Heißes Thema (mehr als 10 Antworten) Mit WSUS rückwirkend patchen? (Gelesen: 2424 mal)
Charles Dinkel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Mitglied seit: 09.09.10
Mit WSUS rückwirkend patchen?
16.09.10 um 11:49:08
Beitrag drucken  
Hallo Forum,

mach es Sinn, einen WSUS zu installieren, wenn Clients teilweise seit Monaten keine Updates gezogen haben? Anders gefragt: kann ich dem WSUS sagen, er möge beispielsweise alle Updates der letzten 6 Monate noch mal aus dem Internet saugen und verteilen?

Oder geht nur die Alternative, die Clients erst per MS-Update auf den aktuellen Stand zu bringen und anschließend in der Registry den Verweis auf den frisch installierten WSUS zu setzen?

Vielen Dank und beste Grüße,
Charles
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #1 - 16.09.10 um 12:13:57
Beitrag drucken  
Charles Dinkel schrieb on 16.09.10 um 11:49:08:
mach es Sinn, einen WSUS zu installieren, wenn Clients teilweise seit Monaten keine Updates gezogen haben? Anders gefragt: kann ich dem WSUS sagen, er möge beispielsweise alle Updates der letzten 6 Monate noch mal aus dem Internet saugen und verteilen?


Jepp, geht. Installier den WSUS, lass ihn einmalig synchronisieren. Zu Beginn wollen ein paar Updates genehmigt werden, mach das und lass sie downloaden.

Jetzt teilst Du den Clients mit dass es einen WSUS gibt. Sie melden sich beim WSUS und sagen welche Updates sie denn gerne hätten. Genau die genehmigst Du zum installieren. Die werden gedownloadet, der Client holt sie sich ab und installiert sie. Anschließend meldet der Client wieder ein paar Updates. Der Rest sollte jetzt klar sein, oder? Zwinkernd
  
Zum Seitenanfang
 
Charles Dinkel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Mitglied seit: 09.09.10
Re: Mit WSUS rückwirkend patchen?
Antwort #2 - 19.09.10 um 23:38:27
Beitrag drucken  
Hallo Sunny,

ich habe den WSUS installiert, er hat dann, wie von dir beschrieben, erst mal WSUS-Updates angezeigt. Die habe ich genehmigt. Dann kamen weitere WSUS-Updates, die ich ebenfalls genehmigt habe. Beim nächsten Blick in den WSUS hat er mir dann hunderte Updates mit hoher Priorität sowie Sicherheitsupdates angezeigt. Zwischenzeitlich haben sich dann auch Clients beim WSUS gemeldet. Wenn ich mir zwei dieser Clients exemplarisch herauspicke, dann heißt es bei dem einen, er benötige 267 Updates, beim anderen 10. Offen gestanden ist mir noch nicht ganz klar, wie jetzt vorzugehen ist.

Ich könnte nun in der Verzeichnisstruktur im linken WSUS-Fenster in den Zweig "Computer" gehen und bei jedem einzelnen der 19 Clients einen Bericht erstellen lassen, in dem die notwendigen Updates für den jeweiligen Client ja dann angezeigt werden. Anschließend klicke ich für jedes einzelne Update auf "genehmigen". Bei 19 Clients und im Durchschnitt vielleicht 100 fehlenden Updates sind dass 1.900 Genehmigungen à 5 Sekunden = knapp drei Stunden Klickerei.

Alternativ könnte ich im Zweig "Updates" zunächst die Updates mit hoher Priorität allesamt genehmigen, anschließend die Sicherheitsupdates. Das wäre deutlich schneller.

Welche Vorgehensweise würdest du empfehlen?

Beste Grüße,
Charles
  
Zum Seitenanfang
 
lenny
WSUS Senior Member
***
Offline


I Love LDAP!

Beiträge: 190
Mitglied seit: 06.10.09
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #3 - 20.09.10 um 07:21:10
Beitrag drucken  
Hallo,

in den Unterpunkt Updates -> Alle Updates welchseln.
Im Filter fehlgeschlagen/erforderlich  -  nicht genehmigt anwählen und aktualisieren.
Dann hast du alles auf einmal und die Sache ist im Bruchteil einer Minute erledigt.

