Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

Windows Patch Management: Troubleshooting

Thema

Im Folgenden finden Sie einige empfohlene Schritte zur Fehlerbehebung für den Fall, dass bei der Windows-Patchverwaltung ein Problem auftritt.

Umgebung

Beschreibung

Scan nach Patches auf WSUS-Geräten fehlgeschlagen: 

Problem

Bei Endpunkten, die in einer Registrierung auf WSUS verweisen, hat NinjaOne einen Scan nach Patches auf den Geräten übersehen. 

Ursache

Mögliche Ursachen sind unter anderem nicht erreichbare Server, Kommunikationsfehler, falsche Konfiguration oder andere Fehler. 

Lösung

Um WSUS lokal auf dem Gerät zu überprüfen/deaktivieren, wäre es am einfachsten, die folgenden Registrierungsschlüssel zu überprüfen.

Unter:

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]

Suchen Sie nach:

„WUServer“

„WUStatusServer“

Vergewissern Sie sich in beiden Fällen, dass der Wert dieser Schlüssel leer ist.

Gehen Sie dann zu:

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]

Suchen Sie nach dem Schlüssel „UseWUServer“ und ändern Sie dessen Wert auf 0. Starten Sie anschließend den Windows Update-Dienst neu.

Bitte beachten Sie, dass diese Schlüssel über Gruppenrichtlinien von einem Server aus gesetzt werden können, auf dem WSUS aktiviert ist, sodass die Schlüssel möglicherweise wieder erscheinen; in diesem Fall muss die Gruppenrichtlinie auf dem Server deaktiviert werden, da diese Einstellung andernfalls weiterhin die Fähigkeit von NinjaOne beeinträchtigt, die Geräte zu patchen.

Fehlgeschlagene Patches:

Problem

Beim Versuch, Windows-Patches anzuwenden, schlägt die Installation einiger Patches fehl.

Ursache

Die kurze Antwort lautet, dass Microsoft-Patches aus einer Vielzahl von Gründen fehlschlagen, darunter unter anderem:

  • Netzwerkunterbrechung während des Scans und/oder der Installation
  • Fehlerhafter/fehlerbehafteter Patch
  • Vorhandensein von Malware 

Lösung

NinjaOne bietet einige der gängigsten Lösungen für das Problem fehlgeschlagener Patches an, die Sie finden, indem Sie auf das Dropdown-Menü rechts neben dem Patch klicken:
Patch1.png

Zusätzlich zu diesen Maßnahmen können Sie die folgenden Schritte zur Fehlerbehebung befolgen:

  • Recherchieren Sie in der Knowledge Base, ob es sich um ein bekanntes Problem handelt, und befolgen Sie die von Microsoft bereitgestellten Lösungshinweise.
  • Sehen Sie sich die Ereignisprotokolle des betroffenen Geräts an.
  • Verwenden Sie das Windows Update-Fehlerbehebungstool für betroffene Windows 7-, 8- und 10-Rechner.

Patch-Scans dauern zu lange:

Problem

Windows-Patch-Scans laufen über einen längeren Zeitraum und scheinen nie abzuschließen.

Ursache

Die Dauer-Einstellungen für die Scan-Zeitpläne fehlen oder sind zu lang.

Lösung

Wichtiger Hinweis: Die Dauer eines Patch-Scans kann von System zu System variieren. In der Regel dauert ein Patch-Scan bis zu drei Stunden. In einigen Fällen kann die Suche nach Updates hängen bleiben, wenn WUA-bezogene Prozesse oderdas Patch-Management-Tool von NinjaOnedie Suche nach Updates nicht abschließen können. Dies kann auf ein Problem mitwuauservhindeuten und müsste auf dem lokalen Rechner untersucht werden, um die Ursache des Problems zu ermitteln. Die folgenden Anweisungen beziehen sich auf die Laufzeiten von NinjaOne-Patch-Scans und gehen nicht auf die zugrunde liegenden Probleme mit WUA ein, die die Ursache dafür sein könnten, dass Windows Update viel länger als erwartet läuft.

Um die Dauer von Patch-Scans zu begrenzen, lassen die Richtlinieneinstellungen für den Scan-Zeitplan der Windows-Patchverwaltung die Festlegung von Zeitlimits zu.

Führen Sie dazu in Ihrer NinjaOne-Konsole folgende Schritte aus:

  1. Navigieren Sie zu dem Richtlinieneditor, für den Sie eine Scan-Dauer festlegen möchten, und wählen Sie dann die Registerkarte „Windows-Patches“ aus.Patch2.png
  2. Klicken Sie unter den Einstellungen für den Scan-Zeitplan auf den aktuellen Zeitplan, um ihnzu bearbeiten.Patch3.png
  3. Geben Sie eine Zeit in Stunden oder Minuten für die Dauer ein.Patch4.png
  4. Speichern Sie die Änderungen.

Die gleichen Dauer-Einstellungen können bei Bedarf auch auf den Update-Zeitplan angewendet werden.

Verhindern Sie die Anwendung bestimmter Patches:

Problem

Es gibt einige Patches, die ich nicht auf einem (oder mehreren) von mir verwalteten Gerät(en) installieren möchte.

Ursache

Neu veröffentlichte Patches können manchmal unerwartete, unerwünschte Auswirkungen auf Agent-Rechner haben (wie z. B. Bluescreens oder Anwendungskonflikte).

Lösung

In solchen Situationen ist es erforderlich, einen Patch auf mehreren Computern abzulehnen, die von dem Problem mit dem Patch betroffen sein könnten. Weitere Informationen zu den hierfür verfügbaren Optionen finden Sie unter

Ein Scan in Windows Updates findet verfügbare Patches, obwohl ich die Patch-Verwaltung mit NinjaOne konfiguriert habe:

Problem

Wenn ich lokal auf einem Rechner über Windows Updates einen Patch-Scan durchführe, werden verfügbare Patches gefunden. NinjaOne sollte Updates über das von mir konfigurierte Windows-Patch-Management-Tool verwalten.

Ursache

Im Folgenden finden Sie einige Beispiele dafür, warum der Windows-Update-Mechanismus lokal auf einem Rechner verfügbare Patches erkennt:

  1. Der letzte über NinjaOne ausgeführte Update-Zyklus wurde übersprungen.
  2. Seit dem letzten über NinjaOne durchgeführten Update-Zyklus wurden Patches verfügbar gemacht, und NinjaOne hat seinen nächsten Update-Zyklus noch nicht ausgeführt.
  3. Sie befinden sich zwischen Ihrem Scan-Zyklus und Ihrem Update-Zyklus, und diese Patches wurden noch nicht angewendet.
  4. Die Windows-Patch-Verwaltung kann erst aktualisieren, wenn das Gerät neu gestartet wurde.
  5. Patches wurden für das Patch-Management-Tool von NinjaOne abgelehnt, entweder manuell oder gemäß den für Ihre Richtlinie konfigurierten Genehmigungs-Einstellungen.
  6. Auf dem Computer liegen Fehler bei der Windows-Patchverwaltung vor.

Lösung

Im Folgenden finden Sie Lösungen, die sich jeweils auf die oben aufgeführten möglichen Ursachen beziehen:

  1. Überprüfen Sie den Aktivitäts-Feed für das betreffende Gerät, um festzustellen, ob der zuletzt geplante Scan ausgelassen wurde. Der Scan wurde möglicherweise ausgelassen, wenn das Gerät zum Zeitpunkt der geplanten Ausführung offline war. Für weitere Informationen darüber, warum der Scan ausgelassen wurde, erstellen Sie bitte ein Ticket beim Support. 
  2. Dies ist normal, wenn Sie monatliche Updates auf einem Gerät ausführen, da Microsoft jeden Dienstag Patches veröffentlicht.  
  3. Überprüfen Sie das betreffende Gerät, um festzustellen, ob unter den Abschnitten „Ausstehend“ oder „Genehmigt“ Updates aufgeführt sind.
  4. Wenn aufgrund der Windows-Patch-Verwaltung ein aussteht, kann das Update erst nach dem Neustart durchgeführt werden.
  5. Überprüfen Sie das betreffende Gerät, um zu sehen, ob unter der Registerkarte „Abgelehnt“ Updates aufgeführt sind. Die hier aufgeführten Patches werden vom Windows-Patch-Management-Tool von NinjaOne nicht installiert, werden aber während eines Windows-Update-Scans weiterhin lokal auf dem Rechner als verfügbare Patches angezeigt.
  6. Bitte beachten Sie den Abschnitt„Fehlgeschlagene Patches“ weiter oben.

Der Patch wird in NinjaOne nicht als installiert aufgeführt, wird aber über WMI-Aufrufe auf dem Gerät als installiert angezeigt:

Problem

Ein bestimmter Patch wird unter „Gerät > Betriebssystem-Patches > Installiert“ nicht als installiert angezeigt, obwohl er nachweislich auf dem Gerät vorhanden ist und über WMI-Aufrufe (Windows Management Instrumentation) installiert wurde.

Es gibt verschiedene Möglichkeiten, installierte Updates auf einem Windows-Rechner abzufragen. Die Ergebnisse der verschiedenen Methoden können je nach Abfrage stark variieren. Dieser TechNet-Artikel bietet einen Einblick in die in dieser Dokumentation verwendeten Methoden.

NinjaOne-Benutzeroberfläche:

Patch5.png

WMI-Abfrage:

Patch6.png

In den obigen Screenshots werden die in der NinjaOne-Benutzeroberfläche aufgeführten installierten Updates den über WMI abgefragten installierten Updates gegenübergestellt. Wie Sie sehen können, gibt es auf beiden Seiten Updates, die bei der jeweils anderen Methode nicht aufgeführt sind. Konkret werden KB4524569, KB4528759 und KB4528760 in den WMI-Abfrageergebnissen als installiert angezeigt, in der NinjaOne-Konsole jedoch nicht. Umgekehrt werden KB4533002, KB4530684, KB4528760, KB2267602, KB4052623 und KB890830 in der NinjaOne-Konsole angezeigt, sind jedoch nicht in den WMI-Abfrageergebnissen aufgeführt.

Ursache

Dies liegt an der Art und Weise, wie die jeweilige Methode nach den installierten Updates fragt. NinjaOne fragt nach Updates, die über Windows Update, Microsoft Update, Automatische Updates, WSUS oder ConfigMGR installiert wurden, was in der Regel über einen Microsoft Installer (MSI) erfolgt. Installationen dieser Pakete werden im Software Distribution-Datenspeicher und in der Registrierung erfasst. Daher liefert eine Abfrage dieser Speicherorte eine Liste der enthaltenen installierten Updates. NinjaOne fragt derzeit diese Speicherorte ab, um Informationen zu installierten Patches zu sammeln.

WMI verwendet die Klasse „Win32_QuickFixEngineering“, die nur Updates zurückgibt, die von Component Based Servicing (CBS) bereitgestellt werden. Bei diesen Updates handelt es sich in der Regel um kleine, systemweite Updates, die gemeinhin als Quick-Fixes oder Hotfixes bezeichnet werden. Klicken Sie hier, um weitere Informationen hierzu zu erhalten.

Wichtiger Hinweis: Microsoftverfügt möglicherweise über Listen, aus denen hervorgeht, welche spezifischen KBs mit welchen Methoden installiert werden. Wir können diese Informationen jedoch nicht bereitstellen, da sie sich nach Ermessen von Microsoft ändern können.

Lösung

Kurz gesagt: Da diese Updates nicht in der Registrierung aufgeführt sind, können sie derzeit von NinjaOne nicht abgefragt werden, um ihre Existenz zu überprüfen. Darüber hinaus kann ein Update in einigen Fällen über ein Upgrade des Betriebssystems (z. B. auf 1903 oder 1909) installiert werden und auf einem System inaktiv bleiben, wie in diesem Microsoft-Artikel beschrieben.

Im konkreten Fall von KB4528759/KB4528760 hat Microsoft das Update in Upgrade-Pakete für Windows 10 auf die aktuelle Build-Version 1903 (18362.592) und Version 1909 (18363.592) integriert. Daher ist die Build-Nummer des aktuell auf dem Agent-Rechner installierten Betriebssystems entscheidend, um festzustellen, ob KB4528759/KB4528760 installiert ist.

Das Windows 11-Upgrade wird auf Windows 10-Computern angeboten:

Problem

Das Windows 11-Upgrade wird auf Windows 10-Rechnern als Feature-Update angeboten.

Ursache

Microsoft veröffentlicht jeden Monat Windows 11-Feature-Updates. Beispielsweise stellt KB5021255 auf Windows 11-Geräten ein reguläres kumulatives Update dar, auf Windows 10-Geräten hingegen ein Feature-Update. 

Lösung

Um zu verhindern, dass das Windows 11-Upgrade in diesem Szenario auf Windows 10-Computern angeboten wird, verwenden Sie das beigefügte Registrierungsskript, um diese Option vollständig zu deaktivieren. Dies hat denselben Effekt wie das Klicken auf den Link „Bei Windows 10 bleiben“ im Windows-Update-Fenster auf einem lokalen Computer.

Wichtiger Hinweis: Wir empfehlen, alle benutzerdefinierten Skripte zunächst auf einer kleinen Anzahl von Geräten zu testen, bevor Sie sie in großem Umfang ausführen.

Falls das bei Ihnen auftretende Problem oben nicht aufgeführt ist oder Sie nach dem Ausführen der empfohlenen Schritte zur Fehlerbehebung weitere Unterstützung benötigen, wenden Sie sich bitte an den NinjaOne-Support.

FAQ

Nächste Schritte