emeriks
Goto Top

WSUS - erforderlich Updates

Hi,
ein gängiges Verfahren, welche Updates man am WSUS-Server genehmigen soll und welche nicht, beruft sich darauf, dass man sich einfach anzeigen lassen soll, welche Updates als "erforderlich" gelten. Und diese dann für die betreffende Computergruppe genehmigen. Natürlich nur, sofern keine Gegenanzeige vorliegt, z.B. weil irgendein Softwarehersteller sagt, dass ein bestimmtest Update nicht installiert werden darf, damit die betreffende Software dieses Herstellers weiterhin funktioniert.
Anschließend - wenn man das für alle Computergruppen (Computer) erledigt hat - kann man alle nicht-genehmigten Updates explizit ablehnen, damit diese beim nächsten Aufräumvorgang vom WSUS-Server gelöscht werden, um dort den Platz freizugeben.

Soweit, so gut.

Nun ist mir aber gerade etwas aufgefallen.
Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.

Beispiel-Szenario: (Visio sei hier nur ein Beispiel!)
  • Man geht nach eigangs beschriebenen Verfahren vor.
  • Man hat noch keine Client mit MS Visio 29016.
  • Die Updates für MS Visio 2016 werden deshalb nie als erforderlich angezeigt.
  • Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.
  • Jetzt wird der erste Client mit MS Visio 2016 betankt.
  • Die Updates für MS Visio 2016 werden weiterhin nicht als erforderlich angezeigt, weil sie abgelehnt sind.
  • Man bekommt so keinen Hinweis, dass diese Updates noch benötigt werden.
  • Erst wenn neue Updates für MS Visio 2016 erscheinen tauchen diese im "Erforderlich"-Report auf.

Man müsste jetzt als WSUS-Admin erst wissen (mitbekommen), dass da plötzlich MS Visio 2016 auf einem Client installiert wurde. Erst dann wird man auf die Idee kommen, die betreffenden Updates auf dem Server für irgendeine Dummy-Gruppe zu genehmigen, weil nur so kann man den Status "abgelehnt" wieder aufheben. Dann kann man sich erneut für die Computer die erforderlichen Updates anzeigen lassen und die fehlenden Visio-Updates genehmigen. Alle übrigen kann man dann wieder ablehnen.
Das ist doch Nonsens!

Mache ich was falsch? Habe ich einen Denkfehler?

E.

Content-Key: 475214

Url: https://administrator.de/contentid/475214

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 19.07.2019 um 12:10:09 Uhr
Goto Top
Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.

Warum sollte das dämlich sein? MS geht davon aus, dass ein WSUS Admin weiss, welche Updates er abgelehnt hat (und dies wohl mit gutem Grund getan hat ("Wollen Sie wirklich...", "wirklich???", "dein Ernst...?"...)

Demnach ist das Update wohl auch aus Admin und MS Sicht tatsächlich aus gutem Grund nicht mehr als erforderlich markiert.

VG
Mitglied: NetzwerkDude
NetzwerkDude 19.07.2019 um 12:12:09 Uhr
Goto Top
Die Updates für MS Visio 2016 werden deshalb nie als erforderlich angezeigt.
Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.

Ich würde den Schritt mit explizit ablehnen einfach sein lassen, und alle nicht erforderrlichen "liegen lassen"
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.07.2019 aktualisiert um 12:15:35 Uhr
Goto Top
Zitat von @falscher-sperrstatus:

Wenn man ein Update explizit abgelehnt hat, dann taucht dieses auch nicht mehr im Report für erforderliche Updates auf. Das ist natürlich sehr dämlich.

Warum sollte das dämlich sein? MS geht davon aus, dass ein WSUS Admin weiss, welche Updates er abgelehnt hat (und dies wohl mit gutem Grund getan hat ("Wollen Sie wirklich...", "wirklich???", "dein Ernst...?"...)

Demnach ist das Update wohl auch aus Admin und MS Sicht tatsächlich aus gutem Grund nicht mehr als erforderlich markiert.

Und da der Admin immer weiß (oder wissen sollte), welche Software auf seinen Systemen eingespielt wird, kann er auch nachträglich seine ehemalige Entscheidung revidieren. face-smile

Also: works as designed. face-smile

lks

PS: Plattenplatz ist heutzutage billig. Gerade wieder 4 8TB-Platten für meine Datenmüllhalde bestellt. face-smile
Mitglied: wiesi200
wiesi200 19.07.2019 um 12:13:35 Uhr
Goto Top
Hallo,

zu deinem Beispiel.
MS Visio 2016 Updates lehne ich nicht ab. Ich lass diese nicht mal replizieren.
Und ich lehne auch nur Update ab die ich wirklich nicht haben will.
Ich gehnehmige aber auch nur die die explizit von Clients gefordert werden.
Mitglied: Ex0r2k16
Ex0r2k16 19.07.2019 um 12:17:49 Uhr
Goto Top
Zitat von @NetzwerkDude:
Ich würde den Schritt mit explizit ablehnen einfach sein lassen, und alle nicht erforderrlichen "liegen lassen"

so mache ich das auch. Mit Ausnahme von absoluten Katastrophen Updates (Ich darf an Sophos erinnern) oder Funktionsupdates. Nur mit dem Hintergrund, dass ich diese nicht irgendwie "aus Versehen" mit durch genehmige. Das kommt aber so selten vor, dass ich das jedes mal noch weiß und diese Updates dann sowieso irgendwann von MS ersetzt werden.

Wsus ist halt eher so die Tee trinken und abwarten Konsole. Ordnung sucht man vergebens. Alleine diese 99% machen mich persönlich ja wahnsinnig :D
Mitglied: departure69
departure69 19.07.2019 um 12:19:39 Uhr
Goto Top
@emeriks:

Hallo.

Wenn man ein Update explizit abgelehnt hat

Du tust das also, damit diese beim nächsten Cleanup auch wirklich mit verschwinden?

Würde ich nicht tun.

Um Platz zu sparen bzw. wieder freizumachen, lasse ich den Serverbereinigungsassistenten zwar auch 1 x pro Monat laufen, aber dabei werden auch solche Updates entfernt, die längst in neu(er)en Versionen hinzugekommen sind. Dann sind die veralteten Versionen auf jeden Fall verschwunden, egal ob sie mal genehmigt, einfach nur nicht genehmigt oder explizit abgelehnt wurden. Für mich ist das Platzersparnis/Platzgewinnung genug. Wenn Dir das auch genügen könnte (kenne die Platzverhältnisse auf der Content-Partition Deines WSUS nicht), dann laß' die Ablehnerei doch einfach sein.

•Die Updates für MS Visio 2016 werden deshalb explizit abgelehnt.

Woher weißt Du überhaupt um deren Existenz in Deinem WSUS, wenn diese bis dahin (weil es noch keinen Visio-2016-Client gibt) überhaupt nie als erforderlich angezeigt wurden?

Wenn ich wirklich mal was ablehnen müßte, dann doch nur etwas, von dessen Existenz ich durch die Erforderlich-Anzeige überhaupt etwas mitbekommen habe. Was ich nicht weiß, macht mich …

Laß' die Ablehnerei sein, nicht genehmigen muß genügen, finde ich. Einziges Problem: Die "Erforderlich-Liste" wird länger und unübersichtlicher.


Viele Grüße

von

departure69
Mitglied: ArnoNymous
ArnoNymous 19.07.2019 um 13:02:09 Uhr
Goto Top
Moin,

das Problem hast du gut erkannt. Kenne dafür jetzt auch keine Lösung.

Ich würde aber ebenfalls vorschlagen, diese Updates einfach nicht abzulehnen, nur weil sie aktuell nicht gebraucht werden. Ich sehe darin auch kein wirklichen Mehrwert? Warum genau tust du das so?

Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen. Denn die werden wirklich nicht mehr gebraucht. Dazu reicht es aber nicht, entsprechendes Häkchen bei der Bereinigung zu setzen. Du musst in der Updateübersicht den Reiter "Ersatz" anzeigen lassen. Hier dann manuell alle, die bereits ersetzt wurde, ablehnen. Die, die nicht ersetzt wurden oder kein entsprechendes Symbol haben, solltest du behalten.

wsus

So benötigt mein WSUS aktuell nur ca 85 GB. Und das behinhalten u.a. WinSrv2008R2, WinSrv2016, Exchange2016, Win7, Win10 Office2010, Office2016.

Gruß
Mitglied: Lochkartenstanzer
Lochkartenstanzer 19.07.2019 um 13:05:24 Uhr
Goto Top
Zitat von @ArnoNymous:

So benötigt mein WSUS aktuell nur ca 85 GB.

Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.

lks
Mitglied: ArnoNymous
ArnoNymous 19.07.2019 aktualisiert um 13:12:50 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @ArnoNymous:

So benötigt mein WSUS aktuell nur ca 85 GB.

Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.

lks


Schon richtig, wobei das natürlich auf die Umgebnung und auch auf das Alter des WSUS ankommt und da dann doch einiges zusammenkommen kann.
Dazu bietet das Ablehnen der ersetzen Updates noch ein weiteren Vorteil: Diese werden auch von den Clients nicht mehr installiert und der Updateprozess geht somit schneller. Denn obwohl diese eigentlich nicht mehr benötigt werden, werden diese trotzdem unnötigerweise installiert und im WSUS trotzdem als benötigt angezeigt (deshalb funktioniert das über die Bereinigung auch nicht).
Kann man, wenn man das nicht glauben möchte, auch einfach testen, indem man bei den kumulativen Updates zuerst das aktuelle installiert und nochnmal neu suchen lässt. Danach wird er die vorherigen nicht mehr haben wollen.
Mitglied: emeriks
emeriks 19.07.2019 aktualisiert um 14:04:56 Uhr
Goto Top
Zitat von @ArnoNymous:
Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen.
Software-Hersteller A teilt mit, dass das neueste Update in einer Reihe (noch) nicht installiert werden. Sagen wir mal, er gibt die Freigabe erst nach einem Vierteljahr. Inzwischen können aber für diese Software neue Clients hinzukommen. Diese müssen dann bis zu der letzten freigegeben Version dieses Updates, welches inzsichen als "esetzt" angezeigt wird, betankt werden. Wenn ich alle ersetzten Updates aber pauschal ablehnt habe, dann wird dieser neue Client gar nicht mit Updates aus dieser Reihe betankt. Das geht natürlich nicht.

Ich würde aber ebenfalls vorschlagen, diese Updates einfach nicht abzulehnen, nur weil sie aktuell nicht gebraucht werden. Ich sehe darin auch kein wirklichen Mehrwert? Warum genau tust du das so?
Wir haben nicht nur einen WSUS, sondern zig Downstream an den Standorten. Dort haben wir oftmals nur schlanke Storage. Wenn wir nicht konsequent nicht benötigte Updates ablehnen, dann bleiben diese auf den Platten.
Mitglied: emeriks
emeriks 19.07.2019 um 13:15:35 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Und da der Admin immer weiß (oder wissen sollte), welche Software auf seinen Systemen eingespielt wird, kann er auch nachträglich seine ehemalige Entscheidung revidieren. face-smile
Bei Betreunung einer kleinen Arztpraxis o.ä. sollte das so sein.
Bei einem Rechenzentrum mit >= 300 Anwendungen und zig Ausnahme-Computergruppen im WSUS verlierst Du bei 120.000 Updates im ersten Atemzug komplett den Überblick.
Mitglied: Ex0r2k16
Ex0r2k16 19.07.2019 aktualisiert um 13:18:38 Uhr
Goto Top
Bei der Menge würde ich auch nicht WSUS einsetzen. Klares Statement face-smile

/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Mitglied: ArnoNymous
ArnoNymous 19.07.2019 um 13:25:06 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @ArnoNymous:
Wenn du den WSUS schlank halten möchtest, dann würde ich dir raten, einfach die ersetzten Updates abzulehnen.
Software-Hersteller A teilt mit, dass das neueste Update in einer Reihe (noch) nicht installiert werden. Sagen wir mal, er gibt die Freigabe erst nach einem Vierteljahr. Inzwischen können aber für diese Software neue Clients hinzukommen. Diese müssen dann bis zu der letzten freigegeben Version dieses Updates, welches inzsichen als "esetzt" angezeigt wird, betankt werden. Wenn ich alle erstzten Updates aber pauschal ablehnt habe, dann wird dieser neue Client gar nicht mit Updates aus dieser Reihe betankt. Das geht natürlich nicht.


Und wenn du diese eben erst ablehnst, wenn du die neuen genehmigt hast?
Mitglied: emeriks
emeriks 19.07.2019 aktualisiert um 13:44:23 Uhr
Goto Top
Zitat von @ArnoNymous:
Dazu bietet das Ablehnen der ersetzen Updates noch ein weiteren Vorteil: Diese werden auch von den Clients nicht mehr installiert und der Updateprozess geht somit schneller.
Genau.

