josefp
Goto Top

WSUS Abschaltung

Moin zusammen,

ich habe eine Frage und hoffe mir kann vielleicht jemand weiterhelfen. face-smile

Folgende Situation:

Wir möchten in unserem Unternehmen gerne den WSUS Server abschalten. Jetzt muss ja dafür noch auf allen Clients der entsprechende Eintrag in der Registry entfernt werden, damit diese nicht mehr versuchen eine Verbindung zu dem Server aufzubauen. Im Netz habe ich jetzt ein paar unterschiedliche Hinweise zu dem Thema gefunden.
Reicht es, einfach unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate für die Attribute WUServer und WUStatusServer Fake Einträge zu hinterlegen?
Gibt es noch mehr Werte die ggf. angepasst/geprüft werden müssen?

Vielleicht noch als kleiner Hinweis: Eine manuelle Online Suche solllte bei Bedarf weiterhin möglich sein, wir möchten als den Update Dienst nicht komplett deaktivieren.

Vielen Dank im Voraus!

Content-ID: 665460

Url: https://administrator.de/contentid/665460

Ausgedruckt am: 26.11.2024 um 04:11 Uhr

DerWoWusste
Lösung DerWoWusste 07.04.2021 um 09:46:52 Uhr
Goto Top
Hi.

Den genannten gesamten Key löschen und den Updatedienst neu starten, fertig.

Wie kommt es zu dem Entschluss?
Doskias
Lösung Doskias 07.04.2021 aktualisiert um 09:51:23 Uhr
Goto Top
Moin,

Wieso machst du es dir so kompliziert? Wenn du den WSUS konfiguriert hast, dann hast du es doch sicher per GPO gemacht. Vermutlich mit dem Schlüssel Internen Pfad für den Microsoft Updatedienst angeben. Dort steht in der Beschreibung:

Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist und wenn automatische Updates nicht durch eine Richtlinie oder Benutzereinstellung deaktiviert sind, stellt der Client für automatische Updates direkt eine Verbindung mit der Windows Update-Website im Internet her.

Also GPO von Aktiviert auf Deaktiviert oder nicht Konfiguriert setzen und es sollte wieder die Update Website im Internet kontaktiert werden.

Gruß
Doskias
JosefP
JosefP 07.04.2021 um 10:02:50 Uhr
Goto Top
Danke für die schnelle Hilfe!
Update Rollout soll in Zukunft durch eine andere Lösung durchgeführt werden.
em-pie
em-pie 07.04.2021 aktualisiert um 10:05:00 Uhr
Goto Top
Zitat von @Doskias:
Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist und wenn automatische Updates nicht durch eine Richtlinie oder Benutzereinstellung deaktiviert sind, stellt der Client für automatische Updates direkt eine Verbindung mit der Windows Update-Website im Internet her.
Also GPO von Aktiviert auf Deaktiviert oder nicht Konfiguriert setzen und es sollte wieder die Update Website im Internet kontaktiert werden.
Vorsicht hierbei. Manche GPOs deuten die Einstellung dann so, dass der bisher gesetzte Werte nicht verändert wird. Ob das bei den WSUS-Settings auch so ist, weiss ich gerade nicht.
Ein "Deaktiviert" wäre hier jedoch vorzuziehen.


Ansonsten kann ich mich @dwws Frage nur anschließen:
Weshalb wird der WSUS in Gänze abgeschaltet?

Edit: OK, Frage ist geklärt, habe zu langsam getippt ^^

Gruß
em-pie
Doskias
Doskias 07.04.2021 um 10:25:00 Uhr
Goto Top
Zitat von @em-pie:
Zitat von @Doskias:
Wenn der Status auf „Deaktiviert“ oder „Nicht konfiguriert“ festgelegt ist und wenn automatische Updates nicht durch eine Richtlinie oder Benutzereinstellung deaktiviert sind, stellt der Client für automatische Updates direkt eine Verbindung mit der Windows Update-Website im Internet her.
Also GPO von Aktiviert auf Deaktiviert oder nicht Konfiguriert setzen und es sollte wieder die Update Website im Internet kontaktiert werden.
Vorsicht hierbei. Manche GPOs deuten die Einstellung dann so, dass der bisher gesetzte Werte nicht verändert wird. Ob das bei den WSUS-Settings auch so ist, weiss ich gerade nicht.
Ein "Deaktiviert" wäre hier jedoch vorzuziehen.
Das ist richtig, aber das kann man ja testen. Die überwiegende Anzahl an GPOs setzt jedoch den Standard zurück, wenn es auf nicht konfiguriert gestellt wird. Bin mir grade nur 99% sicher, aber ich habe vor Ostern einen Client aus einer OU verschieben müssen und er war dann auch außerhalb der WSUS-Gruppe und hat sich sofort die aktuellen Updates gekrallt. Würde ich aber ohne Test meine Hand jetzt nicht mehr für ins Feuer legen.
Ich persönlich bin jedoch immernoch ein Freund von aktiviert/deaktiviert selbst wenn die Einstellung bei nicht konfiguriert zurückgesetzt wird. Bei deaktiviert weiß der Kollege dann, dass es absichtlich gesetzt wurde und nicht vielleicht vergessen wurde. Bei deaktiviert wird dann eher mal Rücksprache gehalten als bei nicht konfiguriert.

Aber nur den Key löschen, wenn es via GPO verteilt wurde, reicht auf Dauer nicht aus face-wink

Gruß
em-pie

Gruß
Doskias
manuel-r
manuel-r 07.04.2021 um 10:38:33 Uhr
Goto Top
Wir möchten in unserem Unternehmen gerne den WSUS Server abschalten.

Interessehalber: Warum?
Ich bin eigentlich ganz froh entscheiden zu können wann die Clients und Server welche Updates bekommen? Wenn ich einfach mal an letzten Monat denke, wäre hier die Hölle losgebrochen, weil wir nämlich ausschließlich Drucker von Kyocera haben. Wenn wir von heute auf morgen keine Angebote oder Rechnungen mehr drucken könnten wäre das schon sehr blöd. Und das ist jetzt ja nur ein Beispiel von vielen.

Manuel
StefanKittel
StefanKittel 08.04.2021 um 04:16:23 Uhr
Goto Top
Zitat von @JosefP:
Update Rollout soll in Zukunft durch eine andere Lösung durchgeführt werden.
Magst Du uns erzählen welche Lösung Ihr in Zukunft verwendet?
Und vieleich auch warum gerade diese.

Es wäre toll wenn Du Dir die 2 Minuten dafür Zeit nimmst.

WSUS ist nicht der Weisheit letzter Schluss, aber eine richtig tolle Lösung, besonders für kleine (KMU) verteilte Strukturen habe ich noch nicht gefunden.

Stefan
JosefP
JosefP 08.04.2021 aktualisiert um 10:32:23 Uhr
Goto Top
Danke an alle für die Antworten und die Hilfe!

Eine Frage noch dazu: Ich glaub ich stehe da irgendwie noch auf dem Schlauch, wenn ich einfach den Key in der Registry lösche, ziehen die Clients sich dann nicht automatisch die Updates aus dem Netz?
Das soll eben nach Möglichkeit nicht der Fall sein, da die Updates ja vor dem Rollout geprüft werden sollen.
Deshalb also quasi:
- Clients sollen sich nicht mehr mit dem noch vorhandenen WSUS verbinden (WSUS Eintrag raus, Fake WSUS hinterlegen?!)
- manuelle Online Suche bei Bedarf für die IT sollte möglich sein
- Clients und Server sollen sich nicht automatisch Updates von Microsoft ziehen

Bezüglich der neuen Lösung:
Geplant ist das über die KACE Endgeräteverwaltung von Quest zu machen. Die Software wird auch darüber ausgerollt, und so soll das wohl in Zukunft alles einheitlich da drüber laufen.
StefanKittel
Lösung StefanKittel 08.04.2021 um 11:37:02 Uhr
Goto Top
Zitat von @JosefP:
Eine Frage noch dazu: Ich glaub ich stehe da irgendwie noch auf dem Schlauch, wenn ich einfach den Key in der Registry lösche, ziehen die Clients sich dann nicht automatisch die Updates aus dem Netz?
Ja, das wird der Fall sein.

