departure69
Goto Top

WSUS 2016, wo werde ich die angeforderten Updates sehen?

Hallo.

Mein bisheriger WSUS 3.0 SP2 pfeift aus dem letzten Loch, ich kriege den irgendwie nicht mehr richtig in den Griff, außerdem ist die ganze Maschine in ungutem Zustand (braucht mittlerweile täglichen Neustart). Deshalb nun Nägel mit Köpfen, hab' jetzt Windows 2016 Std. aufgesetzt und die WSUS-Rolle installiert. Hat einwandfrei geklappt. Und ich habe diesmal nicht mehr den "Fehler" gemacht, eine pauschale Genehmigungsregel zu erstellen, denn wirkt diese, werden sogleich alle klassifizierten Produkte auf Vorrat heruntergeladen. Dies hat mir auf dem bisherigen WSUS immer wieder Platzprobleme mit den ungeheuren Datenmengen bereitet, insbesondere, seit Windows 10 hinzugekommen ist.

Stattdessen möchte und werde ich in Zukunft nur noch die Updates genehmigen (denn erst dann lädt sie der WSUS von Microsoft herunter), die auch wirklich von den Clients und Servern über den Windows-Update-Agent angefordert werden.

Einzige Frage:

Die Updates, die den ausgewählten Produkten und Klassifizierungen entsprechen, sind nach der Erstsynchronisierung nun schon alle aufgelistet, es ist aber noch keines heruntergeladen (das WSUS-Content-Verzeichnis enthält schon alle passenden Unterverzeichnisse, die sind aber alle noch leer bzw. enthalten lediglich Textdateien mit den Informationen zu den Updates). So soll es auch sein, ich will ja, daß die Updates erst dann heruntergeladen werden, wenn sie tatsächlich angefordert wurden. Doch WO, an welcher Stelle, sehe ich diese Anforderungen dann? Denn danach würde ich diese erst genehmigen wollen, aber dazu muß ich ja sehen können, welche das sind!

Der neue WSUS ist noch nicht im Produktivbetrieb, ich möchte nur schonmal wissen, wo ich diese Anforderungen dann sehen kann, bevor ich irgendwann die GPOs auf den neuen umbiege. Ein Beispielscreenshot der WSUS-Konsole von jemandem, der das so einsetzt, würde wahrscheinlich schon genügen.

Wäre klasse, wenn jemand etwas dazu hätte oder wüßte.

Vielen Dank schonmal.


Viele Grüße

von

departure69

Content-ID: 385632

Url: https://administrator.de/contentid/385632

Printed on: October 11, 2024 at 14:10 o'clock

Spirit-of-Eli
Solution Spirit-of-Eli Sep 06, 2018 at 07:56:12 (UTC)
Goto Top
Moin,

du filterst einfach nach erforderlichen Updates.

Beispielsweise gruppierst du alle Clients, öffnest die Gruppe und oben hast du dann Filter Optionen.

Wenn du dir Berichte generieren lassen willst, muss die Software installiert sein. Das steht aber auch in der Anweisung.

Gruß
Spirit
Deepsys
Solution Deepsys Sep 06, 2018 at 07:56:25 (UTC)
Goto Top
Hi,

die Rechner zeigen dir an was sie an Updates haben möchten (Erforderliche Updates), und dort klickst du auf Genehmigen face-smile

VG,
Deepsys
wsus
departure69
departure69 Sep 06, 2018 at 08:18:30 (UTC)
Goto Top
@Deepsys:

Danke für Deine Antwort.

Woher, aus welcher Rubrik, stammt dieser Screenshot, wo hast Du das aufgerufen?

Ist das aus der Berichtsfunktion (z. B. "Updatestatus - Zusammenfassung")?


Viele Grüße

von

departure69
departure69
departure69 Sep 06, 2018 at 08:25:11 (UTC)
Goto Top
@Spirit-of-Eli:

Danke, jetzt hab' ich's kapiert, man muß nach "erforderlich" filtern. Und die Liste dann komplett markieren, dann re. Maustaste, "Genehmigen" und dann erfolgt der Download und die Clients und Server können danach vom WSUS saugen, was sie brauchen bzw. angefordert haben.

