WSUS - A pain in the ass

erikro
Goto Top
Moin,

letzte Woche habe ich einen neuen WSUS-Server aufgesetzt. Kann man ja mal machen. Also ein paar Clients und ein paar nicht ganz so wichtige Server zum Testen in Test-OUs verschoben, GPOs geschrieben ... Das Übliche halt. Dann noch dem WSUS gesagt, welche Produkte er denn so bedienen soll. Alles gut. Nach der ersten Synchronisierung hatte er rund 15.000 Updates zur Verfügung. Das ist ja eine Menge, dachte ich mir so. Aber schaun wir mal. Dann noch die automatische Genehmigung auf 7 Tage eingestellt und gewartet, was passiert.

Ganz brav holten sich die Clients wie gewünscht die Updates automatisch und installierten sie. Die Server, ebenso wie gewünscht, luden die Dateien herunter und warteten, dass der Admin auf "installieren" klickt. Alles gut, so dachte ich. Und dann guckte ich nach einer Woche eher zufällig auf die Platte (2TB) und sah rot. Die 2TB waren fast voll. WAS?

Welche Drogen nehmen die bei MS eigentlich? Wozu brauche ich das Update "Ägyptische Hieroglyphen meißeln" aus dem Jahr 2.000 v.u.Z.? Etwas übertrieben. Aber was soll der Mist, dass sämtliche jemals erschienenen Updates von Windows 10 heruntergeladen werden? Alle unsere Kisten laufen unter 21H2. Wozu noch gefühlt 1.000 Updates für 15irgendwas? Was soll der Mist? Die ältesten Updates, die ich gefunden habe, stammten aus 2010! Hey! Wir haben 2022!

Also mühsam alles durchgeflöht, was denn so komplett veraltet ist, die Dinger abgelehnt und den Server bereinigt. Schwupps sind wieder 1,7TB von 2TB frei. Das ist auch das was ich in etwa für den Anfang erwartet habe. Wann lernen die Klappskallis von MS es endlich? face-wink

Liebe Grüße

Erik

Content-Key: 3313643695

Url: https://administrator.de/contentid/3313643695

Ausgedruckt am: 07.08.2022 um 07:08 Uhr

Mitglied: Doskias
Doskias 11.07.2022 aktualisiert um 17:03:19 Uhr
Goto Top
Moin,

works as designed. Was erwartest du, wenn du automatisch herunterladen und installieren wählst? face-wink "Natürlich" fängt er vorne an und genehmigt und installiert von Vorne an. Du hast ihm halt gesagt, er soll sie genehmigen und das hat er getan.

Zitat von @erikro:
Wann lernen die Klappskallis von MS es endlich? face-wink

Dann wenn die Admins ihre Systeme pflegen und aktuell halten. Bin da völlig bei dir, aber richtig konfiguriert sollte der WSUS automatisch genehmigte Updates auch wieder löschen. Speicherplatzbereinigung kann man gut durch Powershell starten.

Ich habe mal gelesen, dass die Empfehlung seitens MS ist, bei einem neu installierten WSUS, nicht sofort die automatische Genehmigung zu konfigurieren. Stattdessen soll man einmalig alle nicht benötigten Updates händisch ablehnen und erst dann den Automatismus starten. Weiß aber nicht ob das eine Beste-Practice Empfehlung von leidenden Admins ist, oder eine offizielle Empfehlung seitens MS.

Unser WSUS hat sich zuletzt aufgebläht, da uns nicht bewusst war, dass abgelaufene und ersetzte Updates nicht automatisch abgelehnt und gelöscht werden. Auch das muss man händisch machen, bevor man die Bereinigung startet. Auch nicht ganz logisch, aber man lernt mit MS-Logik zu leben.

Gruß
Doskias
Mitglied: support-m
support-m 11.07.2022 um 17:04:07 Uhr
Goto Top
Moin,
hast du beim WSUS "Windows 10" ausgewählt? Dann lädt der alles runter bis hin zum Release Candidate von Windows 10.
Stattdessen solltest du beim WSUS z.B. "Windows 10 Vibrantium and later" wählen, das ist Windows 10 2004 und später. Alle nachfolgende Releases 20h2, 21h1, 21h2 bauen auf 2004 auf und werden per enable-Update (oder wie das heißt) freigeschaltet.
Ich habe bei unserem WSUS letzten Freitag erst die Clients kurzerhand aus dem Management raus genommen und mit den 21H2 admx-files dafür gesorgt, dass nur Windows 10 21H2 installiert wird. Sollen sich die Clients selbst alle relevanten Updates direkt von MS ziehen und irgendwann später setzte ich das höher. Ich hoffe, MS hält sich an die GPO Vorgabe....

