Dogge86 0 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Hallo zusammen, ich habe vor einer Woche unsere Server an den bereits vorhandenen WSUS 3.2.7600.226 auf einen 2008R2 angebunden. Dazu habe ich eine neue GPO für die Server erstellt, welche den internen Pfad für den Microsoft Updatedienst auf den lokalen WSUS Server legt und sonst keine weiteren Optionen gesetzt. Die Server haben sich auch alle am WSUS gemeldet. Nun zum Problem... Die Server haben z.T. vor zwei Tagen aufgrund von Windows Updates einen Neustart durchgeführt, obwohl "Updates automatisch herunterladen und über installierbare Updates benachrichtigen" an den betroffenen Servern aktiviert ist. Ich habe deshalb die GPO angepasst: Automatische Updates konfigurieren Aktiviert Automatische Updates konfigurieren: 2 - Vor Herunterladen und Installation benachrichtigen Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Aktiviert Geplanter Installationstag: 7 - Jeden Samstag Geplante Installationszeit: 03:00 > Die letzten beiden Punkte wurden nur zur Vorsicht gesetzt und sollten aufgrund der ersten Option nicht greifen. Obwohl die GPO übernommen wurde, sind heute Nacht wieder einige Server aufgrund von Updates neu gestartet. GPresult und Check WSUS sieht gut aus. Hat jemand eine Idee wie ich die automatische Installation und den Neustart unterbinden kann? Ich habe ja nichts dagegen wenn die Server aktuell sind, aber wann Sie neustarten bestimme ich lieber selbst ;) Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 ich habe vor einer Woche unsere Server an den bereits vorhandenen WSUS 3.2.7600.226 auf einen 2008R2 angebunden. Bitte unbedingt den WSUS gem. WSUS-FAQ No. 44 aktualisieren: http://www.wsus.de/faq Falls Du die WSUS-Konsole auf einem W7-Client oder auf einem anderen W2008R2 benutzt, dann dort auch aktualisieren. Die Server haben z.T. vor zwei Tagen aufgrund von Windows Updates einen Neustart durchgeführt, obwohl "Updates automatisch herunterladen und über installierbare Updates benachrichtigen" an den betroffenen Servern aktiviert ist. Sind das W2012er oder höher? Ich habe deshalb die GPO angepasst: Automatische Updates konfigurieren Aktiviert Automatische Updates konfigurieren: 2 - Vor Herunterladen und Installation benachrichtigen Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind Aktiviert Geplanter Installationstag: 7 - Jeden Samstag Geplante Installationszeit: 03:00 > Die letzten beiden Punkte wurden nur zur Vorsicht gesetzt und sollten aufgrund der ersten Option nicht greifen. Du kannst auch die Option 3 setzen, wichtig ist nur das ein Benutzer 'angemeldet' ist. Wenn niemand angemeldet ist, wird installiert und anschließend neu gestartet. Wenn also ein Admin angemeldet ist, passier nichts, ausser Du hast in den Updates den Stichtag konfiguriert, dann wird auch hart neu gestartet. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Bei Servern sollte man sich entscheiden, entweder zu patchen und neu zu starten oder manuell zu patchen. Einen Computer sollte man nicht im Zustand "Pending Reboot" betreiben. Für das Patchen ist der Neustart essentiell. Erst dann können Dateien, die in Benutzung sind, ausgetauscht werden und Du weißt danach auch, dass ein Reboot problemlos funktioniert. Stell Dir vor, Du rebootest erst eine Woche später. Als Consultant habe ich von Kunden, die ich vorher nicht betreut hatte und bei denen Arbeiten anstanden, die einen Neustart erforderlich machen, in der Regel verlangt, dass die Server als erstes neu gestartet werden, bevor ich angefangen habe, zu arbeiten. Da kamen einige Server nicht wieder hoch und das lag dann nachweisbar nicht an meiner Arbeit. Oftmals wurde da lange ein Reboot hinausgezögert und erst danach stellten sich Probleme heraus. Zitieren Link zu diesem Kommentar
