AMiGA 0 Geschrieben 31. Juli 2017 Melden Teilen Geschrieben 31. Juli 2017 Hallo zusammen, ich bin gerade dabei, mich in das Patch Management mittels WSUS einzuarbeiten. Ich habe in unserem Netz einen neuen Windows Server 2012 R2 aufgesetzt und auf diesem die WSUS-Rolle installiert. Vor dem Wochenende habe ich initial alle Updates genehmigt, so dass diese über das Wochenende heruntergeladen werden konnten. Als Produkte habe ich mehr oder weniger die vorgeschlagenen übernommen und nur Office- und Windows-Varianten entfernt, die wir nicht mehr einsetzen. Nun habe ich per GPO testweise bei einem Windows 7 Client den WSUS-Server als Updateserver eingetragen. Mittels wuauclt.exe /detectnow habe ich das Suchen nach zu installierenden Updates angestoßen. Laut unserer bisherigen Patch Software (Ivanti Patch) fehlt auf dem Client ein einziges Sicherheitsupdate (Sicherheitsupdate für Outlook 2013, KB4011078). Laut Systemsteuerung / Windows Update (auf dem Client) fehlen dem Client 3 Sicherheitsupdates (alles Office, das oben genannte ist nicht dabei). Wenn ich auf dem Client online nach Updates suche fehlen laut Systemsteuerung / Windows Update 2 Sicherheitsupdates (beide Windows). Wenn ich mir auf dem WSUS-Server für den Client den detaillierten Statusbericht ansehe und in diesem nur zu installierende Updates ansehe, werden dort 15 Updates aufgelistet. Das Office-Update der Patch-Software ist enthalten, die 3 Office-Updates, die per Windows Update gefunden wurden, sind enthalten, von den beiden Windows-Updates ist nur eins enthalten. Nun bin ich ziemlich irritiert. Eigentlich hatte ich gehofft, dass mindestens Windows Update-WSUS, Windows Update-Online und WSUS-Bericht übereinstimmen. Wie können diese Differenzen sein und wie kann ich sicher sein, dass meine Rechner mit allen Sicherheitsupdates versorgt sind? Gruß, AMiGA Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 31. Juli 2017 Melden Teilen Geschrieben 31. Juli 2017 Der WSUS synchronisiert mit den Update Servern von MSFT. Der Unterschied zu WU-Online ist der Admin, genehmigt er wirklich alles, was von WU kommt, kann der Client auch die selben Updates installieren wie online. Prüfe auf dem WSUS nach, welche Updates genehmigt sind. Und auch ob die Updates für die Gruppe genehmigt sind, in der sich der Client befindet. Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 31. Juli 2017 Autor Melden Teilen Geschrieben 31. Juli 2017 Ich habe direkt nach der WSUS-Installation *alle* Updates genehmigt und zwar für die Gruppe des Clients. Im WSUS-Bericht wird angezeigt, dass die Updates installiert werden können: Nichstdestotrotz wird mir auf dem Client in der Systemsteuerung folgendes angezeigt: ...und die Online-Suche ergibt folgendes: Das sieht für mich irgendwie inkonsistent aus. Gruß, AMiGA Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 31. Juli 2017 Melden Teilen Geschrieben 31. Juli 2017 Sind die Updates denn schon alle auf dem WSUS angekommen? Siehst Du auf der Startseite vom WSUS, Downloadstatus suchst Du: http://www.wsus.de/images/wsus-version.png Welche alle Updates hast Du zur Installation genehmigt? Alle auf der Welt, oder alle die der Client angefordert hat? Zusätzlich bitte prüfen, welche Build dein WSUS hat. https://wsus.de/de/FAQ No. 44 suchst Du. Auf dem Client in einer administrativen Commandline: net stop wuauserv rd /s /q %windir%\Softwaredistribution net start wuauserv wuauclt /resetauthorization /detectnow 10 Minuten warten, WSUS-Konsole aktualisieren und erst jetzt auf dem Client nach Updates suchen lassen. Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 1. August 2017 Autor Melden Teilen Geschrieben 1. August 2017 Ups. Nein, die Updates sind noch nicht alle auf dem WSUS angekommen, erst 250GB von ca. 550GB. Ähm, ja, ich hatte alle (auf der Welt) genehmigt. Ich hatte zunächst wie beschrieben die Produktauswahl leicht angepasst und nach Abschluss der Synchronisierung zunächst tatsächlich alle (rund 80.000) Updates genehmigt. Sinnvoller wäre wohl, nur die tatsächlich zur Installation erforderlichen dann zu prüfen und zu genehmigen? WSUS Build ist noch 6.3.9600.16384 (RTM). Gruß, AMiGA Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 1. August 2017 Melden Teilen Geschrieben 1. August 2017 Ja, sinnvoller wäre es natürlich nur das zu genehmigen, was die Clients auch anfordern. Das geht per Script, oder manuell. Jetzt wieder alles loszuwerden wird schwierig, besser wäre von vorne zu beginnen. Die Build solltest Du auch *VORHER* aktualisieren, denn ansonsten kommst Du in 3 Wochen wieder weil mit den W10 Upgrades alles mögliche nicht funktionieren. Achtung! Bei KB3159706 sind manuelle Nachinstallationsaufgaben durchzuführen! Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 2. August 2017 Autor Melden Teilen Geschrieben 2. August 2017 Ich habe wie vorgeschlagen noch einmal von vorne begonnen. Nachdem der Testclient Updates angefordert hatte, tauchen im Statusbericht (erforderliche Updates) für den Client 20 Updates auf. Diese habe ich alle für die Installation genehmigt. Wenn ich im Client nun nach Updates suche, tauchen aber nur 10 Updates auf. Diese sind eine Teilmenge der Updates aus dem Statusbericht. Serverseitig sind alle Updates heruntergeladen worden. Wie kann es da zu einer Differenz kommen? Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 3. August 2017 Autor Melden Teilen Geschrieben 3. August 2017 Also nach weiterer Recherche scheint es so, dass WSUS-seitig 20 Updates angezeigt werden, von denen aber 10 Updates durch andere Updates ersetzt werden. Jetzt ist es ein wenig unschön, dass mir zum einen für den Client alle 20 Updates angezeigt werden und entsprechend auch alle 20 nach der Genehmigung heruntergeladen werden (also 10 unnötigerweise). Kann man einstellen, dass Updates, welche durch ein anderes Update ersetzt werden, direkt ausgeblendet werden? Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 3. August 2017 Melden Teilen Geschrieben 3. August 2017 Nein, das kann man nicht einstellen dass Updates ausgeblendet werden, die durch andere ersetzt werden/wurden. Aber wenn man den Serverbereinigungsassistenten regelmäßig per Script ausführen lässt, wird das Content auch kleiner. Zitieren Link zu diesem Kommentar
AMiGA 0 Geschrieben 3. August 2017 Autor Melden Teilen Geschrieben 3. August 2017 Schade. Mal eine ganz andere Frage: Ich bin in diversen Threads immer wieder auf LUP gestoßen als Tool zum Aktualisieren von Flash, Adobe Reader, Java, etc. Nun habe ich LUP auf dem WSUS installiert. Dieses crasht aber direkt beim Start (FileNotFoundException). Da LUP aus 2011 stammt ist meine Frage, ob das Tool überhaupt noch genutzt werden kann/sollte. Alternativ bin ich auf WPP gestoßen, was wohl einen ähnlichen Funktionsumfang bietet, aber deutlich aktueller ist. Sollte man aus heutiger Sicht wohl eher WPP nutzen? Gruß, AMiGA Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 3. August 2017 Melden Teilen Geschrieben 3. August 2017 Sollte man aus heutiger Sicht wohl eher WPP nutzen? Ja. Zitieren Link zu diesem Kommentar
Sunny61 772 Geschrieben 3. August 2017 Melden Teilen Geschrieben 3. August 2017 WPP wird weiter entwickelt, LUP ist schon lange stehen geblieben. Es gibt ein paar HowTos, die zeigen auf wie es grundsätzlich funktioniert: https://wsus.de/lup Und das gleich auch für den WPP: https://wsus.de/de/WSUS-Package-Publisher Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.