Normales Thema "Best practices" für tägliche Arbeit mit WSUS (Gelesen: 2319 mal)
Patcher
WSUS Junior Member
*
Offline


Mimimi

Beiträge: 10
Mitglied seit: 14.04.09
"Best practices" für tägliche Arbeit mit WSUS
16.04.09 um 09:34:49
Beitrag drucken  
Moin zusammen,

ich bin mit meiner WSUS Installation (3 SP1) inzwischen soweit, dass es "losgehen" könnte, habe aber für das tägliche Geschäft noch keine befriedigenden Abläufe gefunden. Daher frage ich mal in die Runde, was ihr in den genannten Fällen so macht... (die "best practices"waren mir keine Hilfe).

Unsere Umgebung umfasst ca. 25 Server, 500 Clients an verschiedenen Standorten und leider einen sehr unterschiedlichen Patchstand. D.b. es ist erstmal aufräumen angesagt. Serverseitig ist 2003 im Einsatz, Clientseitig Windows XP. Viele der Clients haben noch kein SP3.

Clienteinstellungen werden durch GPOs festgelegt und funktionieren gut.
Gruppierung mache ich aber manuell über die WSUS GUI, weil flexibler bei annehmbarem Aufwand.
Ich habe jeweils eine Gruppe für "Clients" und für "Server" eingerichtet und Testgruppen pro Betriebssystem (WXP, Server 2003).

Für folgende Dinge habe ich noch keine gute Lösung gefunden:

1) Ich möchte erstmal alle Clients auf XP SP3 heben. Zur Zeit habe ich allerdings auch noch in den Updateansichten die ganzen Einzelpatches drinstehen, die durch SP3 eigentlich ersetzt werden. Kann ich irgendwie konfigurieren, dass ich alle Updates, die durch SP3 ersetzt werden, nicht mehr angezeigt werden oder wenigstens markiert werden (gilt natürlich auch für jegliche andere Service Packs oder Rollups)?

2) Ich gebe die Updates zunächst für die genannten Testgruppen mit ca. 5 Rechnern drin frei. Wenn ich dann erfolgreich getestet habe, wie kann ich dem WSUS verklickern "Gib genau das, was für die TestgruppeX freigegeben ist, auch für die ProdgruppeY frei"?

3) Gibt es eine Möglichkeit, sich einen bestimmten Rechner herauszupicken und alle Updates, die er aktuell braucht (bzw. nur Security Updates) sofort auf diesen loszulassen (quasi der Notfallknopf für Notfallpatienten)?

4) Wie kann ich (egal ob über GPO oder WSUS) eine Unterscheidung machen, dass meine Testclients Updates sofort bekommen, die Prodclients aber nach Zeitplan nachts. Die Testclients sind im AD nicht im gleichen Zweig, sondern natürlich überall verteilt, weil wir quer durch alle Abteilungen testen.

5) Gibt es (in Ergänzung zu Punkt 1) die Möglichkeit den WSUS anzuweisen "Lehne alle Updates ab, die durch SP/Rollup/wasauchimmer ersetzt werden"? Oder muss ich wirklich händisch jeden Patch ablehnen, der durch zB XP SP3 ersetzt wird, ablehnen?

5.1) Wenn ich das richtig verstehe, werden ja durch den Serverbereinigungsassistent ersetzte Updates entfernt. Wie sieht da der Filter aus? Werden die ersetzten Updates schon entfernt, wenn das Service Pack für *eine* Gruppe genehmigt wird oder muss es für *alle* genehmigt sein?

Bin dankbar für alle Tips, auch Links werden gern genommen Smiley Habe bis jetzt noch keine brauchbaren Infos gefunden..

Danke schonmal,
Colin
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Best practices" für tägliche Arbeit mit WSUS
Antwort #1 - 16.04.09 um 09:51:22
Beitrag drucken  
Wow, das ist ja ein ganzer Sack voll Fragen. Zwinkernd

Patcher schrieb on 16.04.09 um 09:34:49:
Clienteinstellungen werden durch GPOs festgelegt und funktionieren gut.
Gruppierung mache ich aber manuell über die WSUS GUI, weil flexibler bei annehmbarem Aufwand.
Ich habe jeweils eine Gruppe für "Clients" und für "Server" eingerichtet und Testgruppen pro Betriebssystem (WXP, Server 2003).


