Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

WSUS aufräumen

Mitglied: KellogsFR

KellogsFR (Level 1) - Jetzt verbinden

31.10.2016 um 09:09 Uhr, 1993 Aufrufe, 6 Kommentare

Hallo zusammen,

vor einiger Zeit habe ich den WSUS Server auf einem eigenständigen, virtualisierten Server unter Windows Server 2012 installiert. Alles funktioniert auch so weit ganz gut, außer, dass dem Server langsam der Platz auf der virtuellen Platte ausgeht. Aus diesem Grunde gehe ich regelmäßig in die WSUS Konsole und lasse die Serverbereinigung laufen. Leider bringt das aber nicht all zu viel, deswegen habe ich mir mal die Updates angesehen. Hier werden beispielsweise unter dem Punkt "Alle Update" über 200 Updates aufgeführt, die zu 2/3 auch als 100% installiert angegeben sind. Außerdem sind da Updates aufgelistet, die teilweise aus dem Jahre 2014 stammen.

Ich bin also mal hingegangen und habe diese 100% Updates aus den Jahren vor 2015 markiert, abgelehnt und über die Serverbereinigung mit der Option "nicht erforderliche Updateversionen" gelöscht. Das hat dann mal ganz schnell um die 10GB Festplattenplatz gegeben. Also wieder genug, um eine Weile mit dem Server zu arbeiten.

Meine Überlegung war dabei folgende: Updates, die ao alt sind und als 100% installiert markiert wurden, brauch ich ja wohl nicht mehr. Wenn ich eine neue Maschine in die Domäne bringen will, dann wird die vorher installiert und ohne Domäne in einem extra Netzwerk mit Updates versorgt. Dann sind da ja bereits die Updates drauf, die ich ja gerade abgelehnt habe. Sollte also alles OK sein, oder was sagt ihr dazu?

Gruß Kellogs
Mitglied: emeriks
31.10.2016, aktualisiert um 09:26 Uhr
Hi,
welchen Sinn soll dann der WSUS noch erfüllen?
Wenn Du neue Clients initial über Internet mit Updates versorgen willst, dann ist die Cache-Funktion des WSUS schon mal obsolet.
Wenn Du alte Updates vom WSUS entfernen willst, dann musst Du sie erst ablehnen. D.h. Du müsstest neben dem WSUS dokumentieren, welches der Updates Du mal erlaubt hattest und welche dann auch an die Clients verteilt wurden, damit Du bei der manuellen Initialversorgung neuer Clients auf den selben Stand kommst. Wenn das für Dich nicht relavant ist, dann wäre die zweite Funktion des WSUS - das Steuern, welche Updates auf welchen Clients installiert werten sollen/dürfen - auch oboslet. Sprich, Du könntest Dir den WSUS gleich komplett sparen.

Vergrößere die HDD und fertig.
Oder konfiguriere die Downloads, dass wirklich nur Updates für jene Produkte heruntergeladen werden, welche Ihr überhaupt in Eurem Netz im Einsatz habt.
Lehne ersetzte Updates ab, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
Lehne Itanium-Updates ab, wenn Ihr keine entsprechende Hardware im Einsatz habt, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
usw. usw.

Edit:
Lehne Updates für Produkte ab, welche u.U. bereits heruntergeladen wurden, welche Ihr aber nicht im Einsatz habt.


