25
WSUS - erforderlich Updates
Hi,
ein gängiges Verfahren, welche Updates man am WSUS-Server genehmigen soll und welche nicht, beruft sich darauf, dass man sich einfach anzeigen lassen soll, welche Updates als "erforderlich" gelten. Und diese dann für die betreffende Computergruppe genehmigen. Natürlich nur, sofern keine Gegenanzeige vorliegt, z.B. weil irgendein Softwarehersteller sagt, dass ein bestimmtest Update nicht installiert werden darf, damit die betreffende Software dieses Herstellers weiterhin funktioniert.
Anschließend - wenn man das für alle Computergruppen (Computer) erledigt hat - kann man alle nicht-genehmigten Updates explizit ablehnen, damit diese beim nächsten Aufräumvorgang vom WSUS-Server gelöscht werden, um dort den Platz freizugeben.
Soweit, so gut.
Nun ist mir aber gerade etwas aufgefallen.
Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.
Beispiel-Szenario: (Visio sei hier nur ein Beispiel!)
Man müsste jetzt als WSUS-Admin erst wissen (mitbekommen), dass da plötzlich MS Visio 2016 auf einem Client installiert wurde. Erst dann wird man auf die Idee kommen, die betreffenden Updates auf dem Server für irgendeine Dummy-Gruppe zu genehmigen, weil nur so kann man den Status "abgelehnt" wieder aufheben. Dann kann man sich erneut für die Computer die erforderlichen Updates anzeigen lassen und die fehlenden Visio-Updates genehmigen. Alle übrigen kann man dann wieder ablehnen.
Das ist doch Nonsens!
Mache ich was falsch? Habe ich einen Denkfehler?
E.
ein gängiges Verfahren, welche Updates man am WSUS-Server genehmigen soll und welche nicht, beruft sich darauf, dass man sich einfach anzeigen lassen soll, welche Updates als "erforderlich" gelten. Und diese dann für die betreffende Computergruppe genehmigen. Natürlich nur, sofern keine Gegenanzeige vorliegt, z.B. weil irgendein Softwarehersteller sagt, dass ein bestimmtest Update nicht installiert werden darf, damit die betreffende Software dieses Herstellers weiterhin funktioniert.
Anschließend - wenn man das für alle Computergruppen (Computer) erledigt hat - kann man alle nicht-genehmigten Updates explizit ablehnen, damit diese beim nächsten Aufräumvorgang vom WSUS-Server gelöscht werden, um dort den Platz freizugeben.
Soweit, so gut.
Nun ist mir aber gerade etwas aufgefallen.
Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.
Beispiel-Szenario: (Visio sei hier nur ein Beispiel!)
- Man geht nach eigangs beschriebenen Verfahren vor.
- Man hat noch keine Client mit MS Visio 29016.
- Die Updates für MS Visio 2016 werden deshalb nie als erforderlich angezeigt.
- Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.
- Jetzt wird der erste Client mit MS Visio 2016 betankt.
- Die Updates für MS Visio 2016 werden weiterhin nicht als erforderlich angezeigt, weil sie abgelehnt sind.
- Man bekommt so keinen Hinweis, dass diese Updates noch benötigt werden.
- Erst wenn neue Updates für MS Visio 2016 erscheinen tauchen diese im "Erforderlich"-Report auf.
Man müsste jetzt als WSUS-Admin erst wissen (mitbekommen), dass da plötzlich MS Visio 2016 auf einem Client installiert wurde. Erst dann wird man auf die Idee kommen, die betreffenden Updates auf dem Server für irgendeine Dummy-Gruppe zu genehmigen, weil nur so kann man den Status "abgelehnt" wieder aufheben. Dann kann man sich erneut für die Computer die erforderlichen Updates anzeigen lassen und die fehlenden Visio-Updates genehmigen. Alle übrigen kann man dann wieder ablehnen.
Das ist doch Nonsens!
Mache ich was falsch? Habe ich einen Denkfehler?
E.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 475214
Url: https://administrator.de/forum/wsus-erforderlich-updates-475214.html
Ausgedruckt am: 08.04.2025 um 23:04 Uhr
25 Kommentare
Neuester Kommentar
Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.
