himpke
Goto Top

WSUS Updates Service - Generelle Einstellungen

Hallo Ihr Lieben face-smile

Ich habe mir einen WSUS eingerichtet und dabei bemerkt, dass sich doch die eine oder andere Frage ergibt :D

Ich weiß, dass ihr mehr Erfahrung als ich im Bereich habt und stelle deswegen mal folgende Fragen an euch:

1. Unter der Option "Produkte und Klassifizierungen" gibt es den Reiter "Klassifizierungen" Dort habe ich alles wie im Angang zu sehen eingestellt. Ich als Anfänger denke mir, dass sollte reichen.
Was meint ihr? Wie ist es bei euch eingestellt und warum?

2. Über die Nacht ist die Synchronisation gelaufen und jetzt habe ich natürlich ein "paar"^^ Updates in der Liste stehen.
Im Anhang "Wsus2" habe ich die Stelle rot markiert. Ich mache es eig. so:
Ich gehe auf "Updates auf hoher Priorität" stelle die Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich". Das mache ich auch mit dem Punkt "Sicherheitsupdates".
Ist das so richtig oder gibt es andere Empfehlungen? face-smile

System:
Windows Server 2008 R2
Clients: Win7-10
Deutsch, Englisch

Sry, war viel zu lesen, aber ich hoffe, ich habe es ausführlich beschreiben können.

Danke schon mal allen im Voraus face-smile

Liebe Grüße
Himpke
wsus1
wsus2

Content-ID: 303505

Url: https://administrator.de/contentid/303505

Ausgedruckt am: 13.11.2024 um 11:11 Uhr

ArnoNymous
ArnoNymous 03.05.2016 aktualisiert um 11:10:08 Uhr
Goto Top
Moin,

zu 1.
Ich nehme alles bis auf Treiber und Upgrade. Keine Treiberupdates, weil ich die Treiber selbst verwalte und mich nicht mit eventuellen Komplikationen rumschlagen möchte. Außerdem belegt das ordentlich Speicherplatz. Kein Upgrade, weil ich auch keine selbstständigen Versionssprünge möchte, sondern diese dann plane.
P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS face-smile


zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest. Die Updates genehmigen? Das kannst du auch im WSUS unter Optionen > Automatisches Genehmigen konfigurieren. Dann musst du das nicht per Hand machen. Natürlich steht damit aber auch die Gefahr im Raum, dass ein fehlerhaftes Update verteilt wird, was dann zu Problemen führt. Gabs ja in letzter Zeit schon einige. Muss du selbst wissen bzw würde ich von der Umgebung abhängig machen.

(Edit: Typo)
wsus
chiefteddy
chiefteddy 03.05.2016 aktualisiert um 11:10:04 Uhr
Goto Top
Hallo,

zu 2.

Ich habe von jeder im Unternehmen eingesetzten BS-Version eine VM als Test-System. Die habe ich in einer separaten Computer-Gruppe zusammengefaßt.

Diese Gruppe bekommt über eine eigene Regel die Updates usw. sofort. Die anderen Rechner (Gruppe "Desktop" und "Server") erhalten die Updates 2 Tage später.

Damit habe ich die Möglichkeit, problematische Updates noch vor Verteilung auf die Produktiv-Systeme zu stoppen.

Jürgen
Himpke
Himpke 03.05.2016 um 11:11:04 Uhr
Goto Top
P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS
Ich habe Deutsch und Englisch aktiviert, da einige Server in Englisch sind. Sollte ich das lieber nur auf Deutsch stellen?

zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest.
Ich möchte wissen, ob die die Updates, die von den Clients angefordert werden und die ich dann freigeben muss, auf der Ansicht mit # Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich" # ersichtlich sind?

Ich stelle mir das so vor: Wenn ich auch die Ansicht "genehmigt" kilcke, sehe ich ja nur alle genehmigten Updates von mir, aber nicht die, die ich noch genehmigen muss. Deswegen wähle ich in der Ansicht die Einstellungen wie oben beschrieben (im Anhang rot markiert)
Himpke
Himpke 03.05.2016 um 11:12:16 Uhr
Goto Top
Hallo,

zu 2.