Berichtsfunktion hab' ich jetzt trotzdem mal installiert (irgendein SQL-Werkzeug und der Report-Viewer waren dazu notwendig).

Bin ja mal gespannt, ob der WSUS-Content bei dieser Methode mal etwas länger "schlank" bleibt.

Vielen Dank.


Viele Grüße

von

departure69
emeriks
emeriks Sep 06, 2018 updated at 09:00:11 (UTC)
Goto Top
Hi,
Zitat von @departure69:
Danke, jetzt hab' ich's kapiert, man muß nach "erforderlich" filtern. Und die Liste dann komplett markieren, dann re. Maustaste, "Genehmigen" und dann erfolgt der Download und die Clients und Server können danach vom WSUS saugen, was sie brauchen bzw. angefordert haben.
Nee, so einfach läuft das nicht.
Ein Client fordert gar nichts an. Er fragt den WSUS: "Was hast Du für mich?" Und der WSUS wird nur das melden, was vorher für diesen Client (Computergruppe) genehmigt wurde. Erst dann fordert der Client diese Updates zum Donwload an.
Man muss also weiterhin schauen, welche Updates sind für eine bestimmte Produktgruppe verfügbar, und diese dann für die einzelnen Computergruppen genehmigen. Wenn ein Update für min. eine Gruppe genehmigt ist, dann wird es auf den WSUS heruntergeladen. Und erst wenn es auf den WSUS geladen ist, wird dieser das dem Client als verfügbar anbieten.

E.
departure69
departure69 Sep 06, 2018 updated at 09:19:24 (UTC)
Goto Top
@emeriks:

Sicher? Ich hab' nun einiges dazu gelesen und meine das so verstanden zu haben, daß der Windows-Update-Agent, der auf jedem Client und Server drauf ist und läuft, durchaus imstande ist, dem WSUS mitzuteilen, was er braucht.

Und der WSUS wird nur das melden, was vorher für diesen Client (Computergruppe) genehmigt wurde. Erst dann fordert der Client diese Updates > zum Donwload an.

Das würde ja bedeuten, daß ich doch schon vorher Updates genehmigen müßte, bevor ich überhaupt weiß (bzw. sehe/erkenne), wer was braucht.

Das würde ja die ganze geplante Vorgehensweise ad absurdum führen, denn wenn ich doch schon vorher Updates genehmigen muß (ohne zu wissen welche!?!), würden diese auch schon auf den WSUS heruntergeladen (was ich nicht will, es sollen vom WSUS nur die Downloads bei Microsoft getätigt werden, die die Clients und Server angefordert haben)?

Wenn ein Update für min. eine Gruppe genehmigt ist, dann wird es auf den WSUS heruntergeladen. Und erst wenn es auf den WSUS geladen ist, > wird dieser das dem Client als verfügbar anbieten.

Wie gesagt, dann würde ja alles, was ich vorhabe, nicht funktionieren. Demnach könnte ich jetzt schon wieder alles genehmigen, was den eingestellten Produkten und Klassifizierungen entspricht, und würde sodann auch vom WSUS bei Microsoft heruntergeladen werden. Mein WSUSContent-Verzeichnis (und somit die Partition, auf der dieses liegt) wäre sofort wieder bumsvoll. Damit wäre mir nicht geholfen. Null!

Confused.

