none
WSUS - Welche Produkte und Klassifizierungen? Best Practise! RRS feed

  • Frage

  • Hallo,

    ich möchte hier bei uns gerne einen WSUS-Server einführen. Bisher beziehen unsere ca. 50 Clients (Windows 7 und 10) ihre Updates direkt von Microsoft. Die Einführung des WSUS-Servers soll mit der kompletten Umstellung auf Windows 10 stattfinden. Eingeführt die Windows 10 Pro 1809 und alle Clients haben dann vorerst diesen Stand. Über Gruppenrichtlinien habe ich schon verschiedene Definitionen eingerichtet (z.B. Übermittlungsoptionen, Automatische Updates, Semi-Annual Channel, wann Qualitäts- und Funktionsupdates installiert werden sollen, usw.).

    Jetzt stehe ich jedoch vor folgender Frage und auch nach vielem Recherchieren, bin ich noch nicht wirklich schlau geworden. Bei der Einrichtung des WSUS gibt es ja sehr viele verschiedenen Möglichkeiten, was man bei "Produkte" und später auch "Klassifizierungen" auswählen kann. Eine gute Erklärung der verschiedenen Produktauswahlen findet man hier: https://www.windowspro.de/wolfgang-sommergut/produkte-fuer-windows-10-wsus-auswaehlen

    Aber auch nach dem Lesen dieser Seite ist mir nicht wirklich ganz klar, was ich nun anwählen soll.

    Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:

    - Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)

    - Clients auf dem neuesten Stand halten

    - Funktionsupdates ausrollen z.B. auf 1903

    Im Moment habe ich mal testweise die folgenden Produkte ausgewählt:

    Bei Klassifizierungen habe ich folgende Einstellungen ausgewählt:

    Falls mir hier jemand helfen kann, würde ich mich sehr freuen.

    Viele Grüße

    Benjamin

    Dienstag, 16. April 2019 15:00

Antworten

Alle Antworten

  • Am 16.04.2019 schrieb JoghurtMitDerEcke:

    Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:

    - Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)

    - Clients auf dem neuesten Stand halten

    - Funktionsupdates ausrollen z.B. auf 1903



    Im Moment habe ich mal testweise die folgenden Produkte ausgewählt:

    <https://social.technet.microsoft.com/Forums/getfile/1428731>

    Kannst Du wählen.

    <https://social.technet.microsoft.com/Forums/getfile/1428733>

    Die brauchst Du nicht.

    <https://social.technet.microsoft.com/Forums/getfile/1428734>

    OK.

    Bei Klassifizierungen habe ich folgende Einstellungen ausgewählt:

    <https://social.technet.microsoft.com/Forums/getfile/1428735>

    Updates kannst Du noch auswählen.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Dienstag, 16. April 2019 19:20
  • Hallo,

    ich möchte hier bei uns gerne einen WSUS-Server einführen. Bisher beziehen unsere ca. 50 Clients (Windows 7 und 10) ihre Updates direkt von Microsoft. Die Einführung des WSUS-Servers soll mit der kompletten Umstellung auf Windows 10 stattfinden. Eingeführt die Windows 10 Pro 1809 und alle Clients haben dann vorerst diesen Stand. Über Gruppenrichtlinien habe ich schon verschiedene Definitionen eingerichtet (z.B. Übermittlungsoptionen, Automatische Updates, Semi-Annual Channel, wann Qualitäts- und Funktionsupdates installiert werden sollen, usw.).

    Jetzt stehe ich jedoch vor folgender Frage und auch nach vielem Recherchieren, bin ich noch nicht wirklich schlau geworden. Bei der Einrichtung des WSUS gibt es ja sehr viele verschiedenen Möglichkeiten, was man bei "Produkte" und später auch "Klassifizierungen" auswählen kann. Eine gute Erklärung der verschiedenen Produktauswahlen findet man hier: https://www.windowspro.de/wolfgang-sommergut/produkte-fuer-windows-10-wsus-auswaehlen

    Aber auch nach dem Lesen dieser Seite ist mir nicht wirklich ganz klar, was ich nun anwählen soll.

    Welche Checkboxen sollte ich bei "Produkte" und bei "Klassifizierungen" anhaken, wenn ich über den WSUS die folgenden Ziele erreichen will?:

    - Clients sicher im Unternehmensumfeld betreiben (auch in Zukunft mit neueren Versionen z.B. 1903)

    - Clients auf dem neuesten Stand halten

    - Funktionsupdates ausrollen z.B. auf 1903

    ...

    Falls mir hier jemand helfen kann, würde ich mich sehr freuen.


    Vielleicht hast du es inzwischen schon selbst herausgefunden, der Thread ist ja schon ein paar Wochen alt. Trotzdem hier mal meine Empfehlungen:

    WSUS war mal eine super Sache, aber leider wird er von MS nur noch sehr stiefmütterlich behandelt. Durch die Änderungen am Updatemodell von Win10 hätte man eigentlich auch den WSUS grundlegend überarbeiten müssen. Das hat man aber nicht gemacht, sondern lieber alles lieblos in die bestehende Struktur gepresst und das Ganze auch noch extrem schlecht dokumentiert.

    1. Bei den Produkten brauchst du nur den Haken bei "Windows 10". Alles andere mit "drivers", "servicing" usw. und  ist unnötig, es sei denn du hast spezielle Win10-Versionen wie LTSC im Einsatz oder möchtest die komplette Treiber-Datenbank von MS spiegeln. Treiber, Sprachpakete usw. würde ich eher On-Demand direkt von den MS-Servern ziehen, dafür gibt es eine entsprechende Gruppenrichtlinie.

    2. Bei den Klassifizierungen brauchst du ggfs:

    - "Update Rollups", sofern du das monatliche "Tool zum Entfernen bösartiger Software" einsetzen möchtest (was IMHO eigentlich zu den Sicherheitsupdates gehört, statt zu den Rollups)

    - "Updates", weil MS plötzlich entschieden hat, dass die Updates für das .NET-Framework für 1809 dort nunj wieder als separates Update angeboten werden, statt wie bisher als Teil der CUs (Cumulative Updates). Außerdem tauchen dort teilweise CUs auf, obwohl die ja eigentlich zu den Sicherheitsupdates gehören.

    - "Wichtige Updates", falls man auch Office aktuell halten möchte. Aber nicht wundern, wenn dann auch mal Servicing Stack-Updates für Win10 dort auftauchen (seit 1809 zum Glück wohl nicht mehr).

    Noch ein paar allgemeine Tipps:

    - für die Versorgung von W7-W10 Clients mit Office + W12-16 Server sollte man min. 250 GB Speicherplatz reservieren. Bei Nutzung der "Schnellinstallationsdateien" vervierfacht sich der Platzbedarf.

    - die integrierte Bereinigung funktioniert nicht zuverlässig, man muss früher oder später auf SQL-/PS-Skripte zurückgreifen

    - die Gruppenrichtlinien für die Update-Channels und Rückstellung von Updates kannst du dir sparen, die haben keinerlei Auswirkung auf Clients, die per WSUS versorgt werden.

    Mittwoch, 29. Mai 2019 18:59
  • Am 29.05.2019 schrieb J. Riegner:

    Vielleicht hast du es inzwischen schon selbst herausgefunden, der Thread ist ja schon ein paar Wochen alt. Trotzdem hier mal meine Empfehlungen:

    WSUS war mal eine super Sache, aber leider wird er von MS nur noch sehr stiefmütterlich behandelt. Durch die Änderungen am Updatemodell von Win10 hätte man eigentlich auch den WSUS grundlegend überarbeiten müssen. Das hat man aber nicht gemacht, sondern lieber alles lieblos in die bestehende Struktur gepresst und das Ganze auch noch extrem schlecht dokumentiert.

    WSUS ist kostenlos, lieber verkauft MSFT den SCCM. ;)

    1. Bei den Produkten brauchst du nur den Haken bei "Windows 10". Alles andere mit "drivers", "servicing" usw. und  ist unnötig, es sei denn du hast spezielle Win10-Versionen wie LTSC im Einsatz oder möchtest die komplette Treiber-Datenbank von MS spiegeln. Treiber, Sprachpakete usw. würde ich eher On-Demand direkt von den MS-Servern ziehen, dafür gibt es eine entsprechende Gruppenrichtlinie.

    Auch Treiber genehmigt man nicht automatisch, also hab ich auch nach
    der Auswahl der Treiber nicht die komplette Datenbank im WSUS. Nur die
    META-Daten.

    Noch ein paar allgemeine Tipps:

    - für die Versorgung von W7-W10 Clients mit Office + W12-16 Server sollte man min. 250 GB Speicherplatz reservieren. Bei Nutzung der "Schnellinstallationsdateien"_vervierfacht_ sich der Platzbedarf.

    - die integrierte Bereinigung funktioniert nicht zuverlässig, man muss früher oder später auf SQL-/PS-Skripte zurückgreifen

    Weder das ein noch das andere funktionieren nicht zuverlässig, sonder
    sehr zuverlässig. Man muss eben auch alte Updates ablehnen, das geht
    recht schnell manuell innerhalb einer eigenen Updateansicht, schon
    werden viele viele GB von der Platte geputzt.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Donnerstag, 30. Mai 2019 07:56

  • Weder das ein noch das andere funktionieren nicht zuverlässig, sonder
    sehr zuverlässig. Man muss eben auch alte Updates ablehnen, das geht
    recht schnell manuell innerhalb einer eigenen Updateansicht


    Hallo Winfried,

    wenn auch mit etwas Verspätung muss ich hier leider widersprechen. Denn in deiner Aussage liegt schon das erste Problem. Ich mache es zwar auch so, aber wieso muss man denn überhaupt manuell mittels einer eigenen Ansicht ablehnen? Es gibt dafür eine Option im CleanUp Wizard, die eigentlich automatisch alle Updates ablehnen sollte, wenn sie seit >30 Tagen nicht genehmigt wurden, ersetzt wurden und nicht mehr benötigt werden. Funktioniert aber offensichtlich nicht richtig, man findet nämlich immer uralte Updates, die genau diesen Kriterien entsprechen und trotz regelmäßiger Ausführung des Assistenten noch genehmigt sind.

