Normales Thema Welche Klassifizierung sinnvoll? (Gelesen: 8004 mal)
mexx991
WSUS Junior Member
*
Offline


I love WSUS!

Beiträge: 13
Mitglied seit: 26.02.16
Welche Klassifizierung sinnvoll?
26.02.16 um 11:31:08
Beitrag drucken  
Hallo zusammen,

bin neu hier und zudem auch ein WSUS-Frischling Smiley
Habe das Patchmanagement bei uns in der Firma übernommen und hab da ein paar Fragen, die ich im Netz direkt nirgends finden konnte.

- Welche Klassifizierungen sind denn sinnvoll? Momentan haben wir "nur" das Nötigste: d.h. Definitionsupdates, Featurepacks (zwecks .NET), Sicherheitsupdates und Wichtige Updates.
Sollte man den Rest (ServicePacks, Updates, Rollups u. Upgrades) mit einschließen? Treiber werden bewusst nicht mit verteilt..

- Bei der Installation von WSUS waren Updates + Rollups  ausversehen angehakt. Hab diese Updates abgewählt und darauf den Serverberreinigungsassistenten darüber rennen lassen, allerdings sind die genannten Patche immer noch in der DB zur Auswahl? Gut, wenn die Lösung ist, dass die besagten Updates eh sinnvoll sind zu verteilen, können sie natürlich drin bleiben. Aber wie ist die vorgehensweise grundsätzlich mit dem Entfernen von nicht gewollten / benötigten Updates?

Vielen Dank schon mal für die Hilfe!

  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15130
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Welche Klassifizierung sinnvoll?
Antwort #1 - 26.02.16 um 12:55:45
Beitrag drucken  
In den Update-Rollups ist z.B. auch der IE 11 für W7 enthalten. Wenn Du den darüber nicht zur Verfügung stellen willst, dann darfst Du Update-Rollups nicht aktivieren. Auch sind dort andere kumulativen Updates für die diversen IE-Versionen enthalten. Auch findest Du dort z.B. ein UpdateRollup für den SQL Server 2012 SP1. Solltet ihr auch SQL Server im Einsatz haben, ist es zu überlegen die Update Rollups zu aktivieren.

Solange die Clients die Updates nicht anfordern, würde ich sie auch nicht genehmigen. D.h. du solltest nur eine automatische Genehmigungsregel für Updates und Sicherheitsupdates erstellen. Alle anderen Updates werden im Fall des Falles von den Clients angefordert.

BTW: Der WSUS verteilt nichts, der stellt nur zur Verfügung. Die Intelligenz ist auf dem Client in Form des Windows Update Agent.

Hast Du dir die Beschreibungen zum Serverbereinigungsassistenten auch durchgelesen? Wenn nein, dann hol das nach und überleg nochmal warum die META-Daten nicht verschwunden sind. Zwinkernd

Alte nicht mehr benötigte Updates, z.B. ein SP1 für SQL 2012, kannst Du ablehnen, den Rest macht der Serverbereinigungsassistenten, dessen Beschreibungen zu den einzelnen Punkten man sehr aufmerksam lesen sollte. Zwinkernd In (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). findest Du zwei Bereinigungsscripte, lass eines davon (welches bleibt dir überlassen) täglich im Taskplaner laufen.

Zusätzlich gibt es in der Script Gallery von MSFT ein Reindexierungsscript für den WSUS, das solltest Du wöchentlich im Taskplaner aufrufen.

Und noch ein nicht unwichtiger Hinweis. In (Du musst Dich Einloggen oder Registrieren um Multimediadateien oder Links zu sehen). findest du die Updates und die Klassifizierung dazu, wie sie im WSUS eingeordnet kommen. Ganz unten sind die Links zu den Artikeln der Vorjahre zu finden.

  
Zum Seitenanfang
 
mexx991
WSUS Junior Member
*
Offline


I love WSUS!

Beiträge: 13
Mitglied seit: 26.02.16
Re: Welche Klassifizierung sinnvoll?
Antwort #2 - 09.03.16 um 11:50:18
Beitrag drucken  
Hallo Sunny,

vielen Dank für die Rückmeldung.
Allerdings bin ich mit dem Serverbereinigungsassistenten noch nicht ganz durchgestiegen:

Habe alte Updates (XP, Office 2003)  abgelehnt und darauf den Assistenten seine Arbeit machen lassen. Die META-Daten sind jedoch immer noch in der DB. Werden diese erst nach den besagten 30 Tagen entfernt oder kann man das manuell irgendwie beschleunigen ?!
Will nicht warten Smiley
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15130
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Welche Klassifizierung sinnvoll?
Antwort #3 - 09.03.16 um 12:56:04
Beitrag drucken  
Die META-Daten werden überhaupt nicht mehr aus der SUSDB gelöscht. Die Dateien im Dateisystem erst dann, wenn Du die Updates 30 Tage lang nicht mehr genehmigst. Gelöscht werden sie dann natürlich nur vom Serverbereinigungsassistenten. Egal ob Du ihn per Script oder manuell ausführst.
  
Zum Seitenanfang
 
mexx991
WSUS Junior Member
*
Offline


I love WSUS!

Beiträge: 13
Mitglied seit: 26.02.16
Re: Welche Klassifizierung sinnvoll?
Antwort #4 - 18.10.16 um 07:49:16
Beitrag drucken  
Muss dieses Thema nochmals ausgraben:

Wie gesagt, wir wollen eigentlich nur die zwingend benötigten Updates genehmigen - nach dem Motto: weniger ist mehr Smiley

Haben jetzt folgende Klassifizierung synchronisiert:

- Definitionsupdates
- Feature Packs (zwecks .NET; wird von DMS-Software zwingend benötigt)
- Sicherheitsupdates
- Update-Rollups (IE11 ...)
- Wichtige Updates

Jetzt stellt sich uns die Frage, ob die "normalen" Updates auch irgendwie eingegrenzt werden können.
Hatten diese seither nur bedingt im Einsatz, da der IE11 z.B. Updates voraussetzt.

Allerdings wollen wir es wie schon geschrieben relativ schmal halten, da wir ältere PCs haben, die durch die steigende Updatezahl auch spürbar langsamer werden... Griesgrämig

Hat mir deshalb eine Bestpractice-Beschreibung?
Hab das WWW mittlerweile durch und zick Erklärungen studiert - mich würde allerdings von erfahrenen WSUS-Administratoren interessieren, wie es genau in anderen Firmen gelebt wird.

Vielen Dank schon mal!

Viele Grüße
  
Zum Seitenanfang
 
Sunny
Microsoft MVP
*****
Offline



Beiträge: 15130
Mitglied seit: 11.02.07
Geschlecht: männlich
Re: Welche Klassifizierung sinnvoll?
Antwort #5 - 18.10.16 um 08:42:55
Beitrag drucken  
Wie möchtest Du Updates eingrenzen? Du kannst natürlich keine Updates automatisch zur Installation freigeben, sondern wartest welche Updates die Clients anfordern. Nur die genehmigst Du dann.

BestPraxis gibt es IMO nicht. Das handhabt jeder anders.

Bei uns gibt es auch alte PCs, aber dadurch das viele Updates installiert sind, werden die NICHT langsamer. Da läuft bei euch etwas anderes falsch. Ich vermute eher die AV-Scanner als den Schuldigen.
  
Zum Seitenanfang
 
Bookmarks: Facebook Google Google+ Linked in Twitter Yahoo
 



Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden