none
Windows Server 2003 DC installiert ungewollt updates RRS feed

  • Frage

  • Hallo zusammen,

    ich habe einen Windows Server 2003 SP2 Domänencontroller. Gewünscht wäre, das dieser Automatische Updates deaktiviert hat und Windows Updates per Hand einmal monatlich installiert werden.

    Mein Problem ist, dass diese Konfiguration sich in unregelmäßigen Intervallen "selbstständig" auf "Automatisch Installieren und Neustarten" stellt. Dadurch haben wir das unerwünschte Ergebnis, dass sich unser DC jetzt an jedem Patchday um 03.00 Uhr neu startet.

    Es ist keine Gruppenrichtlinie diesbezüglich aktiviert!

    Kann hier jemand helfen?

    Gruß
    Wolfgang

    Montag, 19. September 2011 07:18

Antworten

  • Hallo allerseits,

    Problem scheint derzeit behoben. Denke es lag an den überzähligen Einträgen:

    "NextSqmReportTime"="2011-09-19 10:29:19"
    "FeaturedUpdatesNotificationSeqNum"=dword:00000420

    "FeaturedUpdatesNotificationSeqNumGenTime"="2009-11-04 04:34:42"
    "NextFeaturedUpdatesNotificationTime"="2011-09-19 10:05:42"

    Gruß

    Wolfgang

    PS: Am WindowsUpdateClient lags sicher nicht, weil ich diesen nicht installieren konnte. Er war in der aktuellsten Version bereits vorhanden.

    Donnerstag, 6. Oktober 2011 12:01

Alle Antworten

  • Hallo,

    >Es ist keine Gruppenrichtlinie diesbezüglich aktiviert!

    dann ändere das doch ;)
    Erstelle dir eine GPO für deine(n) DCs und setze die Einstellungen wie gewollt.

    Als plumpe Lösung kannst du natürlich auch einfach den Dienst Windows-Updates deaktivieren und
    erste bei Bedarf starten.

    Allerdings musst du dann natürlich erst auf das Herunterladen der Updates warten.

    Montag, 19. September 2011 08:35
  • Hallo,

    das ist ja das nächste Problem. Erstelle ich eine Gruppenrichtlinie, in diesem Fall eine lokale da ich ja meine Domäne nicht beinflussen möchte, ist im erst Moment alles richtig konfiguriert und auch grau hinterlegt, sprich die Richtlinei greift. Warte ich jetzt jedoch 1-2 Tage ... stellt es sich so dar, das ich im Windows Update Fenster sehe, dass zwar immer noch eine Richtlinie greift sprich die Auswahlen sind grau und nicht wählbar, die Auswahl selbst steht allerdings wieder so, dass Windows Update sich wieder auf Automatisch gestellt hat und mir einen Neustart am Patchday beschert.

    Die "plumpe" Lösung wollte ich wenn möglich vermeiden. Diese umgeht ja das Problem nur und behebt eigentlich nichts. Mache ich persönlich auf dem Domänencontroller eigentlich nicht.

    Gruß
    Wolfgang

    Montag, 19. September 2011 09:05
  • >Erstelle ich eine Gruppenrichtlinie, in diesem Fall eine lokale da ich ja meine Domäne nicht beinflussen möchte

    Du kannst natürlich eine Richtlinie erstellen, die nur für deine DCs gilt.
    Diese sind ja ohnehin per Default in einer anderen OU.

    Wenn nicht, kannst du auch per Sicherheitsfilterung die Richtlinie nur auf den Ausgewählten Geräten übernehmen lassen.

    Lokale Policies vermeide ich generell wenn ich auch eine GPO benutzen könnte.

    >..Windows Update Fenster sehe, dass zwar immer noch eine Richtlinie greift sprich die Auswahlen sind grau und nicht wählbar, die >Auswahl selbst steht allerdings wieder so, dass Windows Update sich wieder auf Automatisch gestellt hat und mir einen Neustart am >Patchday beschert...

    Hast du mittels rsop.msc und gpresult geprüft, ob dir definitiv keine andere Policy reinfunkt?

