Jump to content

Server fordert nicht genehmigte und ersetzte, aber nicht die genehmigten, ersetzenden Updates an


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich habe das nun mal testweise mit den kummulativen IE Updates durchgespielt.

KB4074736 ersetzt die Updates KB4056568, KB4018271, KB4014661 und KB4012204

Die Updates KB4056568, KB4018271, KB4014661 und KB4012204 sind NICHT installiert. Das Update KB4074736 wird trotzdem nicht angefordert. "Windows ist auf dem neusten Stand".

/reportnow durchgeführt. Statusbericht und Letzter Kontakt auf der WSUS Konsole auf aktuellem Stand. Nochmal nach Updates suchen lassen, Es wird wieder nichts gefunden.

Sollte jetzt nicht das Update KB4074736 gefunden werden?

 

Viele Grüße

Der Admin

Link zu diesem Kommentar

Hast ein manuelles wuauclt.exe /reportnow /detectnow in der cmd durchgeführt? Ansonsten dauert es eine Weile (je nach eingestelltem Zyklus ~1 Tag) bis das auch tatsächlich dem WSUS gemeldet und die Daten abgeglichen sind. Ist alles immer etwas träge wenn es nicht manuell angestossen wird. Und selbst dann kann es etwas dauern bis alles greift.

 

Eine Aussnahme gibt es mit der ganzen Ablehnerei meines erachtens. Ich genehmige z.B. nur die Sicherheitsupdates über alle Clients. Das "Security und Qualityrollup dagegen bekommt nur ein Teil der Clients in eigenen Gruppen. Die normalen Updates genehmige ich selektiv für alle Clients. Das heisst die Clients würden sie nicht bekommen, wenn das Quality Rollup genehmigt wurde und jene Updates abgelehnt werden.

--> Etwas unsicher bin ich, wie WSUS auf diese Situation reagiert wenn Updates durch neuere Updates ersetzt wurden und ein neuer Client diese wieder anfordert, das ersetztende Update aber nur für eine andere Computergruppe genehmigt wurde und nicht für alle. Würde mich auch mal interessieren ob es dann automatisch abgelehnt wird oder nicht. Ich meine - weiss es aber nicht mit Sicherheit - dass es wieder auf "Nicht genehmigt" gesetzt wird. Habe es zumindest schon erlebt, dass Updates wieder angezeigt wurden obwohl sie vorgängig mal abgelehnt wurden. Einen genauen Beschrieb habe ich dazu leider noch nicht gesehen.

 

Würde Dir übrigens ein Wartungsscript ans Herz legen welcher Dir die Datenbank per Task (Aufgabenplanung) aufräumt und sowas automatisch erledigt. Findet man auch im Link der bereits als Lektüre gepostet wurde.

 

 

Wie auch immer, wenn mir irgendwas suspekt ist, setze ich immer zuerst den WU-Client komplett zurück und lasse ihn neu mit WSUS syncen. Wie das geht stand alles mal auf der MS-Site, wurde aber kürzlich durch einen doofen Klick-Assistenten ersetzt der leider nur noch die Hälfte erzählt und insbesondere den wichtigen Kram einfach weglässt. Wenn es dann immer noch komisch ist, dann fange ich mit der weiteren Fehlersuche an. Zurücksetzen geht folgendermassen:

net stop wuauserv

net stop bit

net stop cryptsvc

net stop appidsvc

löschen von SoftwareDistribution in System 32 (Del "%systemroot%\system32\SoftwareDistribution"

löschen von Downloadmanager Files: ( Del "%ALLUSERSPROFILE%\Anwendungsdaten\Microsoft\Network\Downloader\qmgr*.dat" ) --> Musst Dir evtl. erst Zugriff geben

löschen von Catroot2: (Del "%systemroot%\system32\catroot2"

dann dienste wieder starten und ein wuauserv /reportnow /detectnow ausführen

dann nach ein paar minuten die Updates suchen lassen.

 

Gibt noch das Kuriosum, dass der Client Updates zieht aber nicht in WSUS erscheint. Dann läuft er in der Regel unter einer ID die schon ein anderer Client hat, wie auch immer das geht. Dann musst zusätzlich die WU client ID in der Registry des Clients löschen, am besten windows neu starten, und ein wuauserv /resetauthorization und anschliessend wuauserv /reportnow /detectnow durchführen.

Link zu diesem Kommentar

Da sagt Microsoft einges dazu:

 

https://support.microsoft.com/de-de/help/4074736/cumulative-security-update-for-internet-explorer

 

Wichtig 

  • Die im Sicherheitsupdate 4074736 für Internet Explorer enthaltenen Korrekturen sind auch im monatlichen Sicherheits- und Qualitätsrollup vom Februar 2018 enthalten. Die hier genannten Korrekturen werden installiert, wenn Sie das Sicherheitsupdate für Internet Explorer oder den monatlichen Sicherheits- und Qualitätsrollup installieren.

