Normales Thema WSUS Fragen (Gelesen: 1832 mal)
spin2009
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 03.08.09
WSUS Fragen
05.08.09 um 13:42:12
Beitrag drucken  
Hallo WSUS Community,

ich beschäftige mich in meinem Betrieb mit dem Thema WSUS und habe dazu ein paar Fragen. Zunächst ein paar Infos:

- Bandbreite soll gespart werden.
- es sollen nur für den Client relevante Updates installiert werden
- die Updates sollen vor der Verteilung getestet werden
- Windows 2008 Server, XP Clients
- verschiedene Gruppen (einige Clients haben Office, andere nicht etc)

1. Ab wievielen PCs macht WSUS überhaupt Sinn?
2. Welche Alternativen gibt es? Worin liegen die Vorteile und Besonderheiten von WSUS gegenüber den Alternativen und auch automatischen Updates (Mir bekannt: spart Bandbreite, Gruppen)?
3. Wie hoch ist der administrative Aufwand? Läuft alles von selbst anhand von Regeln oder muss man nach jedem Patchday sich ransetzten und einige Updates zulassen, andere wiederum nicht?
4. Seh ich das richtig, dass die Registry Einträge die GPOs des ADs ersetzen, falls man kein AD hat? Oder sind die Registry Einträge auch noch für andere Dinge gut? Machen die RE auch Sinn ohne WSUS?
5. Wie kann ich mich nur auf relevante Updates beschränken? Welche Kategorien gibt es?
6. Funktioniert der WSUS Dienst auch bei Virtuellen Maschienen?
7. Gibt es Logs? Wenn ja, was steht da drin? Kann man informiert werden, wenn ein PC schon länger nicht mehr geupdated wurde?

Mir gehen viele verschiedene Dinge durch den Kopf und ich würde mir gerne über all diese Dinge im Klaren sein, bevor ich weiterarbeite und mit der Installation und Konfiguration beginne.

mfg Spin
  
Zum Seitenanfang
 
WSUS.DE-Admin
Administrator
*****
Offline


I love WSUS

Beiträge: 1010
Standort: Essen
Mitglied seit: 31.03.05
Geschlecht: männlich
Re: WSUS Fragen
Antwort #1 - 05.08.09 um 14:28:25
Beitrag drucken  
Hallo Spin,

spin2009 schrieb on 05.08.09 um 13:42:12:
1. Ab wievielen PCs macht WSUS überhaupt Sinn?

Ich persönlich würde ab 5 bis 10 Computer über eine Automatisierung nachdenken.

spin2009 schrieb on 05.08.09 um 13:42:12:
2. Welche Alternativen gibt es? Worin liegen die Vorteile und Besonderheiten von WSUS gegenüber den Alternativen und auch automatischen Updates (Mir bekannt: spart Bandbreite, Gruppen)?

Reporting hast du vergessen.

spin2009 schrieb on 05.08.09 um 13:42:12:
3. Wie hoch ist der administrative Aufwand? Läuft alles von selbst anhand von Regeln oder muss man nach jedem Patchday sich ransetzten und einige Updates zulassen, andere wiederum nicht?

Den administrativen Aufwand kann ich nicht abschätzen, da mir die Anzahl der Clients fehlt. Du kannst eigentlich alles per Regel freigeben lassen, jedoch solltest du schon wissen, was du freigibst. Deshalb sind die Regeln mit Vorsicht zu genießen.
Es ist eine Frage der Updatestrategie in deinem Unternehmen.

spin2009 schrieb on 05.08.09 um 13:42:12:
4. Seh ich das richtig, dass die Registry Einträge die GPOs des ADs ersetzen, falls man kein AD hat? Oder sind die Registry Einträge auch noch für andere Dinge gut? Machen die RE auch Sinn ohne WSUS?


Falsch!
Die Registry-Keys können alternativ auf den Clients gesetzt werden, wenn keine AD (Verteilung der Einstellungen per Gruppenrichtlinien) vorhanden ist.
In abgeänderter Form kann die Registry-Key auch für den Einsatz mit Microsoft Update verwendet werden.

spin2009 schrieb on 05.08.09 um 13:42:12:
5. Wie kann ich mich nur auf relevante Updates beschränken? Welche Kategorien gibt es?

