WSHowTo – WSUS und Clients melden 100% aber einige Updates fehlen

Für die Aktualisierung meiner Windows Server verwende ich einen WSUS und eine Gruppenrichtlinie. Seit einigen Wochen habe ich aber ein Problem: alle Systeme (bis auf die beiden mit dem Ausrufezeichen) meinen, sie sind aktuell:

Es liegt nicht an der Konfiguration meines WSUS-Servers. Dieser läd alle Updates brav herunter und ein Script genehmigt sie auf den richtigen Containern. Hier sieht man das aktuelle Update 2019-07 für Windows Server 2016. Es ist für den oben gezeigten Container freigegeben:

Aber meine Server meinen, es sein alles OK:

MIT dem Update 2019-07 wäre das auch richtig. Tatsächlich ist das Patchlevel aber 2 Monate älter:

So kann das nicht bleiben.

Es gibt einige Szenarien, in denen sich ein WSUS-Client so verhält:

• Das gewünschte Update wurde noch nicht synchronisiert. Was der WSUS nicht kennt kann er auch nicht weiterleiten. Mein Update wird aber in der Bestandsliste gezeigt. Das Problem liegt woanders.
• Das betroffene Update wurde nicht genehmigt. Dann sieht der Client es einfach nicht. In diesem Fall wäre aber die Anzeige im WSUS nicht bei 100%, denn der WSUS weiß, dass das Update fehlt. Das ist bei mir nicht der Fall.
• Das Update wurde genehmigt, aber noch nicht heruntergeladen. Was nicht da ist, wird nicht verteilt! Das passiert gerne bei Verbindungsproblemen oder auch, wenn die Partition mit den Updates voll ist. Man kann das betroffene Update im WSUS suchen und auswählen. Liegt eine Information (z.B. „wurde noch nicht heruntergeladen“) vor, dann wird sie in einem gelben Banner dargestellt. Auch das ist bei mir nicht das Problem.
• Dem Client fehlt eine Voraussetzung für das gewünschte Update. Er muss bei der Installation eine entsprechende Reihenfolge einhalten. Wird das abhängige Update vom WSUS selbst nicht (mehr) angeboten, dann läd der Client auch keine Folgeupdates. Sehr wichtig sind in diesem Zusammenhang die Servicing Stack Updates. Bei meinem WSUS sind alle Updates vorrätig. Es muss etwas anderes sein.

Es scheint kein traditionelles Problem zu sein. Zudem hat die Konfiguration schon sehr einwandfrei funktioniert. Was hat sich also Ende Mai verändert, das ALLE Server die Updates ignorieren? Klingt das vielleicht nach Gruppenrichtlinien?

Das hier ist meine aktuelle GPO für alle meine Server:

Es sind keine spannenden Werte konfiguriert. Aber ich wollte dennoch nichts ausschließen. Ich deaktivierte die GPO und konfigurierte die Pfade zum WSUS in einem meiner Server in der lokalen Gruppenrichtlinie. Und schon fand er die fehlenden Updates!

Der Fehler liegt also in der GPO! Da nur wenige Einträge konfiguriert sind war der Test einfach: ich nahm eine Einstellung nach der anderen heraus und startete danach die Updatesuche neu. Und diese Einstellung brachte den Erfolg:

Ohne die Deaktivierung der Einstellung „Keine Treiber in Windows-Updates einschließen“ finden die Server die fehlenden Updates:

Und natürlich melden Sie nun auch das richtige Patchlevel an den WSUS-Server:

Was die Treiberkonfiguration mit den anderen Updates zu tun hat? Wahrscheinlich überhaupt nichts. Microsoft hat die ADMX-Vorlage für die Windows-Updates so oft versucht anzupassen, dass hier in der Totalen einfach nichts Sinnvolles mehr herauskommen kann!

Ich denke, das ist einfach ein Bug! Dieser scheint aber nicht alle Betriebssysteme zu betreffen. Das hier ist meine Auswertung:

Betriebssystem	betroffen
Windows 10 v1803	nein
Windows 10 v1903	nein
Windows Server 2016 v1607	ja
Windows Server 2019 v1809	ja

Wie üblich gibt es hier den Eintrag als PDF.
Stay tuned!