michid41
Goto Top

WSUS Lädt (zu?) viele Updates

Hallo Leute,

habe mich jetzt zum ersten mal ein wenig mit dem WSUS (auf einem WIndows Server 2012 R2) auseinader gesetzt.
Als Produkte habe ich folgendes ausgewählt.

-Windows 7
-Windows 8
-Windows 8.1
-Windows Server 2008
-Windows Server 2008 R2
-Windows Server 2012
-Windows Server 2012 R2
-Windows Defender
-SQL 2012
-SQL 2008
-Lync 2010
-Microsoft Security Essentials
- Office 2010
- Office 2013

(Also mehr oder weniger alles was wir nun einmal so einsetzen).

Als Klassifizierungen habe ich alles ausser Treiber, Feature Packs und Tools angegeben.

Das alles lade in englisch und spanisch (da ich derzeit in Chile arbeite).

Jetzt Sehe ich hier im WSUS was von über 20.000 Updates.
Das kommt mir dann aber doch ein wenig heftig vor; oder sehe ich das falsch?
In einigen Beiträgen mit Screenshots hatten die Verfasser maximal 3000 Updates.
Bläst vielleicht eines der oben genannten Produkte oder eine der Klassifizierungen die Anzahl so auf ?


Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?

Content-ID: 262300

Url: https://administrator.de/contentid/262300

Ausgedruckt am: 25.11.2024 um 18:11 Uhr

DerWoWusste
DerWoWusste 04.02.2015 um 22:33:11 Uhr
Goto Top
Moin.

Allein der Windows Defender bekommt doch mehrfach täglich Updates. 20.000 kann schon angehen.
Frage Dich: wozu will ich den Überblick behalten? Und worüber? Trotz tausender Updates kannst Du doch "eingreifen", wenn nötig.
schenke
Lösung schenke 04.02.2015, aktualisiert am 06.02.2015 um 16:12:52 Uhr
Goto Top
In deinem Fall wird die Klassifizierung Treiber deine Updateanzahl wohl so dermaßen hochschrauben. Ich hab im TechNet dazu vor einigen Jahren schon einen Beitrag gefunden, der bereits 2008 von ca. 12.000 Treibern sprach, die der WSUS herunterlädt, wenn man diese Klassifizierung aktiviert. Da wir inzwischen 2015 schreiben, werden bei dir mit sicherlich bis zu 10.000 WSUS Elemente durch Treiber verursacht. Microsoft hat wie im Artikel zu lesen was ändern wollen und das inzwischen wohl auch getan.

http://blogs.technet.com/b/sus/archive/2008/08/20/a-large-number-of-dri ...

Die Frage ist eher, ob du die Treiber überhaupt über den WSUS bereitstellen musst. Installiert ihr denn häufig PCs oder Server mit besonderer Hardware neu oder setzt ihr viele Geräte ein, die immer zusätzliche Treiber benötigen und diese dann vom WSUS bekommen? Wenn ihr Ware von der Stange einsetzt und der ein oder veraltete Treiber nicht gleich zum Problem würde, dann könntest du die Treiber im WSUS deaktivieren.

Gruß Christian

CTO @ www.mgn-computing.de
DerWoWusste
DerWoWusste 04.02.2015 um 22:50:10 Uhr
Goto Top
Er nimmt keine Treiber.
schenke
schenke 04.02.2015 um 22:54:30 Uhr
Goto Top
Oh du hast Recht ! face-confused

Naja viel Text für nichts face-smile


Ich schau mal eben in unsere WSUS rein, wie viele Updates die drin haben.
MichiD41
MichiD41 04.02.2015 aktualisiert um 22:59:38 Uhr
Goto Top
Das stimmt inzwischen lade ich keine Treiber mehr.

Ich hatte jedoch vergessen zu erwähnen, dass ich anfangs Treiber ausgewählt hatte. Ich habe diese später aber wieder herausgenommen.

Kann es sein, dass die Treiber, auch wenn ich sie wieder abgewählt habe, trotzdem noch in der Datenbank mitgezählt werden und nicht verschwinden?

Kann man denn die Datenbak irgendwie wieder zurücksetzen?
schenke
schenke 04.02.2015 um 23:02:28 Uhr
Goto Top
Hast du denn nachdem deaktivieren der Treiber eine Serverbereinigung durchgeführt? Nur dann werden die Updates, Patches bzw. Treiber aus ehemals ausgewählten Kategorie auch vom Server entfernt.

Eine Bereinigung sollte man auch so ab und an mal machen. Wir machen Sie 1x pro Halbjahr, damit auch alle ersetzten und abgelaufenen Updates aus der DB entfernt werden. Aber Vorsicht: Die Bereinigung kann durchaus auch mal einige Tage dauern und die WSUS Konsole zeigt dann auch gerne mal keine Rückmeldung bis die Bereinigung abgeschlossen ist.

