none
Сервера проигнорировали групповую политику WSUS RRS feed

  • Общие обсуждения

  • Доброго времени суток, коллеги!

    03.03.2021 утром столкнулись с серьезной проблемой. Весь наш парк серверов (WIndows Server 2012/2016) выполнил установку обновлений, следом последовал перезапуск самих серверов для завершения процесса обновления.

    Объект групповой политики для WSUS на серверах, применяется в течение нескольких лет, предназначен для проверки и загрузки обновлений, но не для установки!

    Проведя анализ обнаружили в журнале системы, что в 3 часа ночи стартовала задача установки загруженных ранее обновлений с локального сервера WSUS.
    Спустя несколько часов, после завершения установки всех обновлений, система автоматически инициировала перезапуск сервера.
    "The kernel power manager has initiated a shutdown transition.
    Shutdown Reason: Kernel API"

    Проверили GPO которая применяется на данные сервера. Сервером успешно применены настройки. GPO не редактировалась (включен аудит изменений).

    Параметры реестра на серверах:
    HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \
    WindowsUpdate ActiveHoursEnd - 23
    ActiveHoursStart - 8
    ElevateNonAdmins - 0
    SetActiveHours - 1
    TargetGroup - Servers
    TargetGroupEnabled - 1
    WUServer - http: // FQDN-WStus: http: // FQDN-
    WStus: / FQDN-WSUS: 8530

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU
    AlwaysAutoRebootAtScheduledTime - 0
    AUOptions - 3
    AutoInstallMinorUpdates - 0
    EnableFeaturedSoftware - 0
    NoAUAsDefaultShutdownOption - 1
    NoAUShutdownOption - 1
    NoAutoRebootWithLoggedOnUsers - 1
    NoAutoUpdate - 0
    RebootRelaunchTimeout - 240
    RebootRelaunchTimeoutEnabled - 1
    ScheduledInstallDay - 0
    ScheduledInstallTime - 3
    UseWUServer - 1

    В точности те параметры, которые задаются средствами GPO для наших серверов. Поведение же было ровно такое, как если бы параметр AUOptions был задан "4" (Автоматически загружать и устанавливать обновления). Но мы его однозначно не меняли!

    В планировщике Windows после обнаружили задания UpdateOrchestrator с названием Reboot, которое было в статусе Ready. Было выставленно время, в которое и была произведена перезагрузка нашего сервера.

    Прошу Вашей помощи разобраться в причинах произошедшего. Почему сервера внезапно разом проигнорировали параметры групповой политики, когда мы явно видим значения в реестре корректны.

    Если у кого был опыт разрешения данной ситуации прошу поделиться.

    4 марта 2021 г. 13:14

Все ответы