kellogsfr
Goto Top

WSUS aufräumen

Hallo zusammen,

vor einiger Zeit habe ich den WSUS Server auf einem eigenständigen, virtualisierten Server unter Windows Server 2012 installiert. Alles funktioniert auch so weit ganz gut, außer, dass dem Server langsam der Platz auf der virtuellen Platte ausgeht. Aus diesem Grunde gehe ich regelmäßig in die WSUS Konsole und lasse die Serverbereinigung laufen. Leider bringt das aber nicht all zu viel, deswegen habe ich mir mal die Updates angesehen. Hier werden beispielsweise unter dem Punkt "Alle Update" über 200 Updates aufgeführt, die zu 2/3 auch als 100% installiert angegeben sind. Außerdem sind da Updates aufgelistet, die teilweise aus dem Jahre 2014 stammen.

Ich bin also mal hingegangen und habe diese 100% Updates aus den Jahren vor 2015 markiert, abgelehnt und über die Serverbereinigung mit der Option "nicht erforderliche Updateversionen" gelöscht. Das hat dann mal ganz schnell um die 10GB Festplattenplatz gegeben. Also wieder genug, um eine Weile mit dem Server zu arbeiten.

Meine Überlegung war dabei folgende: Updates, die ao alt sind und als 100% installiert markiert wurden, brauch ich ja wohl nicht mehr. Wenn ich eine neue Maschine in die Domäne bringen will, dann wird die vorher installiert und ohne Domäne in einem extra Netzwerk mit Updates versorgt. Dann sind da ja bereits die Updates drauf, die ich ja gerade abgelehnt habe. Sollte also alles OK sein, oder was sagt ihr dazu?

Gruß Kellogs

Content-ID: 319618

Url: https://administrator.de/forum/wsus-aufraeumen-319618.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

emeriks
emeriks 31.10.2016 aktualisiert um 09:26:34 Uhr
Goto Top
Hi,
welchen Sinn soll dann der WSUS noch erfüllen?
Wenn Du neue Clients initial über Internet mit Updates versorgen willst, dann ist die Cache-Funktion des WSUS schon mal obsolet.
Wenn Du alte Updates vom WSUS entfernen willst, dann musst Du sie erst ablehnen. D.h. Du müsstest neben dem WSUS dokumentieren, welches der Updates Du mal erlaubt hattest und welche dann auch an die Clients verteilt wurden, damit Du bei der manuellen Initialversorgung neuer Clients auf den selben Stand kommst. Wenn das für Dich nicht relavant ist, dann wäre die zweite Funktion des WSUS - das Steuern, welche Updates auf welchen Clients installiert werten sollen/dürfen - auch oboslet. Sprich, Du könntest Dir den WSUS gleich komplett sparen.

Vergrößere die HDD und fertig.
Oder konfiguriere die Downloads, dass wirklich nur Updates für jene Produkte heruntergeladen werden, welche Ihr überhaupt in Eurem Netz im Einsatz habt.
Lehne ersetzte Updates ab, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
Lehne Itanium-Updates ab, wenn Ihr keine entsprechende Hardware im Einsatz habt, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
usw. usw.

Edit:
Lehne Updates für Produkte ab, welche u.U. bereits heruntergeladen wurden, welche Ihr aber nicht im Einsatz habt.


E.
KellogsFR
KellogsFR 31.10.2016 um 14:31:43 Uhr
Goto Top
Hallo,

also so ganz kann ich dieser Argumentation nicht folgen, vor allem dem Teil, wozu der WSUS noch gut sein soll.
Offensichtlich habe ich da nicht ganz falsch gehandelt, indem ich Updates, die bereits auf allen Rechnern zu 100% installiert waren, abgelehnt und dann gelöscht habe.
Einen neuen Client würde ich nie gleich in die Domäne aufnehmen und dann erst mal die Updates ziehen. Das kann die Kiste später machen, initial wird der Client erst mal (fertig) installiert, dann kommen die Produkte drauf (wenn möglich erst mal Testversionen) und dann darf die Kiste sich im Internet so lange updaten, bis wirklich nichts mehr zu holen ist.
Erst wenn das alles funktioniert hat klemme ich die Kiste in die Domäne rein. Das hat meines Erachtens den Vorteil, dass ich die meisten Fehlinstallationen vermeiden kann, sicher bin, dass ich eine funktionierende Kiste habe und mir nicht noch zusätzliche Arbeit in der Domäne aufhalse, weil ich eine eventuelle Fehlinstallation dort auch wieder raus holen muss. Zugegeben, der Aufwand hält sich in Grenzen, trotzdem spricht nichts dagegen, erst am Schluss eine solche Maschine ins Netzwerk zu bringen. Vor allem dann, wenn das ganze extern passiert, weil der Kunde keine IT Abteilung hat.
Später dann ist es OK, wenn die Kiste die Updates sich vom WSUS zieht und nicht direkt aus dem Internet. Wozu aber soll ich dann auf dem WSUS Patches von 2014 oder 2015 vorhalten, die bereits überall installiert sind? Durch die Kategorisierungen stelle ich auch klar, dass nur die benötigten Produkte auf den WSUS kommen. Sobald die alle installiert sind, werden die auch nicht mehr benötigt.
Festplatte einfach vergrößern wäre natürlich der einfachste Weg, ist aber so ein typischer Admin Reflex nach dem Motto: Mehr hilft auch mehr.

Der WSUS ist in meinen Augen auch nur so eine Krücke, die nicht sauber programmiert ist.
Saubere Programmierung würde nämlich bedeuten, dass der WSUS mich fragt, ob ich zwei Jahre alte Updates noch vorhalten will, oder ob der Speicherplatz nicht vielleicht sinnvoller genutzt werden kann. Und wenn ich schon keine Itanium Hardware habe, die Kategorisierung dafür auch entsprechend eingestellt habe, warum finden sich dann diese Pakete immer noch im Repository, mit einer Installationsrate von 100%?

Der Fehler Serverknoten zurücksetzten, den kann ich nicht mehr sehen, weil die WSUS Konsole offensichtlich nicht in der Lage ist, die eigenen Updates richtig zu verwalten. Wir reden hier nur über einen simplen Datei-zur-Verfügung-stellen Service, so komplex kann das nicht sein. Mir geht nicht in den Kopf, warum ich in einem 20 Maschinen Netzwerk eine Hardware benötige, die am oberen Ende der Skala mitspielt, nur um ein paar Dateien zu speichern. Dafür müsste eigentlich ein alter 386er ohne CoPro völlig reichen. In größeren Netzwerken mag das anders aussehen, ich vermute aber, dass die wenigsten Netzwerke, die einen WSUS betreiben, vor allem wenn der auf einem SBS installiert gewesen ist, so groß sind, dass mehr Power für die Softwareverteilung benötigt wird, als für den Rest des Netzwerkes. Aber vermutlich denkt sich Microsoft auch: Mehr hilft mehr.
emeriks
emeriks 31.10.2016, aktualisiert am 28.05.2020 um 08:22:04 Uhr
Goto Top
Einen neuen Client würde ich nie gleich in die Domäne aufnehmen und dann erst mal die Updates ziehen. Das kann die Kiste später machen, initial wird der Client erst mal (fertig) installiert, dann kommen die Produkte drauf (wenn möglich erst mal Testversionen) und dann darf die Kiste sich im Internet so lange updaten, bis wirklich nichts mehr zu holen ist.
Es ist doch eine der wesentlichen Funktionen, dass man einen Client dafür konfigurieren kann, sich automatisch vom WSUS zu aktualisieren, man aber gegenüber dem Update direkt von Microsoft die Möglichkeit hat, gezielt Updates auszuschließen, aus welchem Grund auch immer. Wenn Du eh immer alle verfügbaren Updates für ein OS bzw. Anwendung installierst, dann hast Du hier in diesem Punkt also keinen Nutzen vom WSUS.

Später dann ist es OK, wenn die Kiste die Updates sich vom WSUS zieht und nicht direkt aus dem Internet. Wozu aber soll ich dann auf dem WSUS Patches von 2014 oder 2015 vorhalten, die bereits überall installiert sind? Durch die Kategorisierungen stelle ich auch klar, dass nur die benötigten Produkte auf den WSUS kommen. Sobald die alle installiert sind, werden die auch nicht mehr benötigt.

Saubere Programmierung würde nämlich bedeuten, dass der WSUS mich fragt, ob ich zwei Jahre alte Updates noch vorhalten will, oder ob der Speicherplatz nicht vielleicht sinnvoller genutzt werden kann.
Ein Update für ein immer noch eingesetztes Produkt wird nicht durch sein Alter hinfällig sondern allein durch die Tatsache, ob es inzwischen durch ein neues ersetzt wurde.

Erst wenn das alles funktioniert hat klemme ich die Kiste in die Domäne rein. Das hat meines Erachtens den Vorteil, dass ich die meisten Fehlinstallationen vermeiden kann, sicher bin, dass ich eine funktionierende Kiste habe und mir nicht noch zusätzliche Arbeit in der Domäne aufhalse, weil ich eine eventuelle Fehlinstallation dort auch wieder raus holen muss. Zugegeben, der Aufwand hält sich in Grenzen, trotzdem spricht nichts dagegen, erst am Schluss eine solche Maschine ins Netzwerk zu bringen. Vor allem dann, wenn das ganze extern passiert, weil der Kunde keine IT Abteilung hat.
Was hat denn die Mitgliedschaft in einer Domäne mit dem Nutzen und Benutzen eines lokal vorhandenen WSUS zu tun? Ob der Client Mitglied einer Domäne ist oder nicht, man kann ihn einrichten, dass er die Updates vom WSUS lädt. Und wenn Du mal ein oder mehrere Updates aus bestimmten Gründen ausgeschlossen hast (z.B. wegen Inkompatibilität mit anderen Anwednungen), dann werden sich auch neue Clients, welche der selben WSUS-Gruppe zugetelt sind, mit dem selben Update-Stand installieren, wie ihn auch die Bestands-Clients haben. Gleiche OS- und Anwendungsversionen mal vorausgesetzt.

Außerdem muss man bedenken, dass der WSUS noch aus Zeiten stammt, als die Internetleitungen "dünn" waren. Hier ging es hauptsächlich um Bandbreitenschonung, erreicht durch Filtern und Zwischenspeichern der Updates. Mit Win10 hat MS ja nun dieses Update vom Peer erfunden. Dies macht zwar einen WSUS nicht ganz überflüssig, bietet aber einen Ersatz für dessen Cache-Funktion.
Andre.Heisig
Andre.Heisig 02.11.2016 um 11:55:04 Uhr
Goto Top
Ergänzend zu Emeriks Ausführungen: Der WSUS hat unabhängig vom Win-10-Peer-Download eine Option "Updates direkt bei MS beziehen", das erspart dir den Festplattenplatz für die Updates, der WSUS verwaltet dann "nur" noch. Kein lokales Repository, nur noch die Datenbank.

Wenn denn Festplattenplatz heutzutage tatsächlich der kritische Engpass und die Internet-Leitung breit genug ist.
KellogsFR
KellogsFR 02.11.2016 um 12:32:35 Uhr
Goto Top
Das alles beantwortet immer noch nicht die Frage, wozu ich Updates aus vergangenen Jahren vorhalten muss und dafür Plattenplatz zur Verfügung stelle. Virtualisierung ist eine tolle Sache und meiner Meinung nach genau für solche Fälle optimal.

Eine neue Maschine, egal, welches Betriebssystem kommt auch sehr oft mit einem relativ aktuellen Betreibssystem, oder anderes herum: Die installation von einem aktuellen Windeows 10, 1607 braucht ja wohl keine Updates mehr von 15xx oder vorher. Warum muss ich dann die Updates dafür auch noch vorhalten, die für 15xx und früher notwendig waren?

Es geht nicht darum, ob ich eine schnelle Internetverbindung habe, oder einfach mal schnell ein paar Platten nachkaufe. Es geht hier darum, ein System sauber zu halten. Übertragen auf das tägliche Leben bedeutet das: Wenn der Mülleimer voll ist, holt ihn auch die Müllabfuhr, oder bekommt der Mülleimer ein Upgrade, damit er größer wird, oder einen weiteren, um den Müll redundant zu verteilen?

Seit ich die Bereingung gemacht habe, scheint sich auch die Konsole nicht so auft zu verabschieden. Also, irgendwas muss wohl schon dran sein an der Bereinigung, sonst könnte ich den Effekt ja nicht sehen.
Klar, ich hätte auch mal für ein paar tausend Euro einen leistungsfühigeren Server kaufen können, der noch mehr Updates verwalten kann, die alle bereits installiert sind. Vielleicht kommt ja Microsoft auch irgendwann dahinter, dass die WSUS Server im Netz ja eigentlich ein Backup für MS sind, oder?
Andre.Heisig
Andre.Heisig 02.11.2016 um 14:32:24 Uhr
Goto Top
Wurde oben doch schon beantwortet: Ein Update ist nicht "unnötig", wenn es ein gewisses Alter überschreitet, sondern sobald es durch eine neuere Version ersetzt wurde. Bis dahin ist auch ein X-Jahre alter Stand der letzte, aktuelle Stand. Wenn ein WSUS die Clients überwachen soll, sollten ihm alle nötigen Updates irgendwie bekannt sein.

Aufräumen des WSUS ja, dafür gibts sogar zuhauf automatisierbare Scripte. Aber eben ersetzte oder abgelehnte Updates, sowie grundsätzlich Software, die nicht eingesetzt wird.
yumper
yumper 27.05.2020 um 20:55:25 Uhr
Goto Top
Hallo

ich habe das so gemacht und ging davon aus das alle Clients einen einigermaßen aktuellen Stand hatten und den ganzen Schrott in der ziemlich großen Datenbank nicht mehr brauchen.

Habe dann WSUS deinstalliert - die Datenbank gelöscht und WSUS dann neu installiert.

Die Einstellungen blieben nach der Neuinstallation alle erhalten. Habe dann die Produkte usw in den Einstellungen kontrolliert.
Windows 7 habe ich gar nicht mehr aktiviert, da hier eh keine neuen Updates mehr kommen.
Nach dem ersten Sync habe ich dann alle Patches usw abgelehnt da diese eh nicht mehr gebraucht werden.

Neuere Updates in den Tagen danach habe ich dann manuell freigegeben. Definitionsupdates werden automatisch freigegeben.

Nun hat meine Datenbank weniger als 10 GB und keine 400 GB mehr.

So long

Yumper