Dogge86 0 Geschrieben 22. Mai 2014 Autor Melden Teilen Geschrieben 22. Mai 2014 Erstmal danke für die schnelle Antwort :thumb1: @Sunny61 Bitte unbedingt den WSUS gem. WSUS-FAQ No. 44 aktualisieren Ich werde nachher Build 3.2.7600.262 installieren. Wobei aber der WSUS selbst ja nicht den Installationszeitpunkt und das Neustartverhalten bestimmt, oder irre ich mich da? Sind das W2012er oder höher? Es handelt sich um meherer Windows Server 2008R2 und ein Windows Server 2003R2. Du kannst auch die Option 3 setzen, wichtig ist nur das ein Benutzer 'angemeldet' ist. Nachdem ich die Option gesetzt und ein gpupdate durchgeführt habe, habe ich extra einen Benutzer angemeldet gelassen. Das hat den Server nur leider nicht davon abgehalten einen Neustart durchzuführen. @Daniel -MSFT- Einen Computer sollte man nicht im Zustand "Pending Reboot" betreiben. Da stimme ich vollkommen zu. Ich will ja auch nicht, dass die Server Updates installieren und auf ihren Neustart warten, sondern vor der Installation / Neustart gefragt werden. Und das sollte ja mit der Option "Updates automatisch herunterladen und über installierbare Updates benachrichtigen" gegeben sein. Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Die Option 3 ist aber korrekt. Die ist bei uns auch konfiguriert. Achte darauf, dass Dein WSUS bei beiden Optionen eingetragen wird: Interner Updatedienst zum Ermitteln von Updates:Intranetserver für die Statistik: Ist die GPO auch auf dem Server angekommen ? Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 @Sunny61 Ich werde nachher Build 3.2.7600.262 installieren. Wobei aber der WSUS selbst ja nicht den Installationszeitpunkt und das Neustartverhalten bestimmt, oder irre ich mich da? Nein, die Version hat damit nichts zu tun. Die Updates korrigieren ein paar Fehler und gleichzeitig wird der WSUS damit W8-fähig, wenn man davon sprechen kann. ;) Nachdem ich die Option gesetzt und ein gpupdate durchgeführt habe, habe ich extra einen Benutzer angemeldet gelassen. Das hat den Server nur leider nicht davon abgehalten einen Neustart durchzuführen. Wir sprechen aber schon von einer RDP-Anmeldung bzw. RDP-Verbindung? Einfach nur auf eine Freigab zugreifen hilft gar nicht. Wenn eine RDP Sitzung aktiv war, dann hast Du ziemlich sicher einen Stichtag für die Updates vergeben. Prüf das in den Eigenschaften des Updates auf dem WSUS nach. Zusätzlich solltest Du das Eventlog auf dem betroffenen Server kontrollieren und auch in die %windir%\WindowsUpdate.log schauen. Dort findet sich möglicherweise auch ein Hinweis auf den Neustart. Du bist ganz sicher dass der Server sich die Updates vom WSUS holt? 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.100 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 (bearbeitet) Du kannst auch die Option 3 setzen, wichtig ist nur das ein Benutzer 'angemeldet' ist. Wenn niemand angemeldet ist, wird installiert und anschließend neu gestartet. Wenn also ein Admin angemeldet ist, passier nichts, ausser Du hast in den Updates den Stichtag konfiguriert, dann wird auch hart neu gestartet. Nein, das gilt für Option 4. ;) Bei Windows 2012 gibt's übrigens ein anderes Verhalten, welches den Server bei pending reboot nach 2 Tagen rebootet. Kann man afair aber konfigurieren. Bye Norbert bearbeitet 22. Mai 2014 von NorbertFe Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Nein, das gilt für Option 4. ;) Stimmt schon, aber vorsichtshalber weise ich auf den angemeldeten User hin, ist besser als ohne. Bei Windows 2012 gibt's übrigens ein anderes Verhalten, welches den Server bei pending reboot nach 2 Tagen rebootet. Kann man afair aber konfigurieren. Jepp, die Meldung ist nicht zu übersehen! :) Zitieren Link zu diesem Kommentar
Dogge86 0 Geschrieben 22. Mai 2014 Autor Melden Teilen Geschrieben 22. Mai 2014 Logs geprüft... @Sunny61 Wenn eine RDP Sitzung aktiv war, dann hast Du ziemlich sicher einen Stichtag für die Updates vergeben Eine RDP Sitzung war aktiv. Deine Vermutung mit dem Stichtag war richtig. Habe nun die Genehmigungsrichtlinie am WSUS angepasst. Werde wohl heute Abend alle Server neustarten /aktualisieren , damit die restlichen "Stichtag Updates" mir die Server nicht während der Produktivzeit neustarten. Danke für Eure Hilfe :thumb1: Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 22. Mai 2014 Melden Teilen Geschrieben 22. Mai 2014 Deine Vermutung mit dem Stichtag war richtig. Na wunderbar. Aber weshalb hast Du überhaupt Updates mit einem Stichtag versehen? Habe nun die Genehmigungsrichtlinie am WSUS angepasst. Wow, gleiche eine automatische Genehmigungsregel dafür erstellen, sind denn die Clients nicht davon betroffen? Danke für Eure Hilfe :thumb1: Freut mich für Dich und Danke für die Rückmeldung. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.