4
WSUS: Client-Zwangsneustart unterbinden?
Hallo,
Das Problem
WSUS-Clients (Arbeitsplatz-PC und Server) führen, nach Updates, die einen Neustart erforderlich machen, den Neustart automatisch und zwangsweise aus.
Ich möchte aber, dass bei angemeldetem Benutzer, ein Neustart nur ausgeführt wird, wenn der Benutzer dem ausdrücklich zustimmt oder ihn aktiv auslöst.
Der Hintergrund
Vor zirka zwei Wochen, habe ich den WSUS neu aufgesetzt.
Das Konzept und die Infrastruktur habe ich dabei nicht verändert, also einfach nur komplett deinstalliert (WSUS/MSSQL/Datenbank/Updates) und wieder gleichartig neu installiert.
Der Grund für die Neuinstallation waren Fehlfunktionen, die ich anders nicht beheben konnte.
Es funktioniert wieder Alles, nur ist es jetzt so, dass bei Updates, die einen Neustart erfordern, die Clients (Arbeitsplatz-PC und Server) selbstätig den Neustart ausführen und der angemeldete User, keine Option hat, das zu unterbinden oder wenigstens beliebig oft zu verschieben.
Vor der Neuinstallation war es so, dass an den Arbeitsplatz-PC die Option "Später erinnern:" verfügbar war und an den Server nur informiert wurde, dass ein Neustart (manuell) durchgeführt werden sollte.
Die Infrastruktur
Der WSUS und alle Clients befinden sich in einer Arbeitsgruppe (keine Domäne).
An allen Rechner (Arbeitsplatz-PC und Server) ist immer ein Benutzer angemeldet.
Alle Benutzer haben Administratorrechte.
(Über Sinn oder Unsinn an Servern einen Administrator angemeldet zu lassen, möchte ich jetzt ungern diskutieren)
Die Clients sind per Reg-Datei auf den WSUS konfiguriert.
Die Regeinträge der Clients habe ich bei der Neuinstallation von WSUS nicht verändert.
Sie sehen so aus:
WSUS-Server
Windows Server 2008 Standard, SP2, 32-Bit
Update Services Version: 3.2.7600.226
wuauclt.exe Version: 7.6.7600.256
WSUS-Clients
- WIndows Server 2003 / wuauclt.exe Version: 7.6.7600.256
- Windows Server 2008 R2 / wuauclt.exe Version: 7.6.7601.19161
- Windows 7 / wuauclt.exe Version: 7.6.7601.19161
Die Frage
Wie bekomme ich es wieder hin, die Neustarts selbst zu kontrollieren?
Anmerkungen/Rückfragen/Anregungen...?
Gruß Frank
Das Problem
WSUS-Clients (Arbeitsplatz-PC und Server) führen, nach Updates, die einen Neustart erforderlich machen, den Neustart automatisch und zwangsweise aus.
Ich möchte aber, dass bei angemeldetem Benutzer, ein Neustart nur ausgeführt wird, wenn der Benutzer dem ausdrücklich zustimmt oder ihn aktiv auslöst.
Der Hintergrund
Vor zirka zwei Wochen, habe ich den WSUS neu aufgesetzt.
Das Konzept und die Infrastruktur habe ich dabei nicht verändert, also einfach nur komplett deinstalliert (WSUS/MSSQL/Datenbank/Updates) und wieder gleichartig neu installiert.
Der Grund für die Neuinstallation waren Fehlfunktionen, die ich anders nicht beheben konnte.
Es funktioniert wieder Alles, nur ist es jetzt so, dass bei Updates, die einen Neustart erfordern, die Clients (Arbeitsplatz-PC und Server) selbstätig den Neustart ausführen und der angemeldete User, keine Option hat, das zu unterbinden oder wenigstens beliebig oft zu verschieben.
Vor der Neuinstallation war es so, dass an den Arbeitsplatz-PC die Option "Später erinnern:" verfügbar war und an den Server nur informiert wurde, dass ein Neustart (manuell) durchgeführt werden sollte.