Gut.

Patcher schrieb on 16.04.09 um 09:34:49:
1) Ich möchte erstmal alle Clients auf XP SP3 heben. Zur Zeit habe ich allerdings auch noch in den Updateansichten die ganzen Einzelpatches drinstehen, die durch SP3 eigentlich ersetzt werden. Kann ich irgendwie konfigurieren, dass ich alle Updates, die durch SP3 ersetzt werden, nicht mehr angezeigt werden oder wenigstens markiert werden (gilt natürlich auch für jegliche andere Service Packs oder Rollups)?


Du kannst sie manuell ablehnen, etwas anderes gibts IMHO nicht.

Patcher schrieb on 16.04.09 um 09:34:49:
2) Ich gebe die Updates zunächst für die genannten Testgruppen mit ca. 5 Rechnern drin frei. Wenn ich dann erfolgreich getestet habe, wie kann ich dem WSUS verklickern "Gib genau das, was für die TestgruppeX freigegeben ist, auch für die ProdgruppeY frei"?


Leider nicht so wie gewünscht. Du könntest an der Stelle mit eigenen Updateansichten arbeiten. Da bist Du flexibler beim auswählen.

Patcher schrieb on 16.04.09 um 09:34:49:
3) Gibt es eine Möglichkeit, sich einen bestimmten Rechner herauszupicken und alle Updates, die er aktuell braucht (bzw. nur Security Updates) sofort auf diesen loszulassen (quasi der Notfallknopf für Notfallpatienten)?


Als Admin anmelden, und mittels wuauclt /detectnow das ganze forcieren. Nach ein paar Minuten sollte dann im Systray das Symbol erscheinen, installieren und booten. Als Benutzer funktioniert das nicht.

Patcher schrieb on 16.04.09 um 09:34:49:
4) Wie kann ich (egal ob über GPO oder WSUS) eine Unterscheidung machen, dass meine Testclients Updates sofort bekommen, die Prodclients aber nach Zeitplan nachts. Die Testclients sind im AD nicht im gleichen Zweig, sondern natürlich überall verteilt, weil wir quer durch alle Abteilungen testen.


Via GPO andere Zeiten vorgeben. Innerhalb der GPO kannst Du ja mit Gruppen filtern.

Patcher schrieb on 16.04.09 um 09:34:49:
5) Gibt es (in Ergänzung zu Punkt 1) die Möglichkeit den WSUS anzuweisen "Lehne alle Updates ab, die durch SP/Rollup/wasauchimmer ersetzt werden"? Oder muss ich wirklich händisch jeden Patch ablehnen, der durch zB XP SP3 ersetzt wird, ablehnen?


Jepp, Du mußt wohl oder übel den Weg gehen, alle Updates manuell abzulehnen.

Patcher schrieb on 16.04.09 um 09:34:49:
5.1) Wenn ich das richtig verstehe, werden ja durch den Serverbereinigungsassistent ersetzte Updates entfernt. Wie sieht da der Filter aus? Werden die ersetzten Updates schon entfernt, wenn das Service Pack für *eine* Gruppe genehmigt wird oder muss es für *alle* genehmigt sein?


Das SP hat in diesem Fall nichts damit zu tun. Es wird jedes Update als eigenständig angesehen.
  
Zum Seitenanfang
 
Patcher
WSUS Junior Member
*
Offline


Mimimi

Beiträge: 10
Mitglied seit: 14.04.09
Re: "Best practices" für tägliche Arbeit mit WSUS
Antwort #2 - 16.04.09 um 11:44:35
Beitrag drucken  
Danke sehr für die flotten Antworten Smiley

Bezüglich GPO Konfiguration für die Updatezeiträume (Punkt 4) hätte ich nochmal eine Nachfrage:

Ich habe ein separates GPO erstellt, dass nur die Update-Parameter enthält. Das ist quasi die Default Updateeinstellung, die direkt der Domäne zugeordnet ist und die für alle "Authentifizierten Benutzer" in der Sicherheitsfilterung freigegeben ist und somit für alle Rechner gilt. Das funktioniert soweit.

