24
WSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?
Hallo zusammen,
Microsoft hat gestern angekündigt, dass der WSUS nicht mehr weiterentwicklet wird und den Status depricated erhält.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-serve ...
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Nicht, dass ich WSUS jetzt toll finde, habe mich oft genug mit dem (von meinem Vorgänger geerbten) Ding rungeärgert.
Seit dem ich den WSUS dann auch mal komplett neu aufgesetzt habe, sogar ohne Probleme.
Wie sieht die Zukunft aus, für eine on-premise Umgebung, die möglichst wenig Cloud nutzen will, kein Azure und kein 360 nutzt ... Kann man den Azure Update Manager auch _nur_ für seine lokalen Umgebungen nutzen?
Ähnlich einem Cloud-basierten XDR ...
Was plant Ihr, wie werdet Ihr mit den Windows Updates zukünftig umgehen wollen?
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
Freue mich über den Austausch.
Microsoft hat gestern angekündigt, dass der WSUS nicht mehr weiterentwicklet wird und den Status depricated erhält.
https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-serve ...
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Nicht, dass ich WSUS jetzt toll finde, habe mich oft genug mit dem (von meinem Vorgänger geerbten) Ding rungeärgert.
Seit dem ich den WSUS dann auch mal komplett neu aufgesetzt habe, sogar ohne Probleme.
Wie sieht die Zukunft aus, für eine on-premise Umgebung, die möglichst wenig Cloud nutzen will, kein Azure und kein 360 nutzt ... Kann man den Azure Update Manager auch _nur_ für seine lokalen Umgebungen nutzen?
Ähnlich einem Cloud-basierten XDR ...
Was plant Ihr, wie werdet Ihr mit den Windows Updates zukünftig umgehen wollen?
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
Freue mich über den Austausch.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668329
Url: https://administrator.de/contentid/668329
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
24 Kommentare
Neuester Kommentar
Hi,
ACMP läuft super ! Auch mit Testrinngen usw. alles was man erwartet.
Gr.
ACMP läuft super ! Auch mit Testrinngen usw. alles was man erwartet.
Gr.
Es gibt noch 9-10 Jahre die Rolle.
MS wird für ECM/SCCM Ersatz schaffen müssen.
MS wird für ECM/SCCM Ersatz schaffen müssen.
Moin,
ich werde mal ein wenig mit OPSI rumspielen und testen.
Gruß
ich werde mal ein wenig mit OPSI rumspielen und testen.
Gruß
Moin Moin,
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
Zum WSUS selbst:
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien. Aber: Updates nur noch mit Cloud, das wirft fragen auf.
Kreuzberger
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
Zum WSUS selbst:
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien. Aber: Updates nur noch mit Cloud, das wirft fragen auf.
Kreuzberger
@kreuzberger
Es hat seinen Zweck mehr als erfüllt. Einmal monatlich die Bereinigung anschubsen (ich mache das immer am Patchday), dann gibts auch keine volllaufende Partition. Es sei denn, bei Dir läuft die vor
Ansonsten die üblichen Wartungstasks (Re-Indexierung usw.) als Task hinterlegen und nicht mehr kümmern. Im Zweifel ist das Ding ratzfatz und problemlos neu aufgesetzt.
Aber insgesamt natürlich diskussionswürdig, die Plattform zum Updaten jahrelang kostenlos anzubieten und das Ding dann monetarisieren zu wollen, natürlich in der heilsbringenden Cloud. Positiv: So dreist ist nicht mal MS, dass sie den WSUS in der jetzigen Form einfach lizenzpflichtig machen
Gruß
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien.
Es hat seinen Zweck mehr als erfüllt. Einmal monatlich die Bereinigung anschubsen (ich mache das immer am Patchday), dann gibts auch keine volllaufende Partition. Es sei denn, bei Dir läuft die vor
Ansonsten die üblichen Wartungstasks (Re-Indexierung usw.) als Task hinterlegen und nicht mehr kümmern. Im Zweifel ist das Ding ratzfatz und problemlos neu aufgesetzt.
Aber insgesamt natürlich diskussionswürdig, die Plattform zum Updaten jahrelang kostenlos anzubieten und das Ding dann monetarisieren zu wollen, natürlich in der heilsbringenden Cloud. Positiv: So dreist ist nicht mal MS, dass sie den WSUS in der jetzigen Form einfach lizenzpflichtig machen
Gruß
2
Man sollte auch bedenken, dass es genug Umgebungen gibt, die sich eben nicht in eine Cloud exponieren wollen oder dürfen. Die Verwaltung kostenpflichtig zu machen ist zudem auch noch eine ganz andere Hausnummer.
Hi,
ACMP läuft super !
ACMP läuft super !
Wie schaut es da mit dem Verteilen von BIOS Updates aus?
Mich nervt, dass man beim WSUS dazu gleich "Treiber" im Produktkatalog aktivieren muss und dann mit fluten an Einträgen aus zig Jahren überschwemmt wird.
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Das ist doch schon jetzt nahezu sicher. Server 2025 bekommt diese Rolle noch, somit kannst Du WSUS (auf Server 2025) so lange bedenkenlos nutzen, bis Server 2025 end of life ist - das wird voraussichtlich erst in 10 Jahren sein - das EOL-Datum wird demnächst bekannt gegeben, wenn Server 2025 erscheint, vermutlich sogar in diesem Monat noch.
Client Updates laufen bei uns inzwischen über Windows Update für Business / Intune und Server Updates über Scripte die das PSWindowsUpdate Powershell Modul nutzen.
Das ist eben das Problem: Intune ist eben nicht wirklich eine Lösung, weil es nicht DSGVO Konform ist. Und: Wer mag schonernsthaft die gesamte Netzwerksteuerung ausser Haus geben und in die (bezahlte) Cloud vergeben?
Kreuzberger
Kreuzberger
Client Updates laufen bei uns inzwischen über Windows Update für Business / Intune und Server Updates über Scripte die das PSWindowsUpdate Powershell Modul nutzen.
Zitat von @kreuzberger:
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.
Ich war am Freitag noch in zwei Microsoft-Vorträgen, dort wurde behauptet, dass man mit Server 2025 auf das Kundenfeedback gehört hätte und Server 2025 wieder mehr auf non-Cloud setzen würde.
Server 2025 bringt entsprechend auch noch viele weitere Dinge mit, neues AD-Level mit deutlich mehr Platz für Attributen etc.
Da passt jetzt nicht so ganz ins Bild, dass Server 2025 vermutlich die letzte Version mit WSUS Support sein soll.
Grüße
ToWa
Ich war am Freitag noch in zwei Microsoft-Vorträgen, dort wurde behauptet, dass man mit Server 2025 auf das Kundenfeedback gehört hätte und Server 2025 wieder mehr auf non-Cloud setzen würde.
Es kommt ja auch noch ein Office 2024.
Server 2025 bekommt diese Rolle noch, somit kannst Du WSUS (auf Server 2025) so lange bedenkenlos nutzen, bis Server 2025 end of life ist - das wird voraussichtlich erst in 10 Jahren sein
Ja, dass der noch nutzbart sein wird bis der letzte unterstützende Server EOL ist, ist klar. Die Sache ist die, dass WSUS nicht mehr weiterentwickelt wird. Also keine neuen Funktionen erhält. Ob ich mir das weitere 10 Jahre antun will ... eher nicht.
Also keine neuen Funktionen erhält. Ob ich mir das weitere 10 Jahre antun will
Er soll Updates verteilen, Updating erzwingen, Reports erstellen/Fehler melden, ggf. 3rd-Partyupdates mitverteilen - das ist doch das, was die meisten wollen und das kann er. Neue Funktionen gab's doch seit Ewigkeiten nicht mehr, oder? 
2Neue Funktionen gab's doch seit Ewigkeiten nicht mehr, oder?
Ich hatte die Hoffnung mit 2025 würde der mal überarbeitet, sodass man z.B. auch gezielter Treiber / FW Updates wählen kann.
Nur weil etwas lange nicht aktualisiert wurde, ist das ja kein Grund den Status Quo gut zu finden.
Über den Katalog kann man einzelne Treiber/Firmwares importieren. Reicht mir zumindest aus.
