24
WSUS Lädt (zu?) viele Updates
Hallo Leute,
habe mich jetzt zum ersten mal ein wenig mit dem WSUS (auf einem WIndows Server 2012 R2) auseinader gesetzt.
Als Produkte habe ich folgendes ausgewählt.
-Windows 7
-Windows 8
-Windows 8.1
-Windows Server 2008
-Windows Server 2008 R2
-Windows Server 2012
-Windows Server 2012 R2
-Windows Defender
-SQL 2012
-SQL 2008
-Lync 2010
-Microsoft Security Essentials
- Office 2010
- Office 2013
(Also mehr oder weniger alles was wir nun einmal so einsetzen).
Als Klassifizierungen habe ich alles ausser Treiber, Feature Packs und Tools angegeben.
Das alles lade in englisch und spanisch (da ich derzeit in Chile arbeite).
Jetzt Sehe ich hier im WSUS was von über 20.000 Updates.
Das kommt mir dann aber doch ein wenig heftig vor; oder sehe ich das falsch?
In einigen Beiträgen mit Screenshots hatten die Verfasser maximal 3000 Updates.
Bläst vielleicht eines der oben genannten Produkte oder eine der Klassifizierungen die Anzahl so auf ?
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
habe mich jetzt zum ersten mal ein wenig mit dem WSUS (auf einem WIndows Server 2012 R2) auseinader gesetzt.
Als Produkte habe ich folgendes ausgewählt.
-Windows 7
-Windows 8
-Windows 8.1
-Windows Server 2008
-Windows Server 2008 R2
-Windows Server 2012
-Windows Server 2012 R2
-Windows Defender
-SQL 2012
-SQL 2008
-Lync 2010
-Microsoft Security Essentials
- Office 2010
- Office 2013
(Also mehr oder weniger alles was wir nun einmal so einsetzen).
Als Klassifizierungen habe ich alles ausser Treiber, Feature Packs und Tools angegeben.
Das alles lade in englisch und spanisch (da ich derzeit in Chile arbeite).
Jetzt Sehe ich hier im WSUS was von über 20.000 Updates.
Das kommt mir dann aber doch ein wenig heftig vor; oder sehe ich das falsch?
In einigen Beiträgen mit Screenshots hatten die Verfasser maximal 3000 Updates.
Bläst vielleicht eines der oben genannten Produkte oder eine der Klassifizierungen die Anzahl so auf ?
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262300
Url: https://administrator.de/contentid/262300
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
24 Kommentare
Neuester Kommentar
Moin.
Allein der Windows Defender bekommt doch mehrfach täglich Updates. 20.000 kann schon angehen.
Frage Dich: wozu will ich den Überblick behalten? Und worüber? Trotz tausender Updates kannst Du doch "eingreifen", wenn nötig.
Allein der Windows Defender bekommt doch mehrfach täglich Updates. 20.000 kann schon angehen.
Frage Dich: wozu will ich den Überblick behalten? Und worüber? Trotz tausender Updates kannst Du doch "eingreifen", wenn nötig.
In deinem Fall wird die Klassifizierung Treiber deine Updateanzahl wohl so dermaßen hochschrauben. Ich hab im TechNet dazu vor einigen Jahren schon einen Beitrag gefunden, der bereits 2008 von ca. 12.000 Treibern sprach, die der WSUS herunterlädt, wenn man diese Klassifizierung aktiviert. Da wir inzwischen 2015 schreiben, werden bei dir mit sicherlich bis zu 10.000 WSUS Elemente durch Treiber verursacht. Microsoft hat wie im Artikel zu lesen was ändern wollen und das inzwischen wohl auch getan.
http://blogs.technet.com/b/sus/archive/2008/08/20/a-large-number-of-dri ...
Die Frage ist eher, ob du die Treiber überhaupt über den WSUS bereitstellen musst. Installiert ihr denn häufig PCs oder Server mit besonderer Hardware neu oder setzt ihr viele Geräte ein, die immer zusätzliche Treiber benötigen und diese dann vom WSUS bekommen? Wenn ihr Ware von der Stange einsetzt und der ein oder veraltete Treiber nicht gleich zum Problem würde, dann könntest du die Treiber im WSUS deaktivieren.
Gruß Christian
CTO @ www.mgn-computing.de
http://blogs.technet.com/b/sus/archive/2008/08/20/a-large-number-of-dri ...
Die Frage ist eher, ob du die Treiber überhaupt über den WSUS bereitstellen musst. Installiert ihr denn häufig PCs oder Server mit besonderer Hardware neu oder setzt ihr viele Geräte ein, die immer zusätzliche Treiber benötigen und diese dann vom WSUS bekommen? Wenn ihr Ware von der Stange einsetzt und der ein oder veraltete Treiber nicht gleich zum Problem würde, dann könntest du die Treiber im WSUS deaktivieren.
Gruß Christian
CTO @ www.mgn-computing.de
1
Er nimmt keine Treiber.
Oh du hast Recht ! 
Naja viel Text für nichts
Ich schau mal eben in unsere WSUS rein, wie viele Updates die drin haben.
Naja viel Text für nichts
Ich schau mal eben in unsere WSUS rein, wie viele Updates die drin haben.
Das stimmt inzwischen lade ich keine Treiber mehr.
Ich hatte jedoch vergessen zu erwähnen, dass ich anfangs Treiber ausgewählt hatte. Ich habe diese später aber wieder herausgenommen.
Kann es sein, dass die Treiber, auch wenn ich sie wieder abgewählt habe, trotzdem noch in der Datenbank mitgezählt werden und nicht verschwinden?
Kann man denn die Datenbak irgendwie wieder zurücksetzen?
Ich hatte jedoch vergessen zu erwähnen, dass ich anfangs Treiber ausgewählt hatte. Ich habe diese später aber wieder herausgenommen.
Kann es sein, dass die Treiber, auch wenn ich sie wieder abgewählt habe, trotzdem noch in der Datenbank mitgezählt werden und nicht verschwinden?
Kann man denn die Datenbak irgendwie wieder zurücksetzen?
Hast du denn nachdem deaktivieren der Treiber eine Serverbereinigung durchgeführt? Nur dann werden die Updates, Patches bzw. Treiber aus ehemals ausgewählten Kategorie auch vom Server entfernt.
Eine Bereinigung sollte man auch so ab und an mal machen. Wir machen Sie 1x pro Halbjahr, damit auch alle ersetzten und abgelaufenen Updates aus der DB entfernt werden. Aber Vorsicht: Die Bereinigung kann durchaus auch mal einige Tage dauern und die WSUS Konsole zeigt dann auch gerne mal keine Rückmeldung bis die Bereinigung abgeschlossen ist.
Die Bereinigung findest du unter Optionen -> Assistent zur Serverbereinigung
Eine Bereinigung sollte man auch so ab und an mal machen. Wir machen Sie 1x pro Halbjahr, damit auch alle ersetzten und abgelaufenen Updates aus der DB entfernt werden. Aber Vorsicht: Die Bereinigung kann durchaus auch mal einige Tage dauern und die WSUS Konsole zeigt dann auch gerne mal keine Rückmeldung bis die Bereinigung abgeschlossen ist.
Die Bereinigung findest du unter Optionen -> Assistent zur Serverbereinigung
Mhh hat bei mir leider nichts gebracht.
Habe sogar mal nur:
Windows 7
Windows 8.1
Windows Server 2008 R2
Windows Server 20012 R2
ausgewählt und die Bereinigung ausgeführt. Er sagt mir aber immer noch 20.000 Updates.
Auch ein WsusUtil RESET hat mich nicht viel weiter gebracht
Habe sogar mal nur:
Windows 7
Windows 8.1
Windows Server 2008 R2
Windows Server 20012 R2
ausgewählt und die Bereinigung ausgeführt. Er sagt mir aber immer noch 20.000 Updates.