Weiß noch jemand etwas dazu?
emeriks
emeriks Sep 06, 2018 at 09:25:31 (UTC)
Goto Top
Dein Blickwinkel ist vielleicht falsch.
Im WSUS stellst Du nicht ein, was gebraucht wird, weil es fehlt, sondern, was gebraucht wird, weil es eine Grundvoraussetzung für den Betrieb ist.
Bsp.
Update A88 ist auf allen aktuellen Clients schon drauf. Dein neuer WSUS braucht dieses deshalb nicht extra herunterladen, nach Deiner Logik.
Morgen musst Du einen Client neu aufsetzen. Von Orignial-ISO oder von Image, egal. Nach der Installation hat dieser Client das A88 dann aber noch nicht. WSUS hat dieses auch nicht und meldet es dem Client nicht. Woher soll denn der Client auch wissen, dass es A88 gibt? Also wird er es auch nicht anfordern.
Wenn Du sicherstellen willst, dass auch alle zukünftigen (neu installierte) Clients alle Updates von A00 bis A99 haben, dann musst Du auch dieses A88 auf dem WSUS vorhalten. Eine Frage der Qualitätssicherung.
departure69
departure69 Sep 06, 2018 at 09:32:01 (UTC)
Goto Top
Woher soll denn der Client auch wissen, dass es A88 gibt?

Über den Windows Update Agent?

Die Updates sind ja auf dem WSUS schon da (gelistet), aber eben bloß noch nicht heruntergeladen (weil noch nicht zur Installation genehmigt). Meinst Du wirklich, daß der Windows-Update-Agent nicht beim WSUS anklopft und konkret fragt, ob es das benötigte Update geben könnte (also nach Genehmigung)?
emeriks
emeriks Sep 06, 2018 updated at 09:46:05 (UTC)
Goto Top
Der WSUS dient nicht dazu, einem Client zu melden, welche Updates es generell gibt, sondern welche Updates er benötigt um konform mit den Unternehmensrichtlinien zu sein.

Das kannst Du ganz einfach testen.
Erstelle im WSUS eine neue Computergruppe.
Genehmige für diese Gruppe keine Updates.
Weise diese Gruppe ein paar Clients per GPO zu.
Lass diese Clients dann nach Updates suchen. Am besten booten.
Dann frage nach ein paar Minuten den Report für diese Clients ab. (Wenn sie in der WSUS-Konsole in dieses Gruppe bei Filter "alle" angezeigt werden. Das kann dauern.)
Sie werden alle melden: "Grün, 100 %". Egal, welchen Updatestand sie haben.
departure69
departure69 Sep 06, 2018 at 10:43:44 (UTC)
Goto Top
Hhmm, also Fazit, daß das so überhaupt nicht geht, wie ich mir das vorstelle? Ich muß also alle Updates, die ich aufgrund der eingestellten Produkte und Klassifizierungen schon gelistet bekomme, genehmigen (und dadurch leider auch schon herunterladen)? Dann bin ich genausoweit wie auf dem alten WSUS-Server, ein rammelvoller WSUSContent-Ordner.

Aber warum hab' ich denn so oft gelesen, daß es möglich ist, den WSUS so zu betreiben, daß er (der WSUS) vorerst immer nur das von Microsoft herunterlädt, was ihm die Clients/Server an Bedarf gemeldet haben? War das alles falsch? Und falls ja, warum schreiben das so viele?


Viele Grüße

von

departure69
Spirit-of-Eli
Solution Spirit-of-Eli Sep 06, 2018 at 11:18:14 (UTC)
Goto Top
Nein,

der Client meldet seine Anforderungen/Seinen Softwarestand.

Der WSUS (soweit aktuell) vergleicht diesen Status mit zur Verfügung stehen denn Updates.

Dann kannst du diese am WSUS freigeben und nun schlussendlich kann auch der Client diese sehen.
BassFishFox
Solution BassFishFox Sep 06, 2018 updated at 11:21:35 (UTC)
Goto Top
Mach es einfach so wie Du vorhast.

Nichts genehmigen, was nicht "bei den Clients steht das die das brauchen koennten".

Ich erklaere mir die Arbeitsweise so, dass der WSUS regelmaessig von MS die (Meta)Informationen erhaelt (Du stellst ein, ie oft der WSUS nach Updates schaut) was fuer die Clientsysteme noetig ist. Der WSUS-Client der Clients gibt dem WSUS die Information was auf den Clients tatsaechlich ist. Stellt sich dabei raus, das etwas vorhanden ist was der Client brauchen koennte, taucht das auf als zu installieren. Wenn Du es dann genehmigst, wird es heruntergeladen. Der WSUS-Client des Client findet es dann und je nach Einstellung laedt er den Krams und installiert.

Klaert mich auf, wenn das nicht mehr so ist. face-wink

BFF
departure69
departure69 Sep 06, 2018 updated at 12:05:57 (UTC)
Goto Top
@emeriks:
@Spirit-of-Eli:
@BassFishFox:

Hat mir keine Ruhe gelassen, doch nun hab' ich's raus:

- virtuellen Testclient (W7 Pro x86) installiert, der (aufgrund einer aktuellen ISO) alle Updates bis inkl. Mitte August hatte, aber keine mehr seither

- keine Domäne, stattdessen per lokaler GPO (gpedit.msc) auf den neuen WSUS "gelenkt"

- gpupdate /force

- wuauclt /detectnow

-Ergebnis am neuen WSUS: Der Client taucht auf:
wsus00

- Ergebnis am Testclient:
wsus01

- also erstmal keine Updates im Angebot, wie es @emeriks vorhergesagt hat. Es müßten aber seit Ende August bis heute insgesamt 4 Stück da sein

- Aber: Der Testclient hat dem WSUS doch gemeldet, was er gern hätte, die 4 Stück, die angefordert wurden, findet man danach mittels der Filterung "Erforderlich":
wsus02

- nächster Schritt: Die 4 unter "Erforderlich" gefundenen Updates genehmigen, die 4 tauchen hier doppelt auf, weil es 2 Standardgruppen gibt, "Alle Computer" und "Nicht zugewiesene Computer":
wsus04

- der WSUS tätigt den Download:
wsus05

- erneute Updatesuche am Testclient, Bingo!
wsus06


Anscheinend ist der Client doch in der Lage, dem WSUS seine Bedürfnisse mitzuteilen, auch ohne daß am WSUS auch nur ein einziges Update vorher genehmigt ist.

Freu' mich jetzt, dann war das zum Glück doch nicht für die Katz'.


Nochmals Danke an alle.

Viele Grüße

von

departure69
Pedant
Pedant Dec 12, 2018 at 09:48:16 (UTC)
Goto Top
Hallo depature69,

nur ein Kommentar dazu, wie sehr dieser Thread mein WSUS-Wohlgefühl verbessert hat...

Ich hatte meinen WSUS diverse Jahre einfach laufen lassen.
Bei der Auswahl der Produkte und Klassifikationen war ich recht großzügig und hatte einfach alles automatisch genehmigen lassen.
Mir war nicht im Geringsten klar, auf welcher Basis ich hätte entscheiden sollen, was ich manuell genehmige soll und was nicht.
Für die Updates hatte ich 1,36 TB Platz auf dem WSUS-Server und das übliche Skript für die Server- und Datenbankbereinignung lief regelmäßig.
Letzen Monat kam dann doch der Tag an dem die Update-Platte voll lief.
Ich entschied den WSUS neu auszusetzen, also bei Null anzufangen.

Der erste Sync, wieder mit automatischer Genehmignung, führte dazu:

updates
(Screenshotausschnitt meiner WSUS-Konsole)

Diese 1,28 TB hätten meine Update-Platte gleich zu Beginn schon wieder zu 94% gefüllt.
Ich brach das ab und fing erneut von vorne an.

Es war klar, dass es höchste Zeit wurde das Thema grundsätzlich anders anzugehen.
Mir war nur nicht klar wie.
Die Recherche führte mich zu vielen schlauen Seiten und glücklicherweise auch zu diesem Thread.

Erst durch diesen Thread wurden mir ein paar grundlegende Dinge klar:

  • Nicht genehmigt Updates werden vom Server nicht heruntergeladen.
  • Nicht genehmigt Updates werden dennoch den Clients angeboten.
  • Die Clients setzen den Status auf "Needed", sodass ich leicht erkennen kann, was potentiell benötigt wird.
    Updates -> All Updates -> Approval: Any Except Declined & Status: Failed or Needed
    zeigt mir die Liste der Updates, die gerne genehmigt würden.
    Hier kann ich genehmigen was mir sinnvoll erscheint, vorerst nicht genehmigen was ich noch nicht installieren lassen möchte und ablehnen was ich definitiv nicht haben möchte
    Das ist auch am Patchday eine überschaubare Liste und nicht die Auflistung aller 27.000 Updates.
  • Wenn ich Updates genehmige, beginnt der Download automatisch.
    In der Übersicht der WSUS-Konsole (Klick auf den Servernamen), sehe ich den Downloadstatus (siehe Screenshot).
    Ist der Download abgeschlossen stehen die neu genehmigten Updates den Clients zur Installation zur Verfügung.

Warum diese Punkte in den WSUS-Installationsanleitungen nicht ausdrücklich erwähnt werden und zwar so, dass es auch mir unvermeidlich klar wird, ist mir echt unklar.

Jetzt bitte keine Links zu Anleitungen posten, in denen das erklärt wird.

Ich behaupte hier nur, dass ich in den letzten Jahren nicht wenig über WSUS nachgelesen habe, aber diese wichtigen Basics erst hier erfahren und verstanden habe.

Im Moment habe ich noch keine Regel für automatische Genehmigungen aktiviert und schaue täglich in die WSUS-Konsole, was zur Genehmigung ansteht. Noch macht's Spaß, vermutlich werde ich aber für "Critical" und vielleicht auch für "Security" eine solche Regel aktivieren, aber sicher nie wieder für pauschal Alles, egal wie dick die Internetleitung sein mag und vieviel Platz auf dem WSUS sein möge.

Gruß und Dank
Frank
departure69
departure69 Dec 12, 2018 at 10:36:43 (UTC)
Goto Top
Freut mich, daß Dir der Thread geholfen hat:

Ich hab' noch 2 Praxistipps für Dich, Dinge, die mir erst danach noch klar geworden sind:

- falls Du an Deinen Servern und/oder Clients die Sicherheitslösungen von Microsoft nutzt oder zumindest anteilig nutzt (Defender, MSE, diese müssen natürlich bei den Produkten angehakt sein, bei mir ist das der Fall), dann ist es sinnvoll, zumindest für diese eine automatische Genehmigungsregel zu erstellen ("Definitionsupdates"), da kommen nämlich pro Produkt mehrere täglich, und die alle mehrmals täglich von Hand zu genehmigen, artet dann doch in unnötiger Arbeit aus
def

- wenn Du neue Rechner aufsetzt, versuche diese mit einer möglichst aktuellen ISO zu betanken, die Du nicht per WSUS bzw. mit Hilfe des WSUS erstellt hast. Wenn Du nämlich (Beispiel) eine W7-Pro-x64-SP1-Inst. mit einer ISO aus 2011 vornimmst und den Rechner mit dem WSUS verbindest und von diesem aus weiter aktualisieren möchtest, holt Dir der WSUS alles für Windows 7 x64 seit 2011! Ich würde besser eine Custom-ISO erstellen, die alle Updates schon hat, und diese Updates würde ich mir beim Customizen online, ohne WSUS, holen. Dann wie üblich Sysprep, ImageX, Klonen usw.. Ansonsten ist der WSUS doch bald wieder voll.


Mein WSUS ist seit September, als dieser Thread entstand, immer noch schlank und läuft wie ein Glöckchen face-smile

Viel Erfolg bei Deinem weiteren Vorgehen.


Viele Grüße
emeriks
emeriks Dec 12, 2018 updated at 10:44:47 (UTC)
Goto Top
Zitat von @departure69:
Ich würde besser eine Custom-ISO erstellen, die alle Updates schon hat, und diese Updates würde ich mir beim Customizen online, ohne WSUS, holen. Dann wie üblich Sysprep, ImageX, Klonen usw.. Ansonsten ist der WSUS doch bald wieder voll.
Alternative: WSUS Offline
Das nutze ich sehr gerne dafür. Windows installieren. Aktuelle WSUS-Offline-ISO erstellen und mounten. Updates von dieser ISO installieren. Erst danach den WSUS benutzen.
ipzipzap
ipzipzap Feb 21, 2019 updated at 12:56:30 (UTC)
Goto Top
Hallo,

