WSUS Lädt (zu?) viele Updates
Hallo Leute,
habe mich jetzt zum ersten mal ein wenig mit dem WSUS (auf einem WIndows Server 2012 R2) auseinader gesetzt.
Als Produkte habe ich folgendes ausgewählt.
-Windows 7
-Windows 8
-Windows 8.1
-Windows Server 2008
-Windows Server 2008 R2
-Windows Server 2012
-Windows Server 2012 R2
-Windows Defender
-SQL 2012
-SQL 2008
-Lync 2010
-Microsoft Security Essentials
- Office 2010
- Office 2013
(Also mehr oder weniger alles was wir nun einmal so einsetzen).
Als Klassifizierungen habe ich alles ausser Treiber, Feature Packs und Tools angegeben.
Das alles lade in englisch und spanisch (da ich derzeit in Chile arbeite).
Jetzt Sehe ich hier im WSUS was von über 20.000 Updates.
Das kommt mir dann aber doch ein wenig heftig vor; oder sehe ich das falsch?
In einigen Beiträgen mit Screenshots hatten die Verfasser maximal 3000 Updates.
Bläst vielleicht eines der oben genannten Produkte oder eine der Klassifizierungen die Anzahl so auf ?
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
habe mich jetzt zum ersten mal ein wenig mit dem WSUS (auf einem WIndows Server 2012 R2) auseinader gesetzt.
Als Produkte habe ich folgendes ausgewählt.
-Windows 7
-Windows 8
-Windows 8.1
-Windows Server 2008
-Windows Server 2008 R2
-Windows Server 2012
-Windows Server 2012 R2
-Windows Defender
-SQL 2012
-SQL 2008
-Lync 2010
-Microsoft Security Essentials
- Office 2010
- Office 2013
(Also mehr oder weniger alles was wir nun einmal so einsetzen).
Als Klassifizierungen habe ich alles ausser Treiber, Feature Packs und Tools angegeben.
Das alles lade in englisch und spanisch (da ich derzeit in Chile arbeite).
Jetzt Sehe ich hier im WSUS was von über 20.000 Updates.
Das kommt mir dann aber doch ein wenig heftig vor; oder sehe ich das falsch?
In einigen Beiträgen mit Screenshots hatten die Verfasser maximal 3000 Updates.
Bläst vielleicht eines der oben genannten Produkte oder eine der Klassifizierungen die Anzahl so auf ?
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262300
Url: https://administrator.de/contentid/262300
Ausgedruckt am: 05.11.2024 um 16:11 Uhr
24 Kommentare
Neuester Kommentar
In deinem Fall wird die Klassifizierung Treiber deine Updateanzahl wohl so dermaßen hochschrauben. Ich hab im TechNet dazu vor einigen Jahren schon einen Beitrag gefunden, der bereits 2008 von ca. 12.000 Treibern sprach, die der WSUS herunterlädt, wenn man diese Klassifizierung aktiviert. Da wir inzwischen 2015 schreiben, werden bei dir mit sicherlich bis zu 10.000 WSUS Elemente durch Treiber verursacht. Microsoft hat wie im Artikel zu lesen was ändern wollen und das inzwischen wohl auch getan.
http://blogs.technet.com/b/sus/archive/2008/08/20/a-large-number-of-dri ...
Die Frage ist eher, ob du die Treiber überhaupt über den WSUS bereitstellen musst. Installiert ihr denn häufig PCs oder Server mit besonderer Hardware neu oder setzt ihr viele Geräte ein, die immer zusätzliche Treiber benötigen und diese dann vom WSUS bekommen? Wenn ihr Ware von der Stange einsetzt und der ein oder veraltete Treiber nicht gleich zum Problem würde, dann könntest du die Treiber im WSUS deaktivieren.
Gruß Christian
CTO @ www.mgn-computing.de
http://blogs.technet.com/b/sus/archive/2008/08/20/a-large-number-of-dri ...
Die Frage ist eher, ob du die Treiber überhaupt über den WSUS bereitstellen musst. Installiert ihr denn häufig PCs oder Server mit besonderer Hardware neu oder setzt ihr viele Geräte ein, die immer zusätzliche Treiber benötigen und diese dann vom WSUS bekommen? Wenn ihr Ware von der Stange einsetzt und der ein oder veraltete Treiber nicht gleich zum Problem würde, dann könntest du die Treiber im WSUS deaktivieren.
