Автор Тема: [РЕШЕНО] Незапланированная установка обновлений Windows Update (Прочитано 527 раз)

Retif · « : 27 февраля 2025, 22:46:20 »

Есть домен. В нем настроена политика обновлений Windows Update с местного WSUS.

В политике настроено Configure automatic updating: 2 - Notify for download and auto install. 3-ка была до этого, с ней были те же проблемы.

Но не работает. Обновления скачиваются, устанавливаются и серверы перезагружаются тогда, когда их никто не просил.

Вот итоговые настройки Windows Update с тестового, свежеустановленного и введенного в домен сервера 2019. Его установил днем, вечером примерно в 19 часов установились обновления и произошла перезагрузка.

Цитировать

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000000
"ExcludeWUDriversInQualityUpdate"=dword:00000001
"WUServer"="http://wsus01.domain.loc:8530"
"WUStatusServer"="http://wsus01.domain.loc:8530"
"UpdateServiceUrlAlternate"=""
"SetProxyBehaviorForUpdateDetection"=dword:00000000
"DisableDualScan"=dword:00000001
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:00000016
"UseWUServer"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:000005a0
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000002
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000006

Абсолютно такие же настройки Windows Update есть в другой конторе, но там никаких незапрашиваемых установок обновлений и перезагрузок нет.

Сейчас политика изменена на "Configure Automatic Updates - Disabled" для того, чтобы серверы не перегружались и это работает. Для тестовой группы серверов "Configure automatic updating: 2 - Notify for download and auto install" и с ними происходит описанное выше безобразие.

Политику пересоздавал. В логах все красиво, просто начинает скачиваться (с какого перепуга?) обновление, потом устанавливается, потом перезагрузка в неактивные часы.

Куда копать, не могу понять.

Triangle · « **Ответ #1 :** 28 февраля 2025, 06:58:41 »

Я не знаю применима ли это к серверам, но на win 10 было кое что похожее. Там есть что если wsus по какой то причине был недоступен то оно лезет обновляться так. Несмотря на доменную политику, искать надо это вот.

Do not allow update deferral policies to cause scans against Windows Update

Fray · « **Ответ #2 :** 28 февраля 2025, 09:14:28 »

У нас вот так, и все норм:

Цитировать

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"AcceptTrustedPublisherCerts"=dword:00000001
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Clients-SPB"
"WUServer"="http://172.24.0.170:8530"
"WUStatusServer"="http://172.24.0.170:8530"
"UpdateServiceUrlAlternate"=""
"DoNotConnectToWindowsUpdateInternetLocations"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"EnableFeaturedSoftware"=dword:00000000
"AutoInstallMinorUpdates"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000c
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"NoAUAsDefaultShutdownOption"=dword:00000000
"NoAUShutdownOption"=dword:00000000
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000000a
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000005
"UseWUServer"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000014
"ScheduledInstallEveryWeek"=dword:00000001

Вот этот параметр нужен, ЕМНИП

DoNotConnectToWindowsUpdateInternetLocations

Retif · « **Ответ #3 :** 28 февраля 2025, 10:09:50 »

Цитата: Fray от 28 февраля 2025, 09:14:28

Вот этот параметр нужен, ЕМНИП

DoNotConnectToWindowsUpdateInternetLocations

Я конечно проверю, но в другой конторе без него всё нормально работает.

Retif · « **Ответ #4 :** 01 марта 2025, 12:22:53 »

Цитата: Fray от 28 февраля 2025, 09:14:28

Вот этот параметр нужен, ЕМНИП

DoNotConnectToWindowsUpdateInternetLocations

Проверил с ним, не помогло.

Updated: 01 March 2025, 12:23:35

Цитата: Triangle от 28 февраля 2025, 06:58:41

Do not allow update deferral policies to cause scans against Windows Update

Вот это оно и есть:

Цитата: Retif от 27 февраля 2025, 22:46:20

"DisableDualScan"=dword:00000001

Updated: 01 March 2025, 12:26:17

Цитата: Fray от 28 февраля 2025, 09:14:28

У нас вот так, и все норм:

Цитата: Fray от 28 февраля 2025, 09:14:28

"AUOptions"=dword:00000004

У тебя вообще установка по расписанию стоит раз в неделю. А у меня 2-ка.

Retif · « **Ответ #5 :** 02 марта 2025, 17:22:52 »

В WindowsUpdate.log есть такие странные строки - "Metadata Policy-driven service enabled. Using Ignore Policy":

Цитировать

2025.03.01 19:12:16.9374425 4868 4196 Metadata Policy-driven service enabled. Using Ignore Policy.
2025.03.01 19:12:16.9374490 4868 4196 ProtocolTalker SyncUpdates - 0 bad out of 0 metadata signatures checked using Unknown enforcement mode (raw mode: (null)).
2025.03.01 19:12:16.9977386 4868 4196 IdleTimer WU operation (CAgentProtocolTalker::SyncUpdates_WithRecover) started; operation # 19; does use network; is at background priority
2025.03.01 19:12:17.0019542 4868 4196 IdleTimer WU operation (CAgentProtocolTalker::SyncUpdates_WithRecover, operation # 19) stopped; does use network; is at background priority
2025.03.01 19:12:17.0021436 4868 4196 Metadata Policy-driven service enabled. Using Ignore Policy.
2025.03.01 19:12:17.0021500 4868 4196 ProtocolTalker SyncUpdates - 0 bad out of 0 metadata signatures checked using Unknown enforcement mode (raw mode: (null)).
2025.03.01 19:12:17.0503252 4868 4196 ProtocolTalker Skipping driver sync because it's not required.
2025.03.01 19:12:17.0503279 4868 4196 ProtocolTalker SyncUpdates round trips: 5
2025.03.01 19:12:17.3223934 4868 4196 ProtocolTalker ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}, Server URL = http://wsus01.domain.loc:8530/ClientWebService/client.asmx
2025.03.01 19:12:17.3223960 4868 4196 ProtocolTalker OK to reuse existing configuration
2025.03.01 19:12:17.3223992 4868 4196 ProtocolTalker Existing cookie is valid, just use it
2025.03.01 19:12:17.3224010 4868 4196 ProtocolTalker PTInfo: Server requested registration
2025.03.01 19:12:17.3309443 4868 4196 IdleTimer WU operation (CAgentProtocolTalker::GetExtendedUpdateInfo_WithRecovery) started; operation # 20; does use network; is at background priority
2025.03.01 19:12:17.3328785 4868 4196 IdleTimer WU operation (CAgentProtocolTalker::GetExtendedUpdateInfo_WithRecovery, operation # 20) stopped; does use network; is at background priority
2025.03.01 19:12:17.3329977 4868 4196 Metadata Policy-driven service enabled. Using Ignore Policy.

Ничего интересного по ним не гуглится.

Retif · « **Ответ #6 :** 12 марта 2025, 15:22:00 »

Нашли причину. На WSUS в одобрениях стоял дедлайн. Человек, который настраивал WSUS, да и я собственно, не были в курсе, это эта настройка имеет приоритет перед любыми групповыми политиками. В логах тоже никаких намеков на это не было.

Цитировать

If the client contacts the server after the update deadline has passed, it will try to install the update as soon as possible.

https://learn.microsoft.com/de-de/security-updates/windowsupdateservices/18127631

Fray · « **Ответ #7 :** 12 марта 2025, 23:44:26 »

Цитата: Retif от 12 марта 2025, 23:43:36

На WSUS в одобрениях стоял дедлайн. Человек, который настраивал WSUS, да и я собственно, не были в курсе, это эта настройка имеет приоритет перед любыми групповыми политиками.

Ну теперь знаете