Keine Updates mehr über WSUS

[xrated2 15]

Nachdem jetzt die Pakete über WPP wieder funktionieren (die Pakete werden ja über WSUS installiert) ist mir aufgefallen das Windows 10 und 11 keine MS Updates von WSUS bekommen.

Fehler im Eventlog: 0x8024002e

Im WSUS ist eingestellt das sich die Clients von MS direkt runterladen sollen, dass hat bisher auch so funktioniert.

Wsus ist mit Port 8530 http eingestellt.

 

Wenn ich diese Option

https://admx.help/?Category=Windows_10_2016&Policy=Microsoft.Policies.InternetCommunicationManagement::RemoveWindowsUpdate_ICM&Language=de-de

 DisableWindowsUpdateAccess

auf 0 stelle dann funktionieren die Updates wieder aber dann ist WSUS ja komplett ausgehebelt oder?

[Sunny61 806]

Was ist denn sonst alles in Bezug auf WSUS eingestellt? Was ist bei der Übermittlungsoptimierung konfiguriert? Weshalb holen alle Clients einzeln von WU direkt?

[xrated2 15]

Der WSUS Server ist an einem anderen Standort. Deswegen macht es keinen Sinn das sich die Clients von dort die Updates holen. Ich habe jetzt aktuell die Option "DisableWindowsUpdateAccess" entfernt aber die Zielversion in der GPO angegeben. Ich habe in WSUS eh immer nur die Funktionupgrades selber gesteuert. Dualscan (Keine Richtlinien für Updaterückstell..) ist auch deaktiviert.

 

Windows-Komponenten/Windows UpdateAusblenden
Richtlinie	Einstellung	Kommentar
Clientseitige Zielzuordnung aktivieren	Aktiviert	
Zielgruppenname für diesen Computer	K5-PC
Richtlinie	Einstellung	Kommentar
Internen Pfad für den Microsoft Updatedienst angeben	Aktiviert	
Interner Updatedienst zum Ermitteln von Updates:	http://k5aux.ad.xxx.com:8530
Intranetserver für die Statistik:	http://k5aux.ad.xxx.com:8530
Alternativen Downloadserver festlegen:	
(Beispiel: https://IntranetUpd01)
Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist	Deaktiviert
Erzwingen Sie nicht das Anheften von TLS-Zertifikaten für den Windows Update-Client, um Updates zu erkennen.	
Wählen Sie das Proxy Verhalten für den Windows Update-Client zum Ermitteln von Updates aus:	
Richtlinie	Einstellung	Kommentar
Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird	Aktiviert	
Suchhäufigkeit für automatische Updates	Aktiviert	
In folgenden Abständen (Stunden)
nach Updates suchen:	1
Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden
Richtlinie	Einstellung	Kommentar
Zielversion des Funktionsupdates auswählen	Aktiviert	
Für welche Windows-Produktversion möchten Sie Funktionsupdates erhalten? Beispiel: Windows 10	Windows 10
Zielversion für Funktionsupdates	
22H2





Windows-Komponenten/Windows Update/Windows Update für UnternehmenAusblenden
Richtlinie	Einstellung	Kommentar
Beim Empfang von Qualitätsupdates auswählen	Aktiviert	
Anzahl der Tage, die der Empfang eines Qualitätsupdates nach der Freigabe zurückgestellt werden soll:	30
Qualitätsupdates aussetzen ab	
(Beispiel für das Format jjjj-mm-tt: 2016-10-30)
Richtlinie	Einstellung	Kommentar
Zeitpunkt für den Erhalt von Vorabversionen und Funktionsupdates auswählen	Aktiviert	
Wie viele Tage nach dem Erstellen eines Funktionsupdates möchten Sie die Aktualisierung zurückstellen, bevor Sie für das Gerät angeboten wird?	30
Vorabversionen oder Funktionsupdates aussetzen ab:	
(Beispiel für das Format jjjj-mm-tt: 2016-10-30)



Windows-Komponenten/ÜbermittlungsoptimierungAusblenden
Richtlinie	Einstellung	Kommentar
Downloadmodus	Aktiviert	
Downloadmodus:	LAN (1)

[Sunny61 806]

Hmm, ich habe mit den Einstellungen Windows Update für Unternehmen noch nie irgendwas gemacht, auch holen bei mir alle Clients/Server die Updates beim WSUS über den BITS. Einzig hab ich mal mit der Wartung experimentiert. Das hatte nicht geklappt, deshalb läuft bei uns derzeit noch alles so wie zu W7 Zeiten, in Sachen WSUS. ;)

 

Wenn Du an diesem Standort keinen WSUS installieren möchtest/kannst, dann wird dir IMHO nichts anderes übrig bleiben, als damit jetzt zu leben. Alternativ mit ein paar Testclients mal bei 0 anfangen und dann langsam weiter vorarbeiten.

[xrated2 15]

Die Clients laufen seit Corona zu 90% alle im Homeoffice. Es gibt nur 2 Standorte, bei einem ist nur 1 PC und beim anderen ist das Büro nur gemietet mit WLAN Zugang.

Da würde wahrscheinlich sowas mehr Sinn machen:

https://www.policypak.com/resources/pp-blog/windows-update-business/

 

Aktuell ziehen sich die Clients wenigstens wieder Updates. Ich müsste jetzt mal probieren was passiert wenn ich dieses Setting: 

Zielversion für Funktionsupdates	
22H2

weglasse. Ob der dann WSUS folgt und bei 22H2 bleibt oder auf 23H2 geht.

[Sunny61 806]

Für W10 wird sich nichts ändern, da es kein 23H2 gibt, nur bei W11 kann sich etwas ändern.

Wir hatten bisher die Upgrades manuell freigegeben, da konnte dann auch keines dazwischen funken, nur das, das auch freigegeben wurde. Mit WUfB habe ich keinerlei Erfahrungen.

[xrated2 15]

Ich habe dies wieder aktiviert:

Zugriff auf alle Windows Update-Funktionen entfernen

 

Das habe ich entfernt (Dualscan):

Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

Und dann habe ich noch hinzugefügt:

 

Quelldienst für bestimmte Klassen von Windows-Updates angeben	Aktiviert
Quelldienst für die folgenden Klassen von Windows-Updates angeben: Featureupdates Windows Server Update Services Qualitätsupdates Windows Server Update Services Treiberupdates Windows Server Update Services Andere Updates Windows Server Update Services

 

Und es scheint wieder zu funktionieren. Immer wieder toll das MS ständig was an den Update Einstellungen ändert.

 

Nun kann ich unter Windows 11 nicht nach neuen Updates suchen aber in erweiterten Optionen noch Sachen verstellen, dass ist aber auch nicht Sinn der Sache.

bearbeitet 15. April von xrated2

[Sunny61 806]

Alternativ mit ein paar Testclients mal bei 0 anfangen und dann langsam weiter vorarbeiten. Aber wenn du nicht magst, es ist deine Lebenszeit die du damit vertust.