Denn obwohl diese eigentlich nicht mehr benötigt werden, werden diese trotzdem unnötigerweise installiert und im WSUS trotzdem als benötigt angezeigt (deshalb funktioniert das über die Bereinigung auch nicht).
Normalerweise nicht. Ersetzte Updates werden nicht installiert, wenn das ersetzende ebenfalls zur Installation genehmigt ist. Es sei denn, sie bedingen einander. Diesesen seltsamen Fall hatten wir auch schon mal. Leider wird das bei den Updates nicht immer angezeigt.
Mitglied: emeriks
emeriks 19.07.2019 aktualisiert um 13:44:37 Uhr
Goto Top
Zitat von @ArnoNymous:
Und wenn du diese eben erst ablehnst, wenn du die neuen genehmigt hast?
Ja natürlich. Aber ich kann nicht pauschal alle ersetzten Updates einfach so ablehnen.
Mitglied: emeriks
emeriks 19.07.2019 um 13:31:10 Uhr
Goto Top
Zitat von @Ex0r2k16:
/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Damit verlagert das man das Problem nur von einer Software auf die andere.
Mitglied: emeriks
emeriks 19.07.2019 um 13:33:14 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Bei heutigen Festplattengrößen von 4TB und mehr , wo das TB gerade mal 25-50€ kostet ein Witz, da sparen zu wollen.
Das ist sehr kurz gesehen.
Update-Zeiten, WSUS-Serverwartungen, Replikation der Server, Datenbank-Timeouts.
Mal abgesehen davon, das beim Suchen nach dem Wesentlichen abgelenkt wird.
Mitglied: emeriks
emeriks 19.07.2019 um 13:39:30 Uhr
Goto Top
Zitat von @departure69:
aber dabei werden auch solche Updates entfernt, die längst in neu(er)en Versionen hinzugekommen sind. Dann sind die veralteten Versionen auf jeden Fall verschwunden, egal ob sie mal genehmigt, einfach nur nicht genehmigt oder explizit abgelehnt wurden.
Das kann ich so nicht bestätigen.

Woher weißt Du überhaupt um deren Existenz in Deinem WSUS, wenn diese bis dahin (weil es noch keinen Visio-2016-Client gibt) überhaupt nie als erforderlich angezeigt wurden?
Weil sie in der allgemeinen Liste auftauchen.
Visio war jetzt nur ein spezielle Beispiel.
Wenn man z.B. als WSUS-Admin nicht weiß, ob auf einem der 10.000 Clients nicht doch noch ein IE8 läuft, weil irgendeine uralte Software das noch so verlangt, dann könnte man sich zurücklehnen und pauschal alle IE8-Updates ablehnen. Wenn dann die Bude brennt, wird sich der Applikations-Admin hinstellen und sagen: "Es wurden doch keine IE8-Updates zum installieren angezeigt." Und dann muss man als WSUS-Admin erklären, warum das so war.
Mitglied: ArnoNymous
ArnoNymous 19.07.2019 um 13:48:01 Uhr
Goto Top
Okay, mal anders herum.
Hast du die Option "Updates nur herunterladen, wenn diese genehmigt sind" aktiviert?
Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
Mitglied: emeriks
emeriks 19.07.2019 um 13:52:19 Uhr
Goto Top
Zitat von @ArnoNymous:
Hast du die Option "Updates nur herunterladen, wenn diese genehmigt sind" aktiviert?
Ja ,das ist aktiviert.

Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
Und ja, das ist korrekt.
Bis auf den einen Spezialfall, dass, wenn ein Update einmal genehmigt war, es dann nicht wieder gelöscht wird, wenn es nicht mehr genehmigt ist. Dann wird es erst wieder gelöscht, wenn es abgelehnt wird.
Oder?
Mitglied: ArnoNymous
ArnoNymous 19.07.2019 aktualisiert um 13:59:50 Uhr
Goto Top
Zitat von @emeriks:


Dann werden doch nur die von dir benötigten Updates heruntergeladen. Und die, die du aktuell nicht benötigst, eben nicht. Da brauchst du diese auch nicht ablehnen, weil noch kein Speicher belegt wird.
Und ja, das ist korrekt.
Bis auf den einen Spezialfall, dass, wenn ein Update einmal genehmigt war, es dann nicht wieder gelöscht wird, wenn es nicht mehr genehmigt ist. Dann wird es erst wieder gelöscht, wenn es abgelehnt wird.
Oder?

Kann ich nicht beantworten. Müsste man mal testen.
Aber ist das Szenario relevant bei dir? Kommt das so oft vor, dass der Speicherplatz davon tatsächlich interessant ist?

