none
WSUS - Frage zu Gruppenzuordnung u. genehmigte Updates RRS feed

  • Frage

  • Hallo zusammen,

    ich befasse mich aktuell mit einem längere Zeit nicht genutzten WSUS-Server (W2008R2 - WSUS 3.1.6001.65) und versuche mich etwas einzuarbeiten und diese auf Vordermann zu bringen - es haben sich einige Updates angesammelt.

    Größtes Problem ist, dass es hauptsächlich Produktivsysteme bei uns gibt und ich kaum testen kann. 
    Dafür habe ich nun ein Testsystem, dass ich gerade zum "Spielen" verwende.

    Dazu habe ich auch die erste Frage:

    Ich habe eine Gruppe "Testsysteme" erstellt und das Testsystem per GPO eingebunden und konfiguriert.
    Für dieses habe ich auch ein benötigtes Update genehmigt, das ebenfalls erfolgreich auf diesem, dem Zeitplan entsprechend, installiert wurde. Nun stellt sich mir die Frage: wenn ich nun neue Systeme in diese Gruppe hebe, wird dieses Update vermutlich auch sofort (bzw. zum konfigurierten Zeitplan) auf diesen Systemen ebenfalls installiert, da es für die Computergruppe genehmigt ist, oder? Falls man dies nicht möchte, lässt sich das dann noch weiter differenzieren, oder müsste man dann unterschiedliche Computergruppen erstellen? Wie ist da die beste Vorgehensweise?

    Die zweite Frage betrifft den Status von genehmigten und installierten Updates. Dort steht beispielsweise unter "Genehmigen" --> "Installiert (2/6) ... wofür steht das in der Klammer? Habe keine Erläuterung gefunden.

    Gruß und ein schönes Wochenende!

    Freitag, 26. September 2014 12:09

Alle Antworten

  • Am 26.09.2014 schrieb thrashanthems:

    ich befasse mich aktuell mit einem längere Zeit nicht genutzten WSUS-Server (W2008R2 - WSUS 3.1.6001.65) und versuche mich etwas einzuarbeiten und diese auf Vordermann zu bringen - es haben sich einige Updates angesammelt.

    Der WSUS ist auf einem sehr sehr alten Stand. In der WSUS-FAQ No. 44
    siehst Du dass dein WSUS auf dem Stand von SP1 ist. http://wsus.de/faq
    Bitte zuerst unbedingt auf einen aktuellen Stand bringen, erst dann
    mit dem Problem weiter machen, Danke.

    Ich habe eine Gruppe "Testsysteme" erstellt und das Testsystem per GPO eingebunden und konfiguriert.
    Für dieses habe ich auch ein benötigtes Update genehmigt, das ebenfalls erfolgreich auf diesem, dem Zeitplan entsprechend, installiert wurde. Nun stellt sich mir die Frage: wenn ich nun neue Systeme in diese Gruppe hebe, wird dieses Update vermutlich auch sofort (bzw. zum konfigurierten Zeitplan) auf diesen Systemen ebenfalls installiert, da es für die Computergruppe genehmigt ist, oder?

    Richtig.

    Falls man dies nicht möchte, lässt sich das dann noch weiter differenzieren, oder müsste man dann unterschiedliche Computergruppen erstellen? Wie ist da die beste Vorgehensweise?

    Updates für eine bestimmte Testgruppe freigeben, ist der Test
    erfolgreich, dann das/die Update(s) für weitere Gruppen freigeben.

    Die zweite Frage betrifft den Status von genehmigten und installierten Updates. Dort steht beispielsweise unter "Genehmigen" --> "Installiert (2/6) ... wofür steht das in der Klammer? Habe keine Erläuterung gefunden.

    2 von 6 Gruppen. ;)


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Freitag, 26. September 2014 18:16
  • Hallo Winfried,

    danke schon einmal für die Antwort. 

    Bei der Versionsangabe ist mir ein Fehler unterlaufen.
    Die oben genannte Version war bei mir lokal in der Remoteverwaltung - diese habe ich nun geupdatet.

    Auf dem Server war und ist bereits Version 3.2.7600.226 installiert, also SP2.

    Viele Grüße

    Montag, 29. September 2014 10:58
  • Am 29.09.2014 schrieb thrashanthems:

    Bei der Versionsangabe ist mir ein Fehler unterlaufen.
    Die oben genannte Version war bei mir lokal in der Remoteverwaltung - diese habe ich nun geupdatet.

    Auf dem Server war und ist bereits Version 3.2.7600.226 installiert, also SP2.

    Wenn es nur die .226 ist, dann mußt Du trotzdem updaten. Schau dir die
    WSUS-FAQ No. 44 nochmal genau an und installiere die Updates. Falls Du
    die Konsole (WSUS.MSC) auch auf Clients/Servern <W8.x/W2012
    installiert hast, mußt du auch dort die Updates installieren.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Montag, 29. September 2014 17:11
  • Hallo Winfried,

    ich wundere mich gerade: ich habe das Update KB2938066 manuell auf dem Server und auch auf meinem lokalen Rechner für die Remote-Verwaltung installiert.

    Wenn ich jetzt in den Infos der Update Services nach der Versions-Info schaue, taucht da weiterhin Version: 3.2.7600.226 auf.
    Unter "Installierte Updates" ist das Update jedoch mit korrekter Versionsnummer gelistet.


    Dienstag, 30. September 2014 08:00
  • ich wundere mich gerade: ich habe das Update KB2938066 manuell auf dem Server und auch auf meinem lokalen Rechner für die Remote-Verwaltung installiert.

    Wenn ich jetzt in den Infos der Update Services nach der Versions-Info schaue, taucht da weiterhin Version: 3.2.7600.226 auf.
    Unter "Installierte Updates" ist das Update jedoch mit korrekter Versionsnummer gelistet.

    Wo *genau* liest Du denn die Versionsinfo aus? Über das ?-Menü oder auf der Startseite? Wenn ersteres, bitte hol dir die Info zur korrekten Position aus der WSUS-FAQ No. 44 erneut.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 30. September 2014 08:42
  • Wie war das mit dem blinden Huhn? 

    Ich hatte es natürlich über das ?-Menü aufgerufen. So passt es nun :)
    Also weiter im Programm, Version ist aktuell und ich führe gerade eine Serverbereinigung durch.

    Dienstag, 30. September 2014 09:56
  • Am 30.09.2014 schrieb thrashanthems:

    Also weiter im Programm, Version ist aktuell und ich führe gerade eine Serverbereinigung durch.

    OK, und in meiner ersten Antwort hab ich dir ja schon das ein oder
    andere beantwortet, oder hast Du noch Fragen?


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Dienstag, 30. September 2014 18:49
  • Hallo Winfried,

    soweit ist eigentlich alles gut.
    Einen Denkanstoß zum Abschluss könnte ich vielleicht noch gebrauchen, da mir noch eine Idee fehlt, wie ich Updates am Besten verteile.

    Grund dafür ist: bei den Systemen handelt es sich größtenteils um dedizierte Produktivsysteme (Testsysteme sind nur vereinzelt dazu vorhanden), überwiegend mit angepasster Software von Drittanbietern.

    Bisher wurde per Computergruppe/GPO nur in Windows 2003 und Windows 2008 aufgeteilt, was wohl eher wenig Sinn macht, vor allem was das Testen und die Unterscheidung nach Kritikalität betrifft. 

    Die einzige Lösung, die mir bisher eingefallen ist, wäre nach Anwendung aufzuteilen.

    Beispielsweise wäre das dann eine Einteilung in Produktiv- und Testsysteme mit Untergruppen für die einzelnen Server (unterteilt nach Applikation):

    Testsysteme
    - Applikation1
    - Applikation2
    - etc.

    Jetzt stellt sich mir zum einen die Frage, ob solch eine Einteilung wirklich praktikabel ist und ob es überhaupt Sinn macht? Immerhin müsste für jede Applikation eine eigene Richtlinie erstellt werden. Lässt sich die Untergruppe über die Richtlinie überhaupt vernünftig ansprechen? 

    Wenn es so möglich ist, müsste ich nach Umsetzung bei Bedarf die einzelnen Applikationsgruppen oder auch die kompletten Testsysteme "füttern" können.

    Donnerstag, 2. Oktober 2014 08:41
  • Am 02.10.2014 schrieb thrashanthems:

    Einen Denkanstoß zum Abschluss könnte ich vielleicht noch gebrauchen, da mir noch eine Idee fehlt, wie ich Updates am Besten verteile.