Moin,
Wir nutzen ACMP schon seit langer Zeit (gibt dazu auch ein paar ausführliche Kommentare von mir hier im Forum). Wir managen damit inzwischen die ganze Flotte (Clients, POS und Server). In Summe werden mit ACMP weit über 100.000 Geräte verwaltet. Klar ACMP ist keine WSUS Konsole und man muss anfangs viel Zeit und Grips in die Sache stecken, damit es Hand und Fuß hat.
Gruß,
Dani
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
wie immer muss die Konfiguration stimmig sein. Gibt es dazu erfahrungen? Läuft das Besser?
Wir nutzen ACMP schon seit langer Zeit (gibt dazu auch ein paar ausführliche Kommentare von mir hier im Forum). Wir managen damit inzwischen die ganze Flotte (Clients, POS und Server). In Summe werden mit ACMP weit über 100.000 Geräte verwaltet. Klar ACMP ist keine WSUS Konsole und man muss anfangs viel Zeit und Grips in die Sache stecken, damit es Hand und Fuß hat.Gruß,
Dani
Moin,
ich habe den Azure Update Manager (ehemals Updatemanagement aus Azure Automation) bereits bei einigen Kunden, auch on-prem im Einsatz.
Funktioniert sehr gut und kann auf verschiedene Art und Weisen ausgerollt werden.
Im Idealszenario sind alle on-prem Server als "Azure Arc Maschinen" registriert, dann kann man den Updatemanager einfach via Azure Policy ausrollen. Die Alternative dazu wäre, den Agent für das Updatemanagement von Hand auf alle Maschinen auszurollen und zu registrieren.
Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.
Hier ist wichtig die Funktionsweise zu verstehen: Azure Updatemanagement hält nicht wie WSUS "irgendwo" die Updates vor, sondern steuert nur den Download bzw. die Installation auf jeden System dediziert.
Bedeutet, jedes Update wird x Anzahl der VMs heruntergeladen und gemäß Zeitplan installiert. Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.
Und ebenfalls klar, es werden Daten in die Cloud geschrieben: Der Updatemanager nutzt einen Log Analytics Workspace, eine timeseries database, ähnlich zu Splunk, ElasticSearch etc.
In diese "Datenbank" schreibt jeder VM-Agent seine Daten (Updatestatus, ausstehende Updates, Fehler, allg. Logs)
Die Daten kann man als Kunde selbst einsehen, ob MS im Hintergrund noch weitere Daten auswertet / loggt, welche man als Kunde nicht sehen kann, weiß man natürlich nicht. Weiß man aber beim klassischen Updateprozess genauso wenig.
Meine letzten Erfahrungen sind zwar etwas her, aber ich würde es nach wie vor empfehlen. Das einzige was ich damals immer gestört hat, dass es keinen richtigen Update-Freigabeprozess gibt. Man konnte zwar gewisse KBs white- bzw. Blacklisten, allerdings sowas wie eine Liste mit "Das will ich updaten, bitte erlaube es mir" gab es damals nicht.
Das kann sich derweil allerdings geändert haben.
ich habe den Azure Update Manager (ehemals Updatemanagement aus Azure Automation) bereits bei einigen Kunden, auch on-prem im Einsatz.
Funktioniert sehr gut und kann auf verschiedene Art und Weisen ausgerollt werden.
Im Idealszenario sind alle on-prem Server als "Azure Arc Maschinen" registriert, dann kann man den Updatemanager einfach via Azure Policy ausrollen. Die Alternative dazu wäre, den Agent für das Updatemanagement von Hand auf alle Maschinen auszurollen und zu registrieren.
Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.
Hier ist wichtig die Funktionsweise zu verstehen: Azure Updatemanagement hält nicht wie WSUS "irgendwo" die Updates vor, sondern steuert nur den Download bzw. die Installation auf jeden System dediziert.
Bedeutet, jedes Update wird x Anzahl der VMs heruntergeladen und gemäß Zeitplan installiert. Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.
Und ebenfalls klar, es werden Daten in die Cloud geschrieben: Der Updatemanager nutzt einen Log Analytics Workspace, eine timeseries database, ähnlich zu Splunk, ElasticSearch etc.
In diese "Datenbank" schreibt jeder VM-Agent seine Daten (Updatestatus, ausstehende Updates, Fehler, allg. Logs)
Die Daten kann man als Kunde selbst einsehen, ob MS im Hintergrund noch weitere Daten auswertet / loggt, welche man als Kunde nicht sehen kann, weiß man natürlich nicht. Weiß man aber beim klassischen Updateprozess genauso wenig.
