WSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?
Hallo zusammen,
Microsoft hat gestern angekündigt, dass der WSUS nicht mehr weiterentwicklet wird und den Status depricated erhält.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-serve ...
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Nicht, dass ich WSUS jetzt toll finde, habe mich oft genug mit dem (von meinem Vorgänger geerbten) Ding rungeärgert.
Seit dem ich den WSUS dann auch mal komplett neu aufgesetzt habe, sogar ohne Probleme.
Wie sieht die Zukunft aus, für eine on-premise Umgebung, die möglichst wenig Cloud nutzen will, kein Azure und kein 360 nutzt ... Kann man den Azure Update Manager auch _nur_ für seine lokalen Umgebungen nutzen?
Ähnlich einem Cloud-basierten XDR ...
Was plant Ihr, wie werdet Ihr mit den Windows Updates zukünftig umgehen wollen?
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
Freue mich über den Austausch.
Microsoft hat gestern angekündigt, dass der WSUS nicht mehr weiterentwicklet wird und den Status depricated erhält.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-serve ...
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Nicht, dass ich WSUS jetzt toll finde, habe mich oft genug mit dem (von meinem Vorgänger geerbten) Ding rungeärgert.
Seit dem ich den WSUS dann auch mal komplett neu aufgesetzt habe, sogar ohne Probleme.
Wie sieht die Zukunft aus, für eine on-premise Umgebung, die möglichst wenig Cloud nutzen will, kein Azure und kein 360 nutzt ... Kann man den Azure Update Manager auch _nur_ für seine lokalen Umgebungen nutzen?
Ähnlich einem Cloud-basierten XDR ...
Was plant Ihr, wie werdet Ihr mit den Windows Updates zukünftig umgehen wollen?
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
Freue mich über den Austausch.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668329
Url: https://administrator.de/forum/wsus-stirbt-aus-azure-update-manager-soll-es-richten-cawum-erfahrungen-668329.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
24 Kommentare
Neuester Kommentar
Es gibt noch 9-10 Jahre die Rolle.
MS wird für ECM/SCCM Ersatz schaffen müssen.
MS wird für ECM/SCCM Ersatz schaffen müssen.
Moin Moin,
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
Zum WSUS selbst:
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien. Aber: Updates nur noch mit Cloud, das wirft fragen auf.
Kreuzberger
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
Zum WSUS selbst:
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien. Aber: Updates nur noch mit Cloud, das wirft fragen auf.
Kreuzberger
@kreuzberger
Es hat seinen Zweck mehr als erfüllt. Einmal monatlich die Bereinigung anschubsen (ich mache das immer am Patchday), dann gibts auch keine volllaufende Partition. Es sei denn, bei Dir läuft die vor
Ansonsten die üblichen Wartungstasks (Re-Indexierung usw.) als Task hinterlegen und nicht mehr kümmern. Im Zweifel ist das Ding ratzfatz und problemlos neu aufgesetzt.
Aber insgesamt natürlich diskussionswürdig, die Plattform zum Updaten jahrelang kostenlos anzubieten und das Ding dann monetarisieren zu wollen, natürlich in der heilsbringenden Cloud. Positiv: So dreist ist nicht mal MS, dass sie den WSUS in der jetzigen Form einfach lizenzpflichtig machen
Gruß
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien.
Es hat seinen Zweck mehr als erfüllt. Einmal monatlich die Bereinigung anschubsen (ich mache das immer am Patchday), dann gibts auch keine volllaufende Partition. Es sei denn, bei Dir läuft die vor
Ansonsten die üblichen Wartungstasks (Re-Indexierung usw.) als Task hinterlegen und nicht mehr kümmern. Im Zweifel ist das Ding ratzfatz und problemlos neu aufgesetzt.
Aber insgesamt natürlich diskussionswürdig, die Plattform zum Updaten jahrelang kostenlos anzubieten und das Ding dann monetarisieren zu wollen, natürlich in der heilsbringenden Cloud. Positiv: So dreist ist nicht mal MS, dass sie den WSUS in der jetzigen Form einfach lizenzpflichtig machen
Gruß
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Das ist doch schon jetzt nahezu sicher. Server 2025 bekommt diese Rolle noch, somit kannst Du WSUS (auf Server 2025) so lange bedenkenlos nutzen, bis Server 2025 end of life ist - das wird voraussichtlich erst in 10 Jahren sein - das EOL-Datum wird demnächst bekannt gegeben, wenn Server 2025 erscheint, vermutlich sogar in diesem Monat noch.