Auch ein WsusUtil RESET hat mich nicht viel weiter gebracht
An welche Stelle genau sagt er dir 20.000 Updates? Genehmigte Updates: 20.000?
Ich habe hier gerade einen WSUS vor mir, der alle Klassifizierungen und alle Produkte aktiviert hat. Im Einsatz sind in diesem Netzwerk:
Windows 7
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Office 2010
Office 2013
Exchange 2010
SharePoint 2010
TMG 2010
Sprachen: Deutsch, Englisch und manuell werden regelmäßig Updates in Spanisch, Französisch, Russisch, Italienisch, Arabisch, Polnisch, Rumänisch, Ukrainisch, Ungarisch, Türkisch für Office 2013 hinzugefügt.
Dort sind aktuell aber nur 8900 Updates bei den genehmigten Updates gelistet.
Ich habe hier gerade einen WSUS vor mir, der alle Klassifizierungen und alle Produkte aktiviert hat. Im Einsatz sind in diesem Netzwerk:
Windows 7
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Office 2010
Office 2013
Exchange 2010
SharePoint 2010
TMG 2010
Sprachen: Deutsch, Englisch und manuell werden regelmäßig Updates in Spanisch, Französisch, Russisch, Italienisch, Arabisch, Polnisch, Rumänisch, Ukrainisch, Ungarisch, Türkisch für Office 2013 hinzugefügt.
Dort sind aktuell aber nur 8900 Updates bei den genehmigten Updates gelistet.
So sieht das ganze derzeit aus.
Ich bin wie gesagt hier noch in der Testphase.
http://postimg.org/image/j8imftnm5/
Ich bin wie gesagt hier noch in der Testphase.
http://postimg.org/image/j8imftnm5/
Ah, dann sind es die Treiber. Eine Serverbereinigung nimmt die nicht raus, leider. MS ist zu blöd, das korrekt zu programmieren, wie es scheint. Man muss manuell ran: http://www.flexecom.com/how-to-delete-driver-updates-from-wsus-3-0/
Ich kann morgen bei der Arbeit nochmal checken, ob ich das Skript aufgehoben habe, dass ich einst benutzt hatte, es könnte der POwershell-3-Zeiler aus meinem Link sein - hatte auch >10.000 Treiber drin, was den WSUS stark ausgebremst hat - die Bereinigung der WSUS-Konsole half definitiv nicht, obwohl alle Treiber abgelehnt waren.
Ich kann morgen bei der Arbeit nochmal checken, ob ich das Skript aufgehoben habe, dass ich einst benutzt hatte, es könnte der POwershell-3-Zeiler aus meinem Link sein - hatte auch >10.000 Treiber drin, was den WSUS stark ausgebremst hat - die Bereinigung der WSUS-Konsole half definitiv nicht, obwohl alle Treiber abgelehnt waren.
Scheinen dann wohl doch die Treiber zu sein und die Bereinigung diese nicht zu entfernen. Da wir Treiber bisher noch nie aktiviert und später deaktiviert haben, war mir nicht klar, dass der WSUS mit der Entfernung von Treibern wohl nicht klar kommt.
Vielleicht findet DerWoWusste ja noch sein altes Skript.
Vielleicht findet DerWoWusste ja noch sein altes Skript.
Hallo zusammen
Die Bereinigung im WSUS löscht meines Wissens sowieso erst nach 30 Tagen. Somit werden die nicht benutzten Treiber auch erst nach den 30 Tagen entfernt
Gruss Urs
Die Bereinigung im WSUS löscht meines Wissens sowieso erst nach 30 Tagen. Somit werden die nicht benutzten Treiber auch erst nach den 30 Tagen entfernt
Gruss Urs
Moin Urs.
Auch nach Jahren wurden die Treiber nicht gelöscht. Bereinigt hatte ich mehrfach. Alles andere wurde gelöscht.
Auch nach Jahren wurden die Treiber nicht gelöscht. Bereinigt hatte ich mehrfach. Alles andere wurde gelöscht.
@DerWoWusste:
Kann ich bestätigen.
Habe mal einen WSUS, der für eine Außenstelle gedacht war, in der Hauptstelle vom Haupt-WSUS betankt (damit, sobald der Server in die Außenstelle verbracht ist, nicht alles mit schmaler Leitung von Microsoft gesaugt werden muß).
In dieser Phase lassen sich gar keine Produkte und Klassifizierungen auswählen, der Server, der betankt wird, kriegt erstmal alles, was der Haupt-WSUS so an Bord hat. Später, nachdem die Peplikation/Synchronisation fertig war und der WSUS in der Außenstelle stand, habe ich dort dann den Microsoft-Download für die weitere Zukunft eingestellt und konnte danach auch Produkte und Klassifizierungen auswählen. Ich war der Meinung, daß alle anderen Updates, die ich in der Außenstelle infolge viel geringerer Auswahl von Produkten und Klassifizierungen nicht brauche, durch eine Serverbereinigung nach 30 Tagen verschwinden. Pustekuchen, nichts wurde weniger, nichts wurde kleiner. Ich hab' dann alles, was ich nicht brauche, in der Listenansicht von Hand (!) abgelehnt (viele, viele Mausklicks), und nach weiteren 30 Tagen wurde ich all das durch die nächste Serverbereinigung los.
Grüße
von
departure69
Kann ich bestätigen.
Habe mal einen WSUS, der für eine Außenstelle gedacht war, in der Hauptstelle vom Haupt-WSUS betankt (damit, sobald der Server in die Außenstelle verbracht ist, nicht alles mit schmaler Leitung von Microsoft gesaugt werden muß).
In dieser Phase lassen sich gar keine Produkte und Klassifizierungen auswählen, der Server, der betankt wird, kriegt erstmal alles, was der Haupt-WSUS so an Bord hat. Später, nachdem die Peplikation/Synchronisation fertig war und der WSUS in der Außenstelle stand, habe ich dort dann den Microsoft-Download für die weitere Zukunft eingestellt und konnte danach auch Produkte und Klassifizierungen auswählen. Ich war der Meinung, daß alle anderen Updates, die ich in der Außenstelle infolge viel geringerer Auswahl von Produkten und Klassifizierungen nicht brauche, durch eine Serverbereinigung nach 30 Tagen verschwinden. Pustekuchen, nichts wurde weniger, nichts wurde kleiner. Ich hab' dann alles, was ich nicht brauche, in der Listenansicht von Hand (!) abgelehnt (viele, viele Mausklicks), und nach weiteren 30 Tagen wurde ich all das durch die nächste Serverbereinigung los.
Grüße
von
departure69
Das gilt nicht für Treiber, kannst Du auch im Internet x-mal so lesen, ein bekanntes Problem.
Moin.
Indem man einfach nen Filter auf "Erforderlich" setzt, dann werden eben nur selbige Updates angezeigt.
20.000 Einträge in der WSUS-Datenbank sind absolut nicht wild, heruntergeladen werden ja nur die genehmigten Updates.
Also eigentlich alles gut.
Cheers,
jsysde
Zitat von @MichiD41:
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?
Indem man einfach nen Filter auf "Erforderlich" setzt, dann werden eben nur selbige Updates angezeigt.
20.000 Einträge in der WSUS-Datenbank sind absolut nicht wild, heruntergeladen werden ja nur die genehmigten Updates.
Also eigentlich alles gut.
Cheers,
jsysde
Hi Jungs,
habe mich dazu entschlossen (da ich ohnehin noch in der Testphase war) den WSUS komplett neu zu installieren.
Jetzt bin ich bei den oben ausgewählten Produkten und Klassifizierungen bei ca 5000 Updates.
Das sieht doch schon deutlich besser aus. Im endeffekt waren es tatsächlich die Treiber die das ganze explodieren haben lassen.
