Jump to content
DerAdmin

Server fordert nicht genehmigte und ersetzte, aber nicht die genehmigten, ersetzenden Updates an

Empfohlene Beiträge

Hallo,

ich bin momentan ein wenig ratlos.

Bisher bin ich davon ausgegangen, dass ein ersetztes Update abgelehnt werden kann, wenn das ersetzende Update genehmigt wird.

Gestern musste ich einen Server 2k8R2 aufsetzen. Dieser hat sich dann auch brav beim WSUS gemeldet und mehrere Updates angefordert, heruntergeladen und installiert.

Irgendwann kam der Server dann zu dem Entschluss, dass er keine weiteren Updates mehr benötigt. Ein Blick in die MMC behauptet etwas Gegenteiliges. Laut dieser braucht der Server noch weitere Updates.

Diese Updates habe ich mir dann genauer angeschaut und festgestellt, dass es sich um bereits ersetzte Updates handelt und diese auf "Nicht genehmigt" stehen. Soweit meines Erachtens nach nicht weiter tragisch, da die ersetzenden Updates auf genehmigt stehen. Unglücklicherweise werden die ersetzenden Updates aber garnicht erst angefordert.

Bestes Beispiel ist das Update "Sicherheitsupdate für Windows Server 2008 R2 x64 Edition (KB3149090)". Dieses wird durch die monatlichen Sicherheitsqualitätsrollups April 2017 bis 2017-10 ersetzt. Diese stehen natürlich auf "Nicht genehmigt", da diese wiederum schon lange durch das jeweils nachfolgende monatliche Sicherheitsqualitätsupdate ersetzt wurden. So ist bei mir nur noch das Update "2018-02 - Monatliches Sicherheitsqualitätsrollup für Windows Server 2018 R2 für x64-basierte Systeme (KB4074598)" freigegeben. Man sollte ja eigentlich davon ausgehen, dass dieses Update nun vom Server angefordert wird. Macht er aber nicht und WSUS meldet auch, dass dieses Update für den Server nicht erforderlich ist. Wie kann das denn sein?

Noch ein Beispiel: Kumulatives Sicherheitsupdate für Internet Explorer 11 unter Windows Server 2008 R2 für x64-basierte Systeme (KB4074736) ersetzt die Updates KB4012204, KB4014661 und KB4018271. Der Server fordert jedoch diese 3 Updates (Nicht genehmigt) einzeln an, anstatt sich KB4074736, welches genehmigt ist, zu ziehen.

 

Meine anderen 2008 R2 Maschinen haben natürlich einen grünen Status, da diese immer schön brav alle einzelnen Updates über die Monate und Jahre hin installiert haben.

Das heißt doch für mich aber im Umkehrschluss:

Ich kann NICHT einfach alle ersetzten Updates ablehnen, da im Zweifelsfall die ersetzenden Updates garnicht gezogen werden?

 

Habe ich irgendwo einen Denkfehler?

 

Viele Grüße

Der Admin

 

bearbeitet von DerAdmin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Auf die Schnelle würde ich sagen, wenn die Updates auf "nicht genehmigt" stehen ist das Verhalten soweit normal, bei mir werden die ersetzten Updates abgelehnt, wenn die neuen Revisionen genehmigt wurden.

 

Die WSUS Serverbereinigung lehnt zB die alten Revisionen auch automatisch ab, wenn die neueren Revisionen genehmigt wurden und löscht diese dann aus der DB.

 

Grüsse

 

Gulp

bearbeitet von Gulp
Korrektur

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich rede hier nicht von "neuere Revision" sondern von einem neuen ersetzenden Update mit einer anderen KB-Nr.

Würde ich jetzt alle ersetzten Updates ablehnen, würde der Server mit Status "grün" dargestellt werden, macht die Situation aber nicht besser, dass die neusten Updates gar nicht angefordert werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Solche alten Rollups wie beispielsweise das von Dir erwähnte KB3149090 , kannst Du sehr wohl ablehnen, warum auch nicht, wenn sie ja durch andere ersetzt werden. Die neueren sind kumulativ, enthalten also alle bis dahin relevanten Patches. Ich beziehe das nicht nur auf Revisionen, die habe ich hier lediglich versucht als erhellendes Beispiel zu verwenden.

