none
Server 2012 - Verhalten bei Windows Updates über WSUS RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo allerseits,

    wir haben seit einer Weile einige Hyper-V Hosts unter Server 2012 am Laufen. Diese sind Teil der Domäne und erhalten ihre Updates über einen WSUS-Server. Dessen Konfiguration, sowie die entsprechenden Gruppenrichtlinien funktionieren seit Jahren zuverlässig und problemlos.

    In den letzen Tagen passierte uns folgendes: Beim Remote-Login auf einen Hyper-V Host erschien die Meldung, dass Updates zu Installation anstehen. Zwei Optionen werden angeboten: Jetzt neustarten oder Schließen. Nachdem auf dem System weiter gearbeitet werden soll, wurde Schließen geklickt. Nach ca. 10 Minuten wurde die RDP-Session durch Abmelden beendet. Dann wurde spontan und ohne Warnung der Server nach weiteren 15 Minuten rebootet!

    Was passiert hier? Wir konnten das Verhalten unfreiwillig mit einem zweiten Host nachvollziehen - jedesmal ein perfekter DOS für ein Dutzend VMs. Nachdem das nur beim Server 2012 auftritt, muss es hier wohl einige für uns ziemlich katastrophale Änderungen an der Interpretation der Gruppenrichtlinie geben. Trotz längerem Suchen hab ich außer der Option, die automatische Installation in der Richtlinie abzuschalten noch keine Lösung gefunden. Einige Posts bringen das Thema Wartungsfenster ins Spiel, was aber das Problem der Reboots nicht behebt.  

    Wie bitte ist jetzt das empfohlene Vorgehen, um wöchentlich an einem 'Admin-Tag' ab 4:00 die anstehenden Updates installieren zu lassen und neu zu starten, ohne gleichzeitig ungewollte Neustarts zu produzieren, wenn man sich bei anstehenden Updates auf dem Server anmeldet?

    Danke für alle Tipps,

    Markus

    Freitag, 22. März 2013 10:39
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 22.03.2013 schrieb Markus_R. _:

    Wie bitte ist jetzt das empfohlene Vorgehen, um wöchentlich an einem 'Admin-Tag' ab 4:00 die anstehenden Updates installieren zu lassen und neu zu starten, ohne gleichzeitig ungewollte Neustarts zu produzieren, wenn man sich bei anstehenden Updates auf dem Server anmeldet?

    IMHO die Option 3 bei Servern auswählen. D.h. Download und
    Installation manuell. Zeig doch mal die Einstellungen des GPO.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 22. März 2013 21:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    Danke für deinen Hinweis! Was mich bei der Sache ärgert, ist dass meine Richtlinien seit locker 8-10 Jahren problemlos tun und ich jetzt für den Server 2012 eine 'Extrawurst' braten muss. Sprich, eigene Einstellungen, ein GPO mit WMI-Filter das nur für den 2012 gilt, da wir ja auch noch 2008R2 Server haben - und dann findet man nur diffuse Angaben, wie das, was bisher problemlos tat, wieder 'hingebastelt' werden kann, kombiniert mit einem völlig indiskutablen Verhalten mit einem unabwendbaren Reboot nach dem Ausloggen... Ist das, was wir hier wollen so exotisch?

    Vll. noch interessant: Der WSUS-Server läuft auf einen 2008 R2 und wir wollen natürlich keinen manuellen Eingriff, um die Patches zum Admin-Tag zu installieren. Deshalb hatte ich die Option 3 bisher nicht in Betracht gezogen.

    Viele Grüße,

    Markus

    Hier meine Settings:

    Auto Updates Hyper-V Hosts
    Daten ermittelt am: 25.03.2013 08:45:52
    Allgemein
    Details
    Domäne xxx.de
    Besitzer INFOSYS\Domänen-Admins
    Erstellt 19.03.2013 12:35:24
    Geändert 20.03.2013 15:11:16
    Benutzerrevisionen 1 (AD), 1 (sysvol)
    Computerrevisionen 3 (AD), 3 (sysvol)
    Eindeutige ID {DECEF66A-364B-4102-86DB-986F126C34E4}
    GPO-Status Benutzereinstellungen deaktiviert
    Verknüpfungen
    Standort Erzwungen Verknüpfungsstatus Pfad
    Hyper-V Hosts Nein Aktiviert xxx.de/Server/Hyper-V Hosts

    Die Liste
    enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
    Sicherheitsfilterung
    Die Einstellungen dieses Gruppenrichtlinienobjekts können nur
    auf folgenden Gruppen, Benutzer und Computer angewendet werden:
    Name
    NT-AUTORITÄT\Authentifizierte Benutzer
    Delegierung
    Folgende Gruppen und Benutzer haben die angegebene
    Berechtigung für das Gruppenrichtlinienobjekt
    Name Zulässige Berechtigungen Geerbt
    INFOSYS\Domänen-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein
    INFOSYS\Organisations-Admins Einstellungen bearbeiten, löschen, Sicherheit ändern Nein
    NT-AUTORITÄT\Authentifizierte Benutzer Lesen (durch Sicherheitsfilterung) Nein
    NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION Lesen Nein
    NT-AUTORITÄT\SYSTEM Einstellungen bearbeiten, löschen, Sicherheit ändern Nein
    Computerkonfiguration (Aktiviert)
    Richtlinien
    Administrative
    Vorlagen
    Richtliniendefinitionen (ADMX-Dateien) wurden aus dem zentralen
    Speicher abgerufen.
    Windows-Komponenten/Windows
    Update
    Richtlinie Einstellung Kommentar
    Automatische Updates konfigurieren: 4 - Autom. Herunterladen und laut Zeitplan installieren
    Die folgenden Einstellungen sind nur erforderlich und anwendbar,
    wenn die Option 4 ausgewählt wurde.
    Geplanter Installationstag: 1 - Jeden Sonntag
    Geplante Installationszeit: 04:00
    Richtlinie Einstellung Kommentar

    Wenn diese Richtlinie aktiviert ist, werden sowohl empfohlene Updates als auch wichtige Updates vom Windows Update-Aktualisierungsdienst installiert.

    Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, liefert "Automatische Updates" weiterhin wichtige Updates, wenn dies bereits konfiguriert ist." gpmc_settingName="Empfohlene Updates über automatische Updates aktivieren" gpmc_settingPath="Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update" gpmc_supported="Mindestens Windows Vista" href="javascript:void();">Empfohlene
    Updates über automatische Updates aktivieren    		 Aktiviert
    Folgenden Zeitraum (in Minuten)
    warten, bevor zu einem Neustart
    aufgefordert wird: 120
    Richtlinie Einstellung Kommentar
    Interner Updatedienst zum Ermitteln von Updates: http://winupdate.xxx.de
    Intranetserver für die Statistik: http://winupdate.xxx.de
    (Beispiel:
    http://IntranetUpd01)
    Richtlinie Einstellung Kommentar
    In folgenden Abständen (Stunden)
    nach Updates suchen: 6
    Richtlinie Einstellung Kommentar
    Wartezeit nach
    Systemstart (Minuten): 1
    Benutzerkonfiguration (Deaktiviert)

    Keine Einstellungen definiert


    Montag, 25. März 2013 07:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 25.03.2013 schrieb Markus_R. _:

    Danke für deinen Hinweis! Was mich bei der Sache ärgert, ist dass meine Richtlinien seit locker 8-10 Jahren problemlos tun und ich jetzt für den Server 2012 eine 'Extrawurst' braten muss. Sprich, eigene Einstellungen, ein GPO mit WMI-Filter das nur für den 2012 gilt, da wir ja auch noch 2008R2 Server haben - und dann findet man nur diffuse Angaben, wie das, was bisher problemlos tat, wieder 'hingebastelt' werden kann, kombiniert mit einem völlig indiskutablen Verhalten mit einem unabwendbaren Reboot nach dem Ausloggen... Ist das, was wir hier wollen so exotisch?

    Ja und nein. Beim 2012 wurde das geändert. Wenn man als Admin manuell
    Updates installiert kommt beim Abschluß der folgende Hinweis:
    Der Server wird automatisch in 2 Tagen neu gestartet!

    Vll. noch interessant: Der WSUS-Server läuft auf einen 2008 R2 und wir wollen natürlich keinen manuellen Eingriff, um die Patches zum Admin-Tag zu installieren. Deshalb hatte ich die Option 3 bisher nicht in Betracht gezogen.

    Auch wenn Du es nicht gerne hörst, 2012!=2008R2. Du/ihr werdet etwas
    ändern müssen. Du kannst z.b. mit einem Script regelmässig prüfen, ob
    ein Neustart 'ansteht', wenn ja, rebooten.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
    Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

    Montag, 25. März 2013 17:40
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    bitte nicht als Vorwurf an dich verstehen - aber wer denkt sich etwas so weltfremdes aus, einen Server einfach so irgendwann zu rebooten? Im Gegensatz zu deiner Aussage, gab es bei mir definitiv KEINE Warnung, ich hatte auch keine Updates manuell installiert, trotzdem wurden die Maschinen 15 Minuten nach dem Abmelden rebootet. Ein automatischer Reboot sollte aber erst am nächsten Sonntag um 4:00 stattfinden. Für mich ist das ein handfester Bug und fällt nicht unter die Gleichung 2012!=2008R2.

    Dass ich jetzt eine Standardfunktionalität 'nachbasteln' soll, weil nicht mal mehr die MS-eigenen Gruppenrichtlinien korrekt interpretiert werden, verbessert meine Meinung über die derzeitig offensichtlich etwas weltfremde Logik bei MS nur minimal...

    Trotzdem danke für deine Hinweise - auch wenn sie mein Problem nicht wirklich lösen.

    Viele Grüße,

    Markus


    • Bearbeitet Markus_R. _ Dienstag, 26. März 2013 07:39
    Dienstag, 26. März 2013 07:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 26.03.2013 schrieb Markus_R. _:

    bitte nicht als Vorwurf an dich verstehen - aber wer denkt sich etwas so weltfremdes aus, einen Server einfach so irgendwann zu rebooten? Im Gegensatz zu deiner Aussage, gab es bei mir definitiv KEINE Warnung, ich hatte auch keine Updates manuell installiert, trotzdem wurden die Maschinen 15 Minuten nach dem Abmelden rebootet.

    Wurden die Updates automatisch installiert? Wenn ja, dann wurden
    früher die Server/Clients automatisch durchgestartet nach der
    Installation wenn niemand angemeldet war.

    Ein automatischer Reboot sollte aber erst am nächsten Sonntag um 4:00 stattfinden. Für mich ist das ein handfester Bug und fällt nicht unter die Gleichung 2012!=2008R2.

    Wenn Du mit 04.00 Uhr die Uhrzeit in der GPO meinst, dann täuscht Du
    dich. Dort steht nur die Installationszeit, das hat nichts mit der
    Reboot Zeit zu tun.

    Dass ich jetzt eine Standardfunktionalität 'nachbasteln' soll, weil nicht mal mehr die MS-eigenen Gruppenrichtlinien korrekt interpretiert werden, verbessert meine Meinung über die derzeitig offensichtlich etwas weltfremde Logik bei MS nur minimal...

    Installationszeit != Neustart.

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 26. März 2013 20:19
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Winfried,

    die Gleichung stimmt nur 'beinahe' nicht.

    Sie lautete bisher immer: Neustartzeit=Installationszeit+Dauer der Installation.

    Sprich: in der Konfiguration mit der Option 4 ('Download and Install') und der Angabe einer Installationszeit wurde  (soweit durch die Patches notwendig) immer auch ein Reboot ausgeführt. Und das ganz ohne zusätzliche Scripte, etc. Wir hatten das seit Windows 2000 so am Laufen und es tat extrem zuverlässig bis einschließlich Win7 x64 und 2008 R2.

    Dabei wurden die Patches nach der Freigabe am WSUS innerhalb von max. 6h heruntergeladen, die Installation und der Reboot aber erst beim eingetragenen Zeitpunkt vorgenommen. Ob und wie oft sich dabei zwischendurch ein User eingeloggt hat, war ohne Belang, es sei denn er hat die Installation manuell gestartet.

    Dass WinSrv2012 dabei nicht wie gedacht verhält geht auch aus diesem Thread hervor:

    http://social.technet.microsoft.com/Forums/en-US/winserver8gen/thread/49671250-090a-454e-897d-2c450415e7a5

    Den Wartungsplan ins Spiel zu bringen ist auch nicht zielführend, da der (warum auch immer...) nur tägliche Wartungsfenster zulässt. Die haben wir aber leider nicht.

    Was mich wirklich wundert, ist dass das nicht bei zigtausenden von Usern auffällt, denen plötzlich die Server einfach so booten, daher meine Frage, ob es bei uns irgendwas besonderes geben könnte, was das Verhalten verursacht.

    Generell find ich die Denke, dass jetzt der Server entscheidet, wann er denn nun rebooten mag (sei es 15min oder 2 Tage nach der Installation) ein völliges Unding.

    Schlimmer noch: es hat mir bisher niemand eine befriedigende Lösung erklären können, wie wir mit WinSrv2012 ein wöchentliches Installieren zum Zeitpunkt x mit Reboot danach hinbekommen, ohne die ganze Updatemimik händisch per Script nachzubauen. Bitter.

    Viele Grüße,

    Markus

    Mittwoch, 27. März 2013 12:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 27.03.2013 schrieb Markus_R. _:

    die Gleichung stimmt nur 'beinahe' nicht.

    Sie lautete bisher immer: Neustartzeit=Installationszeit+Dauer der Installation.

    Stimmt. ;)

    Sprich: in der Konfiguration mit der Option 4 ('Download and Install') und der Angabe einer Installationszeit wurde  (soweit durch die Patches notwendig) immer auch ein Reboot ausgeführt. Und das ganz ohne zusätzliche Scripte, etc. Wir hatten das seit Windows 2000 so am Laufen und es tat extrem zuverlässig bis einschließlich Win7 x64 und 2008 R2.

    Ich kann mir nicht vorstellen, dass es bei 2012 gravierend geändert
    wurde. Hast Du denn schon mal die möglichen Einstellungen für Windows
    Update auf einem W2012 angesehen?
    Mit ein bisschen Nacharbeit, dürfte das hier kurzfristig helfen:
    http://gallery.technet.microsoft.com/scriptcenter/Get-PendingReboot-Query-bdb79542

    Servus
    Winfried

    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Donnerstag, 28. März 2013 19:29
    |