E.
Bitte warten ..
Mitglied: KellogsFR
31.10.2016 um 14:31 Uhr
Hallo,

also so ganz kann ich dieser Argumentation nicht folgen, vor allem dem Teil, wozu der WSUS noch gut sein soll.
Offensichtlich habe ich da nicht ganz falsch gehandelt, indem ich Updates, die bereits auf allen Rechnern zu 100% installiert waren, abgelehnt und dann gelöscht habe.
Einen neuen Client würde ich nie gleich in die Domäne aufnehmen und dann erst mal die Updates ziehen. Das kann die Kiste später machen, initial wird der Client erst mal (fertig) installiert, dann kommen die Produkte drauf (wenn möglich erst mal Testversionen) und dann darf die Kiste sich im Internet so lange updaten, bis wirklich nichts mehr zu holen ist.
Erst wenn das alles funktioniert hat klemme ich die Kiste in die Domäne rein. Das hat meines Erachtens den Vorteil, dass ich die meisten Fehlinstallationen vermeiden kann, sicher bin, dass ich eine funktionierende Kiste habe und mir nicht noch zusätzliche Arbeit in der Domäne aufhalse, weil ich eine eventuelle Fehlinstallation dort auch wieder raus holen muss. Zugegeben, der Aufwand hält sich in Grenzen, trotzdem spricht nichts dagegen, erst am Schluss eine solche Maschine ins Netzwerk zu bringen. Vor allem dann, wenn das ganze extern passiert, weil der Kunde keine IT Abteilung hat.
Später dann ist es OK, wenn die Kiste die Updates sich vom WSUS zieht und nicht direkt aus dem Internet. Wozu aber soll ich dann auf dem WSUS Patches von 2014 oder 2015 vorhalten, die bereits überall installiert sind? Durch die Kategorisierungen stelle ich auch klar, dass nur die benötigten Produkte auf den WSUS kommen. Sobald die alle installiert sind, werden die auch nicht mehr benötigt.
Festplatte einfach vergrößern wäre natürlich der einfachste Weg, ist aber so ein typischer Admin Reflex nach dem Motto: Mehr hilft auch mehr.

Der WSUS ist in meinen Augen auch nur so eine Krücke, die nicht sauber programmiert ist.
Saubere Programmierung würde nämlich bedeuten, dass der WSUS mich fragt, ob ich zwei Jahre alte Updates noch vorhalten will, oder ob der Speicherplatz nicht vielleicht sinnvoller genutzt werden kann. Und wenn ich schon keine Itanium Hardware habe, die Kategorisierung dafür auch entsprechend eingestellt habe, warum finden sich dann diese Pakete immer noch im Repository, mit einer Installationsrate von 100%?

Der Fehler Serverknoten zurücksetzten, den kann ich nicht mehr sehen, weil die WSUS Konsole offensichtlich nicht in der Lage ist, die eigenen Updates richtig zu verwalten. Wir reden hier nur über einen simplen Datei-zur-Verfügung-stellen Service, so komplex kann das nicht sein. Mir geht nicht in den Kopf, warum ich in einem 20 Maschinen Netzwerk eine Hardware benötige, die am oberen Ende der Skala mitspielt, nur um ein paar Dateien zu speichern. Dafür müsste eigentlich ein alter 386er ohne CoPro völlig reichen. In größeren Netzwerken mag das anders aussehen, ich vermute aber, dass die wenigsten Netzwerke, die einen WSUS betreiben, vor allem wenn der auf einem SBS installiert gewesen ist, so groß sind, dass mehr Power für die Softwareverteilung benötigt wird, als für den Rest des Netzwerkes. Aber vermutlich denkt sich Microsoft auch: Mehr hilft mehr.
Bitte warten ..
Mitglied: emeriks
31.10.2016 um 14:54 Uhr
Einen neuen Client würde ich nie gleich in die Domäne aufnehmen und dann erst mal die Updates ziehen. Das kann die Kiste später machen, initial wird der Client erst mal (fertig) installiert, dann kommen die Produkte drauf (wenn möglich erst mal Testversionen) und dann darf die Kiste sich im Internet so lange updaten, bis wirklich nichts mehr zu holen ist.
Es ist doch eine der wesentlichen Funktionen, dass man einen Client dafür konfigurieren kann, sich automatisch vom WSUS zu aktualisieren, man aber gegenüber dem Update direkt von Microsoft die Möglichkeit hat, gezielt Updates auszuschließen, aus welchem Grund auch immer. Wenn Du eh immer alle verfügbaren Updates für ein OS bzw. Anwendung installierst, dann hast Du hier in diesem Punkt also keinen Nutzen vom WSUS.

Später dann ist es OK, wenn die Kiste die Updates sich vom WSUS zieht und nicht direkt aus dem Internet. Wozu aber soll ich dann auf dem WSUS Patches von 2014 oder 2015 vorhalten, die bereits überall installiert sind? Durch die Kategorisierungen stelle ich auch klar, dass nur die benötigten Produkte auf den WSUS kommen. Sobald die alle installiert sind, werden die auch nicht mehr benötigt.

Saubere Programmierung würde nämlich bedeuten, dass der WSUS mich fragt, ob ich zwei Jahre alte Updates noch vorhalten will, oder ob der Speicherplatz nicht vielleicht sinnvoller genutzt werden kann.
Ein Update für ein immer noch eingesetztes Produkt wird nicht durch sein Alter hinfällig sondern allein durch die Tatsache, ob es inzwischen durch ein neues ersetzt wurde.