Warum sollte das dämlich sein? MS geht davon aus, dass ein WSUS Admin weiss, welche Updates er abgelehnt hat (und dies wohl mit gutem Grund getan hat ("Wollen Sie wirklich...", "wirklich???", "dein Ernst...?"...)
Demnach ist das Update wohl auch aus Admin und MS Sicht tatsächlich aus gutem Grund nicht mehr als erforderlich markiert.
VG
Die Updates für MS Visio 2016 werden deshalb nie als erforderlich angezeigt.
Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.
Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.
Ich würde den Schritt mit explizit ablehnen einfach sein lassen, und alle nicht erforderrlichen "liegen lassen"
Zitat von @certifiedit.net:
Warum sollte das dämlich sein? MS geht davon aus, dass ein WSUS Admin weiss, welche Updates er abgelehnt hat (und dies wohl mit gutem Grund getan hat ("Wollen Sie wirklich...", "wirklich???", "dein Ernst...?"...)
Demnach ist das Update wohl auch aus Admin und MS Sicht tatsächlich aus gutem Grund nicht mehr als erforderlich markiert.
Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.
Warum sollte das dämlich sein? MS geht davon aus, dass ein WSUS Admin weiss, welche Updates er abgelehnt hat (und dies wohl mit gutem Grund getan hat ("Wollen Sie wirklich...", "wirklich???", "dein Ernst...?"...)
Demnach ist das Update wohl auch aus Admin und MS Sicht tatsächlich aus gutem Grund nicht mehr als erforderlich markiert.
Und da der Admin immer weiß (oder wissen sollte), welche Software auf seinen Systemen eingespielt wird, kann er auch nachträglich seine ehemalige Entscheidung revidieren.
Also: works as designed.
lks
PS: Plattenplatz ist heutzutage billig. Gerade wieder 4 8TB-Platten für meine Datenmüllhalde bestellt.
Hallo,
zu deinem Beispiel.
MS Visio 2016 Updates lehne ich nicht ab. Ich lass diese nicht mal replizieren.
Und ich lehne auch nur Update ab die ich wirklich nicht haben will.
Ich gehnehmige aber auch nur die die explizit von Clients gefordert werden.
zu deinem Beispiel.
MS Visio 2016 Updates lehne ich nicht ab. Ich lass diese nicht mal replizieren.
Und ich lehne auch nur Update ab die ich wirklich nicht haben will.
Ich gehnehmige aber auch nur die die explizit von Clients gefordert werden.
Zitat von @NetzwerkDude:
Ich würde den Schritt mit explizit ablehnen einfach sein lassen, und alle nicht erforderrlichen "liegen lassen"
Ich würde den Schritt mit explizit ablehnen einfach sein lassen, und alle nicht erforderrlichen "liegen lassen"
so mache ich das auch. Mit Ausnahme von absoluten Katastrophen Updates (Ich darf an Sophos erinnern) oder Funktionsupdates. Nur mit dem Hintergrund, dass ich diese nicht irgendwie "aus Versehen" mit durch genehmige. Das kommt aber so selten vor, dass ich das jedes mal noch weiß und diese Updates dann sowieso irgendwann von MS ersetzt werden.
Wsus ist halt eher so die Tee trinken und abwarten Konsole. Ordnung sucht man vergebens. Alleine diese 99% machen mich persönlich ja wahnsinnig :D
@emeriks:
Hallo.
Du tust das also, damit diese beim nächsten Cleanup auch wirklich mit verschwinden?
Würde ich nicht tun.
Um Platz zu sparen bzw. wieder freizumachen, lasse ich den Serverbereinigungsassistenten zwar auch 1 x pro Monat laufen, aber dabei werden auch solche Updates entfernt, die längst in neu(er)en Versionen hinzugekommen sind. Dann sind die veralteten Versionen auf jeden Fall verschwunden, egal ob sie mal genehmigt, einfach nur nicht genehmigt oder explizit abgelehnt wurden. Für mich ist das Platzersparnis/Platzgewinnung genug. Wenn Dir das auch genügen könnte (kenne die Platzverhältnisse auf der Content-Partition Deines WSUS nicht), dann laß' die Ablehnerei doch einfach sein.
Woher weißt Du überhaupt um deren Existenz in Deinem WSUS, wenn diese bis dahin (weil es noch keinen Visio-2016-Client gibt) überhaupt nie als erforderlich angezeigt wurden?
