pcpanik
Goto Top

WSUS stirbt aus - Azure Update Manager soll es richten, CAWUM Erfahrungen?

Hallo zusammen,

Microsoft hat gestern angekündigt, dass der WSUS nicht mehr weiterentwicklet wird und den Status depricated erhält.

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-serve ...

Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.

Nicht, dass ich WSUS jetzt toll finde, habe mich oft genug mit dem (von meinem Vorgänger geerbten) Ding rungeärgert.
Seit dem ich den WSUS dann auch mal komplett neu aufgesetzt habe, sogar ohne Probleme.

Wie sieht die Zukunft aus, für eine on-premise Umgebung, die möglichst wenig Cloud nutzen will, kein Azure und kein 360 nutzt ... Kann man den Azure Update Manager auch _nur_ für seine lokalen Umgebungen nutzen?
Ähnlich einem Cloud-basierten XDR ...

Was plant Ihr, wie werdet Ihr mit den Windows Updates zukünftig umgehen wollen?
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?

Freue mich über den Austausch.

Content-ID: 668329

Url: https://administrator.de/forum/wsus-stirbt-aus-azure-update-manager-soll-es-richten-cawum-erfahrungen-668329.html

Ausgedruckt am: 21.12.2024 um 16:12 Uhr

ukulele-7
ukulele-7 24.09.2024 um 08:33:03 Uhr
Goto Top
OlliSe
OlliSe 24.09.2024 um 08:53:06 Uhr
Goto Top
Hi,
ACMP läuft super ! Auch mit Testrinngen usw. alles was man erwartet.
Gr.
150631
150631 24.09.2024 um 09:20:54 Uhr
Goto Top
Es gibt noch 9-10 Jahre die Rolle.
MS wird für ECM/SCCM Ersatz schaffen müssen.
Coreknabe
Coreknabe 24.09.2024 um 09:39:22 Uhr
Goto Top
Moin,

ich werde mal ein wenig mit OPSI rumspielen und testen.

Gruß
kreuzberger
kreuzberger 24.09.2024 um 09:56:19 Uhr
Goto Top
Moin Moin,

Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.

immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.

Zum WSUS selbst:
Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien. Aber: Updates nur noch mit Cloud, das wirft fragen auf.

Kreuzberger
Coreknabe
Coreknabe 24.09.2024 um 10:43:36 Uhr
Goto Top
@kreuzberger

Toll war das Produkt nie. Ständig vorlaufende WSUS-Partitionen waren nur ein teil der Nervereien.

Es hat seinen Zweck mehr als erfüllt. Einmal monatlich die Bereinigung anschubsen (ich mache das immer am Patchday), dann gibts auch keine volllaufende Partition. Es sei denn, bei Dir läuft die vor face-wink
Ansonsten die üblichen Wartungstasks (Re-Indexierung usw.) als Task hinterlegen und nicht mehr kümmern. Im Zweifel ist das Ding ratzfatz und problemlos neu aufgesetzt.

Aber insgesamt natürlich diskussionswürdig, die Plattform zum Updaten jahrelang kostenlos anzubieten und das Ding dann monetarisieren zu wollen, natürlich in der heilsbringenden Cloud. Positiv: So dreist ist nicht mal MS, dass sie den WSUS in der jetzigen Form einfach lizenzpflichtig machen face-wink

Gruß
pcpanik
pcpanik 24.09.2024 um 11:00:28 Uhr
Goto Top
Man sollte auch bedenken, dass es genug Umgebungen gibt, die sich eben nicht in eine Cloud exponieren wollen oder dürfen. Die Verwaltung kostenpflichtig zu machen ist zudem auch noch eine ganz andere Hausnummer.
pcpanik
pcpanik 24.09.2024 um 11:04:10 Uhr
Goto Top
Hi,
ACMP läuft super !

Wie schaut es da mit dem Verteilen von BIOS Updates aus?
Mich nervt, dass man beim WSUS dazu gleich "Treiber" im Produktkatalog aktivieren muss und dann mit fluten an Einträgen aus zig Jahren überschwemmt wird.
DerWoWusste
DerWoWusste 24.09.2024 aktualisiert um 11:06:28 Uhr
Goto Top
Man kann WSUS selbstverständlich erst einmal noch nutzen... mal sehen, wie lange.
Das ist doch schon jetzt nahezu sicher. Server 2025 bekommt diese Rolle noch, somit kannst Du WSUS (auf Server 2025) so lange bedenkenlos nutzen, bis Server 2025 end of life ist - das wird voraussichtlich erst in 10 Jahren sein - das EOL-Datum wird demnächst bekannt gegeben, wenn Server 2025 erscheint, vermutlich sogar in diesem Monat noch.
pebcak7123
pebcak7123 24.09.2024 um 11:08:00 Uhr
Goto Top
Client Updates laufen bei uns inzwischen über Windows Update für Business / Intune und Server Updates über Scripte die das PSWindowsUpdate Powershell Modul nutzen.
kreuzberger
kreuzberger 24.09.2024 um 11:27:00 Uhr
Goto Top
Das ist eben das Problem: Intune ist eben nicht wirklich eine Lösung, weil es nicht DSGVO Konform ist. Und: Wer mag schonernsthaft die gesamte Netzwerksteuerung ausser Haus geben und in die (bezahlte) Cloud vergeben?

