Hallo Zusammen,
ich habe für meine Problematik auf Anhieb hier im Forum durch die Suchfunktion nichts gefunden (falls ich zu doof bin oder es einfach nur überlesen habe, dann entschuldige ich mich dafür. Bitte mit einem Verweis einfach per pn an mich oder hier den link posten)

Ich habe hier den WSUS 3.1 auf Deutsch - auch nach Anleitung von dieser Seite hier. Super Beschreibung, danke dafür !
Ich habe einen Serverpool und einen Clientpool mit ca 55 Clients.

Jetzt ergeben sich folgende Probleme:

1. bei einer Neuinstallation bekomme ich statt den gewollten 32-bit Updates auch 64-bit Updates sowie eine Menge anderer Updates, die ich nicht benötige. (Itanium Zeugs usw). Das belastet bei der (Neu)Synchronisation das Netzwerk und die Dauer der Synchronisation (auch wenn ich es Nachts laufen habe, muss das nicht sein). Wie kann ich die Updates noch spezifischer für den Download bezeichnen, die ich benötige, ausser in den "Produkte und Klassifizierungen" ? Denn da bekomme ich noch immer einen Haufen Updates, die ich nicht benötige. Beispiel: Ich will Updates für meine 2003 Server. Aber dann bekomme ich auch die 64-bit Versionen oder Itanium Updates, die ich nicht benötige. Wie könnte ich das umgehen ?

2. Ich habe mal Serverupdates, mal Clientupdates in der Synchronisierung (gemischt). Ich hätte diese gern sortiert angezeigt, das es erst nur Server und dann nur Nicht-Server anzeigt. Dann hätte ich es einfacher beim genehmigen. Aber ich kann das nicht sortieren, da leider dann auch wieder 64-bit Updates dabei sind...(Teufelskreis) Wie kann ich das sortierter darlegen ?

3. Ich habe erst mal alle Updates ab dem Jahr 2009 genehmigt, die mir sinnvoll erschienen, da alle Updates im Vorfeld händisch erledigt wurden. Aber um sicher zu gehen, habe ich alle Updates ab Januar 2009 genehmigt. Soweit, so gut, aber wie kann ich sicher sein, das künftig neu installierte PCs die in das Netzwerk migriert werden, künftig alle alten nötigen Updates haben ?

4. GPO !! Ich habe nur zwei Klassen eingeteilt. Server und Clients. Weiterhin wird per GPO veranlassst, das die Updates morgens um 6 Uhr von allen Rechnern heruntergeladen werden aber händisch installiert werden sollen. Ich möchte mit der GPO arbeiten, und das Problem ist, das es sich auf ALLE Rechner bezieht. Ich würde gern GPO-mässig Server und Client trennen.Ich benötige folgendes:

a) Nur die Server sollen via GPO alle Updates herunterladen, aber vom Admin manuell installiert werden.

b) Nur die Clients sollen via GPO alle Updates erhalten und installieren, aber noch nicht neu starten oder dazu aufgefordert werden. Der Neustart am nächsten Morgen muss reichen, oder ein Neustartwert von mindestens 3 Stunden muss akzeptiert werden. Bin offen für eine sinnvolle Alternativen.

5. Wie verhindere ich, das wenn ich den WSUS ausgeschaltet habe, meine Clients immer noch hochfahren ? Denn sobald ich den Wsus vom Netz nehme, lassen sich auch keine Rechner mehr an der Domäne anmelden.

6. Wenn ich für Folgenden Zeitraum (in Minuten) warten, bevor zu einem Neustart aufgefordert wird: XYZ
für XYZ den Wert 600 (entspr. einem Arbeitstag) eingebe, würde das funktionieren ? Ich würde es auch akzeptieren, wenn der heruntergeladen wird aber erst beim herunterfahren installiert wird, und kein Neustart erzwungen wird.

Anbei die GPO als PDF !

Ich hoffe Ihr könnt mir helfen. Vielen Dank



Ich hoffe Ihr könnt mir helfen. Vielen Dank

Hallo Arem ... Deine Forsetzung.

zu 2.)
NEIN.
Eine Sortierung nach OS oder Prozessorplattform ist bei Updates nicht vorgesehen. Es gibt Updates, die sind für einzelne OS (z.B. nur XP) bestimmt ... andere für OS-Gruppen (von W2k bis W2k3) bestimmt.

Wenn Du in der Updateansicht "Alle Updates" ein einzelnes Update auswählst, zeigt Dir die untere Ansicht alle zugehörigen Informationen zu diesem Update an.

Dazu gehören neben dem Betriebssystem (z.Bsp. Windows 2000) oder der Produktkategorie (z.Bsp. Office 2003) auch "Ersetzt folgende Updates" (Ältere) oder "Wird durch Updates ersetzt" (Neuere) und vieles andere mehr (z.Bsp. "Eula-Zustimmung erforderlich" oder "Neustart erforderlich").

zu 3.)
Alle von Dir nicht gewünschten Updates solltes Du erstmal ablehen.
Desweiteren solltes Du folgende Updates genehmigen:
1.) sie sind sogenannte WSUS-Updates (also für den WSUS-Betrieb selbst dringend erforderlich),
2.) sie werden von Clients angefordert UND
2.a) sie werden nicht durch andere ersetzt,
2.b) ODER sie ersetzen ausschließlich andere Updates.

Hilfreich dazu ist die Übersicht "Alle Updates" mit dem Filter: "Nicht genehmigt" und "Erforderlich" und in der Liste die zusätzliche Spalte "Ersatz".

"Updates die durch keine Updates ersetzt werden" (2.a) haben unter Ersatz kein Symbol.

"Updates die ausschließlich andere Updates ersetzen" (2.b) haben unter Ersatz als Symbol ein blaues Kästchen oben.

Werden noch andere Updates als Bedarf gemeldet, wird im Updateprozess durch das Installieren ersetzender Updates sich dies später noch ändern. Zwischen WSUS-Server und dem WU-Agent des Clients läuft also eine zyklische Interaktion.
Analysieren ... Anfordern ... Downloaden ... Installieren ...
Analysieren ... usw.
Der Bedarfszustand änder sich also ständig. 

Es gilt: Updates, die nicht für den Client geeignet/vorgesehen sind, werden nicht installiert (also Update für ausschließlich XP wird nicht auf W2k installiert).

Es gilt: Es werden immer die ersetzenden Updates installiert ... ersetzte Updates werden letztendes ignoriert.

Es gilt: Der Agent selbst analysiert was erforderlich ist und installiert was er vom WSUS bekommen kann ... nach implementierten intelligenten Regeln - Genehmigung vorausgesetzt.

Wenn Du neue Clients ins WSUS integrierst, solltes Du immer die Updates nach 2.) und 2.a) bzw. 2.b) prüfen und die Genehmigungen anpassen. Ein neuer Client könnte was anfordern, was alle Clients vorher noch nie haben wollten. 

Werden neue Updates von MS ins WSUS eingebracht (Patchday) ...
kann zusätzlich die Spalte "Veröffentlicht" eingeblendet und danach sortiert werden.
So siehst Du das neuste erforderliche Zeugs auf einem Blick,
ohne aufwendig das Synchronisationsprotokoll durchschlappen zu müssen.

So genehmigst Du nix, was in Deiner Infrastruktur nicht tatsächlich benötigt wird ... es wird also nicht alles möglicher aus dem Inet heruntergeladen und der Content (Dateiablage des WSUS) sinnlos vollgebunkert.

Fortsetzung folgt ...

Hallo Arem ... hier Deine Forsetzung zur Fortsetzung.

noch zu 4.)
Die Information über einen Neustart kannst Du nur wirklich wirksam über den Benutzerteil einer GPO abschalten. D.h. Die GPO muß auf eine OU wirken, wo die Benutzer drin stehen.
"Alle Updatefunktionen entfernen" = Aktiviert löst Dein Problem.
Siehe dazu auch nochmal Sunnys GPO-Vorlage hier im Forum.

zu 5.)
Verstehe ich nicht ganz. Ist Dein WSUS-Server = Domänencontroller ???
Wenn der dann offline geht und kein zweiter DC da ist ... erklärt sich das Verhalten doch von selbst - oder ?
Der WU-Agent beeinflusst selber NICHT den normalen Anmeldeprozess am Computer.
Ist der WSUS nicht erreichbar ... passiert einfach nix, außer das der Agent pausiert und zyklisch mal nachfragt, ob sich dieser Umstand verändert hat.

zu 6.)
Ein erzwungener Neustart kommt nur bei Updates in Verbindung mit "Deadlines" zustande. Wenn das nicht verwendet wird ... ist sehr zu empfehlen (!!!) ... wird ein Benutzer  eben nur genervt.
Es sei denn Du beachtest/realisierst Antwort 5.)!

Wichtig ... die benutzerorientierte Steuerung funktioniert nur via GPO im AD komfortabel.
Bei Nichtdomänencomputern wird das schwer, weil jedes User-Account in HKEY_CURRENT_USER der Registry seine eigenen Einstellung benötigt. Wenn mehrere User sich an einem Gerät anmelden können ... wird das sehr umfangreich. Dann könnte höchstens mit LogOn-Script gearbeitet werden.

So ... ich hoffe, das hilft für die ersten Schritte.

Gruß Dani

Hi Arem,

Bei Deiner GPO-Frage hast Du recht.

Bei mir ist in den GPO's der Punkt "Empfohlene Updates über "Automatische Updates" aktivieren" deaktiviert.
Der Client hängt am WSUS-Server seines Standortes und hat nur das zu installieren, was auf dem WSUS-Server genehmigt/freigegeben wurde. 

Theoretisch zieht das nur, wenn die Clients über's Inet direkt zu MS gehen.

Gruß Dani