Wenn ich wirklich mal was ablehnen müßte, dann doch nur etwas, von dessen Existenz ich durch die Erforderlich-Anzeige überhaupt etwas mitbekommen habe. Was ich nicht weiß, macht mich …
Laß' die Ablehnerei sein, nicht genehmigen muß genügen, finde ich. Einziges Problem: Die "Erforderlich-Liste" wird länger und unübersichtlicher.
Viele Grüße
von
departure69
Hallo.
Wenn man ein Update explizit abgelehnt hat
Du tust das also, damit diese beim nächsten Cleanup auch wirklich mit verschwinden?
Würde ich nicht tun.
Um Platz zu sparen bzw. wieder freizumachen, lasse ich den Serverbereinigungsassistenten zwar auch 1 x pro Monat laufen, aber dabei werden auch solche Updates entfernt, die längst in neu(er)en Versionen hinzugekommen sind. Dann sind die veralteten Versionen auf jeden Fall verschwunden, egal ob sie mal genehmigt, einfach nur nicht genehmigt oder explizit abgelehnt wurden. Für mich ist das Platzersparnis/Platzgewinnung genug. Wenn Dir das auch genügen könnte (kenne die Platzverhältnisse auf der Content-Partition Deines WSUS nicht), dann laß' die Ablehnerei doch einfach sein.
•Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.
Woher weißt Du überhaupt um deren Existenz in Deinem WSUS, wenn diese bis dahin (weil es noch keinen Visio-2016-Client gibt) überhaupt nie als erforderlich angezeigt wurden?
Wenn ich wirklich mal was ablehnen müßte, dann doch nur etwas, von dessen Existenz ich durch die Erforderlich-Anzeige überhaupt etwas mitbekommen habe. Was ich nicht weiß, macht mich …
Laß' die Ablehnerei sein, nicht genehmigen muß genügen, finde ich. Einziges Problem: Die "Erforderlich-Liste" wird länger und unübersichtlicher.
Viele Grüße
von
departure69
Moin,
das Problem hast du gut erkannt. Kenne dafür jetzt auch keine Lösung.
Ich würde aber ebenfalls vorschlagen, diese Updates einfach nicht abzulehnen, nur weil sie aktuell nicht gebraucht werden. Ich sehe darin auch kein wirklichen Mehrwert? Warum genau tust du das so?
Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen. Denn die werden wirklich nicht mehr gebraucht. Dazu reicht es aber nicht, entsprechendes Häkchen bei der Bereinigung zu setzen. Du musst in der Updateübersicht den Reiter "Ersatz" anzeigen lassen. Hier dann manuell alle, die bereits ersetzt wurde, ablehnen. Die, die nicht ersetzt wurden oder kein entsprechendes Symbol haben, solltest du behalten.
So benötigt mein WSUS aktuell nur ca 85 GB. Und das behinhalten u.a. WinSrv2008R2, WinSrv2016, Exchange2016, Win7, Win10 Office2010, Office2016.
Gruß
das Problem hast du gut erkannt. Kenne dafür jetzt auch keine Lösung.
Ich würde aber ebenfalls vorschlagen, diese Updates einfach nicht abzulehnen, nur weil sie aktuell nicht gebraucht werden. Ich sehe darin auch kein wirklichen Mehrwert? Warum genau tust du das so?
Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen. Denn die werden wirklich nicht mehr gebraucht. Dazu reicht es aber nicht, entsprechendes Häkchen bei der Bereinigung zu setzen. Du musst in der Updateübersicht den Reiter "Ersatz" anzeigen lassen. Hier dann manuell alle, die bereits ersetzt wurde, ablehnen. Die, die nicht ersetzt wurden oder kein entsprechendes Symbol haben, solltest du behalten.
So benötigt mein WSUS aktuell nur ca 85 GB. Und das behinhalten u.a. WinSrv2008R2, WinSrv2016, Exchange2016, Win7, Win10 Office2010, Office2016.
Gruß
Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.
lks
Zitat von @Lochkartenstanzer:
Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.
lks
Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.
lks
Schon richtig, wobei das natürlich auf die Umgebnung und auch auf das Alter des WSUS ankommt und da dann doch einiges zusammenkommen kann.
