14
Updatefreigabe in WSUS organisieren und automatisieren
Hallo zusammen,
habe lange gesucht und keinen passenden Artikel gefunden, weshalb ich diesen Beitrag schreibe.
Hoffentlich handelt es sich nicht um ein Duplikat!! Falls doch sorry dafür...
Ich bin in unserem Unternehmen für die Freigabe der WSUS Updates verantwortlich und möchte mir diese Aufgabe etwas besser organisieren und erleichtern.
Es gibt für die Clients folgende Gruppen:
Windows7_Test - ca. 10 Rechner, die die Updates 14 Tage lang testen
Windows7 - Alle restlichen Win7 Clients, sollen Updates nach 14 Tagen erhalten.
Win10_Test - ca. 10 Rechner, die die Updates 14 Tage lang testen
Win10 - Alle restlichen Win10 Clients, sollen Updates nach 14 Tagen erhalten.
Ich möchte die eingegangenen Updates von Hand filtern und jeweils den Testgruppen freigeben.
Mein Wunsch ist es, dass nach einer gewissen Zeit (1 bis 2 Wochen), die Updates automatisch auch für die andere Gruppe (Nicht Test) freigegeben wird.
In der Vergangenheit ist es mir leider immer wieder passiert, dass ich den zweiten Schritt vergessen oder übersehen habe. Des weiteren ist es nicht mehr so einfach herauszufinden, welche Updates fregegeben wurden.
Wenn ich mich richtig eingelesen habe, bedeutet der Stichtag, dass die Updates erzwungen werden und die Clients sich trotz gesetzter GPO automatisch und sofort neustarten. Dies darf auf keinen Fall geschehen!!!
Lange Rede kurzer Sinn:
Wie kann ich mein Vorgehen zum freigeben von Updates Sinnvoll gestalten? Wie macht Ihr das?
Besten Dank und Grüße
habe lange gesucht und keinen passenden Artikel gefunden, weshalb ich diesen Beitrag schreibe.
Hoffentlich handelt es sich nicht um ein Duplikat!! Falls doch sorry dafür...
Ich bin in unserem Unternehmen für die Freigabe der WSUS Updates verantwortlich und möchte mir diese Aufgabe etwas besser organisieren und erleichtern.
Es gibt für die Clients folgende Gruppen:
Windows7_Test - ca. 10 Rechner, die die Updates 14 Tage lang testen
Windows7 - Alle restlichen Win7 Clients, sollen Updates nach 14 Tagen erhalten.
Win10_Test - ca. 10 Rechner, die die Updates 14 Tage lang testen
Win10 - Alle restlichen Win10 Clients, sollen Updates nach 14 Tagen erhalten.
Ich möchte die eingegangenen Updates von Hand filtern und jeweils den Testgruppen freigeben.
Mein Wunsch ist es, dass nach einer gewissen Zeit (1 bis 2 Wochen), die Updates automatisch auch für die andere Gruppe (Nicht Test) freigegeben wird.
In der Vergangenheit ist es mir leider immer wieder passiert, dass ich den zweiten Schritt vergessen oder übersehen habe. Des weiteren ist es nicht mehr so einfach herauszufinden, welche Updates fregegeben wurden.
Wenn ich mich richtig eingelesen habe, bedeutet der Stichtag, dass die Updates erzwungen werden und die Clients sich trotz gesetzter GPO automatisch und sofort neustarten. Dies darf auf keinen Fall geschehen!!!
Lange Rede kurzer Sinn:
Wie kann ich mein Vorgehen zum freigeben von Updates Sinnvoll gestalten? Wie macht Ihr das?
Besten Dank und Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370004
Url: https://administrator.de/contentid/370004
Printed on: April 24, 2024 at 11:04 o'clock
14 Comments
Latest comment
Moin.
Es ist nicht immer sinnvoll, "wie macht ihr das?" zu fragen. Du solltest in Frage stellen, was dir das Testen überhaupt bringt und ob die erhofften Vorteile des Testens überhaupt den Testaufwand mit allen Konsequenzen aufwiegen können. Nach meiner Erfahrung (15 Jahre WSUS-Admin) gibt es nichts, was Tests rechtfertigt, wenn Du dich in der Lage siehst, Updates automatisiert zu deinstallieren und im Fall der Fälle in der Lage bist, ein vergurktes System wiederherzustellen.
Es ist nicht immer sinnvoll, "wie macht ihr das?" zu fragen. Du solltest in Frage stellen, was dir das Testen überhaupt bringt und ob die erhofften Vorteile des Testens überhaupt den Testaufwand mit allen Konsequenzen aufwiegen können. Nach meiner Erfahrung (15 Jahre WSUS-Admin) gibt es nichts, was Tests rechtfertigt, wenn Du dich in der Lage siehst, Updates automatisiert zu deinstallieren und im Fall der Fälle in der Lage bist, ein vergurktes System wiederherzustellen.
Hallo DerWoWusste,
danke für deine schnelle Rückmeldung. Ich glaube wir sprechen nicht ganz vom gleichen, deshalb versuche ich nochmals darauf einzugehen:
Das Testen auf ausgewählten Rechnern hat mir in den vergangenen Jahren so manches "Desaster" erspart. Wir hatten schon fehlerhafte bzw. bei uns inkompatible Updates, die auf diesem Weg aufgefallen sind und somit nie den Weg durch das ganze Haus gefunden habe.
