none
[WSUS] Upgrade auf Windows 10 Build 1703... RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi Community,

    obwohl wir im WSUS Upgrades explizit nicht klassifiziert haben, haben die letzten Tage einige Windows 10 Clients ein Upgrade auf Build 1703 durchgeführt. Dies war so nicht geplant, was haben wir falsch gemacht oder übersehen?

    Thx & Bye Tom

    Mittwoch, 9. August 2017 12:11
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Am 10.08.2017 schrieb Thomas Pronto Wildgruber:

    das sind die ursprünglichen Einstellungen, wie sie bis gestern schon eine ganze Weile gewesen sind, bis auf die rot umrandete Richtlinie "Turn off the upgrade to the latest version of Windows through Windows Upgrade" die habe ich gestern erst nach den ungewollten Upgrades aktiviert:

    <https://social.technet.microsoft.com/Forums/getfile/1109195>

    Deine ADMX Templates sind nicht aktuell. Denn ansonsten könntest Du
    dir die zusätzlichen Reg-Eintragungen sparen. In aktuellen ADMX
    Templates ist der dritte WSUS-Eintrag vorhanden.

    Dann kam da gestern noch der Vorschlag folgende Richtlinie noch zu aktivieren, was ich auch gemacht habe aber ich hatte im Anschluss daran schon auch gleich auch das erste Problem damit. Ich habe über eine Stunde gebraucht um .NET 3.5 auf Windows 10 zu installieren, da der Installer erst mal nur ein Downloader ist und der holt von Windows Update, was ich hiermit explizit unterbunden habe. Fazit: Die Richtlinie zieht aber mir wäre es recht, wenn ich das ursprüngliche Problem auch ohne dieser Richtlinie lösen könnte:

    <https://social.technet.microsoft.com/Forums/getfile/1109201>

    Es gibt eine Richtlinie, die dir dabei hilft trotz WSUS zusätzliche
    Features installieren zu können.
    https://technet.microsoft.com/en-us/library/dn482065.aspx

    Die andere, einfache Methode ist sehr simpel. Den WSUS-Eintrag auf dem
    Client löschen, WUAUSERV einmal neu starten und loslegen. :)

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 11. August 2017 15:28
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 09.08.2017 um 14:11 schrieb Thomas Pronto Wildgruber:
    > obwohl wir im WSUS Upgrades explizit nicht klassifiziert haben, haben
    > die letzten Tage einige Windows 10 Clients ein Upgrade auf Build 1703
    > durchgeführt. Dies war so nicht geplant, was haben wir falsch gemacht
    > oder übersehen?
     
    Microsoft hat die CBB rausgeschmissen damit gibt es keine 180 Tage
    rauszögern mehr.
    Deine Client kontaktieren den Wupdate von Microsoft direkt, weil du es
    nicht abgeschaltet hast. Der Fallback auf den MS Wupdate ist, dasselbe
    Verhaltne, das man schon von div. Virenscannern kennt ... wenn intern
    nicht erreichbar, dann vom Hersteller.
     
    Do not connect to any Windows Update Internet locations
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 11. August 2017 19:21
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Am 09.08.2017 schrieb Thomas Pronto Wildgruber:

    obwohl wir im WSUS Upgrades explizit nicht klassifiziert haben, haben die letzten Tage einige Windows 10 Clients ein Upgrade auf Build 1703 durchgeführt. Dies war so nicht geplant, was haben wir falsch gemacht oder übersehen?

    Wahrscheinlich haben die Clients das Upgrade vom Internet geholt und
    installiert. Zeig doch mal die kompletten GPO-Einstellungen der GPO.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Mittwoch, 9. August 2017 16:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Winfried,

    das sind die ursprünglichen Einstellungen, wie sie bis gestern schon eine ganze Weile gewesen sind, bis auf die rot umrandete Richtlinie "Turn off the upgrade to the latest version of Windows through Windows Upgrade" die habe ich gestern erst nach den ungewollten Upgrades aktiviert:

    Dann kam da gestern noch der Vorschlag folgende Richtlinie noch zu aktivieren, was ich auch gemacht habe aber ich hatte im Anschluss daran schon auch gleich auch das erste Problem damit. Ich habe über eine Stunde gebraucht um .NET 3.5 auf Windows 10 zu installieren, da der Installer erst mal nur ein Downloader ist und der holt von Windows Update, was ich hiermit explizit unterbunden habe. Fazit: Die Richtlinie zieht aber mir wäre es recht, wenn ich das ursprüngliche Problem auch ohne dieser Richtlinie lösen könnte:

    Thx & Bye Tom

    BTW: Es waren vorübergehend keine Antworten mehr sichtbar, jetzt sind sie aber wieder da. Keine Ahnung was da los war...

    Donnerstag, 10. August 2017 08:43
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 10.08.2017 schrieb Thomas Pronto Wildgruber:

    das sind die ursprünglichen Einstellungen, wie sie bis gestern schon eine ganze Weile gewesen sind, bis auf die rot umrandete Richtlinie "Turn off the upgrade to the latest version of Windows through Windows Upgrade" die habe ich gestern erst nach den ungewollten Upgrades aktiviert:

    <https://social.technet.microsoft.com/Forums/getfile/1109195>

    Deine ADMX Templates sind nicht aktuell. Denn ansonsten könntest Du
    dir die zusätzlichen Reg-Eintragungen sparen. In aktuellen ADMX
    Templates ist der dritte WSUS-Eintrag vorhanden.

    Dann kam da gestern noch der Vorschlag folgende Richtlinie noch zu aktivieren, was ich auch gemacht habe aber ich hatte im Anschluss daran schon auch gleich auch das erste Problem damit. Ich habe über eine Stunde gebraucht um .NET 3.5 auf Windows 10 zu installieren, da der Installer erst mal nur ein Downloader ist und der holt von Windows Update, was ich hiermit explizit unterbunden habe. Fazit: Die Richtlinie zieht aber mir wäre es recht, wenn ich das ursprüngliche Problem auch ohne dieser Richtlinie lösen könnte:

    <https://social.technet.microsoft.com/Forums/getfile/1109201>

    Es gibt eine Richtlinie, die dir dabei hilft trotz WSUS zusätzliche
    Features installieren zu können.
    https://technet.microsoft.com/en-us/library/dn482065.aspx

    Die andere, einfache Methode ist sehr simpel. Den WSUS-Eintrag auf dem
    Client löschen, WUAUSERV einmal neu starten und loslegen. :)

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Freitag, 11. August 2017 15:28
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 09.08.2017 um 14:11 schrieb Thomas Pronto Wildgruber:
    > obwohl wir im WSUS Upgrades explizit nicht klassifiziert haben, haben
    > die letzten Tage einige Windows 10 Clients ein Upgrade auf Build 1703
    > durchgeführt. Dies war so nicht geplant, was haben wir falsch gemacht
    > oder übersehen?
     
    Microsoft hat die CBB rausgeschmissen damit gibt es keine 180 Tage
    rauszögern mehr.
    Deine Client kontaktieren den Wupdate von Microsoft direkt, weil du es
    nicht abgeschaltet hast. Der Fallback auf den MS Wupdate ist, dasselbe
    Verhaltne, das man schon von div. Virenscannern kennt ... wenn intern
    nicht erreichbar, dann vom Hersteller.
     
    Do not connect to any Windows Update Internet locations
     
    Tschö
    Mark
     
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Freitag, 11. August 2017 19:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Winfried,

    >Deine ADMX Templates sind nicht aktuell. Denn ansonsten könntest Du
    >dir die zusätzlichen Reg-Eintragungen sparen. In aktuellen ADMX
    >Templates ist der dritte WSUS-Eintrag vorhanden.

    Sorry, ich habe dir den Auszug vom DC gezeigt. Für Windows 10 Einstellungen habe ich die Admin Tools auf meiner Wind 10 Workstation installiert. Darauf schaut es aktuell so aus:

    >Die andere, einfache Methode ist sehr simpel. Den WSUS-Eintrag auf dem
    >Client löschen, WUAUSERV einmal neu starten und loslegen. :)

    Welchen Eintrag meinst du da konkret? Den Registry Schlüssel "DoNotConnectToWindowsUpdateInternetLocations" in "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"?

    Thx & Bye Tom

    Donnerstag, 17. August 2017 13:18
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus Mark,

    >Do not connect to any Windows Update Internet locations

    >http://gpsearch.azurewebsites.net/#10875

    Jupp, hab ich über eine Richtlinie jetzt so abgewickelt. Aber passt das auch zu der Ankündigung von Microsoft, dass keine Updates mehr abgelehnt werden können? Mit dieser Richtlinie würde Microsoft das Tool um ihre eigenen Maßnahmen zu blockieren quasi gleich selbst mitliefern.

    So schaut das bei mir jetzt zZ aus:

    Thx & Bye Tom
    Donnerstag, 17. August 2017 13:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 17.08.2017 schrieb Thomas Pronto Wildgruber:

    >Die andere, einfache Methode ist sehr simpel. Den WSUS-Eintrag auf dem
    >Client löschen, WUAUSERV einmal neu starten und loslegen. :)
    Welchen Eintrag meinst du da konkret? Den Registry Schlüssel "*DoNotConnectToWindowsUpdateInternetLocations*" in "*HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate*"?

    Den letztere komplett löschen, WUAUSERV neu starten:

    net stop wuauserv && net start wuauserv

    Und jetzt .Net Framework über die Features hinzufügen. Die Dateien
    werden über WU gedownloadet, anschließend kannst Du mit gpupdate
    /target:computer wieder den Eintrag für WSUS holen.

    Servus
    Winfried

    WSUS Package Publisher: http://wsuspackagepublisher.codeplex.com/
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren: http://communitybridge.codeplex.com/

    Donnerstag, 17. August 2017 15:42
    |
  • Question
    Anmelden
    1
    Anmelden
    Hi,
     
    Am 17.08.2017 um 15:24 schrieb Thomas Pronto Wildgruber:
    > Jupp, hab ich über eine Richtlinie jetzt so abgewickelt. Aber passt das
    > auch zu der Ankündigung von Microsoft, dass keine Updates mehr abgelehnt
    > werden können?
     
    Ja sicher. Jeder, der es kontrollieren will hat einen WSUS (oder
    alternativen Patch Management Server).
    Deswegen kann die CBB ja auch weg, die hat keiner gebraucht.
     
    Entweder alle Updates sofort (HomeUser, Kleine Firmen, die sich nicht
    kümmern) oder Updates kontrolliert per Server (zB kleine Firmen ab 5
    PCs). Wozu die 180 Tage "defer updates"?
    Die waren IMO immer sinnfrei und rein politisch motiviert, für die, die
    sich nicht kümmern wollen.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT
     
    Donnerstag, 17. August 2017 17:05
    |