11
WSUS Updates Service - Generelle Einstellungen
Hallo Ihr Lieben 
Ich habe mir einen WSUS eingerichtet und dabei bemerkt, dass sich doch die eine oder andere Frage ergibt :D
Ich weiß, dass ihr mehr Erfahrung als ich im Bereich habt und stelle deswegen mal folgende Fragen an euch:
1. Unter der Option "Produkte und Klassifizierungen" gibt es den Reiter "Klassifizierungen" Dort habe ich alles wie im Angang zu sehen eingestellt. Ich als Anfänger denke mir, dass sollte reichen.
Was meint ihr? Wie ist es bei euch eingestellt und warum?
2. Über die Nacht ist die Synchronisation gelaufen und jetzt habe ich natürlich ein "paar"^^ Updates in der Liste stehen.
Im Anhang "Wsus2" habe ich die Stelle rot markiert. Ich mache es eig. so:
Ich gehe auf "Updates auf hoher Priorität" stelle die Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich". Das mache ich auch mit dem Punkt "Sicherheitsupdates".
Ist das so richtig oder gibt es andere Empfehlungen?
System:
Windows Server 2008 R2
Clients: Win7-10
Deutsch, Englisch
Sry, war viel zu lesen, aber ich hoffe, ich habe es ausführlich beschreiben können.
Danke schon mal allen im Voraus
Liebe Grüße
Himpke
Ich habe mir einen WSUS eingerichtet und dabei bemerkt, dass sich doch die eine oder andere Frage ergibt :D
Ich weiß, dass ihr mehr Erfahrung als ich im Bereich habt und stelle deswegen mal folgende Fragen an euch:
1. Unter der Option "Produkte und Klassifizierungen" gibt es den Reiter "Klassifizierungen" Dort habe ich alles wie im Angang zu sehen eingestellt. Ich als Anfänger denke mir, dass sollte reichen.
Was meint ihr? Wie ist es bei euch eingestellt und warum?
2. Über die Nacht ist die Synchronisation gelaufen und jetzt habe ich natürlich ein "paar"^^ Updates in der Liste stehen.
Im Anhang "Wsus2" habe ich die Stelle rot markiert. Ich mache es eig. so:
Ich gehe auf "Updates auf hoher Priorität" stelle die Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich". Das mache ich auch mit dem Punkt "Sicherheitsupdates".
Ist das so richtig oder gibt es andere Empfehlungen?
System:
Windows Server 2008 R2
Clients: Win7-10
Deutsch, Englisch
Sry, war viel zu lesen, aber ich hoffe, ich habe es ausführlich beschreiben können.
Danke schon mal allen im Voraus
Liebe Grüße
Himpke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303505
Url: https://administrator.de/contentid/303505
Ausgedruckt am: 13.11.2024 um 11:11 Uhr
11 Kommentare
Neuester Kommentar
Moin,
zu 1.
Ich nehme alles bis auf Treiber und Upgrade. Keine Treiberupdates, weil ich die Treiber selbst verwalte und mich nicht mit eventuellen Komplikationen rumschlagen möchte. Außerdem belegt das ordentlich Speicherplatz. Kein Upgrade, weil ich auch keine selbstständigen Versionssprünge möchte, sondern diese dann plane.
P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS
zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest. Die Updates genehmigen? Das kannst du auch im WSUS unter Optionen > Automatisches Genehmigen konfigurieren. Dann musst du das nicht per Hand machen. Natürlich steht damit aber auch die Gefahr im Raum, dass ein fehlerhaftes Update verteilt wird, was dann zu Problemen führt. Gabs ja in letzter Zeit schon einige. Muss du selbst wissen bzw würde ich von der Umgebung abhängig machen.
(Edit: Typo)
zu 1.
Ich nehme alles bis auf Treiber und Upgrade. Keine Treiberupdates, weil ich die Treiber selbst verwalte und mich nicht mit eventuellen Komplikationen rumschlagen möchte. Außerdem belegt das ordentlich Speicherplatz. Kein Upgrade, weil ich auch keine selbstständigen Versionssprünge möchte, sondern diese dann plane.
