DerAdmin

Hallo, was soll ich wo skripten? Die Bereinigung? Die habe ich schon mit den Parametern die ich für richtig halte in einem Skript realisiert. Gruß Der Admin

Hallo, kein Grund sich auf den Schlips getreten zu fühlen. Ich möchte niemanden angreifen. Das ist nicht Sinn und Zweck eines Hilfeforums. Ich weiß sehr wohl, dass der WSUS das bei der automatischen Bereinigung so macht. Mit ein Grund, warum ich dort nicht alle Optionen aktiv habe. Ich fasse zusammen: Variante A): Immer nur jeweils das "höchste" Update genehmigen, alle ersetzten Updates ablehnen dafür aber zusätzlich WU konsultieren, wenn man sicher sein will, nichts zu verpassen Variante B): Keine Updates mehr ablehnen und eine große DB + "verschwendeter" Speicherplatz in Kauf nehmen Ich danke euch für die Geduld und die Zeit mich auf dem Weg zu dieser Erkenntnis begleitet zu haben. Viele Grüße Der Admin

Bei der Onlinesuche findet er folgende Updates...in Klammer meine Anmerkungen dazu): KB2978120 (wird von KB4041090 ersetzt, KB4041090 ist freigegeben wird aber nicht angefordert -> doch wieder ein ersetztes Update genehmigen) KB3122648 (wird von KB4055269 ersetzt, KB4055269 ist freigegeben wird aber nicht angefordert -> doch wieder ein ersetztes Update genehmigen) KB4052978 (wird von KB4074736 ersetzt (das war ein Update aus meinem Beispiel vorhin, welches ich auf Anraten abgelehnt habe) -> doch wieder ein ersetztes Update genehmigen) KB4054518 (wird von KB4056894 ersetzt -> KB4056894 wird von KB4074598 ersetzt, wird aber nicht angeboten -> doch wieder ein ersetztes Update genehmigen) KB4049016 (wird von KB4055532 ersetzt -> ist abgelaufen, KB4076492 sollte KB4055532 ersetzen (freigegeben), wird nicht angeboten ->doch wieder ein ersetztes Update genehmigen) KB4041083 (wird von KB4055532 ersetzt -> ist aber abgelaufen -> doch wieder ein ersetztes Update genehmigen) Das heißt also konkret, dass man nicht einfach nach der Ersetzung gehen kann. Zumindest fällt man dann auf die Nase, wenn zu einem späteren Zeitpunkt eine Maschine dazu kommt, die nicht den ganzen Updateverlauf mitgemacht hat. Für mich heißt das, dass ich mit dem Weg, ersetzte Updates nicht abzulehnen sondern nur auf "Nicht genehmigt" zu stellen, besser beraten bin und diese im Zweifelsfall auch freizugeben. Habe ich jetzt wieder einen Denkfehler? Gruß Der Admin

Wenn du dem zustimmst, frage ich mich, wie du im Post vorher behaupten kannst, dass ersetzte Updates gefahrlos abgelehnt werden können, obwohl du offensichtlich weißt, dass es nicht so ist. Aber sei's drum...habe jetzt online nach Updates suchen lassen: Er findet Updates, die auf dem WSUS freigegeben sind er aber von dort nicht haben möchte. Lustigerweise aber auch nicht das "2018-02 Monatliche Sicherheitsqualitätsupdate...", sondern er möchte "2017-12 Monatliche Sicherheitsqualitätsupdate..." haben. Selbst das ist auf dem WSUS freigegeben....will er von dort aber nicht.

Kurzer Zwischenstand: Updates abgelehnt -> Keine Updates erforderlich -> "Status grün" Nichtmal das Sicherheits und Qualitätsrollup vom Februar möchte er haben. Klar müssen für manche Updates bestimmte Bedingungen erfüllt werden. Es kann aber nicht sein, dass ich ein IE11 frisch aufpiele und KEINERLEI Updates dafür benötigt werden. Logfile weisst keine Errors auf, das hatte ich schon gecheckt. Jetzt setz ich dat Dingen mal zurück und schau was passiert. Ich werde auch mal noch ein 2k8 Server parallel dazu aufsetzen um zu prüfen, ob der das gleiche Verhalten an den Tag legt.

Hallo, danke Weingeist. Das wäre mein nächster Schritt gewesen, den Client (in dem Falle ein 2k8R2 Server) zurückzusetzen. /reportnow /detectnow habe ich schon mehrmals ausgeführt und auch jeweils auf der Konsole geprüft, ob die Meldung aktuell ist. Danke Gulp, fürs Nachschauen. Jedoch wie schon in meinen vorherigen Posts erwähnt, werden auch die Februarupdates NICHT angefordert. obwohl er sie anfordern müsste. Genau das hat mich ja überhaupt erst zur Frage gebracht, ob ersetzte Updates wirklich gefahrlos abgelehnt werden können oder ob doch eine gewisse Abhängigkeit zum ersetzenden Update besteht. Im Falle des IE Updates hat das jetzt schonmal nicht funktioniert. Ich spiele das Szenario jetzt mal noch mit den Sicherheits und Qualitätsrollups durch (ablehnen statt nicht genehmigt) und wenn das auch nichts hilft, setzte ich wirklich den Client zurück. Viele Grüße Der Admin

Hallo, ich habe das nun mal testweise mit den kummulativen IE Updates durchgespielt. KB4074736 ersetzt die Updates KB4056568, KB4018271, KB4014661 und KB4012204 Die Updates KB4056568, KB4018271, KB4014661 und KB4012204 sind NICHT installiert. Das Update KB4074736 wird trotzdem nicht angefordert. "Windows ist auf dem neusten Stand". /reportnow durchgeführt. Statusbericht und Letzter Kontakt auf der WSUS Konsole auf aktuellem Stand. Nochmal nach Updates suchen lassen, Es wird wieder nichts gefunden. Sollte jetzt nicht das Update KB4074736 gefunden werden? Viele Grüße Der Admin

Danke, das war deutlich genug. Heißt im Umkehrschluss: Lehne ich die ersetzten Updates ab, sollte das aktuelle vom Client angefordert werden, richtig? Gruß Der Admin

Hallo, warum schreiben wir jetzt über Updates die es NICHT über WSUS gibt (hierfür hätte ich gerne auch mal ein Beispiel)? Die betroffenen Updates die ich genannt habe sind über WSUS verfügbar und trotzdem scheint es an irgend einer Stelle ein Problem damit zu geben ob ein Client sich davon ein Update holt oder nicht, bzw. ,so kommt es mir vor, sind die Angaben ob ein Update ersetzt wurde oder ein Update ein anderes Update ersetzt nicht zuverlässig. Darum geht es mir. Gruß Der Admin

Natürlich muss mir ein WSUS die WU komplett ersetzen können. Ich möchte nicht, dass die Clients direkt mit MS kommunizieren. Daher ist das auch vom Proxy gesperrt. MS kann auch nicht allen ernstes Erwarten, dass ich meine Clients regelmäßig vom WSUS entferne, für WU konfiguriere, nur um sicher zu gehen, dass der WSUS kein Update vergessen hat zu verteilen, um sie dann später wieder in den WSUS einzubinden. Es gibt bei uns keine Clients die keine Verbindung zum WSUS haben. Find ich schon gut, dass du deutlich äußerst. Nehme ich auch nicht persönlich und auch nicht böse. Ich möchte ja verstehen warum das so ist und wo was schief läuft. Von daher alles gut. Ich versuche es nochmal anders zu beschreiben was ich meine. OS enthält einen Bug. Dieser Bug wird in dem Update KB3149090 gelöst. Update KB3149090 wird ersetzt durch Update KB4015459, KB4019264, KB4022719, KB4025341, KB4034664, KB4038777 und KB4041681 ersetzt. Alle genannten Updates incl. KB3149090 werden von WSUS als "Ersetzt" angezeigt und sind somit abgelehnt (bzw. bei mir nicht genehmigt, sonst würde ich das nicht sehen). Weiter gehts: Update KB4048957 ersetzt KB4041681-> KB4054518 ersetzt KB4048957 -> KB4056894 ersetzt KB4054518 -> KB4074598 ersetzt KB4056894 und ist das letzte Update aus dieser Reihe. Alle diese genannten Updates außer KB4074598 wurden abgelehnt, bzw. stehen auf nicht genehmigt. KB4074598 wird aber von WSUS für den Server als "Nicht benötigt" eingestuft und wird auch vom Server nicht angefordert obwohl es eigentlich erforderlich wäre, da kein anderes Update welches das ursprüngliche Update KB3149090 ersetzen kann. Welche Chance habe ich nun den Bug den KB3149090 löst mit aktuellen Updates zu beseitigen? Danke und Gruß Der Admin Gut, falsch ausgedrückt. Ist mir schon klar, dass das nicht der WSUS macht, sondern das anzeigt was der Client reported. Warum reported aber der Client nicht, dass er das aktuelle Update von 2018-02 braucht sondern will die alten Kamellen haben? www.wsus.de kenne ich schon seit das Dingen noch SUS 1.0 hieß