     

    Montag, 19. September 2011 10:55

  • >>Erstelle ich eine Gruppenrichtlinie, in diesem Fall eine lokale da ich ja meine Domäne nicht beinflussen möchte
     
    >Du kannst natürlich eine Richtlinie erstellen, die nur für deine DCs gilt.  Diese sind ja ohnehin per Default in einer anderen OU.
     
    >Wenn nicht, kannst du auch per Sicherheitsfilterung die Richtlinie nur auf den Ausgewählten Geräten übernehmen lassen.
     
    >Lokale Policies vermeide ich generell wenn ich auch eine GPO benutzen könnte.
     
    Klar kann ich dies alles machen. Ich hatte auch bereits eine GPO benutzt. Dies hatte leider aber die selben Auswirkungen wie die lokale Richtlinie. Wenn ich diese per Sicherheitsfiltung einschränke oder auf die DC OU eingrenze gewinne ich allerdings auch nichts. Nach Tests hab ich festgestellt - Der Fehler existiert weiterhin.

    >>..Windows Update Fenster sehe, dass zwar immer noch eine Richtlinie greift sprich die Auswahlen sind grau und nicht wählbar, die >Auswahl selbst steht allerdings wieder so, dass Windows Update sich wieder auf Automatisch gestellt hat und mir einen Neustart am >Patchday beschert...
     
    >Hast du mittels rsop.msc und gpresult geprüft, ob dir definitiv keine andere Policy reinfunkt?
     
    Ja hab ich. Es greift ausser der Default Domain Policy und der Default Domain Controller Policy keine weitere Computerrichtlinie.


    • Bearbeitet WolfgangPa Montag, 19. September 2011 11:34
    Montag, 19. September 2011 11:32
  • Stell uns doch bitte einmal die WindowsUpdate.log zur Verfügung.

    Diese Datei befindet sich in %systemroot%

    Zusätzlich wäre ein Export des Schlüssels HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

    interessant.

    Montag, 19. September 2011 13:12
  • ...und per regfind.exe bzw. keytimes.exe läßt sich sogar rausfinden,
    wann da "jemand" was geändert hat.
     
    Und das nicht nur in dem von Dir erwähnten Key, sondern auch unter
    "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
    Update"
     
    Ich glaube das sogar, daß hier keine GPO im Spiel ist - auf DCs ist der
    Background Refresh auf 5 Minuten, das würde also mehr oder weniger
    "sofort" wieder auftauchen.
     
    @Wolfgang: Wie sieht's mit nem geplanten Tasks aus?
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Montag, 19. September 2011 16:40
  • Hallo zusammen,

    hier mal mein Zwischenstand. Dienst hätte ich trotz meiner Bedenken jetzt mal versucht zu deaktivieren. Er aktiviert sich wieder automatisch und startet daraufhin beim nächsten neustart wieder. Wieder ist keine mir nachvollziehbare Einflussnahme vorhanden.

    Die beiden Programme muss ich mir mal ansehen denke die sind Teil des Resource Kits oder?

    Jo jetzt mal danke schon mal für eure weitere Hilfe und in den nächsten Postings dann anbei alle Infos wie ich sie derzeit habe.

    Gruß

    Wolfgang

    Donnerstag, 22. September 2011 06:48
  • Key
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

    Kann ich leider nicht liefern bei mir ist unter Windows kein weiterer WindowsUpdate Ordner.

    Key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto  Update"

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
    "ConfigVer"=dword:00000001
    "AUOptions"=dword:00000001
    "ResetAU"=dword:00000001
    "NextSqmReportTime"="2011-09-19 10:29:19"
    "FeaturedUpdatesNotificationSeqNum"=dword:00000420
    "FeaturedUpdatesNotificationSeqNumGenTime"="2009-11-04 04:34:42"
    "NextFeaturedUpdatesNotificationTime"="2011-09-19 10:05:42"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect]
    "LastSuccessTime"="2011-09-19 10:02:20"
    "LastError"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Download]
    "LastSuccessTime"="2011-09-19 10:02:56"
    "LastError"=dword:00000000

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install]
    "LastSuccessTime"="2011-09-08 01:01:24"
    "LastError"=dword:00000000

     

    Donnerstag, 22. September 2011 06:50
  • Der letzte Teil meiner Windowsupdate Log:

