Weltalltrauma 15 Geschrieben 10. Juni 2010 Melden Geschrieben 10. Juni 2010 Guten Tag die Herren und natürlich auch die Damen, ich stehe hier vor einer kleinen Herausforderung: Ein WSUS 3.0 Server auf Windows 2003 Server 1. Problem - seit 6 Monaten ( vielleicht auch Jahre ) wurden keine Updates für Clients ( XP, 7 ) und Server ( 2003 ) genehmigt. Was für mich bedeutet, aaaaaaaaaaah Hilfe kritische Systeme. Und dem entsprechend muss der ganze Spaß auch geupdatet werden. Doch die Frage ist WIE? Ich persönlich scheue mich davor, alle Updates der letzten Jahre einfach so zu genehmigen in der guten Hoffnung "geht schon schief". Derzeit habe ich also so 300 Updates, welchen den Status "Ersetzen andere Update", "Wurde durch ein anderes Update ersetzt" oder "Dieses Update wurde durch ein Update ersetzt, und ersetzt andere Updates". Ich nehme ganz stark an, dass ich alle Updates welche den Status "Wurde durch ein anderes Update ersetzt" einfach ablehnen kann. Oder worauf müsste ich denn noch achten? Die Updates mit dem Status: "Ersetzt andere Updates" werde ich entweder genehmigen, oder erst mal warten. Was ist also die beste Methode um sicherzugehen, dass die Updates im Großen und Ganzen nicht quer schießen. Sollte ich das alles per WSUS regeln, und mir wirklich ALLE Updates genau anschauen und dann genehmigen oder ist es besser wenn ich an die Rechner gehe und die Updates über das Heise Offline WSUS Programm von Hand einspiele? 2. Problem Wie finde ich heraus, ob die Rechner intern auch wirklich den WSUS Server als Updateserver akzeptiert haben? 99% der Rechner werden in der WSUS Verwaltung angezeigt und ich bekomme Statusmeldungen wann sie zuletzt angemeldet wurden. Sitze ich jedoch direkt am Rechner und klicke ich auf die Windows Update Verknüpfung unter "Start/Programme" werde ich auf die Seite Microsoft Windows Update weiter gelinkt und ich habe tendenziell immer mehr Updates zum installieren zur Verfügung als wirklich genehmigt worden sind? . Ich vermute ja eher, dass dann eher der Link erscheinen sollte von unserem WSUS Server also „http://WSUS-Server“. Liege ich mit meiner Vermutung richtig, oder ist es einfach quark in meinem Kopf und die Verlinkung stimmt und die Verknüpfung auf den update.microsoft.com Server wird intern unbemerkt auf unseren WSUS geroutet? Gebe ich von Hand im IE die Adresse http://WSUS-Server ein, so bekomme ich dann die Meldung „Die von Ihnen gewählte Website hat noch keine Standardseite. Möglicherweise wird sie gerade aktualisiert oder konfiguriert. „ Sollte da nicht eher die WSUS Administrationsseite auftauchen? 3. Das kleinste Problem. 1% der Clients werden nicht in der Auflistung im WSUS aufgeführt, gibt es einen Trick die Rechner manuell einzufügen ( Die Gruppenrichtlinie ist auch für die Rechner „eigentlich“ aktiv? Falls ich Infos vergessen habe, einfach bescheid sagen. Ich trage die dann nach. Zitieren
Sunny61 819 Geschrieben 10. Juni 2010 Melden Geschrieben 10. Juni 2010 - seit 6 Monaten ( vielleicht auch Jahre ) wurden keine Updates für Clients ( XP, 7 ) und Server ( 2003 ) genehmigt. Was für mich bedeutet, aaaaaaaaaaah Hilfe kritische Systeme. Und dem entsprechend muss der ganze Spaß auch geupdatet werden. Doch die Frage ist WIE? Die Clients berichten welchen Updates sie haben wollen. Die Updates gibst Du dann zum installieren frei. Nachdem sie gedownloadet und installiert worden sind, kommen evtl. noch ein paar dazu. Mit dieser Methode solltest Du die Clients in spätestens 2 Wochen up2date haben. Achtung! Hat ein XP-Client das SP3 nicht installiert, wird er auch nie den IE8 installieren. Nur so als Info. ;) Derzeit habe ich also so 300 Updates, welchen den Status "Ersetzen andere Update", "Wurde durch ein anderes Update ersetzt" oder "Dieses Update wurde durch ein Update ersetzt, und ersetzt andere Updates". Ich nehme ganz stark an, dass ich alle Updates welche den Status "Wurde durch ein anderes Update ersetzt" einfach ablehnen kann. Es gibt in den Optionen den Serverbereinigungsassistenten. Lass den regelmässig laufen, am besten mit einem Powershellscript. WSUS.DE - WSUS Serverbereinigung mit Powershell Dann brauchst du dir deshalb schon mal keine Gedanken mehr machen. Ansonsten gilt das was ich weiter oben geschrieben habe. Wie finde ich heraus, ob die Rechner intern auch wirklich den WSUS Server als Updateserver akzeptiert haben? Er muß in der Registry eingetragen sein. 99% der Rechner werden in der WSUS Verwaltung angezeigt und ich bekomme Statusmeldungen wann sie zuletzt angemeldet wurden. Und wo ist das letzte Prozent? Sitze ich jedoch direkt am Rechner und klicke ich auf die Windows Update Verknüpfung unter "Start/Programme" werde ich auf die Seite Microsoft Windows Update weiter gelinkt und ich habe tendenziell immer mehr Updates zum installieren zur Verfügung als wirklich genehmigt worden sind? . Ich vermute ja eher, dass dann eher der Link erscheinen sollte von unserem WSUS Server also „http://WSUS-Server“.'