Grüße Lenny
  
Zum Seitenanfang
 
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #4 - 20.09.10 um 08:35:28
Beitrag drucken  
Die Angaben oben mit "xx Sicherheitsupdates warten genehmigt zu werden" usw. solltest du erstmal ignorieren. ich habe diese Hinweise sogar abgeschaltet (kann man in den Optionen). Nur WSUS-Updates sollten immer genehmigt werden, aber das hast du ja bereits gemacht.

Wenn die Clients sich gemeldet haben kannst du auf der WSUS-Startseite direkt auf den Text "Für Computer erforderliche Updates: xxx" draufklicken und bekommst eine Liste mit genau den benötigten Updates auf einen Klick. Da kannst du entweder durchschauen oder auch einfach alle markieren und genehmigen. So geht es am schnellsten. Auch bei einzelnen Clients kannst du direkt unten wo steht soundsoviele Updates benötigt dieser Client, einfach da draufklicken und du bekommst exakt die zugehörigen Updates angezeigt. Bei fehlgeschlagenen geht das genauso.

Wenn du Speicherplatz und Downloadkapazität sparen willst kannst du dir die Spalte "Ersatz" einblenden lassen und durch Anklicken des Spaltentitels nach dieser sortieren lassen. Und dann erstmal nur die benötigten Updates genehmigen wo die Spalte Ersatz leer ist oder im Symbol der blaue Punkt oben ist (die also nicht durch andere ersetzt sind). Wenn nach dem ersten Installations-Durchgang der Clients von den ersetzten Updates doch noch welche benötigt werden kannst du sie dann ja immer noch genehmigen.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #5 - 20.09.10 um 09:41:10
Beitrag drucken  
Charles Dinkel schrieb on 19.09.10 um 23:38:27:
Beim nächsten Blick in den WSUS hat er mir dann hunderte Updates mit hoher Priorität sowie Sicherheitsupdates angezeigt. Zwischenzeitlich haben sich dann auch Clients beim WSUS gemeldet. Wenn ich mir zwei dieser Clients exemplarisch herauspicke, dann heißt es bei dem einen, er benötige 267 Updates, beim anderen 10. Offen gestanden ist mir noch nicht ganz klar, wie jetzt vorzugehen ist.


Du hast schon die richtigen Lösungen genannt bekommen. Zwinkernd

Charles Dinkel schrieb on 19.09.10 um 23:38:27:
Alternativ könnte ich im Zweig "Updates" zunächst die Updates mit hoher Priorität allesamt genehmigen, anschließend die Sicherheitsupdates. Das wäre deutlich schneller.


Aber nicht die richtige. Ich glaube nicht das jeder Client andere Updates haben möchte. Und genau deshalb hat man einen WSUS. Erstens hast Du alle Updates zentral auf einem Haufen und hast auch die Übersicht der Clients zentral. Mach es einfach so wie AraldoL es beschrieben hat. Die ersten Tage sind evtl. etwas "anstrengend", aber sobald die Clients up2date sind beschränkt sich das patchen/freigeben auf ein oder zweimal im Monat.
  
Zum Seitenanfang
 
Charles Dinkel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Mitglied seit: 09.09.10
Re: Mit WSUS rückwirkend patchen?
Antwort #6 - 30.09.10 um 12:10:51
Beitrag drucken  
Araldo.L schrieb on 20.09.10 um 08:35:28:
Wenn die Clients sich gemeldet haben kannst du auf der WSUS-Startseite direkt auf den Text "Für Computer erforderliche Updates: xxx" draufklicken und bekommst eine Liste mit genau den benötigten Updates auf einen Klick.

Ah, ok. Damit wird das doch schon mal deutlich übersichtlicher. Ich habe deinen Tipp zum Anlass genommen, folgendes zu machen: die mit den wenigsten Einschränkungen versehene Update-Ansicht einzustellen ("Alle bis auf abgelehnte"), dann die Spalte "Statusrollup" einzublenden, dann nach dem gelben Warndreieck zu sortieren (welches bedeutet "dieses Update wird von mindestens einem Computer benötigt") und schließlich alle Updates ohne gelbes Warndreieck abzulehnen. Damit habe ich schon mal 2361 von 2704 Updates aus den unterschiedlichen Statistiken raus.

Quote:
Da kannst du entweder durchschauen oder auch einfach alle markieren und genehmigen. So geht es am schnellsten.