Gruß Christian
CTO @ www.mgn-computing.de
Hast du denn nachdem deaktivieren der Treiber eine Serverbereinigung durchgeführt? Nur dann werden die Updates, Patches bzw. Treiber aus ehemals ausgewählten Kategorie auch vom Server entfernt.
Eine Bereinigung sollte man auch so ab und an mal machen. Wir machen Sie 1x pro Halbjahr, damit auch alle ersetzten und abgelaufenen Updates aus der DB entfernt werden. Aber Vorsicht: Die Bereinigung kann durchaus auch mal einige Tage dauern und die WSUS Konsole zeigt dann auch gerne mal keine Rückmeldung bis die Bereinigung abgeschlossen ist.
Die Bereinigung findest du unter Optionen -> Assistent zur Serverbereinigung
Eine Bereinigung sollte man auch so ab und an mal machen. Wir machen Sie 1x pro Halbjahr, damit auch alle ersetzten und abgelaufenen Updates aus der DB entfernt werden. Aber Vorsicht: Die Bereinigung kann durchaus auch mal einige Tage dauern und die WSUS Konsole zeigt dann auch gerne mal keine Rückmeldung bis die Bereinigung abgeschlossen ist.
Die Bereinigung findest du unter Optionen -> Assistent zur Serverbereinigung
An welche Stelle genau sagt er dir 20.000 Updates? Genehmigte Updates: 20.000?
Ich habe hier gerade einen WSUS vor mir, der alle Klassifizierungen und alle Produkte aktiviert hat. Im Einsatz sind in diesem Netzwerk:
Windows 7
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Office 2010
Office 2013
Exchange 2010
SharePoint 2010
TMG 2010
Sprachen: Deutsch, Englisch und manuell werden regelmäßig Updates in Spanisch, Französisch, Russisch, Italienisch, Arabisch, Polnisch, Rumänisch, Ukrainisch, Ungarisch, Türkisch für Office 2013 hinzugefügt.
Dort sind aktuell aber nur 8900 Updates bei den genehmigten Updates gelistet.
Ich habe hier gerade einen WSUS vor mir, der alle Klassifizierungen und alle Produkte aktiviert hat. Im Einsatz sind in diesem Netzwerk:
Windows 7
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Office 2010
Office 2013
Exchange 2010
SharePoint 2010
TMG 2010
Sprachen: Deutsch, Englisch und manuell werden regelmäßig Updates in Spanisch, Französisch, Russisch, Italienisch, Arabisch, Polnisch, Rumänisch, Ukrainisch, Ungarisch, Türkisch für Office 2013 hinzugefügt.
Dort sind aktuell aber nur 8900 Updates bei den genehmigten Updates gelistet.
Ah, dann sind es die Treiber. Eine Serverbereinigung nimmt die nicht raus, leider. MS ist zu blöd, das korrekt zu programmieren, wie es scheint. Man muss manuell ran: http://www.flexecom.com/how-to-delete-driver-updates-from-wsus-3-0/
Ich kann morgen bei der Arbeit nochmal checken, ob ich das Skript aufgehoben habe, dass ich einst benutzt hatte, es könnte der POwershell-3-Zeiler aus meinem Link sein - hatte auch >10.000 Treiber drin, was den WSUS stark ausgebremst hat - die Bereinigung der WSUS-Konsole half definitiv nicht, obwohl alle Treiber abgelehnt waren.
Ich kann morgen bei der Arbeit nochmal checken, ob ich das Skript aufgehoben habe, dass ich einst benutzt hatte, es könnte der POwershell-3-Zeiler aus meinem Link sein - hatte auch >10.000 Treiber drin, was den WSUS stark ausgebremst hat - die Bereinigung der WSUS-Konsole half definitiv nicht, obwohl alle Treiber abgelehnt waren.
Scheinen dann wohl doch die Treiber zu sein und die Bereinigung diese nicht zu entfernen. Da wir Treiber bisher noch nie aktiviert und später deaktiviert haben, war mir nicht klar, dass der WSUS mit der Entfernung von Treibern wohl nicht klar kommt.
Vielleicht findet DerWoWusste ja noch sein altes Skript.
Vielleicht findet DerWoWusste ja noch sein altes Skript.
@DerWoWusste:
Kann ich bestätigen.
Habe mal einen WSUS, der für eine Außenstelle gedacht war, in der Hauptstelle vom Haupt-WSUS betankt (damit, sobald der Server in die Außenstelle verbracht ist, nicht alles mit schmaler Leitung von Microsoft gesaugt werden muß).
