Zum Inhalt wechseln


Foto

Win7 Clients Probleme mit Automatischen Updates wenn längere Zeit ausgeschaltet

Windows Server 2012 R2 GPO WSUS

  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 hotzenplotz

hotzenplotz

    Newbie

  • 12 Beiträge

 

Geschrieben 27. September 2016 - 13:33

Liebe Forengemeinde,

 

ich bin etwas am verzweifeln. 

 

Hintergrund: AD mit WSUS (2012R2 Server) und größtenteils Windows 7 PCs. Über eine GPO werden die Automatischen Updates installiert/verteilt (Einstellungen im Anhang). Das funktioniert soweit auch so wie gewünscht, wenn die Rechner regelmäßig in Betrieb genommen werden. Problematisch wird es, wenn sie länger nicht eingeschaltet sind.

 

Beispielsweise war ich 2 Wochen im Urlaub, PC war in der Zeit natürlich ausgeschaltet und hat auch keine Updates gezogen oder danach gesucht. Nun hatte ich eigentlich die Erwartung, das der Rechner, sobald eingeschaltet, selbstständig nach Updates sucht und diese auch installiert. Dem war leider nicht so - auch nicht nach dem zweiten Tag.

 

WindowsUpdate.log scheint zwar Kontakt zum WSUS herzustellen, aber meldet auch # AU disabled through Policy - wobei keine Einstellungen geändert wurden und die Automatische Updates nicht deaktiviert sind.

Auch der Reg-Key noautoupdate ist auf den Wert 1 gesetzt.

 

Habe dann einfach manuell nach Updates gesucht, das hat sofort funktioniert. Sobald ich an der entsprechenden GPO was ändere und gleich wieder zurückstelle, hat es bei einem anderen, länger ausgeschalteten Rechner nicht lange gedauert, bis auch dieser wieder Updates selbstständig gesucht hat. Und der besagte Reg-Key hatte auch wieder den Wert 0.

 

Habe jetzt nach anderen GPO gesucht, die vielleicht konträr agieren und Windows Updates deaktivieren, aber ich finde dazu nix und sicherheitshalber habe ich die Update-GPO in der Rangfolge nach oben verschoben (Platz 1), so das diese auch definitiv als letztes angewendet wird.

 

Bin wie gesagt etwas ratlos, vielleicht habt ihr ja den entscheidenden Tipp.

 

Viele Grüße

 

Angehängte Dateien



#2 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 27. September 2016 - 13:40

Anhand des Screenshots rate ich mal, dass Du einen WSUS benutzt. 

Der Suchintervall steht auf  13h. Ist vielleicht etwas lang.

Ansonsten vielleicht mal eine windowsupdate.log  einstellen.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#3 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 27. September 2016 - 17:48

Zum ersten Mal stell auf 4 Stunden Suchhäufigkeit um. Die Installationszeit würde ich auch auf 12 Uhr umstellen. Und dann noch eine Benutzereinstellung setzen, dann kriegen die User auch nichts mit von der Updaterei.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#4 BABA

BABA

    Board Veteran

  • 676 Beiträge

 

Geschrieben 28. September 2016 - 08:05

Ich hatte mal ein ähnliches Problem.

Seit dem ich in meinen Anmeldescripten

 

wuauclt.exe /detectnow /resetauthorization

 

eingefügt habe ist Ruhe und meine Clients egal wie lange die aus waren, holen sich spätestens nach 4 Staunden die Updates.

Meine Suchhäufigkeit und die Installationszeit entspricht zu 100% mit der von Sunny61 und läuft ohne Probleme.


Backup is was für Feiglinge!!

#5 hotzenplotz

hotzenplotz

    Newbie

  • 12 Beiträge

 

Geschrieben 28. September 2016 - 08:49

Alles klar,

 

ich werde die Vorschläge mal testen.

 

Die Suchhäufigkeit hatten wir mal auf 6 Stunden gesetzt, das hatte die Folge das einige PCs am Anschlag liefen ... werde es nochmal testen, weil wir in der Zwischenzeit den alten WSUS abgelöst hatten und ihn ersetzt haben.

 

Welche Benutzereinstellung setzen, stehe ich gerade auf dem Schlauch ...

 

Vielen Dank



#6 zahni

zahni

    Expert Member

  • 16.390 Beiträge

 

Geschrieben 28. September 2016 - 09:07

Die hohe CPU-Last kann an einer  veralteten Version des Update-Clients liegen. Wenn die  PCs alle Updates bekommen haben, sollte das eigentlich nicht mehr  auftreten.


Wen du nicht mit Können beeindrucken kannst, den verwirre mit Schwachsinn!


#7 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 28. September 2016 - 15:10

Die Suchhäufigkeit hatten wir mal auf 6 Stunden gesetzt, das hatte die Folge das einige PCs am Anschlag liefen ... werde es nochmal testen, weil wir in der Zwischenzeit den alten WSUS abgelöst hatten und ihn ersetzt haben.


Lass dir doch auch in der WSUS-Konsole die Version des WU-Agent pro Client anzeigen, dann siehst Du ob deine Clients auch aktuell sind. Denn bei aktuellen WU-Agents sollte es das Problem mit der CPU-Last nicht mehr geben.
 

Welche Benutzereinstellung setzen, stehe ich gerade auf dem Schlauch ...