MfG
Mitglied: Doskias
Doskias 11.07.2022 um 17:09:10 Uhr
Goto Top
Zitat von @support-m:
Ich habe bei unserem WSUS letzten Freitag erst die Clients kurzerhand aus dem Management raus genommen und mit den 21H2 admx-files dafür gesorgt, dass nur Windows 10 21H2 installiert wird. Sollen sich die Clients selbst alle relevanten Updates direkt von MS ziehen und irgendwann später setzte ich das höher. Ich hoffe, MS hält sich an die GPO Vorgabe....

Dann hast du allerdings keine Kontrolle mehr über das wann. Die Updates werden dann ja recht schnell nach der Veröffentlichung installiert und die User können drauf klicken wann immer sie wollen. Vorteil beim WSUS ist ja, dass du grade eine Woche warten kannst und die Vollkatastrophen vermeiden kannst. Und wenn schon nicht vermeiden, dann weißt du wenigstens was auf dich zu kommt face-wink
Mitglied: NixVerstehen
NixVerstehen 11.07.2022 um 20:53:57 Uhr
Goto Top
Hi,

bei deiner Überschrift muss man den Artikel einfach lesen face-smile Hattest du dem WSUS mitgegeben, Treiber und Treiberpacks auch zu ziehen? 2 TB sind schon eine Nummer. Ich hatte vor Jahren mal das seinerzeit kostenfreie WSUS-Cleanup-Script von Adam J. Marshall getestet. Hatte meinen WSUS gefühlt um den Faktor 10-20 beschleunigt und "entmüllt". Das Script ist jetzt kostenpflichtig und zu finden auf www.ajtek.ca zu finden.
Ich hab es vor 4 Wochen geordert und bin sehr zufrieden.

Gruß NV

@erikro: Vermutlich rauchen die in Redmond gehäckselte Windows-Datenträger face-smile
Mitglied: MysticFoxDE
MysticFoxDE 12.07.2022 um 07:36:31 Uhr
Goto Top
Moin Erik,

das Problem hat nicht MS verursacht, sondern du durch das suboptimale Einrichten der Autogenehmigungen.

Wenn du schon mit Autogenehmigung arbeiten möchtest, dann bitte nur die benötigten Update genehmigen lassen und nicht pauschal alle.

Beste Grüsse aus BaWü
Alex
Mitglied: DerMaddin
DerMaddin 12.07.2022 um 07:46:55 Uhr
Goto Top
Wie die Anderen schon geschrieben haben, sollte man nicht blindlings bei der Einrichtung eines WSUS Servers alle Kästchen aktivieren und sich dann wundern, dass der Plattenplatz beim Zusehen verschwindet. Unser WSUS darf/soll nur W10 und Server 2019 versorgen. Alles bis auf kritische Updates und Virendefinitionen wird manuell freigegeben, einmal die Woche. Der Genutzte Platz ist aktuell bei 230GB.
Mitglied: Crusher79
Crusher79 12.07.2022 aktualisiert um 09:27:58 Uhr
Goto Top
Hallo,

ja naja normal....

Hier ist unserer. Wir hatten schon optimiert. Haben pauschal 2 TB veranschlagt.

Es kommt auch immer drauf an, ob Updates andere erstezen oder daran anknüpfen. Sieht man ja an den kleinen Icon neben der Beschreibung.

Daraus ergibt sich dann auch, dass zwangsweise alte Dateien mit geladen werden müssen - da nicht kumulativ.

In kleinen Umgebungen kann man auch Squid Proxy nehmen. Beim IPcop/ IPfire war ja mal ein Ansatz dabei. Es gibt auch eine "from the scratch" Anleitung wie man einen Update Cache etabliert. Wo ich noch im Systemhaus war, hatte ich diese Variante WSUS o.ä. vorgezogen. Zumal die Windows 7 PCs eh ausgliefefert werden sollten und nicht in der Domäne waren.