Die Infrastruktur
Der WSUS und alle Clients befinden sich in einer Arbeitsgruppe (keine Domäne).
An allen Rechner (Arbeitsplatz-PC und Server) ist immer ein Benutzer angemeldet.
Alle Benutzer haben Administratorrechte.
(Über Sinn oder Unsinn an Servern einen Administrator angemeldet zu lassen, möchte ich jetzt ungern diskutieren)
Die Clients sind per Reg-Datei auf den WSUS konfiguriert.
Die Regeinträge der Clients habe ich bei der Neuinstallation von WSUS nicht verändert.
Sie sehen so aus:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]@=
[-HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]@=
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://wsus"
"WUStatusServer"="http://wsus"
"ElevateNonAdmins"=dword:00000000
"TargetGroup"="auto_approved"
"TargetGroupEnabled"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"AutoInstallMinorUpdate"=dword:00000000
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000004
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeout"=dword:000005A0
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootWarningTimeoutEnabled"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000001e
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000008
"UseWUServer"=dword:00000001
"LastWaitTimeout"=-
"DetectionStartTime"=-
"AUPowerManagement"=dword:00000000
"IncludeRecommendedUpdates"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Webcheck]
"NoScheduledUpdates"=dword:00000001WSUS-Server
Windows Server 2008 Standard, SP2, 32-Bit
Update Services Version: 3.2.7600.226
wuauclt.exe Version: 7.6.7600.256
WSUS-Clients
- WIndows Server 2003 / wuauclt.exe Version: 7.6.7600.256
- Windows Server 2008 R2 / wuauclt.exe Version: 7.6.7601.19161
- Windows 7 / wuauclt.exe Version: 7.6.7601.19161
Die Frage
Wie bekomme ich es wieder hin, die Neustarts selbst zu kontrollieren?
Anmerkungen/Rückfragen/Anregungen...?
Gruß Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 297915
Url: https://administrator.de/contentid/297915
Printed on: April 24, 2024 at 09:04 o'clock
4 Comments
Latest comment
Ich denke, dein Fehler liegt unter [HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
hier habe ich bei mir diese Einträge gesetzt:
Wahrscheinlich ist es die Option "RebootRelaunchTimeoutEnabled", aber genau kann ich es dir nicht sagen.
Was du aber machen kannst, ist auf einem Rechner an dem die Einstellungen NICHT gesetzt sind gpedit.msc => "Administrative Vorlagen" => "Windows-Komponenten" => "Windows Update" => Nun setzt du alle Einstellungen, die du haben willst.
Anschließend sollte in den Registry Schlüsseln alle erforderlichen Einträge gesetzt worden sein.
hier habe ich bei mir diese Einträge gesetzt:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000011 Wahrscheinlich ist es die Option "RebootRelaunchTimeoutEnabled", aber genau kann ich es dir nicht sagen.
Was du aber machen kannst, ist auf einem Rechner an dem die Einstellungen NICHT gesetzt sind gpedit.msc => "Administrative Vorlagen" => "Windows-Komponenten" => "Windows Update" => Nun setzt du alle Einstellungen, die du haben willst.
Anschließend sollte in den Registry Schlüsseln alle erforderlichen Einträge gesetzt worden sein.
Hi,
wie gibst du denn den die Updates frei?
Wenn ich die normal Freigebe und die User das Update-Icon sehen und unter Umständen dann selbst aktiv werden, können die den Neustart (max. 4h) verschieben, bevor man erneut erinnert wird.
In aller Regel werden die Updates aber beim herunterfahren installiert (zumindest bei uns), vorher unternimmt keiner etwas.
Wenn ich mich recht entsinne, löst die Stichtagsoption einen erzwungenen Reboot aus...
Gruß
em-pie
wie gibst du denn den die Updates frei?
Wenn ich die normal Freigebe und die User das Update-Icon sehen und unter Umständen dann selbst aktiv werden, können die den Neustart (max. 4h) verschieben, bevor man erneut erinnert wird.
In aller Regel werden die Updates aber beim herunterfahren installiert (zumindest bei uns), vorher unternimmt keiner etwas.
