WSUS aufsetzen - best practise?
Hallo,
ich habe da mal ein paar Fragen zum WSUS.
Wir hatten früher einen SBS2011 mit eingebautem WSUS, der irgendwann nicht mehr funktioniert hat bzw. nicht mehr administrierbar war, da es in der Konsole ständig Timeouts gab. Da sowieso eine Migration auf 2016 geplant war, haben wir den WSUS nicht mehr benutzt und alle Rechner per GPO wieder auf direkte Online-Updates von Microsoft umgestellt; auch, weil man ja manuell noch entscheiden konnte, was man wann installiert.
Nachdem wir nun einige Systeme auf Windows Server 2016 migriert haben und man dort leider nicht mehr Updates manuell installieren kann, sondern der Server außerhalb der eingestellten "Nutzungszeit" automatisch neu startet, haben wir nun wieder einen WSUS aufgesetzt, damit wir die Updates damit steuern können und die Server nicht unvermittelt neu booten.
Nun habe ich aber schon nach der Installation Probleme damit, das die Konsole mir beim auflisten der synchronisierten Updates Verbindungsfehler auswirft, weil das auflisten der 40000 Updates zu lange dauert.
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Der Server ist eine VM mit 8 vCPUs und 8GB RAM (davon rund 4 GB belegt), an der Leistung sollte es also erstmal nicht liegen. Beim auflisten der Updates wird laut Task Manager 'eh nur ein Kern benutzt und voll ausgelastet.
Danke im Voraus,
ipzipzap
ich habe da mal ein paar Fragen zum WSUS.
Wir hatten früher einen SBS2011 mit eingebautem WSUS, der irgendwann nicht mehr funktioniert hat bzw. nicht mehr administrierbar war, da es in der Konsole ständig Timeouts gab. Da sowieso eine Migration auf 2016 geplant war, haben wir den WSUS nicht mehr benutzt und alle Rechner per GPO wieder auf direkte Online-Updates von Microsoft umgestellt; auch, weil man ja manuell noch entscheiden konnte, was man wann installiert.
Nachdem wir nun einige Systeme auf Windows Server 2016 migriert haben und man dort leider nicht mehr Updates manuell installieren kann, sondern der Server außerhalb der eingestellten "Nutzungszeit" automatisch neu startet, haben wir nun wieder einen WSUS aufgesetzt, damit wir die Updates damit steuern können und die Server nicht unvermittelt neu booten.
Nun habe ich aber schon nach der Installation Probleme damit, das die Konsole mir beim auflisten der synchronisierten Updates Verbindungsfehler auswirft, weil das auflisten der 40000 Updates zu lange dauert.
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Der Server ist eine VM mit 8 vCPUs und 8GB RAM (davon rund 4 GB belegt), an der Leistung sollte es also erstmal nicht liegen. Beim auflisten der Updates wird laut Task Manager 'eh nur ein Kern benutzt und voll ausgelastet.
Danke im Voraus,
ipzipzap
Please also mark the comments that contributed to the solution of the article
Content-ID: 382994
Url: https://administrator.de/contentid/382994
Printed on: November 5, 2024 at 02:11 o'clock
15 Comments
Latest comment
Hallo
Ich würde nach dieser Anleitung installieren, und dann unter
- Sprache nur Deutsch und Englisch
- Klassifizierung nur mal Sicherheitsupdates und wichtige Updates auswählen
Und natürlich die Konfiguration erst mal richtig stellen.
Danach den WSUS erst mal arbeiten und synchronisieren lassen, dann sollte das schon so funktionieren.
Ansonsten ist wsus.de auch immer eine gute Anlaufstelle
Gruss
Ich würde nach dieser Anleitung installieren, und dann unter
- Sprache nur Deutsch und Englisch
- Klassifizierung nur mal Sicherheitsupdates und wichtige Updates auswählen
Und natürlich die Konfiguration erst mal richtig stellen.
Danach den WSUS erst mal arbeiten und synchronisieren lassen, dann sollte das schon so funktionieren.
Ansonsten ist wsus.de auch immer eine gute Anlaufstelle
Gruss
Hallo,
das hier schon gelesen, oder nicht gefunden?
Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in Abhängigkeit der benötigten Daten.
Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.
Hast Du auch mal hier im Forum gesucht?
Mal abwarten, was noch an Kommentare geliefert wird.
Gruss Penny
das hier schon gelesen, oder nicht gefunden?
Und zur Konfiguration der VM: Best practise ist die minimalistischste Lösung, d. h. 1-2 vCPU und 2-4 GiB RAM. Festplattenkapazität ist in Abhängigkeit der benötigten Daten.
Außerdem rufgt man nicht gleich 40 000 Updates ab, sondern peu-a-peu zunächst die benötigten Betriebssysteme und dann nahc und nach die Applikationspatche.
Hast Du auch mal hier im Forum gesucht?