    2011-09-19 12:18:10:933 3532 1340 Misc ===========  Logging initialized (build: 7.4.7600.226, tz: +0200)  ===========
    2011-09-19 12:18:10:933 3532 1340 Misc   = Process: C:\WINDOWS\Explorer.EXE
    2011-09-19 12:18:10:933 3532 1340 Misc   = Module: C:\WINDOWS\system32\wuaueng.dll
    2011-09-19 12:18:10:933 3532 1340 Shutdwn Install at shutdown: no updates to install
    2011-09-19 12:18:10:933 3532 1340 Shutdwn FATAL: WUCheckForUpdatesAtShutdown failed, hr=8024A000
    2011-09-19 12:18:25:530  372 1554 Misc ===========  Logging initialized (build: 7.4.7600.226, tz: +0200)  ===========
    2011-09-19 12:18:25:530  372 1554 Misc   = Process: \??\C:\WINDOWS\system32\winlogon.exe
    2011-09-19 12:18:25:530  372 1554 Misc   = Module: C:\WINDOWS\system32\wuaueng.dll
    2011-09-19 12:18:25:530  372 1554 Shutdwn FATAL: WUAutoUpdateAtShutdown failed, hr=8024A000
    2011-09-19 12:18:47:863  864 1150 AU ###########  AU: Uninitializing Automatic Updates  ###########
    2011-09-19 12:18:47:941  864 1150 Service *********
    2011-09-19 12:18:47:941  864 1150 Service **  END  **  Service: Service exit [Exit code = 0x240001]
    2011-09-19 12:18:47:941  864 1150 Service *************
    2011-09-19 12:28:32:031  876 a60 Misc ===========  Logging initialized (build: 7.4.7600.226, tz: +0200)  ===========
    2011-09-19 12:28:32:109  876 a60 Misc   = Process: C:\WINDOWS\System32\svchost.exe
    2011-09-19 12:28:32:109  876 a60 Misc   = Module: C:\WINDOWS\system32\wuaueng.dll
    2011-09-19 12:28:32:031  876 a60 Service *************
    2011-09-19 12:28:32:109  876 a60 Service ** START **  Service: Service startup
    2011-09-19 12:28:32:109  876 a60 Service *********
    2011-09-19 12:28:32:125  876 a60 Agent   * WU client version 7.4.7600.226
    2011-09-19 12:28:32:125  876 a60 Agent   * Base directory: C:\WINDOWS\SoftwareDistribution
    2011-09-19 12:28:32:125  876 a60 Agent   * Access type: No proxy
    2011-09-19 12:28:32:140  876 a60 Agent   * Network state: Connected
    2011-09-19 12:29:19:869  876 a60 Agent ***********  Agent: Initializing Windows Update Agent  ***********
    2011-09-19 12:29:19:869  876 a60 Agent ***********  Agent: Initializing global settings cache  ***********
    2011-09-19 12:29:19:869  876 a60 Agent   * WSUS server: <NULL>
    2011-09-19 12:29:19:884  876 a60 Agent   * WSUS status server: <NULL>
    2011-09-19 12:29:19:884  876 a60 Agent   * Target group: (Unassigned Computers)
    2011-09-19 12:29:19:884  876 a60 Agent   * Windows Update access disabled: No
    2011-09-19 12:29:19:900  876 a60 DnldMgr Download manager restoring 0 downloads
    2011-09-19 12:29:19:947  876 a60 AU ###########  AU: Initializing Automatic Updates  ###########
    2011-09-19 12:29:19:947  876 a60 AU AU setting next sqm report timeout to 2011-09-19 10:29:19
    2011-09-19 12:29:19:947  876 a60 AU   # AU disabled through User preference
    2011-09-19 12:29:19:947  876 a60 AU Initializing featured updates
    2011-09-19 12:29:19:947  876 a60 AU Found 0 cached featured updates
    2011-09-19 12:29:19:947  876 a60 AU AU finished delayed initialization
    2011-09-19 12:29:21:308  876 a60 Report ***********  Report: Initializing static reporting data  ***********
    2011-09-19 12:29:21:308  876 a60 Report   * OS Version = 5.2.3790.2.0.131344
    2011-09-19 12:29:21:919  876 a60 Report   * Computer Brand = Dell Computer Corporation
    2011-09-19 12:29:21:919  876 a60 Report   * Computer Model = PowerEdge 2800
    2011-09-19 12:29:21:950  876 a60 Report   * Bios Revision = A04
    2011-09-19 12:29:21:950  876 a60 Report   * Bios Name = Phoenix ROM BIOS PLUS Version 1.10 A04
    2011-09-19 12:29:21:950  876 a60 Report   * Bios Release Date = 2005-09-22T00:00:00
    2011-09-19 12:29:21:950  876 a60 Report   * Locale ID = 1031
    2011-09-22 08:29:15:391  876 4c8 AU ###########  AU: Setting new AU options  ###########
    2011-09-22 08:29:15:407  876 4c8 AU Setting AU Approval Type to 1
    2011-09-22 08:29:15:407  876 4c8 AU   # Policy changed, AU refresh required = No
    2011-09-22 08:29:15:407  876 4c8 AU   # AU disabled through User preference
    2011-09-22 08:29:15:407  876 4c8 AU AU settings changed through User Preference.
    2011-09-22 08:30:05:312  876 a60 AU ###########  AU: Uninitializing Automatic Updates  ###########
    2011-09-22 08:30:05:375  876 a60 Service *********
    2011-09-22 08:30:05:375  876 a60 Service **  END  **  Service: Service exit [Exit code = 0x240001]
    2011-09-22 08:30:05:375  876 a60 Service *************

