst raus. ;)

Dann wäre jetzt ein guter Zeitpunkt auf den Clients die %windir%\WindowsUpdate.log nach Fehlern zu durchsuchen. Nein, nicht hier einfach komplett anhängen oder posten, selbst suchen. Mit W10 hat MSFT das Lesen/Erzeugen der WindowsUpdate.log geändert. Wie genau das geht steht in diesem Artikel: https://blogs.technet.microsoft.com/charlesa_us/2015/08/06/windows-10-windowsupdate-log-and-how-to-view-it-with-powershell-or-tracefmt-exe/ Auf den Clients, die nicht auftauchen, unbedingt Methode 1 von hier durchführen: https://support.microsoft.com/de-de/help/903262/a-windows-2000-based-windows-server-2003-based-or-windows-xp-based-com

Was ist der Unterschied zwischen den beiden W10 Geräten? Beide neu installiert oder sind es Upgrades von früheren Builds? Beide in der gleichen Domain/OU/Sicherheitsgruppe?

Feature, es soll ein Teil eines Features sein. Rolle != Feature. https://docs.microsoft.com/de-de/windows-server/get-started/getting-started-with-server-with-desktop-experience

Ja, kann man alles machen. Man muss es wissen und machen können. ;)

Argh! Irgendwie komme ich mit meiner Konstellation nicht auf den grünen Zweig. Entweder laden mir die Clients über VPN die Updates herunter oder ich muss mit halb-funktionierenden GPO-Lösung leben. Wie wird bei euch das Problem mit WSUS und Clients die nicht oft im Büro sind gehandhabt? Die bekommen die Updates sobald sie wieder mal im Büro sind. Man kann an der Stelle einfach nichts erzwingen. Natürlich kannst Du die Updates auch per VPN zulassen, per GPO auf den BITS umstellen und den BITS bei Clients in Sachen Bandbreite eingrenzen, die *NICHT* in bestimmten IP-Netzwerksegmenten sind. https://www.wsus.de/de/HowTo/Background-Intelligent-Transfer-Services-BITS

Aus der SBS Domain austreten, mit all seinen Nachteilen. Du kannst dich dann anschließend nicht mehr mit dem Konto der Domain am PC anmelden, kriegst auch ein neues Benutzerprofil. Musst Verknüpfungen wieder neu einrichten, und so weiter und so weiter.

Connect2WSUS ist für Clients die *NICHT* in einer Domain sind. Natürlich dauert es bis sich die Clients im WSUS melden, sie holen ja nur alle +- ~90 Minuten das GPO und die Einstellungen ab. Dann muss der WU-Agent die Einstellungen einlesen und suchen.

Wie soll der Client die Updates denn vom WSUS abholen, wenn Du sie ihm nicht abholen lässt? Und noch ein Hinweis in dieser Angelegenheit, auch wenn Du den Downstream umkonfigurierst, du wirst die Updates vom WPP *NICHT* auf der Konsole des Downstream *SEHEN*.

Wenn man manuell installiert, wenn das automatisch via WSUS oder WU kommt, dann gehe ich davon aus, dass der WU-Agent hier richtig erkennt und handelt. Aber ja, wenn man sich das erste Posting durchliest, kann man den Eindruck bekommen, der TO installiert manuell. ;)

Anhand der Fragen und der Menge an Fragen glaube ich, das abschätzen zu können, dass Du dich zu wenig damit beschäftigst.

Jetzt kann er das ja machen, Gulp. Aber zuerst wollte er nur das CU vom Mai installieren, das klappte ja schon nicht.

Natürlich kann man nicht alles wissen und nicht jeder weiß alles. Aber Du musst dich etwas mehr mit solchen Themen beschäftigen, man kann doch nicht alles nur in Foren erfragen. Und beschäftigen damit heißt für mich eban auch in Testumgebungen spielen und ein Gefühl für die Thematik bekommen. Selbst lernen nicht alles nur erfragen.