WSUS 2016, wo werde ich die angeforderten Updates sehen?
Hallo.
Mein bisheriger WSUS 3.0 SP2 pfeift aus dem letzten Loch, ich kriege den irgendwie nicht mehr richtig in den Griff, außerdem ist die ganze Maschine in ungutem Zustand (braucht mittlerweile täglichen Neustart). Deshalb nun Nägel mit Köpfen, hab' jetzt Windows 2016 Std. aufgesetzt und die WSUS-Rolle installiert. Hat einwandfrei geklappt. Und ich habe diesmal nicht mehr den "Fehler" gemacht, eine pauschale Genehmigungsregel zu erstellen, denn wirkt diese, werden sogleich alle klassifizierten Produkte auf Vorrat heruntergeladen. Dies hat mir auf dem bisherigen WSUS immer wieder Platzprobleme mit den ungeheuren Datenmengen bereitet, insbesondere, seit Windows 10 hinzugekommen ist.
Stattdessen möchte und werde ich in Zukunft nur noch die Updates genehmigen (denn erst dann lädt sie der WSUS von Microsoft herunter), die auch wirklich von den Clients und Servern über den Windows-Update-Agent angefordert werden.
Einzige Frage:
Die Updates, die den ausgewählten Produkten und Klassifizierungen entsprechen, sind nach der Erstsynchronisierung nun schon alle aufgelistet, es ist aber noch keines heruntergeladen (das WSUS-Content-Verzeichnis enthält schon alle passenden Unterverzeichnisse, die sind aber alle noch leer bzw. enthalten lediglich Textdateien mit den Informationen zu den Updates). So soll es auch sein, ich will ja, daß die Updates erst dann heruntergeladen werden, wenn sie tatsächlich angefordert wurden. Doch WO, an welcher Stelle, sehe ich diese Anforderungen dann? Denn danach würde ich diese erst genehmigen wollen, aber dazu muß ich ja sehen können, welche das sind!
Der neue WSUS ist noch nicht im Produktivbetrieb, ich möchte nur schonmal wissen, wo ich diese Anforderungen dann sehen kann, bevor ich irgendwann die GPOs auf den neuen umbiege. Ein Beispielscreenshot der WSUS-Konsole von jemandem, der das so einsetzt, würde wahrscheinlich schon genügen.
Wäre klasse, wenn jemand etwas dazu hätte oder wüßte.
Vielen Dank schonmal.
Viele Grüße
von
departure69
Mein bisheriger WSUS 3.0 SP2 pfeift aus dem letzten Loch, ich kriege den irgendwie nicht mehr richtig in den Griff, außerdem ist die ganze Maschine in ungutem Zustand (braucht mittlerweile täglichen Neustart). Deshalb nun Nägel mit Köpfen, hab' jetzt Windows 2016 Std. aufgesetzt und die WSUS-Rolle installiert. Hat einwandfrei geklappt. Und ich habe diesmal nicht mehr den "Fehler" gemacht, eine pauschale Genehmigungsregel zu erstellen, denn wirkt diese, werden sogleich alle klassifizierten Produkte auf Vorrat heruntergeladen. Dies hat mir auf dem bisherigen WSUS immer wieder Platzprobleme mit den ungeheuren Datenmengen bereitet, insbesondere, seit Windows 10 hinzugekommen ist.
Stattdessen möchte und werde ich in Zukunft nur noch die Updates genehmigen (denn erst dann lädt sie der WSUS von Microsoft herunter), die auch wirklich von den Clients und Servern über den Windows-Update-Agent angefordert werden.
Einzige Frage:
Die Updates, die den ausgewählten Produkten und Klassifizierungen entsprechen, sind nach der Erstsynchronisierung nun schon alle aufgelistet, es ist aber noch keines heruntergeladen (das WSUS-Content-Verzeichnis enthält schon alle passenden Unterverzeichnisse, die sind aber alle noch leer bzw. enthalten lediglich Textdateien mit den Informationen zu den Updates). So soll es auch sein, ich will ja, daß die Updates erst dann heruntergeladen werden, wenn sie tatsächlich angefordert wurden. Doch WO, an welcher Stelle, sehe ich diese Anforderungen dann? Denn danach würde ich diese erst genehmigen wollen, aber dazu muß ich ja sehen können, welche das sind!
