Server 2012/2016 Neustarts verhindern

[BiERWiESEL 10]

Moin,

 

ich weiß nicht ob ich mit meinem Thema im richtigen Bereich bin, aber ich versuche es mal zu erläutern.

 

Ich versteile mit dem SCCM 1810 Windows Updates auf Windows 10 Client und auf Windows Server 2012 R2 und Windows Server 2016. In der Bereitstellung sage ich, dass ein Neustart bei Clients und bei Server unterdrückt werden sollen.

Die Updates werden erfolgreich installiert und verlangen dann einen Neustart. Soweit so gut...

 

Die Windows 10 Updates warten bis der Benutzer selbstständig ein Neustart macht, so soll es auch sein. Aber...

 

Die Server machen einfach willkürlich einen Neustart. Einige starten nach zwei Tagen neu,  manche nach einer Woche usw.

Ich möchte aber selbstständig entscheiden WANN diese Neustarten sollen. Dafür habe ich auf jedem Server einen geplanten Task via GPO hinterlegt. Diese startet die Server am Wochenende geplant neu. Das funktioniert auch wunderbar, wenn nicht nur diese ungeplanten Neustarts da wären.

 

Ich habe auch schon die geplanten Task unter Microsoft -> Updates deinstalliert. Auch das brachte keinen Erfolg.

Habe auch beim SCCM ein Stichstag gesetzt (Wochenende) wo er dann der Neustart ausführen soll. Aber auch dieser wurde bereits vorher ausgeführt. Daher habe ich dann komplett den Neustart via SCCM unterdrückt.

 

Auch habe ich es per GPO versucht und dort die Option 4 (Autom. Herunterladen und laut Zeitplant installieren ) aktiviert. Natürlich den Zeitraum auf das Wochenende gelegt. Aber auch diese Einstellung wird ignoriert. Man sieht diese in der Registry aber ich vermute, dass der SCCM eh seine Einstellungen ( kein Neustart ) dann rüber jodelt.

 

Ich weiß leider nicht mehr weiter und hoffe, dass jemand einen Tipp für mich hat. Vielleicht kann man auch genrelle Neustarts verhindern und nur die shutdown.exe von meinem geplanten Task zulassen ?!

 

Vielen Dank vorab

[MurdocX 957]

Setze in der GPO

• "Autom. Herunterladen und laut Zeitplant installieren = Samstag/Sonntag" und
• "Neustart immer zur geplanten Zeit durchführen = 15Min" setzen

Vermeiden solltest du

• "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind."

Dann startet der Server auch nach den Updates durch.

[BiERWiESEL 10]

Ich habe einmal meine Konfigurationen dir in den Anhang gepackt.

 

 

[MurdocX 957]

Hier steht es ganz schön (englisch): https://social.technet.microsoft.com/Forums/en-US/ae7a347b-38f4-4391-bd2e-787e48a5a38b/suppress-reboot-for-software-updates?forum=configmanagersecurity

 

"So, if you have both Workstations and Servers checked in the Suppress the system restart on the following devices section (screenshot below) then restarts will *never* be forced by ConfigMgr. "

 

Setze noch "Neustart immer zur geplanten Zeit durchführen", wie oben schon geschrieben und deine Server machen am Wochenende den Neustart.

[BiERWiESEL 10]

Gut, also vom SCCM aus habe ich also alles richtig gemacht.

 

Aber die GPO Einstellung verstehe ich nicht so ganz. Da steht ja, dass ich 15 bis 180 Min konfigurieren kann. Es kann sein, dass ich ganz schön aufn schlauch stehe.... ;)

 

Wie gesagt, mein geplanten Task mit der Shutdown.exe führe ich am Sonntag 17 Uhr aus. Daher habe ich auch die Option 4 auf diese Zeit gestellt. Quasi Doppelt gemoppelt....Aber dennoch hat er willkürlich die Neustarts gemacht und teilweise nicht bis zum Sonntag 17 Uhr gewartet.

 

So wie es sich liest, bringt deine Einstellung den gewünschten Effekt, aber diesen kann ich nicht so ganz nachvollziehen

 

 

Hier kann man einen Zeitraum in (max. 180) Minuten angeben, nach dem der PC automatisch neu startet. Der Countdown beginnt unmittelbar nach der Installation der Updates. Das Verhalten des Systems wird dadurch aggressiver, weil der Rechner auch dann neu startet, wenn ein Benutzer angemeldet ist.

Das liest sich so, also wenn direkt nach der Installation ein Neustart wäre und diesen kann ich bis max 180 min rauszögern. Aber die Installation findet bei mir ja direkt nach der Bereitstellung statt.

bearbeitet 15. April 2019 von BiERWiESEL

[MurdocX 957]

vor 10 Minuten schrieb BiERWiESEL:

So wie es sich liest, bringt deine Einstellung den gewünschten Effekt, aber diesen kann ich nicht so ganz nachvollziehen

Dann erhelle ich Dich mit zwei Zitaten aus anderen Gruppenrichtlinien 

 

Zitat

"Neustart immer zur geplanten Zeit durchführen"

 

Wenn Sie diese Richtlinie aktivieren, wird immer sofort nachdem Windows Update wichtige Updates installiert hat ein Zeitgeber für den Neustart gestartet, anstatt dass Benutzer mindestens zwei Tage lang zuvor auf dem Anmeldebildschirm benachrichtigt werden.

Zitat

"Automatische Updates konfigurieren"

 

Unter Windows 8 und höher können Sie festlegen, dass Updates nicht nach einem bestimmten Zeitplan, sondern während der automatischen Wartung installiert werden. Die automatische Wartung installiert Updates, wenn der Computer nicht verwendet wird; befindet sich der Computer im Akkubetrieb, werden keine Updates installiert. Wenn Updates zwei Tage lang nicht von der automatischen Wartung installiert werden können, werden Updates von Windows Update sofort installiert. Benutzer werden über einen bevorstehenden Neustart benachrichtigt, und der Neustart wird nur durchgeführt, wenn keine Gefahr für zufällige Datenverluste besteht.

 

[BiERWiESEL 10]

Vielen Dank, aber ich verstehe es immer noch nicht :P es macht einfach nicht klick btw. ich verstehe nicht wieso der durch diese Einstellung keine Neustarts machen soll, bis der Zeitpunkt aus der GPO eingetroffen ist. Nun gut, ich werde es setzen mit 15 min und schaue was passiert :)

 

Dann habe ich einmal die GPO auf 17 Uhr und auch noch mal meinen geplanten Task auf 17 Uhr. Bei der GPO kommen dann 15 min dazu ?! Nicht das die Kisten dann zwei mal neustarten

[MurdocX 957]

vor 2 Minuten schrieb BiERWiESEL:

Ich verstehe nicht wieso der durch diese Einstellung keine Neustarts machen soll, bis der Zeitpunkt aus der GPO eingetroffen ist.

Der Server installiert Updates und wartet zwei Tage. Das ist die Standardeinstellung. Wenn der Server aber am Updatetag direkt den Neustart macht, dann passiert das nicht mehr unkontrolliert, sondern sofort.  

vor 4 Minuten schrieb BiERWiESEL:

Dann habe ich einmal die GPO auf 17 Uhr und auch noch mal meinen geplanten Task auf 17 Uhr.

Das ist eine schlecht Idee. Lass den Server entscheiden wann die Updates komplett installiert wurden.

[BiERWiESEL 10]

Entweder verstehen wir uns komplett falsch oder es macht wirklich nicht klick.

