Automatische Updates auf Windows Server 2012R2

[HerrPaschulke 10]

Hi,

 

wir haben bei uns festgestellt dass die automatischen Updates die bei uns über unseren WSUS Server kommen in 2012 anders verarbeitet werden als noch zu 2008er Zeiten. Problem dabei ist dass wenn man sich mit einem User per RPD auf dem Server anmeldet eine Meldung kommt dass noch Updates zum Reboot anstehen. Unter 2008/R2 konnte man das einfach so im System Tray stehen lassen. Unter 2012/R2 wird einfach ein Reboot durchgeführt. Unsere Server verarbeiten die Automatischen Update vollautomatisiert und starten zu einer geplanten Zeit am Wochenende (alles über Gruppenrichtlinien geregelt). Das funzt so nicht mehr unter 2012.

 

Ich habe diese Option hier gefunden die das offensichtlich verhindern soll aber so wie das da steht führt er keinen Neustart durch wenn ein Benutzer angemeldet ist. Auch wenn der User von der RDP sitzung getrennt ist? Wir melden uns nie von unseren Servern ab sondern trennen uns meistens. Wie habt ihr das bei euch beregelt?

 

 

[NorbertFe 1.799]

Ach das bemerkt man jetzt erst? ;) Was ist denn der Wunsch, wie es funktionieren soll?

[Sunny61 772]

Problem dabei ist dass wenn man sich mit einem User per RPD auf dem Server anmeldet eine Meldung kommt dass noch Updates zum Reboot anstehen. Unter 2008/R2 konnte man das einfach so im System Tray stehen lassen. Unter 2012/R2 wird einfach ein Reboot durchgeführt. Unsere Server verarbeiten die Automatischen Update vollautomatisiert und starten zu einer geplanten Zeit am Wochenende (alles über Gruppenrichtlinien geregelt). Das funzt so nicht mehr unter 2012.

Tja, es gibt so manches neues in neuen Betriebssystemen. Weshalb beschäftigt man sich nicht ein paar Tage vorher schon mit neuen Systemen?

 

Wenn ihr die Server auch mit angemeldeten Benutzern neu starten lassen wollt, wäre ein Einzeiler vermutlich das richtige:

 

shutdown -r -t 10 -f

 

Ich habe diese Option hier gefunden die das offensichtlich verhindern soll aber so wie das da steht führt er keinen Neustart durch wenn ein Benutzer angemeldet ist. Auch wenn der User von der RDP sitzung getrennt ist? Wir melden uns nie von unseren Servern ab sondern trennen uns meistens. Wie habt ihr das bei euch beregelt?

Was ist der Unterschied zwischen getrennt und abgemeldet? Wenn in den Einstellungen von angemeldet die Rede ist, dann heißt es nicht getrennt. Entweder sauber abmelden oder per shutdown neu starten.

[HerrPaschulke 10]

Trennen = bei einer RDP Sitzung nur auf das X im Fenster (rechts oben) klicken, die Applikationen die geöffnet sind laufen weiter die Session ist "getrennt"

Abmelden = Start => Abmelden, die Applikationen werden geschlossen wenn man das nicht vorher schon vorbildlicherweise getan hat

 

Es gibt bei uns drei Arten wie wir Updates installieren.

 

1. Bei ca. 10 % der Server manuell mit dieser Einstellungen über GPO:

 

2. Bei ca. 80 % der Server voll-automatisiert mit dieser Einstellung über GPO:

Das ganze gibt es auch noch für mehrere Zeitpunkte an einem Wochenende

 

3. Bei ganz wenigen Server installieren wir gar keine Updates (meistens DMZ bzw. isoliert), da die Applikationen darauf keine vertragen.

 

Das ganze funktioniert bis 2008 R2 astrein schon seit Jahren.

 

Für die voll-automatisierte Variante kommt bei 2012 hinzu dass die geplanten Reboots wohl nicht laufen und erst beim Login eines Admins an so einem Server mit 15 Minuten aktiviert werden. Das würde ich gerne beregeln. Hoffe ich habe mich einigermassen verständlich ausgedrückt :D

bearbeitet 23. März 2016 von HerrPaschulke

[Sunny61 772]

Mir brauchst Du den Unterschied zwischen getrennt und abmelden nicht erklären, ich kenne ihn.

 

Bezüglich Reboot habe ich dir geschrieben was Du umstellen/einstellen mußt. Umsetzen mußt Du es, ich hab das Problem nicht.

[Dunkelmann 96]

Moin,
 

Ich habe diese Option hier gefunden die das offensichtlich verhindern soll aber so wie das da steht führt er keinen Neustart durch wenn ein Benutzer angemeldet ist. Auch wenn der User von der RDP sitzung getrennt ist? Wir melden uns nie von unseren Servern ab sondern trennen uns meistens. Wie habt ihr das bei euch beregelt?

Ich würde diese Arbeitsweise überdenken.
Sitzungszeitlimits und ggf. ein kleines PoSh zum Abmelden der restlichen Sessions vor den Updates sind kein Hexenwerk.

[HerrPaschulke 10]

weiss nicht was ein "shutdown -r -t 10 -f" mir bringen soll. Ich möchte nicht das ein Server den Neustart mit 15 Minuten Laufzeit aktiviert wenn ein User/Admin sich per RDP anmeldet. Ich möchte das er - wie es in der GPO vorgegeben wird - am Wochenende automatisiert neu startet aber nur wenn auch Updates installiert wurden. So wie es bei 2008 R2 wunderbar klappt.

[NorbertFe 1.799]

Ja und? Dann konfigurier halt den update Agent korrekt. Dazu gibt's die ganzen neuen policies doch.

 

http://blogs.technet.com/b/wsus/archive/2013/10/08/enabling-a-more-predictable-windows-update-experience-for-windows-8-and-windows-server-2012-kb-2885694.aspx

 

Und Sitzungen trennen sind eigentlich aus Sicherheitsgründen schon etwas was nicht genutzt werden sollte.

bearbeitet 23. März 2016 von NorbertFe

[Sunny61 772]

weiss nicht was ein "shutdown -r -t 10 -f" mir bringen soll. Ich möchte nicht das ein Server den Neustart mit 15 Minuten Laufzeit aktiviert wenn ein User/Admin sich per RDP anmeldet. Ich möchte das er - wie es in der GPO vorgegeben wird - am Wochenende automatisiert neu startet aber nur wenn auch Updates installiert wurden. So wie es bei 2008 R2 wunderbar klappt.

Ein shutdown -r -t 10 -f um 04.00 Uhr in der Früh per Taskplaner bewirkt einen Neustart des Systems um 04.00 Uhr. Genauso wie Du es im GPO definiert hast.

[HerrPaschulke 10]

ich wollte es irgendwie nicht wahrhaben dass MS in dem Umfeld wirklich so schlecht geworden ist aber was solls => back to the roots ... ich richte einen Task per GPO speziell für 2012 ein der ein shutdown -r -f -t xx durchführt, ich lach mich kaputt :D :jau: :D  :nene:  :schreck:  :thumb2:  

 

Wie die Kollegen im andern Forum geschrieben haben es hat jetzt seit 8-10 Jahren einwandfrei funktioniert

 

https://social.technet.microsoft.com/Forums/de-DE/a98fe0a5-d6fc-4cb9-8ca9-d50c105b19dc/server-2012-verhalten-bei-windows-updates-ber-wsus?forum=windowsserver8de

 

https://social.technet.microsoft.com/Forums/de-DE/f29c77e1-5837-4893-a2f0-015c20a36cb7/windows-2012-update-schlechter-witz?forum=windowsserver8de

 

https://social.technet.microsoft.com/Forums/windowsserver/en-US/49671250-090a-454e-897d-2c450415e7a5/server-2012-and-windows-update-schedule-only-option-is-daily-installation?forum=winserver8gen

[NorbertFe 1.799]

Ich versteh dich immer noch nicht. Deine Policy sagt: Führe keinen automatischen Neustart durch, wenn jemand angemeldet ist. Also mußt du die Policy deaktivieren. Falls ich was vollkommen verpaßt hab, dann liegts vielleicht an deiner Problembeschreibung, die sich eher schwer "zusammenreimen" läßt.

 

Bye

Norbert

[HerrPaschulke 10]

Wo soll den in den Optionen der WSUS GPO die ich per Screenshots hier mitgeteilt habe stehen dass kein Reboot durchgeführt werden soll wenn Benutzer angemeldet sind?

Die gleiche GPO verhält sich ab 2012 anders.

bearbeitet 30. März 2016 von HerrPaschulke

[NorbertFe 1.799]

Grmpf ja mit dieser Aussage läßt sich jetzt gleich viel besser analysieren. Bitte, dann hast du ja deine Lösung.

 

 

Achso hier!

http://www.pic-upload.de/view-30111284/hc_2962.jpg.html

 

Oder war das nicht von dir?

 

Bye

Norbert

 

PS: Alternativ steht immer noch die Möglichkeit im Raum, dass ich dich aufgrund deiner Schilderungen nicht verstehe.

bearbeitet 30. März 2016 von NorbertFe

[HerrPaschulke 10]

Das haben wir aktiviert nachdem festgestellt wurde dass es bei 2003/2008 ein anderes Verhalten gibt wie bei 2012. temporär versucht. Ich verstehe nicht was du nicht verstehst :-)

[NorbertFe 1.799]

Wenn du das AKTIVIERST, dann ist mir irgendwie klar, dass kein automatischer Neustart durchgeführt wird. Das ist für mich logisch. Für dich offenbar nicht. ;)