In dieser Phase lassen sich gar keine Produkte und Klassifizierungen auswählen, der Server, der betankt wird, kriegt erstmal alles, was der Haupt-WSUS so an Bord hat. Später, nachdem die Peplikation/Synchronisation fertig war und der WSUS in der Außenstelle stand, habe ich dort dann den Microsoft-Download für die weitere Zukunft eingestellt und konnte danach auch Produkte und Klassifizierungen auswählen. Ich war der Meinung, daß alle anderen Updates, die ich in der Außenstelle infolge viel geringerer Auswahl von Produkten und Klassifizierungen nicht brauche, durch eine Serverbereinigung nach 30 Tagen verschwinden. Pustekuchen, nichts wurde weniger, nichts wurde kleiner. Ich hab' dann alles, was ich nicht brauche, in der Listenansicht von Hand (!) abgelehnt (viele, viele Mausklicks), und nach weiteren 30 Tagen wurde ich all das durch die nächste Serverbereinigung los.
Grüße
von
departure69
Kann ich bestätigen.
Habe mal einen WSUS, der für eine Außenstelle gedacht war, in der Hauptstelle vom Haupt-WSUS betankt (damit, sobald der Server in die Außenstelle verbracht ist, nicht alles mit schmaler Leitung von Microsoft gesaugt werden muß).
In dieser Phase lassen sich gar keine Produkte und Klassifizierungen auswählen, der Server, der betankt wird, kriegt erstmal alles, was der Haupt-WSUS so an Bord hat. Später, nachdem die Peplikation/Synchronisation fertig war und der WSUS in der Außenstelle stand, habe ich dort dann den Microsoft-Download für die weitere Zukunft eingestellt und konnte danach auch Produkte und Klassifizierungen auswählen. Ich war der Meinung, daß alle anderen Updates, die ich in der Außenstelle infolge viel geringerer Auswahl von Produkten und Klassifizierungen nicht brauche, durch eine Serverbereinigung nach 30 Tagen verschwinden. Pustekuchen, nichts wurde weniger, nichts wurde kleiner. Ich hab' dann alles, was ich nicht brauche, in der Listenansicht von Hand (!) abgelehnt (viele, viele Mausklicks), und nach weiteren 30 Tagen wurde ich all das durch die nächste Serverbereinigung los.
Grüße
von
departure69
Moin.
Indem man einfach nen Filter auf "Erforderlich" setzt, dann werden eben nur selbige Updates angezeigt.
20.000 Einträge in der WSUS-Datenbank sind absolut nicht wild, heruntergeladen werden ja nur die genehmigten Updates.
Also eigentlich alles gut.
Cheers,
jsysde
Zitat von @MichiD41:
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
Indem man einfach nen Filter auf "Erforderlich" setzt, dann werden eben nur selbige Updates angezeigt.
20.000 Einträge in der WSUS-Datenbank sind absolut nicht wild, heruntergeladen werden ja nur die genehmigten Updates.
Also eigentlich alles gut.
Cheers,
jsysde
das ausgerechnet diese Treiber sich nicht ohne weiteres aus der Datenbank entfernen lassen.
Ich hatte Dir das Skript dazu verlinkt... Du musst es nur nutzen. Hiermit hatte ich die Treiber gekillt:[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
$wsus.getupdates() | Where {$_.UpdateClassificationTitle -eq 'Drivers'} | ForEach-Object { $wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed }
!Achtung: das dauert ewig, über's Wochenende laufen lassen.
Zitat von @flyingKangaroo:
Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).
Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).
Hallo.
So isses. Und das hat mehrere Gründe:
- nicht alle Hardwarehersteller kooperieren hier mit Microsoft, wohl auch aus Kostengründen, also würden trotzdem immer irgendwelche Treiber fehlen, die dann wie eh und je manuell besorgt werden müssen
- die Aktualität der bereitgestellten Treiber darf in vielen Fällen stark bezweifelt werden
- die reine Datenmenge im WSUSContent-Verzeichnis steigt durch Treiber unglaublich an, mitunter mehr als doppelt soviel Speicherplatz wird benötigt als ohne Treiber
- je nach Hardware/Leistungsfähigkeit kann der WSUS-Server durch das Vorhalten von Treibern derart langsam werden, daß er kaum noch zu gebrauchen ist, ich hab' da schon nahezu unbedienbare WSUS-Konsolen gesehen
Viele Grüße
von
departure69