Jump to content

Win2k3: Automatischen Neustart bei Updates verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich habe mal wieder das leidige Problem eines automatischen Neustarts, nachdem bei Windows Update nach Zeitplan automatisch Updates installiert wurden.

 

Ein WSUS läuft auf einem Win2k3 AD-Server und versorgt die WinXP Clients sowie einen weiteren Win2k3 Server mit Updates, die automatisch nach Zeitplan installiert und über GPO konfiguriert werden.

In den GPO habe ich die Option "Keinen automatischen Neustart für geplante Updates, wenn Benutzer angemeldet ist" aktiviert.

Allerdings starten die beiden Server nach einer geplanten Updateinstallation dennoch innerhalb der 15 Minuten nach der Installation (mit entsprechendem Ereignislogeintrag) neu.

Wohl weil kein Benutzer angemeldet ist und dann die GP nicht greift?

 

Habt ihr eine Idee?

Link zu diesem Kommentar
"...wenn Benutzer angemeldet ist"

 

Richtig geraten!

 

Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes:

 

Das bedingt ein zweites GPO mit den entsprechenden Einstellungen für Windows Update sowie eine OU "Server". Die OU "Domain Controllers" existiert ja schon, und eine OU "Computer" hast Du wahrscheinlich bereits ebenfalls erstellt. Du verknüpfst somit das GPO mit der Update-Option 3 auf Domänenebene (deckt untergeordnete OU "Server" und "Domain Controllers" ab) und das GPO mit der Option 4 für die automatische Installation von Aktualisierungen an die OU "Computer".

Link zu diesem Kommentar
Richtig geraten!

 

Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes:

 

Hm, das hatte ich fast vermutet, es gibt also keinen Workaround für eine automatische Installation aber ohne automatischen Neustart?

Die Server werden sowieso regelmäßig neugestartet, deswegen wäre das kein Problem.

Link zu diesem Kommentar
Hm, das hatte ich fast vermutet, es gibt also keinen Workaround für eine automatische Installation aber ohne automatischen Neustart?

Die Server werden sowieso regelmäßig neugestartet, deswegen wäre das kein Problem.

 

Nein, und das hat auch einen Grund. Der Zustand, der nach dem Installieren von Updates herrscht ist allgemein unsupported, bis du den Server/PC gebootet hast. Bei einem PC geht man im Allgemeinen davon aus, dass er üblicherweise etwa einmal pro Tag bootet. Beim Server würde sich dieser Zeitraum des unsupporteten Zustands aber auf unbestimmte Zeit erstrecken, so dass es diese Option wahrscheinlich aus diesem Grund nicht gibt. Ich finde nur grad die Technet Quelle nicht bzgl. des Supports, bzw. des Nicht-Supports. ;)

 

Bye

Norbert

Link zu diesem Kommentar

du hast ja einen wsus im einsatz .... da werden die server eh nur gepatcht und neu gestartet wenn du im wsus updates zur installation genehmigst ... das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!?

 

ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen ...

Link zu diesem Kommentar
das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!?

 

Und mit dem WSUS regelst Du auch die korrekte Abschalt- und Einschalt-Reihenfolge der Server, fals Du mehr als einen davon hast (vielleicht ein paar Hundert, möglicherweise verteilt über einige Dutzend Standorte)? Und wie definierst Du das Wartungsfenster per WSUS zeitgenau, damit auch die SLA übers Jahr eingehalten werden?

 

ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen.

 

Das macht hoffentlich ohnehin niemand. :rolleyes: Sonst könnte ich die Geschichte vom Elektronikhersteller erzählen, der vor einigen Jahren die ganze Produktion einer Woche schrotten musste, nachdem seine mehrere Dutzend Mess- und Kalibriercomputer (Windows XP Professional SP2) sich an einem per WSUS automatisch genehmigten - also intern nie getesteten - Patch verschluckt hatten.

Link zu diesem Kommentar

Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind.

 

Ausserdem sollte man nie direkt auf einem Server arbeiten, es sei denn im Notfall oder weil es absolut unumgänglich ist. Es gibt ja so viele Konsolen, die man auf administrativen Verwaltungsstationen installieren und nutzen kann. Man ärgert dann auch nicht andere Kollegen, weil die zuerst Sitzungen zwangsabmelden müssen, wenn sie tatsächlich und begründet direkt auf die Server müssen.

Link zu diesem Kommentar
Er verbraucht Ressourcen. Unnötigerweise. Abgesehen davon nervt es einfach nur, wenn man mehr als einen Admin hat.

Der Beitragsersteller hat nach einem Workaround gefragt, den hat er bekommen. Hab ja nicht behauptet, dass das zu empfehlen ist. Funktioniert doch aber. Wenn er so eine seltsame Anforderung hat, dann muss er halt Abstriche in Kauf nehmen. Er kann ja wählen zwischen keiner Lösung und einer schlechten ;)

 

Recht habt ihr natürlich. Wobei...

 

Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind.

 

...Sicherheitslücken gibt es ja immer irgendwo.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...