x-ray 10 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 Hallo, ich habe mal wieder das leidige Problem eines automatischen Neustarts, nachdem bei Windows Update nach Zeitplan automatisch Updates installiert wurden. Ein WSUS läuft auf einem Win2k3 AD-Server und versorgt die WinXP Clients sowie einen weiteren Win2k3 Server mit Updates, die automatisch nach Zeitplan installiert und über GPO konfiguriert werden. In den GPO habe ich die Option "Keinen automatischen Neustart für geplante Updates, wenn Benutzer angemeldet ist" aktiviert. Allerdings starten die beiden Server nach einer geplanten Updateinstallation dennoch innerhalb der 15 Minuten nach der Installation (mit entsprechendem Ereignislogeintrag) neu. Wohl weil kein Benutzer angemeldet ist und dann die GP nicht greift? Habt ihr eine Idee? Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 "...wenn Benutzer angemeldet ist" Richtig geraten! Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes: Das bedingt ein zweites GPO mit den entsprechenden Einstellungen für Windows Update sowie eine OU "Server". Die OU "Domain Controllers" existiert ja schon, und eine OU "Computer" hast Du wahrscheinlich bereits ebenfalls erstellt. Du verknüpfst somit das GPO mit der Update-Option 3 auf Domänenebene (deckt untergeordnete OU "Server" und "Domain Controllers" ab) und das GPO mit der Option 4 für die automatische Installation von Aktualisierungen an die OU "Computer". Zitieren Link zu diesem Kommentar
x-ray 10 Geschrieben 15. Januar 2011 Autor Melden Teilen Geschrieben 15. Januar 2011 Richtig geraten! Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes: Hm, das hatte ich fast vermutet, es gibt also keinen Workaround für eine automatische Installation aber ohne automatischen Neustart? Die Server werden sowieso regelmäßig neugestartet, deswegen wäre das kein Problem. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 Hm. Dann melde den Benutzer doch einfach nicht ab. Zitieren Link zu diesem Kommentar
x-ray 10 Geschrieben 15. Januar 2011 Autor Melden Teilen Geschrieben 15. Januar 2011 Geht auch nicht, weil nicht immer einer angemeldet ist... sollte alles soweit wie möglich automatisiert laufen... Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 Hm, das hatte ich fast vermutet, es gibt also keinen Workaround für eine automatische Installation aber ohne automatischen Neustart?Die Server werden sowieso regelmäßig neugestartet, deswegen wäre das kein Problem. Nein, und das hat auch einen Grund. Der Zustand, der nach dem Installieren von Updates herrscht ist allgemein unsupported, bis du den Server/PC gebootet hast. Bei einem PC geht man im Allgemeinen davon aus, dass er üblicherweise etwa einmal pro Tag bootet. Beim Server würde sich dieser Zeitraum des unsupporteten Zustands aber auf unbestimmte Zeit erstrecken, so dass es diese Option wahrscheinlich aus diesem Grund nicht gibt. Ich finde nur grad die Technet Quelle nicht bzgl. des Supports, bzw. des Nicht-Supports. ;) Bye Norbert Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 Hm. Dann melde den Benutzer doch einfach nicht ab. Offene Benutzersitzungen auf Servern? :shock: Überhaupt Benutzerasitzungen auf Servern ohne Notfall? :shock: Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann? ;) Zitieren Link zu diesem Kommentar
Dukel 457 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 Off-Topic:Offene Benutzersitzungen auf Servern? :shock: Überhaupt Benutzerasitzungen auf Servern ohne Notfall? :shock: Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann? ;) Vielleicht sind alles Terminalserver ;) Zitieren Link zu diesem Kommentar
amnesiaboy 10 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 du hast ja einen wsus im einsatz .... da werden die server eh nur gepatcht und neu gestartet wenn du im wsus updates zur installation genehmigst ... das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!? ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen ... Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!? Und mit dem WSUS regelst Du auch die korrekte Abschalt- und Einschalt-Reihenfolge der Server, fals Du mehr als einen davon hast (vielleicht ein paar Hundert, möglicherweise verteilt über einige Dutzend Standorte)? Und wie definierst Du das Wartungsfenster per WSUS zeitgenau, damit auch die SLA übers Jahr eingehalten werden? ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen. Das macht hoffentlich ohnehin niemand. :rolleyes: Sonst könnte ich die Geschichte vom Elektronikhersteller erzählen, der vor einigen Jahren die ganze Produktion einer Woche schrotten musste, nachdem seine mehrere Dutzend Mess- und Kalibriercomputer (Windows XP Professional SP2) sich an einem per WSUS automatisch genehmigten - also intern nie getesteten - Patch verschluckt hatten. Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 15. Januar 2011 Melden Teilen Geschrieben 15. Januar 2011 Und was genau ändert das am beschriebenen Verhalten? Gar nichts. ;) Bye Norbert Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 16. Januar 2011 Melden Teilen Geschrieben 16. Januar 2011 Offene Benutzersitzungen auf Servern? Überhaupt Benutzerasitzungen auf Servern ohne Notfall? Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann? Wo siehst Du denn da bitte ein Problem, wenn man den Benutzer sperrt, statt ihn abzumelden? Zitieren Link zu diesem Kommentar
NorbertFe 2.110 Geschrieben 16. Januar 2011 Melden Teilen Geschrieben 16. Januar 2011 Er verbraucht Ressourcen. Unnötigerweise. Abgesehen davon nervt es einfach nur, wenn man mehr als einen Admin hat. ;) Bye Norbert Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 16. Januar 2011 Melden Teilen Geschrieben 16. Januar 2011 Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind. Ausserdem sollte man nie direkt auf einem Server arbeiten, es sei denn im Notfall oder weil es absolut unumgänglich ist. Es gibt ja so viele Konsolen, die man auf administrativen Verwaltungsstationen installieren und nutzen kann. Man ärgert dann auch nicht andere Kollegen, weil die zuerst Sitzungen zwangsabmelden müssen, wenn sie tatsächlich und begründet direkt auf die Server müssen. Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 16. Januar 2011 Melden Teilen Geschrieben 16. Januar 2011 Er verbraucht Ressourcen. Unnötigerweise. Abgesehen davon nervt es einfach nur, wenn man mehr als einen Admin hat. Der Beitragsersteller hat nach einem Workaround gefragt, den hat er bekommen. Hab ja nicht behauptet, dass das zu empfehlen ist. Funktioniert doch aber. Wenn er so eine seltsame Anforderung hat, dann muss er halt Abstriche in Kauf nehmen. Er kann ja wählen zwischen keiner Lösung und einer schlechten ;) Recht habt ihr natürlich. Wobei... Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind. ...Sicherheitslücken gibt es ja immer irgendwo. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.