Woher weiß wsusoffline, ob ein Update gesperrt ist (KB405689

Woher weiß wsusoffline, ob ein Update gesperrt ist (KB405689

Postby TBax » 02.03.2018, 19:01

Es geht um KB4056897 (Meltdown/Spectre). Nach diesem Update konnte ich meine Athlon-Maschine nicht mehr booten. Mich würde interessieren, warum wsusoffline dieses Update bei Quality NICHT installiert.

Code: Select all
Win7x32 neu installiert (kein Athlon-Rechner).
QualityCompat manuell in die Registry eingetragen.
wsusoffline in einen leeren Ordner entpackt.
EINZIGE Änderung:  W:\wsusoffline\UpdateGenerator.ini erzeugt und eingetragen:
[Options]
cleanupdownloads=Disabled

W:\wsusoffline\UpdateGenerator.exe am 2.03.18 gestartet mit:
   ON:    Windows 7 / x86 Global
   ON:    C++-Laufzeitbibliotheken und .NET Frameworks einschließen.
   ON:    Windows Defender-Definitionen einschließen.
   OFF:  Heruntergeladene Updates verifizieren.
   OFF:  Microsoft Security Essentials einschließen.
   OFF:  Service-Packs einschließen.
   OFF:  'Reine Sicherheitsupdates' anstelle von 'Qualitätsrollups' verwenden.

Mit W:\wsusoffline\client\UpdateInstaller.exe zuerst nur C-Bibs updated/installiert.
Danach .NET Framework 4.7.1, Management Framework 5.1 und Remote Desktop Client.

Wenn ich dann am Ende mit Dism oder Wmic eine Liste der Updates ansehe, fehlt KB4056897, was bei Athlon-Rechnern gut wäre. Aber warum fehlt es? KB4056897 habe ich nur in der W:\wsusoffline\client\static\StaticUpdateIds-w61-seconly.txt gefunden, dabei nur die txt-Dateien durchsucht. Als Ersatz für KB4056897 ist ja KB4073578 veröffentlicht worden. KB4073578 muss man manuell downloaden und installieren, das muss ich noch machen.

KB4056897 ist aber auf der Platte: W:\wsusoffline\client\w61\glb\windows6.1-kb4056897-x86_7da08375e8314bddb6b8a4cf813e57e89457431d.cab
Wenn ich diese CAB mit Pkgmgr manuell installiere, steht sie anschließend in der Dism-Liste als installiert. Es gibt also auch keinen Install-Fehler, der das Fehlen dieses Updates erklären würde.

Frage: Woher weiß wsusonline, dass die KB4056897 nicht installiert werden soll?
Wie gesagt, in den superseeded- und exclude-Files habe ich 4056897 nicht gefunden.
TBax
 
Posts: 44
Joined: 14.10.2010, 17:20

Re: Woher weiß wsusoffline, ob ein Update gesperrt ist (KB40

Postby Dalai » 02.03.2018, 19:57

KB4056897 ist ein Security-Only Update (Januar 2018). Da du mit dem Deaktivieren der Option "Reine Sicherheitsupdates anstelle ..." dem WSUS Offline gesagt hast, dass du keine Security-Only-Pakete haben willst, werden diese eben nicht installiert (heruntergeladen werden sie IIRC trotzdem). Der UpdateGenerator vermerkt in der client\UpdateInstaller.ini, ob SecOnly aktiv ist oder nicht.

Grüße
Dalai
Dalai
 
Posts: 1041
Joined: 12.07.2016, 21:00

Re: Woher weiß wsusoffline, ob ein Update gesperrt ist (KB40

Postby TBax » 03.03.2018, 17:55

Es wurden aber alle anderen Securtiy-Updates installiert. Nur dieses eine KB4056897 nicht.
Nachdem, was Du geschrieben hast, habe ich eine neue Idee:
Die Securtiy-Updates stecken normalerweise ebenfalls in den Quality-Rollups. Nur dieses KB4056897 hat MS wg den Athlon-Problemen aus den Qualities rausgenommen. Richtig? Es kann eigentlich garnicht anders ein.
Eigentlich reicht es doch, wenn ich das letzte Rollup installiere, oder? Dann bräuchte ich wsusoflline in Zukunft nicht mehr. Auf die Idee bin ich noch garnicht gekommen.

Ich hatte alle installierten Updates mit Dism gelistet und mit der Liste bei MS verglichen. Die MS-Liste zeigt Sec UND Upd aber nur zusammen an. Die Securities waren bis auf KB4056897 ALLE installiert, die Quality-Rollups nur das letzte (Rollup eben). Wg der "gemischten" MS-Seite bin ich garnicht auf die Idee gekommen, dass die Securities in den Rollups stecken könnten.