P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS
zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest. Die Updates genehmigen? Das kannst du auch im WSUS unter Optionen > Automatisches Genehmigen konfigurieren. Dann musst du das nicht per Hand machen. Natürlich steht damit aber auch die Gefahr im Raum, dass ein fehlerhaftes Update verteilt wird, was dann zu Problemen führt. Gabs ja in letzter Zeit schon einige. Muss du selbst wissen bzw würde ich von der Umgebung abhängig machen.
(Edit: Typo)
1
Hallo,
zu 2.
Ich habe von jeder im Unternehmen eingesetzten BS-Version eine VM als Test-System. Die habe ich in einer separaten Computer-Gruppe zusammengefaßt.
Diese Gruppe bekommt über eine eigene Regel die Updates usw. sofort. Die anderen Rechner (Gruppe "Desktop" und "Server") erhalten die Updates 2 Tage später.
Damit habe ich die Möglichkeit, problematische Updates noch vor Verteilung auf die Produktiv-Systeme zu stoppen.
Jürgen
zu 2.
Ich habe von jeder im Unternehmen eingesetzten BS-Version eine VM als Test-System. Die habe ich in einer separaten Computer-Gruppe zusammengefaßt.
Diese Gruppe bekommt über eine eigene Regel die Updates usw. sofort. Die anderen Rechner (Gruppe "Desktop" und "Server") erhalten die Updates 2 Tage später.
Damit habe ich die Möglichkeit, problematische Updates noch vor Verteilung auf die Produktiv-Systeme zu stoppen.
Jürgen
1
P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS
Ich habe Deutsch und Englisch aktiviert, da einige Server in Englisch sind. Sollte ich das lieber nur auf Deutsch stellen?zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest.
Ich möchte wissen, ob die die Updates, die von den Clients angefordert werden und die ich dann freigeben muss, auf der Ansicht mit # Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich" # ersichtlich sind?Ich verstehe nicht genau, was denn denn hier nun machen möchtest.
Ich stelle mir das so vor: Wenn ich auch die Ansicht "genehmigt" kilcke, sehe ich ja nur alle genehmigten Updates von mir, aber nicht die, die ich noch genehmigen muss. Deswegen wähle ich in der Ansicht die Einstellungen wie oben beschrieben (im Anhang rot markiert)
Hallo,
zu 2.
Ich habe von jeder im Unternehmen eingesetzten BS-Version eine VM als Test-System. Die habe ich in einer separaten Computer-Gruppe zusammengefaßt.
Daran dachte ich auch schon, aber momentan fehlen uns die Ressourcen zu
Dann vielleicht eine "Testgruppe" anlegen mit ein paar Clients von umgänglichen Usern, die dann die Updates zuerst bekommen.
Zitat von @Himpke:
P.S.: Ich hoffe, du hast auch nur die entsprechenden Sprachen ausgewählt? Sonst wirds bald eng auf deinem WSUS
Ich habe Deutsch und Englisch aktiviert, da einige Server in Englisch sind. Sollte ich das lieber nur auf Deutsch stellen?Wieviele englische Server habt ihr denn? Und wie viele Produkte? Das Problem ist, dass es hier keine richtige Unterteilung gibt. So werden alle Updates in beiden Sprachen geladen. Ich hatte bisher immer nur einen Server auf Englisch (TMG). Die lasse ich dann immer Online suchen, anstatt dafür extra den WSUS zu belasten.
zu 2.
Ich verstehe nicht genau, was denn denn hier nun machen möchtest.
Ich möchte wissen, ob die die Updates, die von den Clients angefordert werden und die ich dann freigeben muss, auf der Ansicht mit # Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich" # ersichtlich sind?Ich verstehe nicht genau, was denn denn hier nun machen möchtest.
Ich stelle mir das so vor: Wenn ich auch die Ansicht "genehmigt" kilcke, sehe ich ja nur alle genehmigten Updates von mir, aber nicht die, die ich noch genehmigen muss. Deswegen wähle ich in der Ansicht die Einstellungen wie oben beschrieben (im Anhang rot markiert)
Ach okay. Ja, dass kannst du so machen, wenn du möchtest. Wenn du das aber bei "Alle Updates" machst, dann musst du das nicht noch extra bei den Sicherheitsupdates machen. Noch nciht genehmigte Updates werden wir aber auch auf der Übersichtsseite angezeigt.
1Wieviele englische Server habt ihr denn? Und wie viele Produkte? Das Problem ist, dass es hier keine richtige Unterteilung gibt. So werden alle Updates in beiden Sprachen geladen. Ich hatte bisher immer nur einen Server auf Englisch (TMG). Die lasse ich dann immer Online suchen, anstatt dafür extra den WSUS zu belasten.
3 Stück insgesamt. Hm.. also lieber keine englische Sprache aktivieren? Ist es auf einem Server aber nicht riskant, die Updates über die Windows eigene Suche laufen zu lassen? Genau deswegen versuche ich mich ja gerade an dem Wsus
Ach okay. Ja, dass kannst du so machen, wenn du möchtest. Wenn du das aber bei "Alle Updates" machst, dann musst du das nicht noch extra bei den Sicherheitsupdates machen. Noch nciht genehmigte Updates werden wir aber auch auf der Übersichtsseite angezeigt.
Aaaaa, du hast recht. Wenn ich auf "Für den Computer erforderliche Updates" klicke, komm ich sofort auf die Übersicht
P.S.: Ich hab noch eine weitere Frage. Ich überlege, ob ich die im separaten Thema eröffnen soll. Und zwar, ich hab den WSUS ja neu aufgesetzt. Lehne ich als erstes alle Updates ab, oder genehmige ich alle benötigten Updates jetzt? Und genehmige ich die Updates wo wenn ich drauf klicke "Dieses Updates wird durch ein anderes Updates ersetzt" ?
Ich glaube das eröffne ich separat
Hallo,
nicht gleich ablehnen. Lass sie erst auf "Nicht genehmigt" und warte bis sie von Clients abgefragt werden, also ein 1+ bei "Erforderlich" erzeugen. Abgelehnte Updates werden vom Client nicht abgefragt. Also würdest du nie sehen welche Updates du nun genehmigen sollst. Updates werden auch nur heruntergeladen wenn sie für mindestens eine Computergruppe genehmigt werden. Also lass sie erstmal auf "nicht genehmigt".
So lädst du auch nur Updates herunter, die deine Maschinen wirklich brauchen. Alle Updates ablehnen oder genehmigen ist immer schlecht, also so reduzierst du es auf das Nötigste und das ist hier am Besten so. Weniger ist mehr.
Werden nachträglich Updates abgelehnt, werden auch alle Reports dafür gelöscht, nur so als Neben-Hintergrundinformation. So weiß man nicht mehr welche Clients das Update installiert haben. Es gibt auch noch die Funktion "Zur Entfernung genehmigt", sofern das jeweilige Update das auch unterstützt. Damit wird das Update nochmal installiert aber diese Installation ist eine Deinstallation.
Grüße Winary
nicht gleich ablehnen. Lass sie erst auf "Nicht genehmigt" und warte bis sie von Clients abgefragt werden, also ein 1+ bei "Erforderlich" erzeugen. Abgelehnte Updates werden vom Client nicht abgefragt. Also würdest du nie sehen welche Updates du nun genehmigen sollst. Updates werden auch nur heruntergeladen wenn sie für mindestens eine Computergruppe genehmigt werden. Also lass sie erstmal auf "nicht genehmigt".
So lädst du auch nur Updates herunter, die deine Maschinen wirklich brauchen. Alle Updates ablehnen oder genehmigen ist immer schlecht, also so reduzierst du es auf das Nötigste und das ist hier am Besten so. Weniger ist mehr.
Werden nachträglich Updates abgelehnt, werden auch alle Reports dafür gelöscht, nur so als Neben-Hintergrundinformation. So weiß man nicht mehr welche Clients das Update installiert haben. Es gibt auch noch die Funktion "Zur Entfernung genehmigt", sofern das jeweilige Update das auch unterstützt. Damit wird das Update nochmal installiert aber diese Installation ist eine Deinstallation.
Grüße Winary
1Zitat von @Winary:
Hallo,
nicht gleich ablehnen. Lass sie erst auf "Nicht genehmigt" und warte bis sie von Clients abgefragt werden, also ein 1+ bei "Erforderlich" erzeugen. Abgelehnte Updates werden vom Client nicht abgefragt. Also würdest du nie sehen welche Updates du nun genehmigen sollst. Updates werden auch nur heruntergeladen wenn sie für mindestens eine Computergruppe genehmigt werden. Also lass sie erstmal auf "nicht genehmigt".
