MS Updates -> ScheduledInstallDay wird ignoriert

[Ebenezer 13]

Hallo, ich hab hier ein paar Windows 2019 denen ich via GPO u.a. ScheduledInstallDay = 7 (Samstag) zugewiesen habe. Das kommt auch so in der Registry an, aber installiert wird immer sofort am Patchday (zweiter Dienstag). Hat Jemand eine Idee? Danke! Nico

[Sunny61 772]

Das hab ich bei jedem W10 schon festgestellt, und W2019 ist ja nichts anderes. Findet auch der Reboot gleich anschließend statt? Hast Du die Updates denn auch schon vor dem Samstag freigegeben? Falls nein, dann wirst Du DualScan abschalten müssen: https://www.escde.net/blog/windows-update-richtlinien-und-dual-scan

[MurdocX 903]

Das "Warum" würde mich auch interessieren. Habe bei Server 2022 das selbe Verhalten festgestellt, ohne WSUS.

[Weingeist 157]

Kriegt man nicht so easy weg. Soweit ich das beurteilen kann, ist das auch ein Verhalten das bewusst so geschaffen wurde um ein Umdenken zu erzwingen. Ist das Oberchaos und sogar zwischen Builds und manchmal sogar Update-Rollups anders. Sprich jede Build bräuchte seine eigenen, spezifischen GPO's auf die es normal auch richtig reagiert.

 

Generell kann man sagen, dass die Einstellungen mit den Verzögerungen nur ziehen - wenn sie denn ziehen -, wenn man ebenfalls folgendes konfiguriert: "Automatisch herunterladen und gemäss Zeitplan installieren."

Auch "keine Verbindung mit Windows-Internetadressen herstellen" sollte man aktivieren, sonst kann die Übermittlungsoptimierung das auch umgehen. Gibt aber auch Builds, die dann auch vom WSUS nichts mehr holen (hat ja auch eine https-Adresse). Wie gesagt, das totale Desaster um den Admins wohl den Verleider anzuhängen, das konfigurieren zu wollen.

 

Auf Server OS - sicher in 2022 - funktioniert mittlerweile das "nur Herunterladen aber manuell installieren" wieder. Wurde wohl aufgrund zu grossem Druck wieder geändert.

 

 

Ansonsten kann bei einem Client OS gesagt werden: Irgendwie kriegt Windows die Updates immer und wenn es via der Fernwartung ist weil die Maschine durch den Hersteller eine Internetverbindung bekommen hat. 100% Gewissheit hat man nur bei abschalten von Windos Medical Service und fast noch wichtiger, dem entsprechenden Task im Taskplaner und die Deaktivierung der Übermittlungsoptimierung. UpdateDienst kann normal anbleiben. Dann z.Bsp. per Task den Service aktivieren wenn man installieren möchte. Dumm nur, das das Zeugs teilweise TI-Rights braucht die man nicht so ohne weiteres bekommt.

--> Auf Industriemaschinen biege ich daher die relevanten Services auf eine eigene svchost.exe um (Hardlink) und aktiviere/Deaktiviere Updates via einer Firewallrule indem ich die Diensteigene svchost erlaube oder blockiere. Auf normalen Clients limtitiere ich die Verbindung auf den WSUS, somit kann er nicht ins Internet. Funktioniert 1A.

Mit Firewall-Rules kann man auch mit minimalem Aufwand das Update zum gewünschtem Zeitpunkt angestossen werden ohne gross Services an und abzuschalten. Nur der Task des Medicalservices muss ausbleiben, der korrigiert sonst die svchost.exe wieder auf das original. Auf Servern/Industriemaschinen deaktiviere ich die Übermittlungsoptimierung vollständig und ziehe die Updates mit dem Powershell-Script rein (Get-WindowsUpdate)

 

Lässt sich mit Tasks auch recht Dirty automatisieren ;)

[Ebenezer 13]

Am 29.4.2023 um 20:14 schrieb Sunny61:

Das hab ich bei jedem W10 schon festgestellt, und W2019 ist ja nichts anderes. Findet auch der Reboot gleich anschließend statt? Hast Du die Updates denn auch schon vor dem Samstag freigegeben? Falls nein, dann wirst Du DualScan abschalten müssen: https://www.escde.net/blog/windows-update-richtlinien-und-dual-scan

 

Ja, der Neustart findet statt und ein WSUS ist gar nicht im Einsatz, die Systeme verbinden sich direkt mit den MS Update Server!

[Weingeist 157]

vor 19 Minuten schrieb Ebenezer:

Ja, der Neustart findet statt und ein WSUS ist gar nicht im Einsatz, die Systeme verbinden sich direkt mit den MS Update Server!

Wie gesagt GPO "Automatisch herunterladen und gemäss Zeitplan installieren." setzen und nicht nur den Zeitplan selbst. Wenn das nicht zieht, die GPO's tatsächlich auch ausgeführt werden bleibt Dir nur der beschwerliche Weg den ich beschrieben habe wenn Du das wirklich steuern möchtest.

Testen musst Du es mit den aktuellen Versionen die Du einsetzt mit +- aktuellem Patchstand. z.B. manuelles installieren von März-Rollups sowie vorher .Net vom Februar aus dem Updatekatalog, dann einbinden in die Domäne und schauen ob und wie er die restlichen Updates zieht/installiert.

[Ebenezer 13]

ja, das ist klar, Option 4 (Automatisch herunterladen und laut Zeitplan installieren) ist aktiv, danke! Ich habe einige Umgebungen da klappt es seit Jahren sehr zuverlässig mit der automatischen Installation am WE. Wenn ich das grob überschlage dann ist mein Eindruck, dass es unter Windows Server 2016 funktioniert und danach nicht mehr ...