Mal abwarten, was noch an Kommentare geliefert wird.
Gruss Penny
Moin,
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ansonsten den WSUS anfangs einfach erstmal rödeln lassen, bis er den Download abgeschlossen hat. Das dauert schon mal eine Weile.
Gruß
40000 Updates? Hast du bei der Einrichtung denn auch die richtigen Produkte, Klassifizierungen und Sprachpakete gewählt? Hier wählt man nur das, was man wirklich braucht.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ansonsten den WSUS anfangs einfach erstmal rödeln lassen, bis er den Download abgeschlossen hat. Das dauert schon mal eine Weile.
Gruß
Das habe ich nach und nach gemacht. Und nach der Kategorie Treiber und Treiberpakete waren auf einmal über 40.000 neue da. Das kann man nicht noch kleiner unterteilen.
Deshalb wähle ich das für gewöhnlich immer ab. Es erschließt sich mir auch nicht, warum man die gesamte MS-Treiberdatenbank herunterladen muss.
Zitat von @ipzipzap:
Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.
Des Weiteren kannst du die automatische Genehmigung der Updates deaktivieren und erstmal schauen, welche Updates deine Server/Clients anfordern und dann nur dies genehmigen und dadurch downloaden. So verhinderst du das Herunterladen uralter Updates, die eh schon zu 100% installiert sind.
Ich möchte aber auch alle alten Updates haben. Man kann die doch trotzdem noch brauchen, obwohl die schon zu 100% installiert sind. Man setzt doch auch mal neue Rechner auf, die dann noch diese alten Updates benötigen. Immer erst dann auf den WSUS zu gehen und die freizuschalten, kommt mir sehr umständlich vor. Ich gebe alles frei, was der mir für meine Produkte und Klassifizierungen anbietet.
Aber nur wenn man ne uralte ISO aus dem Schrank zur Installation nimmt Wenn du alle halbe Jahre ein neues Image zur Installation pflegst, dann brauchst du auch keine alten Updates im WSUS und sparst dir unter umständen ewiges gepatche bei einer Neuinstallation.
Du siehst, es führen immer mehrere Wege zum Ziel - kommt halt auf die Umgebung an. Wenn das so für dich klargeht und die Ressourcen das hergeben, dann ist das auch nicht verkehrt.
Der erste Sync braucht halt ewig. Bei mir lief das über einen 6000er von der Telekommando fast 4 Tag auf Anschlag ohne Treiber und nicht genutze Programme. Der WSUS wir eben auch extrem langsam mit der Zeit. Hatte anfangs immer die WSUS-Bereinigung angestoßen, aber das ist ja auch ein Trauerspiel. Durch Zufall bin ich dann auf das WSUS-Automated-Maintenance-Skript von Adam Marshall gestoßen und bin total begeistert. Läuft jeden Morgen über den Taskplaner und WSUS fühlt sich um den Faktor 100 schneller an. Ist leider nur noch bis zum 31.05.2019 kostenlos. Wer es testen möchte, sucht in Google nach "Adamji Clean-WSUS" nach der noch freien Version oder hier auf Adam Marshalls Seite: WSUS Automated Maintenance
Gruß Arno
Gruß Arno
Guten Abend ipzipzap,
Unabhängig davon ist ab einer gewissen Anzahl von Produkten und Sprachen sinnvoll, mehrere WSUS-Server zu nutzen. Somit kann einmal eine logische Trennung der Produkte erfolgen (z.B. Windows, Windows Server und Applikationen (SQL, Exchange, etc..). Des Weiteren wird das Datenvolumen über das Netzwerk mehr oder weniger verteilt. So dass eine Überlastung bzw. Engpass vermieden wird.
@UweGri
Gruß,
Dani
Gibt es hier Best practices oder Empfehlungen, wie man einen WSUS aufsetzt, damit man nicht in so Probleme läuft?
Zuerst würde ich die WSUS Rolle nicht mit einer Microsoft SQL Server Express bzw. LocalDB aufsetzen sondern mit Microsoft SQL Server Standard. Um zum Einen die Begrenzung der maximalen Datenbankgröße zu umgehen aber auch die Reservierung des Arbeitsspeichers.Unabhängig davon ist ab einer gewissen Anzahl von Produkten und Sprachen sinnvoll, mehrere WSUS-Server zu nutzen. Somit kann einmal eine logische Trennung der Produkte erfolgen (z.B. Windows, Windows Server und Applikationen (SQL, Exchange, etc..). Des Weiteren wird das Datenvolumen über das Netzwerk mehr oder weniger verteilt. So dass eine Überlastung bzw. Engpass vermieden wird.
@UweGri
40.000 !? Was um alles in der Welt updatest Du?
Das hat man mit einigen Produkten und Sprachen gleich zusammen und ist nicht ungewöhnlich.Gruß,
Dani