Kreuzberger

Client Updates laufen bei uns inzwischen über Windows Update für Business / Intune und Server Updates über Scripte die das PSWindowsUpdate Powershell Modul nutzen.
dertowa
dertowa 24.09.2024 um 11:48:39 Uhr
Goto Top
Zitat von @kreuzberger:
immerhin wird Server 2022 bis 14.10.2031 Supporten. Bis dahin also auch WSUS.
Für server 2025 und dessen Supportende hab ich noch nichts gefunden. Man muss sich also jetzt nicht in Panik versetzen.

Ich war am Freitag noch in zwei Microsoft-Vorträgen, dort wurde behauptet, dass man mit Server 2025 auf das Kundenfeedback gehört hätte und Server 2025 wieder mehr auf non-Cloud setzen würde.

Server 2025 bringt entsprechend auch noch viele weitere Dinge mit, neues AD-Level mit deutlich mehr Platz für Attributen etc.
Da passt jetzt nicht so ganz ins Bild, dass Server 2025 vermutlich die letzte Version mit WSUS Support sein soll.

Grüße
ToWa
pcpanik
pcpanik 24.09.2024 aktualisiert um 11:55:05 Uhr
Goto Top
Ich war am Freitag noch in zwei Microsoft-Vorträgen, dort wurde behauptet, dass man mit Server 2025 auf das Kundenfeedback gehört hätte und Server 2025 wieder mehr auf non-Cloud setzen würde.

Es kommt ja auch noch ein Office 2024.

Server 2025 bekommt diese Rolle noch, somit kannst Du WSUS (auf Server 2025) so lange bedenkenlos nutzen, bis Server 2025 end of life ist - das wird voraussichtlich erst in 10 Jahren sein

Ja, dass der noch nutzbart sein wird bis der letzte unterstützende Server EOL ist, ist klar. Die Sache ist die, dass WSUS nicht mehr weiterentwickelt wird. Also keine neuen Funktionen erhält. Ob ich mir das weitere 10 Jahre antun will ... eher nicht.
DerWoWusste
DerWoWusste 24.09.2024 um 12:06:10 Uhr
Goto Top
Also keine neuen Funktionen erhält. Ob ich mir das weitere 10 Jahre antun will
Er soll Updates verteilen, Updating erzwingen, Reports erstellen/Fehler melden, ggf. 3rd-Partyupdates mitverteilen - das ist doch das, was die meisten wollen und das kann er. Neue Funktionen gab's doch seit Ewigkeiten nicht mehr, oder? face-smile
pcpanik
pcpanik 24.09.2024 um 15:35:01 Uhr
Goto Top
Neue Funktionen gab's doch seit Ewigkeiten nicht mehr, oder?

Ich hatte die Hoffnung mit 2025 würde der mal überarbeitet, sodass man z.B. auch gezielter Treiber / FW Updates wählen kann.
Nur weil etwas lange nicht aktualisiert wurde, ist das ja kein Grund den Status Quo gut zu finden.
DerWoWusste
DerWoWusste 24.09.2024 um 15:43:07 Uhr
Goto Top
Über den Katalog kann man einzelne Treiber/Firmwares importieren. Reicht mir zumindest aus.
Dani
Dani 24.09.2024 um 17:53:46 Uhr
Goto Top
Moin,
Wir überlegen seit geraumer Zeit CAWUM von Aaagon einzuführen, da ACMP bereits in Verwendung ist.
Gibt es dazu erfahrungen? Läuft das Besser?
wie immer muss die Konfiguration stimmig sein. face-wink Wir nutzen ACMP schon seit langer Zeit (gibt dazu auch ein paar ausführliche Kommentare von mir hier im Forum). Wir managen damit inzwischen die ganze Flotte (Clients, POS und Server). In Summe werden mit ACMP weit über 100.000 Geräte verwaltet. Klar ACMP ist keine WSUS Konsole und man muss anfangs viel Zeit und Grips in die Sache stecken, damit es Hand und Fuß hat.


Gruß,
Dani
Cloudrakete
Cloudrakete 24.09.2024 aktualisiert um 23:28:06 Uhr
Goto Top
Moin,

ich habe den Azure Update Manager (ehemals Updatemanagement aus Azure Automation) bereits bei einigen Kunden, auch on-prem im Einsatz.
Funktioniert sehr gut und kann auf verschiedene Art und Weisen ausgerollt werden.

Im Idealszenario sind alle on-prem Server als "Azure Arc Maschinen" registriert, dann kann man den Updatemanager einfach via Azure Policy ausrollen. Die Alternative dazu wäre, den Agent für das Updatemanagement von Hand auf alle Maschinen auszurollen und zu registrieren.

Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.

Hier ist wichtig die Funktionsweise zu verstehen: Azure Updatemanagement hält nicht wie WSUS "irgendwo" die Updates vor, sondern steuert nur den Download bzw. die Installation auf jeden System dediziert.

Bedeutet, jedes Update wird x Anzahl der VMs heruntergeladen und gemäß Zeitplan installiert. Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.

Und ebenfalls klar, es werden Daten in die Cloud geschrieben: Der Updatemanager nutzt einen Log Analytics Workspace, eine timeseries database, ähnlich zu Splunk, ElasticSearch etc.
In diese "Datenbank" schreibt jeder VM-Agent seine Daten (Updatestatus, ausstehende Updates, Fehler, allg. Logs)

Die Daten kann man als Kunde selbst einsehen, ob MS im Hintergrund noch weitere Daten auswertet / loggt, welche man als Kunde nicht sehen kann, weiß man natürlich nicht. Weiß man aber beim klassischen Updateprozess genauso wenig.

Meine letzten Erfahrungen sind zwar etwas her, aber ich würde es nach wie vor empfehlen. Das einzige was ich damals immer gestört hat, dass es keinen richtigen Update-Freigabeprozess gibt. Man konnte zwar gewisse KBs white- bzw. Blacklisten, allerdings sowas wie eine Liste mit "Das will ich updaten, bitte erlaube es mir" gab es damals nicht.

Das kann sich derweil allerdings geändert haben.
pcpanik
pcpanik 25.09.2024 aktualisiert um 13:26:09 Uhr
Goto Top
Reicht mir zumindest aus.

Ich wäre Dir für einen Tipp Dankbar, wie man schnell und unkompliziert nur das Letzte BIOS Update für seine Endegeräte (Mini PCs und Notebooks) aus dem Treiber-Katalog herausfischt, ohne alle anderen Treiber abonnieren und durchsuchen zu müssen.
Vielleicht bediene ich es falsch, was ich nicht ausschließen will.

Klar, die virtuellen Maschinen (jede einzelne) brauchen entsprechende Freigaben zu den Azure-Diensten, wie auch den Windows-Updateservern.
Und damit haben wir bereits ein Ausschlusskriterium. Server haben idR. keinen Zugriff auf das Internet!

Mit heutigen Bandbreiten meist kein Problem mehr, aber halt auch nur meist.
Siehe Ausschlusskriterum und wenn bei einem KMU mit rund 1.500 Clients das monatliche Rollup-Paket kommt, gute Nacht.
DerWoWusste
DerWoWusste 25.09.2024 aktualisiert um 13:47:30 Uhr
Goto Top
Ich wäre Dir für einen Tipp Dankbar, wie man schnell und unkompliziert nur das Letzte BIOS Update für seine Endegeräte (Mini PCs und Notebooks) aus dem Treiber-Katalog herausfischt
Für alle Endgeräte? Das wäre ja spannend. Update verteilen, Nutzer machen einen Neustart und schalten dann ab, weil "dauert mir zu lange". Ok, du machst es vermutlich ohne Beisein der Nutzer, oder?
Dann such im Catalogue, vielleicht hast Du ja Glück https://www.catalog.update.microsoft.com/Home.aspx
Die Update ID wird angezeigt und per Powershell am WSUS wird wie folgt importiert (mit einer BeispielID 633...):
.\importupdatetowsus.ps1 -updateid 6338ef79-17ae-4e59-85ce-93e272ab0a55
Skriptcode des importupdatetowsus.ps1 von hier: https://learn.microsoft.com/en-us/windows-server/administration/windows- ...
pcpanik
pcpanik 26.09.2024 um 06:53:23 Uhr
Goto Top
Danke sehr für den Tipp. Das mit dem Einzelimport hatte ich nicht auf dem Schirm. face-smile
Und Nein, die werden natürlich nur kontrolliert freigegeben, wenn die Geräte z.B. zwecks Ausrollen eh in unserer Technik sind.
Roland567
Roland567 30.09.2024 um 15:59:17 Uhr
Goto Top
Aussage: Server haben idR. keinen Zugriff auf das Internet!

Also jeder der heute ein SOC im Betrieb hat, kommt vermutlich nicht mehr wirklich drumrum.
Microsoft Defender muss logischerweise auch nach "Hause telefonieren", sonst hat das SOC ja nichts zum Auswerten.
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.

Ausser man ist so gross und hat ein eigenen SOC im Haus; aber auch da glaube ich nicht daran.
kreuzberger
kreuzberger 30.09.2024 um 16:03:37 Uhr
Goto Top
@Roland567

ich denke es geht nicht bloss darum, ob ein Server autark ohne Internet surren darf, sondern auch inwiefern der Cloudzwang durch Kleinweich damit zwingend durchgesetzt wird, und was das letztlich für die Betreiber dr Server bedeutet.
Wird es Updates der bereits bezahlten Software dann noch kostenlos geben?
Gibt es den Windows server dann ggf. nur noch als Miet-Version?

etc.

Kreuzberger
pcpanik
pcpanik 14.11.2024 um 13:46:13 Uhr
Goto Top
Bei anderen Security Lösungen auf dem Server vermutlich auch nicht viel anders.

Für so was gibt es dann Proxy Systeme.