none
Windows Server 2012 R2 Errore installazione aggiornamenti sicurezza ed Integration Services RRS feed

  • Domanda

  • Salve a tutti,

    ho rilevato un problema su alcune VM Windows 2012 R2 su Host Hyper-V Windows 2012 R2: non si riesce ad installare le patch di sicurezza e le patch relative agli aggiornamenti degli Integration Services di Hyper-V. 

    Le patch in questione sono KB4338815, KB4072650 e KB4057903. Viene eseguita la parte di installazione di Windows Update ma al riavvio viene segnalato che è impossibile completare gli aggiornamenti.
    Sono state fatte tutte le manovre previste dalle varie KB per la soluzione di Windows Update inclusa l'esecuzione delle funzioni previste dal tool 

    https://gallery.technet.microsoft.com/scriptcenter/Reset-Windows-Update-Agent-d824badc

    Execute option "Deletes the temporary files in Windows"

    Execute option "Cleans up the superseded components."

    Execute option "Deletes any incorrect registry values."

    Execute option "Resets the Windows Update Components"


    Il controllo "Cleans up the superseded component" fallisce con errore 1168


    giovedì 9 agosto 2018 14:53

Tutte le risposte

  • Ciao, ci si vede un po qui..un po sulla bacheca di Sbressa :-).

    Prima di tutto sulla KB4057903 ci sono stati parecchi problemi, gli utenti lamentavano blocchi di sistema una volta installate le integration tools. Se leggi questa discussione vedrai un lista infinita di problematiche.

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/387da0db-6046-4838-9db7-c8ddcb6810da/update-kb4057903-fails-in-windows-server-2012-r2-hyperv?forum=winserverhyperv

    Leggendo un po in giro c'è stato chi l'ha installata facendo parte il server in clean boot (un po barbara come cosa..) e chi ha disabilitato il defender. Ora personalmente non riavvierei il server in clean per installare a forza una update nemmeno obbligato. Penso che i tuoi server stiano funzionando lo stesso. Mi orienterei sulle nuove updates, la integration tools non è madatory, può saltata ed installate le seguenti direttamente. La costa strana è che sono updates di Gennaio..sei abbastanza indietro su quei server no?

    ciao!

    A.

    venerdì 10 agosto 2018 13:34
    Moderatore
  • Salve Alessandro, prima di postare qua ho scorso in lungo ed in largo internet ed i forum Microsoft. La problematiche segnalata nel thread che indichi l'avevo vista già ed è relativa al fatto che sulle macchine è installato Exchange 2013. Da me il problema si verifica su macchine senza Exchange ed addirittura su una dove non c'è installato niente. L'unica cosa che hanno in comune queste macchine è il fatto che c'è installato Symantec Endpoint protection e che da gennaio NON sono stati fatti aggiornamenti. Ho anche un ticket aperto con Microsoft ma ancora non si riesce ad avere una soluzione.
    Analizzando i vari log legati a Windows Update (CBS, DISM, ReportingEvents, WIndowsUpdate) viene fuori che quando i processi di aggiornamento coinvolgono moduli relativi a vmbus o a componenti come schede di rete vengono segnalati errori di file non trovato. I pacchetti sono stati riscaricati dai server di Microsoft più e più volte. A me viene da pensare che fra gennaio e maggio con la storia che non venivano fatti installare gli aggiornamenti alle macchine per le quali i produttori di antivirus non avevano dichiarato la compatibilità con le fix relative al bug dei processori Intel qualcosa è andato storto nell'impostazione di permessi su alcuni rami di registry O, peggio, in effetti qualche payload malevolo sia effettivamente arrivato su queste macchine e non per colpa dell'utente….


    venerdì 10 agosto 2018 14:11
  • Se leggi il problema era stato sollevato su una macchina Ex2013 ma poi gli altri si sono uniti dicendo che capita anche su server senza Exchange, su dei DC o dei semplici member server.

    Dubito che siamo di fronte a sw malevolo, prima di tutto perchè il comportamento non è limitato la fatto di non poter installare patch, dovrebbero avere una lista di comportamenti anomali diversi, seconda cosa, da dove è passato? sono tutte pubblicate? o su rete locale? nella mia esperienza dei server compromessi hanno problematiche a catena. Qui secondo me siamo di fronte ad un qualche tipo evento di WU che ha intaccato il registry ed ora si comportano in questo modo. Se però hai anche aperto un ticket diretto e non te l'hanno ancora risolto non penso che potremmo farlo qui a meno che qualcuno non abbia trovato un workaround ma la casistica è molto bassa a guardarla bene. Potrebbe essere anche che l'endpoint abbia cassato qualche file durante gli aggiornamenti per qualche motivo ed ora ti ritrovi in questa situazione, magari è il driver Ndis della scheda di rete del Symantec. 

    Cosa fanno queste macchine? e quante sono più che altro?

    La prova che farei visto che è una struttura virtuale è clonare la VM e lavorare di test sul clone togliendo un po di roba e vedendo cosa succede, partendo dall'AV naturalmente, se arrivi alla soluzione poi la replichi in produzione.

    la vera domanda è: il tempo tuo di debug è ripagato dalla necessità di avere le update su queste VM? se la risposta è si, inizia a provarci..in caso contrario...


    venerdì 10 agosto 2018 14:40
    Moderatore
  • Ovvio che i test di correzione del problema sono fatti su cloni e che la prima cosa che s'è fatta è stata rimuovere l'AV Symantec (cosi come aggiornarlo). Si sono anche eliminate le schede di rete preesistenti. E qui viene fuori il bello: usando degli Host 2016 gli integration services non vengono nemmeno visti e non si installa in maniera "ortodossa" nessun driver di rete. Sugli host 2012 R2 la ISO di VMGUEST.ISO viene montata ma l'installazione fallisce. Si possono reinstallare disattivando la verifica della firma digitale dei drivers….
    Il problema è che è una situazione ereditata e che potenzialmente potrebbe trovarsi su una decina di VM in produzione presso vari clienti, alcuni con parecchio software installato sopra.
    venerdì 10 agosto 2018 15:21
  • Ovvio che i test di correzione del problema sono fatti su cloni 

    ovvio mica tanto..:) caso più unico che raro...di solito tutti paciugano in produzione...senti...lo so che siamo su un forum MS...ma io sono un uomo VMWare...sarebbe interessante cambiare la base di virtualizzazione con un esx 6.0 update 3 o con una 6.5 per capire se il problema (al di là degli integration) si verifica sulle vm lo stesso..secondo me dipende dalle VM compromesse e non dall’host base...ma se tu riuscissi a fare un test ne avresti la controprova..però è un caso interessante..anche se ripeto, se MS direttamente non ne è ancora uscita la vedo grigia...

    venerdì 10 agosto 2018 16:21
    Moderatore