Wie genau mache ich es am besten, wenn ich einzelne Ausnahmen davon haben will für meine Testrechner / Server etc., also wie mache ich die Gruppierung am besten, so wie Du es schreibst.
Ich würde es so machen:

Weitere GPOs für jede andere Einstellung machen.
Diese GPOs dann auch für die gesamte Domäne verknüpfen, aber nur für bestimmte Rechner freigeben (also: In der Sicherheitsfilterung "Authentifizierte benutzer" rausnehmen, dafür die Computerkonten rein?)?
Kriege ich dann kein Problem, dass sich die Einstellungen gegenseitig überschreiben? Oder reicht es, wenn ich die Reihenfolge unter "Verknüpfte Gruppenrichtlinienobjekte" so ändere, dass die Testgruppe zuletzt gezogen wird?
Oder mach ich das besser ganz anders? Cool

Fragen über Fragen Smiley

Danke und Gruß,
Colin
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Best practices" für tägliche Arbeit mit WSUS
Antwort #3 - 16.04.09 um 12:24:48
Beitrag drucken  
Patcher schrieb on 16.04.09 um 11:44:35:
Ich habe ein separates GPO erstellt, dass nur die Update-Parameter enthält. Das ist quasi die Default Updateeinstellung, die direkt der Domäne zugeordnet ist und die für alle "Authentifizierten Benutzer" in der Sicherheitsfilterung freigegeben ist und somit für alle Rechner gilt. Das funktioniert soweit.


Hmm, was ist alles in der GPO eingestellt?

Patcher schrieb on 16.04.09 um 11:44:35:
Wie genau mache ich es am besten, wenn ich einzelne Ausnahmen davon haben will für meine Testrechner / Server etc., also wie mache ich die Gruppierung am besten, so wie Du es schreibst.


Pack die Testrechner in eine Gruppe Testrechner. Die fügst Du in die normale GPO ein mit dem Verweigern-Recht. Das sollte vor dem übernehmen Vorrang haben. In der GPO für die Testrechner, die Authentifizierten Benutzer raus, dafür die Gruppe Testrechner rein.

Je einfacher und übersichtlicher, desto besser. Kannst Du nicht evtl. für die Testrechner eigene OUs anlegen und dort auch die restlichen GPOs verlinken? Alles andere kann IMHO zu schnell von jemand anderem ohne böse Absicht verändert werden, und Du suchst dir nen Wolf warum etwas nicht funktioniert.
  
Zum Seitenanfang
 
Patcher
WSUS Junior Member
*
Offline


Mimimi

Beiträge: 10
Mitglied seit: 14.04.09
Re: "Best practices" für tägliche Arbeit mit WSUS
Antwort #4 - 16.04.09 um 12:30:43
Beitrag drucken  
Danke, das mit der Gruppierung werde ich genau so machen.

Bzgl. Deiner Rückfrage:

In der separaten Policy:

Darin sind ausschließlich die Update Parameter konfiguriert (alle davon) und zwar im "Computer"zweig, alle anderen stehen auf "Nicht konfiguriert". Den "Benutzer"zweig habe ich per GPO Einstellung komplett deaktiviert.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: "Best practices" für tägliche Arbeit mit WSUS
Antwort #5 - 16.04.09 um 13:11:28
Beitrag drucken  
Patcher schrieb on 16.04.09 um 12:30:43:
In der separaten Policy:

Darin sind ausschließlich die Update Parameter konfiguriert (alle davon) und zwar im "Computer"zweig, alle anderen stehen auf "Nicht konfiguriert". Den "Benutzer"zweig habe ich per GPO Einstellung komplett deaktiviert.


Klar, im Benutzerzweig kannst Du eh keinen WSUS eingeben. Die Einstellungsmöglichkeiten auf der Userseite sind stark eingegrenzt.
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden