Normales Thema Diverse Probleme (Gelesen: 2360 mal)
Arem
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Standort: Hamburg
Mitglied seit: 04.03.08
Geschlecht: männlich
Diverse Probleme
24.07.09 um 10:50:57
Beitrag drucken  
Hallo Zusammen,
ich habe für meine Problematik auf Anhieb hier im Forum durch die Suchfunktion nichts gefunden (falls ich zu doof bin oder es einfach nur überlesen habe, dann entschuldige ich mich dafür. Bitte mit einem Verweis einfach per pn an mich oder hier den link posten)

Ich habe hier den WSUS 3.1 auf Deutsch - auch nach Anleitung von dieser Seite hier. Super Beschreibung, danke dafür !
Ich habe einen Serverpool und einen Clientpool mit ca 55 Clients.

Jetzt ergeben sich folgende Probleme:

1. bei einer Neuinstallation bekomme ich statt den gewollten 32-bit Updates auch 64-bit Updates sowie eine Menge anderer Updates, die ich nicht benötige. (Itanium Zeugs usw). Das belastet bei der (Neu)Synchronisation das Netzwerk und die Dauer der Synchronisation (auch wenn ich es Nachts laufen habe, muss das nicht sein). Wie kann ich die Updates noch spezifischer für den Download bezeichnen, die ich benötige, ausser in den "Produkte und Klassifizierungen" ? Denn da bekomme ich noch immer einen Haufen Updates, die ich nicht benötige. Beispiel: Ich will Updates für meine 2003 Server. Aber dann bekomme ich auch die 64-bit Versionen oder Itanium Updates, die ich nicht benötige. Wie könnte ich das umgehen ?

2. Ich habe mal Serverupdates, mal Clientupdates in der Synchronisierung (gemischt). Ich hätte diese gern sortiert angezeigt, das es erst nur Server und dann nur Nicht-Server anzeigt. Dann hätte ich es einfacher beim genehmigen. Aber ich kann das nicht sortieren, da leider dann auch wieder 64-bit Updates dabei sind...(Teufelskreis) Wie kann ich das sortierter darlegen ?

3. Ich habe erst mal alle Updates ab dem Jahr 2009 genehmigt, die mir sinnvoll erschienen, da alle Updates im Vorfeld händisch erledigt wurden. Aber um sicher zu gehen, habe ich alle Updates ab Januar 2009 genehmigt. Soweit, so gut, aber wie kann ich sicher sein, das künftig neu installierte PCs die in das Netzwerk migriert werden, künftig alle alten nötigen Updates haben ?

4. GPO !! Ich habe nur zwei Klassen eingeteilt. Server und Clients. Weiterhin wird per GPO veranlassst, das die Updates morgens um 6 Uhr von allen Rechnern heruntergeladen werden aber händisch installiert werden sollen. Ich möchte mit der GPO arbeiten, und das Problem ist, das es sich auf ALLE Rechner bezieht. Ich würde gern GPO-mässig Server und Client trennen.Ich benötige folgendes:

a) Nur die Server sollen via GPO alle Updates herunterladen, aber vom Admin manuell installiert werden.

b) Nur die Clients sollen via GPO alle Updates erhalten und installieren, aber noch nicht neu starten oder dazu aufgefordert werden. Der Neustart am nächsten Morgen muss reichen, oder ein Neustartwert von mindestens 3 Stunden muss akzeptiert werden. Bin offen für eine sinnvolle Alternativen.

5. Wie verhindere ich, das wenn ich den WSUS ausgeschaltet habe, meine Clients immer noch hochfahren ? Denn sobald ich den Wsus vom Netz nehme, lassen sich auch keine Rechner mehr an der Domäne anmelden.

6. Wenn ich für Folgenden Zeitraum (in Minuten) warten, bevor zu einem Neustart aufgefordert wird: XYZ
für XYZ den Wert 600 (entspr. einem Arbeitstag) eingebe, würde das funktionieren ? Ich würde es auch akzeptieren, wenn der heruntergeladen wird aber erst beim herunterfahren installiert wird, und kein Neustart erzwungen wird.

Anbei die GPO als PDF !

Ich hoffe Ihr könnt mir helfen. Vielen Dank



Ich hoffe Ihr könnt mir helfen. Vielen Dank
  
(Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). WSUS.pdf (Anhang gelöscht)
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Diverse Probleme
Antwort #1 - 25.07.09 um 01:11:48
Beitrag drucken  
Hallo Arem,

Deine Wunschliste ist ja ganz schön lang ... versuchen wir doch eins nach dem anderen zu klären.

