Jump to content

WSUS Updatekonzept Zyklisch


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo miteinander,

ich habe eine Frage die mich nun schon seit einiger Zeit beschäftigt und so hat es mich hier her verschlagen. Vielleicht könnt ihr mir ja da helfen :)

Ich betreibe eine Serverumgebung mit einigen hundert Windows Maschinen (vorwiegend 2016) welche per WSUS aktuell gehalten werden.

Dafür habe ich nun ein Konzept erarbeitet welches die Server in drei Gruppen unterteilt um neue Updates zuerst auf eher "unkritischen" Systemen nacheinander zu installieren und so das Verhalten zu überwachen.

 

Gruppe 1 bzw. GPO 1: Systeme laden sich automatisch freigegebene Updates vom WSUS herunter, installieren diese und starten Mittwochs ab 18 Uhr automatisch neu - Zusatz: in der 1. Woche nach Updates suchen

Gruppe 2 bzw. GPO 2: wie Gruppe 1 nur in Woche 4 nach Updates suchen

Gruppe 3 bzw. GPO 3: Systeme suchen nach Updates, laden diese automatisch herunter, müssen aber manuell installiert sowie neu gestartet werden.

Der Zusatz bei Gruppe 1 + 2 mit den zu suchenden Updates ist in der GPO unter dem Punkt "Automatische Updates konfigurieren" bei der WSUS Konfiguration definiert. Hier habe ich "4 - Autom. Herunterladen und laut Zeitplan installieren" gewählt. Laut der darunterstehenden Info kann die Suche auf eine bestimmte Woche gelegt werden - dazu habe ich wie oben geschrieben Woche 1 sowie Woche 4 gewählt. Kann ich über diese Konfiguration die Installation sowie den Neustart ebenfalls auf diese Woche legen? Oder ist diese Konzept nicht umsetzbar und ich muss damit leben, dass die Systeme jede Woche, wenn vorhanden und freigegeben, Updates installieren und dann neu starten?

 

Vielen Dank für eure Rückmeldung.

wsus_man1234

Link zu diesem Kommentar

Wenn es dabei wirklich nur um Server 2016 gehen soll, dann nimm bitte dafür das WindowsUpdate Template für die W2016er Server. Denn in den reinen W2016 Templates existiert die Wochenangabe nicht. Möglicherweise greift es bei der Installation, möglicherweise auch nicht. Testen ist angesagt. In den Einstellungsmöglichkeiten für Automatische Updates konfigurieren gibt es übrigens einen Punkt 7: 7=Notify for install and notify for restart. (Windows Server only)

 

Zum zweiten trenne die GPO-Einstellungen ab von den anderen. Ein Basis GPO erstellen, die restlichen Einstellungen pro GPO vornehmen. Mit den Freigaben der Updates für die Gruppen ebenfalls so vorgehen. Gruppe 1 bekommt die neuen Updates freigegeben, Gruppe 2 bekommt sie in Woche 4 freigegeben und so weiter.

Link zu diesem Kommentar

Danke dir für die schnelle Antwort.

Die .admx Templates werde ich dann mir anschauen und evtl. testen. Ein Kollege von mir nutzt .admx teilweise schon. Dann werde ich ihn darauf ansprechen.

Den Punkt 7 von dir gibt es dann aber nur bei dem WU Template für 2016er Systeme? Bei mir wird dieser Punkt nämlich nicht angezeigt. Bei mir klingt folgender Punkt deinem ähnlich "2 - Vor Download und automatischer Installation benachrichtigen".

 

 

Zu deinem zweiten Punkt habe ich eine Frage - bei der Updatefreigabe redest du von den Computergruppen oder den Updateansichten im WSUS selber?

Weil das war ganz zu Beginn auch mein Ansatz das Ganze über die Updateansichten zu lösen, aber da es sich hier "nur" um pers. Ansichten handelt ist das nicht praktikabel, da wenn ich vertreten werde diese Ansicht nicht vorhanden ist.

 

Ziel des ganzen Konzepts wäre folgender: Nach dem MS Patchday warte ich eine Woche ob Probleme bekannt werden, dann gebe ich Updates für alle 2016er Systeme frei, Woche 4 installiert Gruppe 2 die Updates, Woche 1 installiert Gruppe 1 die Updates, wenn in den 2 Wochen keine Probleme auftreten, werden die manuellen Updates durchgeführt. Heißt ich gebe einmal die Updates frei und ab diesem Punkt läuft der Update-Zyklus.

