eastfrisian
Goto Top

Ein paar offene Fragen zum WSUS

hallo zusammen,

ich habe vor einigen tagen das erste mal einen wsus (Server 2008 r2, also wsus 3) eingerichtet und konfiguriert. wie gesagt - das erste mal.

soweit läuft der Server und die ersten Clients werden auch schon mit updates versorgt. ein paar dinge beschäftigen mich jedoch, auf die ich bisher auch keine antwort gefunden habe.

1. ich kann computergruppen anlegen. ok. das kann ganz sinnvoll sein, wenn man updates vor dem großflächigen rollout vereinzelt testen möchte. aber mal von diesem zweck ab - gibt es irgendeinen sinnigen Hintergrund dieser gruppen? wenn ich mir eine "Server" und eine "Client" gruppe erstellen würde, und die jeweiligen updates speziell auf diese gruppen freigeben würde - hätte das überhaupt irgendeinen Vorteil? ein Windows Server 2008 wird wohl sowieso keine updates für einen Windows 7 rechner erhalten - egal in welcher gruppe er sich befindet. das gleiche bei Office updates. ein Client der kein installiertes Office hat, bekommt auch dessen updates nicht. so hoffe ich jedenfalls. aus diesem Hintergrund betrachtet - computergruppen für die reine übersicht. ok. aber hat das im bezug auf die freigabe von updates irgendeine Relevanz? oder muss ich wirklich darauf achten, für welche clientgruppe ich meine updates freigebe (oh, ein neues Office update - erstmal checken für welche Clients das in frage käme). so intelligent sollte der wsus ja eigentlich selbst sein.

2. man kann im wsus sehr schön auswählen welche updates mal bereitstellen möchte. z.b. "sicherheitsupdates und definitionsupdates", aber keine "Upgrades und treiber". soweit logisch nachvollziehbar. mittels gpo sage ich dem Client "hol deine updates vom srv-wsus". über diesen stelle ich jedoch keine treiber, Tools und Service packs zur verfügung, da ich nicht 300gb an updates auf meinem wsus vorhalten möchte. wie kommt denn der Clients nun an treiber, Tools und Service packs? gar nicht? gerade im bezug auf treiber wäre das ja die Katastrophe schlechthin. aber ich kann ja schlecht die gesamte Windows update treiberbibliothek synchronisieren. oder habe ich da einen Denkfehler??

3. da wir noch einen wsus 3 einsetzen, gibt es einige Probleme bei der Einbindung neuerer Betriebssysteme wie Windows 8.1 und Windows 10. diese werden von der Datenbank nicht sauber erkannt und als Windows Vista dargestellt. ist ein bekanntes Problem, ließe sich durchaus mit etwas gefummel ändern. kann ich diese Clients auch von haus aus mit wsus 3 verwalten? mir geht es nicht um die anzeige des "Windows Vista" - wie geht der wsus intern damit um? verteilt er die richtigen updates an Windows 10 Maschinen? oder besser diese Maschinen außen vor lassen und einbinden wenn irgendwann Server 2012 oder neuer zum Einsatz kommt?

4. wir sind recht spät dran mit unserem wsus. ist mir klar. aber noch etwas: wenn ich meinen Server nun einrichte werde ich ja erst einmal mit updates geflutet. korrekt ist, dass ich diese erst einmal komplett freigeben muss, der wsus dann selbst prüft welche er benötigt und welche nicht, und ich die nicht benötigten in ein paar Wochen mit dem bereinigungsassistenten wieder lösche kann. korrekt? oder sollte ich mir tatsächlich die mühe machen alles was älter ist als ein viertel jahr abzulehnen, da diese updates sowieso schon längst auf den Clients vorhanden sind?

für die Beantwortung dieser drei fragen wäre ich wirklich dankbar. man liest sich im alltag schon derart viel selbst an - aber irgendwo kommt man dann doch ins stocken...

viele grüße

Content-ID: 298602

Url: https://administrator.de/contentid/298602

Ausgedruckt am: 08.11.2024 um 17:11 Uhr

emeriks
emeriks 09.03.2016 aktualisiert um 10:11:21 Uhr
Goto Top
Hi,
zu 1:
Es könnte sein, dass Du auf einigen Clients ein Anwendung hast, welche bestimmte Updates nicht verträgt. z.B. irgendeine Java-Anwendung, welche im IE läuft. Hier machtes dann Sinn, die Clients den verschiedenen WSUS-Gruppen zuzuordnen und je Gruppe nur die gewünschten Updates freizugeben.

zu 2:
Es ist immer noch möglich, am WSUS vorbei direkt online Updates abzurufen. Kann bei Bedarf durch einen Admin erfolgen.
Andererseits: Eine 1TB SATA kostet nicht mehr die Welt. Ich würde lieber ne große Platte in den Server hängen und alles runterladen.

zu 4:
Das Ablehnen alter Updates hat den Vorteil, dass der WSUS beim Aufräumvorgang diese wieder löschen kann, wenn Du das aktivierst. Spart Platz.

E.
eastfrisian
eastfrisian 09.03.2016 um 10:41:47 Uhr
Goto Top
aber nur solange die Clients aktuell sind, oder? was ist, wenn ich stand heute einen neuen Windows 7 Client aufsetze. wenn ich alle alten updates rausschmeiße, hilft mir das ja nicht viel. entweder Windows 7 komplett, oder gar nicht. oder?
emeriks
emeriks 09.03.2016 aktualisiert um 11:27:30 Uhr
Goto Top
Der WSUS zeigt Dir je Update an, ob es ein anderes Update ersetzt bzw. ob es durch ein anderes erstetzt wurde. Da kann man eine entsprechende Spalte einblenden (zeigt ein Sysmbol an). Alle, welche ersetzt wurden, kannst Du auf "abgelehnt" setzen, wenn Du die ersetzenden Updates für alle betreffenden Gruppen "genehmigt" hast.

Edit: Die Spalte heißt im Deutschen "Ersatz".
Edit: Habe korrigiert: Auf "abgelehnt" setzen.
ArnoNymous
ArnoNymous 09.03.2016 um 13:04:34 Uhr
Goto Top
Eigentlich sollte man keine Updates selbst löschen, wenn es nicht unbedingt sein soll. Am Speicherplatz sollte es ja nun auch nicht scheitern.
Wenn du es doch machen möchtest, dann musst du bei einer Neuinstallation von Windows7 (o.a.) eben zuerst direkt bei Mircosoft suchen lassen und dann zukünftig die Updates vom WSUS ziehen.