Meine letzten Erfahrungen sind zwar etwas her, aber ich würde es nach wie vor empfehlen. Das einzige was ich damals immer gestört hat, dass es keinen richtigen Update-Freigabeprozess gibt. Man konnte zwar gewisse KBs white- bzw. Blacklisten, allerdings sowas wie eine Liste mit "Das will ich updaten, bitte erlaube es mir" gab es damals nicht.
Das kann sich derweil allerdings geändert haben.
Reicht mir zumindest aus.
Ich wäre Dir für einen Tipp Dankbar, wie man schnell und unkompliziert nur das Letzte BIOS Update für seine Endegeräte (Mini PCs und Notebooks) aus dem Treiber-Katalog herausfischt, ohne alle anderen Treiber abonnieren und durchsuchen zu müssen.
Vielleicht bediene ich es falsch, was ich nicht ausschließen will.
Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.
Und damit haben wir bereits ein Ausschlusskriterium. Server haben idR. keinen Zugriff auf das Internet!Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.
Siehe Ausschlusskriterum und wenn bei einem KMU mit rund 1.500 Clients das monatliche Rollup-Paket kommt, gute Nacht.Ich wäre Dir für einen Tipp Dankbar, wie man schnell und unkompliziert nur das Letzte BIOS Update für seine Endegeräte (Mini PCs und Notebooks) aus dem Treiber-Katalog herausfischt
Für alle Endgeräte? Das wäre ja spannend. Update verteilen, Nutzer machen einen Neustart und schalten dann ab, weil "dauert mir zu lange". Ok, du machst es vermutlich ohne Beisein der Nutzer, oder?Dann such im Catalogue, vielleicht hast Du ja Glück https://www.catalog.update.microsoft.com/Home.aspx
Die Update ID wird angezeigt und per Powershell am WSUS wird wie folgt importiert (mit einer BeispielID 633...):
.\importupdatetowsus.ps1 -updateid 6338ef79-17ae-4e59-85ce-93e272ab0a55
Danke sehr für den Tipp. Das mit dem Einzelimport hatte ich nicht auf dem Schirm.
Und Nein, die werden natürlich nur kontrolliert freigegeben, wenn die Geräte z.B. zwecks Ausrollen eh in unserer Technik sind.
Und Nein, die werden natürlich nur kontrolliert freigegeben, wenn die Geräte z.B. zwecks Ausrollen eh in unserer Technik sind.
Aussage: Server haben idR. keinen Zugriff auf das Internet!
Also jeder der heute ein SOC im Betrieb hat, kommt vermutlich nicht mehr wirklich drumrum.
Microsoft Defender muss logischerweise auch nach "Hause telefonieren", sonst hat das SOC ja nichts zum Auswerten.
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.
Ausser man ist so gross und hat ein eigenen SOC im Haus; aber auch da glaube ich nicht daran.
Also jeder der heute ein SOC im Betrieb hat, kommt vermutlich nicht mehr wirklich drumrum.
Microsoft Defender muss logischerweise auch nach "Hause telefonieren", sonst hat das SOC ja nichts zum Auswerten.
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.
Ausser man ist so gross und hat ein eigenen SOC im Haus; aber auch da glaube ich nicht daran.
@Roland567
ich denke es geht nicht bloss darum, ob ein Server autark ohne Internet surren darf, sondern auch inwiefern der Cloudzwang durch Kleinweich damit zwingend durchgesetzt wird, und was das letztlich für die Betreiber dr Server bedeutet.
Wird es Updates der bereits bezahlten Software dann noch kostenlos geben?
Gibt es den Windows server dann ggf. nur noch als Miet-Version?
etc.
Kreuzberger
ich denke es geht nicht bloss darum, ob ein Server autark ohne Internet surren darf, sondern auch inwiefern der Cloudzwang durch Kleinweich damit zwingend durchgesetzt wird, und was das letztlich für die Betreiber dr Server bedeutet.
Wird es Updates der bereits bezahlten Software dann noch kostenlos geben?
Gibt es den Windows server dann ggf. nur noch als Miet-Version?
etc.
Kreuzberger
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.
Für so was gibt es dann Proxy Systeme.