Ich habe von jeder im Unternehmen eingesetzten BS-Version eine VM als Test-System. Die habe ich in einer separaten Computer-Gruppe zusammengefaßt.

Daran dachte ich auch schon, aber momentan fehlen uns die Ressourcen zu face-sad
ArnoNymous
ArnoNymous 03.05.2016 um 11:13:45 Uhr
Goto Top
Dann vielleicht eine "Testgruppe" anlegen mit ein paar Clients von umgänglichen Usern, die dann die Updates zuerst bekommen.
ArnoNymous
ArnoNymous 03.05.2016 aktualisiert um 11:21:22 Uhr
Goto Top
Zitat von @Himpke:

P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS
Ich habe Deutsch und Englisch aktiviert, da einige Server in Englisch sind. Sollte ich das lieber nur auf Deutsch stellen?


Wieviele englische Server habt ihr denn? Und wie viele Produkte? Das Problem ist, dass es hier keine richtige Unterteilung gibt. So werden alle Updates in beiden Sprachen geladen. Ich hatte bisher immer nur einen Server auf Englisch (TMG). Die lasse ich dann immer Online suchen, anstatt dafür extra den WSUS zu belasten.

zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest.
Ich möchte wissen, ob die die Updates, die von den Clients angefordert werden und die ich dann freigeben muss, auf der Ansicht mit # Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich" # ersichtlich sind?

Ich stelle mir das so vor: Wenn ich auch die Ansicht "genehmigt" kilcke, sehe ich ja nur alle genehmigten Updates von mir, aber nicht die, die ich noch genehmigen muss. Deswegen wähle ich in der Ansicht die Einstellungen wie oben beschrieben (im Anhang rot markiert)

Ach okay. Ja, dass kannst du so machen, wenn du möchtest. Wenn du das aber bei "Alle Updates" machst, dann musst du das nicht noch extra bei den Sicherheitsupdates machen. Noch nciht genehmigte Updates werden wir aber auch auf der Übersichtsseite angezeigt.
Himpke
Himpke 03.05.2016 aktualisiert um 11:40:35 Uhr
Goto Top
Zitat von @ArnoNymous:

Wieviele englische Server habt ihr denn? Und wie viele Produkte? Das Problem ist, dass es hier keine richtige Unterteilung gibt. So werden alle Updates in beiden Sprachen geladen. Ich hatte bisher immer nur einen Server auf Englisch (TMG). Die lasse ich dann immer Online suchen, anstatt dafür extra den WSUS zu belasten.

3 Stück insgesamt. Hm.. also lieber keine englische Sprache aktivieren? Ist es auf einem Server aber nicht riskant, die Updates über die Windows eigene Suche laufen zu lassen? Genau deswegen versuche ich mich ja gerade an dem Wsus

Ach okay. Ja, dass kannst du so machen, wenn du möchtest. Wenn du das aber bei "Alle Updates" machst, dann musst du das nicht noch extra bei den Sicherheitsupdates machen. Noch nciht genehmigte Updates werden wir aber auch auf der Übersichtsseite angezeigt.

Aaaaa, du hast recht. Wenn ich auf "Für den Computer erforderliche Updates" klicke, komm ich sofort auf die Übersicht face-smile

P.S.: Ich hab noch eine weitere Frage. Ich überlege, ob ich die im separaten Thema eröffnen soll. Und zwar, ich hab den WSUS ja neu aufgesetzt. Lehne ich als erstes alle Updates ab, oder genehmige ich alle benötigten Updates jetzt? Und genehmige ich die Updates wo wenn ich drauf klicke "Dieses Updates wird durch ein anderes Updates ersetzt" ?

Ich glaube das eröffne ich separat
Winary
Winary 03.05.2016 aktualisiert um 12:28:39 Uhr
Goto Top
Hallo,

nicht gleich ablehnen. Lass sie erst auf "Nicht genehmigt" und warte bis sie von Clients abgefragt werden, also ein 1+ bei "Erforderlich" erzeugen. Abgelehnte Updates werden vom Client nicht abgefragt. Also würdest du nie sehen welche Updates du nun genehmigen sollst. Updates werden auch nur heruntergeladen wenn sie für mindestens eine Computergruppe genehmigt werden. Also lass sie erstmal auf "nicht genehmigt".

So lädst du auch nur Updates herunter, die deine Maschinen wirklich brauchen. Alle Updates ablehnen oder genehmigen ist immer schlecht, also so reduzierst du es auf das Nötigste und das ist hier am Besten so. Weniger ist mehr.

Werden nachträglich Updates abgelehnt, werden auch alle Reports dafür gelöscht, nur so als Neben-Hintergrundinformation. So weiß man nicht mehr welche Clients das Update installiert haben. Es gibt auch noch die Funktion "Zur Entfernung genehmigt", sofern das jeweilige Update das auch unterstützt. Damit wird das Update nochmal installiert aber diese Installation ist eine Deinstallation.


Grüße Winary
Himpke
Himpke 03.05.2016 aktualisiert um 13:31:55 Uhr
Goto Top
Zitat von @Winary:

Hallo,

nicht gleich ablehnen. Lass sie erst auf "Nicht genehmigt" und warte bis sie von Clients abgefragt werden, also ein 1+ bei "Erforderlich" erzeugen. Abgelehnte Updates werden vom Client nicht abgefragt. Also würdest du nie sehen welche Updates du nun genehmigen sollst. Updates werden auch nur heruntergeladen wenn sie für mindestens eine Computergruppe genehmigt werden. Also lass sie erstmal auf "nicht genehmigt".

So lädst du auch nur Updates herunter, die deine Maschinen wirklich brauchen. Alle Updates ablehnen oder genehmigen ist immer schlecht, also so reduzierst du es auf das Nötigste und das ist hier am Besten so. Weniger ist mehr.

Werden nachträglich Updates abgelehnt, werden auch alle Reports dafür gelöscht, nur so als Neben-Hintergrundinformation. So weiß man nicht mehr welche Clients das Update installiert haben. Es gibt auch noch die Funktion "Zur Entfernung genehmigt", sofern das jeweilige Update das auch unterstützt. Damit wird das Update nochmal installiert aber diese Installation ist eine Deinstallation.


Grüße Winary


Super! Danke. Dann lass ich die mal so.

Fazit:
Dann habe ich das ganze so verstanden: Wichtig beim WSUS ist hauptsächlich wirklich die Ansicht:
Updates mit hoher Prrio & Sicherheitsupdates (diese beiden Kategorien)
Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich"

Solange dort nichts drin ist, ist alles sauber.

Danke euch allen. Wie immer super Antworten und Top!
Winary
Lösung Winary 03.05.2016 aktualisiert um 13:53:32 Uhr
Goto Top
Bei mir ist bei der "Alle Updates"-Ansicht auf "Nicht genehmigt" und "Alle" gestellt.
Diese sortiere ich nach der Spalte "Erforderlich". Alle mit einer 1< werden nach Prüfung und Test-Client-Genehmigung, dann genehmigt. Alles was dann noch auf 0 steht und das so nach 1~2 Monaten nach Eingangsdatum, wird abgelehnt; braucht man ja offenbar nicht.

Vergiss nur nicht die Ansicht immer mal wieder zu aktualisieren. Das passiert nicht automatisch. Dazu oben auf Aktualisieren klicken. Die F5-Taste geht in der Ansicht warum auch immer nicht. Bei Alle Computer geht sie.
Himpke
Himpke 03.05.2016 um 14:07:15 Uhr
Goto Top
@Winary

Super. Das hat mir jetzt noch den ltzten super Tipp gegeben. Ich kenne mich mit WSUS ja noch nicht sehr gut aus, aber jetzt habe ich die Spalte "Erforderlich" auch gefunden und in der Ansicht aktiviert. Das bringt mir echt viel.

Ich danke allen, die mir sehr geholfen haben!