Zitat von @departure69:
- Aber: Der Testclient hat dem WSUS doch gemeldet, was er gern hätte, die 4 Stück, die angefordert wurden, findet man danach mittels der Filterung "Erforderlich":

Nein! Der Testclient meldet nicht, was er gern hätte. Der Client fragt den WSUS "Hallo. Ich bin ein Win7 mit Version x.y.z. Hast Du Updates für mich?" Der WSUS sagt "Nein!" und im Client ist deshalb alles grün. Der Client weiß nicht, das es diese 4 Updates da gibt.

Der WSUS guckt nun in seiner Datenbank nach und sieht "Ah, hier gibt es 4 Updates, die der Win7-Client mit Versionsstand x.y.z gut gebrauchen könnte. Möchtest Du die freigeben, lieber Admin?"

Also gibst Du die frei, und wenn der Client das nächste mal fragt "Hast Du Updates für mich?", dann sagt der WSUS "Ja, hier habe ich 4 Updates für Dich!".

So läuft das. Die Clients sind doof und wissen nicht, was sie brauchen. Das regelt alles der WSUS.

wsus02

Da steht "erforderlich" und nicht "angefordert". Das ist ein kleiner, aber feiner Unterschied face-wink

Anscheinend ist der Client doch in der Lage, dem WSUS seine Bedürfnisse mitzuteilen, auch ohne daß am WSUS auch nur ein einziges Update vorher genehmigt ist.

Nö! Der Client teilt dem WSUS nur sein OS und seine Version mit. Seine Bedürfnisse kennt er nicht.


cu,
ipzipzap

EDIT: Und ja, ich weiß, das der Thread schon ein paar Wochen alt ist face-wink
ipzipzap
ipzipzap Feb 21, 2019 at 12:52:34 (UTC)
Goto Top
Hallo Frank,

Zitat von @Pedant:
Erst durch diesen Thread wurden mir ein paar grundlegende Dinge klar:

  • Nicht genehmigt Updates werden vom Server nicht heruntergeladen.

Richtig

* Nicht genehmigt Updates werden dennoch den Clients angeboten.

Falsch! Solange ein Update nicht genehmigt ist, wird es auch keinem Client angeboten.

* Die Clients setzen den Status auf "Needed", sodass ich leicht erkennen kann, was potentiell benötigt wird.

Nein! Die Clients setzen keinen Status, sie übermitteln dem WSUS nur Ihren eigenen Stand. Die Anzeige, was benötigt wird, das macht der WSUS selber anhand seiner Datenbank.

cu,
ipzipzap
departure69
departure69 Feb 21, 2019 at 13:58:42 (UTC)
Goto Top
Der WSUS guckt nun in seiner Datenbank nach und sieht "Ah, hier gibt es 4 Updates, die der Win7-Client mit Versionsstand x.y.z gut gebrauchen könnte. Möchtest Du die freigeben, lieber Admin?"

Also sagt der Client dem WSUS doch, wo, auf welchem Patchstand er gerade steht. Seine "Bedürfnisse", wie ich das weiter oben genannt habe, ergeben sich aus diesem Abgleich. Im Ergebnis genau dasselbe.

Du nimmst es aber sehr genau.
BassFishFox
BassFishFox Feb 21, 2019 at 19:34:10 (UTC)
Goto Top
Nicht so pingelig sein. ✌


@departure69
Von irgendwem muss irgendwas zu irgendwem gesendet werden damit irgendwer mit irgendwem abgleichen kann was irgendwem fehlt um irgendwem zu sagen, hier ich "hab was das koennte irgendwer gebrauchen genehmige das mal".Wenn irgendwer nochmal aufschlaegt merk irgendwer das irgendwer irgendwas fuer ihn hat.

So aehnlich hab ich das weiter oben schon mal geschrieben. 😁

Schoenes WE!
BFF