Edit: ich habe es mal getestet. Nicht mehr genehmigte Updates werden bei einer Bereinigung nicht gelöscht. Jedenfalls nicht sofort. Müsste man die 30 Tage mal abwarten. Eventuell ja dann.
Mitglied: emeriks
emeriks 19.07.2019 um 13:58:19 Uhr
Goto Top
Mir ist eben gerade selbst noch ein Ansatz eingefallen.

Aufgefallen ist mir das Ganze im Zusammenhang mit ersetzten Updates, welche als erforderlich angezeigt wurden. Da gab es Update-Ketten, bei welchen
  • kein ersetztes aufgeführt wurde
  • 2-4 ersetzte aufgeführt wurden
  • >4 ersetzte aufgeführt wurden
Ich habe untersucht, warum das so ist, und bin dabei darüber gestolpter, dass das daran liegt, dass bei einigen Ketten die ersetzten Upates mehr und bei einigen weniger explizit abgelehnt sind.

Wenn man festlegt, dass nicht ersetzte Updates niemals explizit abglehnt werden, dann hat man diese für den Fall der Fälle immer für die Auswertung der erforderlichen Updates parat.
Welche Updatekategorien überhaupt heruntergeladen werden, das stellt man ja generell global am Server ein. Somit sollte sich der Ballast an (noch) nicht benötigten aber auch nicht abgelehnten Updates in Grenzen halten. Ein Mittelweg.
Mitglied: emeriks
emeriks 19.07.2019 um 13:59:51 Uhr
Goto Top
Zitat von @ArnoNymous:
Aber ist das Szenario relevant bei dir? Kommt das so oft vor, dass der Speicherplatz davon tatsächlich interessant ist?
Das summiert sich im Laufe der Jahre.
Wenn man es "richtig" machen will, dann testet man ja erst im Labor.
Mitglied: NixVerstehen
NixVerstehen 19.07.2019 um 15:25:02 Uhr
Goto Top
Zitat von @emeriks:

Mir ist eben gerade selbst noch ein Ansatz eingefallen.

Aufgefallen ist mir das Ganze im Zusammenhang mit ersetzten Updates, welche als erforderlich angezeigt wurden. Da gab es Update-Ketten, bei welchen
  • kein ersetztes aufgeführt wurde
  • 2-4 ersetzte aufgeführt wurden
  • >4 ersetzte aufgeführt wurden
Ich habe untersucht, warum das so ist, und bin dabei darüber gestolpter, dass das daran liegt, dass bei einigen Ketten die ersetzten Upates mehr und bei einigen weniger explizit abgelehnt sind.

Wenn man festlegt, dass nicht ersetzte Updates niemals explizit abglehnt werden, dann hat man diese für den Fall der Fälle immer für die Auswertung der erforderlichen Updates parat.
Welche Updatekategorien überhaupt heruntergeladen werden, das stellt man ja generell global am Server ein. Somit sollte sich der Ballast an (noch) nicht benötigten aber auch nicht abgelehnten Updates in Grenzen halten. Ein Mittelweg.

Ich glaube auch, das dein Ansatz hier der richtige ist. Stellen wir mal die Behauptung auf, das für ein ersetztes Update immer ein ersetzendes Update vorhanden ist und dieses ersetzende Update gewissermassen cumulativ ist. Somit würde doch nach einer Softwareinstallation, von der du keine Kenntnis bekommst, immer das aktuellste Update für diese Software im WSUS als "Nicht genehmigt/Erforderlich" angezeigt.
Daraus wiederum ergibt sich ja die Logik "Ersetzte Updates können abgelehnt werden, da immer ein ersetzendes Update vorhanden ist".

Wenn du dann noch den Ballast reduzieren willst, dann lasse die Updates erst herunterladen, wenn sie genehmigt sind.

Oder MS rüstet im WSUS eine Funktion nach, die auf "Abgelehnt und Erforderlich" filtert. Was definitiv komfortabler wäre, wenn
man mal versehentlich zuviel abgelehnt hat.

Gruß NV
Mitglied: Ex0r2k16
Ex0r2k16 22.07.2019 aktualisiert um 08:09:31 Uhr
Goto Top
Zitat von @emeriks:

Zitat von @Ex0r2k16:
/Edit: Lass den 2nd Level doch eine vernünftige Management Software für die Clients aussuchen, die auch patchen kann.
Damit verlagert das man das Problem nur von einer Software auf die andere.

Ähm...nö? Bei Baramundi war das Patchen immer sehr angenehm. Kein Vergleich zum Wsus. Die "Konsole" ist besser, die Übersicht, die Fehler pro KB und und und.... aber OK, das ist nur meine Meinung