 

Die GPOs habe ich bereits unterteilt in eine separate OU (OU für 2016er Systeme mit 3 AD Gruppen auf die, die 3 GPOs angewandt werden) und nutze auch eine übergeordnete GPO (für alle Server) für z.B. WSUS-Adresse und ähnliches. Alles andere weitere definiere ich dann in den einzelnen 2016er GPOs.

 

Im Anhang noch ein Screenshot meiner GPO Einstellung für die automatischen Installationen + Reboots - sollte das noch etwas bringen.

 

Auf jeden Fall Danke!

unkritisch_01.png

Link zu diesem Kommentar
vor 8 Minuten schrieb wsus_man1234:

Den Punkt 7 von dir gibt es dann aber nur bei dem WU Template für 2016er Systeme? Bei mir wird dieser Punkt nämlich nicht angezeigt. Bei mir klingt folgender Punkt deinem ähnlich "2 - Vor Download und automatischer Installation benachrichtigen".

Ja, gibt es nur W2016er Server. Deshalb hab ich das ja auch geschrieben, dass Du die ADMX-Templates direkt auf den Servern verwenden sollst.

vor 9 Minuten schrieb wsus_man1234:

Zu deinem zweiten Punkt habe ich eine Frage - bei der Updatefreigabe redest du von den Computergruppen oder den Updateansichten im WSUS selber?

Weil das war ganz zu Beginn auch mein Ansatz das Ganze über die Updateansichten zu lösen, aber da es sich hier "nur" um pers. Ansichten handelt ist das nicht praktikabel, da wenn ich vertreten werde diese Ansicht nicht vorhanden ist.

Computergruppen in der WSUS-Konsole. Die Gruppe1 bekommt die Freigabe in Woche 1, die Gruppe 2 in Woche 2 oder 3.

BTW: Es gibt im Userprofil in %APPDATA%, genauer hab ich es gerade nicht, eine Datei WSUS, ohne Endung. Darin sind die persönlichen Einstellungen der Konsole gespeichert. Die kannst Du ja an deine Kollegen verteilen, am besten per Script ins Dateisystem kopieren, dann haben alle das gleiche.

vor 11 Minuten schrieb wsus_man1234:

Ziel des ganzen Konzepts wäre folgender: Nach dem MS Patchday warte ich eine Woche ob Probleme bekannt werden, dann gebe ich Updates für alle 2016er Systeme frei, Woche 4 installiert Gruppe 2 die Updates, Woche 1 installiert Gruppe 1 die Updates, wenn in den 2 Wochen keine Probleme auftreten, werden die manuellen Updates durchgeführt. Heißt ich gebe einmal die Updates frei und ab diesem Punkt läuft der Update-Zyklus.

Ist ja auch so in Ordnung. Ich bezweifle stark, dass ein W2016 mit den 'Wocheneinstellungen aus deinem GPO klar kommt. Prüfen und vor allem, testen.

vor 12 Minuten schrieb wsus_man1234:

Die GPOs habe ich bereits unterteilt in eine separate OU (OU für 2016er Systeme mit 3 AD Gruppen auf die, die 3 GPOs angewandt werden) und nutze auch eine übergeordnete GPO (für alle Server) für z.B. WSUS-Adresse und ähnliches. Alles andere weitere definiere ich dann in den einzelnen 2016er GPOs.

OK, beim Hinzufügen der Computergruppen bzw. entfernen der Authentifizierten Benutzer unbedingt über den Reiter Delegierung gehen. https://www.gruppenrichtlinien.de/artikel/sicherheitsfilterung-neu-erfunden-ms16-072-patchday-14062016/

Link zu diesem Kommentar

Hi,

 

ich wäre hier bei @Sunny61 und würde das über entsprechenden Gruppen regeln und per Genehmigung steuern. Ansonsten könntest du dir das Verhalten unter Server 2016 "nachbauen", indem du per Task und Script deine Policy/Policies anpasst:

 

# In der Woche wo installiert werden soll:
Set-GPRegistryValue -Name <Displayname des GPOs> -Key "HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -ValueName "AUOptions" -Type DWord -Value 4
  
# Restliche Wochen:
Set-GPRegistryValue -Name <Displayname des GPOs> -Key "HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -ValueName "AUOptions" -Type DWord -Value 3

Aus https://gpsearch.azurewebsites.net/#2791:

Zitat

Id: AutoUpdateMode
ValueName: AUOptions

item: decimal: 2 => 2 - Notify for download and auto install

item: decimal: 3 => 3 - Auto download and notify for install

item: decimal: 4 => 4 - Auto download and schedule the install


item: decimal: 5 => 5 - Allow local admin to choose setting

item: decimal: 7 => 7 - Auto Download, Notify to install, Notify to Restart

 

Gruß

Jan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...