Probleme und Fragen Updates WSUS

[ghostrider13 10]

Hallo zusammen

 

Ich habe einen WSUS Server und verschiedene Clients im Netzwerk. Das ganze funktioniert soweit noch ganz ordentlich. Ich habe die Updates genehmigt und eine Installationszeit um 03:00 Uhr morgens genommen (das ganze ist über Gruppenrichtlinien gelöst).

 

Diese Nacht wurden die Clients tatsächlich updatet nur habe ich 2 Fragen dazu.

 

Es gibt bei der GPO ja die Einstellung "Configure Automatic Updates", dort steht als Erklärung: Specifies wheter this computer will receive security updates and other important download through the Windows automatic update service.

 

Meine 1. Frage: also mit dem Windows Automatic Update Service ist wohl allgemein der Update service gemeint. Also der Service, über den die Updates laufen (egal, ob das per Microsoft Update oder WSUS). Ist das richtig oder? Es steht ja service und wenn ich bei einem Client die Registry anschaue, steht da auch mein Server drauf und die ziehen sich auch die Updates von meinem Server. Es handelt sich hier nur um die Frage meines Verständnisses.

 

Meine 2. Frage: Noch immer erscheint dieses Icon unten rechts bei der Systemuhr, dass die Updates Installationsbereit sind (gelbes Symbol). Ich habe bei der GPO die Option 4 genommen - Auto download and schedule the install (install is scheduled to: 03.00 o'clock). Die Updates wurden über Nacht auch durchgeführt, doch wieso kommt dann noch dieses Symbol? Das interessante ist auch, wenn ich darauf klicke öffnet sich das übliche Update Fenster, wie man es sich gewohnt ist. Man kann sogar die Updates abhaken, so dass die Installation doch nicht durchgeführt wird. Das soll ja nicht etwa der Sinn sein oder? Die Einstellungen beispielsweise sind ausgegraut... Dort kann nichts verstellt werden. Es war einmal so, dass alles ausgegraut war, so wie ich mir das vorstellt, aber seither nicht mehr... Weiss jemand wieso?

 

Ich danke Euch vielmals für die Hilfe!

 

Ghostrider13

[tikki 10]

Bist Du sicher, dass die Updates schon alle installiert sind?

Wie sind denn die GPO-Einstellungen bezüglich des Neustarts nach der Installation? Eventuell wurden die Updates zwar installiert, aber es wurde noch nicht neu gestartet.

 

Vielleicht liegts auch daran, dass es Updates gibt, die getrennt von den anderen installiert werden müssen, es kann zum Beispiel sein, dass diese Nacht nur ein Update für den Windows Installer installiert wurde (weiss die KB-Nummer gerade nicht, aber das ist bei einem neuen PC meist das erste was installiert wird, zusammen mit 2 anderen - und der Rest folgt dann getrennt davon). Wenn dann die Clients oft genug nach Updates suchen (Standard: alle 22 Stunden) könnte es vielleicht sein, dass die nächsten dann schon angezeigt werden?

 

Bin mir da auch nicht ganz sicher, aber vielleicht hilft Dir das als Denkanstoß.

[Necron 71]

Hi,

 

zu Frage 1, korrekt erkannt. Der Dienst ist für Microsoft sowie WSUS zuständig, wird in der GPO der WSUS-Server mit angegeben werden hierüber die Updates bezogen.

 

zu Frage 2, es ist gut möglich, dass schon wieder neue Updates zur Installation bereit stehen, denn der Client überprüft nicht nur zur angegebenen Zeit auf neue Updates, sondern auch bei jedem Systemstart.

 

Den letzten Satz von Frage 2 kann ich nicht ganz nachvollziehen, wäre schön wenn du dies etwas genauer erläutern könntest.

[ghostrider13 10]

Ja, kann ich dir gerne etwas genauer erläutern.

 

Wenn du ja einen normalen Client hast, der die Updates von Microsoft Update zieht (so wie die meisten Leute zu Hause es machen), dann kommt ja unten rechts ein gelbes Symbol bei der Systemuhr.

Dann klickst du darauf und dann kommt das Update Fenster, da steht dann, es stehen X neue Updates zur Installation bereit (je nach einstellung, musst du diese zuerst noch herunterladen, aber ich habs zu Hause so eingestellt, dass er die Updates automatisch herunterladen soll und mich dann für die Installation informieren soll). Dann kannst du ja 2 Optionen wählen --> 1. Express Installation (er installiert einfach alles), 2. Benutzerdefiniert und wenn du dann auf "weiter" klickst, dann zeigt er ja an, welche Updates er alle heruntergeladen hat und zur Installation zur Verfügung stehen. Und die sind ja alle mit einer Checkbox versehen, d.h. zu kannst die an- oder abkreuzen.

 

Als ich dann den WSUS installiert habe und er die Updates vom WSUS heruntergeladen hat, da war das Fenster mit der Benutzerdefinierten Updates alles ausgegraut (also du konntest nichts anklicken). Ich hab dann diese Updates installiert und danach habe ich nochmals neue Updates heruntergeladen. Und dann war auf einmal nichts mehr grau, sondern man konnte bei den Updates das häckchen von der Checkbox entfernen und somit die Installation der Updates umgehen. Und das ist natürlich nicht der Zweck, weil ich will, dass die Updates installiert werden müssen, welche ich genhemige und verteile.