 

Der Tag der Installation ist ja laut SCCM SOFORT. Im Software Center steht dann, dass installiert wurde aber noch ein Neustart aussteht. Und genau diesen möchte ich bestimmen und nicht das System. Laut deiner Standard Einstellung wäre es dann zwei Tage später. Das wäre falsch....Wenn ich zum Beispiel am Montag per SCCM die Verteilung mache, dann werden die auch direkt installiert und dann sollen die Systeme bis Sonntag um 17 Uhr warten....

 

Im Anhang ist noch ein Screenshot von der Einstellung. Die sagte doch ganz klar, dass man den Automatischen Neustart bis zu 180min verzögern kann. In meinem Beispiel wäre es aber 6 Tage....

bearbeitet 15. April 2019 von BiERWiESEL

[MurdocX 957]

vor 1 Minute schrieb BiERWiESEL:

In meinem Beispiel wäre es aber 6 Tage....

Mir erschließt sich gerade nicht die Sinnhaftigkeit. Ohne einen Neustart werden die Updates nicht angewendet. Dann kann ich auch gleich bis zum Wochenende die 6 Tage warten und initiiere den Neustart direkt danach. 6 Tage in einem inkonsistenten Zustand wäre mir persönlich zu heiß.

 

 

[BiERWiESEL 10]

Nehmen wir mal an, dass es keine Lösung für mein Vorhaben gibt.

 

Deine Idee ist es, die Bereitstellung für Sonntag 17 Uhr zu planen beim SCCM (oder ein wenig vorher) und dort den Neustart zu unterdrücken. Per GPO sagst du dann, dass er Sonntags um 17 Uhr die Kisten Neustartet und mit der Option mit den 15 min, sagst du, dass es sofort passieren soll?!

 

Das ist für mich zu ungeplant. Ich muss ja sicherstellen, dass bis dahin die Updates auch am System angekommen sind und auch installiert. Das dann um 17 Uhr die GPO die kisten neustartet.

 

Die GPO mit dem geplanten Task für den Neustart dann komplett raus.

 

--------

 

Dann könnte ich direkt über den SCCM sagen, dass es ein Installationsstichtag gibt und dort Neustarts erlaubt sind. Dann kann ich alle GPOs deaktvieren

 

Quasi

 

bearbeitet 15. April 2019 von BiERWiESEL

[MurdocX 957]

vor 7 Minuten schrieb BiERWiESEL:

Deine Idee ist es, die Bereitstellung für Sonntag 17 Uhr zu planen beim SCCM (oder ein wenig vorher) und dort den Neustart zu unterdrücken. Per GPO sagst du dann, dass er Sonntags um 17 Uhr die Kisten Neustartet und mit der Option mit den 15 min, sagst du, dass es sofort passieren soll?!

Den Timer steuert der Windows Update Client selber. Du kannst auch genauso 180 Minuten setzen, wenn du auf Nummer sicher gehen willst das alles installiert wurde. Alternativ hast du deine 2 Tage. Das halte ich eher für "zu ungeplant"  

[BiERWiESEL 10]

Okay, dann werde ich die geplanten Installationen direkt mit dem SCCM planen. Ich teste es jetzt mal um 12 Uhr Verfügbarkeit der Bereitstellung um 12:30 Uhr Stichttag wo er installieren und neustarten darf.

[MurdocX 957]

Es schadet sicher auch nicht mal auf andere Umsetzungen, wie z.B. hier: https://www.prajwaldesai.com/deploy-software-updates-using-sccm-2012-r2/ zu schauen. 

[BiERWiESEL 10]

So ich habe es mal getestet. um 12:45 war die Bereitsstellung verfügbar und der Stichtag war sofort. Neustart und Software Updates sind am Stichttag erlaubt. Er hat die Updates um 12:45 installiert, aber keinen Neustart gemacht. Es steht jetzt da, dass ein Neustart erforderlich ist. Nach 15 Min startet der SCCM Client nun neu.

Dann werde ich es zukünftig eben so lösen.

 

Danke für deine Hilfe :)