Windows Patch Management: Troubleshooting

Sollten Probleme mit dem Windows Patch Management auftreten, prüfen Sie bitte zunächst, ob Sie diese auf eine der folgenden Weisen selbst beheben können.

Inhaltsverzeichnis:

• Fehlgeschlagene Patches
• Patch-Scans dauern zu lang
• Die Installation einzelner Patches verhindern
• Das Windows Updates auf meinem Rechner meldet, dass mein auf meinem Gerät schon lange kein Scan mehr durchgeführt wurde
• Obwohl ich die Patchverwaltung mit Ninja konfiguriert habe, werden bei einem mit Windows Updates durchgeführten verfügbare Patches gefunden
• Ein Patch wird nicht unter den mit Ninja installierten Patches aufgelistet, aber als via WMI Calls auf dem Gerät installiert

• Auf einem Windows-10-Rechner wird ein Windows-11-Upgrade angeboten

Fehlgeschlagene Patches:

Problem

Sie versuchen, Windows-Patches zu installieren, doch bei manchen gelingt dies nicht.

Ursache

Nun, die Installation von Microsoft-Patches kann aus vielerlei Gründen fehlschlagen, beispielsweise wegen

• einer Netzwerkunterbrechung während des Scans und/oder der Installation
• eines falschen oder fehlerhaften Patches
• vorhandener Schadsoftware 

Lösung

Wenn Sie auf das Dropdown-Menü rechts neben dem jeweiligen Patch klicken, finden Sie dort die von Ninja angebotenen Lösungen, bei denen es sich sämtlich um die allgemein am häufigsten praktizierten Lösungen handelt:

Zusätzlich können Sie Folgendes versuchen:

• Ermitteln Sie die KB des jeweiligen Patches, und ob es sich um ein bekanntes Problem handelt, und folgen Sie dann den von Microsoft in solchen Fällen empfohlenen Lösungswegen.
• Sehen Sie im Ereignisprotokoll des betroffenen Gerätes nach.
• Verwenden Sie Windows Update-Troubleshooting-Tool für betroffene Windows-7-, -8- und -10-Boxes.

Patch-Scans dauern zu lang:

Problem

Scans nach Windows-Patches dauern regelmäßig viel zu lang bzw. scheinen niemals an ein Ende zu kommen.

Ursache

Die Höchstdauer geplanter Scans ist gar nicht oder zu lang eingestellt.

Lösung

Wichtiger Hinweis: Die Dauer von Patch-Scans variiert je nach System. Üblicherweise dauert ein Patch-Scan bis zu drei Stunden. Manchmal bleibt der Scan aber auch stecken, etwa wegen WUA-bezogener Prozesses oder Ninjas Patchverwaltungstool . Dies kann ein Hinweis auf ein Problem mit wuauserv sein und erfordert eine Untersuchung des betreffenden Rechners. Die unten gegebene Anleitung soll Ninja-Patch-Zeiten verringern, kann mögliche Probleme mit WUA aber in keinem Fall beheben. 

Zur Begrenzung der Dauer von Patch-Scans bietet die Windows-Patchverwaltung die Möglichkeit, in der Richtlinie für die zeitliche Planung von Scans eine entsprechende Höchstdauer festzulegen. 

Gehen Sie dazu in Ihrer Ninja-Konsole wie folgt vor:

1. Navigieren Sie zum Editor der Richtlinie, innerhalb derer Sie eine Höchstdauer festlegen möchten, und wählen Sie die Registerkarte Windows Patches aus.
2. Klicken Sie in den Einstellungen für Scan-Plan auf den aktuellen Zeitplan, um ihn zu bearbeiten.
3. Geben Sie die Dauer in Stunden oder Minuten ein.
4. Speichern Sie die Änderungen.

Wenn gewünscht, kann diese Scan-Dauer auch auf den Zeitplan des Updates angewendet werden. 

Die Installation einzelner Patches verhindern:

Problem

Es gibt Patches, von denen ich nicht möchte, dass Sie auf einem bestimmten oder mehreren von mir verwalteten Geräten installiert werden.

Ursache

Neu veröffentlichte Patches haben manchmal unerwartete, unerwünschte Auswirkungen auf Agent-Rechner (etwa blaue Bildschirme oder Anwendungskonflikte).

Lösung

In solchen Situationen ist es nötig, den Patch gleich für mehrere Geräte, die betroffen sein könnten, abzulehnen. Siehe auch Windows Patch Management: Genehmigen, Ablehnen und Deinstallieren von Patches – hier finden Sie weitere Informationen zu den hier bestehenden Möglichkeiten.

Das Windows Updates auf meinem Rechner meldet, dass auf meinem Gerät schon lange kein Scan mehr durchgeführt wurde:

Problem

Das Windows-Updates-Tool auf meinem Rechner zeigt im Feld „Letzter Scan“ an, dass mein Gerät in letzter Zeit nicht gescannt wurde.

Ursache

Windows Updates aktualisiert das Feld „Letzter Scan“ nur nach Scans, die es selbst lokal auf dem Rechner durchgeführt hat, wobei Microsoft für jenes Feld eine XML-Datei verwendet. Wenn also Ninja einen Windows-Patch-Scan durchführt, erkennt Windows Updates dies nicht und zeigt es entsprechend nicht an.

Lösung

Wenn Sie sichergehen möchten, dass Ihr Gerät über Ninja gescannt wurde, schauen Sie am besten zunächst im Aktivitäts-Feed nach. Wenn Sie nicht erkennen können, dass (basierend auf Ihren Einstellungen für die Windows-Patches-Richtlinie) in letzter Zeit Scans erfolgt sind, wenden Sie sich bitte an den Support. Er wird Ihnen helfen herauszufinden, ob tatsächlich Scans ausgeblieben sind und woran das liegen könnte.  

Wichtiger Hinweis: Wenn ein Gerät zum Termin des Scans nicht mit dem Internet verbunden ist, wird es den Scan nicht nachholen, außer wenn folgende Funktion aktiviert ist:

Obwohl ich die Patchverwaltung mit Ninja konfiguriert habe, werden bei einem mit Windows Updates durchgeführten verfügbare Patches gefunden:

Problem

Wenn ich lokal auf meinem Rechner mit Windows Updates nach Patches scanne, werden solche gefunden. Dabei sollte sich doch Ninja mit dem von mir konfigurierten Windows-Patchverwaltungstool um Updates kümmern.

Ursache

Es gibt verschiedene mögliche Gründe dafür, dass Windows Updates lokal auf einem Rechner verfügbare Patches ermittelt – im Folgenden einige Beispiele:

1. Ninjas letzter regelmäßiger Update-Termin ist ausgefallen.
2. Seit Ninjas letzter, regulärer Updates-Suche sind neue Patches erschienen, die Ninja somit noch nicht hat entdecken können.
3. Sie befinden sich zwischen Scan- und Update-Zyklus und jene Patches sind nicht installiert worden.  
4. Windows Patch Management kann erst aktualisieren, nachdem das Gerät neu gestartet wurde.
5. Patches wurden in Bezug auf Ninjas Patchverwaltungstool abgelehnt, sei es manuell oder durch die Genehmigungseinstellungen in Ihrer Richtlinie.
6. Die Windows-Patchverwaltung ist auf dem Rechner fehlerhaft. 

Lösung

Die folgenden Lösungen entsprechen jeweils den oben genannten Ursachen:

1. Prüfen Sie im Aktivitäts-Feed für das fragliche Gerät, ob der letzte reguläre Scan tatsächlich ausgefallen ist. Dies könnte zum Beispiel deshalb der Fall gewesen sein, weil das Gerät zu jenem Zeitpunkt nicht mit dem Internet verbunden war. Sollten Sie weitere mögliche Gründe dafür in Erfahrung bringen wollen, dass reguläre Scans ausfallen, eröffnen Sie bitte ein Ticket beim Support. 
2. Das ist bei monatlichen Updates auf Ihrem Rechner vollkommen normal, da Microsoft jeden Dienstag neue Patches veröffentlicht.  
3. Prüfen Sie das fragliche Gerät daraufhin, ob unter „Ausstehend“ oder „Genehmigt“ irgendwelche Patches aufgelistet sind.
4. Gibt es wegen des Windows-Patchmanagements einen ausstehenden Neustart auf dem Gerät, wird es das Update erst nach erfolgtem Neustart vornehmen können.
5. Prüfen Sie das fragliche Gerät daraufhin, ob unter „Abgelehnt“ irgendwelche Patches aufgelistet sind. Solche abgelehnten Patches werden von Ninjas Windows-Patchverwaltungstool nicht installiert, lokal auf dem Rechner aber weiterhin als verfügbare Patches angezeigt, sobald ein Windows-Updates-Scan durchgeführt wird.
6. Einzelheiten dazu finden Sie im Abschnitt Fehlgeschlagene Patches weiter oben.

