expertenaustausch > microsoft.* > microsoft.update_services

Dennis Haschke (08.08.2006, 09:54)
Hi,
ich habe vor kurzem einen WSUS Server auf Windows Server 2003 aufgesetzt mit
W2K SP4 Clients und diesen eingebunden. Dazu habe ich eine Richtlinie
erstellt, dort Windows Update aktiviert und diese mit einer Gruppe
verknüpft. Ist eine WS Mitglied dieser Gruppe so zieht die Richtlinie.
Seltsamerweise gab es Rechner, da zog das erst 4 Tage später, obwohl als
Zeitplan täglich 3 Uhr eingestellt ist.
An manchen Rechnern wurde dann auch ein neues Profil erstellt. Kann das mit
den Updates zusammen hängen?
Noch ein Problem: In der Richtlinie "keinen autom Neustart für geplante
Installation durchführen" ist aktiviert. Trotzdem macht er bei manchen
Updates alle 10 min einen Neustart. Wie kann das sein?

Danke und Gruß
Dennis
Winfried Sonntag [MVP] (09.08.2006, 00:02)
Dennis Haschke schrieb:

> ich habe vor kurzem einen WSUS Server auf Windows Server 2003 aufgesetzt mit
> W2K SP4 Clients und diesen eingebunden. Dazu habe ich eine Richtlinie
> erstellt, dort Windows Update aktiviert und diese mit einer Gruppe
> verknüpft. Ist eine WS Mitglied dieser Gruppe so zieht die Richtlinie.
> Seltsamerweise gab es Rechner, da zog das erst 4 Tage später, obwohl als
> Zeitplan täglich 3 Uhr eingestellt ist.


Das hab ich auch schon ab und an beobachtet. Kleiner Tipp am Rande,
melde Dich mit einem User an, der *NICHT* im Verwaltungsbereich der
GPO liegt, dann sollte es mit den Updates auch schneller gehen. Und
natürlich hilft ein wuauclt /detectnow auf der Commandline auch.

> An manchen Rechnern wurde dann auch ein neues Profil erstellt. Kann das mit
> den Updates zusammen hängen?


Kann ich mir überhaupt nicht vorstellen.

> Noch ein Problem: In der Richtlinie "keinen autom Neustart für geplante
> Installation durchführen" ist aktiviert. Trotzdem macht er bei manchen
> Updates alle 10 min einen Neustart. Wie kann das sein?


Kontrolliere doch mal auf den Clients, ob die Richtlinie auch wirklich
vorhanden ist:

Servus
Winfried
Dennis Haschke (09.08.2006, 08:21)
> Das hab ich auch schon ab und an beobachtet. Kleiner Tipp am Rande,
> melde Dich mit einem User an, der *NICHT* im Verwaltungsbereich der
> GPO liegt, dann sollte es mit den Updates auch schneller gehen. Und
> natürlich hilft ein wuauclt /detectnow auf der Commandline auch.


OK. Aber bei ca. 1000 Rechner ist das nicht der elegante Weg.
Dafür ist ja der WSUS, damit ich Updates im Netzwerk einbinden kann.

> Kann ich mir überhaupt nicht vorstellen.


Ich eigentlich auch nicht. Vielleicht wars auch Zufall.....

> Kontrolliere doch mal auf den Clients, ob die Richtlinie auch wirklich
> vorhanden ist:


Sicher. Sonst würde er sich doch auch keine Updates ziehen....das ist in
einer Richtlinie alles
eingestellt.
Dennis Haschke (09.08.2006, 09:30)
>> Kontrolliere doch mal auf den Clients, ob die Richtlinie auch wirklich
>> vorhanden ist:

> Sicher. Sonst würde er sich doch auch keine Updates ziehen....das ist in
> einer Richtlinie alles
> eingestellt.


So. Habe das auf einer XP SP2 WS mal in der Registry kontrolliert.
Da steht:
Sollte also aktiv sein....

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
Sollte also aktiv sein....
Winfried Sonntag [MVP] (09.08.2006, 09:41)
Dennis Haschke schrieb:

>> Das hab ich auch schon ab und an beobachtet. Kleiner Tipp am Rande,
>> melde Dich mit einem User an, der *NICHT* im Verwaltungsbereich der
>> GPO liegt, dann sollte es mit den Updates auch schneller gehen. Und
>> natürlich hilft ein wuauclt /detectnow auf der Commandline auch.

> OK. Aber bei ca. 1000 Rechner ist das nicht der elegante Weg.
> Dafür ist ja der WSUS, damit ich Updates im Netzwerk einbinden kann.


Neue Clients gehen bei mir erst an den User, wenn der Rechner komplett
upgedatet ist. Ich verstand das so. Im laufendem Betrieb sollte das aber
nach dem ersten Kontakt nicht mehr der Fall sein. Der 2. Weg ist per
psexec.exe von den Aufruf wuauclt /detectnow ein
paar mal laufen zu lassen.

>> Kann ich mir überhaupt nicht vorstellen.

> Ich eigentlich auch nicht. Vielleicht wars auch Zufall.....


Möglicherweise hat sicher User am Client /lokal/ angemeldet?

Servus
Winfried
Dennis Haschke (09.08.2006, 10:29)
> Neue Clients gehen bei mir erst an den User, wenn der Rechner komplett
> upgedatet ist.


OK. Das haben wir damals verpasst. Deswegen müssen wir halt jetzt eine
Vielzahl von Updates nachziehen.
Es kommen ja auch immer mal wieder neue Updates die dann auf den WS
installiert werden sollen.

>Ich verstand das so. Im laufendem Betrieb sollte das aber
> nach dem ersten Kontakt nicht mehr der Fall sein.


?? Wie meinst Du das?

> Der 2. Weg ist per
> psexec.exe von den Aufruf wuauclt /detectnow ein
> paar mal laufen zu lassen.


OK. Wäre auch eine Möglichkeit.
Aber ich habe doch eine GPO wo die autom. Updates aktiviert sind und dann
Verbindung zum WSUS Server
aufgebaut wird.
Das ist ja auch nicht mein Problem. Die Stationen stellen ja Verbindung zum
WSUS Server her.
Nur die Updates sollen installiert werden (macht er ja auch) und die Station
nicht neu gestartet werden.
Aber scheinbar macht er je nach Update einen Neustart !!!???

> Möglicherweise hat sicher User am Client /lokal/ angemeldet?


Auch ne Möglichkeit. Habe das aber auch nicht mehr weiter kontrolliert, da
es
ca. nur 10 WS waren. Heute ist wieder alles in Butter :-)
Winfried Sonntag [MVP] (09.08.2006, 12:22)
Dennis Haschke schrieb:

>> Neue Clients gehen bei mir erst an den User, wenn der Rechner komplett
>> upgedatet ist.

> OK. Das haben wir damals verpasst. Deswegen müssen wir halt jetzt eine
> Vielzahl von Updates nachziehen.


Yepp, einmal alle freigegeben und schon haben die Rechner die nächsten
Tage was zu tun. Und Deinen Usern machst Du keine Freude damit, kenn
ich, war hier damals nicht anders. ;-)

> Es kommen ja auch immer mal wieder neue Updates die dann auf den WS
> installiert werden sollen.


Normalerweise nur jeden 2. Dienstag im Monat ist Patchday.

> >Ich verstand das so. Im laufendem Betrieb sollte das aber
>> nach dem ersten Kontakt nicht mehr der Fall sein.

> ?? Wie meinst Du das?


Der 1. Kontakt von einem W2KSP4 Rechner dauerte bei mir auch meistens
etwas länger im Vergleich zu einem XPSP2 Rechner. Deshalb auch der Tipp
mit wuauclt /detectnow bzw. einem angemeldeten User der nicht im
Verwaltungsbereich der GPO liegt.

> OK. Wäre auch eine Möglichkeit.
> Aber ich habe doch eine GPO wo die autom. Updates aktiviert sind und dann
> Verbindung zum WSUS Server
> aufgebaut wird.


Ja ist schon klar. Mit dem o.g. Aufruf forciert Du das ganze nur,
kontrollieren kannst Du es via netstat auf dem Client, bzw. mit der
psexec.exe ob der Client eine Verbindung zum WSUS aufgebaut hat.

> Das ist ja auch nicht mein Problem. Die Stationen stellen ja Verbindung zum
> WSUS Server her.
> Nur die Updates sollen installiert werden (macht er ja auch) und die Station
> nicht neu gestartet werden.
> Aber scheinbar macht er je nach Update einen Neustart !!!???


Manche Updates brauchen einen Neustart bevor es weitergeht. Ich kann mir
einfach nicht vorstellen, daß die Clients einen ungefragten Neustart
machen. Sind Deine User Admins? Hast Du die Richtlinie
Benutzerkonfiguration\Administrative
Vorlagen\Windows-Komponenten/Windows Update > Zugriff auf alle Windows
Update-Funktionen entfernen auch Aktiviert?

