Jump to content
Emmermacher

Server haben Eigenleben bei Installation von Updates

Recommended Posts

Hallo.

In meiner Citrix-Farm (Xenapp 7 Build 1912, Windowsserver 2016) haben einige Maschinen ein eigenleben bei Installation von Updates.

Im "Normalbetrieb" sind per GPO Automatische Updates deaktiviert. Zum Installieren von Updates habe ich eine OU erstellt, in der dann die Updates aktiviert werden.

Einige Maschinen halten sich nicht an diese GPO. Hier werden Updates automatisch installiert. Darunter auch solche, die vom WSUS nicht für diese Gruppe freigegeben sind.

Aktuell werde ich wohl ein paar Maschinen komplett aus dem Backup zurück holen müssen. Hier wurde das Service Stack Update vom April 2020 installiert. Das lässt sich ja leider nicht deinstallieren und führt dazu, das sich diese nicht starten lässt.

 

Bei den betroffenen Servern hatte ich auch schon der Registry geschaut, ob da andere Einstellungen vorhanden sind. Hier war alles so, wie die GPO eingestellt ist. Was hilft hier? Löschen den SoftwareDistribution Ordners?

Im normalen Betrieb habe ich jetzt noch zusätzlich "Automatische Updates sofort installieren" deaktiviert.

 

Vielen Dank im Voraus  für Eure Antworten.

 

LG

 

Dirk Emmermacher

Share this post


Link to post
Share on other sites

Hi,

 

hier müsste man wissen, was in deinen GPOs bzgl. Windows Update konfiguriert ist und was davon auf den Server ankommt. Ich vermute die nicht vom WSUS freigegeben Updates kommen bei dir durch "Dual Scan". Die Installation evtl. durch (unfreiwillig genutzte) Wartungszeitpläne.

 

Gruß

Jan

Edited by testperson

Share this post


Link to post
Share on other sites

Hallo Jan.

Danke für die Info. Der Wartungsplan ist eingeschaltet. In den GPO habe ich unter

Computerkonfiguration ->Richtlinien -> Administrative Vorlagen -> Windows Komponenten -> Wartungzeitplan die Einstellung "Richtlinie für die Aktivierung der automatischen Wartung" gefunden.

Aktuell ist diese nicht konfiguriert. 

 

Für deaktiviert steht hier:

Wenn Sie diese Richtlinieneinstellung deaktivieren oder nicht konfigurieren, wird die Aktivierungseinstellung in der Systemsteuerung unter "Sicherheit und Wartung > Automatische Wartung" angewendet.

 

Bei mir finde allerdings keine Einstellung "Automatische Wartung" in den GPOs. Mein AD ist noch auf dem Stand Server 2008 R2 .

 

So, wie es für mich aussieht, kann man automatische Updates nicht aus dem Wartungsplan heraus nehmen. Schade...

 

LG

 

Dirk

Share this post


Link to post
Share on other sites
vor 32 Minuten schrieb Emmermacher:

Bei mir finde allerdings keine Einstellung "Automatische Wartung" in den GPOs. Mein AD ist noch auf dem Stand Server 2008 R2 .

Installiere die Gruppenrichtlinienverwaltung auf einem Win 10 oder Server 2019 / 2016 (und schiebe die entsprechenden C:\Windows\PolciyDefinitions ins \\%userdnsdomain%\SYSVOL\%userdnsdomain%\Policies\PolicyDefinitions).

 

Share this post


Link to post
Share on other sites

Hallo Jan.

Die Admx-Dateien habe ich jetzt aktuell (Administrative Templates (.admx) for Windows 10 May 2019 Update v3). in C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions. In C:\Windows\Policydefinitions allerdings nicht. Hier gab es beim Kopieren ein Access denied. 

Den Editor habe ich neu gesatartet. Hier sind keine neuen Optionen hinzu gekommen.

 

LG

 

Dirk

Share this post


Link to post
Share on other sites

Server 2016

Aktuell haben wir auch noch w2k8 R2 DCs in Betrieb. Deswegen auch die Funktionsebene 2008 R2. Die alten DCs fliegen demnächst raus.

Betriebsmaster ist ein w2k8 R2

Edited by Emmermacher

Share this post


Link to post
Share on other sites

Hi @Sunny61. Die neuen ADMX. Dateien hab ich kontrolliert. Die "Sprachordner" De-de und en-US hatte vor einspielen der neuen Datei kopiert. Diese sind repliziert  worden. Die admx-Dateien in PolicyDefinitions nicht ?!? Das sollte ja hier auch automatisch passieren.

Share this post


Link to post
Share on other sites

Habe mal dcdiag auf allen Servern laufen lassen. Hier gibt es überall Fehlermeldungen :( . Synchron ist in den Policydefinitions nichts mehr. Das wird ein Heidenspaß, das zu reparieren...

Share this post


Link to post
Share on other sites

Häufig findet sich bei Replikationsproblemen neben dem Ansatz auch die Lösung im Eventlog unter "Anwendungs- und Dienstprotokolle" und dann idealerweise bei "DFS Replikation" oder "File Replication Service".

Share this post


Link to post
Share on other sites

C:\Windows\PolicyDefinitions ist - und war schon immer - eine rein lokale Angelegenheit des Computers, da wurde nie was repliziert... Der "Access denied" ist bekannt, wenn Du das aktualisieren willst, hilft takeown.

Die einfachere Variante ist der Central Store, nur wird der oft vergessen aktuell zu halten.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...