Ein Patch wird nicht unter den mit Ninja installierten Patches aufgelistet, aber als via WMI Calls auf dem Gerät installiert:

Problem

Ein bestimmter Patch wird unter Gerät > Betriebssystem-Patches > Installiert nicht angezeigt, obwohl er nachweislich via Windows Management Instrumentation (WMI) Calls auf dem Gerät installiert wurde.

Es gibt verschiedene Wege, die auf einem Windows-Rechner installierten Updates abzufragen. Je nach genauer Abfrage können die auf diesen verschiedenen Wege erzielten Ergebnisse aber unterschiedlich sein. Dieser TechNet-Artikel erläutert einige der in dieser Anleitung verwendeten Methoden.

Ninja-Benutzeroberfläche:

WMI-Abfrage:

Die oben gezeigten Screenshots zeigen, wie die Liste der installierten Updates auf der Ninja-Benutzeroberfläche einerseits und auf Grundlage einer WMI-Abfrage andererseits jeweils aussieht. Wie man sieht, gibt es auf beiden Seiten Updates, welche die jeweils andere Methode nicht aufführt. So werden KB4524569, KB4528759 und KB4528760 als via WMI-Call installiert angezeigt, aber nicht als über die Ninja-Konsole installiert. Umgekehrt werden KB4533002, KB4530684, KB4528760, KB2267602, KB4052623 und KB890830 in der Ninja-Konsole, aber nicht in der WMI-Call-Ereignisliste aufgeführt.

Ursache

Die Ursache für diese Differenzen liegt darin, dass die beiden Methoden die installierten Updates auf unterschiedliche Art und Weise abfragen. Ninja sucht nach Updates, die mittels Windows Update, Microsoft Update, Automatic Updates, WSUS oder ConfigMGR unter Verwendung eines Microsoft-Installationsprogramms (MSI) installiert wurden. Installationen dieser Pakete werden im Software-Distribution-Datenspeicher und der Registry aufgezeichnet. Abfragen bei diesen Stellen resultieren also in einer Liste der enthaltenen installierten Updates. Ninja erhebt seine Daten zu installierten Patches aktuell durch Abfragen bei diesen Stellen.

WMI verwendet hingegen die Win32_QuickFixEngineering-Klasse, die nur solche Updates auflistet, die durch Component Based Servicing (CBS) bereitgestellt wurden. Bei derlei Updates handelt es sich typischerweise um kleine, systemweite Updates, die gerne als Quick-Fixes oder Hotfixes bezeichnet werden. Klicken Sie hier für weitere Informationen hierzu.

Wichtiger Hinweis: Microsoft führt Listen darüber, welche KBs durch welche Methode installiert werden. Jedoch können wir diese Informationen nicht bereitstellen, da Microsoft nach eigenem Ermessen Änderungen daran vornehmen kann.

Lösung

Kurz also: Da jene Updates nicht in der Registry aufgelistet werden, können sie von Ninja derzeit nicht abgefragt und verifiziert werden. Zudem kann es auch vorkommen, dass ein Update über ein Upgrade des Betriebssystems (d. h. 1903 oder 1909) installiert wird, auf einem System aber inaktiv bleibt, wie in diesem Microsoft-Artikel beschrieben.

Im speziellen Fall von KB4528759/KB4528760 hat Microsoft das Update in Upgrade-Pakete für Windows 10 auf das aktuelle Build von Version 1903 (18362.592) und Version 1909 (18363.592) gepackt. Folglich gibt letztlich die Build-Nummer des aktuell auf dem Agent-Rechner installierten Betriebssystems Auskunft darüber, ob KB4528759/KB4528760 installiert wurde.