15
WSUS aufsetzen - best practise?
Hallo,
ich habe da mal ein paar Fragen zum WSUS.
Wir hatten früher einen SBS2011 mit eingebautem WSUS, der irgendwann nicht mehr funktioniert hat bzw. nicht mehr administrierbar war, da es in der Konsole ständig Timeouts gab. Da sowieso eine Migration auf 2016 geplant war, haben wir den WSUS nicht mehr benutzt und alle Rechner per GPO wieder auf direkte Online-Updates von Microsoft umgestellt; auch, weil man ja manuell noch entscheiden konnte, was man wann installiert.
Nachdem wir nun einige Systeme auf Windows Server 2016 migriert haben und man dort leider nicht mehr Updates manuell installieren kann, sondern der Server außerhalb der eingestellten "Nutzungszeit" automatisch neu startet, haben wir nun wieder einen WSUS aufgesetzt, damit wir die Updates damit steuern können und die Server nicht unvermittelt neu booten.
Nun habe ich aber schon nach der Installation Probleme damit, das die Konsole mir beim auflisten der synchronisierten Updates Verbindungsfehler auswirft, weil das auflisten der 40000 Updates zu lange dauert.
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Der Server ist eine VM mit 8 vCPUs und 8GB RAM (davon rund 4 GB belegt), an der Leistung sollte es also erstmal nicht liegen. Beim auflisten der Updates wird laut Task Manager 'eh nur ein Kern benutzt und voll ausgelastet.
Danke im Voraus,
ipzipzap
ich habe da mal ein paar Fragen zum WSUS.
Wir hatten früher einen SBS2011 mit eingebautem WSUS, der irgendwann nicht mehr funktioniert hat bzw. nicht mehr administrierbar war, da es in der Konsole ständig Timeouts gab. Da sowieso eine Migration auf 2016 geplant war, haben wir den WSUS nicht mehr benutzt und alle Rechner per GPO wieder auf direkte Online-Updates von Microsoft umgestellt; auch, weil man ja manuell noch entscheiden konnte, was man wann installiert.
Nachdem wir nun einige Systeme auf Windows Server 2016 migriert haben und man dort leider nicht mehr Updates manuell installieren kann, sondern der Server außerhalb der eingestellten "Nutzungszeit" automatisch neu startet, haben wir nun wieder einen WSUS aufgesetzt, damit wir die Updates damit steuern können und die Server nicht unvermittelt neu booten.
Nun habe ich aber schon nach der Installation Probleme damit, das die Konsole mir beim auflisten der synchronisierten Updates Verbindungsfehler auswirft, weil das auflisten der 40000 Updates zu lange dauert.
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Der Server ist eine VM mit 8 vCPUs und 8GB RAM (davon rund 4 GB belegt), an der Leistung sollte es also erstmal nicht liegen. Beim auflisten der Updates wird laut Task Manager 'eh nur ein Kern benutzt und voll ausgelastet.
Danke im Voraus,
ipzipzap
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 382994
Url: https://administrator.de/contentid/382994
Ausgedruckt am: 03.12.2024 um 17:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo
Ich würde nach dieser Anleitung installieren, und dann unter
- Sprache nur Deutsch und Englisch
- Klassifizierung nur mal Sicherheitsupdates und wichtige Updates auswählen
Und natürlich die Konfiguration erst mal richtig stellen.
Danach den WSUS erst mal arbeiten und synchronisieren lassen, dann sollte das schon so funktionieren.
Ansonsten ist wsus.de auch immer eine gute Anlaufstelle
Gruss
Ich würde nach dieser Anleitung installieren, und dann unter
- Sprache nur Deutsch und Englisch
- Klassifizierung nur mal Sicherheitsupdates und wichtige Updates auswählen
Und natürlich die Konfiguration erst mal richtig stellen.
Danach den WSUS erst mal arbeiten und synchronisieren lassen, dann sollte das schon so funktionieren.
Ansonsten ist wsus.de auch immer eine gute Anlaufstelle
Gruss
Hallo,
das hier schon gelesen, oder nicht gefunden?
Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in Abhängigkeit der benötigten Daten.
Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.
Hast Du auch mal hier im Forum gesucht?
Mal abwarten, was noch an Kommentare geliefert wird.
Gruss Penny
das hier schon gelesen, oder nicht gefunden?
Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in Abhängigkeit der benötigten Daten.
Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.
Hast Du auch mal hier im Forum gesucht?
Mal abwarten, was noch an Kommentare geliefert wird.
Gruss Penny
Erhöhe im IIS einfach den Wert für den privaten Speicher:
Weder noch.
Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in
Nachdem, was ich in englischsprachigen Foren gelesen habe, soll man beim WSUS eher klotzen und nicht kleckern, da der sehr CPU-lastig ist. Daher habe ich erstmal 8 Kerne vergeben, damit das Setup, erster Sync etc. schneller geht, und wollte die später runterschrauben auf 4. An RAM braucht der ja nach dem ersten Sync schon 4GB, da ist deine Empfehlung mit 2-4 auch recht klein.
Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.
Das habe ich nach und nach gemacht. Und nach der Kategorie Treiber und Treiberpakete waren auf einmal über 40.000 neue da. Das kann man nicht noch kleiner unterteilen.
Moin,
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ansonsten den WSUS anfangs einfach erstmal rödeln lassen, bis er den Download abgeschlossen hat. Das dauert schon mal eine Weile.
Gruß
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ansonsten den WSUS anfangs einfach erstmal rödeln lassen, bis er den Download abgeschlossen hat. Das dauert schon mal eine Weile.
Gruß
Das habe ich nach und nach gemacht. Und nach der Kategorie Treiber und Treiberpakete waren auf einmal über 40.000 neue da. Das kann man nicht noch kleiner unterteilen.
Deshalb wähle ich das für gewöhnlich immer ab. Es erschließt sich mir auch nicht, warum man die gesamte MS-Treiberdatenbank herunterladen muss.
best practice = nicht jeden mist downloaden :D
1Zitat von @ArnoNymous:
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
Ja, habe ich. Deutsch und Englisch und nur die Betriebssysteme und Produkte, die wir einsetzen oder evtl. mal auf Kundensystemen haben.
Die 40.000 kamen erst mit den Treibern, davor waren es "nur" so um die 10-12.000. Im alten SBS war das über die Jahre gewachsen, da hatte ich nie die Situation, 40.000 auf einmal freigeben zu müssen. Da ging das alles peu-a-peu über Jahre. Ich denke mal, das ich Treiber hier mal wieder abwählen werde ^^
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.
cu,
ipzipzap
Zitat von @ipzipzap:
Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.
Aber nur wenn man ne uralte ISO aus dem Schrank zur Installation nimmt
Wenn du alle halbe Jahre ein neues Image zur Installation pflegst, dann brauchst du auch keine alten Updates im WSUS und sparst dir unter umständen ewiges gepatche bei einer Neuinstallation.Du siehst, es führen immer mehrere Wege zum Ziel - kommt halt auf die Umgebung an. Wenn das so für dich klargeht und die Ressourcen das hergeben, dann ist das auch nicht verkehrt.
Der erste Sync braucht halt ewig. Bei mir lief das über einen 6000er von der Telekommando fast 4 Tag auf Anschlag ohne Treiber und nicht genutze Programme. Der WSUS wir eben auch extrem langsam mit der Zeit. Hatte anfangs immer die WSUS-Bereinigung angestoßen, aber das ist ja auch ein Trauerspiel. Durch Zufall bin ich dann auf das WSUS-Automated-Maintenance-Skript von Adam Marshall gestoßen und bin total begeistert. Läuft jeden Morgen über den Taskplaner und WSUS fühlt sich um den Faktor 100 schneller an. Ist leider nur noch bis zum 31.05.2019 kostenlos. Wer es testen möchte, sucht in Google nach "Adamji Clean-WSUS" nach der noch freien Version oder hier auf Adam Marshalls Seite: WSUS Automated Maintenance
Gruß Arno
Gruß Arno
40.000 !? Was um alles in der Welt updatest Du?
Da kann was nicht stimmen! Uwe
Da kann was nicht stimmen! Uwe
Guten Abend ipzipzap,
Unabhängig davon ist ab einer gewissen Anzahl von Produkten und Sprachen sinnvoll, mehrere WSUS-Server zu nutzen. Somit kann einmal eine logische Trennung der Produkte erfolgen (z.B. Windows, Windows Server und Applikationen (SQL, Exchange, etc..). Des Weiteren wird das Datenvolumen über das Netzwerk mehr oder weniger verteilt. So dass eine Überlastung bzw. Engpass vermieden wird.
@UweGri
Gruß,
Dani
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Zuerst würde ich die WSUS Rolle nicht mit einer Microsoft SQL Server Express bzw. LocalDB aufsetzen sondern mit Microsoft SQL Server Standard. Um zum Einen die Begrenzung der maximalen Datenbankgröße zu umgehen aber auch die Reservierung des Arbeitsspeichers.Unabhängig davon ist ab einer gewissen Anzahl von Produkten und Sprachen sinnvoll, mehrere WSUS-Server zu nutzen. Somit kann einmal eine logische Trennung der Produkte erfolgen (z.B. Windows, Windows Server und Applikationen (SQL, Exchange, etc..). Des Weiteren wird das Datenvolumen über das Netzwerk mehr oder weniger verteilt. So dass eine Überlastung bzw. Engpass vermieden wird.
@UweGri
40.000 !? Was um alles in der Welt updatest Du?
Das hat man mit einigen Produkten und Sprachen gleich zusammen und ist nicht ungewöhnlich.Gruß,
Dani
1
Ihr labert alle komplett am Doing vorbei Leute. Solange er beim 2016er nicht im IIS den PrivateMemory erhöht, wird seine MMC weiterhin abschmieren, selbst wenn Ihr Bestpractised und kaskadiert und statt Express Standard nehmt bis der Arzt kommt.
Dann sind wir ja froh, das dein WSUS so super läuft. Vielleicht hast du dann etwas mehr Zeit als wir, um zu lernen, wie man sich angemessen artikuliert.