Der neue WSUS ist noch nicht im Produktivbetrieb, ich möchte nur schonmal wissen, wo ich diese Anforderungen dann sehen kann, bevor ich irgendwann die GPOs auf den neuen umbiege. Ein Beispielscreenshot der WSUS-Konsole von jemandem, der das so einsetzt, würde wahrscheinlich schon genügen.
Wäre klasse, wenn jemand etwas dazu hätte oder wüßte.
Vielen Dank schonmal.
Viele Grüße
von
departure69
Please also mark the comments that contributed to the solution of the article
Content-ID: 385632
Url: https://administrator.de/contentid/385632
Printed on: October 11, 2024 at 14:10 o'clock
20 Comments
Latest comment
Hi,
Ein Client fordert gar nichts an. Er fragt den WSUS: "Was hast Du für mich?" Und der WSUS wird nur das melden, was vorher für diesen Client (Computergruppe) genehmigt wurde. Erst dann fordert der Client diese Updates zum Donwload an.
Man muss also weiterhin schauen, welche Updates sind für eine bestimmte Produktgruppe verfügbar, und diese dann für die einzelnen Computergruppen genehmigen. Wenn ein Update für min. eine Gruppe genehmigt ist, dann wird es auf den WSUS heruntergeladen. Und erst wenn es auf den WSUS geladen ist, wird dieser das dem Client als verfügbar anbieten.
E.
Zitat von @departure69:
Danke, jetzt hab' ich's kapiert, man muß nach "erforderlich" filtern. Und die Liste dann komplett markieren, dann re. Maustaste, "Genehmigen" und dann erfolgt der Download und die Clients und Server können danach vom WSUS saugen, was sie brauchen bzw. angefordert haben.
Nee, so einfach läuft das nicht.Danke, jetzt hab' ich's kapiert, man muß nach "erforderlich" filtern. Und die Liste dann komplett markieren, dann re. Maustaste, "Genehmigen" und dann erfolgt der Download und die Clients und Server können danach vom WSUS saugen, was sie brauchen bzw. angefordert haben.
Ein Client fordert gar nichts an. Er fragt den WSUS: "Was hast Du für mich?" Und der WSUS wird nur das melden, was vorher für diesen Client (Computergruppe) genehmigt wurde. Erst dann fordert der Client diese Updates zum Donwload an.
Man muss also weiterhin schauen, welche Updates sind für eine bestimmte Produktgruppe verfügbar, und diese dann für die einzelnen Computergruppen genehmigen. Wenn ein Update für min. eine Gruppe genehmigt ist, dann wird es auf den WSUS heruntergeladen. Und erst wenn es auf den WSUS geladen ist, wird dieser das dem Client als verfügbar anbieten.
E.
Dein Blickwinkel ist vielleicht falsch.
Im WSUS stellst Du nicht ein, was gebraucht wird, weil es fehlt, sondern, was gebraucht wird, weil es eine Grundvoraussetzung für den Betrieb ist.
Bsp.
Update A88 ist auf allen aktuellen Clients schon drauf. Dein neuer WSUS braucht dieses deshalb nicht extra herunterladen, nach Deiner Logik.
Morgen musst Du einen Client neu aufsetzen. Von Orignial-ISO oder von Image, egal. Nach der Installation hat dieser Client das A88 dann aber noch nicht. WSUS hat dieses auch nicht und meldet es dem Client nicht. Woher soll denn der Client auch wissen, dass es A88 gibt? Also wird er es auch nicht anfordern.
Wenn Du sicherstellen willst, dass auch alle zukünftigen (neu installierte) Clients alle Updates von A00 bis A99 haben, dann musst Du auch dieses A88 auf dem WSUS vorhalten. Eine Frage der Qualitätssicherung.
Im WSUS stellst Du nicht ein, was gebraucht wird, weil es fehlt, sondern, was gebraucht wird, weil es eine Grundvoraussetzung für den Betrieb ist.
Bsp.
Update A88 ist auf allen aktuellen Clients schon drauf. Dein neuer WSUS braucht dieses deshalb nicht extra herunterladen, nach Deiner Logik.
Morgen musst Du einen Client neu aufsetzen. Von Orignial-ISO oder von Image, egal. Nach der Installation hat dieser Client das A88 dann aber noch nicht. WSUS hat dieses auch nicht und meldet es dem Client nicht. Woher soll denn der Client auch wissen, dass es A88 gibt? Also wird er es auch nicht anfordern.
Wenn Du sicherstellen willst, dass auch alle zukünftigen (neu installierte) Clients alle Updates von A00 bis A99 haben, dann musst Du auch dieses A88 auf dem WSUS vorhalten. Eine Frage der Qualitätssicherung.
Der WSUS dient nicht dazu, einem Client zu melden, welche Updates es generell gibt, sondern welche Updates er benötigt um konform mit den Unternehmensrichtlinien zu sein.
Das kannst Du ganz einfach testen.
Erstelle im WSUS eine neue Computergruppe.
Genehmige für diese Gruppe keine Updates.
Weise diese Gruppe ein paar Clients per GPO zu.
Lass diese Clients dann nach Updates suchen. Am besten booten.
Dann frage nach ein paar Minuten den Report für diese Clients ab. (Wenn sie in der WSUS-Konsole in dieses Gruppe bei Filter "alle" angezeigt werden. Das kann dauern.)
Sie werden alle melden: "Grün, 100 %". Egal, welchen Updatestand sie haben.
Das kannst Du ganz einfach testen.
Erstelle im WSUS eine neue Computergruppe.
Genehmige für diese Gruppe keine Updates.
Weise diese Gruppe ein paar Clients per GPO zu.
Lass diese Clients dann nach Updates suchen. Am besten booten.
Dann frage nach ein paar Minuten den Report für diese Clients ab. (Wenn sie in der WSUS-Konsole in dieses Gruppe bei Filter "alle" angezeigt werden. Das kann dauern.)
Sie werden alle melden: "Grün, 100 %". Egal, welchen Updatestand sie haben.
Mach es einfach so wie Du vorhast.
Nichts genehmigen, was nicht "bei den Clients steht das die das brauchen koennten".
Ich erklaere mir die Arbeitsweise so, dass der WSUS regelmaessig von MS die (Meta)Informationen erhaelt (Du stellst ein, ie oft der WSUS nach Updates schaut) was fuer die Clientsysteme noetig ist. Der WSUS-Client der Clients gibt dem WSUS die Information was auf den Clients tatsaechlich ist. Stellt sich dabei raus, das etwas vorhanden ist was der Client brauchen koennte, taucht das auf als zu installieren. Wenn Du es dann genehmigst, wird es heruntergeladen. Der WSUS-Client des Client findet es dann und je nach Einstellung laedt er den Krams und installiert.
Klaert mich auf, wenn das nicht mehr so ist.
BFF
Nichts genehmigen, was nicht "bei den Clients steht das die das brauchen koennten".
Ich erklaere mir die Arbeitsweise so, dass der WSUS regelmaessig von MS die (Meta)Informationen erhaelt (Du stellst ein, ie oft der WSUS nach Updates schaut) was fuer die Clientsysteme noetig ist. Der WSUS-Client der Clients gibt dem WSUS die Information was auf den Clients tatsaechlich ist. Stellt sich dabei raus, das etwas vorhanden ist was der Client brauchen koennte, taucht das auf als zu installieren. Wenn Du es dann genehmigst, wird es heruntergeladen. Der WSUS-Client des Client findet es dann und je nach Einstellung laedt er den Krams und installiert.
Klaert mich auf, wenn das nicht mehr so ist.
BFF
Hallo depature69,
nur ein Kommentar dazu, wie sehr dieser Thread mein WSUS-Wohlgefühl verbessert hat...
Ich hatte meinen WSUS diverse Jahre einfach laufen lassen.
Bei der Auswahl der Produkte und Klassifikationen war ich recht großzügig und hatte einfach alles automatisch genehmigen lassen.
Mir war nicht im Geringsten klar, auf welcher Basis ich hätte entscheiden sollen, was ich manuell genehmige soll und was nicht.
Für die Updates hatte ich 1,36 TB Platz auf dem WSUS-Server und das übliche Skript für die Server- und Datenbankbereinignung lief regelmäßig.
Letzen Monat kam dann doch der Tag an dem die Update-Platte voll lief.
Ich entschied den WSUS neu auszusetzen, also bei Null anzufangen.
Der erste Sync, wieder mit automatischer Genehmignung, führte dazu:
(Screenshotausschnitt meiner WSUS-Konsole)
Diese 1,28 TB hätten meine Update-Platte gleich zu Beginn schon wieder zu 94% gefüllt.
Ich brach das ab und fing erneut von vorne an.
Es war klar, dass es höchste Zeit wurde das Thema grundsätzlich anders anzugehen.
Mir war nur nicht klar wie.
Die Recherche führte mich zu vielen schlauen Seiten und glücklicherweise auch zu diesem Thread.
Erst durch diesen Thread wurden mir ein paar grundlegende Dinge klar:
Warum diese Punkte in den WSUS-Installationsanleitungen nicht ausdrücklich erwähnt werden und zwar so, dass es auch mir unvermeidlich klar wird, ist mir echt unklar.
Jetzt bitte keine Links zu Anleitungen posten, in denen das erklärt wird.
Ich behaupte hier nur, dass ich in den letzten Jahren nicht wenig über WSUS nachgelesen habe, aber diese wichtigen Basics erst hier erfahren und verstanden habe.
Im Moment habe ich noch keine Regel für automatische Genehmigungen aktiviert und schaue täglich in die WSUS-Konsole, was zur Genehmigung ansteht. Noch macht's Spaß, vermutlich werde ich aber für "Critical" und vielleicht auch für "Security" eine solche Regel aktivieren, aber sicher nie wieder für pauschal Alles, egal wie dick die Internetleitung sein mag und vieviel Platz auf dem WSUS sein möge.
Gruß und Dank
Frank
nur ein Kommentar dazu, wie sehr dieser Thread mein WSUS-Wohlgefühl verbessert hat...
Ich hatte meinen WSUS diverse Jahre einfach laufen lassen.
Bei der Auswahl der Produkte und Klassifikationen war ich recht großzügig und hatte einfach alles automatisch genehmigen lassen.
Mir war nicht im Geringsten klar, auf welcher Basis ich hätte entscheiden sollen, was ich manuell genehmige soll und was nicht.
Für die Updates hatte ich 1,36 TB Platz auf dem WSUS-Server und das übliche Skript für die Server- und Datenbankbereinignung lief regelmäßig.
Letzen Monat kam dann doch der Tag an dem die Update-Platte voll lief.
Ich entschied den WSUS neu auszusetzen, also bei Null anzufangen.
Der erste Sync, wieder mit automatischer Genehmignung, führte dazu:
(Screenshotausschnitt meiner WSUS-Konsole)
Diese 1,28 TB hätten meine Update-Platte gleich zu Beginn schon wieder zu 94% gefüllt.
Ich brach das ab und fing erneut von vorne an.
Es war klar, dass es höchste Zeit wurde das Thema grundsätzlich anders anzugehen.
Mir war nur nicht klar wie.
Die Recherche führte mich zu vielen schlauen Seiten und glücklicherweise auch zu diesem Thread.
Erst durch diesen Thread wurden mir ein paar grundlegende Dinge klar:
- Nicht genehmigt Updates werden vom Server nicht heruntergeladen.
- Nicht genehmigt Updates werden dennoch den Clients angeboten.
- Die Clients setzen den Status auf "Needed", sodass ich leicht erkennen kann, was potentiell benötigt wird.
Updates -> All Updates -> Approval: Any Except Declined & Status: Failed or Needed
zeigt mir die Liste der Updates, die gerne genehmigt würden.
Hier kann ich genehmigen was mir sinnvoll erscheint, vorerst nicht genehmigen was ich noch nicht installieren lassen möchte und ablehnen was ich definitiv nicht haben möchte
Das ist auch am Patchday eine überschaubare Liste und nicht die Auflistung aller 27.000 Updates. - Wenn ich Updates genehmige, beginnt der Download automatisch.
In der Übersicht der WSUS-Konsole (Klick auf den Servernamen), sehe ich den Downloadstatus (siehe Screenshot).
Ist der Download abgeschlossen stehen die neu genehmigten Updates den Clients zur Installation zur Verfügung.
Warum diese Punkte in den WSUS-Installationsanleitungen nicht ausdrücklich erwähnt werden und zwar so, dass es auch mir unvermeidlich klar wird, ist mir echt unklar.
Jetzt bitte keine Links zu Anleitungen posten, in denen das erklärt wird.
Ich behaupte hier nur, dass ich in den letzten Jahren nicht wenig über WSUS nachgelesen habe, aber diese wichtigen Basics erst hier erfahren und verstanden habe.
Im Moment habe ich noch keine Regel für automatische Genehmigungen aktiviert und schaue täglich in die WSUS-Konsole, was zur Genehmigung ansteht. Noch macht's Spaß, vermutlich werde ich aber für "Critical" und vielleicht auch für "Security" eine solche Regel aktivieren, aber sicher nie wieder für pauschal Alles, egal wie dick die Internetleitung sein mag und vieviel Platz auf dem WSUS sein möge.
Gruß und Dank
Frank
Zitat von @departure69:
Ich würde besser eine Custom-ISO erstellen, die alle Updates schon hat, und diese Updates würde ich mir beim Customizen online, ohne WSUS, holen. Dann wie üblich Sysprep, ImageX, Klonen usw.. Ansonsten ist der WSUS doch bald wieder voll.
Alternative: WSUS OfflineIch würde besser eine Custom-ISO erstellen, die alle Updates schon hat, und diese Updates würde ich mir beim Customizen online, ohne WSUS, holen. Dann wie üblich Sysprep, ImageX, Klonen usw.. Ansonsten ist der WSUS doch bald wieder voll.
Das nutze ich sehr gerne dafür. Windows installieren. Aktuelle WSUS-Offline-ISO erstellen und mounten. Updates von dieser ISO installieren. Erst danach den WSUS benutzen.
Hallo,
Nein! Der Testclient meldet nicht, was er gern hätte. Der Client fragt den WSUS "Hallo. Ich bin ein Win7 mit Version x.y.z. Hast Du Updates für mich?" Der WSUS sagt "Nein!" und im Client ist deshalb alles grün. Der Client weiß nicht, das es diese 4 Updates da gibt.
Der WSUS guckt nun in seiner Datenbank nach und sieht "Ah, hier gibt es 4 Updates, die der Win7-Client mit Versionsstand x.y.z gut gebrauchen könnte. Möchtest Du die freigeben, lieber Admin?"
Also gibst Du die frei, und wenn der Client das nächste mal fragt "Hast Du Updates für mich?", dann sagt der WSUS "Ja, hier habe ich 4 Updates für Dich!".
So läuft das. Die Clients sind doof und wissen nicht, was sie brauchen. Das regelt alles der WSUS.
Da steht "erforderlich" und nicht "angefordert". Das ist ein kleiner, aber feiner Unterschied
Nö! Der Client teilt dem WSUS nur sein OS und seine Version mit. Seine Bedürfnisse kennt er nicht.
cu,
ipzipzap
EDIT: Und ja, ich weiß, das der Thread schon ein paar Wochen alt ist
Zitat von @departure69:
- Aber: Der Testclient hat dem WSUS doch gemeldet, was er gern hätte, die 4 Stück, die angefordert wurden, findet man danach mittels der Filterung "Erforderlich":
- Aber: Der Testclient hat dem WSUS doch gemeldet, was er gern hätte, die 4 Stück, die angefordert wurden, findet man danach mittels der Filterung "Erforderlich":
Nein! Der Testclient meldet nicht, was er gern hätte. Der Client fragt den WSUS "Hallo. Ich bin ein Win7 mit Version x.y.z. Hast Du Updates für mich?" Der WSUS sagt "Nein!" und im Client ist deshalb alles grün. Der Client weiß nicht, das es diese 4 Updates da gibt.
Der WSUS guckt nun in seiner Datenbank nach und sieht "Ah, hier gibt es 4 Updates, die der Win7-Client mit Versionsstand x.y.z gut gebrauchen könnte. Möchtest Du die freigeben, lieber Admin?"
Also gibst Du die frei, und wenn der Client das nächste mal fragt "Hast Du Updates für mich?", dann sagt der WSUS "Ja, hier habe ich 4 Updates für Dich!".
So läuft das. Die Clients sind doof und wissen nicht, was sie brauchen. Das regelt alles der WSUS.
Da steht "erforderlich" und nicht "angefordert". Das ist ein kleiner, aber feiner Unterschied
Anscheinend ist der Client doch in der Lage, dem WSUS seine Bedürfnisse mitzuteilen, auch ohne daß am WSUS auch nur ein einziges Update vorher genehmigt ist.
Nö! Der Client teilt dem WSUS nur sein OS und seine Version mit. Seine Bedürfnisse kennt er nicht.
cu,
ipzipzap
EDIT: Und ja, ich weiß, das der Thread schon ein paar Wochen alt ist
Hallo Frank,
Richtig
Falsch! Solange ein Update nicht genehmigt ist, wird es auch keinem Client angeboten.
Nein! Die Clients setzen keinen Status, sie übermitteln dem WSUS nur Ihren eigenen Stand. Die Anzeige, was benötigt wird, das macht der WSUS selber anhand seiner Datenbank.
cu,
ipzipzap
Zitat von @Pedant:
Erst durch diesen Thread wurden mir ein paar grundlegende Dinge klar:
Erst durch diesen Thread wurden mir ein paar grundlegende Dinge klar:
- Nicht genehmigt Updates werden vom Server nicht heruntergeladen.
Richtig
* Nicht genehmigt Updates werden dennoch den Clients angeboten.
Falsch! Solange ein Update nicht genehmigt ist, wird es auch keinem Client angeboten.
* Die Clients setzen den Status auf "Needed", sodass ich leicht erkennen kann, was potentiell benötigt wird.
Nein! Die Clients setzen keinen Status, sie übermitteln dem WSUS nur Ihren eigenen Stand. Die Anzeige, was benötigt wird, das macht der WSUS selber anhand seiner Datenbank.
cu,
ipzipzap
Nicht so pingelig sein. ✌
@departure69
Von irgendwem muss irgendwas zu irgendwem gesendet werden damit irgendwer mit irgendwem abgleichen kann was irgendwem fehlt um irgendwem zu sagen, hier ich "hab was das koennte irgendwer gebrauchen genehmige das mal".Wenn irgendwer nochmal aufschlaegt merk irgendwer das irgendwer irgendwas fuer ihn hat.
So aehnlich hab ich das weiter oben schon mal geschrieben. 😁
Schoenes WE!
BFF
@departure69
Von irgendwem muss irgendwas zu irgendwem gesendet werden damit irgendwer mit irgendwem abgleichen kann was irgendwem fehlt um irgendwem zu sagen, hier ich "hab was das koennte irgendwer gebrauchen genehmige das mal".Wenn irgendwer nochmal aufschlaegt merk irgendwer das irgendwer irgendwas fuer ihn hat.
So aehnlich hab ich das weiter oben schon mal geschrieben. 😁
Schoenes WE!
BFF