>http://WSUS-Server“. Liege ich mit meiner Vermutung richtig, oder ist es einfach quark in meinem Kopf und die Verlinkung stimmt und die Verknüpfung auf den update.microsoft.com Server wird intern unbemerkt auf unseren WSUS geroutet? Du bekommst keinen Zugriff über ein Webinterface auf den WSUS. Wenn Du aus der Beispiel-GPO die zweite Benutzereinstellung auf die User wirken lässt, können die nicht mehr direkt auf WU gehen. http://www.wsus.de/images/WSUSGPO.png Das Webinterface gibts seit WSUS 3.0 nicht mehr. Gebe ich von Hand im IE die Adresse http://WSUS-Server ein, so bekomme ich dann die Meldung „Die von Ihnen gewählte Website hat noch keine Standardseite. Möglicherweise wird sie gerade aktualisiert oder konfiguriert. „ Sollte da nicht eher die WSUS Administrationsseite auftauchen? Nein, die gibts seit dem WSUS 3.0 nicht mehr. Lies die Doku von MS dazu. Das kleinste Problem. 1% der Clients werden nicht in der Auflistung im WSUS aufgeführt, gibt es einen Trick die Rechner manuell einzufügen ( Die Gruppenrichtlinie ist auch für die Rechner „eigentlich“ aktiv? Die sind vermutlich geklont: WSUS.DE - Bei Clone-PC funktionieren die Automatischen Updates nicht Zitieren
Weltalltrauma 15 Geschrieben 15. Juni 2010 Autor Melden Geschrieben 15. Juni 2010 Erstmal sorry dass ich mich erst so spät gemeldet habe. Und danke für die hilfreichen Informationen. Und bin fleissig am umsetzen. Eine Frage habe ich jedoch noch, ich suche eine Ansicht welche mir sagt, welche Updates ein Client überhaupt noch benötigt. In der Ansicht in der ich bis jetzt unterwegs bin, sehe ich nur die Anzahl der Updates welche der Client noch benötigt. Wie bekomme ich diese Ansicht hin, wenn es Sie denn gibt? Und irgendwie funktioniert der Assistent für die Serverbereinigung nicht. Beim Assistenten habe ich die Option "Nicht verwendete Updates und Revisionen bereinigen" angeklickt, was bedeutet, dass das Updates welche seit 30 Tagen nicht genehmigt worden sind entfernt werden, inkl. ältere Revsionen. Führe ich das ganze aus, habe ich dennoch noch Updates von 2009 drin, welche von keinen Computer benötigt werden. Irgendwie seltsam. Zitieren
Sunny61 819 Geschrieben 15. Juni 2010 Melden Geschrieben 15. Juni 2010 Erstmal sorry dass ich mich erst so spät gemeldet habe. Und danke für die hilfreichen Informationen. Und bin fleissig am umsetzen. Basst scho. ;) Eine Frage habe ich jedoch noch, ich suche eine Ansicht welche mir sagt, welche Updates ein Client überhaupt noch benötigt. In der Ansicht in der ich bis jetzt unterwegs bin, sehe ich nur die Anzahl der Updates welche der Client noch benötigt. Wie bekomme ich diese Ansicht hin, wenn es Sie denn gibt? Klick einen Client an, jetzt im unteren Bereich auf den Link für die noch benötigten Updates klicken. Im sich öffnenden Bericht findest Du die Updates aufgelistet, die der Client noch möchte. Und irgendwie funktioniert der Assistent für die Serverbereinigung nicht. Beim Assistenten habe ich die Option "Nicht verwendete Updates und Revisionen bereinigen" angeklickt, was bedeutet, dass das Updates welche seit 30 Tagen nicht genehmigt worden sind entfernt werden, inkl. ältere Revsionen. Führe ich das ganze aus, habe ich dennoch noch Updates von 2009 drin, welche von keinen Computer benötigt werden. Irgendwie seltsam. Das was Du siehst, sind die sog. META-Daten in der SQL-Datenbank. Die bekommst Du nicht raus. Wenn Du Updates nicht brauchst, dann lehn sie einfach ab. Den Serverbereinungsassi brauchst Du nicht. Dafür gibts ein Powershell Script: WSUS.DE - WSUS Serverbereinigung mit Powershell Damit wird auch regelmässig Platz auf der HDD frei. Zitieren
Weltalltrauma 15 Geschrieben 15. Juni 2010 Autor Melden Geschrieben 15. Juni 2010 Ich *****, ich war schon tausendmal in dieser Übersicht. Mir ist nie aufgefallen, dass es mehrere Seiten in der Übersicht gibt. Auf Seite 2 stehen ja alle Infos welche ich benötige. ;) Als nächstes folgte das Powershellscript, welches ich mir zu Gemüte führe. Zitieren
Weltalltrauma 15 Geschrieben 5. August 2010 Autor Melden Geschrieben 5. August 2010 Ich hab ein neues Problemchen mit dem WSUS. Und zwar wie folgt: Manche PCs tauchen nicht auf im WSUS. Was ich herausgefunden habe, ist dass die Gruppenrichtlinie für den WSUS nicht bei den PCs angewendet wird, obwohl die PCs in der Objektgruppe sind bei denen es funktioniert. Das macht mich etwas stutzig. Hat jemand eine Idee woran das liegen könnte? Zitieren
NorbertFe 2.171 Geschrieben 5. August 2010 Melden Geschrieben 5. August 2010 Wenn GPOs nicht gezogen werden, dann stimmt aber was anderes nicht. Hat nix mit WSUS zu tun. Du solltest eventuell einen eigenen Thread dafür öffnen. Steht denn was im Eventlog der Clients? Werden andere GPOs angewandt? Bye Norbert Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.