 

Wollte Fragen, ob jemand dazu eine Idee hat, warum das bei einen Mal alles ausgegraut war (also keine Änderungen möglich) und beim anderen Mal nicht. Ich habe mittlerweile nochmals 4x verschiedene Updates genhemigt und es war dann nie mehr grau, sondern der Benutzer konnte immer auf Benutzerdefiniert und dann die Updates abhaken.

 

Ich hoffe, das ganze ist so verständlich erklärt. Übrigens vielen Dank für Eure Antworten!

 

Gruss

Ghostrider

[Necron 71]

Hi,

 

welche Optionen hast du denn in der GP aktiviert? Denke das dort das Problem zu suchen ist.

[WSUSPraxis 48]

Kannst du auf einem Client mal das Wsus Client Diag Tool durchlaufen lassen und das Ergebbnis hier posten ? Danke !

[ghostrider13 10]

Also ich hab mal alles soweit vorbereitet, damit für euch das Problem besser zu lösen oder zu mindest zu verstehen ist:

 

Einstellungen der GPO

Folgendermassen ist die GPO konfiguriert und auf dem AD ausgerollt:

 

Do not display „Install Updates and Shut Down“ option in Shut Down Windows Dialog Box

• disabled

 

Do not adjust default option to “In-stall Updates and Shut Down” in Shut Down Windows Dialog Box

• disabled

 

Configure Automatic Updates

• enabled - option 4 auto download and scheduled install - option 0 Every Day - 03.00

 

Specify intranet Microsoft update service location

http://wsus-wk3'>http://wsus-wk3'>http://wsus-wk3

 

Enable client-side targeting

• disabled

 

Reschedule Automatic Updates scheduled installations

• enabled - 5 mintues

 

No auto-restart for scheduled Automatic Updates installations

• enabled

 

Automatic Updates detection fre-quency

• disabled

 

Allow Automatic Updates immedi-ate installation

• Disabled

 

Delay restart for scheduled installa-tions

• disabled

 

Re-prompt for restart with sched-uled installations

• enabled - 15 minutes

 

Allow non-administrators to receive update notifications

• disabled

 

Enabled recommended updates via Automatic Updates

• disabled

 

Enable Windows Update Power Management to automatically wake up the system to install scheduled updates

• disabled

 

Allow signed content from intranet Microsoft update service location

• enabled

 

 

Ergebnis mit dem WSUS Client Diag Tool

Checking Machine State

Checking for admin rights to run tool . . . . . . . . . PASS

Automatic Updates Service is running. . . . . . . . . . PASS

Background Intelligent Transfer Service is not running. PASS

Wuaueng.dll version 7.0.6000.374. . . . . . . . . . . . PASS

This version is WSUS 2.0

 

Checking AU Settings

AU Option is 4: Scheduled Install . . . . . . . . . . . PASS

Option is from Policy settings

 

Checking Proxy Configuration

Checking for winhttp local machine Proxy settings . . . PASS

Winhttp local machine access type

<Direct Connection>

Winhttp local machine Proxy. . . . . . . . . . NONE

Winhttp local machine ProxyBypass. . . . . . . NONE

Checking User IE Proxy settings . . . . . . . . . . . . PASS

User IE Proxy. . . . . . . . . . . . . . . . . NONE

User IE ProxyByPass. . . . . . . . . . . . . . NONE

User IE AutoConfig URL Proxy . . . . . . . . . NONE

User IE AutoDetect

AutoDetect not in use

 

Checking Connection to WSUS/SUS Server

WUServer = http://wsus-wk3

WUStatusServer = http://wsus-wk3

UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS

Connection to server. . . . . . . . . . . . . . . . . . PASS

 

 

Bilder des Problems mit dem Automatic Update

 

http://home.tiscalinet.ch/yschlecht/1.JPG

http://home.tiscalinet.ch/yschlecht/2.JPG <-- sollte ausgegraut sein

 

Ich bin auf den 3 Computern, auf welchen ich die Tests ausführe Administrator, könnte das evtl. noch das Problem geben?

 

Ich werde jetzt noch eine Kiste neu aufsetzen und dann als "normaler" Benutzer einloggen...

 

VIELEN DANK FÜR EURE ANTWORTEN UND GRUSS

 

Ghostrider

[cipollini22 10]

Mir fallen da zwei Sachen auf:

1. Automatic Updates detection fre-quency

* disabled

Hier würde ich auf enabled gehen und dort den Standard-Wert von 22h belassen. irgendwann sollen sich Deine Clients ja melden und nachfragen, ob neue Patche da sind, auf wenn sie dauernd an sind.

 

Zum zweiten erhalten Admins immer eine Meldung. Du hast Sie ja nur für "nicht Admins" ausgestellt. Das hattest Du ja schon richtig vermutet.

 

Gruß,

 

Cipollini22

[WSUSPraxis 48]

Schau dir meine Beschreibung mal an und dann müsste dir einiges klarer sein ! Gruppenrichtlinie zu Windows Server Update Services von WSUSPraxis.de

[ghostrider13 10]

@cipollini22

 

Ja meine Vermutung war richtig. Nachdem ich mich mit einem "restricted user" (also normaler Benutzer ohne Recht) angemeldet habe, so bekam ich weder eine Notifikation noch sonst ein Hinweis dass neue Updates zur Verfügung stehen oder installiert werden müssen.

Es funktioniert jetzt also genau so, wie ich mir das vorgestellt.

 

@Der Schwabe

 

Danke!