MurdocX

Bisher noch nie Probleme mit dem Board gehabt. 0

Es schadet sicher auch nicht mal auf andere Umsetzungen, wie z.B. hier: https://www.prajwaldesai.com/deploy-software-updates-using-sccm-2012-r2/ zu schauen.

Den Timer steuert der Windows Update Client selber. Du kannst auch genauso 180 Minuten setzen, wenn du auf Nummer sicher gehen willst das alles installiert wurde. Alternativ hast du deine 2 Tage. Das halte ich eher für "zu ungeplant"

Mir erschließt sich gerade nicht die Sinnhaftigkeit. Ohne einen Neustart werden die Updates nicht angewendet. Dann kann ich auch gleich bis zum Wochenende die 6 Tage warten und initiiere den Neustart direkt danach. 6 Tage in einem inkonsistenten Zustand wäre mir persönlich zu heiß.

Der Server installiert Updates und wartet zwei Tage. Das ist die Standardeinstellung. Wenn der Server aber am Updatetag direkt den Neustart macht, dann passiert das nicht mehr unkontrolliert, sondern sofort. Das ist eine schlecht Idee. Lass den Server entscheiden wann die Updates komplett installiert wurden.

Dann erhelle ich Dich mit zwei Zitaten aus anderen Gruppenrichtlinien

Hier steht es ganz schön (englisch): https://social.technet.microsoft.com/Forums/en-US/ae7a347b-38f4-4391-bd2e-787e48a5a38b/suppress-reboot-for-software-updates?forum=configmanagersecurity "So, if you have both Workstations and Servers checked in the Suppress the system restart on the following devices section (screenshot below) then restarts will *never* be forced by ConfigMgr. " Setze noch "Neustart immer zur geplanten Zeit durchführen", wie oben schon geschrieben und deine Server machen am Wochenende den Neustart.

Setze in der GPO "Autom. Herunterladen und laut Zeitplant installieren = Samstag/Sonntag" und "Neustart immer zur geplanten Zeit durchführen = 15Min" setzen Vermeiden solltest du "Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind." Dann startet der Server auch nach den Updates durch.

Genau das steht in dem Artikel "Beim Booten muss man in die BIOS-Einstellungen gehen und dort die Option für den Secure Boot abschalten."

Richtig. Gateway prüfen schadet in keinem Fall :)

Wenn das nicht sauber konfiguriert wurde, dann hast du ein Tattoo bekommen. Heißt du musst das mit einer "Gegen-Richtlinie" wieder gerade ziehen. Deswegen hab ich auch gefragt :)

Probier mal diesen Workaround: https://www.borncity.com/blog/2017/11/09/defender-application-control-blockt-programmedownloads/

Hattest du die Ordnerumleitung mal zum "test" konfiguriert?

Stell die Update-Richtlinie über die Gruppenrichtlinien einfach auf "Manuell". Dann kannst du genau so das machen.

Manche Virenscanner hängen unten ihre Signatur dran wie z.B. "Geprüft durch Avast". Alles was den Inhalt der Mail verändert, bricht die Signatur. Das ist logisch und auch richtig so. Ich würde mal prüfen, ob eure Firewall/Gateway das signieren übernehmen kann.

Hier sollten alle relevanten Informationen drin stehen: https://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swvlan.html

"Uplink" sind die Verbindungen die den Switch zum Nächsten verlassen. Damit du das Vlan auch auf anderen nutzen kannst. Einfach erklärt: Nimm 2 komplett identische Autos. Du musst sie aber auseinander halten. Wie machst du das? Du machst einen Aufkleber drauf, dann klappts auch. Genau so ist das mit den Paketen auf Netzwerkebene. Deswegen "taggen". So lange du nur ein Auto hast, weißt du auch immer das es nur das eine sein kann. Also muss an einem Switchport auch immer nur, wenn es eins ist das vlan als "untagged" laufen. Ports: LWL-Uplink: Vlan 1,2,3,4 tagged Port-1: vlan 1 untagged Port-2: vlan 2 untagged Port-3: vlan 2 untagged Port-4: vlan 3 untagged So würde das als eine "einfache" Konfig auf einem Switch aussehen.

Für Switche übergreifend musst du, sobald mehrere VLANs auf einem Switch aktiv sind - default Vlan 1 - diese an den Upload-Ports natürlich taggen. Die gewissen Ports am Switch sind dann untagged vlan X.

Beim "Ersetzen" wird das Netzlaufwerk entfernt und wieder neu verbunden. Deswegen hatte ich gemeint auf "Aktualisieren" setzen. Könnte sein, das der Explorer beim Wiederverbinden Probleme hat.

Steht beim Verbinden der Netzlaufwerke die Richtlinie auf "Ersetzen"? Falls ja, ändere das mal auf "Aktualisieren"

Welches .Net ist installiert? Welches Betriebssystem wird eingesetzt?

Für die ganz faulen, denen auch eine GUI und CMD zu viel ist, hab hier auch noch was im Scriptcenter gefunden. https://gallery.technet.microsoft.com/scriptcenter/Automate-patch-injection-9f2ea0df

Das macht man doch alles über die cmd

Das steuerst du über die Unattended.xml im Image.

Geh mal in die "Eigenschaften" von "NorthAmerica" oder "Germany". Dort findest du Subnetz(e) des jeweiligen Standortes. Sind die jeweiligen eingetragen?