Beim WSUS Offline Update kommt auch so einiges zusammen. Wie gesagt mag vor allem daran liegen, dass nicht alles kumulativ ist und welchen status quo man hat. Versch. Patchstande auf Clients/ Servern? Service Packs? Funktionsupates?

mfg Crusher
wsus
Mitglied: MysticFoxDE
MysticFoxDE 12.07.2022 um 10:14:18 Uhr
Goto Top
Ist alles am Ende des Tages eigentlich nur eine Frage der richtigen Genehmigungsstrategie und weniger von zu viel ausgewählten Produkten.

wsus-space

Und das mit allen Developer Tools, Exchange 2010 bis 2019, alle Officeversionen, alle SQL Server Versionen und alle Windows Versionen. 😉
Mitglied: departure69
departure69 12.07.2022 um 10:57:11 Uhr
Goto Top
@erikro:

Hallo.

Klares Problem Deiner automatischen Genehmigungen.

Sieh' Dir diesen Thread mal an, ich mußte mir das vor ein paar Jahren auch unter vielen Fragezeichen und Schmerzen mit dem verbrauchten Speicherplatz für den WSUS-Content erarbeiten:

https://administrator.de/forum/wsus-2016-wo-werde-ich-die-angeforderten- ...

Kurzzusammenfassung:

Außer "Definitionsupdates" (f. MSE, Defender usw.) habe ich gar keine automatischen Genehmigungen am Start, ich genehmige immer erst frisch am oder kurz nach den monatlichen Patchdays. Und ältere (aber neu aufgesetzte) Systeme (z. B. ein Windows 2012R2) werden im ersten Schritt nicht am WSUS bedient, sondern mit einer möglichst aktuellen ISO plus Windows-Online-Update. Erst danach kriegen solche Systeme dann die laufenden, mtl. Updates vom WSUS. Andernfalls saugt der WSUS nämlich 8 Jahre rückwärts alle Updates für Windows 2012R2 (Beispiel).

Mein WSUS ist seitdem einigermaßen schlank geblieben, trotz nicht gerade weniger Produkte und Klassifizierungen.

Viele Grüße

von

departure69
Mitglied: ArnoNymous
ArnoNymous 12.07.2022 um 11:05:27 Uhr
Goto Top
2 TB ist schon eine Hausnummer. Ich habe ja schon div. WSUS eingerichtet, aber auf die Menge kam ich nie.
Sicher, dass du nicht etwas zu viele Produkte, Klassifizierungen oder Sprachen ausgewählt hast? Oder das nur genehmigte Updates heruntergeladen werden?

Aber ansonsten stimme ich dir zu. Verstehe auch nicht, warum der WSUS noch Updates anbietet, die schon lange ersetzt wurden. Vor dem ersten Download also immer erstmal händisch alles ablehnen, was bereits als Ersetzt makiert wurde und schon hat man nur noch ein Bruchteil des Downloads bei einer Neuinstallation.

Aber auch später muss man das bzgl.der Wartung immer im Auge haben, damit die Menge einfach klein bleibt.
Mitglied: erikro
erikro 12.07.2022 um 16:13:14 Uhr
Goto Top
Moin,

jajaja, Ihr habt ja recht. face-wink Klar hätte ich vor der automatischen Genehmigung aufräumen sollen/müssen. Zuviel ausgewählt habe ich sicher nicht. Es sind nur die Produkte ausgewählt, die wir auch im Einsatz haben.

Trotzdem: Warum in alles in der Welt werden ersetzte Updates noch synchronisiert? Das ist es, was ich kritisiere. Warum muss ich erst alles synchronisieren, um dann danach wieder den Server zu bereinigen? Warum kriege ich nicht einfach nur die aktuellen Updates zu den ausgewählten Produkten? Ein frisch aufgesetzter Rechner zieht sich ja auch nicht alle Updates, die es jemals gab, um dann festzustellen, dass er nur die neuesten braucht, oder?