Dazu bietet das Ablehnen der ersetzen Updates noch ein weiteren Vorteil: Diese werden auch von den Clients nicht mehr installiert und der Updateprozess geht somit schneller. Denn obwohl diese eigentlich nicht mehr benötigt werden, werden diese trotzdem unnötigerweise installiert und im WSUS trotzdem als benötigt angezeigt (deshalb funktioniert das über die Bereinigung auch nicht).
Kann man, wenn man das nicht glauben möchte, auch einfach testen, indem man bei den kumulativen Updates zuerst das aktuelle installiert und nochnmal neu suchen lässt. Danach wird er die vorherigen nicht mehr haben wollen.
Zitat von @ArnoNymous:
Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen.
Software-Hersteller A teilt mit, dass das neueste Update in einer Reihe (noch) nicht installiert werden. Sagen wir mal, er gibt die Freigabe erst nach einem Vierteljahr. Inzwischen können aber für diese Software neue Clients hinzukommen. Diese müssen dann bis zu der letzten freigegeben Version dieses Updates, welches inzsichen als "esetzt" angezeigt wird, betankt werden. Wenn ich alle ersetzten Updates aber pauschal ablehnt habe, dann wird dieser neue Client gar nicht mit Updates aus dieser Reihe betankt. Das geht natürlich nicht.Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen.
Ich würde aber ebenfalls vorschlagen, diese Updates einfach nicht abzulehnen, nur weil sie aktuell nicht gebraucht werden. Ich sehe darin auch kein wirklichen Mehrwert? Warum genau tust du das so?
Wir haben nicht nur einen WSUS, sondern zig Downstream an den Standorten. Dort haben wir oftmals nur schlanke Storage. Wenn wir nicht konsequent nicht benötigte Updates ablehnen, dann bleiben diese auf den Platten.Zitat von @Lochkartenstanzer:
Und da der Admin immer weiß (oder wissen sollte), welche Software auf seinen Systemen eingespielt wird, kann er auch nachträglich seine ehemalige Entscheidung revidieren.
Bei Betreunung einer kleinen Arztpraxis o.ä. sollte das so sein.Und da der Admin immer weiß (oder wissen sollte), welche Software auf seinen Systemen eingespielt wird, kann er auch nachträglich seine ehemalige Entscheidung revidieren.
Bei einem Rechenzentrum mit >= 300 Anwendungen und zig Ausnahme-Computergruppen im WSUS verlierst Du bei 120.000 Updates im ersten Atemzug komplett den Überblick.
Bei der Menge würde ich auch nicht WSUS einsetzen. Klares Statement
/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Zitat von @emeriks:
Zitat von @ArnoNymous:
Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen.
Software-Hersteller A teilt mit, dass das neueste Update in einer Reihe (noch) nicht installiert werden. Sagen wir mal, er gibt die Freigabe erst nach einem Vierteljahr. Inzwischen können aber für diese Software neue Clients hinzukommen. Diese müssen dann bis zu der letzten freigegeben Version dieses Updates, welches inzsichen als "esetzt" angezeigt wird, betankt werden. Wenn ich alle erstzten Updates aber pauschal ablehnt habe, dann wird dieser neue Client gar nicht mit Updates aus dieser Reihe betankt. Das geht natürlich nicht.Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen.
Und wenn du diese eben erst ablehnst, wenn du die neuen genehmigt hast?
Zitat von @ArnoNymous:
Dazu bietet das Ablehnen der ersetzen Updates noch ein weiteren Vorteil: Diese werden auch von den Clients nicht mehr installiert und der Updateprozess geht somit schneller.
Genau.Dazu bietet das Ablehnen der ersetzen Updates noch ein weiteren Vorteil: Diese werden auch von den Clients nicht mehr installiert und der Updateprozess geht somit schneller.
Denn obwohl diese eigentlich nicht mehr benötigt werden, werden diese trotzdem unnötigerweise installiert und im WSUS trotzdem als benötigt angezeigt (deshalb funktioniert das über die Bereinigung auch nicht).
Normalerweise nicht. Ersetzte Updates werden nicht installiert, wenn das ersetzende ebenfalls zur Installation genehmigt ist. Es sei denn, sie bedingen einander. Diesesen seltsamen Fall hatten wir auch schon mal. Leider wird das bei den Updates nicht immer angezeigt.
Ja natürlich. Aber ich kann nicht pauschal alle ersetzten Updates einfach so ablehnen.
