MS Windows Update-Service und WSUS

~ 0 min
2024-02-04 11:41

Siehe auch Windows Update funktioniert nicht

  • WSUS überprüfen: wsusutil checkhealth
  • WSUS Reset: wsusutil reset

• Windows Updates per Powershell verteilen:
  https://www.powershellgallery.com/packages/PSWindowsUpdate/

"Updatepause für 7 Tage" läßt sich bis zu 5x drücken und erreicht max. 35 Tage.

WSUS-Client UsoClient (Win10/Server2019):

Microsoft hat WUAUCLT still gelegt und dafür UsoClient eingeführt.
USO ist die Abkürzung für „Update Orchestrator Service“ und ist der Dienst UsoSVC (Update Orchestrator Service) zum Verwalten der Windows Updates.

usoclient StartScan
usoclient StartDownload - startet den Download
usoclient StartInstall - startet Installation
usoclient RestartDevice - PC Neustart

Der Befehl „usoclient StartScan“ hat noch den Nebeneffekt, dass er einen evtl. vorhandenen WSUS Server über den aktuellen Patchstand der Windows Updates informiert und dieser dann gleich die korrekte Zahl anzeigt. Dies wurde vor Windows 10 mit dem Befehl „wuauclt /detectnow“ oder „wuauclt /resetauthorization /detectnow“ eingeleitet.

Update deinstallieren per CMD oder Powershell, falls die GUI scheitert:
wusa /uninstall /kb:4565503 /log:%homepath%\downdate.evtx
(Deinstalliert Update mit genannter KB)

Liste aller installierten Pakete inclusive Updates, Sprachpakete und einige Systemkomponenten:
dism /online /get-packages
Zeigt abgelöste Pakete mit Status "Abgelöst".

Beim Boot von Fremdsystem/WinPE:
dism /image:c:\ /get-packages /scratchdir:c:\
(c: ist das zu untersuchende Offline-Systemlaufwerk)

Windows Update Mini Tool

  • Freeware
  • Updates rückgängig machen
  • Updates offline laden
  • Updateinstallation deaktivieren / manuell steuern


WSUS geht nicht für Windows 10:

- Update KB-3095113 installieren.
- IIS: Mime-Type .ESD = application/octet-stream hinzu fügen.
- WSUS: neue Klassifizierung "Upgrades" anhaken.

https://www.windows-faq.de/2016/08/19/windows-10-anniversary-update-1607-ueber-wsus-korrekt-verteilen/

https://www.windows-faq.de/2016/08/24/windows-10-feature-updates-mit-wsus-verteilen-application-octet-stream/

http://www.zdnet.de/88283945/wsus-updates-fuer-windows-10-optimal-verteilen/?referrer=nl_de_zdnet&t=00b74d57daa296d52bfa609fe3616d1a1822199

WSUS-Client WUAUCLT (alt):

wuauclt /detectnow: Windows Update prüft sofort, ob neue Updates vorliegen, ohne sich auf seinen Zwischenspeicher zu verlassen.
wuauclt /resetauthorization: Nur in Kombination mit einem Update-Server im lokalen Netz interessant. Bewirkt, dass die für die Auto-Updates zuständige Wuauclt.EXE die in einem Cookie gespeicherten Infos (z.Bsp. Gruppenmitgliedschaft) zurücksetzt und das Update erzwingt.
wuauclt /demoui: Testet, ob die Benachrichtigung über neue Downloads mit Hilfe des Symbols im Systray funktioniert.
wuauclt /ShowSettingsDialog: zeigt den Einstellungs-Dialog 'Automatische Updates' an.
wuauclt /reportnow - sendet Statusbericht an den WSUS.

Neue Clients: gpupdate /force und dann Wuauclt /reportnow /detectnow

 


WSUS Dual-Scan unterbinden

Windows 10 und Server 2016 laden per Default ihre Updates aus dem Internet, wenn der WSUS nicht verfügbar ist (Dual-Scan).
Damit verliert man die Kontrolle über die zu installierenden Updates.

Dual-Scan per GPO verbieten:
"Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update" Punkt ""Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird" aktivieren

Dual-Scan per Registry verbieten:
Registry Path: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Value Name: DisableDualScan
Value Type: REG_DWORD
Values: 1 (Enabled) oder 0 (Disabled)

Befehl: reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableDualScan /t REG_DWORD /d 1 /f

Quelle: https://hope-this-helps.de/serendipity/archives/Windows-10-Server-2016-Client-bezieht-seine-Updates-direkt-von-WU-und-nicht-mehr-vom-WSUS-Dual-Scan-563.html

WSUS Server auf SSL umstellen:

  • AD: Computerzertifikat erstellen und auf alle Clients ausrollen (siehe R&S Firewall und AD Zertifikate).
  • IIS-Manager / WSUS-Site / Bindungen bearbeiten: HTTPS konfigurieren, Port, Zertifikat auswählen
  • Gruppenrichtlinie: WSUS auf https: umstellen, Port 8531.
  • ggf. SSL erzwingen: IIS-Manager / WSUS-Site / virtuelle Verzeichnisse (APIremoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService, SimpleAuthWebService) wählen / SSL-Einstellungen: "SSL erforderlich" anhaken, Zertifikat ignorieren.
  • CMD:
    cd %ProgramFiles%\Update Services\Tools\
    wsusutil.exe configuressl [FQDN-des-Servers]
  • Serverneustart, Test im Browser: https://[FQDN-des-Servers]:8531/selfupdate/wuident.cab, bei Erfolg wird Download der CAB angeboten.

Quelle: https://www.windowspro.de/wolfgang-sommergut/wsus-fuer-ssl-verbindung-konfigurieren

WSUS Import vom MS Update Katalog schlägt fehl (Server 2012R2 - 2019)
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Danach Reboot.
Quelle: https://community.spiceworks.com/topic/2144162-import-to-wsus-fails-direct-import-from-ms-update-catalog?page=3

WSUS kann mit "Interne Windows-Datenbank" WID (C:\Windows\WID\Data\SUSDB.mdf) oder SQL-DB arbeiten.
Verbindung mit SQL Management Studio auf WSD: "\\.\pipe\MICROSOFT##WID\tsql\query".

WSUS Konfig steht in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup

Fehler: Updates lassen sich nicht freigeben
  Nach Genehmigung der Updates erfolgt Fehlermeldung.
Lösung: Im ROOT-Verzeichnis des WSUS-Content- Laufwerkes und in /TEMP muß JEDER=Vollzugriff haben!

Dienste:
* WUASERV - Windows Update Service
* W3SVC - WWW-Publishingdienst

Links:

http://www.wintotal.de/updates-und-upgrades-unter-windows-10-im-griff/

Durchschnittliche Bewertung 4 (1 Abstimmung)

Es ist möglich, diese FAQ zu kommentieren.