none
WSUS bringt nur wenige Updates RRS feed

  • Frage

  • Hallo Forum!

    wir setzen bei mehreren Kunden den SBS 2011 ein. Dieser bringt einen bereits aktivierten und konfigurierten WSUS mit. Man muss in dieser Richtung genau gar nix einstellen und die Domain-Clients erhalten ihre Updates ab sofort vom Server.

    Die GPOs sind bereits vorkonfiguriert und werden auch von den Clients angewendet.

    Soweit so gut - im Grunde funktioniert das auch überall. So sehe ich mich alle Monate genötigt in der SBS-Konsole ein paar vereinzelte Updates, die ein "ich stimme zu" benötigen, noch zu genehmigen (letztens erst IE 11).

    Auch die Clients melden ab und zu beim Herunterfahren "Update x von y wird installiert".

    Es scheint also alles zu funktionieren..

    Leider trügt der Schein!

    Gerade gestern habe ich an einem Client mit Win7 Pro 64bit das Windows-Update geöffnet und mir ist zum ersten Mal (man guckt dort ja nie rein) ein blauer Schriftzug aufgefallen.

    Zuvor steht "Vom Systemadministrator verwaltet" - OK

    Und direkt darunter steht der blaue, anklickbare Schriftzug "Online nach Updates aus MS Update suchen".

    Mit voller Überzeugung, dass hierbei durch den funktionierenden WSUS ja nix rauskommen kann habe ich mal draufgeklickt....

    60 Updates gefunden!! 50 davon waren kritische Sicherheitsupdates im Bereich "Wichtig"!!

    Anschließend gab es noch einen Link, über welchen man von Windows-Update auf Microsoft-Update umschalten konnte.

    Es kam eine Website, man setzt den Haken "Ich stimme zu" und schwups erfolgt ganz automatisch ein erneuter Updatesuchlauf -> 150 Updates! Die meisten sind Sicherheitsupdates!!

    Ich habe 2 weitere Clients geprüft -> selbes Verhalten, es fehlen massig Updates!

    Reichlich verwirrt habe ich mir den SBS angeschaut.. keine Fehler im WSUS zu erkennen aber auch am Server selbst gab es unter Windows-Update die selben blauen Schriftzüge mit gleichem Ergebnis!

    Habe mich daraufhin heute bei 2 anderen Kunden eingewählt - 2x mehr ein SBS 2011 - und 2x mehr dasselbe Verhalten!

    WSUS läuft... man kann Updates genehmigen... diese werden auch an den Clients installiert...

    ABER auch hier ergibt die manuelle Suche an den Clients zig fehlende Sicherheitsupdates!

    Was ist da los??

    Ich dachte Sicherheitsupdates zieht der WSUS einfach immer durch!? Bis heute habe ich am WSUS gar nichts konfiguriert. Es ist immernoch "SBS-Auslieferungszustand".

    In der Server-Konsole werden mir auch keine weiteren Updates zum genehmigen angeboten!

    Das Verhalten ist scheinbar auf allen SBSs identisch.

    Clients sind, bis auf wenige Ausnahmen, immer Win7 Pro 64.

    Hilfe!

    Thomas

    Freitag, 22. November 2013 10:55

Alle Antworten

  • Das ist das normale Verhalten vom WSUS, du musst den eben noch feintunen indem du in der Konfigration weitere Updatetypen auswählst und die (automaitisiert) freigibst.

    Standardmäßig werden nur kritische Updates gesynct und freigeben. Nicht aber optionale, Featurepacks etc., also quasi all das was du nach dem klick auf "online nach Updates suchen" gesehen hast ;)

    http://www.wsus.de/howto


    freundliche Grüße Thomas


    Freitag, 22. November 2013 11:03
  • Hallo und Danke für die schnelle Antwort.

    aber da muss ich ja beinahe widersprechen (und WSUS ist nicht gerade mein vertrautes Thema).

    Wenn denn per Standard nur "kritische" Updates verteilt werden, dann scheint MS das Update von IE10 auf IE11 wohl als "kritisch" einzustufen!? Wirklich??

    Und ja - sowas war mir bekannt, dass nur "kritische" gesynct werden. Ich war daher auch sonderlich überrascht, als beim manuellen Suchen haufenweise Sicherheitsupdates in der Rubrik "Wichtig" gefunden wurden.

    Macht MS hier tatsächlich Unterschiede zwischen "wichtigen" und "kritischen" Updates?? Und nochmals am Beispiel IE11 - der Browser ist also laut MS "kritischer" als "wichtige" Sicherheitsupdates???

    Das hört sich ehrlich gesagt nicht korrekt an.

    -----------------------

    Ich habe nun folgendes konfiguriert:

    Habe in den Update Services unter Optionen -> Produkte und Klassifizierungen -> Klassifizierungen alles angehakt außer "Treiber"

    Es waren zuvor nicht ausgewählt: "Updates" und "Feature Packs"

    Sollte es das schon gewesen sein?

    Habe dann unter Updates -> Alle Updates mir mal folgendes anzeigen lassen:

    Genehmigung: "Nicht genehmigt"; Status: "Alle"

    Er bringt in der Liste 8.612 Updates von 18.748, die alle samt nicht genehmigt sind. Ich habe ein wenig Angst davor, STRG+A zu drücken und dann 8.000 Updates zu genehmigen.

    Muss/Soll/Darf ich das tun?!

    Grüße

    Thomas

    Freitag, 22. November 2013 12:03
  • Naja, ob meine Definition von oben ganz richtig ist bezweifle selber, aber der Haken "Updates" machts, das ist so ein Füllhorn von allem, ausser kritischen ;) .

    Nein, ich glaub wohl kaum das du 8k Updates brauchst, du musst auswählen "Nicht genehmigt" und dann "Erforderlich". Dann zeigt er dir die korrekten Updates an, dann kannste STRG+A drücken.

    freundliche Grüße Thomas

    Freitag, 22. November 2013 12:48
  • Am 22.11.2013 schrieb Thomas Raasch:

    Soweit so gut - im Grunde funktioniert das auch überall. So sehe ich mich alle Monate genötigt in der SBS-Konsole ein paar vereinzelte Updates, die ein "ich stimme zu" benötigen, noch zu genehmigen (letztens erst IE 11).

    Den IE11 gibt es noch nicht im WSUS. Vermutlich meinst Du den IE10.
    Falls Du doch den IE11 meinst, poste doch bitte einen Screenshot,
    Danke.

    Auch die Clients melden ab und zu beim Herunterfahren "Update x von y wird installiert".

    Ab und zu ist beim Herunterfahren ist schlecht.

    Mit voller Überzeugung, dass hierbei durch den funktionierenden WSUS ja nix rauskommen kann habe ich mal draufgeklickt....

    60 Updates gefunden!! 50 davon waren kritische Sicherheitsupdates im Bereich "Wichtig"!!

    Zeig doch die exakte Konfiguration vom WSUS. Gibt es eine Automatische
    Genehmigungsregel? Wenn ja, dann bitte hier posten.

    Anschließend gab es noch einen Link, über welchen man von Windows-Update auf Microsoft-Update umschalten konnte.

    Es kam eine Website, man setzt den Haken "Ich stimme zu" und schwups erfolgt ganz automatisch ein erneuter Updatesuchlauf -> 150 Updates! Die meisten sind Sicherheitsupdates!!

    Ja und? Kanntest Du das vorher noch nicht? ;) Diese Updates kommen
    auch nur wenn Du auf dem WSUS keine Office-Produkte aktiviert hast.

    Ich dachte Sicherheitsupdates zieht der WSUS einfach immer durch!? Bis heute habe ich am WSUS gar nichts konfiguriert. Es ist immernoch "SBS-Auslieferungszustand".

    In der Server-Konsole werden mir auch keine weiteren Updates zum genehmigen angeboten!

    Schau doch einfach mal in die WSUS-Konsole. ;)


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher

    Freitag, 22. November 2013 14:00
  • Hallo und Danke!

    also genau so scheint es zu sein... SBS2011 im Auslieferungszustand macht wohl nur ein paar "spezielle" Updates - nennen wir sie "kritisch".

    Wusste ich nicht.... dachte, das wäre wie das normale Windows-Update. Alles was unter "Wichtig" steht wird gemacht. Naja....

    Habe also den Haken unter Klassifizierung bei "Updates" gesetzt und nun sind alle da.

    Nach der Begrenzung auf "Nicht genehmigt" und "Erforderlich" waren es noch 90 Updates, die ich sogleich genehmigt habe.

    Des Weiteren:

    jaaa da ist tatsächlich nur der IE10 im WSUS... ich dachte ich hab den 11er gesehen. Vermutlich erinnerte ich mich da nur an den manuellen Suchlauf am Client direkt - da kam natürlich der 11er.

    Eine automatische Genehmigungsregel... gute Frage! Also ich kenne keine :)

    Der WSUS ist einfach im "Auslieferungszustand" seiner SBS-Installation. Irgendwas wird bereits automatisch genehmigt, da es ja immer mal zu Updates kam.

    In der WSUS-Konsole gibt es unter Optionen im Punkt Automatische Genehmigungen die "Automatische Standardgenehmigungsregel" worin steht:

    Wenn ein Update in Sicherheitsupdates, Wichtige Updates enthalten ist

    Update für Alle Computer genehmigen

    Diese Regel ist aber nicht angehakt! Also vermutlich nicht aktiv.

    In der SBS-Konsole (also nicht in der WSUS-Konsole) kann man unter "Einstellungen für Softwareupdates ändern" folgendes einstellen:

    [Zitat]

    Die Installation aller Sicherheits-, wichtigen und Definitionsupdates sowie aller Service Packs automatisch genehmigen.

    Diese Option ist ausgewählt - scheint aber mit den Optionen in der WSUS-Konsole nix zu tun zu haben.

    Und Microsoft-Update war mir schon vorher bekannt :)

    Ich dachte nur, dass der WSUS das alles mitmacht. Also das tut er ja auch - nur nicht ganz so von allein, wie ich das erwarte hatte.

    Ansonsten würde ich das Thema für mich als "gelöst" ansehen.

    Vielen Dank

    Montag, 25. November 2013 13:15
  • Am 25.11.2013 schrieb Thomas Raasch:

    also genau so scheint es zu sein... SBS2011 im Auslieferungszustand macht wohl nur ein paar "spezielle" Updates - nennen wir sie "kritisch".

    Vermutlich waren es nur 'Kritische Updates'. ;)

    Habe also den Haken unter Klassifizierung bei "Updates" gesetzt und nun sind alle da.

    Welche Haken hast Du denn gesetzt? Hoffentlich hast Du die Treiber
    nicht aktiviert.

    jaaa da ist tatsächlich nur der IE10 im WSUS... ich dachte ich hab den 11er gesehen. Vermutlich erinnerte ich mich da nur an den manuellen Suchlauf am Client direkt - da kam natürlich der 11er.

    ;)

    In der WSUS-Konsole gibt es unter Optionen im Punkt Automatische Genehmigungen die "Automatische Standardgenehmigungsregel" worin steht:

    Wenn ein Update in Sicherheitsupdates, Wichtige Updates enthalten ist

    Update für Alle Computer genehmigen

    Diese Regel ist aber nicht angehakt! Also vermutlich nicht aktiv.

    Weshalb kommen dann automatisch Updates? ;)

    Die Installation aller Sicherheits-, wichtigen und Definitionsupdates sowie aller Service Packs automatisch genehmigen.

    Diese Option ist ausgewählt - scheint aber mit den Optionen in der WSUS-Konsole nix zu tun zu haben.

    Hat es schon, aber nicht das was Du glaubst.

    Ich dachte nur, dass der WSUS das alles mitmacht. Also das tut er ja auch - nur nicht ganz so von allein, wie ich das erwarte hatte.

    Macht er auch, aber ein bisschen Mitarbeit ist schon nötig.

    Ansonsten würde ich das Thema für mich als "gelöst" ansehen.

    Vielen Dank

    Bitte, gern geschehen. ;)


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher

    Montag, 25. November 2013 18:09