WSUS aufräumen
Hallo zusammen,
vor einiger Zeit habe ich den WSUS Server auf einem eigenständigen, virtualisierten Server unter Windows Server 2012 installiert. Alles funktioniert auch so weit ganz gut, außer, dass dem Server langsam der Platz auf der virtuellen Platte ausgeht. Aus diesem Grunde gehe ich regelmäßig in die WSUS Konsole und lasse die Serverbereinigung laufen. Leider bringt das aber nicht all zu viel, deswegen habe ich mir mal die Updates angesehen. Hier werden beispielsweise unter dem Punkt "Alle Update" über 200 Updates aufgeführt, die zu 2/3 auch als 100% installiert angegeben sind. Außerdem sind da Updates aufgelistet, die teilweise aus dem Jahre 2014 stammen.
Ich bin also mal hingegangen und habe diese 100% Updates aus den Jahren vor 2015 markiert, abgelehnt und über die Serverbereinigung mit der Option "nicht erforderliche Updateversionen" gelöscht. Das hat dann mal ganz schnell um die 10GB Festplattenplatz gegeben. Also wieder genug, um eine Weile mit dem Server zu arbeiten.
Meine Überlegung war dabei folgende: Updates, die ao alt sind und als 100% installiert markiert wurden, brauch ich ja wohl nicht mehr. Wenn ich eine neue Maschine in die Domäne bringen will, dann wird die vorher installiert und ohne Domäne in einem extra Netzwerk mit Updates versorgt. Dann sind da ja bereits die Updates drauf, die ich ja gerade abgelehnt habe. Sollte also alles OK sein, oder was sagt ihr dazu?
Gruß Kellogs
vor einiger Zeit habe ich den WSUS Server auf einem eigenständigen, virtualisierten Server unter Windows Server 2012 installiert. Alles funktioniert auch so weit ganz gut, außer, dass dem Server langsam der Platz auf der virtuellen Platte ausgeht. Aus diesem Grunde gehe ich regelmäßig in die WSUS Konsole und lasse die Serverbereinigung laufen. Leider bringt das aber nicht all zu viel, deswegen habe ich mir mal die Updates angesehen. Hier werden beispielsweise unter dem Punkt "Alle Update" über 200 Updates aufgeführt, die zu 2/3 auch als 100% installiert angegeben sind. Außerdem sind da Updates aufgelistet, die teilweise aus dem Jahre 2014 stammen.
Ich bin also mal hingegangen und habe diese 100% Updates aus den Jahren vor 2015 markiert, abgelehnt und über die Serverbereinigung mit der Option "nicht erforderliche Updateversionen" gelöscht. Das hat dann mal ganz schnell um die 10GB Festplattenplatz gegeben. Also wieder genug, um eine Weile mit dem Server zu arbeiten.
Meine Überlegung war dabei folgende: Updates, die ao alt sind und als 100% installiert markiert wurden, brauch ich ja wohl nicht mehr. Wenn ich eine neue Maschine in die Domäne bringen will, dann wird die vorher installiert und ohne Domäne in einem extra Netzwerk mit Updates versorgt. Dann sind da ja bereits die Updates drauf, die ich ja gerade abgelehnt habe. Sollte also alles OK sein, oder was sagt ihr dazu?
Gruß Kellogs
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 319618
Url: https://administrator.de/forum/wsus-aufraeumen-319618.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
7 Kommentare
Neuester Kommentar
Hi,
welchen Sinn soll dann der WSUS noch erfüllen?
Wenn Du neue Clients initial über Internet mit Updates versorgen willst, dann ist die Cache-Funktion des WSUS schon mal obsolet.
Wenn Du alte Updates vom WSUS entfernen willst, dann musst Du sie erst ablehnen. D.h. Du müsstest neben dem WSUS dokumentieren, welches der Updates Du mal erlaubt hattest und welche dann auch an die Clients verteilt wurden, damit Du bei der manuellen Initialversorgung neuer Clients auf den selben Stand kommst. Wenn das für Dich nicht relavant ist, dann wäre die zweite Funktion des WSUS - das Steuern, welche Updates auf welchen Clients installiert werten sollen/dürfen - auch oboslet. Sprich, Du könntest Dir den WSUS gleich komplett sparen.
Vergrößere die HDD und fertig.
Oder konfiguriere die Downloads, dass wirklich nur Updates für jene Produkte heruntergeladen werden, welche Ihr überhaupt in Eurem Netz im Einsatz habt.
Lehne ersetzte Updates ab, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
Lehne Itanium-Updates ab, wenn Ihr keine entsprechende Hardware im Einsatz habt, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
usw. usw.
Edit:
Lehne Updates für Produkte ab, welche u.U. bereits heruntergeladen wurden, welche Ihr aber nicht im Einsatz habt.
E.
welchen Sinn soll dann der WSUS noch erfüllen?
Wenn Du neue Clients initial über Internet mit Updates versorgen willst, dann ist die Cache-Funktion des WSUS schon mal obsolet.
Wenn Du alte Updates vom WSUS entfernen willst, dann musst Du sie erst ablehnen. D.h. Du müsstest neben dem WSUS dokumentieren, welches der Updates Du mal erlaubt hattest und welche dann auch an die Clients verteilt wurden, damit Du bei der manuellen Initialversorgung neuer Clients auf den selben Stand kommst. Wenn das für Dich nicht relavant ist, dann wäre die zweite Funktion des WSUS - das Steuern, welche Updates auf welchen Clients installiert werten sollen/dürfen - auch oboslet. Sprich, Du könntest Dir den WSUS gleich komplett sparen.
Vergrößere die HDD und fertig.
Oder konfiguriere die Downloads, dass wirklich nur Updates für jene Produkte heruntergeladen werden, welche Ihr überhaupt in Eurem Netz im Einsatz habt.
Lehne ersetzte Updates ab, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
Lehne Itanium-Updates ab, wenn Ihr keine entsprechende Hardware im Einsatz habt, damit sie bei der nächsten Bereinigung vom WSUS gelöscht werden können.
usw. usw.
Edit:
Lehne Updates für Produkte ab, welche u.U. bereits heruntergeladen wurden, welche Ihr aber nicht im Einsatz habt.
E.
Einen neuen Client würde ich nie gleich in die Domäne aufnehmen und dann erst mal die Updates ziehen. Das kann die Kiste später machen, initial wird der Client erst mal (fertig) installiert, dann kommen die Produkte drauf (wenn möglich erst mal Testversionen) und dann darf die Kiste sich im Internet so lange updaten, bis wirklich nichts mehr zu holen ist.
Es ist doch eine der wesentlichen Funktionen, dass man einen Client dafür konfigurieren kann, sich automatisch vom WSUS zu aktualisieren, man aber gegenüber dem Update direkt von Microsoft die Möglichkeit hat, gezielt Updates auszuschließen, aus welchem Grund auch immer. Wenn Du eh immer alle verfügbaren Updates für ein OS bzw. Anwendung installierst, dann hast Du hier in diesem Punkt also keinen Nutzen vom WSUS.Später dann ist es OK, wenn die Kiste die Updates sich vom WSUS zieht und nicht direkt aus dem Internet. Wozu aber soll ich dann auf dem WSUS Patches von 2014 oder 2015 vorhalten, die bereits überall installiert sind? Durch die Kategorisierungen stelle ich auch klar, dass nur die benötigten Produkte auf den WSUS kommen. Sobald die alle installiert sind, werden die auch nicht mehr benötigt.
Saubere Programmierung würde nämlich bedeuten, dass der WSUS mich fragt, ob ich zwei Jahre alte Updates noch vorhalten will, oder ob der Speicherplatz nicht vielleicht sinnvoller genutzt werden kann.
Ein Update für ein immer noch eingesetztes Produkt wird nicht durch sein Alter hinfällig sondern allein durch die Tatsache, ob es inzwischen durch ein neues ersetzt wurde.Erst wenn das alles funktioniert hat klemme ich die Kiste in die Domäne rein. Das hat meines Erachtens den Vorteil, dass ich die meisten Fehlinstallationen vermeiden kann, sicher bin, dass ich eine funktionierende Kiste habe und mir nicht noch zusätzliche Arbeit in der Domäne aufhalse, weil ich eine eventuelle Fehlinstallation dort auch wieder raus holen muss. Zugegeben, der Aufwand hält sich in Grenzen, trotzdem spricht nichts dagegen, erst am Schluss eine solche Maschine ins Netzwerk zu bringen. Vor allem dann, wenn das ganze extern passiert, weil der Kunde keine IT Abteilung hat.
