Jump to content

WSUS keine Funktionsupdates?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

habe einen WSUS laufen (seit Jahren). Die Funktionsupdates rolle ich manuell aus. Seit heute kann ich bei den User sehen, dass sie selber die Version 1909 installieren könnten.

Wir setzen z.Z. 1903 ein. Höher können wir nicht, da unser ERP das nicht supportet. Update ist in der mache.

Wie kann ich das verhindern?

GPO wird korrket übernommen. Auch habe ich Computerkonfiguration --> Administrative Vorlagen --> System --> Internetkommunikationsverwaltung --> Internetkommunikationseinstellungen -->

"Zugriff auf alle Windows Update-Funktionen deaktivieren" (aktivert)

 

grafik.png.95043b567211557e2f1745adeb086c2e.png

 

 

 

bearbeitet von autowolf
Link zu diesem Kommentar

DisableDualScan ist vermutlich nicht eingeschaltet. https://gpsearch.azurewebsites.net/#13740

Wenn das nicht konfiguriert ist, scannen die Clients trotzdem WU Online ab um nach Updates zu suchen.

 

EDIT: Damit die Clients die neue Einstellung auch übernehmen, musst Du den Dienst WUAUSERV einmal neu starten. Bei der Gelegenheit auch gleich das %windir%\SoftwareDistribution vollständig leeren, wird nach Start des o.g. Dienstes neu hergestellt. Jetzt ist das 1909 auch lokal weg und die Clients dürften es auch nicht mehr holen. An einem Testclient die Schritte durchgehen.

bearbeitet von Sunny61
Link zu diesem Kommentar

wenn man das so einstellt d.h wie hier:

https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen

Also beides aktivieren:

- Zugriff auf alle Windows Update-Funktionen deaktivieren

- Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

 

holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt?

 

Es gibt noch diese GPO:

Keine Verbindungen mit Windows Update-Internetadressen herstellen

Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren.

bearbeitet von xrated2
Link zu diesem Kommentar
vor 2 Stunden schrieb xrated2:

wenn man das so einstellt d.h wie hier:

https://www.windowspro.de/wolfgang-sommergut/dual-scan-windows-update-business-wsus-parallel-nutzen

Also beides aktivieren:

- Zugriff auf alle Windows Update-Funktionen deaktivieren

- Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird

 

holt sich dann der Client noch die Updates wenn zwar ein WSUS definiert ist aber der WSUS selber die Updates nur freigibt, aber nicht runterlädt?

Erklär doch bitte die letzte Zeile nochmal. Der WSUS selbst gibt keine Updates frei, das macht der Admin. Dann werden die freigegebenen Updates gedownloadet. Was genau meinst Du?

 

Wenn DisableDualScan auf 1 steht, gehen die Clients nicht mehr Online zu WU und kontaktieren MSFT. Du kannst natürlich auch den dritten Eintrag in den Einstellungen setzen, dann kann kein Client mehr Online zu WU gehen. Zusätzlich sollte man den Weg auf der Firewall zentral versperren. Erst dann kann man sich ganz sicher sein, sofern man das so möchte.

vor 2 Stunden schrieb xrated2:

Es gibt noch diese GPO:

Keine Verbindungen mit Windows Update-Internetadressen herstellen

Wenn man die aktiviert, soll wohl nicht mal mehr die Aktivierung von Windows funktionieren.

Wer schreibt das wo? Hast Du das selbst schon verifiziert?

 

Wer aktiviert Online? KMS ist das Zauberwort.

Link zu diesem Kommentar

Ich meinte wenn die Updates am WSUS automatisch genehmigt aber nicht heruntergeladen werden d.h. der Client sieht beim WSUS was er darf und holt sich die Dateien dann von MS. Heisst DisableDualScan das er nur nicht bei MS suchen darf oder auch nicht downloaden?

 

Zu der anderen Einstellung:

https://oli.new-lan.de/2016/04/fiese-gpo-mit-wsus-windows-10-aktivierung-schlaegt-fehl/

 

 

Link zu diesem Kommentar
vor 44 Minuten schrieb autowolf:

Jup. Ich gebe manuell frei und ca. 1 Woche nach veröffentlichung. Ich möchte kein Beta Tester sein.

Ich wollt’s nur erwähnen. Es gibt viele die unnötig alles herunterladen, weil sie’s einfach nicht besser wissen. 
 

Bezüglich „Beta Tests“ habe ich bisher kaum bis keine schlechten Erfahrungen gemacht. Man hört immer viel, dennoch sind es meist irgendwelche Spezialfälle oder nur wenige betroffen. Ich genehmige (bzw. hab’s geskriptet) mit Ausnahmen alles benötigte. Probleme hab ich und Kollegen nie.

Link zu diesem Kommentar
vor 49 Minuten schrieb MurdocX:

Damit lädst du eindeutig zu viel runter. Das solltest du nicht nutzen, sondern deine Updates die deine Clients anfordern genehmigen.
 

Um das zu automatisieren gibt’s auch Skripte. 

Runterladen tut WSUS gar nichts, nur genehmigen.

 

Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht.

 

Bis jetzt kenne ich nur Cleanup über Powershell:

Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupObsoleteUpdates -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -CleanupUnneededContentFiles -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineExpiredUpdates -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -DeclineSupersededUpdates -Verbose
Invoke-WsusServerCleanup -UpdateServer $WSUS -CompressUpdates -Verbose

Link zu diesem Kommentar
vor 5 Stunden schrieb xrated2:

Runterladen tut WSUS gar nichts, nur genehmigen.

Auch das macht der WSUS nicht, nur der Admin genehmigt. Und weshalb soll man nur genehmigen und der WSUS nichts downloaden? Hast Du es so eingestellt, dass Du am WSUS genehmigst und jeder Client holt sich die Updates direkt bei MSFT?

vor 5 Stunden schrieb xrated2:

Eine automatische Verzögerung von z.B. Featureupdates wäre nicht schlecht.

 

Bis jetzt kenne ich nur Cleanup über Powershell:

Du sitzt am WSUS und genehmigst die Updates, entweder für alle oder nur für bestimmte Gruppen. Die Rechner in den Testgruppen testen dann die Updates, läuft alles rund, kannst Du sie auf den Rest genehmigen. Je nach bunter Infrastruktur kann man trotzdem noch auf Fehler laufen, oder auch nicht.

 

Dukel hat hier im Forum mal ein Script gepostet um Updates verzögert freizugeben.

 

BTW: Für mich liest sich das von dir so, als ob Du eine Standard Genehmigungsregel hast, die alles für jeden sofort freigibt wenn die META Daten synchronisiert werden.

 

BTW2: Fremde Threads kapert man nicht. Besser ist es einen eigenen Thread zu erstellen.

Link zu diesem Kommentar

Es geht darum die Zeit zu minimieren, ich möchte nicht jede Woche dran sitzen. Und da mittlerweile fast sämtliche Clients über VPN verteilt sind, macht das lokale Repository im WSUS keinen Sinn mehr.

Dann werde ich mal nach dem Script suchen.

Bei der autom. Freigabe kann man sowohl nach Produkt als auch nach Klassifikation filtern.

bearbeitet von xrated2
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...