  • Wenn Sie andere Updateverwaltungsprozesse als Windows Update verwenden und die Bereitstellung aller als Sicherheitsupdate klassifizierten Updates automatisch genehmigen, werden sowohl dieses Sicherheitsupdate 4074736 für Internet Explorer, das reine Sicherheitsupdate vom Februar 2018 als auch der monatliche Sicherheits- und Qualitätsrollup vom Februar 2018 bereitgestellt. Überprüfen Sie Ihre Regeln für die Bereitstellung von Updates, um sicherzustellen, dass die gewünschten Updates bereitgestellt werden.

  • Dieses Sicherheitsupdate für Internet Explorer gilt nicht für die Installation auf einem Computer, auf dem der monatliche Sicherheits- und Qualitätsrollup oder die Vorschau des monatlichen Qualitätsrollups vom Februar 2018 (oder aus einem späteren Monat) bereits installiert ist, da diese Updates bereits sämtliche Korrekturen aus diesem Sicherheitsupdate für Internet Explorer enthalten.

  • Wenn Sie nach der Installation dieses Updates ein Language Pack installieren, müssen Sie dieses Update erneut installieren. Daher wird empfohlen, alle benötigen Language Packs vor diesem Update zu installieren. Weitere Informationen finden Sie unter Hinzufügen von Language Packs zu Windows.

 

Da dürfte dann eines von zutreffen in Deinem Fall ......

 

 

Grüsse

 

Gulp

bearbeitet von Gulp
Link zu diesem Kommentar

Hallo,

danke Weingeist. Das wäre mein nächster Schritt gewesen, den Client (in dem Falle ein 2k8R2 Server) zurückzusetzen.

/reportnow /detectnow habe ich schon mehrmals ausgeführt und auch jeweils auf der Konsole geprüft, ob die Meldung aktuell ist.

 

Danke Gulp, fürs Nachschauen. Jedoch wie schon in meinen vorherigen Posts erwähnt, werden auch die Februarupdates NICHT angefordert. obwohl er sie anfordern müsste.

Genau das hat mich ja überhaupt erst zur Frage gebracht, ob ersetzte Updates wirklich gefahrlos abgelehnt werden können oder ob doch eine gewisse Abhängigkeit zum ersetzenden Update besteht.

 

Im Falle des IE Updates hat das jetzt schonmal nicht funktioniert.

Ich spiele das Szenario jetzt mal noch mit den Sicherheits und Qualitätsrollups durch (ablehnen statt nicht genehmigt) und wenn das auch nichts hilft, setzte ich wirklich den Client zurück.

 

Viele Grüße

Der Admin

Link zu diesem Kommentar

Wenn nun der Client die Updates nicht anfordert, dann erfüllt er entweder nicht die Vorraussetzungen für das Update oder aber es findet sich ein Problem in den WindowsUpdate Logs des Clients. Das dürfte aber aus meiner Sicht dann wenig bis gar nichts mit den ersetzenden Updates zu tun haben.

 

Für bestimmte Updates, siehe nur die letzten Specte/Meltdown Updates, sind oftmals entweder verpflichtende Vorbedingungen, sei es ein Registry Kex, eine bestimmte Version einer Software oder oder notwendig, das muss man im Einzelfall ohnehin klären.

 

Da aber auch Microsoft in der letzten Zeit schonmal das ein oder andere verbaselt hat, gibt es natürlich immer wieder auch hier Raum für Fehler, im Allgemeinen kann man aber dennoch sagen, wenn der WSUS ein Update ausweist, das ein anderes ersetzt, so braucht man immer nur das letzte also das ersetzende zu genehmigen und das oder die zu ersetzenden Updates kann man ruhigen Gewissens dann ablehnen. Wie schon mal gesagt, selbst die WSUS Serverbereinigung macht das so.

 

Grüsse

 

Gulp

Link zu diesem Kommentar

Kurzer Zwischenstand:

Updates abgelehnt -> Keine Updates erforderlich -> "Status grün"

Nichtmal das Sicherheits und Qualitätsrollup vom Februar möchte er haben.

 

Klar müssen für manche Updates bestimmte Bedingungen erfüllt werden.

Es kann aber nicht sein, dass ich ein IE11 frisch aufpiele und KEINERLEI Updates dafür benötigt werden.

Logfile weisst keine Errors auf, das hatte ich schon gecheckt.

 

Jetzt setz ich dat Dingen mal zurück und schau was passiert. Ich werde auch mal noch ein 2k8 Server parallel dazu aufsetzen um zu prüfen, ob der das gleiche Verhalten an den Tag legt.

Link zu diesem Kommentar

Es wäre nicht das erste Mal, dass im WSUS eine Abhängigkeit falsch definiert ist und zu solchen Situationen führt. Bei sowas hilft dann eben "als Gegentest" WU, was du aber aus welchen Gründen auch immer nicht nutzen willst.

Gabs (oder gibt's) bspw. beim KB3159706 welches eine Abhängigkeit zu KB2919442 die aber im WSUS irgendwie fehlt.

 

Bye

Norbert

Link zu diesem Kommentar
vor 2 Minuten schrieb Gulp:

Uh hups .... aber nur der mit den Zähnen ..... hihi

 

:thumb1:

 

und Norbert stimme ich da voll und ganz zu!

 

 

Cheers

 

Gulp

Wenn du dem zustimmst, frage ich mich, wie du im Post vorher behaupten kannst, dass ersetzte Updates gefahrlos abgelehnt werden können, obwohl du offensichtlich weißt, dass es nicht so ist.

 

Aber sei's drum...habe jetzt online nach Updates suchen lassen: Er findet Updates, die auf dem WSUS freigegeben sind er aber von dort nicht haben möchte. Lustigerweise aber auch nicht das "2018-02 Monatliche Sicherheitsqualitätsupdate...", sondern er möchte "2017-12 Monatliche Sicherheitsqualitätsupdate..." haben. Selbst das ist auf dem WSUS freigegeben....will er von dort aber nicht.

Link zu diesem Kommentar
vor 46 Minuten schrieb DerAdmin:

Wenn du dem zustimmst, frage ich mich, wie du im Post vorher behaupten kannst, dass ersetzte Updates gefahrlos abgelehnt werden können, obwohl du offensichtlich weißt, dass es nicht so ist.

Weil das die Ausnahme ist. Oder glaubst du, ich suche hier jede Abhängigkeit raus? Das oben war eben ein Beispiel, welches ich gerade parat hatte und zeigt, dass es eben zu Fehlern kommen kann. Das heißt aber nicht, dass es ständig der Fall ist. ;)


Bye

Norbert

Link zu diesem Kommentar

Bei der Onlinesuche findet er folgende Updates...in Klammer meine Anmerkungen dazu):

KB2978120 (wird von KB4041090 ersetzt, KB4041090 ist freigegeben wird aber nicht angefordert -> doch wieder ein ersetztes Update genehmigen)

KB3122648 (wird von KB4055269 ersetzt, KB4055269 ist freigegeben wird aber nicht angefordert -> doch wieder ein ersetztes Update genehmigen)

KB4052978 (wird von KB4074736 ersetzt (das war ein Update aus meinem Beispiel vorhin, welches ich auf Anraten abgelehnt habe) -> doch wieder ein ersetztes Update genehmigen)

KB4054518 (wird von KB4056894 ersetzt -> KB4056894 wird von KB4074598 ersetzt, wird aber nicht angeboten -> doch wieder ein ersetztes Update genehmigen)

KB4049016 (wird von KB4055532 ersetzt -> ist abgelaufen, KB4076492 sollte KB4055532 ersetzen (freigegeben), wird nicht angeboten ->doch wieder ein ersetztes Update genehmigen)

KB4041083 (wird von KB4055532 ersetzt -> ist aber abgelaufen -> doch wieder ein ersetztes Update genehmigen)

 

Das heißt also konkret, dass man nicht einfach nach der Ersetzung gehen kann. Zumindest fällt man dann auf die Nase, wenn zu einem späteren Zeitpunkt eine Maschine dazu kommt, die nicht den ganzen Updateverlauf mitgemacht hat.

Für mich heißt das, dass ich mit dem Weg, ersetzte Updates nicht abzulehnen sondern nur auf "Nicht genehmigt" zu stellen, besser beraten bin und diese im Zweifelsfall auch freizugeben.

 

Habe ich jetzt wieder einen Denkfehler?

 

Gruß

Der Admin

Link zu diesem Kommentar
vor 31 Minuten schrieb DerAdmin:

Das heißt also konkret, dass man nicht einfach nach der Ersetzung gehen kann. Zumindest fällt man dann auf die Nase, wenn zu einem späteren Zeitpunkt eine Maschine dazu kommt, die nicht den ganzen Updateverlauf mitgemacht hat.

Korrekt. Es sollte nicht so sein, aber der Hinweis auf WU bei einem "NEUDEPLOYMENT" kam ja nicht, weil wir alle nichts zu tun hätten. ;)

vor 31 Minuten schrieb DerAdmin:

Für mich heißt das, dass ich mit dem Weg, ersetzte Updates nicht abzulehnen sondern nur auf "Nicht genehmigt" zu stellen, besser beraten bin und diese im Zweifelsfall auch freizugeben.

Dann kannst sie aber auch einfach auf Genehmigt stehen lassen. ;)

Link zu diesem Kommentar
vor 1 Stunde schrieb DerAdmin:

Wenn du dem zustimmst, frage ich mich, wie du im Post vorher behaupten kannst, dass ersetzte Updates gefahrlos abgelehnt werden können, obwohl du offensichtlich weißt, dass es nicht so ist.

 

Aber sei's drum...habe jetzt online nach Updates suchen lassen: Er findet Updates, die auf dem WSUS freigegeben sind er aber von dort nicht haben möchte. Lustigerweise aber auch nicht das "2018-02 Monatliche Sicherheitsqualitätsupdate...", sondern er möchte "2017-12 Monatliche Sicherheitsqualitätsupdate..." haben. Selbst das ist auf dem WSUS freigegeben....will er von dort aber nicht.

Nenn es jahrelange Erfahrung oder was auch immer, wenn ich was behaupte ........ musst mir ja auch nicht glauben. Wie bereits mehrfach erwähnt macht es der WSUS bei der eigenen Serverbereinigung genauso und der hat ja erst recht keine Ahnung von sich.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...