 

Wenn also etwas ersetzt wird, lehne ich alles Alte bis auf das neueste Update entsprechend ab, wie bereits gesagt warum auch nicht, es wird ja durch etwas Neues mit gleicher oder auch anderer Nummer ersetzt.

 

Zur Not kann man dann den Testclient, wie Sunny vorschlägt halt nochmal mit WU abgleichen, ob man etwas übersehen hat.

 

Grüsse

 

Gulp

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mit Verlaub, welchen Sinn macht es WU zu konsultieren, wenn ich einen WSUS habe, der es mir eigentlich ersparen sollte WU zu verwenden?

Ich muss mir hier doch auch die Frage stellen, ob dieses Verhalten nicht auch auftritt, wenn ich einen Client frisch für ein Image aufsetze. Client sagt "Keine Updates da, passt so", WSUS meldet "Alles ok" da alle ersetzten Updates abgelehnt wurden, und in Wirklichkeit fehlt Anzahl X.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ein WSUS erspart Dir doch WU nicht, sondern zentralisiert doch nur die Downloads für Deine Clients und ermöglicht darüberhinaus eine Art Steuerung im eigenen LAN, macht aber WU aus meiner Sicht nicht direkt obsolet.

Was ist mit Clients die sich nicht dauerhaft in deinem LAN befinden und Deinen WSUS nur sporadisch kontaktieren können? Die lasse ich zB direkt über WU versorgen .......

 

Und nochmal: wenn ein Update durch ein anderes ersetzt wird, kannst Du das alte Update wegschmeissen und brauchst immer nur das zu installieren, das das alte Update ersetzt, deswegen heisst es auch ersetzen (an dessen Stelle treten). ist das so schwer zu begreifen, oder drücke ich mich nicht deutlich genug aus? (und nein, das meine ich jetzt nicht böse oder so)

 

Grüsse

 

Gulp

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb Gulp:

Solche alten Rollups wie beispielsweise das von Dir erwähnte KB3149090 , kannst Du sehr wohl ablehnen, warum auch nicht, wenn sie ja durch andere ersetzt werden. Die neueren sind kumulativ, enthalten also alle bis dahin relevanten Patches. Ich beziehe das nicht nur auf Revisionen, die habe ich hier lediglich versucht als erhellendes Beispiel zu verwenden.

 

Wenn also etwas ersetzt wird, lehne ich alles Alte bis auf das neueste Update entsprechend ab, wie bereits gesagt warum auch nicht, es wird ja durch etwas Neues mit gleicher oder auch anderer Nummer ersetzt.

 

Zur Not kann man dann den Testclient, wie Sunny vorschlägt halt nochmal mit WU abgleichen, ob man etwas übersehen hat.

 

Grüsse

 

Gulp

Hallo,

genau das ist ja mein Problem. WSUS meldet KB3149090 als erforderliches Update. Alle anderen Updates die dieses Update normalerweise ersetzen würden wären, wenn ich der Logik "ersetzte Updates können abgelehnt werden" folgen würde auch abgelehnt. In diesem Fall ersetzt jeweils das monatliche Sicherheitsqualitätsrollup dieses Update, allerdings nur April 2017 bis 2017-10 und diese sind natürlich auch schon lange abgelehnt. Freigegeben ist 2018-02 und das fordert der Server überhaupt nicht an und wird von WSUS auch als "nicht benötigt" eingestuft.

Wenn die Updates kumulativ wären, müsste er ja 2018-02 haben wollen. Tut er aber nicht.

Vielleicht ist jetzt klarer was ich meine.

Viele Grüße

Der Admin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

WSUS meldet niemals ein erfolderliches Update, das kann der WSUS schlicht gar nicht, der zeigt immer nur an was der Client ihm reported und was der Admin konfiguriert hat. Das Auswerten macht der Client und zwar, wenn er auf dem WSUS ein Update für sein Betriebssystem findet, dass nicht im Status "abgelehnt" ist und er nicht installiert hat. Der WSUS weiss weder, ob das korrekt ist oder der Client das Update tatsächlich braucht, er weiss nur, dass das Update in seiner WSUS DB nicht abgelehnt ist und der Client ihm meldet, dass er es nicht installiert hat, was anderes kann der WSUS nicht wirklich.