Hätte ich dann nicht auch das SP3 für XP oder den IE8 damit genehmigt und ne Menge Update-Interaktion für die Benutzer und infolgedessen Benutzeranfragen am Hals? Aber zumindest die Updates mit hoher Priorität und die Sicherheits-Updates kann man anscheinend im WSUS immer pauschal genehmigen. Und das ist über den von dir vorgeschlagenen Weg ja dann einfach, wenn man nach der Spalte "Klassifizierung" sortiert. Und so habe ich das dann auch gemacht, und zwar für alle Computer, Clients sowie Server.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #7 - 30.09.10 um 12:24:25
Beitrag drucken  
Charles Dinkel schrieb on 30.09.10 um 12:10:51:
Quote:
Da kannst du entweder durchschauen oder auch einfach alle markieren und genehmigen. So geht es am schnellsten.

Hätte ich dann nicht auch das SP3 für XP oder den IE8 damit genehmigt und ne Menge Update-Interaktion für die Benutzer und infolgedessen Benutzeranfragen am Hals?


Wenn Du die zweite Benutzereinstellung aus der Beispiel GPO auf deine Benutzer wirken lässt, gibts keine Rückfragen, denn die Benutzer bekommen nichts mit. (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). SP3 für XP und IE8 sollte IMHO in der heutigen Zeit schon installiert sein, außer es gibt sehr wichtige SW die mit beiden nicht kann.
  
Zum Seitenanfang
 
Araldo.L
WSUS Experte
*****
Offline


I Love WSUS!

Beiträge: 544
Standort: Bayern
Mitglied seit: 11.06.07
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #8 - 30.09.10 um 17:38:54
Beitrag drucken  
Charles Dinkel schrieb on 30.09.10 um 12:10:51:
... und schließlich alle Updates ohne gelbes Warndreieck abzulehnen.

Das kann ein Fehler gewesen sein! Nur als Beispiel werden wichtige Sicherheits-Updates für den IE8 (wenn der noch nicht verteilt war) anfangs von keinem PC benötigt, der IE8 selber aber schon. Nun hast du diese Sicherheitsupdates abgelehnt. Wenn du jetzt aber den IE8 installieren läßt wären die vorher nicht benötigten Updates nun auf einmal sehr wichtig. Das bekommst du aber nicht mehr mit weil du sie ja vorher schon abgelehnt hast. Und der IE8 bleibt wie ein Scheunentor und du freust dich weil im WSUS alles grün ist  Schockiert/Erstaunt

Also ich lehne definitiv nur ersetzte(!) Updates ab, keinesfalls solche die jetzt gerade von keinem Client benötigt werden weil sich das morgen schon wieder ändern kann!
  
Zum Seitenanfang
 
Charles Dinkel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Mitglied seit: 09.09.10
Re: Mit WSUS rückwirkend patchen?
Antwort #9 - 01.10.10 um 10:53:57
Beitrag drucken  
Araldo.L schrieb on 30.09.10 um 17:38:54:
[quote author=634841524C4553200 link=1284630548/6#6 date=1285841451]Das kann ein Fehler gewesen sein!

Hmm, zu voreilig. Kann ich das wieder rückgängig machen?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Mit WSUS rückwirkend patchen?
Antwort #10 - 01.10.10 um 11:32:16
Beitrag drucken  
Charles Dinkel schrieb on 01.10.10 um 10:53:57:
Araldo.L schrieb on 30.09.10 um 17:38:54:
[quote author=634841524C4553200 link=1284630548/6#6 date=1285841451]Das kann ein Fehler gewesen sein!

Hmm, zu voreilig. Kann ich das wieder rückgängig machen?


Setz die schon abgelehnten Updates auf "Nicht genehmigt".
  
Zum Seitenanfang
 
Charles Dinkel
WSUS Junior Member
*
Offline


I Love WSUS!

Beiträge: 14
Mitglied seit: 09.09.10
Re: Mit WSUS rückwirkend patchen?
Antwort #11 - 01.10.10 um 12:52:41
Beitrag drucken  
Hallo Sunny,

das hatte ich natürlich probiert, ging aber nicht, da die Option "nicht genehmigt" ausgegraut ist. Jetzt habe ich noch mal nachgeschaut: ich muss die Gruppe, in der die Rechner zusammengefasst sind, direkt auswählen, dann kann ich die Option "nicht genehmigt" aktivieren.  Smiley Super!

Danke und Gruß,
Charles
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden