Windows Sicherheitsupdates werden nicht installiert

[Oreg0410 2]

Hallo und guten Tag

Ich hatte letztens das Problem das einige Server bei uns seit November die Sicherheitsupdates nicht installieren wollen. Laut Update Historie waren sie angeblich erfolgreich, bin ich dann aber wieder auf "Update suchen" gegangen fand er das/die Updates wieder, installierte sie, verlangte einen Neustart, aber beim Neustart konnte man schon sehen, dass er keine Updates installierte.

Die Maßnahmen die MS als Problemlösung angeboten hat "löschen der Update Logs, löschen der Updatepakete auf dem Server und Manuelle Installation oder gar mit "dism" zu prüfen und zu installieren schlugen fehl.

 

Mein Workaround war dann alle deinstallierbaren Updates zu deinstallieren, eine Überinstallation des Betriebssystems ohne Prüfung der Updates zu machen und dann per Hand alle möglichen Updates nachzuholen, verlief dann erfolgreich.
Der Vorgang nahm aber pro Server einen vollen Arbeitstag in Anspruch, das Deinstallieren der alten Updates dauerte manchmal schon Stunden.

Gibt es da eine andere, bessere Lösung? Das Neuinstallieren eines Servers ist oft wegen der Komplexität kaum ohne große Downtimes und Migration der Anwendungen auf den neuen Server möglich.

 

Bisher habe ich jetzt alle Server bei uns überreden können mit dieser Arbeitsweise dann die neuen Sicherheitsupdates zu fressen. Aber der Aufwand ist echt hoch.

 

Wenn jemand dazu eine Idee oder bessere Lösung hat, nur her damit.

bearbeitet 25. März von Oreg0410

[Sunny61 806]

Welches OS ist im Einsatz? Eine Neuinstallation ist deinem Vorgehen vorzuziehen und für die Zukunft sollte es eine verwaltbare Lösung geben. Bis zu ein paar 100 Clients/Servern kann das ein WSUS sein, der zeigt dir an, wann sich wer mit welchem Updatestatus gemeldet hat.

[Oreg0410 2]

Welches OS spielte keine Rolle, es waren 1x2016er wie auch 2x2022er. Einen WSUS haben wir im Einsatz (betreut ein anderer Admin in einem anderen Bereich für andere Server) und dein Vorschlag mit der Neuinstallation ist zwar gut, aber wie ich schon oben geschrieben habe, wegen der Komplexität der Anwendungen und Dienste der Server nicht ohne länge Downtime zu realisieren (Technische Schulden meiner Vorgänger)


Als Updateserver nutzen wir Ivanti, ist für meinen Geschmack her besser, weil ich mit diesem Updatesystem auch viel mehr installieren kann als nur Windows Updates. Durch die Flexibilität hat Ivanti mehr Vorteile als ein WSUS. 

 

Aber das Soll ja nicht Bestandteil meiner Lösung sein, sondern ob jemand bei solchen Problemen eine andere Lösung kennt. 

bearbeitet 26. März von Oreg0410

[Sunny61 806]

vor 24 Minuten schrieb Oreg0410:

wegen der Komplexität der Anwendungen und Dienste der Server nicht ohne länge Downtime zu realisieren

Und den ganzen Tag, den Du verbraucht hast, ist an der Stelle keine Downtime? Immer wieder Reboots?

 

vor 25 Minuten schrieb Oreg0410:

Als Updateserver nutzen wir Ivanti, ist für meinen Geschmack her besser, weil ich mit diesem Updatesystem auch viel mehr installieren kann als nur Windows Updates.

Bei unserem WSUS kann man auch Notepad++, Firefox, VisualStudioCode, VLCPlayer und weitere zur Verfügung stellen, dafür brauchts kein Ivanti. Ich kenne Ivanti nicht, kann also nichts dazu schreiben.

 

Gerade wenn etwas komplex und wichtig ist, sollte man sich mit dem Gedanken der Neuinstallation intensiv beschäftigen, so meine Meinung. Denn wenn es von heute auf morgen fällig ist, warum auch immer, ist es IMHO beruhigend in der Schublade die passende Doku dazu zu haben. ;)

 

Nein, so ein Problem hatten wir noch nicht bei unseren ~200 Servern.

 

vor 31 Minuten schrieb Oreg0410:

Welches OS spielte keine Rolle, es waren 1x2016er wie auch 2x2022er.

Doch, es spielt IMHO eine Rolle und du hast es ja genannt. ;)

[Oreg0410 2]

Hallo Sunny61. Du hast ja Recht, aber das WAR nicht meine Frage. Trotzdem Danke für deine Mühen

[Gulp 256]

Du bist bei Windows Servern eben auf das was der Hersteller zur Verfügung stellt mehr oder weniger limitiert ..... das kann von Zeit zu Zeit eben solche Auswüchse mit sich bringen. Vor allem wenn wie in letzter Zeit die Qualität der Updates eher mau zu sein scheint.

Man erinnere sich an das Gewürge mit den RE Updates letztens, wo es bei manchen Systemen nur installierbar war, wenn man händisch die RE Partition (Wiederherstellungspartition) verhgrössert hat, die Windows selbst so bei der Installation vorgeschlagen und eingerichtet hat.

 

Da hilft leider am Ende aus meiner Sicht nur damit zu leben, das mit anderen Deployment Tools versuchen abzubilden/aufzufangen oder den Hersteller und damit das OS zu wechseln.

 

Grüsse

 

Gulp

 

bearbeitet 26. März von Gulp
Typo, Grammar

[Oreg0410 2]

Hallo Gulp, auch deine Antwort geht leider an meiner Frage vorbei. Das eine Neuinstallation manchmal unumgänglich ist, weiß ich. Ich dachte eben das man hier auf meine Frage eine exakte Antwort gibt und nicht immer auf die Neuinstallation pocht.

"Neu installieren" kann jeder und das ist nicht mein Anspruch. Ich will Lösungen für Defekte finden. Warum ich nicht immer sofort an eine Neuinstallation denke, schrieb ich oben schon. Mit dem Einsatz und der Planung von Dienstleistern, die die Software supporten, das Connecten des "Neuen Servers" an die vorhandene Infrastruktur kann u.U. sehr sehr Aufwendig sein. Solange ich das Umgehen kann und mit einer Reparatur des Servers mein Ergebnis erziele, ist mir das viel Lieber. 

Aber auch dir danke ich für deine Gedanken.

Gruß

[Gulp 256]

Tut mir leid Dich enttäuschen zu müssen, ich sprach nirgends von einer Neuinstallation, ich sprach von der Möglichkeit, sich mit geeigneten Tools das Deployen von Updates zu vereinfachen. In der Regel liefern diese Tools auch Möglichkeiten und/oder Techniken, wie man Updates dann im Fehlerfalle wieder sauber irgendwo herunterbekommt.

 

Setzt man sowas nicht ein, sei es weil kein Geld dafür da ist oder man keine Expertise dazu hat, bleibt einem nicht viel an Alternative. Du kannst jedes einzelne Update in einer Testumgebung testen und eine Lösungsstrategie dazu entwickeln, das kostet Dich dann nur Zeit und Aufwand, funktioniert dann möglicherweise auch nur für Deinen Einzelfall und und und .......

 

Finde Dich damit ab, die Qualität der Windows Updates ist seit einiger Zeit mitunter grottenschlecht und wir Kunden müssen es ausbaden. Da bleiben leider nur meine Ratschläge:

 

• nimm es hin, repariere es und lebe damit
• suche Dir ein Tool dass mit solchen Updates besser oder anders umgehen kann
• wechsle zu einem OS Hersteller mit qualitativ besseren Updates

 

Grüsse

 

Gulp

 

[MurdocX 952]

Hallo,

 

ich meine mich erinnern zu können, dass MS bei den letzten Updates etwas an der Wiederherstellungspartition verändern/patchen möchte. Manche Installationen haben eine zu kleine Partition, weshalb nach einem Neustart dann doch die Installation fehlschlägt. Das sollte man über die Fehlermeldung herausbekommen.

 

Am 25.3.2024 um 15:42 schrieb Oreg0410:

Mein Workaround war dann alle deinstallierbaren Updates zu deinstallieren, eine Überinstallation des Betriebssystems ohne Prüfung der Updates zu machen und dann per Hand alle möglichen Updates nachzuholen, verlief dann erfolgreich.
Der Vorgang nahm aber pro Server einen vollen Arbeitstag in Anspruch, das Deinstallieren der alten Updates dauerte manchmal schon Stunden.

Dieses Verhalten kann ich bei meinen ~200 Servern (2012 R2 - 2022) nicht beobachten. Sollten vermehrt Probleme auftreten, gehen wir den Weg des geringsten und vorausschauenden Zeitaufwands.