WSUS - Win7Pro starten nach dem Update automatisch neu

[rwalker 0]

Hallo,

 

ich habe WSUS mit 96 Clients. Updates usw funktionieren 1a. Habe nur ein Problem. Nachdem die Rechner die Updates installiert haben, starten Sie selbstständig neu, obwohl ich über GPO extra "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind" aktiviert habe. Die Rechner laufen 24/7 mit angemeldeten Benutzern.

 

Kann mir da jemand helfen oder ein Tipp geben?

 

 

Vielen Dank

[pharao 5]

Hi rwalker,

 

ich würde zunächst mal an einem Client per Ausführen -> rsop.msc schauen, ob die Einstellungen der Gruppenrichtlinie komplett übernommen werden.

 

Hier ist ein Screenshot eines funktionierenden und ideal aufgebauten GPO, welches auch in meiner Umgebung einwandfrei funktioniert:

http://www.wsus.de/images/WSUSGPO.png

 

LG

Robert

[rwalker 0]

Vielen Dank für den Tipp mit rsop.msc

 

1. Auf dem Rechner, der nicht nach den Updates startet, werden die GPOs richtig übernommen.

2. Auf dem Rechner, der nach den Updates neustartet kommt folgender Fehler

 

Wie soll ich weiter Vorgehen? Beide Rechner sind in der Domäne drinne.

 

 

Wenn man auf Schließen klickt, läuft es weiter. Dort sind Windows Update GPOs gesetzt

Vielen Dank für den Tipp mit rsop.msc

 

1. Auf dem Rechner, der nicht nach den Updates startet, werden die GPOs richtig übernommen.

2. Auf dem Rechner, der nach den Updates neustartet kommt folgender Fehler

 

Wie soll ich weiter Vorgehen? Beide Rechner sind in der Domäne drinne.

 

 

Wenn man auf Schließen klickt, läuft es weiter. Dort sind Windows Update GPOs gesetzt

bearbeitet 12. August 2015 von rwalker

[pharao 5]

Die Ereignisanzeige gibt meist genauere Informationen zu solchen Problemen preis. Dort würde ich als nächstes nachschauen.

 

Außerdem würde mich interessieren, was bei dem betroffenen Client ausgegeben wird, wenn du gpupdate in der Konsole startest.

 

LG

Robert

[Sunny61 810]

Wenn Clients nach Updates trotz angemeldetem Benutzer neu starten, liegt es zu 99,9% am eingestellten Stichtag.

Beispiel: Rechtsklick auf ein Update > Genehmigen > im sich öffnenden Fenster gibt es die Option Stichtag. Wenn der Stichtag gesetzt ist für *1* Update und der Client hat es installiert und der Stichtag ist erreicht, dann startet der Client neu durch, ohne wenn und aber.

 

Du verwendest bei der WSUS-Adresse eine IP-Adresse, weshalb keinen Namen? Funktioniert DNS nicht korrekt?

 

RSOP.MSC lass lieber bleiben, besser ist es in einer administrativen Commandline GPRESULT /H >gpresult.html [ENTER] aufzurufen. Anschließend kannst Du dir den HTML-Bericht im Browser anschauen.

[rwalker 0]

Screenshot vom gpupdate und nslookup.

 

im html Report von gpresult sehe ich keine WSUS Einstellungen. Diese müssen aber vorhanden sein oder nicht? Obwohl unter Gruppenrichtlinienobjekte > Angewendete Gruppenrichtlinienobjekte > WSUS GPO dabei ist

 

Im WSUS habe ich eine Regel für Test Clients mit sofortiger Genehmigung und eine Gruppe mit einer Regel für automatische Genehmigungen drinne. Dort ist Stichtag für 7 Tage nach der Genehmigung um 5:00 eingestellt.

 

Die Rechner wurden gegen 5:27 neugestartet.

 

Ich dachte, dass die Updates erst nach 7 Tage automatisch genehmigt werden. Was hat es mit dem automatischen Neustarten zu tun? Hmm

[Sunny61 810]

im html Report von gpresult sehe ich keine WSUS Einstellungen. Diese müssen aber vorhanden sein oder nicht? Obwohl unter Gruppenrichtlinienobjekte > Angewendete Gruppenrichtlinienobjekte > WSUS GPO dabei ist

Liegt denn das Computerobjekt im AD auch im Verwaltungsbereich des GPO? Fehlermeldungen im Ereignisprotokoll? Nein, nicht hier posten, suchen und in der KB von MSFT nach Lösungen schauen.

 

Im WSUS habe ich eine Regel für Test Clients mit sofortiger Genehmigung und eine Gruppe mit einer Regel für automatische Genehmigungen drinne. Dort ist Stichtag für 7 Tage nach der Genehmigung um 5:00 eingestellt.

 

Die Rechner wurden gegen 5:27 neugestartet.

 

Ich dachte, dass die Updates erst nach 7 Tage automatisch genehmigt werden. Was hat es mit dem automatischen Neustarten zu tun? Hmm

Lies doch bitte deine Sätze nochmal laut vor. Fällt dir jetzt was auf? ;)

 

 

EDIT: Und was ist mit der Frage zu den IP-Adressen im GPO?

bearbeitet 12. August 2015 von Sunny61

[rwalker 0]

"Liegt denn das Computerobjekt im AD auch im Verwaltungsbereich des GPO?"

WSUS GPO ist direkt mit der Domäne verknüpft

 

 

"Fehlermeldungen im Ereignisprotokoll?"

Im welchen genau? In der Ereignisanzeige > Windows-Protokolle ist nichts auffälliges

 

WSUS Einstellungen:

Automatische Genehmigungen:

1. Gruppe Test Clients - kein Stichtag

2. Gruppe Produktiv Clients - 7 Tage nach der Genehmigung um 5:00

 

Wenn ein neuen MS Update rauskommt, wird es direkt für Gruppe 1 genehmigt. Nach 7 Tagen wird es für Gruppe 2 automatisch genehmigt. Oder verstehe ich das falsch?

 

 

"Und was ist mit der Frage zu den IP-Adressen im GPO?"

DNS funktioniert, ich habe damals die GPO nicht angelegt. Könnte auch WSUS als Namen reinsetzen. Gibt es einen Unterschied, bzw. Vorteil?

[pharao 5]

Wenn der Stichtag gesetzt ist für *1* Update und der Client hat es installiert und der Stichtag ist erreicht, dann startet der Client neu durch, ohne wenn und aber.

 

Ich glaube hier liegt der Hund begraben.

 

Der Stichtag bedeutet nicht, dass es zum Stichtag freigegeben wird, sondern das ist der Tag, an dem das Update "zwangsweise" spätestens installiert wird. Bspw. wenn du lokale Admins hast, die bis dahin das Update verschieben wollen/können.

 

Bye

Norbert

http://www.mcseboard.de/topic/200520-wsus-stichtag-vs-gpo/

 

Dein Update wird folglich für die 2. Gruppe genehmigt und nach 7 Tagen wird die Installation erzwungen und der PC dann automatisch neu gestartet. 

bearbeitet 12. August 2015 von pharao

[Sunny61 810]

"Fehlermeldungen im Ereignisprotokoll?"

Im welchen genau? In der Ereignisanzeige > Windows-Protokolle ist nichts auffälliges

Dort gibt es viele Protokolle, Anwendung, System, Installation. Und bei Anwendungs- und Dienstprotokolle geht es auch noch weiter runter. Dort gibt es auch ein eigenes Log für GPOs.

 

WSUS Einstellungen:

Automatische Genehmigungen:

1. Gruppe Test Clients - kein Stichtag

2. Gruppe Produktiv Clients - 7 Tage nach der Genehmigung um 5:00

 

Wenn ein neuen MS Update rauskommt, wird es direkt für Gruppe 1 genehmigt. Nach 7 Tagen wird es für Gruppe 2 automatisch genehmigt. Oder verstehe ich das falsch?

7 Tage nach der Genehmigung ist um 5 Uhr der Stichtag, der sorgt dafür das nach der Installation sofort neu gestartet wird. Findest Du im Ereignisprotokoll Installation und auch in der %windir%\WindowsUpdate.log. Du brauchst nicht versuchen dich herauszureden, der Stichtag ist dein Problem. Abstellen oder damit leben.

 

 

"Und was ist mit der Frage zu den IP-Adressen im GPO?"

DNS funktioniert, ich habe damals die GPO nicht angelegt. Könnte auch WSUS als Namen reinsetzen. Gibt es einen Unterschied, bzw. Vorteil?

IP-Adressen anzugeben ist nicht gut, setz dort den Hostnamen des WSUS anstatt der IP ein.

 

 

"Liegt denn das Computerobjekt im AD auch im Verwaltungsbereich des GPO?"

WSUS GPO ist direkt mit der Domäne verknüpft

Schlechte Angewohnheit, deine Server installieren auch vollautomatisch die Updates täglich um 12 Uhr. Willst du das wirklich?

bearbeitet 12. August 2015 von Sunny61

[rwalker 0]

"IP-Adressen anzugeben ist nicht gut, setz dort den Hostnamen des WSUS anstatt der IP ein."

Wurde aus dem Grund gemacht, weil noch ein paar DMZ Rechner mit versorgt werden.

 

WindowsUpdate Log sagt folgendes:

2015-08-12 05:20:06:563  352 db8 AU Launched new AU client for directive 'Reboot Warning', session id = 0x1
2015-08-12 05:20:06:594  352 f04 AU Windows Update is disabled by policy for user
2015-08-12 05:20:06:610  352 db8 AU AU received handle event
2015-08-12 05:20:10:011  352 db8 AU Forced install timer expired for AUInstallType = 5
2015-08-12 05:20:10:011  352 db8 AU UpdateDownloadProperties: 0 download(s) are still in progress.
2015-08-12 05:20:10:011  352 db8 AU Enforcing reboot for already installed deadline expired update
2015-08-12 05:20:10:011  352 db8 AU Found a pending reboot, launching reboot UI
2015-08-12 05:20:10:011  352 db8 AU Setting AU scheduled install time to 2015-08-13 03:00:00
2015-08-12 05:20:10:011  352 db8 AU Successfully wrote event for AU health state:0

 

Grund ist jetzt wohl gefunden worden.

 

Kann man bei WSUS es so einstellen, dass die neuen Updates automatisch genehmigt werden und erst auf Gruppe Test angewendet werden und dann nach einer Woche erst auf Gruppe Produktiv genehmigt werden? Oder muss man dann die Updates für Gruppe Produktiv selber nach einer Woche freigeben?

 

Vielen Dank

[Sunny61 810]

"IP-Adressen anzugeben ist nicht gut, setz dort den Hostnamen des WSUS anstatt der IP ein."

Wurde aus dem Grund gemacht, weil noch ein paar DMZ Rechner mit versorgt werden.

Und die Rechner in der DMZ sind auch in der Domain und haben keine DNS-Auflösung?

 

Kann man bei WSUS es so einstellen, dass die neuen Updates automatisch genehmigt werden und erst auf Gruppe Test angewendet werden und dann nach einer Woche erst auf Gruppe Produktiv genehmigt werden? Oder muss man dann die Updates für Gruppe Produktiv selber nach einer Woche freigeben?

Nein, Du mußt selbst Hand anlegen.