Jump to content
Sign in to follow this  
x-ray

Win2k3: Automatischen Neustart bei Updates verhindern

Recommended Posts

Hallo,

 

ich habe mal wieder das leidige Problem eines automatischen Neustarts, nachdem bei Windows Update nach Zeitplan automatisch Updates installiert wurden.

 

Ein WSUS läuft auf einem Win2k3 AD-Server und versorgt die WinXP Clients sowie einen weiteren Win2k3 Server mit Updates, die automatisch nach Zeitplan installiert und über GPO konfiguriert werden.

In den GPO habe ich die Option "Keinen automatischen Neustart für geplante Updates, wenn Benutzer angemeldet ist" aktiviert.

Allerdings starten die beiden Server nach einer geplanten Updateinstallation dennoch innerhalb der 15 Minuten nach der Installation (mit entsprechendem Ereignislogeintrag) neu.

Wohl weil kein Benutzer angemeldet ist und dann die GP nicht greift?

 

Habt ihr eine Idee?

Share this post


Link to post
"...wenn Benutzer angemeldet ist"

 

Richtig geraten!

 

Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes:

 

Das bedingt ein zweites GPO mit den entsprechenden Einstellungen für Windows Update sowie eine OU "Server". Die OU "Domain Controllers" existiert ja schon, und eine OU "Computer" hast Du wahrscheinlich bereits ebenfalls erstellt. Du verknüpfst somit das GPO mit der Update-Option 3 auf Domänenebene (deckt untergeordnete OU "Server" und "Domain Controllers" ab) und das GPO mit der Option 4 für die automatische Installation von Aktualisierungen an die OU "Computer".

Share this post


Link to post
Richtig geraten!

 

Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes:

 

Hm, das hatte ich fast vermutet, es gibt also keinen Workaround für eine automatische Installation aber ohne automatischen Neustart?

Die Server werden sowieso regelmäßig neugestartet, deswegen wäre das kein Problem.

Share this post


Link to post
Hm, das hatte ich fast vermutet, es gibt also keinen Workaround für eine automatische Installation aber ohne automatischen Neustart?

Die Server werden sowieso regelmäßig neugestartet, deswegen wäre das kein Problem.

 

Nein, und das hat auch einen Grund. Der Zustand, der nach dem Installieren von Updates herrscht ist allgemein unsupported, bis du den Server/PC gebootet hast. Bei einem PC geht man im Allgemeinen davon aus, dass er üblicherweise etwa einmal pro Tag bootet. Beim Server würde sich dieser Zeitraum des unsupporteten Zustands aber auf unbestimmte Zeit erstrecken, so dass es diese Option wahrscheinlich aus diesem Grund nicht gibt. Ich finde nur grad die Technet Quelle nicht bzgl. des Supports, bzw. des Nicht-Supports. ;)

 

Bye

Norbert

Share this post


Link to post
Hm. Dann melde den Benutzer doch einfach nicht ab.

 

Offene Benutzersitzungen auf Servern? :shock: Überhaupt Benutzerasitzungen auf Servern ohne Notfall? :shock: Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann? ;)

Share this post


Link to post
Off-Topic:

Offene Benutzersitzungen auf Servern? :shock: Überhaupt Benutzerasitzungen auf Servern ohne Notfall? :shock: Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann? ;)


Vielleicht sind alles Terminalserver ;)

Share this post


Link to post

du hast ja einen wsus im einsatz .... da werden die server eh nur gepatcht und neu gestartet wenn du im wsus updates zur installation genehmigst ... das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!?

 

ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen ...

Share this post


Link to post
das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!?

 

Und mit dem WSUS regelst Du auch die korrekte Abschalt- und Einschalt-Reihenfolge der Server, fals Du mehr als einen davon hast (vielleicht ein paar Hundert, möglicherweise verteilt über einige Dutzend Standorte)? Und wie definierst Du das Wartungsfenster per WSUS zeitgenau, damit auch die SLA übers Jahr eingehalten werden?

 

ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen.

 

Das macht hoffentlich ohnehin niemand. :rolleyes: Sonst könnte ich die Geschichte vom Elektronikhersteller erzählen, der vor einigen Jahren die ganze Produktion einer Woche schrotten musste, nachdem seine mehrere Dutzend Mess- und Kalibriercomputer (Windows XP Professional SP2) sich an einem per WSUS automatisch genehmigten - also intern nie getesteten - Patch verschluckt hatten.

Share this post


Link to post
Offene Benutzersitzungen auf Servern? Überhaupt Benutzerasitzungen auf Servern ohne Notfall? Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann?

Wo siehst Du denn da bitte ein Problem, wenn man den Benutzer sperrt, statt ihn abzumelden?

Share this post


Link to post

Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind.

 

Ausserdem sollte man nie direkt auf einem Server arbeiten, es sei denn im Notfall oder weil es absolut unumgänglich ist. Es gibt ja so viele Konsolen, die man auf administrativen Verwaltungsstationen installieren und nutzen kann. Man ärgert dann auch nicht andere Kollegen, weil die zuerst Sitzungen zwangsabmelden müssen, wenn sie tatsächlich und begründet direkt auf die Server müssen.

Share this post


Link to post
Er verbraucht Ressourcen. Unnötigerweise. Abgesehen davon nervt es einfach nur, wenn man mehr als einen Admin hat.

Der Beitragsersteller hat nach einem Workaround gefragt, den hat er bekommen. Hab ja nicht behauptet, dass das zu empfehlen ist. Funktioniert doch aber. Wenn er so eine seltsame Anforderung hat, dann muss er halt Abstriche in Kauf nehmen. Er kann ja wählen zwischen keiner Lösung und einer schlechten ;)

 

Recht habt ihr natürlich. Wobei...

 

Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind.

 

...Sicherheitslücken gibt es ja immer irgendwo.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...