Das "Gesetz der grössten Gemeinheit" gibt natürlich vor, das ausgerechnet diese Treiber sich nicht ohne weiteres aus der Datenbank entfernen lassen.
Danke für eure Antworten und schönen Tag noch.
habe mich dazu entschlossen (da ich ohnehin noch in der Testphase war) den WSUS komplett neu zu installieren.
Jetzt bin ich bei den oben ausgewählten Produkten und Klassifizierungen bei ca 5000 Updates.
Das sieht doch schon deutlich besser aus. Im endeffekt waren es tatsächlich die Treiber die das ganze explodieren haben lassen.
Das "Gesetz der grössten Gemeinheit" gibt natürlich vor, das ausgerechnet diese Treiber sich nicht ohne weiteres aus der Datenbank entfernen lassen.
Danke für eure Antworten und schönen Tag noch.
das ausgerechnet diese Treiber sich nicht ohne weiteres aus der Datenbank entfernen lassen.
Ich hatte Dir das Skript dazu verlinkt... Du musst es nur nutzen. Hiermit hatte ich die Treiber gekillt:[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
$wsus.getupdates() | Where {$_.UpdateClassificationTitle -eq 'Drivers'} | ForEach-Object { $wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed } !Achtung: das dauert ewig, über's Wochenende laufen lassen.
1
Danke für das Script! Gleich mal in unsere Doku übernommen, falls wir mal vor dem Problem stehen. Dann haben unsere Techniker direkt die Lösung zur Hand ;)
Gruß
Christian
Gruß
Christian
War anders gemeint
Da ich bereits gelesen hatte das die Geschichte ewig dauert und ich eh gerade erst mit dem WSUS angefangen hatte, hielt ich es für die schnellere und im Endeffekt sauberere Lösung den WSUS einfach neu zu installieren.
Vielen Dank trotzdem nochmal für deine Unterstützung.
Da ich bereits gelesen hatte das die Geschichte ewig dauert und ich eh gerade erst mit dem WSUS angefangen hatte, hielt ich es für die schnellere und im Endeffekt sauberere Lösung den WSUS einfach neu zu installieren.
Vielen Dank trotzdem nochmal für deine Unterstützung.
Ist es eigentlich möglich die Client-Betriebssysteme oder den WSUS so zu konfigurieren, dass Treiber einfach direkt von den Microsoft-Severn bezogen werden? (ohne diese auf dem WSUS alle vorzuhalten?)
Hallo
Du kannst die Updates von Microsoft beziehen lassen:
Dies bezieht sich dann meines Wissens auf alle Dateien, es ist nicht möglich, Updates lokal zu beziehen, und Treiber vom Microsoft Server
Gruss Urs
Du kannst die Updates von Microsoft beziehen lassen:
Dies bezieht sich dann meines Wissens auf alle Dateien, es ist nicht möglich, Updates lokal zu beziehen, und Treiber vom Microsoft Server
Gruss Urs
Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).
Zitat von @flyingKangaroo:
Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).
Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).
Hallo.
So isses. Und das hat mehrere Gründe:
- nicht alle Hardwarehersteller kooperieren hier mit Microsoft, wohl auch aus Kostengründen, also würden trotzdem immer irgendwelche Treiber fehlen, die dann wie eh und je manuell besorgt werden müssen
- die Aktualität der bereitgestellten Treiber darf in vielen Fällen stark bezweifelt werden
- die reine Datenmenge im WSUSContent-Verzeichnis steigt durch Treiber unglaublich an, mitunter mehr als doppelt soviel Speicherplatz wird benötigt als ohne Treiber
- je nach Hardware/Leistungsfähigkeit kann der WSUS-Server durch das Vorhalten von Treibern derart langsam werden, daß er kaum noch zu gebrauchen ist, ich hab' da schon nahezu unbedienbare WSUS-Konsolen gesehen
Viele Grüße
von
departure69