Liebe Grüße

Erik
Mitglied: DerMaddin
DerMaddin 12.07.2022 um 16:41:23 Uhr
Goto Top
Updates, die nicht freigegeben sind, werden im Normalfall nicht heruntergeladen...
wsus
Mitglied: erikro
erikro 12.07.2022 um 16:45:29 Uhr
Goto Top
Zitat von @DerMaddin:

Updates, die nicht freigegeben sind, werden im Normalfall nicht heruntergeladen...

Das stimmt. Das war ja mein Fehler, dass ich nicht vor der automatischen Genehmigung nach 7 Tagen aufgeräumt habe. face-wink
Mitglied: MysticFoxDE
MysticFoxDE 12.07.2022 um 21:05:15 Uhr
Goto Top
Moin erikro,

Zitat von @DerMaddin:

Updates, die nicht freigegeben sind, werden im Normalfall nicht heruntergeladen...

Das stimmt. Das war ja mein Fehler, dass ich nicht vor der automatischen Genehmigung nach 7 Tagen aufgeräumt habe. face-wink

nein, das ist nicht dein Problem. Das Problem ist, das deine Autogenehmigung nicht korrekt konfiguriert war, plus wahrscheinlich der letzte Hinweis von derMaddin.
Mitglied: MysticFoxDE
MysticFoxDE 12.07.2022 aktualisiert um 22:10:23 Uhr
Goto Top
Moin erikro,

ich muss die folgende Aussage wohl etwas korrigieren …

nein, das ist nicht dein Problem. Das Problem ist, das deine Autogenehmigung nicht korrekt konfiguriert war, plus wahrscheinlich der letzte Hinweis von derMaddin.

Und im Vorfeld auch anmerken, das ich die Autogenehmigung des WSUS eigentlich hasse und du mir mit dem Post einen Grund gegeben hast, diesen Hass wieder etwas aufzufrischen. 🤬

Nun aber zum Wesentlichen.
Dein Problem und übrigens auch aller anderen ist, dass die Autogenehmigung überhaupt nicht die notwendigen Filterfunktionen kann, die benötigt werden um nur die benötigten Updates zu installieren. Ich weis, kling schräg ist aber so, Microsoft eben.

Und zwar müsstest du eigentlich nur die Updates genehmigen die noch nicht genehmigt wurden und den Status „Erforderlich“ haben, das letztere ist übrigens das wesentlichste.
In der Updateübersicht des WSUS kannst du diesen Filter auch einstellen …

wsus-genehmigung

Und von hier aus auch nur die Erforderlichen Updates freigeben, aber eben hier und nicht per Autogenehmigung. 🤢
Sprich, mit der Autogenehmigung über die GUI wirst du nicht wirklich glücklich. ☹️

Aber … ich habe dir für diese Problem gerade eine kleine Lösung erarbeitet.
Pack die folgende Zeile einfach in eine „fuchsische-wsus-autogenehmigung.ps1“ (🤪) und eventuell noch die TargetGroupName anpassen.


Dann diese ps1 einfach per Aufgabenplanung z.B. einmal die Woche auf dem WSUS durchlaufen lassen und schon ist der Fisch geputzt. 😎

Beste Grüsse aus BaWü

Alex

P.S. Folgend ein Link mit ein paar Tipps, wie du deinen WSUS etwas flotter machen kannst. 😉https://administrator.de/tutorial/wsus-stabilisierung-und-performanceopt ...

Wenn du selbst nicht so viel an den Eingeweiden deines WSUS machen möchtest, dann kann ich dir das bereits schon angesprochene WAM von AJTEK ebenfalls empfehlen.
Mitglied: Doskias
Doskias 12.07.2022 aktualisiert um 23:23:43 Uhr
Goto Top
Moin

Zitat von @erikro:
Trotzdem: Warum in alles in der Welt werden ersetzte Updates noch synchronisiert? Das ist es, was ich kritisiere.
Ganz einfach (aus MS Sicht natürlich). Ersetzte Updates bzeieht sich auf den Status von MS. Wenn du jetzt die 07-22 Updates hast, sinf ggf. 06-22 Updates ersetzt. Das heißt ja aber noch lange nicht, dass du die 06er nicht mehr brauchst und sofort die 07er installieren willst. Wir werden die 07 erst im August installieren (immer 4 Wochen verzug). Sprich: Obwohl ggf. 06-22 ersetzt wird durch ein 07-22 ist es bei uns immernoch aktuell, solange 07-22 genehmigt wird.

Warum muss ich erst alles synchronisieren, um dann danach wieder den Server zu bereinigen? Warum kriege ich nicht einfach nur die aktuellen Updates zu den ausgewählten Produkten? Ein frisch aufgesetzter Rechner zieht sich ja auch nicht alle Updates, die es jemals gab, um dann festzustellen, dass er nur die neuesten braucht, oder?
Nein nicht alle Updates, aber manchmal dennoch welche die aufeinander aufbauen. Ich habe heute einen neuen 2019er Server DC installiert und er hat 3 Updatezyklen vom WSUS gebraucht, bis er er wirklich alle Updates installiert hatte. Ich glaube, würde ich jetzt meine Hand nicht ins Feuer legen, bei unserem Windows 10 Version 2004 sind es sogar 4 Neustart bis die aufeinander aufbauenden aber nicht ersetzten Updates durch installiert sind.

Gruß
Doskias
Mitglied: departure69
departure69 13.07.2022 um 07:52:45 Uhr
Goto Top
@Doskias:

Hallo.

Ich glaube, würde ich jetzt meine Hand nicht ins Feuer legen, bei unserem Windows 10 Version 2004 sind es sogar 4 Neustart bis die aufeinander aufbauenden aber nicht ersetzten Updates durch installiert sind.


Und genau deshalb aktualisiert man einen neu/frisch aufgesetzten Rechner auch nicht per WSUS auf den aktuellen Updatestand zur Inbetriebnahme, sondern beim ersten Mal aus anderen Quellen, zum Beispiel mit dem herkömmlichen Windows Update oder auch einem in einer Netzwerkfreigabe abgelegten WSUS-Offline-Repository. Ansonsten holt Dir der WSUS - in Deinem Beispiel bei W10 Build 2004 - je nach Aktualität der verwendeten ISO erneut alle Windows-10-Updates seit Frühjahr 2020, obwohl Deine restlichen Rechner diese gar nicht mehr brauchen, weil sie ja schon aktuell sind.

Deswegen:

- nur Produkte und Klassifizierungen auswählen, die sinnvoll und notwendig sind

- keine automatischen Genehmigungen (Ausnahme bei mir: Definitionsupdates)

- Konsolenfilterung: "Erforderlich", stets nur diese manuell genehmigen (immer zum/nach dem Patchday also maximal 1-2 mal pro Monat)

- regelmäßig aufräumen ("Bereinigung")


Seither ist unser WSUS flink und schlank und wir sind beste Freunde.

Viele Grüße

vopn

departure69
Mitglied: NixVerstehen
NixVerstehen 13.07.2022 um 09:22:19 Uhr
Goto Top
@departure69 hat es treffend zusammengefasst. WSUS geht auch schlank:

wsus1
wsus2

Gruß NV
Mitglied: Doskias
Doskias 13.07.2022 um 09:27:52 Uhr
Goto Top
Grundsätzlich kann ich dir da nicht widersprechen, aber: face-wink

Zitat von @departure69:
Ich glaube, würde ich jetzt meine Hand nicht ins Feuer legen, bei unserem Windows 10 Version 2004 sind es sogar 4 Neustart bis die aufeinander aufbauenden aber nicht ersetzten Updates durch installiert sind.
Und genau deshalb aktualisiert man einen neu/frisch aufgesetzten Rechner auch nicht per WSUS auf den aktuellen Updatestand zur Inbetriebnahme, sondern beim ersten Mal aus anderen Quellen, zum Beispiel mit dem herkömmlichen Windows Update oder auch einem in einer Netzwerkfreigabe abgelegten WSUS-Offline-Repository. Ansonsten holt Dir der WSUS - in Deinem Beispiel bei W10 Build 2004 - je nach Aktualität der verwendeten ISO erneut alle Windows-10-Updates seit Frühjahr 2020, obwohl Deine restlichen Rechner diese gar nicht mehr brauchen, weil sie ja schon aktuell sind.

Ist halt immer eine Frage des Aufwandes. Ich installier vielleicht einen bis zwei Rechner pro Quartal und einen Server pro Halbjahr. Und die Software-Installationen wollen ohnehin während der Installation Neustarts haben, die in meinen Augen eigentlich nicht notwendig sind, der Herrsteller es aber empfiehlt. Für die geringe Anzahl erstelle ich mir nicht jedes Mal ein neues Image zum Installieren. Und Speicherplatz haben wir auch genug. Derzeit liegt der WSUS bei ca. 250 GB, insgesamt haben wir noch fast 80 TB an nicht zugewiesenen Speicher.

Problem bei uns kommt noch dazu: Derjenige der den Update-Stand vorgibt bin nicht ich. Das heißt Online-Updates würde nach jetzigem Stand mehr installieren als der WSUS, da im WSUS die Juli-Updates noch nicht freigegeben sind.

Deswegen:
- nur Produkte und Klassifizierungen auswählen, die sinnvoll und notwendig sind
definitiv

- keine automatischen Genehmigungen (Ausnahme bei mir: Definitionsupdates)
Wir genehmigen Edge-Updates und Defender-Definitionen automatisch. Rest händisch

- Konsolenfilterung: "Erforderlich", stets nur diese manuell genehmigen (immer zum/nach dem Patchday also maximal 1-2 mal pro Monat)
Kannst du auch händisch in der Oberfläche machen.


- regelmäßig aufräumen ("Bereinigung")
definitiv das wichtigste beim WSUS um den Palttenplatz nicht explodieren zu lassen

Seither ist unser WSUS flink und schlank und wir sind beste Freunde.
Such dir neue Freunde, Drucker zum Beispiel. Die mag niemand face-wink

Gruß
Doskias
Mitglied: erikro
erikro 14.07.2022 um 20:57:42 Uhr
Goto Top
Moin,

ich antworte mal hier auf die vielen guten Ratschläge, die ich sehr zu schätzen weiß.

Zitat von @Doskias:
Zitat von @departure69:
Ich glaube, würde ich jetzt meine Hand nicht ins Feuer legen, bei unserem Windows 10 Version 2004 sind es sogar 4 Neustart bis die aufeinander aufbauenden aber nicht ersetzten Updates durch installiert sind.

Dann lade doch mal ein frisches ISO runter. face-wink

Und genau deshalb aktualisiert man einen neu/frisch aufgesetzten Rechner auch nicht per WSUS auf den aktuellen Updatestand zur Inbetriebnahme, sondern beim ersten Mal aus anderen Quellen, zum Beispiel mit dem herkömmlichen Windows Update oder auch einem in einer Netzwerkfreigabe abgelegten WSUS-Offline-Repository. Ansonsten holt Dir der WSUS - in Deinem Beispiel bei W10 Build 2004 - je nach Aktualität der verwendeten ISO erneut alle Windows-10-Updates seit Frühjahr 2020, obwohl Deine restlichen Rechner diese gar nicht mehr brauchen, weil sie ja schon aktuell sind.

Ist halt immer eine Frage des Aufwandes. Ich installier vielleicht einen bis zwei Rechner pro Quartal und einen Server pro Halbjahr. Und die Software-Installationen wollen ohnehin während der Installation Neustarts haben, die in meinen Augen eigentlich nicht notwendig sind, der Herrsteller es aber empfiehlt. Für die geringe Anzahl erstelle ich mir nicht jedes Mal ein neues Image zum Installieren. Und Speicherplatz haben wir auch genug. Derzeit liegt der WSUS bei ca. 250 GB, insgesamt haben wir noch fast 80 TB an nicht zugewiesenen Speicher.

Wir haben gerade eine richtig große SAN und eine noch größere NAS bekommen. Die Dinger muss man doch irgendwie voll kriegen. face-wink Wenn es nicht so langsam werden würde.

Da hätte ich mal eine Frage an Euch alle: Wird das mit richtiger SQL-DB schneller als mit WID? Mein Chef ist gerade im Urlaub und ich konnte ihn deshalb nicht fragen, auf welchem SQL ich das installieren darf. Da habe ich halt erst einmal WiD genommen.

Deswegen:
- nur Produkte und Klassifizierungen auswählen, die sinnvoll und notwendig sind
definitiv

Einverstanden. Aber ich habe doch nur Server 2012R2, Server 2019, Windows 10 ab 1903, Windows 11 und Office 2019 (leider kriegt man das nur mit O365, warum?) ausgewählt. Und trotzdem eskaliert die erste Synchronisation so, dass die DB abschmiert. Ich habe 8Gig in der Kiste. 3,5 verbraucht davon die DB und 3,5 der IIS. CPU bei 35%. Mehr Speicher? Aber die Kiste soll nur 120 Clients und ca. 25 Server bedienen. Da sollten 8Gig doch reichen?

- keine automatischen Genehmigungen (Ausnahme bei mir: Definitionsupdates)
Wir genehmigen Edge-Updates und Defender-Definitionen automatisch. Rest händisch

Das habe ich jetzt hoffentlich endgültig verstanden. Ich hätte vielleicht erst einmal in meine Unterlagen schauen sollen, wie man eine automatische Genehmigung realisiert. Mit einem Skript. face-wink Da kann ich nach angeforderten Updates filtern.

BTW: Solche Skripte findet man ja durchaus bei MS. Das finde ich ja durchaus löblich. Da findet sich dann auch ein Skript, mit dem man so allerlei Dreck, der mitkommt, automatisch ablehnen kann. So Sachen wie Server2008 für Ithanium, Previews, Sprachpakete aus aller Herren Länder (ja, der Haken ist nur bei "Deutsch"; selbst Englisch habe ich rausgenommen) usw. usf. Wäre es nicht einfacher, die Auswahl ein wenig zu verfeinern?

- Konsolenfilterung: "Erforderlich", stets nur diese manuell genehmigen (immer zum/nach dem Patchday also maximal 1-2 mal pro Monat)
Kannst du auch händisch in der Oberfläche machen.

Oder halt per Skript. Entweder als Task oder als auszuführen am Wartungstag. Kann man sich dann aussuchen.

- regelmäßig aufräumen ("Bereinigung")
definitiv das wichtigste beim WSUS um den Palttenplatz nicht explodieren zu lassen

Soweit würde ich gerne mal kommen. Den ersten Versuch habe ich mittlerweile in die Tonne getreten. Also ein zweiter Versuch. Der hätte mich beinahe zur Verzweiflung getrieben. Ich habe den Server nach Anleitung (MS und diverse) deinstalliert. Alles runter: WSUS, IIS und WID. Bei MS stand zu letzterem "nicht empfohlen", alle anderen haben es empfohlen. OK. Neu installiert. Nachinstallation schlägt fehl, weil angeblich der laufende WSUS-Dienst nicht gestartet werden konnte. Stunden und gefühlt hunderte Registry- und Rechte-Prüfungen später fand ich dann den entscheidenden Hinweis:

Bei der Deinstallation vom IIS wird keineswegs immer auch die WSUS-Anwendung gelöscht. Nach der Neuinstallation ist sie dann eventuell noch da und wird auch von IIS eingebunden. Lösch die mal, wenn sie da ist. Na gut, ein Versuch ist es wert. Und siehe da: Es ging. Geil! Nachdem ich zweimal den WSUS komplett inkl. IIS deinstalliert hatte. Echt jetzt? Gute Software geht anders.

Seither ist unser WSUS flink und schlank und wir sind beste Freunde.

Ich weiß. Ich habe den ja schonmal aufgesetzt. Ist halt schon länger, sehr viel länger her. Ich glaube, das war damals unter 2003. Als wir den damals im Griff hatten, lief der dann über Jahre und über mehrere Migrationen ohne Probleme. Aber, wenn ich mich recht erinnere, war damals schon der Anfang das Problem, wenn die DB explodiert, weil einfach zu viel auf einmal kommt. Wie habt Ihr das in den Griff bekommen?

Ich werde mir mal morgen auf der Shell anschauen, was so alles angekommen ist und den Dreck dann häppchenweise wegskripten. face-wink

Such dir neue Freunde, Drucker zum Beispiel. Die mag niemand face-wink

Nicht zufällig fangen Drucker und Dienstleister beide mit einem D an. face-wink

Schönen Feierabend.
Mitglied: Doskias
Doskias 14.07.2022 um 21:20:07 Uhr
Goto Top
Zitat von @erikro:
Dann lade doch mal ein frisches ISO runter. face-wink
Ja könnt ich, aber... pff face-wink Computer sagt nein face-smile

Wir haben gerade eine richtig große SAN und eine noch größere NAS bekommen. Die Dinger muss man doch irgendwie voll kriegen. face-wink Wenn es nicht so langsam werden würde.
Mach einfach stündlich Vollbackups von allen Servern. Dann klappt das ganz gut face-wink

Da hätte ich mal eine Frage an Euch alle: Wird das mit richtiger SQL-DB schneller als mit WID? Mein Chef ist gerade im Urlaub und ich konnte ihn deshalb nicht fragen, auf welchem SQL ich das installieren darf. Da habe ich halt erst einmal WiD genommen.
Meiner Erfahrung nach nicht merklich.

BTW: Solche Skripte findet man ja durchaus bei MS. Das finde ich ja durchaus löblich. Da findet sich dann auch ein Skript, mit dem man so allerlei Dreck, der mitkommt, automatisch ablehnen kann. So Sachen wie Server2008 für Ithanium, Previews, Sprachpakete aus aller Herren Länder (ja, der Haken ist nur bei "Deutsch"; selbst Englisch habe ich rausgenommen) usw. usf. Wäre es nicht einfacher, die Auswahl ein wenig zu verfeinern?
Ja, aber das ist ja auch alles ind er Konfiguration abwählbar. Am WSUS wird MS nichts mehr ändern.

Such dir neue Freunde, Drucker zum Beispiel. Die mag niemand face-wink
Nicht zufällig fangen Drucker und Dienstleister beide mit einem D an. face-wink
Ganz Schlimm sind Dienstleister für Drucker
Mitglied: nachgefragt
nachgefragt 15.07.2022 aktualisiert um 12:28:42 Uhr
Goto Top
Zitat von @erikro:
letzte Woche habe ich einen neuen WSUS-Server aufgesetzt
... ein Ausläufer?

Windows Update for Business (WUFB)
https://docs.microsoft.com/de-de/windows/deployment/update/waas-manage-u ...
Windows Autopatch
https://docs.microsoft.com/de-de/windows/deployment/windows-autopatch/ov ...
Mitglied: erikro
erikro 15.07.2022 um 12:37:16 Uhr
Goto Top
Moin,

Zitat von @nachgefragt:
Zitat von @erikro:
letzte Woche habe ich einen neuen WSUS-Server aufgesetzt
... ein Ausläufer?

Windows Update for Business (WUFB)
https://docs.microsoft.com/de-de/windows/deployment/update/waas-manage-u ...
Windows Autopatch
https://docs.microsoft.com/de-de/windows/deployment/windows-autopatch/ov ...

Das ist nur für Clients und nur für Windows. Also nur ein Drittel des Problems. face-wink

Liebe Grüße

Erik
Mitglied: DerMaddin
DerMaddin 15.07.2022 um 12:39:08 Uhr
Goto Top

Beides sind Cloud-Dienste die Azure AD erfordern, da die Geräte darüber verwaltet werden. Denke das ist (noch) für die meisten Admins ein NoGo.
Mitglied: erikro
erikro 15.07.2022 um 12:40:03 Uhr
Goto Top
Zitat von @DerMaddin:


Beides sind Cloud-Dienste die Azure AD erfordern, da die Geräte darüber verwaltet werden. Denke das ist (noch) für die meisten Admins ein NoGo.

Für die Admins vielleicht nicht. Aber für den Datenschutzbeauftragten. face-wink
Mitglied: MysticFoxDE
MysticFoxDE 15.07.2022 um 20:41:32 Uhr
Goto Top
Moin Erikro,

Mit einem Skript. face-wink Da kann ich nach angeforderten Updates filtern.

schau dir dieses Scrip und meinen letzten Post mal genauer an. 😉

Gruss Alex
Mitglied: erikro
erikro 18.07.2022 um 09:51:11 Uhr
Goto Top
Zitat von @MysticFoxDE:

Moin Erikro,

Mit einem Skript. face-wink Da kann ich nach angeforderten Updates filtern.

schau dir dieses Scrip und meinen letzten Post mal genauer an. 😉

Gruss Alex

Ja, Skript ist ein wenig getrommelt. Ist ein Einzeiler. face-wink
Mitglied: nachgefragt
nachgefragt 19.07.2022 um 10:37:11 Uhr
Goto Top
Zitat von @DerMaddin:
Beides sind Cloud-Dienste