[Sunny61 772]

Zeig doch mal das komplette GPO mit all den gesetzten Einstellung, evtl. passt irgendwas nicht.

 

Ein WSUS rentiert sich IMHO schon ab 5 Clients/Servern vom Aufwand her gesehen.

[Weingeist 157]

Am 2.5.2023 um 10:02 schrieb Ebenezer:

Wenn ich das grob überschlage dann ist mein Eindruck, dass es unter Windows Server 2016 funktioniert und danach nicht mehr ...

Danach haben leider auch die Spielereien von MS an den Updatediensten angefangen. Server 2016 ist ja ein LTSC (damals noch LTSB) Build, der blieb soweit ich mich erinnere bei seinem Verhalten (kann es nicht mehr genau sagen, da ich produktiv bis zum erscheinen von 2022 nur 2012/2012R2 verwendet habe und bei W8.1 geblieben bin und dann auf die LTSC Builds gewechselt habe. Den Update-Ärger haben dann die W10 der Maschinensteuerungen verursacht (meist Pro).

 

Ansonsten bin ich bei Sunny. WSUS schafft einige Probleme Hals. Das heisst aber nicht, dass die modernen Clients dann auch wirklich nur von ihm Updates beziehen. Auch wenn mans verbietet. Das verhindert manchmal nur die Windows Firewall. ;)

[Ebenezer 13]

Hi, scheinbar existiert das Problem seit 11-2022:

 

https://community.spiceworks.com/topic/2469012-windows-server-2019-updated-and-restarted-on-the-wrong-day-regardless-of-gpo

Kann Jemand eine Patchmanagement-Lösung (nicht WSUS) für getrennte Firmen empfehlen? 

[Nobbyaushb 1.352]

vor 47 Minuten schrieb Ebenezer:

..Kann Jemand eine Patchmanagement-Lösung (nicht WSUS) für getrennte Firmen empfehlen? 

Kommt drauf an, darf es was kosten?

Gibt diverse Lösungen, kommt auch auf die Größe der Anlage an, über wieviele Server/Arbeitsplätze reden wir?

Ist ein Budget vorhanden oder in Planung?

[Ebenezer 13]

Ca. 100 virtuelle Server, Clients eventuell später. Kostenlos gibt es bestimmt keine prof. Patch Lösung...

[Sunny61 772]

vor 57 Minuten schrieb Ebenezer:

Kann Jemand eine Patchmanagement-Lösung (nicht WSUS) für getrennte Firmen empfehlen?

Evtl. kann Baramundi ja Updates. ;)

 

Wir verschieben die Server manuell in die Gruppe, in der die Updates zur Installation freigegeben sind. Am nächsten Tag sieht man auch gleich ob es noch Server gibt, die einen manuellen Reboot brauchen. Alternativ könnte man sich sicher auch etwas mit Ansible zusammen bauen.

[Weingeist 157]

Hmm dann wäre das wieder "neu" seit November. Eigentlich hat MS diesbezüglich mal ne Rolle rückwärts gemacht. Ist mir auf alle Fälle nicht aufgefallen weil ich die Updates auf Servern mit Powershell ziehe/installiere. Passt aber hervorragend in das Update-Ghetto welches sie fabriziert haben. ;)

 

Möglicherweise reagiert auch die Core Version anders als jene mit Desktop weil SystemSettings.exe fehlt und die ist massgeblich für die "Umgehung" der GPO-Einstellungen verantwortlich. Sprich sobald man in den Einstellungen die Updates öffnet, werden sofort Updates gezogen und installiert. Gerne auch vom Internet. Die GPO-Einstellungen zielen eher auf den eigentlichen, älteren Update-Client welcher sie auch respektiert.

 

Wenn man der Übermittlungsoptimierung  und SystemSettings das Verbinden auf externe Adressen blockiert, dann ziehen sie auch keine Udpates mehr vom Internet. Egal was MS am Updatedienst dreht. Sie ziehen also nur Updates die man in WSUS freigibt. Was man da wem zu welchem Zeitpunkt freigibt hat man ja selbst in der Hand. Sprich sobald man installieren möchte, gibt man frei. Am besten gestuft beginnend mit weniger heiklen Rechnern/Testrechner um Probleme zu erkennen und notfalls Update-Prozeder zu stoppen.

 

Die "Umgehung" von Windows-Einstellungen kommst auch mit einer anderen Lösung nicht bei ohne bestimmt Massnahmen zu treffen. Oder die Lösung trifft die Massnahmen selbst. Windows ist hier ziemlich "selbständig".  Auch Firmenübergreifend bekommt man technisch hin. Lizenztechnisch ist es etwas "spezieller". Früher war das mit einer Web-Version ohne Diskussion möglich. Diese Problematik bleibt aber mit jeder Lösung identisch problematisch/unproblematisch wie mit WSUS.

 

 

[Ebenezer 13]

vor 5 Stunden schrieb Sunny61:

Evtl. kann Baramundi ja Updates. ;)

 

Wir verschieben die Server manuell in die Gruppe, in der die Updates zur Installation freigegeben sind. Am nächsten Tag sieht man auch gleich ob es noch Server gibt, die einen manuellen Reboot brauchen. Alternativ könnte man sich sicher auch etwas mit Ansible zusammen bauen.

Mit Baramundi hatte ich schon vor ein paar Jahren telefoniert ... die hatten damals keine Lösung für Dienstleister ... bei der Serveranzahl brauche ich eine automatische oder zumindest halbautomatische Lösung wo ich an zentraler Stelle zum einen den Gesamtstatus sehe und auch die Updates in Ringen freigeben kann ... mit Microsoft Intune lassen sich nur Clients verwalten ... ich finde einfach keine fertige Lösung die passt...