    Nur zum Verständnis für dich: Der WSUS verteilt nichts, er stellt nur
    zur Verfügung. Die Clients holen sich die Updates, der Unterschied
    ist klein, aber sehr fein. ;)

    Bisher wurde per Computergruppe/GPO nur in Windows 2003 und Windows 2008 aufgeteilt, was wohl eher wenig Sinn macht, vor allem was das Testen und die Unterscheidung nach Kritikalität betrifft. 

    Ihr habt die Gruppenaufteilung per GPO durchgeführt?

    Beispielsweise wäre das dann eine Einteilung in Produktiv- und Testsysteme mit Untergruppen für die einzelnen Server (unterteilt nach Applikation):

    Testsysteme
    - Applikation1
    - Applikation2
    - etc.

    Jetzt stellt sich mir zum einen die Frage, ob solch eine Einteilung wirklich praktikabel ist und ob es überhaupt Sinn macht? Immerhin müsste für jede Applikation eine eigene Richtlinie erstellt werden. Lässt sich die Untergruppe über die Richtlinie überhaupt vernünftig ansprechen? 

    Ob es praktikabel/vernünftig ist müsst ihr selbst entscheiden.
    Natürlich kann man das machen.

    Wenn es so möglich ist, müsste ich nach Umsetzung bei Bedarf die einzelnen Applikationsgruppen oder auch die kompletten Testsysteme "füttern" können.

    Mit 'füttern' meinst Du, die Clients/Server in die einzelnen Gruppen
    einfügen?


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 2. Oktober 2014 16:45
  • Nur zum Verständnis für dich: Der WSUS verteilt nichts, er stellt nur
    zur Verfügung. Die Clients holen sich die Updates, der Unterschied
    ist klein, aber sehr fein. ;)

    Ja, das war vielleicht etwas missverständlich von mir ausgedrückt. Mit Verteilen meinte ich die Freigabe von Updates für die verschiedenen Computergruppen. Durch das Abholen werden die Updates ja indirekt trotzdem verteilt.


    Ihr habt die Gruppenaufteilung per GPO durchgeführt?

    Ja genau.

    Mit 'füttern' meinst Du, die Clients/Server in die einzelnen Gruppen
    einfügen?

    Damit meine ich auch das Freigeben der Updates.
    Wenn ich z.B. die Computergruppen wie im Beispiel anlegen würde:

    Testsysteme (Computergruppe)
    - Applikation1 (untergeordnete Computergruppe)
    - Applikation2 (untergeordnete Computergruppe)
    - Applikation3

    wahlweise die Updates für Applikation1 ODER Applikation2 ODER Applikation 1+3 ODER auch für alle Applikationen in der Gruppe Testsysteme  (Applikation steht hier wie gesagt für einen dedizierten Server).



    Montag, 6. Oktober 2014 13:13
  • Am 06.10.2014 schrieb thrashanthems:

    Nur zum Verständnis für dich: Der WSUS verteilt nichts, er stellt nur
    zur Verfügung. Die Clients /**/holen/**/ sich die Updates, der Unterschied
    ist klein, aber sehr fein. ;)

    Ja, das war vielleicht etwas missverständlich von mir ausgedrückt. Mit Verteilen meinte ich die Freigabe von Updates für die verschiedenen Computergruppen. Durch das Abholen werden die Updates ja indirekt trotzdem verteilt.

    Nein, der WSUS stellt zur Verfügung, die Clients holen. Das ist kein
    verteilen im Sinne von verteilen. Nur ein zur Verfügung stellen. Da
    gehe ich keine Kompromisse ein. ;)

    Mit 'füttern' meinst Du, die Clients/Server in die einzelnen Gruppen
    */einfügen?

    /*Damit meine ich auch das Freigeben der Updates.
    Wenn ich z.B. die Computergruppen wie im Beispiel anlegen würde:

    Testsysteme (Computergruppe)
    - Applikation1 (untergeordnete Computergruppe)
    - Applikation2 (untergeordnete Computergruppe)
    - Applikation3

    wahlweise die Updates für Applikation1 ODER Applikation2 ODER Applikation 1+3 ODER auch für alle Applikationen in der Gruppe Testsysteme  (Applikation steht hier wie gesagt für einen dedizierten Server).

    Jepp, kann man so machen. ist aber sicherlich mit Aufwand verbunden.


    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Montag, 6. Oktober 2014 16:31