Zitat von @Ex0r2k16:
/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Damit verlagert das man das Problem nur von einer Software auf die andere./Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Zitat von @Lochkartenstanzer:
Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.
Das ist sehr kurz gesehen.Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.
Update-Zeiten, WSUS-Serverwartungen, Replikation der Server, Datenbank-Timeouts.
Mal abgesehen davon, das beim Suchen nach dem Wesentlichen abgelenkt wird.
Zitat von @departure69:
aber dabei werden auch solche Updates entfernt, die längst in neu(er)en Versionen hinzugekommen sind. Dann sind die veralteten Versionen auf jeden Fall verschwunden, egal ob sie mal genehmigt, einfach nur nicht genehmigt oder explizit abgelehnt wurden.
Das kann ich so nicht bestätigen.aber dabei werden auch solche Updates entfernt, die längst in neu(er)en Versionen hinzugekommen sind. Dann sind die veralteten Versionen auf jeden Fall verschwunden, egal ob sie mal genehmigt, einfach nur nicht genehmigt oder explizit abgelehnt wurden.
Woher weißt Du überhaupt um deren Existenz in Deinem WSUS, wenn diese bis dahin (weil es noch keinen Visio-2016-Client gibt) überhaupt nie als erforderlich angezeigt wurden?
Weil sie in der allgemeinen Liste auftauchen.Visio war jetzt nur ein spezielle Beispiel.
Wenn man z.B. als WSUS-Admin nicht weiß, ob auf einem der 10.000 Clients nicht doch noch ein IE8 läuft, weil irgendeine uralte Software das noch so verlangt, dann könnte man sich zurücklehnen und pauschal alle IE8-Updates ablehnen. Wenn dann die Bude brennt, wird sich der Applikations-Admin hinstellen und sagen: "Es wurden doch keine IE8-Updates zum installieren angezeigt." Und dann muss man als WSUS-Admin erklären, warum das so war.
Okay, mal anders herum.
Hast du die Option "Updates nur herunterladen, wenn diese genehmigt sind" aktiviert?
Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
Hast du die Option "Updates nur herunterladen, wenn diese genehmigt sind" aktiviert?
Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
1Zitat von @ArnoNymous:
Hast du die Option "Updates nur herunterladen, wenn diese genehmigt sind" aktiviert?
Ja ,das ist aktiviert.Hast du die Option "Updates nur herunterladen, wenn diese genehmigt sind" aktiviert?
Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
Und ja, das ist korrekt.Bis auf den einen Spezialfall, dass, wenn ein Update einmal genehmigt war, es dann nicht wieder gelöscht wird, wenn es nicht mehr genehmigt ist. Dann wird es erst wieder gelöscht, wenn es abgelehnt wird.
Oder?
Zitat von @emeriks:
Bis auf den einen Spezialfall, dass, wenn ein Update einmal genehmigt war, es dann nicht wieder gelöscht wird, wenn es nicht mehr genehmigt ist. Dann wird es erst wieder gelöscht, wenn es abgelehnt wird.
Oder?
Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
Und ja, das ist korrekt.Bis auf den einen Spezialfall, dass, wenn ein Update einmal genehmigt war, es dann nicht wieder gelöscht wird, wenn es nicht mehr genehmigt ist. Dann wird es erst wieder gelöscht, wenn es abgelehnt wird.
Oder?
Kann ich nicht beantworten. Müsste man mal testen.
Aber ist das Szenario relevant bei dir? Kommt das so oft vor, dass der Speicherplatz davon tatsächlich interessant ist?
Edit: ich habe es mal getestet. Nicht mehr genehmigte Updates werden bei einer Bereinigung nicht gelöscht. Jedenfalls nicht sofort. Müsste man die 30 Tage mal abwarten. Eventuell ja dann.
Mir ist eben gerade selbst noch ein Ansatz eingefallen.
Aufgefallen ist mir das Ganze im Zusammenhang mit ersetzten Updates, welche als erforderlich angezeigt wurden. Da gab es Update-Ketten, bei welchen
Wenn man festlegt, dass nicht ersetzte Updates niemals explizit abglehnt werden, dann hat man diese für den Fall der Fälle immer für die Auswertung der erforderlichen Updates parat.