>> Möglicherweise hat sicher User am Client /lokal/ angemeldet?

> Auch ne Möglichkeit. Habe das aber auch nicht mehr weiter kontrolliert, da
> es
> ca. nur 10 WS waren. Heute ist wieder alles in Butter :-)


Na dann. ;-)

Servus
Winfried
Winfried Sonntag [MVP] (09.08.2006, 12:26)
Dennis Haschke schrieb:

> So. Habe das auf einer XP SP2 WS mal in der Registry kontrolliert.
> Da steht:
> Sollte also aktiv sein....
> [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dows\WindowsUpdate\AU]
> "NoAutoRebootWithLoggedOnUsers"=dword:00000001
> Sollte also aktiv sein....


Welchen Wert hast Du bei NoAutoUpdate?

Servus
Winfried
Dennis Haschke (09.08.2006, 12:59)
> Yepp, einmal alle freigegeben und schon haben die Rechner die nächsten
> Tage was zu tun. Und Deinen Usern machst Du keine Freude damit, kenn
> ich, war hier damals nicht anders. ;-)


:-)

> Normalerweise nur jeden 2. Dienstag im Monat ist Patchday.


OK

> Der 1. Kontakt von einem W2KSP4 Rechner dauerte bei mir auch meistens
> etwas länger im Vergleich zu einem XPSP2 Rechner. Deshalb auch der Tipp
> mit wuauclt /detectnow bzw. einem angemeldeten User der nicht im
> Verwaltungsbereich der GPO liegt.


Ach so. OK. Im WSUS sind sie ja drinnen. (die meisten jedenfalls. Ist ja
noch Urlaubszeit). Ob's jetzt einen Tag länger dauert oder
nicht ist erst mal sekundär.
Wie stell ich das den bei einem User ein, der nicht im Verwaltungsbereich
der GPO ist,
von wo er sich die Updates zieht?

> Manche Updates brauchen einen Neustart bevor es weitergeht. Ich kann mir
> einfach nicht vorstellen, daß die Clients einen ungefragten Neustart
> machen. Sind Deine User Admins? Hast Du die Richtlinie
> Benutzerkonfiguration\Administrative
> Vorlagen\Windows-Komponenten/Windows Update > Zugriff auf alle Windows
> Update-Funktionen entfernen auch Aktiviert?


Ungefrag nicht. Es kam schon ein Popup. Den konnte man aber nicht umgehen
und man musste
neu starten.
Nur eine Handvoll User sind lok. Admins.
Diese Richtlinie habe ich nicht definiert. Muss ich das auch noch
aktivieren?
Dennis Haschke (09.08.2006, 13:00)
"Winfried Sonntag [MVP]" <Winfried.Sonntag> schrieb im Newsbeitrag
news:odlg
> Dennis Haschke schrieb:
> Welchen Wert hast Du bei NoAutoUpdate?


Da steht 0 drin?
So OK?
[..]
Winfried Sonntag [MVP] (09.08.2006, 15:37)
Dennis Haschke schrieb:

> "Winfried Sonntag [MVP]" <Winfried.Sonntag> schrieb im Newsbeitrag
> news:odlg


BTW: Könntest Du mal bitte die FAQ abarbeiten? Danke.


>> Welchen Wert hast Du bei NoAutoUpdate?

> Da steht 0 drin?
> So OK?


Yepp.

Servus
Winfried
Winfried Sonntag [MVP] (09.08.2006, 15:53)
Dennis Haschke schrieb:

> Ach so. OK. Im WSUS sind sie ja drinnen. (die meisten jedenfalls. Ist ja
> noch Urlaubszeit). Ob's jetzt einen Tag länger dauert oder
> nicht ist erst mal sekundär.
> Wie stell ich das den bei einem User ein, der nicht im Verwaltungsbereich
> der GPO ist,
> von wo er sich die Updates zieht?


Ähm, die GPO ist eine Computer-GPO, das mit dem User ist anders gemeint,
Erklärung weiter unten.

> Ungefrag nicht. Es kam schon ein Popup. Den konnte man aber nicht umgehen
> und man musste
> neu starten.


OK, das ist so gewollt.

> Nur eine Handvoll User sind lok. Admins.


Und genau die bekommen das Symbol im Systray, wenn die Updates
downgeloadet werden bzw. wenn die Updates installiert werden können.
Wenn Du die obige Richtlinie aktivierst, bekommen auch diese User nur
noch das Popup zum Installationszeitpunkt zum sehen. Liegt der User
/nicht/ im Verwaltungsbereich dieser GPO und ist lokaler Admin,
erscheint das Symbol im Systray und Du kannst die Updates gleich
installieren. Alle Klarheiten beseitigt? ;-)

> Diese Richtlinie habe ich nicht definiert. Muss ich das auch noch
> aktivieren?


Wenn Du die lokalen Admins ein bisschen ärgern möchtest, nur zu. ;-)

BTW: Du kennst den hier noch nicht?


Servus
Winfried
Dennis Haschke (09.08.2006, 16:26)
> Ähm, die GPO ist eine Computer-GPO, das mit dem User ist anders gemeint,
> Erklärung weiter unten.


Klar. Meine ich auch ;-)

> Und genau die bekommen das Symbol im Systray, wenn die Updates
> downgeloadet werden bzw. wenn die Updates installiert werden können.
> Wenn Du die obige Richtlinie aktivierst, bekommen auch diese User nur
> noch das Popup zum Installationszeitpunkt zum sehen. Liegt der User
> /nicht/ im Verwaltungsbereich dieser GPO und ist lokaler Admin,
> erscheint das Symbol im Systray und Du kannst die Updates gleich
> installieren. Alle Klarheiten beseitigt? ;-)


Ach so.
Also:
lok. Admin = er sieht was mit den Updates passiert
kein lok. Admin = er sieht nur was, wenn alles fertig ist und das Popup zum
Neustart kommt

Richtig?

> Wenn Du die lokalen Admins ein bisschen ärgern möchtest, nur zu. ;-)


Na ja. dann wird er wie jeder andere User bei WSUS behandelt :-)

> BTW: Du kennst den hier noch nicht?
>


Ne. Noch nicht. Aber mit runas habe ich schon einige Batch Dateien zur
Softwareverteilung gebastelt.....
Winfried Sonntag [MVP] (09.08.2006, 23:55)
Dennis Haschke schrieb:

> Ach so.
> Also:
> lok. Admin = er sieht was mit den Updates passiert
> kein lok. Admin = er sieht nur was, wenn alles fertig ist und das Popup zum
> Neustart kommt
> Richtig?


Ja, aber nur wenn Du die entsprechende Richtlinie *nicht*
konfigurierst. ;-)

>> Wenn Du die lokalen Admins ein bisschen ärgern möchtest, nur zu. ;-)

> Na ja. dann wird er wie jeder andere User bei WSUS behandelt :-)


Aus welchem Grund auch nicht?

>> BTW: Du kennst den hier noch nicht?
>>

> Ne. Noch nicht. Aber mit runas habe ich schon einige Batch Dateien zur
> Softwareverteilung gebastelt.....


Ähm, was hat der Artikel mit Softwareverteilung zu tun? SW-Verteilung
in kleineren Umgebungen kannst Du auf diese Weise erledigen:
+


Servus
Winfried
Dennis Haschke (10.08.2006, 08:47)
>> Ach so.
> Ja, aber nur wenn Du die entsprechende Richtlinie *nicht*
> konfigurierst. ;-)


Klar.......
Heute morgen hatte ich an meiner Test-WS (XP) das Popup...
der Rechner muss neu gestartet werden. Später neu starten war ausgegraut.
An dem REchner war ein normaler Test-User angemeldet (kein lok. Admin).
Das Popup kann ich mit ESC wegmachen........
Kommt das dann irgendwann wieder?
Gibt es keine Möglichkeit zu sagen, später neu starten oder das Popup ganz
zu unterdrücken?

Ich hoffe, dass waren meine letzten Fragen......??!!

> Ähm, was hat der Artikel mit Softwareverteilung zu tun? SW-Verteilung
> in kleineren Umgebungen kannst Du auf diese Weise erledigen:


Der Artikel nicht. Wollte halt damit nur sagen, dass ich runas kenne. Mehr
nicht ;-)

> +


OK. Aber es lassen sich ja nur msi Pakete verteilen oder zap Dateien.
So ne zap Datei ist ja fast eine Batch Datei.

>


Kenne das von ZenWorks her. Da konnte man auch Snapshots erstellen. Davon
halte ich aber nicht so viel. Eine
"richtige" Installation" ist in meinen Augen sauberer.

Ähnliche Themen