 

Sieht bei WU auch nicht anders aus ...... da macht Micrsoft auch nichts anderes, als die alten Updates, die ersetzt werden, entsprechend abzulehnen.

 

Da gibt es absolut keine Serverlogik dahinter, sondern nur eine struntzdumme Mechanik die da lautet: Lieber Admin sag mir was ich machen soll!

 

Ich empfehle Dir da wärmstens die Lektüre von www.wsus.de ....

 

Grüsse

 

Gulp

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 47 Minuten schrieb Gulp:

Ein WSUS erspart Dir doch WU nicht, sondern zentralisiert doch nur die Downloads für Deine Clients und ermöglicht darüberhinaus eine Art Steuerung im eigenen LAN, macht aber WU aus meiner Sicht nicht direkt obsolet.

Was ist mit Clients die sich nicht dauerhaft in deinem LAN befinden und Deinen WSUS nur sporadisch kontaktieren können? Die lasse ich zB direkt über WU versorgen .......

 

Und nochmal: wenn ein Update durch ein anderes ersetzt wird, kannst Du das alte Update wegschmeissen und brauchst immer nur das zu installieren, das das alte Update ersetzt, deswegen heisst es auch ersetzen (an dessen Stelle treten). ist das so schwer zu begreifen, oder drücke ich mich nicht deutlich genug aus? (und nein, das meine ich jetzt nicht böse oder so)

 

Grüsse

 

Gulp

Natürlich muss mir ein WSUS die WU komplett ersetzen können. Ich möchte nicht, dass die Clients direkt mit MS kommunizieren. Daher ist das auch vom Proxy gesperrt. MS kann auch nicht allen ernstes Erwarten, dass ich meine Clients regelmäßig vom WSUS entferne, für WU konfiguriere, nur um sicher zu gehen, dass der WSUS kein Update vergessen hat zu verteilen, um sie dann später wieder in den WSUS einzubinden.

Es gibt bei uns keine Clients die keine Verbindung zum WSUS haben.

 

Find ich schon gut, dass du deutlich äußerst. Nehme ich auch nicht persönlich und auch nicht böse. Ich möchte ja verstehen warum das so ist und wo was schief läuft. Von daher alles gut.

 

Ich versuche es nochmal anders zu beschreiben was ich meine.

OS enthält einen Bug. Dieser Bug wird in dem Update KB3149090 gelöst. Update KB3149090 wird ersetzt durch Update KB4015459, KB4019264, KB4022719, KB4025341, KB4034664, KB4038777 und KB4041681 ersetzt. Alle genannten Updates incl. KB3149090 werden von WSUS als "Ersetzt" angezeigt und sind somit abgelehnt (bzw. bei mir nicht genehmigt, sonst würde ich das nicht sehen).

Weiter gehts: Update KB4048957 ersetzt KB4041681-> KB4054518 ersetzt KB4048957 -> KB4056894 ersetzt KB4054518 -> KB4074598 ersetzt KB4056894 und ist das letzte Update aus dieser Reihe. Alle diese genannten Updates außer KB4074598 wurden abgelehnt, bzw. stehen auf nicht genehmigt. KB4074598 wird aber von WSUS für den Server als "Nicht benötigt" eingestuft und wird auch vom Server nicht angefordert obwohl es eigentlich erforderlich wäre, da kein anderes Update welches das ursprüngliche Update KB3149090 ersetzen kann.

Welche Chance habe ich nun den Bug den KB3149090 löst mit aktuellen Updates zu beseitigen?

 

Danke und Gruß

Der Admin

vor 34 Minuten schrieb Gulp:

WSUS meldet niemals ein erfolderliches Update, das kann der WSUS schlicht gar nicht, der zeigt immer nur an was der Client ihm reported und was der Admin konfiguriert hat. Das Auswerten macht der Client und zwar, wenn er auf dem WSUS ein Update für sein Betriebssystem findet, dass nicht im Status "abgelehnt" ist und er nicht installiert hat. Der WSUS weiss weder, ob das korrekt ist oder der Client das Update tatsächlich braucht, er weiss nur, dass das Update in seiner WSUS DB nicht abgelehnt ist und der Client ihm meldet, dass er es nicht installiert hat, was anderes kann der WSUS nicht wirklich.

 

Sieht bei WU auch nicht anders aus ...... da macht Micrsoft auch nichts anderes, als die alten Updates, die ersetzt werden, entsprechend abzulehnen.

 

Da gibt es absolut keine Serverlogik dahinter, sondern nur eine struntzdumme Mechanik die da lautet: Lieber Admin sag mir was ich machen soll!

 

Ich empfehle Dir da wärmstens die Lektüre von www.wsus.de ....

 

Grüsse

 

Gulp

Gut, falsch ausgedrückt. Ist mir schon klar, dass das nicht der WSUS macht, sondern das anzeigt was der Client reported.

Warum reported aber der Client nicht, dass er das aktuelle Update von 2018-02 braucht sondern will die alten Kamellen haben?

 

www.wsus.de kenne ich schon seit das Dingen noch SUS 1.0 hieß ;-)

 

bearbeitet von DerAdmin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nein, ein WSUS kann dir WU nicht ersetzen. Wie denn auch? Es gibt immer wieder genügend Updates die gibt es *NUR* über WU, nicht oder niemals über den WSUS. Es sagt ja auch niemand dass jeder Client mit WU Kontakt aufnehmen soll, aber der WSUS kann WU nicht ersetzen. Und ja, es gibt immer wieder Unterschiede zwischen dem WSUS und WU.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

warum schreiben wir jetzt über Updates die es NICHT über WSUS gibt (hierfür hätte ich gerne auch mal ein Beispiel)?

Die betroffenen Updates die ich genannt habe sind über WSUS verfügbar und trotzdem scheint es an irgend einer Stelle ein Problem damit zu geben ob ein Client sich davon ein Update holt oder nicht, bzw. ,so kommt es mir vor, sind die Angaben ob ein Update ersetzt wurde oder ein Update ein anderes Update ersetzt nicht zuverlässig. Darum geht es mir.

Gruß

Der Admin

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nochmal ganz einfach:

 

Wenn Update nicht abgeleht --> Client fordert Update an!

Wenn Update abgelehnt --> Client fordert Update nicht an!

 

Da die Updates bei Dir ja nicht abgelehnt sind, machen die Clients jetzt was genau? Die Updates anfordern, schliesslich sorgt genau Deine Konfiguration des WSUS ja dafür.

 

Was meinst Du warum ich Dir die ganze Zeit sage, dass man die Updates die ersetzt werden auch ablehnen soll?

 

Grüsse

 

Gulp

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Minute schrieb Gulp:

Nochmal ganz einfach:

 

Wenn Update nicht abgeleht --> Client fordert Update an!

Wenn Update abgelehnt --> Client fordert Update nicht an!

 

Da die Updates bei Dir ja nicht abgelehnt sind, machen die Clients jetzt was genau? Die Updates anfordern, schliesslich sorgt genau Deine Konfiguration des WSUS ja dafür.

 

Was meinst Du warum ich Dir die ganze Zeit sage, dass man die Updates die ersetzt werden auch ablehnen soll?

 

Grüsse

 

Gulp

Danke, das war deutlich genug.

Heißt im Umkehrschluss: Lehne ich die ersetzten Updates ab, sollte das aktuelle vom Client angefordert werden, richtig?

Gruß

Der Admin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Na was sage ich denn die ganze Zeit?

 

Ja natürlich, die Clients würden das neue Update auch dann anfordern, wenn die alten Updates vorher installiert worden wären. Will heissen gehen würde auch, dass Du die alten Updates vorher durch den WSUS oder auch manuell auf den Clients installieren lassen würdest, aber das macht ja letztlich keinen Sinn und genau das ist dann auch der Grund warum man den alten Kram halt ablehnt. Man spart sich die Vorhaltung und den Download der alten Updates.

 

Grüsse

 

Gulp

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×