    Donnerstag, 22. September 2011 06:55
  • Am 22.09.2011 schrieb WolfgangPa:

    hier mal mein Zwischenstand. Dienst hätte ich trotz meiner Bedenken jetzt mal versucht zu deaktivieren. Er aktiviert sich wieder automatisch und startet daraufhin beim nächsten neustart wieder. Wieder ist keine mir nachvollziehbare Einflussnahme vorhanden.

    Wenn der Dienst von alleine wieder neu startet oder auch beim Neustart
    des Systems neu gestartet wird, ist etwas in Sachen GPO aktiv. Schau
    dir mit RSOP.MSC die GPOs an, die beim Server ankommen. Insbesonders
    natürlich die Einstellungen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 22. September 2011 10:19
  • Am 19.09.2011 schrieb WolfgangPa:

    das ist ja das nächste Problem. Erstelle ich eine Gruppenrichtlinie, in diesem Fall eine lokale da ich ja meine Domäne nicht beinflussen möchte, ist im erst Moment alles richtig konfiguriert und auch grau hinterlegt, sprich die

    Du kannst in einer GPO natürlich auch per Sicherheitsgruppenfilterung
    nur diesen einen DC eintragen. Wäre auf alle Fälle besser als eine
    lokale GPO zu erstellen.

    Richtlinei greift. Warte ich jetzt jedoch 1-2 Tage ... stellt es sich so dar, das ich im Windows Update Fenster sehe, dass zwar immer noch eine Richtlinie greift sprich die Auswahlen sind grau und nicht wählbar, die Auswahl selbst steht allerdings wieder so, dass Windows Update sich wieder auf Automatisch gestellt hat und mir einen Neustart am Patchday beschert.

    Ist das der einzigste DC? Wenn nein, was passiert wenn Du ihn mit
    DCPROMO herunterstufst, in eine andere OU verschiebst und jetzt die
    Einstellungen erneut überprüfst?

    Überprüf auch unbedingt den Hinweis von Martin bezüglich der geplanten
    Tasks. Die kann man übrigens auch per GPP erstellen. Also auch im RSOP
    prüfen.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 22. September 2011 10:24
  • Hallo Winfried,

    wenn dem so wäre müsste ich durch ein einfaches "gpupdate /force" das ganze ja nachstellen können. Funktioniert jedoch nicht. Auch RSOP.MSC bringt mich nicht weiter hier sind alle Dienste Computerkonfiguration\Windows Einstellungen\Systemdienste auf "nicht definiert" gestellt.

    Gruß

    Wolfgang

    Donnerstag, 22. September 2011 10:29
  • Am 22.09.2011 schrieb WolfgangPa:

    wenn dem so wäre müsste ich durch ein einfaches "gpupdate /force" das ganze ja nachstellen können. Funktioniert jedoch nicht. Auch RSOP.MSC bringt mich nicht weiter hier sind alle Dienste Computerkonfiguration\Windows Einstellungen\Systemdienste auf "nicht definiert" gestellt.