Wenn ich mich recht entsinne, löst die Stichtagsoption einen erzwungenen Reboot aus...
Gruß
em-pie
setzt du GPO`s ein? Wenn ja würde ich das ganze damiut unterbinden.
Hallo,
Das war der entscheidende Hinweis.
Ich hatte eine Regel für "Automatische Genehmigungen" angelegt und aktiviert.
Bei der Neuinstallation hatte ich - wohl anders als zuvor - bei den Eigenschaften der Genehmignungsregel diese Option angehakt:
[x] Stichtag für die Genehmigung festlegen
Als Stichtag hatte ich 0 ausgewählt (denselben Tag wie die Genehmigung).
Die Stichtagsoption habe ich wieder rausgenommen und siehe da, der User wird wieder gefragt, ob er neustarten möchte oder später erneut erinnert werden will.
Das war eine gute Idee, denn in den Gruppenrichtlinien sind die Optionen recht gut erklärt, also die Wirkungen, Nebenwirkungen, Abhängigkeiten und das Defaultverhalten.
Ich konne damit aber auch feststellen, dass meine Reg-Einträge nicht die Ursache für den Zwangsreboot waren.
Das war, wie schon erwähnt, die blöde Stichtagsoption.
Ich werde mich demnächst nochmal im Detail mit allen Optionen beschäftigen und meine Regeinträge damit eventuell optimieren.
Nein, wie eingangs erwähnt, sind die Clients per Reg-Datei auf den WSUS konfiguriert,
wobei Gruppenrichtlinien im Ergebnis ja auch nichts anderes sind als Reg-Einträge.
Vielen Dank Euch Dreien
Gruß Frank
@em-pie hat geschrieben:
wie gibst du denn den die Updates frei?
...
Wenn ich mich recht entsinne, löst die Stichtagsoption einen erzwungenen Reboot aus...
wie gibst du denn den die Updates frei?
...
Wenn ich mich recht entsinne, löst die Stichtagsoption einen erzwungenen Reboot aus...
Das war der entscheidende Hinweis.
Ich hatte eine Regel für "Automatische Genehmigungen" angelegt und aktiviert.
Bei der Neuinstallation hatte ich - wohl anders als zuvor - bei den Eigenschaften der Genehmignungsregel diese Option angehakt:
[x] Stichtag für die Genehmigung festlegen
Als Stichtag hatte ich 0 ausgewählt (denselben Tag wie die Genehmigung).
Die Stichtagsoption habe ich wieder rausgenommen und siehe da, der User wird wieder gefragt, ob er neustarten möchte oder später erneut erinnert werden will.
@agowa338 hat geschrieben:
Was du aber machen kannst, ist auf einem Rechner an dem die Einstellungen NICHT gesetzt sind gpedit.msc => "Administrative Vorlagen" => "Windows-Komponenten" => "Windows Update" => Nun setzt du alle Einstellungen, die du haben willst.
Was du aber machen kannst, ist auf einem Rechner an dem die Einstellungen NICHT gesetzt sind gpedit.msc => "Administrative Vorlagen" => "Windows-Komponenten" => "Windows Update" => Nun setzt du alle Einstellungen, die du haben willst.
Das war eine gute Idee, denn in den Gruppenrichtlinien sind die Optionen recht gut erklärt, also die Wirkungen, Nebenwirkungen, Abhängigkeiten und das Defaultverhalten.
Ich konne damit aber auch feststellen, dass meine Reg-Einträge nicht die Ursache für den Zwangsreboot waren.
Das war, wie schon erwähnt, die blöde Stichtagsoption.
Ich werde mich demnächst nochmal im Detail mit allen Optionen beschäftigen und meine Regeinträge damit eventuell optimieren.
Nein, wie eingangs erwähnt, sind die Clients per Reg-Datei auf den WSUS konfiguriert,
wobei Gruppenrichtlinien im Ergebnis ja auch nichts anderes sind als Reg-Einträge.
Vielen Dank Euch Dreien
Gruß Frank