Das ist eben das Problem: Intune ist eben nicht wirklich eine Lösung, weil es nicht DSGVO Konform ist. Und: Wer mag schonernsthaft die gesamte Netzwerksteuerung ausser Haus geben und in die (bezahlte) Cloud vergeben?
Kreuzberger
Kreuzberger
Client Updates laufen bei uns inzwischen über Windows Update für Business / Intune und Server Updates über Scripte die das PSWindowsUpdate Powershell Modul nutzen.
Zitat von @kreuzberger:
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
Ich war am Freitag noch in zwei Microsoft-Vorträgen, dort wurde behauptet, dass man mit Server 2025 auf das Kundenfeedback gehört hätte und Server 2025 wieder mehr auf non-Cloud setzen würde.
Server 2025 bringt entsprechend auch noch viele weitere Dinge mit, neues AD-Level mit deutlich mehr Platz für Attributen etc.
Da passt jetzt nicht so ganz ins Bild, dass Server 2025 vermutlich die letzte Version mit WSUS Support sein soll.
Grüße
ToWa
Also keine neuen Funktionen erhält. Ob ich mir das weitere 10 Jahre antun will
Er soll Updates verteilen, Updating erzwingen, Reports erstellen/Fehler melden, ggf. 3rd-Partyupdates mitverteilen - das ist doch das, was die meisten wollen und das kann er. Neue Funktionen gab's doch seit Ewigkeiten nicht mehr, oder?
Moin,
Gruß,
Dani
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
wie immer muss die Konfiguration stimmig sein. Wir nutzen ACMP schon seit langer Zeit (gibt dazu auch ein paar ausführliche Kommentare von mir hier im Forum). Wir managen damit inzwischen die ganze Flotte (Clients, POS und Server). In Summe werden mit ACMP weit über 100.000 Geräte verwaltet. Klar ACMP ist keine WSUS Konsole und man muss anfangs viel Zeit und Grips in die Sache stecken, damit es Hand und Fuß hat.Gibt es dazu erfahrungen? Läuft das Besser?
Gruß,
Dani
Moin,
ich habe den Azure Update Manager (ehemals Updatemanagement aus Azure Automation) bereits bei einigen Kunden, auch on-prem im Einsatz.
Funktioniert sehr gut und kann auf verschiedene Art und Weisen ausgerollt werden.
Im Idealszenario sind alle on-prem Server als "Azure Arc Maschinen" registriert, dann kann man den Updatemanager einfach via Azure Policy ausrollen. Die Alternative dazu wäre, den Agent für das Updatemanagement von Hand auf alle Maschinen auszurollen und zu registrieren.
Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.
Hier ist wichtig die Funktionsweise zu verstehen: Azure Updatemanagement hält nicht wie WSUS "irgendwo" die Updates vor, sondern steuert nur den Download bzw. die Installation auf jeden System dediziert.
Bedeutet, jedes Update wird x Anzahl der VMs heruntergeladen und gemäß Zeitplan installiert. Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.
Und ebenfalls klar, es werden Daten in die Cloud geschrieben: Der Updatemanager nutzt einen Log Analytics Workspace, eine timeseries database, ähnlich zu Splunk, ElasticSearch etc.
In diese "Datenbank" schreibt jeder VM-Agent seine Daten (Updatestatus, ausstehende Updates, Fehler, allg. Logs)
Die Daten kann man als Kunde selbst einsehen, ob MS im Hintergrund noch weitere Daten auswertet / loggt, welche man als Kunde nicht sehen kann, weiß man natürlich nicht. Weiß man aber beim klassischen Updateprozess genauso wenig.
Meine letzten Erfahrungen sind zwar etwas her, aber ich würde es nach wie vor empfehlen. Das einzige was ich damals immer gestört hat, dass es keinen richtigen Update-Freigabeprozess gibt. Man konnte zwar gewisse KBs white- bzw. Blacklisten, allerdings sowas wie eine Liste mit "Das will ich updaten, bitte erlaube es mir" gab es damals nicht.
Das kann sich derweil allerdings geändert haben.
ich habe den Azure Update Manager (ehemals Updatemanagement aus Azure Automation) bereits bei einigen Kunden, auch on-prem im Einsatz.
Funktioniert sehr gut und kann auf verschiedene Art und Weisen ausgerollt werden.
Im Idealszenario sind alle on-prem Server als "Azure Arc Maschinen" registriert, dann kann man den Updatemanager einfach via Azure Policy ausrollen. Die Alternative dazu wäre, den Agent für das Updatemanagement von Hand auf alle Maschinen auszurollen und zu registrieren.
Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.
Hier ist wichtig die Funktionsweise zu verstehen: Azure Updatemanagement hält nicht wie WSUS "irgendwo" die Updates vor, sondern steuert nur den Download bzw. die Installation auf jeden System dediziert.
Bedeutet, jedes Update wird x Anzahl der VMs heruntergeladen und gemäß Zeitplan installiert. Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.
Und ebenfalls klar, es werden Daten in die Cloud geschrieben: Der Updatemanager nutzt einen Log Analytics Workspace, eine timeseries database, ähnlich zu Splunk, ElasticSearch etc.
In diese "Datenbank" schreibt jeder VM-Agent seine Daten (Updatestatus, ausstehende Updates, Fehler, allg. Logs)
Die Daten kann man als Kunde selbst einsehen, ob MS im Hintergrund noch weitere Daten auswertet / loggt, welche man als Kunde nicht sehen kann, weiß man natürlich nicht. Weiß man aber beim klassischen Updateprozess genauso wenig.
Meine letzten Erfahrungen sind zwar etwas her, aber ich würde es nach wie vor empfehlen. Das einzige was ich damals immer gestört hat, dass es keinen richtigen Update-Freigabeprozess gibt. Man konnte zwar gewisse KBs white- bzw. Blacklisten, allerdings sowas wie eine Liste mit "Das will ich updaten, bitte erlaube es mir" gab es damals nicht.
Das kann sich derweil allerdings geändert haben.
Ich wäre Dir für einen Tipp Dankbar, wie man schnell und unkompliziert nur das Letzte BIOS Update für seine Endegeräte (Mini PCs und Notebooks) aus dem Treiber-Katalog herausfischt
Für alle Endgeräte? Das wäre ja spannend. Update verteilen, Nutzer machen einen Neustart und schalten dann ab, weil "dauert mir zu lange". Ok, du machst es vermutlich ohne Beisein der Nutzer, oder?Dann such im Catalogue, vielleicht hast Du ja Glück https://www.catalog.update.microsoft.com/Home.aspx
Die Update ID wird angezeigt und per Powershell am WSUS wird wie folgt importiert (mit einer BeispielID 633...):
.\importupdatetowsus.ps1 -updateid 6338ef79-17ae-4e59-85ce-93e272ab0a55
Aussage: Server haben idR. keinen Zugriff auf das Internet!
Also jeder der heute ein SOC im Betrieb hat, kommt vermutlich nicht mehr wirklich drumrum.
Microsoft Defender muss logischerweise auch nach "Hause telefonieren", sonst hat das SOC ja nichts zum Auswerten.
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.
Ausser man ist so gross und hat ein eigenen SOC im Haus; aber auch da glaube ich nicht daran.
Also jeder der heute ein SOC im Betrieb hat, kommt vermutlich nicht mehr wirklich drumrum.
Microsoft Defender muss logischerweise auch nach "Hause telefonieren", sonst hat das SOC ja nichts zum Auswerten.
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.
Ausser man ist so gross und hat ein eigenen SOC im Haus; aber auch da glaube ich nicht daran.
@Roland567
ich denke es geht nicht bloss darum, ob ein Server autark ohne Internet surren darf, sondern auch inwiefern der Cloudzwang durch Kleinweich damit zwingend durchgesetzt wird, und was das letztlich für die Betreiber dr Server bedeutet.
Wird es Updates der bereits bezahlten Software dann noch kostenlos geben?
Gibt es den Windows server dann ggf. nur noch als Miet-Version?
etc.
Kreuzberger
ich denke es geht nicht bloss darum, ob ein Server autark ohne Internet surren darf, sondern auch inwiefern der Cloudzwang durch Kleinweich damit zwingend durchgesetzt wird, und was das letztlich für die Betreiber dr Server bedeutet.
Wird es Updates der bereits bezahlten Software dann noch kostenlos geben?
Gibt es den Windows server dann ggf. nur noch als Miet-Version?
etc.
Kreuzberger