    Wenn man nicht manuell aufräumt, kommt es allerdings früher oder später zwangsläufig zu der Situation, dass der CleanUp Wizard wg. TimeOut abbricht und nur noch erwähnte SQL-Skripte helfen (die selbst auf performanten Maschinen stunden- und tagelang laufen...)

    Aufräumen ist aber auch nicht ohne, denn immer wieder gibt es Fehler in der "Ersatz"-Kette und somit in den Abhängigkeiten der Updates untereinander. Ganz aktuelles Beispiel, es gibt in 2019-10 jeweils zwei Kumulative Updates für .NET Framework unter Windows 10 1903, KB4524100 vom 08.10 und KB4522741 vom 24.10. Beide stehen laut WSUS ganz oben in der Ersatzkette, was eigentlich nicht sein kann, weil jedes kumulative Update immer das Vorherige ersetzt. 

    Meine Aussage aus dem letzten Posting ist inzwischen leider auch schon hinfällig: seit 1903 muss man nämlich bei den Produkten plötzlich "Windows 10, version 1903 an later" anhaken, damit auch wirklich Updates für 1903 Clients angeboten werden. 

    MS ändert also mal wieder willkürlich das Verhalten des WSUS und man erfährt sowas höchstens zufällig, indem man ständig diverse Blogs durchsucht... Ich war lange ein großer WSUS-Fan und habe selbst noch zwei Stück am Laufen, habe aber den Eindruck dass MS das Produkt nicht mehr weiterentwickeln mag. Die Kleinen sollen eben WU for Business nutzen und die Großen SCCM... Für Neueinführungen würde ich WSUS daher auch nicht mehr empfehlen. 

    Sonntag, 27. Oktober 2019 22:06
  • Am 27.10.2019 schrieb J. Riegner:

    wenn auch mit etwas Verspätung muss ich hier leider widersprechen. Denn in deiner Aussage liegt schon das erste Problem. Ich mache es zwar auch so, aber wieso muss man denn überhaupt manuell mittels einer eigenen Ansicht ablehnen?

    Weil sie out of the Box NICHT abgelehnt werden.

    Es gibt dafür eine Option im CleanUp Wizard, die eigentlich automatisch alle Updates ablehnen sollte, wenn sie seit >30 Tagen nicht genehmigt wurden,

    Nein, abgelehnt wird im Wizard nichts. Das wäre ja fatal, wenn der
    WSUS ein Update, das ich genehmigt hatte, einfach so ablehnen würde.

    ersetzt wurden und nicht mehr benötigt werden. Funktioniert aber offensichtlich nicht richtig, man findet nämlich immer uralte Updates, die genau diesen Kriterien entsprechen und trotz regelmäßiger Ausführung des Assistenten noch genehmigt sind.

    Der Wizard löscht die Dateien der Updates aus dem Dateisystem, wenn
    sie 30 Tage lang nicht mehr genehmigt worden sind. D.h. sie müssen
    schon mal genehmigt worden sein und es muss die Dateien dazu im
    Dateisystem geben. Wurde das Update noch nie genehmigt, muss auch
    nicht aufgeräumt werden. Das was Du in der Ansicht siehst, sind alte
    META-Daten, die noch in der SQL Serverdatenbank SUSDB liegen, aber
    sonst nichts.

    Wenn man nicht manuell aufräumt, kommt es allerdings früher oder später zwangsläufig zu der Situation, dass der CleanUp Wizard wg. TimeOut abbricht und nur noch erwähnte SQL-Skripte helfen (die selbst auf performanten Maschinen stunden- und tagelang laufen...)

    Dafür kann der WSUS nichts, den Wizard muss man entweder manuell
    immer wieder ausführen, oder eben per Script.

    MS ändert also mal wieder willkürlich das Verhalten des WSUS und man erfährt sowas höchstens zufällig, indem man ständig diverse Blogs durchsucht... Ich war lange ein großer WSUS-Fan und habe selbst noch zwei Stück am Laufen, habe aber den Eindruck dass MS das Produkt nicht mehr weiterentwickeln mag. Die Kleinen sollen eben WU for Business nutzen und die Großen SCCM... Für Neueinführungen würde ich WSUS daher auch nicht mehr empfehlen. 

    Nicht das Verhalten des WSUS wird geändert, sonder das Verhalten des
    WU-Agent auf den Clients.

    Servus
    Winfried


    WSUS Package Publisher:
    https://github.com/DCourtel/Wsus_Package_Publisher
    HowTos zum WSUS Package Publisher
    https://www.wsus.de/wsus-package-publisher/
    GPO's: http://www.gruppenrichtlinien.de
    NNTP-Bridge für MS-Foren:
    https://github.com/JochenKalmbach/communitybridge
    GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

    Montag, 28. Oktober 2019 06:00