Die Bereinigung findest du unter Optionen -> Assistent zur Serverbereinigung
MichiD41
MichiD41 04.02.2015 aktualisiert um 23:18:52 Uhr
Goto Top
Mhh hat bei mir leider nichts gebracht.

Habe sogar mal nur:

Windows 7
Windows 8.1
Windows Server 2008 R2
Windows Server 20012 R2

ausgewählt und die Bereinigung ausgeführt. Er sagt mir aber immer noch 20.000 Updates.

Auch ein WsusUtil RESET hat mich nicht viel weiter gebracht face-confused
schenke
schenke 04.02.2015 aktualisiert um 23:28:11 Uhr
Goto Top
An welche Stelle genau sagt er dir 20.000 Updates? Genehmigte Updates: 20.000?

Ich habe hier gerade einen WSUS vor mir, der alle Klassifizierungen und alle Produkte aktiviert hat. Im Einsatz sind in diesem Netzwerk:

Windows 7
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Office 2010
Office 2013
Exchange 2010
SharePoint 2010
TMG 2010

Sprachen: Deutsch, Englisch und manuell werden regelmäßig Updates in Spanisch, Französisch, Russisch, Italienisch, Arabisch, Polnisch, Rumänisch, Ukrainisch, Ungarisch, Türkisch für Office 2013 hinzugefügt.

Dort sind aktuell aber nur 8900 Updates bei den genehmigten Updates gelistet.
MichiD41
MichiD41 04.02.2015 um 23:38:20 Uhr
Goto Top
So sieht das ganze derzeit aus.
Ich bin wie gesagt hier noch in der Testphase.


http://postimg.org/image/j8imftnm5/
DerWoWusste
DerWoWusste 04.02.2015 aktualisiert um 23:41:27 Uhr
Goto Top
Ah, dann sind es die Treiber. Eine Serverbereinigung nimmt die nicht raus, leider. MS ist zu blöd, das korrekt zu programmieren, wie es scheint. Man muss manuell ran: http://www.flexecom.com/how-to-delete-driver-updates-from-wsus-3-0/
Ich kann morgen bei der Arbeit nochmal checken, ob ich das Skript aufgehoben habe, dass ich einst benutzt hatte, es könnte der POwershell-3-Zeiler aus meinem Link sein - hatte auch >10.000 Treiber drin, was den WSUS stark ausgebremst hat - die Bereinigung der WSUS-Konsole half definitiv nicht, obwohl alle Treiber abgelehnt waren.
schenke
schenke 05.02.2015 um 00:03:01 Uhr
Goto Top
Scheinen dann wohl doch die Treiber zu sein und die Bereinigung diese nicht zu entfernen. Da wir Treiber bisher noch nie aktiviert und später deaktiviert haben, war mir nicht klar, dass der WSUS mit der Entfernung von Treibern wohl nicht klar kommt.

Vielleicht findet DerWoWusste ja noch sein altes Skript.
Meierjo
Meierjo 05.02.2015 um 06:45:06 Uhr
Goto Top
Hallo zusammen

Die Bereinigung im WSUS löscht meines Wissens sowieso erst nach 30 Tagen. Somit werden die nicht benutzten Treiber auch erst nach den 30 Tagen entfernt

Gruss Urs
DerWoWusste
DerWoWusste 05.02.2015 um 07:40:08 Uhr
Goto Top
Moin Urs.
Auch nach Jahren wurden die Treiber nicht gelöscht. Bereinigt hatte ich mehrfach. Alles andere wurde gelöscht.
departure69
departure69 05.02.2015 aktualisiert um 08:07:25 Uhr
Goto Top
@DerWoWusste:

Kann ich bestätigen.
Habe mal einen WSUS, der für eine Außenstelle gedacht war, in der Hauptstelle vom Haupt-WSUS betankt (damit, sobald der Server in die Außenstelle verbracht ist, nicht alles mit schmaler Leitung von Microsoft gesaugt werden muß).
In dieser Phase lassen sich gar keine Produkte und Klassifizierungen auswählen, der Server, der betankt wird, kriegt erstmal alles, was der Haupt-WSUS so an Bord hat. Später, nachdem die Peplikation/Synchronisation fertig war und der WSUS in der Außenstelle stand, habe ich dort dann den Microsoft-Download für die weitere Zukunft eingestellt und konnte danach auch Produkte und Klassifizierungen auswählen. Ich war der Meinung, daß alle anderen Updates, die ich in der Außenstelle infolge viel geringerer Auswahl von Produkten und Klassifizierungen nicht brauche, durch eine Serverbereinigung nach 30 Tagen verschwinden. Pustekuchen, nichts wurde weniger, nichts wurde kleiner. Ich hab' dann alles, was ich nicht brauche, in der Listenansicht von Hand (!) abgelehnt (viele, viele Mausklicks), und nach weiteren 30 Tagen wurde ich all das durch die nächste Serverbereinigung los.


Grüße

von

departure69
DerWoWusste
DerWoWusste 05.02.2015 um 08:18:26 Uhr
Goto Top
Das gilt nicht für Treiber, kannst Du auch im Internet x-mal so lesen, ein bekanntes Problem.
jsysde
jsysde 05.02.2015 um 12:34:14 Uhr
Goto Top
Moin.
Zitat von @MichiD41:
Wie soll man denn bitte bei eine rsolchen Menge an Patches den Überblick behalten?

Indem man einfach nen Filter auf "Erforderlich" setzt, dann werden eben nur selbige Updates angezeigt. face-wink
20.000 Einträge in der WSUS-Datenbank sind absolut nicht wild, heruntergeladen werden ja nur die genehmigten Updates.
Also eigentlich alles gut.

Cheers,
jsysde
MichiD41
MichiD41 06.02.2015 um 16:14:32 Uhr
Goto Top
Hi Jungs,

habe mich dazu entschlossen (da ich ohnehin noch in der Testphase war) den WSUS komplett neu zu installieren.
Jetzt bin ich bei den oben ausgewählten Produkten und Klassifizierungen bei ca 5000 Updates.

Das sieht doch schon deutlich besser aus. Im endeffekt waren es tatsächlich die Treiber die das ganze explodieren haben lassen.

Das "Gesetz der grössten Gemeinheit" gibt natürlich vor, das ausgerechnet diese Treiber sich nicht ohne weiteres aus der Datenbank entfernen lassen.

Danke für eure Antworten und schönen Tag noch.
DerWoWusste
DerWoWusste 06.02.2015 aktualisiert um 17:42:50 Uhr
Goto Top
das ausgerechnet diese Treiber sich nicht ohne weiteres aus der Datenbank entfernen lassen.
Ich hatte Dir das Skript dazu verlinkt... Du musst es nur nutzen. Hiermit hatte ich die Treiber gekillt:
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")  
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer();
$wsus.getupdates() | Where {$_.UpdateClassificationTitle -eq 'Drivers'} | ForEach-Object { $wsus.DeleteUpdate($_.Id.UpdateId.ToString()); Write-Host $_.Title removed }  

!Achtung: das dauert ewig, über's Wochenende laufen lassen.
schenke
schenke 07.02.2015 um 07:26:26 Uhr
Goto Top
Danke für das Script! Gleich mal in unsere Doku übernommen, falls wir mal vor dem Problem stehen. Dann haben unsere Techniker direkt die Lösung zur Hand ;)

Gruß
Christian
MichiD41
MichiD41 09.02.2015 um 01:51:22 Uhr
Goto Top
War anders gemeint face-smile

Da ich bereits gelesen hatte das die Geschichte ewig dauert und ich eh gerade erst mit dem WSUS angefangen hatte, hielt ich es für die schnellere und im Endeffekt sauberere Lösung den WSUS einfach neu zu installieren.

Vielen Dank trotzdem nochmal für deine Unterstützung.
flyingKangaroo
flyingKangaroo 20.01.2016 um 10:20:06 Uhr
Goto Top
Ist es eigentlich möglich die Client-Betriebssysteme oder den WSUS so zu konfigurieren, dass Treiber einfach direkt von den Microsoft-Severn bezogen werden? (ohne diese auf dem WSUS alle vorzuhalten?)
Meierjo
Meierjo 20.01.2016 um 10:32:54 Uhr
Goto Top
Hallo

Du kannst die Updates von Microsoft beziehen lassen:
a44f9211c5e2f5663d4f75349fecb98b

Dies bezieht sich dann meines Wissens auf alle Dateien, es ist nicht möglich, Updates lokal zu beziehen, und Treiber vom Microsoft Server

Gruss Urs
flyingKangaroo
flyingKangaroo 20.01.2016 um 11:32:56 Uhr
Goto Top
Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).
departure69
departure69 20.01.2016 um 11:51:27 Uhr
Goto Top
Zitat von @flyingKangaroo:

Ärgerlich - es scheint aber wohl gängige Praxis zu sein, die Treiber nicht auf den WSUS-Server herunterzuladen und im Unternehmensnetzwerk schlichtweg KEINE Treiber bereitzustellen (oder höchstens eine Handvoll für die bekannte eingesetzte Hardware).


Hallo.

So isses. Und das hat mehrere Gründe:

- nicht alle Hardwarehersteller kooperieren hier mit Microsoft, wohl auch aus Kostengründen, also würden trotzdem immer irgendwelche Treiber fehlen, die dann wie eh und je manuell besorgt werden müssen

- die Aktualität der bereitgestellten Treiber darf in vielen Fällen stark bezweifelt werden

- die reine Datenmenge im WSUSContent-Verzeichnis steigt durch Treiber unglaublich an, mitunter mehr als doppelt soviel Speicherplatz wird benötigt als ohne Treiber

- je nach Hardware/Leistungsfähigkeit kann der WSUS-Server durch das Vorhalten von Treibern derart langsam werden, daß er kaum noch zu gebrauchen ist, ich hab' da schon nahezu unbedienbare WSUS-Konsolen gesehen


Viele Grüße

von

departure69