Heißes Thema (mehr als 10 Antworten) Clients installieren Updates nur manuell automatisch (Gelesen: 699 mal)
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Clients installieren Updates nur manuell automatisch
01.03.23 um 14:29:32
Beitrag drucken  
Moin moin,

Hoffe mal hier kann mir jemand helfen, sitzen schon länger an dem Thema.

Wir haben in einer Domäne 2 WSUS-Server für 2 Standorte aufgesetzt, Update laden und verteilen läuft auch soweit.
In Site 1 werden Definitionsupdates automatisch heruntergeladen und installiert, in Site 2 werden diese nur heruntergeladen und müsen manuell angestoßen werden.
Startet man die Suche nach Updates manuell in Site 2 werden diese heruntergeladen und installiert.

Wo liegt der Unterschied zwischen "Button klicken" und Windows automatisch suchen lassen? Den WSUS haben wir bereits neu installiert, Gruppenrichtlinien besagen "automatische updates sofort installieren", "automatische updates konfigurieren" mit Einstellung 3 und den WSUS per GPO zugewiesen.

Hoffe mal ist halbwegs verständlich...
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Clients installieren Updates nur manuell automatisch
Antwort #1 - 02.03.23 um 11:19:27
Beitrag drucken  
Hast Du denn auch für die Clients/Server ein passendes GPO erstellt? Hier findest Du weiterführende Hinweise auf die Einstellungen: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). Ziemlich weit unten bei GPO zum Verteilen der korrekten Einstellungen weiterlesen.

BTW: Option 4 ist die beste Variante, 3 funktioniert für die User nicht sauber bzw. gar nicht.
  
Zum Seitenanfang
 
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Re: Clients installieren Updates nur manuell automatisch
Antwort #2 - 03.03.23 um 12:17:58
Beitrag drucken  
Moin, danke für den Tip.

Also ist der Defender eigentlich komplett losgelöst vom sonstigen Windows Update? Runterladen und verteilen tut der WSUS ja, für den Client sind die Definitionsupdates dann nur nicht relevant genug? Für welche Updates sind dann die Einstellungen unter der Vorlage "Windows Update"?

Ich lasse das Wochenende mal die GPO für den Defender drin und schaue dann mal, scheint ja nur für jede Windows Version eine andere Vorlage zu sein (mal Windows Defender, mal Microsoft Defender und mal Endpoint Security...)
  
Zum Seitenanfang
 
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Re: Clients installieren Updates nur manuell automatisch
Antwort #3 - 03.03.23 um 12:32:29
Beitrag drucken  
Was ich nur komisch finde, im Computerbericht des WSUS stehen die Updates las "Genehmigung" "Installieren", Status ist für die Defender Updates aber immer "nicht installiert"...
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Clients installieren Updates nur manuell automatisch
Antwort #4 - 03.03.23 um 13:25:47
Beitrag drucken  
47Elf schrieb on 03.03.23 um 12:17:58:
Also ist der Defender eigentlich komplett losgelöst vom sonstigen Windows Update? Runterladen und verteilen tut der WSUS ja, für den Client sind die Definitionsupdates dann nur nicht relevant genug?


Zuerst mal eine begriffliche und technische Richtigstellung. Der WSUS verteilt nichts, gar nichts. Der stellt nur zur Verfügung. Dieser kleine Unterschied ist wichtig, insbesonders wenn es darum geht, wo der Fehler ist.

Es geht beim Download natürlich auch um die sog. Suchhäufigkeit nach Updates. Wenn du den Standard lässt, sucht der Client nur ~22 Stunden nach Updates, wenn Du es änderst, dann IMHO maximal 4 Stunden, alles andere belastet den Server zu sehr.47Elf schrieb on 03.03.23 um 12:17:58:
Für welche Updates sind dann die Einstellungen unter der Vorlage "Windows Update"?


Für alle Updates, die du auf dem WSUS freigibst. Zwinkernd

47Elf schrieb on 03.03.23 um 12:17:58:
Ich lasse das Wochenende mal die GPO für den Defender drin und schaue dann mal, scheint ja nur für jede Windows Version eine andere Vorlage zu sein (mal Windows Defender, mal Microsoft Defender und mal Endpoint Security...)
                   


Das ist leider mittlerweile ein großes Problem, pro Windows Version (1909 zu 21H1) gibt es Unterschiede, nicht schön.

47Elf schrieb on 03.03.23 um 12:32:29:
Was ich nur komisch finde, im Computerbericht des WSUS stehen die Updates las "Genehmigung" "Installieren", Status ist für die Defender Updates aber immer "nicht installiert"...
                   


Da fehlt ganz einfach die Rückmeldung vom Client. Der berichtet ja nur alle paar Stunden, das was Du im GPO einstellst, an den WSUS.

Du kannst dir per Taskplaner behelfen. Ich hab einen Task für den aktuell angemeldeten Benutzer per GPO erstellt.

Nur ausführen wenn der Benutzer angemeldet ist, im GPO trägst Du das hier ein: %USERDNSDOMAIN%\%USERNAME%
Jeden Tag um 8 Uhr, nach Auslösung alle 1 Stunde ausführen für die Dauer von 1 Tag.
Folgende Aktionen ausführen lassen:
Programm: "C:\Windows\System32\UsoClient.exe"
Argument: StartInteractiveScan

Programm: "C:\Windows\System32\wuauclt.exe"
Argument: /reportnow
egal was jemand sagt, /reportnow funktioniert auch unter W10 noch. Nur /detectnow gibt es in 10 nicht mehr.

Wenn der Task stündlich auf einem Client bei einem angemeldeten User ausgeführt wird, hast Du immer einen aktuellen Stand auf dem WSUS. Da kommt immer nur ein kleiner Report retour, aber das hilft ungemein. Probier es einfach mal aus. Zwinkernd
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Clients installieren Updates nur manuell automatisch
Antwort #5 - 03.03.23 um 13:27:13
Beitrag drucken  
47Elf schrieb on 03.03.23 um 12:17:58:
Also ist der Defender eigentlich komplett losgelöst vom sonstigen Windows Update?


Nein, ist nicht losgelöst, aber man erwartet hier etwas anderes. Zuerst muss der Defender wissen, dass er beim InternalUpdate Server downloaden soll, zum zweiten willst Du schneller eine Rückmeldung haben, das erreichst Du IMHO nur mit der geplanten Aufgabe.
  
Zum Seitenanfang
 
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Re: Clients installieren Updates nur manuell automatisch
Antwort #6 - 06.03.23 um 11:48:34
Beitrag drucken  
Sunny schrieb on 03.03.23 um 13:25:47:
Da fehlt ganz einfach die Rückmeldung vom Client. Der berichtet ja nur alle paar Stunden, das was Du im GPO einstellst, an den WSUS.


Die Clients instalieren die Updates ja nicht, daher kann keine Rückmeldung stattfinden... Die für uns relevanten Updates sind die Defender Definitionsupdates, für alle anderen sollen wir vor Ort sein und diese installieren. Da größtenteils Server im Einsatz sind ist das auch ok, dann ist wenigstens wer vor Ort wenn beim Update doch mal was ausfällt.

Problem ist halt, die Updates werden vom Client geladen und trotz Richtlinie (Automatische Updates sofort installieren) nicht installiert. Der Defender lädt die Updates im Hintergrund selbstständig, liefert aber die Rückmeldung nicht an den WSUS. Für die Clients ist "InternalUpdateServer" als MpPreferene eingestellt, sollen also auch den WSUS für Definitionen nutzen.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Clients installieren Updates nur manuell automatisch
Antwort #7 - 07.03.23 um 07:55:32
Beitrag drucken  
47Elf schrieb on 06.03.23 um 11:48:34:
Die für uns relevanten Updates sind die Defender Definitionsupdates, für alle anderen sollen wir vor Ort sein und diese installieren. Da größtenteils Server im Einsatz sind ist das auch ok, dann ist wenigstens wer vor Ort wenn beim Update doch mal was ausfällt.


OK, dann gib die Defender Updates für andere Gruppen frei.
Gruppe1 = Defender Updates = In dieser Gruppe sind alle.
Gruppe2 = Server Updates = In diese Gruppe werden die Server verlinkt wenn sie Updates bekommen sollen.

47Elf schrieb on 06.03.23 um 11:48:34:
Problem ist halt, die Updates werden vom Client geladen und trotz Richtlinie (Automatische Updates sofort installieren) nicht installiert. Der Defender lädt die Updates im Hintergrund selbstständig, liefert aber die Rückmeldung nicht an den WSUS. Für die Clients ist "InternalUpdateServer" als MpPreferene eingestellt, sollen also auch den WSUS für Definitionen nutzen.


Zeig doch mal das vollständige GPO für die Clients/Server dazu.
  
Zum Seitenanfang
 
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Re: Clients installieren Updates nur manuell automatisch
Antwort #8 - 13.03.23 um 09:56:01
Beitrag drucken  
Sorry für die späte Antwort, war die Woche ausser Gefecht...

Hier die Screenshots, wichtig sind für die Clients ja die beiden folgenden GPOs. Letzter die Richtlinien auf einem Client.

  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Clients installieren Updates nur manuell automatisch
Antwort #9 - 13.03.23 um 14:07:30
Beitrag drucken  
Keine Ahnung weshalb die Anhänge gelöscht worden sind, aber versuch sie doch nachmals einzustellen. Notfalls via Filehosting Dienst nur die URL verlinken.

Nichtadministratoren gestatten, Updatebenachrichtigen ... kannst Du weglassen: Wird für Windows 10 und höher nicht unterstützt. Lies doch bitte IMMER die passenden Beschreibungen dazu. D.h. du kannst die Einstellung auf Nicht konfiguriert stellen.
  
Zum Seitenanfang
 
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Re: Clients installieren Updates nur manuell automatisch
Antwort #10 - 13.03.23 um 14:41:52
Beitrag drucken  
Ok, dachte deaktiviert ist das selbe wie nicht konfiguriert.
Wie gesagt, dachte "automatische Updates konfigurieren" und "sofort installieren" sollten ausreichen um zumindest alles was keinen neustart benötigt sofort zu installieren.d
  
Zum Seitenanfang
 
47Elf
WSUS Neuling
Offline


I love WSUS!

Beiträge: 7
Mitglied seit: 01.03.23
Re: Clients installieren Updates nur manuell automatisch
Antwort #11 - 13.03.23 um 14:43:10
Beitrag drucken  
warum auch immer die anderen bilder immer gelöscht werden...
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Clients installieren Updates nur manuell automatisch
Antwort #12 - 13.03.23 um 21:22:02
Beitrag drucken  
47Elf schrieb on 13.03.23 um 14:41:52:
Ok, dachte deaktiviert ist das selbe wie nicht konfiguriert.


Falsch gedacht. Zwinkernd

47Elf schrieb on 13.03.23 um 14:41:52:
Wie gesagt, dachte "automatische Updates konfigurieren" und "sofort installieren" sollten ausreichen um zumindest alles was keinen neustart benötigt sofort zu installieren.


Aber doch nicht die Option 3, das funktioniert nicht, hat noch nie funktioniert, und mit 10 oder höher funktioniert es überhaupt nicht mehr. Stell auf Option 4 um, alles andere funktioniert nicht.

Außerdem lies dir bitte die Beschreibung genau durch. Bis Windows 8, heißt: Wird bei Windows 10 nicht mehr beachtet.
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden