autowolf 12 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 (bearbeitet) Hi, habe einen WSUS laufen (seit Jahren). Die Funktionsupdates rolle ich manuell aus. Seit heute kann ich bei den User sehen, dass sie selber die Version 1909 installieren könnten. Wir setzen z.Z. 1903 ein. Höher können wir nicht, da unser ERP das nicht supportet. Update ist in der mache. Wie kann ich das verhindern? GPO wird korrket übernommen. Auch habe ich Computerkonfiguration --> Administrative Vorlagen --> System --> Internetkommunikationsverwaltung --> Internetkommunikationseinstellungen --> "Zugriff auf alle Windows Update-Funktionen deaktivieren" (aktivert) bearbeitet 25. Mai 2020 von autowolf Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 (bearbeitet) DisableDualScan ist vermutlich nicht eingeschaltet. https://gpsearch.azurewebsites.net/#13740 Wenn das nicht konfiguriert ist, scannen die Clients trotzdem WU Online ab um nach Updates zu suchen. EDIT: Damit die Clients die neue Einstellung auch übernehmen, musst Du den Dienst WUAUSERV einmal neu starten. Bei der Gelegenheit auch gleich das %windir%\SoftwareDistribution vollständig leeren, wird nach Start des o.g. Dienstes neu hergestellt. Jetzt ist das 1909 auch lokal weg und die Clients dürften es auch nicht mehr holen. An einem Testclient die Schritte durchgehen. bearbeitet 25. Mai 2020 von Sunny61 Zitieren Link zu diesem Kommentar
autowolf 12 Geschrieben 25. Mai 2020 Autor Melden Teilen Geschrieben 25. Mai 2020 Hi, nein war nicht gesetzt. Eintrag ist drin. Für alle die eine deutsche Umgebung haben: https://www.escde.net/blog/windows-update-richtlinien-und-dual-scan Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 (bearbeitet) wenn man das so einstellt d.h wie hier: https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen Also beides aktivieren: - Zugriff auf alle Windows Update-Funktionen deaktivieren - Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt? Es gibt noch diese GPO: Keine Verbindungen mit Windows Update-Internetadressen herstellen Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren. bearbeitet 25. Mai 2020 von xrated2 Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 vor 2 Stunden schrieb xrated2: wenn man das so einstellt d.h wie hier: https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen Also beides aktivieren: - Zugriff auf alle Windows Update-Funktionen deaktivieren - Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt? Erklär doch bitte die letzte Zeile nochmal. Der WSUS selbst gibt keine Updates frei, das macht der Admin. Dann werden die freigegebenen Updates gedownloadet. Was genau meinst Du? Wenn DisableDualScan auf 1 steht, gehen die Clients nicht mehr Online zu WU und kontaktieren MSFT. Du kannst natürlich auch den dritten Eintrag in den Einstellungen setzen, dann kann kein Client mehr Online zu WU gehen. Zusätzlich sollte man den Weg auf der Firewall zentral versperren. Erst dann kann man sich ganz sicher sein, sofern man das so möchte. vor 2 Stunden schrieb xrated2: Es gibt noch diese GPO: Keine Verbindungen mit Windows Update-Internetadressen herstellen Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren. Wer schreibt das wo? Hast Du das selbst schon verifiziert? Wer aktiviert Online? KMS ist das Zauberwort. Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 Ich meinte wenn die Updates am WSUS automatisch genehmigt aber nicht heruntergeladen werden d.h. der Client sieht beim WSUS was er darf und holt sich die Dateien dann von MS. Heisst DisableDualScan das er nur nicht bei MS suchen darf oder auch nicht downloaden? Zu der anderen Einstellung: https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/ Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 vor 39 Minuten schrieb xrated2: Ich meinte wenn die Updates am WSUS automatisch genehmigt aber nicht heruntergeladen werden Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen. Um das zu automatisieren gibt’s auch Skripte. Zitieren Link zu diesem Kommentar
autowolf 12 Geschrieben 25. Mai 2020 Autor Melden Teilen Geschrieben 25. Mai 2020 vor 24 Minuten schrieb MurdocX: Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen. Um das zu automatisieren gibt’s auch Skripte. Jup. Ich gebe manuell frei und ca. 1 Woche nach veröffentlichung. Ich möchte kein Beta Tester sein. Zitieren Link zu diesem Kommentar
MurdocX 957 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 vor 44 Minuten schrieb autowolf: Jup. Ich gebe manuell frei und ca. 1 Woche nach veröffentlichung. Ich möchte kein Beta Tester sein. Ich wollt’s nur erwähnen. Es gibt viele die unnötig alles herunterladen, weil sie’s einfach nicht besser wissen. Bezüglich „Beta Tests“ habe ich bisher kaum bis keine schlechten Erfahrungen gemacht. Man hört immer viel, dennoch sind es meist irgendwelche Spezialfälle oder nur wenige betroffen. Ich genehmige (bzw. hab’s geskriptet) mit Ausnahmen alles benötigte. Probleme hab ich und Kollegen nie. Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 25. Mai 2020 Melden Teilen Geschrieben 25. Mai 2020 vor 49 Minuten schrieb MurdocX: Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen. Um das zu automatisieren gibt’s auch Skripte. Runterladen tut WSUS gar nichts, nur genehmigen. Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht. Bis jetzt kenne ich nur Cleanup über Powershell: Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupObsoleteUpdates -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupUnneededContentFiles -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineExpiredUpdates -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineSupersededUpdates -Verbose Invoke-WsusServerCleanup -UpdateServer $WSUS -CompressUpdates -Verbose Zitieren Link zu diesem Kommentar
Sunny61 809 Geschrieben 26. Mai 2020 Melden Teilen Geschrieben 26. Mai 2020 vor 5 Stunden schrieb xrated2: Runterladen tut WSUS gar nichts, nur genehmigen. Auch das macht der WSUS nicht, nur der Admin genehmigt. Und weshalb soll man nur genehmigen und der WSUS nichts downloaden? Hast Du es so eingestellt, dass Du am WSUS genehmigst und jeder Client holt sich die Updates direkt bei MSFT? vor 5 Stunden schrieb xrated2: Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht. Bis jetzt kenne ich nur Cleanup über Powershell: Du sitzt am WSUS und genehmigst die Updates, entweder für alle oder nur für bestimmte Gruppen. Die Rechner in den Testgruppen testen dann die Updates, läuft alles rund, kannst Du sie auf den Rest genehmigen. Je nach bunter Infrastruktur kann man trotzdem noch auf Fehler laufen, oder auch nicht. Dukel hat hier im Forum mal ein Script gepostet um Updates verzögert freizugeben. BTW: Für mich liest sich das von dir so, als ob Du eine Standard Genehmigungsregel hast, die alles für jeden sofort freigibt wenn die META Daten synchronisiert werden. BTW2: Fremde Threads kapert man nicht. Besser ist es einen eigenen Thread zu erstellen. Zitieren Link zu diesem Kommentar
xrated2 15 Geschrieben 26. Mai 2020 Melden Teilen Geschrieben 26. Mai 2020 (bearbeitet) Es geht darum die Zeit zu minimieren, ich möchte nicht jede Woche dran sitzen. Und da mittlerweile fast sämtliche Clients über VPN verteilt sind, macht das lokale Repository im WSUS keinen Sinn mehr. Dann werde ich mal nach dem Script suchen. Bei der autom. Freigabe kann man sowohl nach Produkt als auch nach Klassifikation filtern. bearbeitet 26. Mai 2020 von xrated2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.