Ja, das geht!
Klassifizierungen: Definitionsupdates, Feature Packs, Service Packs, Sicherheitsupdates, Tools, Treiber, Update-Rollups, Updates, Wichtige Updates

spin2009 schrieb on 05.08.09 um 13:42:12:
6. Funktioniert der WSUS Dienst auch bei Virtuellen Maschinen?

Ja

spin2009 schrieb on 05.08.09 um 13:42:12:
7. Gibt es Logs? Wenn ja, was steht da drin? Kann man informiert werden, wenn ein PC schon länger nicht mehr geupdated wurde?

Es gibt ein Reportingtool, das bei der Installation von WSUS mit installiert werden muss.
Wenn Clients nicht aktuell sind oder lange nicht mehr im Netz waren kann man das in der WSUS Konsole (MMC) sehen.


Setz einfach mal zum testen einen WSUS Server auf und schau ihn dir an!
  
Zum Seitenanfang
spin2009
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 03.08.09
Re: WSUS Fragen
Antwort #2 - 05.08.09 um 15:04:39
Beitrag drucken  
Hallo,

danke für die schnelle Antwort.

Quote:
Den administrativen Aufwand kann ich nicht abschätzen, da mir die Anzahl der Clients fehlt.

Es sind 12 Clients. Aber warum sollte der Aufwand steigen bei mehr Clients? Ob man 5 oder 50 PCs updated, man macht doch die gleichen Gruppen etc, dann läuft alles automatisch oder nicht?

Quote:
Falsch!
Die Registry-Keys können alternativ auf den Clients gesetzt werden, wenn keine AD (Verteilung der Einstellungen per Gruppenrichtlinien) vorhanden ist.

Da habe ich mich wohl undeutlich ausgedrückt. Genau das meinte ich mit "ersetzen, falls man kein AD hat"

Nochmal zu den Alternativen: Gibt es denn überhaupt andere Programme die sich für meine Bedürfnisse eignen? Und wie sticht dann WSUS heraus?

Es besteht schon der 2008 Server auf dem AD und DC laufen. Ich könnte noch einen weiteren Server nur für WSUS aufsetzen. Vorteile: Server wird nicht überlastet und Serverkonfig lässt sich besser anpassen (zB die Systemdienste?)
Nachteil: ein weiterer Server wird für nicht allzuviele Clients benötigt. Eure Vorschläge?
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS Fragen
Antwort #3 - 05.08.09 um 16:42:20
Beitrag drucken  
spin2009 schrieb on 05.08.09 um 13:42:12:
1. Ab wievielen PCs macht WSUS überhaupt Sinn?

Ab 2 oder 3 würde ich sagen.

spin2009 schrieb on 05.08.09 um 13:42:12:
2. Welche Alternativen gibt es? Worin liegen die Vorteile und Besonderheiten von WSUS gegenüber den Alternativen und auch automatischen Updates (Mir bekannt: spart Bandbreite, Gruppen)?


Manuelle Installation oder SCCM oder SMS ist die Alternative zum WSUS.

Zentrales Patchmanagment kommt noch dazu. Patchinstallationen gezielt bis auf einen Client runter ausführen.

spin2009 schrieb on 05.08.09 um 13:42:12:
3. Wie hoch ist der administrative Aufwand? Läuft alles von selbst anhand von Regeln oder muss man nach jedem Patchday sich ransetzten und einige Updates zulassen, andere wiederum nicht?


Das kommt auf dich an. Wenn du alles automatisiert haben möchtest, dann stell das ein. Wenn nicht, dann gib die Updates am Patchday manuell frei, dauert 5 Minuten pro Patchday.

spin2009 schrieb on 05.08.09 um 13:42:12:
4. Seh ich das richtig, dass die Registry Einträge die GPOs des ADs ersetzen, falls man kein AD hat? Oder sind die Registry Einträge auch noch für andere Dinge gut? Machen die RE auch Sinn ohne WSUS?


Eine GPO setzt auch nur Einträge in der Registry. Ohne WSUS brauchst Du die Einträge nicht setzen, denn dafür gibts ja Default-Einstellungen.

spin2009 schrieb on 05.08.09 um 13:42:12:
5. Wie kann ich mich nur auf relevante Updates beschränken? Welche Kategorien gibt es?


Du magst dir vielleicht mal ein paar Dokus und Screenshots zum WSUS ansehen. Hier auf wsus.de gibts genügend davon.

spin2009 schrieb on 05.08.09 um 13:42:12:
6. Funktioniert der WSUS Dienst auch bei Virtuellen Maschienen?


Weshalb sollte das nicht funktionieren?

spin2009 schrieb on 05.08.09 um 13:42:12:
7. Gibt es Logs? Wenn ja, was steht da drin? Kann man informiert werden, wenn ein PC schon länger nicht mehr geupdated wurde?


Ja, es gibt viele Logs. HowTo und Doku lesen hilft schon mal weiter.

spin2009 schrieb on 05.08.09 um 13:42:12:
Mir gehen viele verschiedene Dinge durch den Kopf und ich würde mir gerne über all diese Dinge im Klaren sein, bevor ich weiterarbeite und mit der Installation und Konfiguration beginne.


Dann fang mit einem virutellen WSUS und ein paar Clients zum testen erstmal an.
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS Fragen
Antwort #4 - 05.08.09 um 16:48:22
Beitrag drucken  
spin2009 schrieb on 05.08.09 um 15:04:39:
Quote:
Den administrativen Aufwand kann ich nicht abschätzen, da mir die Anzahl der Clients fehlt.

Es sind 12 Clients. Aber warum sollte der Aufwand steigen bei mehr Clients? Ob man 5 oder 50 PCs updated, man macht doch die gleichen Gruppen etc, dann läuft alles automatisch oder nicht?


Du hast bei 12 Clients vermutlich nicht die gleichen Gruppen wie ich bei 150 Clients. Je mehr Clients Du hast, desto mehr wirst Du vermutlich auch die Updates zuerst testen.

spin2009 schrieb on 05.08.09 um 13:42:12:
Nochmal zu den Alternativen: Gibt es denn überhaupt andere Programme die sich für meine Bedürfnisse eignen? Und wie sticht dann WSUS heraus?


Der WSUS ist kostenlos, SMS oder SCCM kostet Geld.

spin2009 schrieb on 05.08.09 um 13:42:12:
Es besteht schon der 2008 Server auf dem AD und DC laufen. Ich könnte noch einen weiteren Server nur für WSUS aufsetzen. Vorteile: Server wird nicht überlastet und Serverkonfig lässt sich besser anpassen (zB die Systemdienste?)
Nachteil: ein weiterer Server wird für nicht allzuviele Clients benötigt. Eure Vorschläge?


Einen weiteren Server könntest/solltest Du bei 12 Clients evtl. auch zum DC promoten, Stichwort Ausfallsicherheit.

Wenn allerdings nur der WSUS auf dem neuen zusätzlichen Server laufen soll, dann würde ich den virtualisieren.
  
Zum Seitenanfang
 
spin2009
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 03.08.09
Re: WSUS Fragen
Antwort #5 - 07.08.09 um 09:31:14
Beitrag drucken  
Hallo,

vielen Dank für die weiteren Antworten. Ich habe nun WSUS installiert und habe weitere Fragen.

Ich habe 3 Gruppen eingerichtet, sicherheitsupdates für alle zugelassen und wichtige Updates nur für eine Gruppe. in einigen listen steht nun "installieren 1/5" bei einigen "installieren 2/2". Worauf bezieht sich das?

Außerdem habe ich eine Gruppe mit Office und eine ohne. Mein Plan war: Officeupdates für die "ohne" nicht zulassen, für die andere schon. Aber das macht doch überhaut keinen Sinn. Weil heruntergeladen werden sie eh vom WSUS, da sie von "mit" benötigt werden und auf den PC "ohne" werden Sie sowieso nicht übertragen, weil auch garkein Office installiert ist und somit auch keine Pull Anfrage der PCs kommt.

Was lediglich Sinn machen würde bei dem Unterschied ob Office installiert ist oder nicht:
Wenn es Kompatibilitätsprobleme eines Sicherheitsupdates mit Office gibt, dann können diese für "ohne" zugelassen werden aber für "mit" abgelehnt. Ist das korrekt?
Gibt es Listen mit bekannten Kompatibilitätsproblemen oder muss ich nach dem Trial & Error Prinzip alle erst testen und dann ggf. ablehnen?

Habt ihr noch Vorschläge für weitere Gruppierungen, Einschränkungen? Bzw was habt ihr für Erfahrungen diesbezüglich gemacht?

mfg Spin
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS Fragen
Antwort #6 - 07.08.09 um 10:18:30
Beitrag drucken  
spin2009 schrieb on 07.08.09 um 09:31:14:
Ich habe 3 Gruppen eingerichtet, sicherheitsupdates für alle zugelassen und wichtige Updates nur für eine Gruppe. in einigen listen steht nun "installieren 1/5" bei einigen "installieren 2/2". Worauf bezieht sich das?


Auf die Anzahl der Clients in den Gruppen.

spin2009 schrieb on 07.08.09 um 09:31:14:
Außerdem habe ich eine Gruppe mit Office und eine ohne. Mein Plan war: Officeupdates für die "ohne" nicht zulassen, für die andere schon. Aber das macht doch überhaut keinen Sinn. Weil heruntergeladen werden sie eh vom WSUS, da sie von "mit" benötigt werden und auf den PC "ohne" werden Sie sowieso nicht übertragen, weil auch garkein Office installiert ist und somit auch keine Pull Anfrage der PCs kommt.


Du kannst die Office Updates ruhig für alle freigeben, der lokale WU-Agent vom Client fordert nur das an, was er auch braucht.

spin2009 schrieb on 07.08.09 um 09:31:14:
Was lediglich Sinn machen würde bei dem Unterschied ob Office installiert ist oder nicht:
Wenn es Kompatibilitätsprobleme eines Sicherheitsupdates mit Office gibt, dann können diese für "ohne" zugelassen werden aber für "mit" abgelehnt. Ist das korrekt?
Gibt es Listen mit bekannten Kompatibilitätsproblemen oder muss ich nach dem Trial & Error Prinzip alle erst testen und dann ggf. ablehnen?


Mir sind keine solchen Listen bekannt, und ja, auf Trial and Error wird es wohl hinauslaufen.

spin2009 schrieb on 07.08.09 um 09:31:14:
Habt ihr noch Vorschläge für weitere Gruppierungen, Einschränkungen? Bzw was habt ihr für Erfahrungen diesbezüglich gemacht?


Die Gruppen sollten für dich logisch und überschaubar sein. Im Prinzip genauso wie mit den OUs im AD. Dort mußt auch Du dich zurecht finden.
  
Zum Seitenanfang
 
spin2009
WSUS Neuling
Offline


I Love WSUS!

Beiträge: 4
Mitglied seit: 03.08.09
Re: WSUS Fragen
Antwort #7 - 07.08.09 um 13:21:13
Beitrag drucken  
Sunny schrieb on 07.08.09 um 10:18:30:
Auf die Anzahl der Clients in den Gruppen.

Bisher habe ich aber nur den Server in der Liste der nicht zugeordneten Computern. Warum wird dann angezeigt, dass mal 1/5 und mal 2/2 Clients geupdated werden (können).

Außerdem fehlt mir überhaupt die Verbindung zum AD. Dort habe ich jetzt Gruppen erstellt (genau so benannt wie die Gruppen auf dem WSUs) und die entsprechenden PCs hinzugefügt. Dann habe ich im Gruppenrichtlinieneditor für die Domäne die URL zum WSUS angegeben und ein paar Einstellungen vorgenommen.

Sehe ich folgendes richtig?:

Quote:
dies bezieht sich jetzt auf alle PCs in der Domäne, ganz gleich in welcher oder ob sie überhaupt in einer Gruppe sind (der testpc in der domäne hat nun ausgegraute buttons in den einstellungen für automatische updates; kann man doch auch in der registry nachschauen oder?)

bin gerade total durcheinander.
Der wsus müsste doch alle pcs im Netz erkennen und sie der Gruppe "nicht zugeordnet" zuordnen. Wenn ich unterschiedliche Updates unterschiedlichen PCs zuweisen will mach ich das indem ich für die gruppen entsprechend genehmige und die PCs von der "nicht zugeordnet"gruppe in die xy-gruppe schiebe.

Wenn es hingegen um zeitversetzte updates geht (Admin zum update-testen) muss ich im AD gruppen erstellen und auf diese unterschiedliche gpos wirken lassen.
??

mfg spin
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 13354
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: WSUS Fragen
Antwort #8 - 07.08.09 um 14:09:44
Beitrag drucken  
spin2009 schrieb on 07.08.09 um 13:21:13:
Sunny schrieb on 07.08.09 um 10:18:30:
Auf die Anzahl der Clients in den Gruppen.

Bisher habe ich aber nur den Server in der Liste der nicht zugeordneten Computern. Warum wird dann angezeigt, dass mal 1/5 und mal 2/2 Clients geupdated werden (können).


Mach doch bitte mal einen Screenshot davon und lade ihn hoch. (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).

spin2009 schrieb on 07.08.09 um 13:21:13:
Außerdem fehlt mir überhaupt die Verbindung zum AD. Dort habe ich jetzt Gruppen erstellt (genau so benannt wie die Gruppen auf dem WSUs) und die entsprechenden PCs hinzugefügt. Dann habe ich im Gruppenrichtlinieneditor für die Domäne die URL zum WSUS angegeben und ein paar Einstellungen vorgenommen.


Der WSUS ist unabhängig vom AD. Du könntest vom AD importieren, ansonsten ist es dem WSUS vollkommen egal ob er in einem AD oder in einer Arbeitsgruppe läuft. Die Clients müssen auch nicht im AD oder in einer AG sein.

spin2009 schrieb on 07.08.09 um 13:21:13:
Sehe ich folgendes richtig?:

[quote]dies bezieht sich jetzt auf alle PCs in der Domäne, ganz gleich in welcher oder ob sie überhaupt in einer Gruppe sind (der testpc in der domäne hat nun ausgegraute buttons in den einstellungen für automatische updates; kann man doch auch in der registry nachschauen oder?)


Ich könnte jetzt uneingeschränkt ja sagen, es wird dir vermutlich nicht viel helfen.

Quote:
bin gerade total durcheinander.
Der wsus müsste doch alle pcs im Netz erkennen und sie der Gruppe "nicht zugeordnet" zuordnen.


Nein, vollkommen falsch. Der WSUS ist das dümmste was es gibt. Er findet nichts und niemanden, die Clients finden den Weg zum WSUS. Der Unterschied mag klein aber sehr fein sein.

Quote:
Wenn ich unterschiedliche Updates unterschiedlichen PCs zuweisen will mach ich das indem ich für die gruppen entsprechend genehmige und die PCs von der "nicht zugeordnet"gruppe in die xy-gruppe schiebe.


Du kannst keine Updates einzelnen PC "zuweisen". Du kannst Updates für Gruppen zum installieren freigeben. Dann holen sich die Clients aus der Gruppe die vom WSUS gedownloadeten Updates. Wobei ein Client ab dem WSUS 3.0 in mehreren Gruppen Mitglied sein kann. Und Du kannst auch Untergruppen erstellen.

Quote:
Wenn es hingegen um zeitversetzte updates geht (Admin zum update-testen) muss ich im AD gruppen erstellen und auf diese unterschiedliche gpos wirken lassen.
??

Nein, das AD und die Gruppen im AD haben nichts mit dem WSUS zu tun. Das machst Du sinnigerweise alles mit Gruppen/Untergruppen in der WSUS-Konsole. Du gibst die Updates zum installieren frei, allerdings nur für die Testgruppe. Und in der Testgruppe sind die Clients, die testen sollen. Sind die Updates OK, mußt Du die Installationsfreigabe auf die anderen Gruppen im WSUS erweitern.

Schau dir doch auch dazu mal die HowTos auf WSUS.DE an und dies hier: (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen).
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden