Update-Benachrichtigungen auf Windows Server deaktivieren

    Windows Update in der Settings AppMicrosoft forciert die Instal­lation von Windows-Updates, damit Schwach­stellen schnell ge­schlos­sen werden. Dies ist für Work­stations nach­voll­ziehbar, aber auf dem Server kann dies zu uner­wün­schten Resul­taten führen. Eine un­günstige Rolle spielen dabei Update-Benach­rich­tigungen, die un­gewollt einen Reboot aus­lösen können.

    Je nach Konstellation können selbst Standard­benutzer Updates installieren und somit den Server ohne Administrator zu einem Neustart bewegen. Dies gilt besonders für RD Session Hosts, wo unter Umständen mehrere Benutzer von Daten­verlusten betroffen sein können.

    Update-Benachrichtigung unter Windows Server 2019

    Die Benachrichtigungen sind penetrant und können nicht mit einem Klick auf das X geschlossen werden. So bleiben entweder das Schließen mit der ESC-Taste oder das Klicken auf die entsprechende Schaltfläche, um Updates anzuzeigen.

    Daraufhin öffnet sich die App Einstellungen im Abschnitt für Windows Update. Ist der aktuelle User berechtigt, hier die Installation der Updates auszulösen, dann nimmt dieser Vorgang seinen üblichen Lauf, der meistens in einen Neustart mündet.

    Der Klick auf die Benachrichtigung führt zur App Einstellungen, wo User die Update-Installation starten können.

    Um dies zu verhindern, gibt es in den Gruppenrichtlinien unter Computer­konfiguration => Richt­linien => Admini­strative Vor­lagen => Windows-Kompo­nenten => Windows Update die Einstellung Nicht­admini­stratoren gestatten, Update­benach­richtigungen zu erhalten. Sie greift allerdings nur bis Windows 8.1 und Server 2012 R2.

    Die GPO-Einstellung zum Ausblenden der Update-Benachrichtung greift nur bis Server 2012 R2.

    Benachrichtigungen mit dem Aufgabenplaner ausschalten

    Die Benachrichtigung über verfügbare Updates wird von geplanten Aufgaben ausgelöst. Deaktiviert oder löscht man diese Tasks, dann wird man auch die Benachrichtigungen los.

    Geplante Aufgaben, die für das Anzeigen der Update-Benachrichtigung verantwortlich sind.

    Finden kann man diese im Aufgabenplaner unter Microsoft => Windows => UpdateOrchestrator. Es handelt sich dabei um:

    • MusUx_UpdateInterval
    • USO_UxBroker_Display
    • USO_UxBroker_ReadyToReboot

    Benachrichtigungen mit einem Batch-Script deaktivieren

    Anstatt interaktiv über die Aufgabenplanung kann man die Tasks mit einer Batch-Datei deaktivieren. Dazu führt man folgende Befehle in einer administrativen Eingabeauf­forderung aus.

    Das Problem mit dieser Lösung besteht darin, dass Microsoft selbst bei der gleichen Version von Windows Server verschiedene Namen für die Aufgaben verwendet. Sollte es auf einem System nicht alle dieser Scheduled Tasks geben, dann kommt es im obigen Script zu einer entsprechenden Fehlermeldung. Umgekehrt ignoriert es Aufgaben mit einer anderen Bezeichnung.

    Benachrichtigungen per PowerShell deaktivieren

    Ein anderer Ansatz besteht darin, die betreffenden Aufgaben unabhängig von ihrem Namen zu identifizieren. Ein gemeinsames Merkmal ist offenbar, dass sie als Aktion MusNotification.exe mit verschiedenen Parametern ausführen. Dies kann man sich in PowerShell zunutze machen, um die Tasks zu löschen.

    Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\"|
    where {$_.Actions.execute -like "*MusNotification*" -and $_.state -eq "Ready"} |
    Unregister-ScheduledTask

    Geplante Aufgaben für die Update-Benachrichtigung mittels PowerShell entfernen

    Wer sich vor dieser relativ radikalen Maßnahme absichern möchte, kann die Aufgaben als Administrator vorher mit Export-ScheduledTask in eine Datei speichern:

    Get-ScheduledTask -TaskPath "\Microsoft\Windows\UpdateOrchestrator\" |
    where { $_.Actions.execute -like "*MusNotification*" -and $_.state -eq "Ready"} |
    foreach {Export-ScheduledTask -TaskPath $_.TaskPath -TaskName $_.TaskName > `
    ($_.TaskName + ".xml")}

    Die Aufgaben ließen sich bei Bedarf dann wieder mit Register-ScheduledTask und dem Parameter XML wiederherstellen.

    Eine weitere Alternative bestünde darin, die geplanten Aufgaben über Group Policy Preferences zu löschen. Dies setzt aber wieder voraus, dass man die genauen Namen der Tasks kennt.

    Fazit

    Grundsätzlich sollte man die Möglichkeiten ausschöpfen, die Gruppenrichtlinien bieten, um das eigene Konzept der Update-Verteilung und den Zeitpunkt des Neustarts umzusetzen. Dies kann ein klassisches, regelmäßiges Wartungsfenster sein, das der Administrator beaufsichtigt.

    Der Server kann sich auch selbst updaten und ausserhalb der Bürozeiten neu starten. Dies ist jedoch bei kritischen Systemen nicht empfehlens­wert. Weitere Informationen, Aspekte und Möglichkeiten bietet Microsoft in diesem Beitrag.

    Keine Kommentare