ipzipzap
Goto Top

WSUS aufsetzen - best practise?

Hallo,

ich habe da mal ein paar Fragen zum WSUS.

Wir hatten früher einen SBS2011 mit eingebautem WSUS, der irgendwann nicht mehr funktioniert hat bzw. nicht mehr administrierbar war, da es in der Konsole ständig Timeouts gab. Da sowieso eine Migration auf 2016 geplant war, haben wir den WSUS nicht mehr benutzt und alle Rechner per GPO wieder auf direkte Online-Updates von Microsoft umgestellt; auch, weil man ja manuell noch entscheiden konnte, was man wann installiert.

Nachdem wir nun einige Systeme auf Windows Server 2016 migriert haben und man dort leider nicht mehr Updates manuell installieren kann, sondern der Server außerhalb der eingestellten "Nutzungszeit" automatisch neu startet, haben wir nun wieder einen WSUS aufgesetzt, damit wir die Updates damit steuern können und die Server nicht unvermittelt neu booten.

Nun habe ich aber schon nach der Installation Probleme damit, das die Konsole mir beim auflisten der synchronisierten Updates Verbindungsfehler auswirft, weil das auflisten der 40000 Updates zu lange dauert.

Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?

Der Server ist eine VM mit 8 vCPUs und 8GB RAM (davon rund 4 GB belegt), an der Leistung sollte es also erstmal nicht liegen. Beim auflisten der Updates wird laut Task Manager 'eh nur ein Kern benutzt und voll ausgelastet.


Danke im Voraus,

ipzipzap

Content-ID: 382994

Url: https://administrator.de/contentid/382994

Printed on: November 5, 2024 at 02:11 o'clock

Meierjo
Meierjo Aug 10, 2018 at 10:25:57 (UTC)
Goto Top
Hallo

Ich würde nach dieser Anleitung installieren, und dann unter
- Sprache nur Deutsch und Englisch
- Klassifizierung nur mal Sicherheitsupdates und wichtige Updates auswählen

Und natürlich die Konfiguration erst mal richtig stellen.
Danach den WSUS erst mal arbeiten und synchronisieren lassen, dann sollte das schon so funktionieren.
Ansonsten ist wsus.de auch immer eine gute Anlaufstelle

Gruss
Penny.Cilin
Penny.Cilin Aug 10, 2018 at 10:29:57 (UTC)
Goto Top
Hallo,

das hier schon gelesen, oder nicht gefunden?
Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in Abhängigkeit der benötigten Daten.

Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.

Hast Du auch mal hier im Forum gesucht?

Mal abwarten, was noch an Kommentare geliefert wird.

Gruss Penny
ipzipzap
ipzipzap Aug 10, 2018 at 10:32:57 (UTC)
Goto Top
Zitat von @Meierjo:
Ich würde nach dieser Anleitung installieren,
...
Ansonsten ist wsus.de auch immer eine gute Anlaufstelle

Danke, schau ich mir mal an.
Leonschnuck
Leonschnuck Aug 10, 2018 at 10:37:05 (UTC)
Goto Top
Erhöhe im IIS einfach den Wert für den privaten Speicher:

iis
ipzipzap
ipzipzap Aug 10, 2018 at 10:37:39 (UTC)
Goto Top
Zitat von @Penny.Cilin:
das hier schon gelesen, oder nicht gefunden?

Weder noch.

Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in

Nachdem, was ich in englischsprachigen Foren gelesen habe, soll man beim WSUS eher klotzen und nicht kleckern, da der sehr CPU-lastig ist. Daher habe ich erstmal 8 Kerne vergeben, damit das Setup, erster Sync etc. schneller geht, und wollte die später runterschrauben auf 4. An RAM braucht der ja nach dem ersten Sync schon 4GB, da ist deine Empfehlung mit 2-4 auch recht klein.

Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.

Das habe ich nach und nach gemacht. Und nach der Kategorie Treiber und Treiberpakete waren auf einmal über 40.000 neue da. Das kann man nicht noch kleiner unterteilen.
ArnoNymous
ArnoNymous Aug 10, 2018 updated at 10:42:28 (UTC)
Goto Top
Moin,

40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.

Ansonsten den WSUS anfangs einfach erstmal rödeln lassen, bis er den Download abgeschlossen hat. Das dauert schon mal eine Weile.

Gruß
ArnoNymous
ArnoNymous Aug 10, 2018 at 10:49:12 (UTC)
Goto Top

Das habe ich nach und nach gemacht. Und nach der Kategorie Treiber und Treiberpakete waren auf einmal über 40.000 neue da. Das kann man nicht noch kleiner unterteilen.

Deshalb wähle ich das für gewöhnlich immer ab. Es erschließt sich mir auch nicht, warum man die gesamte MS-Treiberdatenbank herunterladen muss.
dodo30
dodo30 Aug 10, 2018 at 11:13:16 (UTC)
Goto Top
best practice = nicht jeden mist downloaden :D
ipzipzap
ipzipzap Aug 10, 2018 updated at 14:41:13 (UTC)
Goto Top
Zitat von @ArnoNymous:
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.

Ja, habe ich. Deutsch und Englisch und nur die Betriebssysteme und Produkte, die wir einsetzen oder evtl. mal auf Kundensystemen haben.
Die 40.000 kamen erst mit den Treibern, davor waren es "nur" so um die 10-12.000. Im alten SBS war das über die Jahre gewachsen, da hatte ich nie die Situation, 40.000 auf einmal freigeben zu müssen. Da ging das alles peu-a-peu über Jahre. Ich denke mal, das ich Treiber hier mal wieder abwählen werde ^^

Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.

Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.

cu,
ipzipzap
ArnoNymous
ArnoNymous Aug 10, 2018 updated at 14:50:55 (UTC)
Goto Top
Zitat von @ipzipzap:


Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.

Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.

Aber nur wenn man ne uralte ISO aus dem Schrank zur Installation nimmt face-smile Wenn du alle halbe Jahre ein neues Image zur Installation pflegst, dann brauchst du auch keine alten Updates im WSUS und sparst dir unter umständen ewiges gepatche bei einer Neuinstallation.
Du siehst, es führen immer mehrere Wege zum Ziel - kommt halt auf die Umgebung an. Wenn das so für dich klargeht und die Ressourcen das hergeben, dann ist das auch nicht verkehrt.
NixVerstehen
NixVerstehen Aug 10, 2018 at 15:07:50 (UTC)
Goto Top
Der erste Sync braucht halt ewig. Bei mir lief das über einen 6000er von der Telekommando fast 4 Tag auf Anschlag ohne Treiber und nicht genutze Programme. Der WSUS wir eben auch extrem langsam mit der Zeit. Hatte anfangs immer die WSUS-Bereinigung angestoßen, aber das ist ja auch ein Trauerspiel. Durch Zufall bin ich dann auf das WSUS-Automated-Maintenance-Skript von Adam Marshall gestoßen und bin total begeistert. Läuft jeden Morgen über den Taskplaner und WSUS fühlt sich um den Faktor 100 schneller an. Ist leider nur noch bis zum 31.05.2019 kostenlos. Wer es testen möchte, sucht in Google nach "Adamji Clean-WSUS" nach der noch freien Version oder hier auf Adam Marshalls Seite: WSUS Automated Maintenance

Gruß Arno
UweGri
UweGri Aug 10, 2018 at 19:50:41 (UTC)
Goto Top
40.000 !? Was um alles in der Welt updatest Du?

Da kann was nicht stimmen! Uwe
Dani
Dani Aug 10, 2018 updated at 22:03:38 (UTC)
Goto Top
Guten Abend ipzipzap,
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Zuerst würde ich die WSUS Rolle nicht mit einer Microsoft SQL Server Express bzw. LocalDB aufsetzen sondern mit Microsoft SQL Server Standard. Um zum Einen die Begrenzung der maximalen Datenbankgröße zu umgehen aber auch die Reservierung des Arbeitsspeichers.

Unabhängig davon ist ab einer gewissen Anzahl von Produkten und Sprachen sinnvoll, mehrere WSUS-Server zu nutzen. Somit kann einmal eine logische Trennung der Produkte erfolgen (z.B. Windows, Windows Server und Applikationen (SQL, Exchange, etc..). Des Weiteren wird das Datenvolumen über das Netzwerk mehr oder weniger verteilt. So dass eine Überlastung bzw. Engpass vermieden wird.

@UweGri
40.000 !? Was um alles in der Welt updatest Du?
Das hat man mit einigen Produkten und Sprachen gleich zusammen und ist nicht ungewöhnlich.


Gruß,
Dani
Leonschnuck
Leonschnuck Aug 12, 2018 at 04:16:41 (UTC)
Goto Top
Ihr labert alle komplett am Doing vorbei Leute. Solange er beim 2016er nicht im IIS den PrivateMemory erhöht, wird seine MMC weiterhin abschmieren, selbst wenn Ihr Bestpractised und kaskadiert und statt Express Standard nehmt bis der Arzt kommt.
NixVerstehen
NixVerstehen Aug 12, 2018 at 09:42:57 (UTC)
Goto Top
Dann sind wir ja froh, das dein WSUS so super läuft. Vielleicht hast du dann etwas mehr Zeit als wir, um zu lernen, wie man sich angemessen artikuliert.