Erst wenn das alles funktioniert hat klemme ich die Kiste in die Domäne rein. Das hat meines Erachtens den Vorteil, dass ich die meisten Fehlinstallationen vermeiden kann, sicher bin, dass ich eine funktionierende Kiste habe und mir nicht noch zusätzliche Arbeit in der Domäne aufhalse, weil ich eine eventuelle Fehlinstallation dort auch wieder raus holen muss. Zugegeben, der Aufwand hält sich in Grenzen, trotzdem spricht nichts dagegen, erst am Schluss eine solche Maschine ins Netzwerk zu bringen. Vor allem dann, wenn das ganze extern passiert, weil der Kunde keine IT Abteilung hat.
Was hat denn die Mitgliedschaft in einer Domäne mit dem Nutzen und Benutzen eines lokal vorhandenen WSUS zu tun? Ob der Client Mitglied einer Domäne ist oder nicht, man kann ihn einrichten, dass er die Updates vom WSUS lädt. Und wenn Du mal ein oder mehrere Updates aus bestimmten Gründen ausgeschlossen hast (z.B. wegen Inkompatibilität mit anderen Anwednungen), dann werden sich auch neue Clients, welche der selben WSUS-Gruppe zugetelt sind, mit dem selben Update-Stand installieren, wie ihn auch die Bestands-Clients haben. Gleiche OS- und Anwendungsversionen mal vorausgesetzt.

Außerdem muss man bedenken, dass der WSUS noch aus Zeiten stammt, als die Internetleitungen "dünn" waren. Hier ging es hauptsächlich im Bandbreitenschonung, erreicht durch Filtern und Zwischenspeichern der Updates. Mit Win10 hat MS ja nun dieses Update vom Peer erfunden. Dies macht zwar einen WSUS nicht ganz überflüssig, bietet aber einen Ersatz für dessen Cache-Funktion.
Bitte warten ..
Mitglied: Andre.Heisig
02.11.2016 um 11:55 Uhr
Ergänzend zu Emeriks Ausführungen: Der WSUS hat unabhängig vom Win-10-Peer-Download eine Option "Updates direkt bei MS beziehen", das erspart dir den Festplattenplatz für die Updates, der WSUS verwaltet dann "nur" noch. Kein lokales Repository, nur noch die Datenbank.

Wenn denn Festplattenplatz heutzutage tatsächlich der kritische Engpass und die Internet-Leitung breit genug ist.
Bitte warten ..
Mitglied: KellogsFR
02.11.2016 um 12:32 Uhr
Das alles beantwortet immer noch nicht die Frage, wozu ich Updates aus vergangenen Jahren vorhalten muss und dafür Plattenplatz zur Verfügung stelle. Virtualisierung ist eine tolle Sache und meiner Meinung nach genau für solche Fälle optimal.

Eine neue Maschine, egal, welches Betriebssystem kommt auch sehr oft mit einem relativ aktuellen Betreibssystem, oder anderes herum: Die installation von einem aktuellen Windeows 10, 1607 braucht ja wohl keine Updates mehr von 15xx oder vorher. Warum muss ich dann die Updates dafür auch noch vorhalten, die für 15xx und früher notwendig waren?

Es geht nicht darum, ob ich eine schnelle Internetverbindung habe, oder einfach mal schnell ein paar Platten nachkaufe. Es geht hier darum, ein System sauber zu halten. Übertragen auf das tägliche Leben bedeutet das: Wenn der Mülleimer voll ist, holt ihn auch die Müllabfuhr, oder bekommt der Mülleimer ein Upgrade, damit er größer wird, oder einen weiteren, um den Müll redundant zu verteilen?

Seit ich die Bereingung gemacht habe, scheint sich auch die Konsole nicht so auft zu verabschieden. Also, irgendwas muss wohl schon dran sein an der Bereinigung, sonst könnte ich den Effekt ja nicht sehen.
Klar, ich hätte auch mal für ein paar tausend Euro einen leistungsfühigeren Server kaufen können, der noch mehr Updates verwalten kann, die alle bereits installiert sind. Vielleicht kommt ja Microsoft auch irgendwann dahinter, dass die WSUS Server im Netz ja eigentlich ein Backup für MS sind, oder?
Bitte warten ..
Mitglied: Andre.Heisig
02.11.2016 um 14:32 Uhr
Wurde oben doch schon beantwortet: Ein Update ist nicht "unnötig", wenn es ein gewisses Alter überschreitet, sondern sobald es durch eine neuere Version ersetzt wurde. Bis dahin ist auch ein X-Jahre alter Stand der letzte, aktuelle Stand. Wenn ein WSUS die Clients überwachen soll, sollten ihm alle nötigen Updates irgendwie bekannt sein.

Aufräumen des WSUS ja, dafür gibts sogar zuhauf automatisierbare Scripte. Aber eben ersetzte oder abgelehnte Updates, sowie grundsätzlich Software, die nicht eingesetzt wird.
Bitte warten ..
Ähnliche Inhalte
Windows Server
WSUS installieren
gelöst Frage von JensDNDWindows Server7 Kommentare

Hallo Admins, ich will den WSUS installieren. Hab einen WS2008R2 STD und einen SW2012R2 STD mit MS Exchange am ...

Windows Server
WSUS Verbindungsfehler
gelöst Frage von wisebeerWindows Server5 Kommentare

Liebe Kolleginnen und Kollegen, Ich habe einen WSUS 4.0 auf einem Server 2012R2 und SQL 2008 laufen. Seit kurzem ...

Windows Update
Reporting WSUS
Frage von ITSharkWindows Update5 Kommentare

Hallo zusammen, nachdem ich mich jetzt mehrere Wochen sehr intensiv mit WSUS beschäftigt habe, finde ich immer wieder kleine ...

Windows Server
WSUS Reporting
gelöst Frage von horstvogelWindows Server4 Kommentare

Hallo, wir haben bei uns in der Firma eine Windows Server 2016 Domäne mit WSUS (auch auf 2016) Mein ...

Neue Wissensbeiträge
Erkennung und -Abwehr

TrendMicro Worry-Free Business Security 10.0 SP1 WFBS - Deutsch (mit Windows 10 1903-Support -May-Update) ist verfügbar!

Tipp von VGem-e vor 3 StundenErkennung und -Abwehr

Moin, endlich ist es seitens des Anbieters so weit: Danke natürlich auch an TrinXx, der schon vor 2 Tagen ...

Windows 10

"Windows 10 Pro V1903: Gruppenrichtlinie "Telemetrie zulassen" aktivierbar?"

Tipp von Snowbird vor 21 StundenWindows 102 Kommentare

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 - Jetzt in Deutsch verfügbar! (Windows 10 1903 Support)

Tipp von TrinXx vor 2 TagenSicherheits-Tools1 Kommentar

Moin! Nach wochenlangem Warten wird Trend Micro das SP1 für WFBS 10 voraussichtlich am 26.08.19 veröffentlichen. Ich habe das ...

Hyper-V
Setup VM W2016 startet nicht in Hyper-V 2016
Erfahrungsbericht von keine-ahnung vor 3 TagenHyper-V9 Kommentare

Moin, sitze gerade über meinem neuen Server und versuche, die VM auf den Host zu prügeln. Jetzt wollte ich ...

Heiß diskutierte Inhalte
Server
Ein Server ins Haus stellen. Was brauche ich dafür?
Frage von JoschiTomServer15 Kommentare

Hallo Community, ich spiele mit dem Gedanken eine Server mir zu holen. Was brauche ich dafür? Und wie sind ...

LAN, WAN, Wireless
Mikrotik Gast-Wlan keine Verbindung zum Internet?
Frage von dirkschwarzLAN, WAN, Wireless11 Kommentare

Guten Morgen, habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme Ich möchte ein Gast-Wlan ...

Windows Server
GPOs nur auf Terminalserver User und nicht andere Computer ausführen
Frage von roeggiWindows Server8 Kommentare

Ich habe einen Windows Server 2019 als Terminal Server. da es momentan nicht so einfach ist im Startmenü Programme ...

Router & Routing
Eu-Domain von Rechnern nicht, vom Handy aber (im selben Netzwerk) schon erreichbar
gelöst Frage von mary-louRouter & Routing6 Kommentare

Hallo! Für ein gemeinnütziges StartUp haben wir zwei Domains, beide liegen bei whois.com: - unseredomain.eu - unseredomain-europe.org Bislang wurde ...