Der aktuelle Patch KB5004948 für den CVE-2021-34527 Print Nightmare) brachte beim Installieren den Fehler

Zunächst ging ich davon aus, das irgendwelche Vorgängerversionen (z.B. Servicing Stack Updates) fehlten.

Also habe ich zunächst den vorherigen CU KB5003638 installiert:

Der lief sauber durch.

Server neu gestartet, aber danach ließ sich der KB5004948 immer noch nicht installieren.

Die Standard-Checks des Betriebssystems mittels

DISM.exe /Online /Cleanup-Image /RestoreHealth /Source:C:\RepairSource\Windows /LimitAccess

sfc /scannow : nothing detected

brachten keine Besserung.

Ein Vorschlag aus einem Forum, die system-locale auf „en-us“ zu stellen brachte keine Besserung.

Zielführend war letztlich eine Analyse der Ausgabe des Befehls:

Get-WindowsUpdateLog

Da fand sich dann folgende Zeile:

2021.07.09 19:54:35.1491946 1376  8796  Agent           Update deferred by policy: 5A5B6827-28BB-4E15-A9E9-1600A27DAF75.501

Oha?! “Deferred by policy”? Also scheint es eine Richtlinie zu geben, die das behindert.

Also mal am DC ein Richtlinienergebnis zum entsprechenden Server erstellt und die Update Settings genauer angesehen:

Das könnte doch die Erklärung liefern! Wir akzeptieren quality-updates erst nach 30 Tagen, Feature-Updates sogar erst nach 365! Unser Update ist aber deutlich jünger!

Also mal ganz frech die Registry-Werte lokal geändert …

… indem ich (weil ich mir nicht ganz sicher war, ob es sich in unserem Fall um ein Feature oder ein Quality handelt) die beide folgende Werte auf „1“ gesetzt:

DeferFeatureUpdatesPeriodInDays

DeferQualityUpdatesPeriodInDays

Danach den Windows-Update Dienst einmal neu gestartet und das Update wieder aufgerufen.

Siehe da:

Das KB läuft sauber durch!