Suchen kannst Du besser über Google mit der zusätzlichen Ergänzung "site:wsus.de"
Bsp. "Itanium-Quark site:wsus.de"
Probier mal ... geht schneller und zuverlässiger  Zwinkernd

zu 1.)
Der Updateumfang kann ausschließlich über "Produkte und Klassifizierungen" definiert werden. Richtig ist, dass auch x64 und Itanium-Quark dazu gehört. Das hat MS so definiert.

Unterscheiden mußt Du zwischen Erstsynchronisation und wiederholten (geplanten) Synchronisationen. Die Erstsynchronisation dauert immer relativ lange ... die DB ist da ja noch fast leer.

Weiter unterscheiden mußt Du zwischen Metadaten in der DB und dem Download der Updatedateien. Die Metadaten sind immer vollständig in der DB vorhanden. Updatedateien werden erst aus dem Inet downloaded wenn diese min. einmal genehmigt wurden.
Keine Genehmigung = kein Download.

Alle Updates werden über die WU-Agenten auf den Clients auf einen Installationsbedarf hin analysiert. Es sei den, diese Updates wurden "Abgelehnt" oder diese sind von MS als "Abgelaufen" in der DB markiert.
D.h. für Dich ... wenn Du Itanium-Quark ablehnst ... werden diese nicht herutergeladen und auch nicht mehr von Clients angefordert.
Die Metadaten zu solchen Updates verschwinden aber dadurch nicht aus der DB ...
man könnte es sich ja später noch mal anders überlegen. Zwinkernd

Abgelehnte Updates können bei Bedarf später wieder genehmigt werden ... abgelaufenen Updates werden automatisch abgelehnt und können nicht mehr genehmigt werden - das wird verweigert.

Fortsetzung folgt ...  Durchgedreht
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Diverse Probleme
Antwort #2 - 25.07.09 um 02:04:32
Beitrag drucken  
Hallo Arem ... Deine Forsetzung.

zu 2.)
NEIN.
Eine Sortierung nach OS oder Prozessorplattform ist bei Updates nicht vorgesehen. Es gibt Updates, die sind für einzelne OS (z.B. nur XP) bestimmt ... andere für OS-Gruppen (von W2k bis W2k3) bestimmt.

Wenn Du in der Updateansicht "Alle Updates" ein einzelnes Update auswählst, zeigt Dir die untere Ansicht alle zugehörigen Informationen zu diesem Update an.

Dazu gehören neben dem Betriebssystem (z.Bsp. Windows 2000) oder der Produktkategorie (z.Bsp. Office 2003) auch "Ersetzt folgende Updates" (Ältere) oder "Wird durch Updates ersetzt" (Neuere) und vieles andere mehr (z.Bsp. "Eula-Zustimmung erforderlich" oder "Neustart erforderlich").

zu 3.)
Alle von Dir nicht gewünschten Updates solltes Du erstmal ablehen.
Desweiteren solltes Du folgende Updates genehmigen:
1.) sie sind sogenannte WSUS-Updates (also für den WSUS-Betrieb selbst dringend erforderlich),
2.) sie werden von Clients angefordert UND
2.a) sie werden nicht durch andere ersetzt,
2.b) ODER sie ersetzen ausschließlich andere Updates.

Hilfreich dazu ist die Übersicht "Alle Updates" mit dem Filter: "Nicht genehmigt" und "Erforderlich" und in der Liste die zusätzliche Spalte "Ersatz".

"Updates die durch keine Updates ersetzt werden" (2.a) haben unter Ersatz kein Symbol.

"Updates die ausschließlich andere Updates ersetzen" (2.b) haben unter Ersatz als Symbol ein blaues Kästchen oben.

Werden noch andere Updates als Bedarf gemeldet, wird im Updateprozess durch das Installieren ersetzender Updates sich dies später noch ändern. Zwischen WSUS-Server und dem WU-Agent des Clients läuft also eine zyklische Interaktion.
Analysieren ... Anfordern ... Downloaden ... Installieren ...
Analysieren ... usw.
Der Bedarfszustand änder sich also ständig.  Durchgedreht

Es gilt: Updates, die nicht für den Client geeignet/vorgesehen sind, werden nicht installiert (also Update für ausschließlich XP wird nicht auf W2k installiert).

Es gilt: Es werden immer die ersetzenden Updates installiert ... ersetzte Updates werden letztendes ignoriert.

Es gilt: Der Agent selbst analysiert was erforderlich ist und installiert was er vom WSUS bekommen kann ... nach implementierten intelligenten Regeln - Genehmigung vorausgesetzt.

Wenn Du neue Clients ins WSUS integrierst, solltes Du immer die Updates nach 2.) und 2.a) bzw. 2.b) prüfen und die Genehmigungen anpassen. Ein neuer Client könnte was anfordern, was alle Clients vorher noch nie haben wollten. 

Werden neue Updates von MS ins WSUS eingebracht (Patchday) ...
kann zusätzlich die Spalte "Veröffentlicht" eingeblendet und danach sortiert werden. Zwinkernd
So siehst Du das neuste erforderliche Zeugs auf einem Blick,
ohne aufwendig das Synchronisationsprotokoll durchschlappen zu müssen. Cool

So genehmigst Du nix, was in Deiner Infrastruktur nicht tatsächlich benötigt wird ... es wird also nicht alles möglicher aus dem Inet heruntergeladen und der Content (Dateiablage des WSUS) sinnlos vollgebunkert.

Fortsetzung folgt ...
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Diverse Probleme
Antwort #3 - 25.07.09 um 02:15:45
Beitrag drucken  
Hallo Arem ... Deine Forsetzung.

zu 4.)
Du benötigts halt 2 GPO's.
Die erste für Server mit Update-Option = 3, verbunden mit der OU im AD in der alle Server aufgelistet sind.
die zweite für PC's mit Update-Option = 4, verbunden mit der OU im AD, in der die PC's einsortiert sind.

Den Neustart verhinderst Du mit der Einstellung "Kein Neustart wenn Benutzer angemeldet sind" = Aktiviert.
PC's, die online sind und wo kein User angemeldet ist, ist der Neustart doch egal .. soll er doch neustarten.

Bei Servern erfolgt die Anforderung eines Neustarts erst, nach dem der Admin die Installation der Updates manuell ausgelöst hat. Das muss er dann wohl selbst entscheiden ... ob jetzt oder später.

Jetzt ist erst mal Schluß  (02:15 Uhr) ... der Rest kommt später  Laut lachend

Gruß Dani
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Diverse Probleme
Antwort #4 - 25.07.09 um 13:45:37
Beitrag drucken  
Hallo Arem ... hier Deine Forsetzung zur Fortsetzung. Laut lachend

noch zu 4.)
Die Information über einen Neustart kannst Du nur wirklich wirksam über den Benutzerteil einer GPO abschalten. D.h. Die GPO muß auf eine OU wirken, wo die Benutzer drin stehen.
"Alle Updatefunktionen entfernen" = Aktiviert löst Dein Problem.
Siehe dazu auch nochmal Sunnys GPO-Vorlage hier im Forum.

zu 5.)
Verstehe ich nicht ganz. Ist Dein WSUS-Server = Domänencontroller ???
Wenn der dann offline geht und kein zweiter DC da ist ... erklärt sich das Verhalten doch von selbst - oder ? hä?
Der WU-Agent beeinflusst selber NICHT den normalen Anmeldeprozess am Computer.
Ist der WSUS nicht erreichbar ... passiert einfach nix, außer das der Agent pausiert und zyklisch mal nachfragt, ob sich dieser Umstand verändert hat. Smiley

zu 6.)
Ein erzwungener Neustart kommt nur bei Updates in Verbindung mit "Deadlines" zustande. Wenn das nicht verwendet wird ... ist sehr zu empfehlen (!!!) ... wird ein Benutzer  eben nur genervt.
Es sei denn Du beachtest/realisierst Antwort 5.)!

Wichtig ... die benutzerorientierte Steuerung funktioniert nur via GPO im AD komfortabel.
Bei Nichtdomänencomputern wird das schwer, weil jedes User-Account in HKEY_CURRENT_USER der Registry seine eigenen Einstellung benötigt. Wenn mehrere User sich an einem Gerät anmelden können ... wird das sehr umfangreich. Dann könnte höchstens mit LogOn-Script gearbeitet werden.

So ... ich hoffe, das hilft für die ersten Schritte. Zwinkernd

Gruß Dani
  
Zum Seitenanfang
 
Arem
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Standort: Hamburg
Mitglied seit: 04.03.08
Geschlecht: männlich
Re: Diverse Probleme
Antwort #5 - 30.07.09 um 13:37:54
Beitrag drucken  
Lieber Dani,

zunächst einmal sorry, das ich mich ewig nicht gemeldet habe Smiley Hatte leider keine Zeit.
Vielen vielen Dank für die Serien-Erklärung. Freue mich auf die finale Folge dieser Staffel Smiley Ich habe vieles nur überflogen (weil etwas unter Zeitdruck atm) - daher muss ich  mich später damit befassen, und bitte sei Dir versichert, Du bekommst entsprechendes Feedback und Fragen als Antwort Smiley

Übrigens, nein..der WSUS ist natürlich kein DC, daher kann ich mir das Verhalten selbstredend nicht erklären.
  Laut lachend

Aber Fakt ist, das die Clients, wenn der WSUS nicht im Netzwerk ist (gerade am Neustarten etc), nicht mehr hochfahren. Das ist höchst seltsam.
War vorher natürlich auch nicht so. Habe den WSUS installiert, und seitdem geht das nicht mehr.


Fragen GPO:

1.
GPO: Empfohlene Updates über "Automatische Updates" aktivieren und
GPO: Internen Pfad für den Microsoft Updatedienst angeben

beißen die sich ? Ich habe einen WSUS eingerichtet, und Automatische Updates besagt, das die Updates des Clients nicht beim WSUS sondern bei MS im Internet geholt werden sollen ?
die GPO: Internen Pfad für den Microsoft Updatedienst angeben <-- ist natürlich konfiguriert und aktiviert bei mir.

Falls dem so ist....SINN ???????
Ich dachte da ich den internen Pfad für den MS-Updatedienst angegeben habe (zu meinem WSUS) - beziehen die Clients als Automatische Updates direkt von meinem WSUS alle Updates. Ist dem eben nicht so ?

So, kurz weg...to be continued...
  
Zum Seitenanfang
 
DESoft
WSUS Experte
*****
Offline


I Love WSUS!<br />

Beiträge: 702
Standort: Magdeburg
Mitglied seit: 24.07.08
Re: Diverse Probleme
Antwort #6 - 31.07.09 um 14:17:43
Beitrag drucken  
Hi Arem,

Bei Deiner GPO-Frage hast Du recht.

Bei mir ist in den GPO's der Punkt "Empfohlene Updates über "Automatische Updates" aktivieren" deaktiviert.
Der Client hängt am WSUS-Server seines Standortes und hat nur das zu installieren, was auf dem WSUS-Server genehmigt/freigegeben wurde.  Zwinkernd

Theoretisch zieht das nur, wenn die Clients über's Inet direkt zu MS gehen.

Gruß Dani
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15134
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Diverse Probleme
Antwort #7 - 01.08.09 um 15:00:05
Beitrag drucken  
Arem schrieb on 30.07.09 um 13:37:54:
Aber Fakt ist, das die Clients, wenn der WSUS nicht im Netzwerk ist (gerade am Neustarten etc), nicht mehr hochfahren. Das ist höchst seltsam.
War vorher natürlich auch nicht so. Habe den WSUS installiert, und seitdem geht das nicht mehr.


Hmm, das kann so nicht sein. Das hat wohl andere Gründe. Ist der WSUS evtl. DNS-Server und bei den Clients im TCP/IP eingetragen? Fehlermeldungen im Eventlog auf den Clients beim starten? Und definiere bitte "nicht mehr hochfahren". Dauert es länger oder kommt der Client gar nicht hoch?

Arem schrieb on 30.07.09 um 13:37:54:
Fragen GPO:

1.
GPO: Empfohlene Updates über "Automatische Updates" aktivieren und
GPO: Internen Pfad für den Microsoft Updatedienst angeben

beißen die sich ? Ich habe einen WSUS eingerichtet, und Automatische Updates besagt, das die Updates des Clients nicht beim WSUS sondern bei MS im Internet geholt werden sollen ?


Dann haben die Clients die GPO wohl noch nicht übernommen. Mit RSOP.MSC am Client kannst Du das prüfen. Auch in der Registry kannst Du überprüfen ob alle Einträge ankommen. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate und darunter suchst Du.

Arem schrieb on 30.07.09 um 13:37:54:
die GPO: Internen Pfad für den Microsoft Updatedienst angeben <-- ist natürlich konfiguriert und aktiviert bei mir.


Und was genau steht da drin?

Arem schrieb on 30.07.09 um 13:37:54:
Falls dem so ist....SINN ???????
Ich dachte da ich den internen Pfad für den MS-Updatedienst angegeben habe (zu meinem WSUS) - beziehen die Clients als Automatische Updates direkt von meinem WSUS alle Updates. Ist dem eben nicht so ?


Dann stimmt wohl etwas noch nicht. Entweder der WSUS ist nicht korrekt eingetragen, oder die Clients bekommen die GPO nicht weil die GPO nicht richtig verlinkt ist oder aus vielen anderen möglich Gründen.

Hier gibts auch eine kleine Beispiel-GPO: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden