Installation von abgelehnten Updates auf WSUS wird nicht beachtet

[passt 10]

Hallo allerseits,

wir haben in unserem Netz einen WSUS aktiv, auf dem ich einzelne Updates abgelehnt habe, da sie zu Problemen geführt haben. U.a. ist nach Installation des Updates das Problem auf einem Windows Server 2016 aufgetreten. Daraufhin habe ich das Update am WSUS abgelehnt, das Update auf dem Server wieder deinstalliert und einen Neustart des Servers durchgeführt. Jetzt hat der Server aber das Update wieder heruntergeladen und stellt es zur Installation bereit. Mittels rsop.msc kann ich feststellen, dass auf diesem Server unser WSUS als interner Pfad des Update-Dienst eingerichtet ist.

 

Woran liegt das, dass das abgelehnte Update auf dem Server trotzdem bereitgestellt wurde?

Wie kann ich das bereits heruntergeladene Update wieder löschen?

Wie kann ich verhindern, dass zukünftig abgelehnte Updates trotzdem bereitgestellt werden?

 

Viele Grüße,

Peter

[NorbertFe 1.805]

vor 1 Minute schrieb passt:

Jetzt hat der Server aber das Update wieder heruntergeladen und stellt es zur Installation bereit.

Könnte Dual Scan sein. Deaktiviert man besser, wenn man einen WSUS nutzt. ;)

https://www.andysblog.de/windows-update-und-wsus-probleme-durch-dual-scan

[passt 10]

Dualscan könnte durchaus die Ursache sein. Ich habe das unerwünschte Update wieder deinstalliert und die Einstellungen entsprechend dem Link vorgenommen. Zur Sicherheit habe ich den Dienst Windows-Update deaktiviert, einen Neustart ausgeführt und dann erst das Verzeichnis SoftwareDistribution gelöscht und die Einstellungen vorgenommen. Den Regkey musste ich per Hand setzen, da unser Windows Server 2019 die passende Gruppenrichtlinie nicht kennt.

Das abgelehnte Update wird letztendlich erneut heruntergeladen und zur Installation bereitgestellt.

 

Was nun tun?

 

[Sunny61 773]

DisableDualScan auf 1 gesetzt? Falls ja, trag beim UpdateServiceUrlAlternate auch deinen WSUS ein, gpupdate /target:computer und einen Neustart durchführen. Ist nach dem gpupdate das DisableDualScan immer noch richtig vorhanden?

 

Ketzerische Gegenfrage, weshalb kommen Server direkt zu Windows Update bzw ins Internet?

[q617 1]

vor 46 Minuten schrieb Sunny61:

Ketzerische Gegenfrage, weshalb kommen Server direkt zu Windows Update bzw ins Internet?

Tja, schöne neue Cloud-Welt, das senkt die Kosten, und ist viel einfacher.

[passt 10]

UpdateServiceUrlAlternate gab es nicht als GPO-Eintrag am Windows Server, wo WUServer und WUStatusServer eingetragen werden. Ebenso fehlte die GPO zu DisableDualScan. Die entsprechenden Einträge habe ich von Hand in der Registry auf dem problematischen Server vorgenommen. Letztendlich hat es dort aber auch nicht geklappt und der Server hat sich erneut das unerwünschte Update gezogen und installiert.

 

 

[Sunny61 773]

Es gibt Einstellungen, die das Verbinden zu MS-Servern unterbinden, das kannst du auch mal einstellen. Welches OS hat denn der WSUS? Ein aktueller W2016 sollte IMHO die gen. Einstellungen alle in den Templates haben.

 

BTW: Es ist wahrscheinlich eingestellt, dass sich der Server das Update von anderen Clients/Server im Netz holt, der sog. Umgehungsmodus (100) ist passender an der Stelle. https://www.borncity.com/blog/2016/08/27/windows-10-version-1607-wsus-und-download-von-updates/

[passt 10]

Ich habe inzwischen die administrativen Templates der Gruppenrichtlinien v2.0 heruntergeladen und die oben angesprochenen Konfigurationen eingerichtet. Allerdings zieht der besagte Windows Server 2016 weiterhin das abgelehnte Update und will es installieren. Alles, was in Andysblog zu Probleme mit DualScan steht, habe ich bereits durchgeführt, aber das Update wird weiterhin runtergeladen.

[Sunny61 773]

Zeig doch mal die Einstellungen für den Server die auf dem Server ankommen. Also am besten einen Auszug aus der Registry. Da wird noch irgendwas anderes dazwischenfunken, Windows Update ist das IMHO nicht mehr.

[passt 10]

Hm, was sind denn die relevanten Bereiche der Registry, die die Windows Updates betreffen?

 

Mit RSOP.MSC kann ich mir die GPOs anzeigen lassen, die auf dem Server aktiviert wurden. Daraus kann ich aber keine Registry Datei exportieren.

OK, mit gpresult kann ich mir immerhin eine html Datei erstellen.

 

 

[Sunny61 773]

Der Downloadmodus ist falsch, es muss 100 sein, Umgehungsmodus. Weshalb stellst Du das nicht so ein? Hatte ich bereits geschrieben.

Was soll das AUPowerManagement sein? Und 4 Stunden belastet den WSUS nicht so sehr, wie 2 Stunden.

Keine Verbindungen mit Windows Update-Internetadressen herstellen fehlt auch noch.

 

BTW: WSUS-Einstellungen in der Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate und DeliveryOptimization: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization

Beides kann man in ein Regfile exportieren und den Inhalt hier im Forum als CODE-Formatiert posten. ;)

 

BTW2: Du bist sicher dass der o.g. Server in einer Gruppe ist, für die das Update NICHT freigegeben ist? Rechtsklick auf den Server > Mitgliedschaft ändern > wird hier die richtige Gruppe angezeigt? Oder mehrere?