So lädst du auch nur Updates herunter, die deine Maschinen wirklich brauchen. Alle Updates ablehnen oder genehmigen ist immer schlecht, also so reduzierst du es auf das Nötigste und das ist hier am Besten so. Weniger ist mehr.
Werden nachträglich Updates abgelehnt, werden auch alle Reports dafür gelöscht, nur so als Neben-Hintergrundinformation. So weiß man nicht mehr welche Clients das Update installiert haben. Es gibt auch noch die Funktion "Zur Entfernung genehmigt", sofern das jeweilige Update das auch unterstützt. Damit wird das Update nochmal installiert aber diese Installation ist eine Deinstallation.
Grüße Winary
Hallo,
nicht gleich ablehnen. Lass sie erst auf "Nicht genehmigt" und warte bis sie von Clients abgefragt werden, also ein 1+ bei "Erforderlich" erzeugen. Abgelehnte Updates werden vom Client nicht abgefragt. Also würdest du nie sehen welche Updates du nun genehmigen sollst. Updates werden auch nur heruntergeladen wenn sie für mindestens eine Computergruppe genehmigt werden. Also lass sie erstmal auf "nicht genehmigt".
So lädst du auch nur Updates herunter, die deine Maschinen wirklich brauchen. Alle Updates ablehnen oder genehmigen ist immer schlecht, also so reduzierst du es auf das Nötigste und das ist hier am Besten so. Weniger ist mehr.
Werden nachträglich Updates abgelehnt, werden auch alle Reports dafür gelöscht, nur so als Neben-Hintergrundinformation. So weiß man nicht mehr welche Clients das Update installiert haben. Es gibt auch noch die Funktion "Zur Entfernung genehmigt", sofern das jeweilige Update das auch unterstützt. Damit wird das Update nochmal installiert aber diese Installation ist eine Deinstallation.
Grüße Winary
Super! Danke. Dann lass ich die mal so.
Fazit:
Dann habe ich das ganze so verstanden: Wichtig beim WSUS ist hauptsächlich wirklich die Ansicht:
Updates mit hoher Prrio & Sicherheitsupdates (diese beiden Kategorien)
Genehmigung auf "Nicht genehmigt" und den Status auf "Erforderlich"
Solange dort nichts drin ist, ist alles sauber.
Danke euch allen. Wie immer super Antworten und Top!
Bei mir ist bei der "Alle Updates"-Ansicht auf "Nicht genehmigt" und "Alle" gestellt.
Diese sortiere ich nach der Spalte "Erforderlich". Alle mit einer 1< werden nach Prüfung und Test-Client-Genehmigung, dann genehmigt. Alles was dann noch auf 0 steht und das so nach 1~2 Monaten nach Eingangsdatum, wird abgelehnt; braucht man ja offenbar nicht.
Vergiss nur nicht die Ansicht immer mal wieder zu aktualisieren. Das passiert nicht automatisch. Dazu oben auf Aktualisieren klicken. Die F5-Taste geht in der Ansicht warum auch immer nicht. Bei Alle Computer geht sie.
Diese sortiere ich nach der Spalte "Erforderlich". Alle mit einer 1< werden nach Prüfung und Test-Client-Genehmigung, dann genehmigt. Alles was dann noch auf 0 steht und das so nach 1~2 Monaten nach Eingangsdatum, wird abgelehnt; braucht man ja offenbar nicht.
Vergiss nur nicht die Ansicht immer mal wieder zu aktualisieren. Das passiert nicht automatisch. Dazu oben auf Aktualisieren klicken. Die F5-Taste geht in der Ansicht warum auch immer nicht. Bei Alle Computer geht sie.
1
@Winary
Super. Das hat mir jetzt noch den ltzten super Tipp gegeben. Ich kenne mich mit WSUS ja noch nicht sehr gut aus, aber jetzt habe ich die Spalte "Erforderlich" auch gefunden und in der Ansicht aktiviert. Das bringt mir echt viel.
Ich danke allen, die mir sehr geholfen haben!
Super. Das hat mir jetzt noch den ltzten super Tipp gegeben. Ich kenne mich mit WSUS ja noch nicht sehr gut aus, aber jetzt habe ich die Spalte "Erforderlich" auch gefunden und in der Ansicht aktiviert. Das bringt mir echt viel.
Ich danke allen, die mir sehr geholfen haben!
1