Alle Windows Update Funktionen entfernen > Aktivieren. Aber Achtung! Nur auf 'normale' Benutzer wirken lassen, nicht auf Admins! Die Einstellung findet man im Benutzerteil von Windows Update Einstellungen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#8 hotzenplotz

hotzenplotz

    Newbie

  • 12 Beiträge

 

Geschrieben 29. September 2016 - 07:08

Alles klar,

 

vielen Dank für eure hilfreichen Ratschläge



#9 hotzenplotz

hotzenplotz

    Newbie

  • 12 Beiträge

 

Geschrieben 05. Oktober 2016 - 14:54

Leider besteht mein initiales Problem weiterhin ...

 

Auf mir immer noch mysteriöse Weise, wird der Reg-Key NoAutoUpdate auf 1 gesetzt, was zur Folge hat, das Clients wohl keine Lust haben Updates zu installieren. Es sind definitiv Updates genehmigt, bereits auf dem WSUS heruntergeladen und installationsbereit, bei anderen Rechnern funktioniert es ja auch. 

 

Habe mal RSOP auf den betroffenen PC ausgeführt, um sicher zu gehen, das mit keine andere Gruppenrichtlinie, die Einstellungen von Windows Update überschreibt, dem ist aber nicht so, wenn ich das richtig interpretiere. Wenn ich in die Computerkonfiguration navigiere bis zu Windows Update, sehe ich eindeutig, das die Updates immer noch aktiviert sind, mit denen von mir gemachten Einstellungen.

 

Ich bin ehrlich gesagt ratlos. Selbst wuauclt.exe /detectnow /resetauthorization wirkt nicht so, wie ich mir das erhoffe.

 

Würde das das WindowsUpdate.log hochladen, aber habe wohl nicht die erforderliche Berechtigung im Forum



#10 daabm

daabm

    Expert Member

  • 2.106 Beiträge

 

Geschrieben 08. Oktober 2016 - 16:08

Lass den Process Monitor von Sysinternals mit einem Filter auf den Reg-Wert mitlaufen, dann weißt Du, wer und wann das ändert...


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#11 Sunny61

Sunny61

    Expert Member

  • 22.101 Beiträge

 

Geschrieben 08. Oktober 2016 - 17:12

Auf mir immer noch mysteriöse Weise, wird der Reg-Key NoAutoUpdate auf 1 gesetzt, was zur Folge hat, das Clients wohl keine Lust haben Updates zu installieren. Es sind definitiv Updates genehmigt, bereits auf dem WSUS heruntergeladen und installationsbereit, bei anderen Rechnern funktioniert es ja auch.

Das Problem existiert nur auf diesem einen Rechner? Führe einen sauberen Neustart aus und setz vorher den Registry Wert korrekt. http://support.micro...om/kb/929135/de
 

Ich bin ehrlich gesagt ratlos. Selbst wuauclt.exe /detectnow /resetauthorization wirkt nicht so, wie ich mir das erhoffe.

Was erhoffst du dir denn von dem Befehl? Lies dich mal ein: http://www.wsus.de/d...zeilenoptionen 

Würde das das WindowsUpdate.log hochladen, aber habe wohl nicht die erforderliche Berechtigung im Forum

Vermutlich ist das Log viel zu groß. Wer will denn auch ein Log mit 2000 Zeilen lesen.

Probier mal das hier in einer administrativen Commandline auf dem Client:

net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
del %windir%\WindowsUpdate.log
net start wuauserv
net start bits
wuauclt /detectnow

Jetzt 20 Minuten warten und das WindowsUpdate.log öffnen und nach Fehlern suchen.
Gruppenrichtlinien: http://www.gruppenrichtlinien.de/

#12 hotzenplotz

hotzenplotz

    Newbie

  • 12 Beiträge

 

Geschrieben 19. Oktober 2016 - 09:42

Hi,

 

sorry für das späte Feedback meinerseits, war zwischenzeitlich etwas verhindert.

 

Hatte zwischenzeitlich den Reg-Key NoAutoUpdate einfach per GPO immer wieder auf 0 gesetzt, so das die Clients auch immer wieder brav beim WSUS anfragen. Das klappt soweit auch gut, ist natürlich nicht die saubere Lösung.

 

Ich werde eure restlichen Vorschläge mal durchgehen.

 

Danke nochmals



#13 hotzenplotz

hotzenplotz

    Newbie

  • 12 Beiträge

 

Geschrieben 13. Februar 2017 - 13:05   Lösung

Ich weiß das Thema ist uralt, aber der Vollständigkeit halber möchte ich noch die Ursache benennen.

 

Wir nutzen unsere Softwareverteilung von Matrix42 unter anderem auch dafür, für bestehende Softwarepakete Updates einzuspielen. Dazu läuft erst ein "Scan-Paket" und anschließend ein "Fix-Paket" - und beide Pakete haben frecherweise diesen besagten Key auf 1 gesetzt.

 

Weil man auch über diese Softwareverteilung auch Windows Updates ausliefern kann, hat matrix42 wohl angenommen, Windows Updates über herkömmlichen Wege zu deaktivieren.

 

Danke nochmal für die Hilfe, der Process Monitor hat es wirklich gebracht (wenn man auch wirklich nur das abspeichert, was mit geschnitten und gefiltert wird).





Auch mit einem oder mehreren der folgenden Tags versehen: Windows Server 2012 R2, GPO, WSUS