Vorgehen bei WSUS 2012

[kazeerulaz 10]

Hi

 

Habe einen 2012 Server installiert mit WSUS Rolle und für die Clients und Server Computergruppen gemacht ,Win7, XP, 2003, 2008, 2012 etc.

 

Dann hab ich folgende Klassen ausgewählt: Critical Updates, Definition Updates, Security Updates und Service Packs. Das einzige was ich mich noch frage ist ob ich Rollup Updates und Updates auch noch auswählen soll...aber glaub ich lass es weg...die mach ich dann halt manuell.

 

Wie geht man am besten vor die Updates zu bewilligen oder abzulehnen? Hab nun 5609 total gefundene Updates in der Liste. Bei sehr vielen steht das dieses Security Update z.b ein anderen Update ersetzt. Ich will ja nicht ein Update approven den es schon im Service Pack gibt, und nicht alle 5609 Updates runterladen...

 

Was ist hier best practive Vorgehen?

 

Warten bis alle einen Report haben und dann die die benötigt werden erlauben und die die schon installiert sind oder nicht passen ablehnen?

bearbeitet 15. Januar 2013 von kazeerulaz

[Sunny61 811]

Du wartest auf das was die Clients reporten. Und nur die Updates, die von den Clients angefordert werden, die genehmigst Du zur Installation. Nur die genehmigten werden vom WSUS gedownloadet und den Clients zur Verfügung gestellt. Das spart Platz und Bandbreite. ;)

[kazeerulaz 10]

Ok danke für die Bestätigung. Was macht man mit denen die nicht gebraucht werden? So lassen oder Declinen?

[Dunkelmann 96]

So stehen lassen. Falls mal ein frisch installierter Rechner ins Netz kommt, wird dieser die Updates benötigen.

bearbeitet 16. Januar 2013 von Dunkelmann

[kazeerulaz 10]

Ok, ich hab jetzt die benötigten Updates etc approved. Wie bringe ich den WSUS nun dazu die Updates runterzuladen? Sind schon etwa 1 Stunde approved aber hat noch nicht begonnen etwas runterzuladen

[Dukel 457]

Das macht Wsus automatisch. Aber eigentlich  direkt nach dem Approven.

[kazeerulaz 10]

Mist ich glaub ich hab nen bekannten Bug: http://social.technet.microsoft.com/Forums/en-US/winserverwsus/thread/9989aaed-fc80-4f63-8dcf-b96de20f8c9d

 

Bekomme nämlich folgende Fehlermeldung:

The WSUS content directory is not accessible.
System.UnauthorizedAccessException: Access to the path 'd:\wsus\clientupdates\WsusContent\anonymousCheckFile.txt' is denied.
   at System.IO.__Error.WinIOError(Int32 errorCode, String maybeFullPath)
   at System.IO.FileStream.Init(String path, FileMode mode, FileAccess access, Int32 rights, Boolean useRights, FileShare share, Int32 bufferSize, FileOptions options, SECURITY_ATTRIBUTES secAttrs, String msgPath, Boolean bFromProxy, Boolean useLongPath, Boolean checkHost)
   at System.IO.FileStream..ctor(String path, FileMode mode, FileAccess access, FileShare share, Int32 bufferSize, FileOptions options, String msgPath, Boolean bFromProxy)
   at System.IO.FileStream..ctor(String path, FileMode mode, FileAccess access, FileShare share)
   at System.IO.FileInfo.Open(FileMode mode, FileAccess access, FileShare share)
   at Microsoft.UpdateServices.Internal.HealthMonitoring.HmtWebServices.CheckContentDirWebAccess(EventLoggingType type, HealthEventLogger logger)

Hmm genau das Problem ist es...Ich kann noch nicht mal auf \\wsus\d$ zugreifen. Hmm mist

 

I have found the solution to the problem. It seems to be a bug in VMware, but can be caused by group policy settings, that enable auditing. It appears to happen if you have a virtual machine, add it to your domain, and after that, add another drive such as D or E to the virtual machine.

My solution was to turn off the following GPO setting that was applying to the server -

• Default Domain Controllers Policy, go to Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies >Audit Policy
• Audit object access
• Define these policy settings
• This was set, I unchecked it, so it is now Not Defined

Once the GPO was updated I rebooted the server twice, to apply the settings. and the access errors about not connecting to D drive disappeared. Another way of testing the problem is to try and access the administrative share of the drive, for eg \\server\d$. You will get an error about access denied. Once the GPO is turned off, the administrative share will work.

It is related to the VMware hot plug of drives http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1012225, I haven't tested this though.