Was hat denn die Mitgliedschaft in einer Domäne mit dem Nutzen und Benutzen eines lokal vorhandenen WSUS zu tun? Ob der Client Mitglied einer Domäne ist oder nicht, man kann ihn einrichten, dass er die Updates vom WSUS lädt. Und wenn Du mal ein oder mehrere Updates aus bestimmten Gründen ausgeschlossen hast (z.B. wegen Inkompatibilität mit anderen Anwednungen), dann werden sich auch neue Clients, welche der selben WSUS-Gruppe zugetelt sind, mit dem selben Update-Stand installieren, wie ihn auch die Bestands-Clients haben. Gleiche OS- und Anwendungsversionen mal vorausgesetzt.Außerdem muss man bedenken, dass der WSUS noch aus Zeiten stammt, als die Internetleitungen "dünn" waren. Hier ging es hauptsächlich um Bandbreitenschonung, erreicht durch Filtern und Zwischenspeichern der Updates. Mit Win10 hat MS ja nun dieses Update vom Peer erfunden. Dies macht zwar einen WSUS nicht ganz überflüssig, bietet aber einen Ersatz für dessen Cache-Funktion.
Ergänzend zu Emeriks Ausführungen: Der WSUS hat unabhängig vom Win-10-Peer-Download eine Option "Updates direkt bei MS beziehen", das erspart dir den Festplattenplatz für die Updates, der WSUS verwaltet dann "nur" noch. Kein lokales Repository, nur noch die Datenbank.
Wenn denn Festplattenplatz heutzutage tatsächlich der kritische Engpass und die Internet-Leitung breit genug ist.
Wenn denn Festplattenplatz heutzutage tatsächlich der kritische Engpass und die Internet-Leitung breit genug ist.
Wurde oben doch schon beantwortet: Ein Update ist nicht "unnötig", wenn es ein gewisses Alter überschreitet, sondern sobald es durch eine neuere Version ersetzt wurde. Bis dahin ist auch ein X-Jahre alter Stand der letzte, aktuelle Stand. Wenn ein WSUS die Clients überwachen soll, sollten ihm alle nötigen Updates irgendwie bekannt sein.
Aufräumen des WSUS ja, dafür gibts sogar zuhauf automatisierbare Scripte. Aber eben ersetzte oder abgelehnte Updates, sowie grundsätzlich Software, die nicht eingesetzt wird.
Aufräumen des WSUS ja, dafür gibts sogar zuhauf automatisierbare Scripte. Aber eben ersetzte oder abgelehnte Updates, sowie grundsätzlich Software, die nicht eingesetzt wird.
Hallo
ich habe das so gemacht und ging davon aus das alle Clients einen einigermaßen aktuellen Stand hatten und den ganzen Schrott in der ziemlich großen Datenbank nicht mehr brauchen.
Habe dann WSUS deinstalliert - die Datenbank gelöscht und WSUS dann neu installiert.
Die Einstellungen blieben nach der Neuinstallation alle erhalten. Habe dann die Produkte usw in den Einstellungen kontrolliert.
Windows 7 habe ich gar nicht mehr aktiviert, da hier eh keine neuen Updates mehr kommen.
Nach dem ersten Sync habe ich dann alle Patches usw abgelehnt da diese eh nicht mehr gebraucht werden.
Neuere Updates in den Tagen danach habe ich dann manuell freigegeben. Definitionsupdates werden automatisch freigegeben.
Nun hat meine Datenbank weniger als 10 GB und keine 400 GB mehr.
So long
Yumper
ich habe das so gemacht und ging davon aus das alle Clients einen einigermaßen aktuellen Stand hatten und den ganzen Schrott in der ziemlich großen Datenbank nicht mehr brauchen.
Habe dann WSUS deinstalliert - die Datenbank gelöscht und WSUS dann neu installiert.
Die Einstellungen blieben nach der Neuinstallation alle erhalten. Habe dann die Produkte usw in den Einstellungen kontrolliert.
Windows 7 habe ich gar nicht mehr aktiviert, da hier eh keine neuen Updates mehr kommen.
Nach dem ersten Sync habe ich dann alle Patches usw abgelehnt da diese eh nicht mehr gebraucht werden.
Neuere Updates in den Tagen danach habe ich dann manuell freigegeben. Definitionsupdates werden automatisch freigegeben.
Nun hat meine Datenbank weniger als 10 GB und keine 400 GB mehr.
So long
Yumper