Das soll eben nach Möglichkeit nicht der Fall sein, da die Updates ja vor dem Rollout geprüft werden sollen.
Daran beißen sich viele Leute die Zähne aus.

Zum einen nutzt Windows 10 ein Feature mit dem Namen "Dual Scan".
Siehe auch Client geht nach 1809 am WSUS für "wichtige" Updates vorbei?

Wenn Windows den WSUS nicht erreichen kann fragt er direkt bei MS nach.
Ein Fake WSUS hilft also nicht.

Zum Anderen ändert Windows mit jedem Funktionsupgrade die Methodik.
Selbst den Windows-Dienst zu deaktivieren hilft nicht. Windows aktiviert den einfach wieder.

Diese Funktionalität muss das neue Patchmanagement mitbringen.

Stefan
JosefP
JosefP 08.04.2021 um 14:10:31 Uhr
Goto Top
Danke!
Dualscan lässt sich, wenn ich das richtig verstanden habe, über eine GPO in der Registry deaktivieren.

Wenn Windows den WSUS nicht erreichen kann fragt er direkt bei MS nach.
Ein Fake WSUS hilft also nicht.

und da gibt es keine Möglichkeit das irgendwie zu unterbinden? Andere werden doch sicherlich auch schonmal vor einer ähnlichen Situation gestanden haben, oder? Dass also aus irgendeinem Grund der WSUS abgeschafft werden soll, Windows aber sich deshalb nicht alle Updates einfach automatisch ziehen soll.
StefanKittel
StefanKittel 08.04.2021 um 14:17:29 Uhr
Goto Top
Zitat von @JosefP:
Dualscan lässt sich, wenn ich das richtig verstanden habe, über eine GPO in der Registry deaktivieren.
Aber nicht so dauerhaft wie zumindest ich mir das wünsche.
Für 1909 hatte ich eine tolle Möglichkeit über GPO und/oder Registry die ab 2004 komplett ignoriert wurde.

und da gibt es keine Möglichkeit das irgendwie zu unterbinden?
Bestimmt, aber man muss es regelmäßig anpassen und es funktioniert z.B. für FF, Chrome oder Adobe anders.
Das Patchmanagement von Solarwinds z.B. zeigt dann an "Diese Einstellung wird vom Admin verwaltet".
Aber 100% ist das auch nciht und hat andere Schwächen.

Deshalb hatte ich gefragt was Ihr verwendet.
Ich suche auch noch das perfekte Patchmanagement für KMU-Kunden ohne AD und für externe Computer mit Test-Computer und verzögerter Installation.

Stefan
emeriks
emeriks 08.04.2021 um 14:55:06 Uhr
Goto Top
Dass das Deaktivieren des "Dual Scan" ab 2004 nicht mehr funktionieren soll, kann ich jetzt nicht explizit bestätigen. Wir haben das so bei uns im Einsatz und es funktioniert meines Wissens.
Weiterhin kann man per GPO diesen alternativen Download-Server auch vorgeben.

Einen "Fake Server" würde ich nicht angeben, weil Windows Update diesen dann ja auch sucht. Wenn, dann eher einen "nackten" WSUS vorhalten, welcher sich nicht synchronisiert und keine Updates hat, und die Clients mit diesem konfigurieren.
Und dann kann man noch per Firewall und Proxy unterbinden, dass die Clients überhaupt an die MS-Update-Server im Web rankommen.

E.