(Nur nebenbei, falls jemand die gleichen Probleme mit der Kombination "Frisches Win7SP1x32 + QualityRollups + Fehlende Update" hat und dies hier liest: Es fehlte noch das Update kb4041083. Dies besteht aus:
ndp45-kb4040977-x86_229d3d1634d847170b1cd965466d66780237acd0.exe
ndp46-kb4040973-x86_f27c90bf535fefc6cf521ca5702d95fe26b6c8ba.exe
windows6.1-kb4019990-x86_1365fb557d5e5917cbf59b507eac066ad89ea3f7.msu
windows6.1-kb4040980-x86_533cbfb7e2754d4a82e558f0c6d4b767881fff1e.msu
und müssen manuell heruntergeladen werden. Die ndp-Pakete kann man sich sparen, sie werden abgelehnt. Nur die 2 windows6.1-Update können und müssen installiert werden. Dann ist die Warnung wg kb4041083 weg.)
TBax
 
Posts: 44
Joined: 14.10.2010, 17:20

Re: Woher weiß wsusoffline, ob ein Update gesperrt ist (KB40

Postby Dalai » 03.03.2018, 18:58

Soweit ich weiß, beinhalten installierbare Updatepakete (nicht zu verwechseln mit dem KB-Nummern) keine anderen Updates, auch wenn die in beiden Updatetypen steckenden Inhalte - in Bezug auf das Stopfen von Sicherheitslücken - dieselben sein mögen. Daher halte ich es für unwahrscheinlich, dass die Monthly Rollups die SecOnly-Pakete beinhalten. Leider habe ich sonst auch keine Erklärung für die von dir geschilderten Beobachtungen.

Grüße
Dalai
Dalai
 
Posts: 1041
Joined: 12.07.2016, 21:00

Re: Woher weiß wsusoffline, ob ein Update gesperrt ist (KB40

Postby TBax » 03.03.2018, 20:30

Schade.

Meine Vermutung im dritten Thread war leider falsch. Mit Dism das allerletzte Quality-Rollup kb4074598 (137 MB) installiert. kb4074598 installiert jedoch nur 4 Updates, es müssten aber über 100 sein.

Damit bleibt wsusoffline für mich unverzichtbar.
Außerdem war meine Behauptung eigentlich doppelt falsch, denn auch IE, Powershell und NET müssen installiert/updatet werden. Hatte ich ganz vergessen.
TBax
 
Posts: 44
Joined: 14.10.2010, 17:20

Re: Woher weiß wsusoffline, ob ein Update gesperrt ist (KB40

Postby jonas » 04.03.2018, 17:38

Dalai wrote:Daher halte ich es für unwahrscheinlich, dass die Monthly Rollups die SecOnly-Pakete beinhalten.

M$ hat in dem Blog-Beitrag https://blogs.technet.microsoft.com/windowsitpro/2017/01/13/simplified-servicing-for-windows-7-and-windows-8-1-the-latest-improvements/ beschrieben, dass das Monthly Update sowohl das SecOnly als auch das kumulative IE Update enthält.

Warum dann aber sowohl WSUS als auch wsusou alle drei Updates installiert, versteht wohl nur M$ selbst (oder auch nicht).

Gruß Jonas
jonas
 
Posts: 99
Joined: 30.05.2014, 11:51

Re: Woher weiß wsusoffline, ob ein Update gesperrt ist (KB40

Postby hbuhrmester » 04.03.2018, 22:16

TBax wrote:(Nur nebenbei, falls jemand die gleichen Probleme mit der Kombination "Frisches Win7SP1x32 + QualityRollups + Fehlende Update" hat und dies hier liest: Es fehlte noch das Update kb4041083. Dies besteht aus:
ndp45-kb4040977-x86_229d3d1634d847170b1cd965466d66780237acd0.exe
ndp46-kb4040973-x86_f27c90bf535fefc6cf521ca5702d95fe26b6c8ba.exe
windows6.1-kb4019990-x86_1365fb557d5e5917cbf59b507eac066ad89ea3f7.msu
windows6.1-kb4040980-x86_533cbfb7e2754d4a82e558f0c6d4b767881fff1e.msu
und müssen manuell heruntergeladen werden. Die ndp-Pakete kann man sich sparen, sie werden abgelehnt. Nur die 2 windows6.1-Update können und müssen installiert werden. Dann ist die Warnung wg kb4041083 weg.)


Das Update kb4041083 war das September 2017 Update Rollup für .NET Frameworks auf Windows 7:

Security and Quality Rollup for the .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, and 4.7 for Windows 7 SP1 and Windows Server 2008 R2 SP1: September 12, 2017
https://support.microsoft.com/en-us/help/4041083/


Die enthaltenen Updates wurden in die passenden Konfigurationsdateien in client/static und client/exclude eingetragen:
viewtopic.php?f=6&t=7017#p23961


Mittlerweile wurde es aber durch die Update Rollups von November 2017 und Januar 2018 ersetzt:

November 2017 Security and Quality Rollup for .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, and 4.7 updates for Windows 7 SP1 and Windows Server 2008 R2 SP1 (KB 4049016)
https://support.microsoft.com/en-us/help/4049016/

Security and Quality Rollup for .NET Framework 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7, and 4.7.1 updates for Windows 7 SP1 and Server 2008 R2 SP1 (KB 4055532)
https://support.microsoft.com/en-us/help/4055532/


Die Dateien in client/static und client/exclude beziehen sich jetzt nur auf das Januar 2018 Update Rollup, denn auch bei den .NET Frameworks sollte das letzte vollständige Update Rollup genügen.

Für das Januar 2018 Update Rollup gilt aber, dass es nur installiert wird, wenn ein Registry-Eintrag gesetzt wird, der die Installation eines kompatiblen Viren-Scanners bestätigt.

Außerdem gibt es ein Re-Release vom 18. Januar 2018 mit teilweise geänderten enthaltenen Updates:
viewtopic.php?f=2&t=7723
hbuhrmester
 
Posts: 525
Joined: 11.10.2013, 20:59


Return to Verschiedenes / Miscellaneous

Who is online

Users browsing this forum: Google [Bot] and 46 guests