Hallo, genau das ist ja mein Problem. WSUS meldet KB3149090 als erforderliches Update. Alle anderen Updates die dieses Update normalerweise ersetzen würden wären, wenn ich der Logik "ersetzte Updates können abgelehnt werden" folgen würde auch abgelehnt. In diesem Fall ersetzt jeweils das monatliche Sicherheitsqualitätsrollup dieses Update, allerdings nur April 2017 bis 2017-10 und diese sind natürlich auch schon lange abgelehnt. Freigegeben ist 2018-02 und das fordert der Server überhaupt nicht an und wird von WSUS auch als "nicht benötigt" eingestuft. Wenn die Updates kumulativ wären, müsste er ja 2018-02 haben wollen. Tut er aber nicht. Vielleicht ist jetzt klarer was ich meine. Viele Grüße Der Admin

Mit Verlaub, welchen Sinn macht es WU zu konsultieren, wenn ich einen WSUS habe, der es mir eigentlich ersparen sollte WU zu verwenden? Ich muss mir hier doch auch die Frage stellen, ob dieses Verhalten nicht auch auftritt, wenn ich einen Client frisch für ein Image aufsetze. Client sagt "Keine Updates da, passt so", WSUS meldet "Alles ok" da alle ersetzten Updates abgelehnt wurden, und in Wirklichkeit fehlt Anzahl X.

Ich rede hier nicht von "neuere Revision" sondern von einem neuen ersetzenden Update mit einer anderen KB-Nr. Würde ich jetzt alle ersetzten Updates ablehnen, würde der Server mit Status "grün" dargestellt werden, macht die Situation aber nicht besser, dass die neusten Updates gar nicht angefordert werden.

Hallo, ich bin momentan ein wenig ratlos. Bisher bin ich davon ausgegangen, dass ein ersetztes Update abgelehnt werden kann, wenn das ersetzende Update genehmigt wird. Gestern musste ich einen Server 2k8R2 aufsetzen. Dieser hat sich dann auch brav beim WSUS gemeldet und mehrere Updates angefordert, heruntergeladen und installiert. Irgendwann kam der Server dann zu dem Entschluss, dass er keine weiteren Updates mehr benötigt. Ein Blick in die MMC behauptet etwas Gegenteiliges. Laut dieser braucht der Server noch weitere Updates. Diese Updates habe ich mir dann genauer angeschaut und festgestellt, dass es sich um bereits ersetzte Updates handelt und diese auf "Nicht genehmigt" stehen. Soweit meines Erachtens nach nicht weiter tragisch, da die ersetzenden Updates auf genehmigt stehen. Unglücklicherweise werden die ersetzenden Updates aber garnicht erst angefordert. Bestes Beispiel ist das Update "Sicherheitsupdate für Windows Server 2008 R2 x64 Edition (KB3149090)". Dieses wird durch die monatlichen Sicherheitsqualitätsrollups April 2017 bis 2017-10 ersetzt. Diese stehen natürlich auf "Nicht genehmigt", da diese wiederum schon lange durch das jeweils nachfolgende monatliche Sicherheitsqualitätsupdate ersetzt wurden. So ist bei mir nur noch das Update "2018-02 - Monatliches Sicherheitsqualitätsrollup für Windows Server 2018 R2 für x64-basierte Systeme (KB4074598)" freigegeben. Man sollte ja eigentlich davon ausgehen, dass dieses Update nun vom Server angefordert wird. Macht er aber nicht und WSUS meldet auch, dass dieses Update für den Server nicht erforderlich ist. Wie kann das denn sein? Noch ein Beispiel: Kumulatives Sicherheitsupdate für Internet Explorer 11 unter Windows Server 2008 R2 für x64-basierte Systeme (KB4074736) ersetzt die Updates KB4012204, KB4014661 und KB4018271. Der Server fordert jedoch diese 3 Updates (Nicht genehmigt) einzeln an, anstatt sich KB4074736, welches genehmigt ist, zu ziehen. Meine anderen 2008 R2 Maschinen haben natürlich einen grünen Status, da diese immer schön brav alle einzelnen Updates über die Monate und Jahre hin installiert haben. Das heißt doch für mich aber im Umkehrschluss: Ich kann NICHT einfach alle ersetzten Updates ablehnen, da im Zweifelsfall die ersetzenden Updates garnicht gezogen werden? Habe ich irgendwo einen Denkfehler? Viele Grüße Der Admin

Guten Morgen, leider wurde meine Frage von damals immer noch nicht beantwortet. Ich stehe nun leider wieder erneut vor dem Problem... Kann mir hier jemand aus dem Forum weiterhelfen? Liebe Grüße DerAdmin