Welche Updatekategorien überhaupt heruntergeladen werden, das stellt man ja generell global am Server ein. Somit sollte sich der Ballast an (noch) nicht benötigten aber auch nicht abgelehnten Updates in Grenzen halten. Ein Mittelweg.
Aufgefallen ist mir das Ganze im Zusammenhang mit ersetzten Updates, welche als erforderlich angezeigt wurden. Da gab es Update-Ketten, bei welchen
- kein ersetztes aufgeführt wurde
- 2-4 ersetzte aufgeführt wurden
- >4 ersetzte aufgeführt wurden
Wenn man festlegt, dass nicht ersetzte Updates niemals explizit abglehnt werden, dann hat man diese für den Fall der Fälle immer für die Auswertung der erforderlichen Updates parat.
Welche Updatekategorien überhaupt heruntergeladen werden, das stellt man ja generell global am Server ein. Somit sollte sich der Ballast an (noch) nicht benötigten aber auch nicht abgelehnten Updates in Grenzen halten. Ein Mittelweg.
Zitat von @ArnoNymous:
Aber ist das Szenario relevant bei dir? Kommt das so oft vor, dass der Speicherplatz davon tatsächlich interessant ist?
Das summiert sich im Laufe der Jahre.Aber ist das Szenario relevant bei dir? Kommt das so oft vor, dass der Speicherplatz davon tatsächlich interessant ist?
Wenn man es "richtig" machen will, dann testet man ja erst im Labor.
Zitat von @emeriks:
Mir ist eben gerade selbst noch ein Ansatz eingefallen.
Aufgefallen ist mir das Ganze im Zusammenhang mit ersetzten Updates, welche als erforderlich angezeigt wurden. Da gab es Update-Ketten, bei welchen
Wenn man festlegt, dass nicht ersetzte Updates niemals explizit abglehnt werden, dann hat man diese für den Fall der Fälle immer für die Auswertung der erforderlichen Updates parat.
Welche Updatekategorien überhaupt heruntergeladen werden, das stellt man ja generell global am Server ein. Somit sollte sich der Ballast an (noch) nicht benötigten aber auch nicht abgelehnten Updates in Grenzen halten. Ein Mittelweg.
Mir ist eben gerade selbst noch ein Ansatz eingefallen.
Aufgefallen ist mir das Ganze im Zusammenhang mit ersetzten Updates, welche als erforderlich angezeigt wurden. Da gab es Update-Ketten, bei welchen
- kein ersetztes aufgeführt wurde
- 2-4 ersetzte aufgeführt wurden
- >4 ersetzte aufgeführt wurden
Wenn man festlegt, dass nicht ersetzte Updates niemals explizit abglehnt werden, dann hat man diese für den Fall der Fälle immer für die Auswertung der erforderlichen Updates parat.
Welche Updatekategorien überhaupt heruntergeladen werden, das stellt man ja generell global am Server ein. Somit sollte sich der Ballast an (noch) nicht benötigten aber auch nicht abgelehnten Updates in Grenzen halten. Ein Mittelweg.
Ich glaube auch, das dein Ansatz hier der richtige ist. Stellen wir mal die Behauptung auf, das für ein ersetztes Update immer ein ersetzendes Update vorhanden ist und dieses ersetzende Update gewissermassen cumulativ ist. Somit würde doch nach einer Softwareinstallation, von der du keine Kenntnis bekommst, immer das aktuellste Update für diese Software im WSUS als "Nicht genehmigt/Erforderlich" angezeigt.
Daraus wiederum ergibt sich ja die Logik "Ersetzte Updates können abgelehnt werden, da immer ein ersetzendes Update vorhanden ist".
Wenn du dann noch den Ballast reduzieren willst, dann lasse die Updates erst herunterladen, wenn sie genehmigt sind.
Oder MS rüstet im WSUS eine Funktion nach, die auf "Abgelehnt und Erforderlich" filtert. Was definitiv komfortabler wäre, wenn
man mal versehentlich zuviel abgelehnt hat.
Gruß NV
Zitat von @emeriks:
Zitat von @Ex0r2k16:
/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Damit verlagert das man das Problem nur von einer Software auf die andere./Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Ähm...nö? Bei Baramundi war das Patchen immer sehr angenehm. Kein Vergleich zum Wsus. Die "Konsole" ist besser, die Übersicht, die Fehler pro KB und und und.... aber OK, das ist nur meine Meinung
