Windows-Updates mehrerer virtueller Maschinen / Hyper-V

[MikE_GRH]

Hallo,

ich bastel momentan etwas rum und habe hier einen windows 2019 Server.
Darauf laufen aktuell 5 virtuelle Win10 Maschinen im Hyper-V-Manager.

Jetzt vielleicht eine blöde Frage... aber wie kann ich die Windowsupdates auf den einzelnen Maschinen einspielen, ohne mich jedes mal auf dem jeweiligen PC einloggen zu müssen?

Ich habe keinen WSUS Server.

Kann das z.B. auch per Befehl aus dem Host System heraus initiiert werden?
Was ist hier der beste Workaround?

 

[Zensai]

Da wirst du einen WSUS o.. Installieren müssen. Powershell Remoting funktioniert anscheinend nicht, weil Updates nur mit einer Lokalen Anmeldung in der Powershell funktionieren und nicht per Netzwerkanmeldung, zumindest laut diesem Thread hier: https://techcommunity.microsoft.com...-updates-with-powershell-remotely/m-p/3442643

 

[DocWindows]

Ich habe keinen WSUS Server.

Du hast aber einen Windows Server 2019. Aktiviere dort doch einfach die WSUS Rolle.
Der Verbindung der Clients zu diesem Server kann man mit Registryeinträgen auch manuell machen, falls man keinen Domaincontroller möchte/hat, der das per Gruppenrichtlinie erledigt.

 

[Masamune2]

Dafür braucht es nicht direkt einen WSUS, es gibt ein Powershell Module dafür: https://www.thomas-krampe.com/2022/03/windows-updates-mit-powershell-durchfuehren/
Kann für den lokalen Rechner oder auch remote eingesetzt werden.

 

[Mr.Blacksmith]

Kostenlose Enterpriselösung für bis zu 25 Endgeräte:

https://www.manageengine.com/de/desktop-central/

Damit hältst Du die Dinger auch bezüglich der installierten Software auf dem aktuellen Stand und kannst weitere Ferkeligkeiten ausrollen wie z.B. vorgegebene Softwareinstallation wie auch Deinstallationen.

 

[Zensai]

@Masamune2 Oh Cool, das kannte ich noch nicht! Dann sollte das Ja problemlos scriptbar sein auch ohne Updateverteilung.
Vobei es nun wirklich kein Hexenwerk ist die WSUS Rolle zu aktivieren, wenn man sich eh ein Lab o.ä. auf Windows Basis baut.

 

[PHuV]

@Masamune2
Ich auch nicht. Danke. Wir hatten das, mit dem Abschalten des WSUS, weil es zuviele Probleme machte, dann es von Hand bei jedem Client (ca.20) bei Gelegenheit gemacht, wenn wir wieder mal darauf arbeiteten. Die Hyper-V Server bzw. der AD-Server waren auf automatische Updates ab 20 Uhr eingestellt.

 

[MikE_GRH]

@Masamune2
Das sieht wirklich interessant aus!

Wenn ich dann auf jeder virtuellen Maschine das Script jeden 4. Dienstag (Patchday + 2 Wochen Sicherheitsabstand) laufen lasse, sollte sich Wartungsaufwand drastisch minimieren.

Server die geplant neu starten müssen, einfach per "IgnoreReboot" updaten lassen und dann manuell neu starten.

Ich werde das mal so laufen lassen, falls es keine Einsprüche gibt.

 

[Masamune2]

Ja so mache ich es auch bei vielen VMs. Script läuft in der letzten Woche jedes Monats nachts um 3 Uhr und startet den Server anschließend neu.

 

[MikE_GRH]

@Masamune2
Ich habe jetzt etwas mit dem Tool rumgespielt und dabei eine Beobachtung gemacht, vielleicht kannst du das irgendwann mal prüfen, ob da bei dir auch so ist:

Ich habe die Updates per "Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot" installiert.
Get-WindowsUpdate & WUList bringen nach dem Reboot keine Ausgabe mehr.
Ich denke also, die Installation ist erfolgreich.
Mit Get-WUHistory sehe ich, dass 2022-09 Kumulatives Update erfolgreich intalliert wurde.

Wenn ich jetzt aber über den herkömmliche Weg, also: Nach Updates suchen im Windows gehe, wird mir genau dieses Update noch als zum installieren angezeigt.

Und auch über die Windowsoption Updateverlauf anzeigen wird mir das 2022-09 Kumulatives Update nicht angezeigt.

 

[Masamune2]

Ja das ist leider korrekt. Über dieses Modul umgeht man die Funktion in der Systemsteuerung und die bekommt dann nichts mehr davon mit das die Updates gemacht wurden.
Wenn du das Update versuchst darüber nochmal zu installieren merkt Windows dann aber das es nicht nochmal geht.

 

[Eggcake]

Wir haben bei uns das Modul ebenfalls im Einsatz für diverse Umgebungen (sicherlich 100+ VMs insgesamt). Unser Skript installiert Updates parallel auf den Servern, rebootet, sucht erneut bis nichts mehr gefunden wird.
Finde das Module wirklich erstklassig. Was man dabei beachten muss: es scheint völlig unabhängig vom eingebauten Windows Service zu funktionieren.

 

[MikE_GRH]

Auf meinem Testserver funktioniert das Ganze gepaart mit der Windows-Aufgabenplanung soweit einwandfrei.
Nur werden mir leider keine Logs erstellt...
Kann mal bitte jemand über meinen Befehl drüberschauen, ob dort ein Fehler drin ist?

Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -Install -AutoReboot | Out-File „c:logs$(get-date -f yyyy-MM-dd)-WindowsUpdate.log“ -force

 

[MikE_GRH]

@Eggcake
@Masamune2

sorry, dass ich euch direkt anspreche, aber ich hoffe einer von euch zwei hat logs mitlaufen und kann mir vielleicht bezüglich des Befehls weiterhelfen.

 

[Masamune2]

Also spontan würde ich sagen der \ fehlt hinter dem C: und dem logs.

Out-File "C:\logs\$(get-date -f yyyy-MM-dd)-WindowsUpdate.log" -force

Außerdem muss der Ordner vorher schon angelegt sein.

 

[Tito_2000]

Warum führst du die Updates nicht über das Windows Admin Center aus?

 

[MikE_GRH]

Habe WAC vor längerer Zeit mal getestet und hatte ein paar Probleme damit.
Über kurz oder lang werde ich mich aber nochmal damit beschäftigen (müssen).
Allerdings muss ich dort auch manuell die Updates anstoßen.
Zwar wesentlich bequemer, als per RDP-Hopping, aber eben doch noch manuell...

Mit dem Script habe ich hier eine Automatik und das funktioniert einfach super!