    Was sagt das Eventlog aus?

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 22. September 2011 10:33
  • Servus Windried,

    leider sagt das Eventlog nichts aus, was mich auf die Spur des Problems bringen könnte. Ich hab zwar Systemdienst "starts" und "stops" drinnen diese beziehen sich aber in keinem Fall auf den Update Dienst. Hier hab ich an sich als allererstes gechaut.

    Gruß

    Wolfgang

    Donnerstag, 22. September 2011 11:10
  • Ja, klar. Der scheint ja auch nicht im laufenden Betrieb gestartet zu
    werden (oder?) sondern nur der Startmodus setzt sich von Disabled auf
    Auto - wenn ich Dich bisher richtig verstanden habe.
     
    Wie schon geschrieben: Mit "regfind.exe" bzw. "keytimes.exe" (-> Google)
    kannst Du rausfinden, wann genau der Key geändert wurde. Und dann mußt
    Du einfach suchen, wer/was zu dieser Zeit aktiv war. Von alleine
    passiert es jedenfalls nicht.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Donnerstag, 22. September 2011 11:18
  • >HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

    >Kann ich leider nicht liefern bei mir ist unter Windows kein weiterer WindowsUpdate Ordner.

    Was eigentlich heißen sollte, dass es keine Policy hierfür gibt.

    Zu deinem Logfile:

    >2011-09-22 08:29:15:407 876 4c8 AU # AU disabled through User preference
    >2011-09-22 08:29:15:407 876 4c8 AU AU settings changed through User Preference.

    Soweit erstmal korrekt.

    "ConfigVer"=dword:00000001
    "AUOptions"=dword:00000001
    "ResetAU"=dword:00000001
    "NextSqmReportTime"="2011-09-19 10:29:19"
    "FeaturedUpdatesNotificationSeqNum"=dword:00000420
    "FeaturedUpdatesNotificationSeqNumGenTime"="2009-11-04 04:34:42"
    "NextFeaturedUpdatesNotificationTime"="2011-09-19 10:05:42"

    Diese Einträge existieren bei mir nicht.

    Zusätzlich fehler bei dir diese:

    "ScheduledInstallDay"=dword:00000000
    "ScheduledInstallTime"=dword:00000003



    Lösche bitte einmal die zusätzlichen Keys (vorher exportieren).

    Zusätzlich solltest du den WU-Agent erneut installieren:

    http://support.microsoft.com/kb/949104




    • Bearbeitet Matthias Wolf Donnerstag, 22. September 2011 11:39
    • Als Antwort vorgeschlagen Matthias Wolf Freitag, 7. Oktober 2011 19:20
    Donnerstag, 22. September 2011 11:33
  • Leider kann ich den Server nicht einfach neustarten und werde erst am 04.Oktober zum umstellen kommen. Ich melde mich dann an dieser Stelle wieder ob der Lösungsansatz gefruchtet hat.

    Soweit herzlichen Dank

    Wolfgang

    Freitag, 23. September 2011 10:06
  • Hallo allerseits,

    Problem scheint derzeit behoben. Denke es lag an den überzähligen Einträgen:

    "NextSqmReportTime"="2011-09-19 10:29:19"
    "FeaturedUpdatesNotificationSeqNum"=dword:00000420

    "FeaturedUpdatesNotificationSeqNumGenTime"="2009-11-04 04:34:42"
    "NextFeaturedUpdatesNotificationTime"="2011-09-19 10:05:42"

    Gruß

    Wolfgang

    PS: Am WindowsUpdateClient lags sicher nicht, weil ich diesen nicht installieren konnte. Er war in der aktuellsten Version bereits vorhanden.

    Donnerstag, 6. Oktober 2011 12:01
  • Am 06.10.2011 schrieb WolfgangPa:

    PS: Am WindowsUpdateClient lags sicher nicht, weil ich diesen nicht installieren konnte. Er war in der aktuellsten Version bereits vorhanden.

    Den WU-Agent kann man mit der Option /WUFORCE nochmal drüber
    installieren. Siehe Bekannte Probleme:
    http://patch-info.de/artikel/2009/08/27/681

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 7. Oktober 2011 16:36