Jump to content
autowolf

WSUS keine Funktionsupdates?

Recommended Posts

Hi,

 

habe einen WSUS laufen (seit Jahren). Die Funktionsupdates rolle ich manuell aus. Seit heute kann ich bei den User sehen, dass sie selber die Version 1909 installieren könnten.

Wir setzen z.Z. 1903 ein. Höher können wir nicht, da unser ERP das nicht supportet. Update ist in der mache.

Wie kann ich das verhindern?

GPO wird korrket übernommen. Auch habe ich Computerkonfiguration --> Administrative Vorlagen --> System --> Internetkommunikationsverwaltung --> Internetkommunikationseinstellungen -->

"Zugriff auf alle Windows Update-Funktionen deaktivieren" (aktivert)

 

grafik.png.95043b567211557e2f1745adeb086c2e.png

 

 

 

Edited by autowolf

Share this post


Link to post

DisableDualScan ist vermutlich nicht eingeschaltet. https://gpsearch.azurewebsites.net/#13740

Wenn das nicht konfiguriert ist, scannen die Clients trotzdem WU Online ab um nach Updates zu suchen.

 

EDIT: Damit die Clients die neue Einstellung auch übernehmen, musst Du den Dienst WUAUSERV einmal neu starten. Bei der Gelegenheit auch gleich das %windir%\SoftwareDistribution vollständig leeren, wird nach Start des o.g. Dienstes neu hergestellt. Jetzt ist das 1909 auch lokal weg und die Clients dürften es auch nicht mehr holen. An einem Testclient die Schritte durchgehen.

Edited by Sunny61

Share this post


Link to post

wenn man das so einstellt d.h wie hier:

https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen

Also beides aktivieren:

- Zugriff auf alle Windows Update-Funktionen deaktivieren

- Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

 

holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt?

 

Es gibt noch diese GPO:

Keine Verbindungen mit Windows Update-Internetadressen herstellen

Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren.

Edited by xrated2

Share this post


Link to post
vor 2 Stunden schrieb xrated2:

wenn man das so einstellt d.h wie hier:

https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen

Also beides aktivieren:

- Zugriff auf alle Windows Update-Funktionen deaktivieren

- Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

 

holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt?

Erklär doch bitte die letzte Zeile nochmal. Der WSUS selbst gibt keine Updates frei, das macht der Admin. Dann werden die freigegebenen Updates gedownloadet. Was genau meinst Du?

 

Wenn DisableDualScan auf 1 steht, gehen die Clients nicht mehr Online zu WU und kontaktieren MSFT. Du kannst natürlich auch den dritten Eintrag in den Einstellungen setzen, dann kann kein Client mehr Online zu WU gehen. Zusätzlich sollte man den Weg auf der Firewall zentral versperren. Erst dann kann man sich ganz sicher sein, sofern man das so möchte.

vor 2 Stunden schrieb xrated2:

Es gibt noch diese GPO:

Keine Verbindungen mit Windows Update-Internetadressen herstellen

Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren.

Wer schreibt das wo? Hast Du das selbst schon verifiziert?

 

Wer aktiviert Online? KMS ist das Zauberwort.

Share this post


Link to post

Ich meinte wenn die Updates am WSUS automatisch genehmigt aber nicht heruntergeladen werden d.h. der Client sieht beim WSUS was er darf und holt sich die Dateien dann von MS. Heisst DisableDualScan das er nur nicht bei MS suchen darf oder auch nicht downloaden?

 

Zu der anderen Einstellung:

https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/

 

 

Share this post


Link to post
vor 39 Minuten schrieb xrated2:

Ich meinte wenn die Updates am WSUS automatisch genehmigt aber nicht heruntergeladen werden

Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen.
 

Um das zu automatisieren gibt’s auch Skripte. 

Share this post


Link to post
vor 24 Minuten schrieb MurdocX:

Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen.
 

Um das zu automatisieren gibt’s auch Skripte. 

Jup. Ich gebe manuell frei und ca. 1 Woche nach veröffentlichung. Ich möchte kein Beta Tester sein.

Share this post


Link to post
vor 44 Minuten schrieb autowolf:

Jup. Ich gebe manuell frei und ca. 1 Woche nach veröffentlichung. Ich möchte kein Beta Tester sein.

Ich wollt’s nur erwähnen. Es gibt viele die unnötig alles herunterladen, weil sie’s einfach nicht besser wissen. 
 

Bezüglich „Beta Tests“ habe ich bisher kaum bis keine schlechten Erfahrungen gemacht. Man hört immer viel, dennoch sind es meist irgendwelche Spezialfälle oder nur wenige betroffen. Ich genehmige (bzw. hab’s geskriptet) mit Ausnahmen alles benötigte. Probleme hab ich und Kollegen nie.

Share this post


Link to post
vor 49 Minuten schrieb MurdocX:

Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen.
 

Um das zu automatisieren gibt’s auch Skripte. 

Runterladen tut WSUS gar nichts, nur genehmigen.

 

Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht.

 

Bis jetzt kenne ich nur Cleanup über Powershell:

Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupObsoleteUpdates -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupUnneededContentFiles -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineExpiredUpdates -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineSupersededUpdates -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -CompressUpdates -Verbose

Share this post


Link to post
vor 5 Stunden schrieb xrated2:

Runterladen tut WSUS gar nichts, nur genehmigen.

Auch das macht der WSUS nicht, nur der Admin genehmigt. Und weshalb soll man nur genehmigen und der WSUS nichts downloaden? Hast Du es so eingestellt, dass Du am WSUS genehmigst und jeder Client holt sich die Updates direkt bei MSFT?

vor 5 Stunden schrieb xrated2:

Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht.

 

Bis jetzt kenne ich nur Cleanup über Powershell:

Du sitzt am WSUS und genehmigst die Updates, entweder für alle oder nur für bestimmte Gruppen. Die Rechner in den Testgruppen testen dann die Updates, läuft alles rund, kannst Du sie auf den Rest genehmigen. Je nach bunter Infrastruktur kann man trotzdem noch auf Fehler laufen, oder auch nicht.

 

Dukel hat hier im Forum mal ein Script gepostet um Updates verzögert freizugeben.

 

BTW: Für mich liest sich das von dir so, als ob Du eine Standard Genehmigungsregel hast, die alles für jeden sofort freigibt wenn die META Daten synchronisiert werden.

 

BTW2: Fremde Threads kapert man nicht. Besser ist es einen eigenen Thread zu erstellen.

Share this post


Link to post

Es geht darum die Zeit zu minimieren, ich möchte nicht jede Woche dran sitzen. Und da mittlerweile fast sämtliche Clients über VPN verteilt sind, macht das lokale Repository im WSUS keinen Sinn mehr.

Dann werde ich mal nach dem Script suchen.

Bei der autom. Freigabe kann man sowohl nach Produkt als auch nach Klassifikation filtern.

Edited by xrated2

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...