Von einer automatisierten Deinstallation war nie die Rede. Wenn ich mich hier undeutlich ausdgedrückt habe, sorry hierfür! Da sich jeder etwas anders organisiert macht es durchaus Sinn, sich über die Vorgehensweise seiner "Kollegen" zu informieren.
Der Aufwand mit den Tests ist ja quasi nicht vorhanden:
Ein Update kommt von Microsoft auf meinen WSUS Server und liegt da erst einmal min. 1 Woche. Nach einer weiteren Woche gebe ich die Updates auf die Testclients frei. Wenn von diesen Usern keine Systemfehler oder Beschwerden eingehen, gehen die Updates an alle raus.
Mein Ziel wäre es nun also, dass alle Updates die für die Testclients freigegeben werden, automatisch nach einer Woche auch für die anderen Clients freigegeben werden. Sollte in der Testzeit ein Fehler auftreten, kann ich manuell eingreifen und das Update händisch ablehnen und herausnehmen.
Ein Verzicht auf das testen ist definitiv keine Alternative, da es mir definitiv deutliche Vorteile bringt.
Die manuelle Freigabe der Updates möchte ich deshalb haben, weil oft Updates dabei sind, die ich nicht haben möchte. Beispiel:
Ich lade Updates der Kategorie "Office 2010" herunter, möchte aber z.B. Outlook Updates ablehnen, da wir dies nicht im Einsatz haben.
Es ist lediglich mühsam herauszusuchen, welche Updates freigegeben wurden und diese dann ein zweites Mal für eine andere Gruppe freizugeben.
Ich hoffe es ist klar, was ich ausdrücken möchte
Grüße Tomily
danke für deine schnelle Rückmeldung. Ich glaube wir sprechen nicht ganz vom gleichen, deshalb versuche ich nochmals darauf einzugehen:
Das Testen auf ausgewählten Rechnern hat mir in den vergangenen Jahren so manches "Desaster" erspart. Wir hatten schon fehlerhafte bzw. bei uns inkompatible Updates, die auf diesem Weg aufgefallen sind und somit nie den Weg durch das ganze Haus gefunden habe.
Von einer automatisierten Deinstallation war nie die Rede. Wenn ich mich hier undeutlich ausdgedrückt habe, sorry hierfür! Da sich jeder etwas anders organisiert macht es durchaus Sinn, sich über die Vorgehensweise seiner "Kollegen" zu informieren.
Der Aufwand mit den Tests ist ja quasi nicht vorhanden:
Ein Update kommt von Microsoft auf meinen WSUS Server und liegt da erst einmal min. 1 Woche. Nach einer weiteren Woche gebe ich die Updates auf die Testclients frei. Wenn von diesen Usern keine Systemfehler oder Beschwerden eingehen, gehen die Updates an alle raus.
Mein Ziel wäre es nun also, dass alle Updates die für die Testclients freigegeben werden, automatisch nach einer Woche auch für die anderen Clients freigegeben werden. Sollte in der Testzeit ein Fehler auftreten, kann ich manuell eingreifen und das Update händisch ablehnen und herausnehmen.
Ein Verzicht auf das testen ist definitiv keine Alternative, da es mir definitiv deutliche Vorteile bringt.
Die manuelle Freigabe der Updates möchte ich deshalb haben, weil oft Updates dabei sind, die ich nicht haben möchte. Beispiel:
Ich lade Updates der Kategorie "Office 2010" herunter, möchte aber z.B. Outlook Updates ablehnen, da wir dies nicht im Einsatz haben.
Es ist lediglich mühsam herauszusuchen, welche Updates freigegeben wurden und diese dann ein zweites Mal für eine andere Gruppe freizugeben.
Ich hoffe es ist klar, was ich ausdrücken möchte
Grüße Tomily
Du hattest dich zuvor klar ausgedrückt und ich hatte das alles verstanden.
Ich gab Dir den Rat, zunächst sicherzustellen, ob Du das Testen nicht überbewertest - wir haben es seit vielen Jahren komplett eingestellt und in meiner gesamten WSUS-Adminzeit hat nie auch nur ein einziger Test ein Problem zu Tage gefördert.
Sei es drum: wenn du testen möchtest, dann tu das. Die automatisierte, zeitgesteuerte Bewilligung wird nur über Skripte gehen - setze dich also mit Powershell auseinander: Approve-WsusUpdate
Ich gab Dir den Rat, zunächst sicherzustellen, ob Du das Testen nicht überbewertest - wir haben es seit vielen Jahren komplett eingestellt und in meiner gesamten WSUS-Adminzeit hat nie auch nur ein einziger Test ein Problem zu Tage gefördert.
Sei es drum: wenn du testen möchtest, dann tu das. Die automatisierte, zeitgesteuerte Bewilligung wird nur über Skripte gehen - setze dich also mit Powershell auseinander: Approve-WsusUpdate
Ok, danke für den Tipp. Ich werde mich mal einlesen. Schade, das nicht geht. WSUS ist einfach auch nach so vielen Jahren noch kein ausgereiftes Produkt...
Wenn ich dich richtig verstanden habe, gebt Ihr alles und an alle frei? Du filterst nichts heraus oder kontrollierst, was da für Müll von Microsoft angeliefert wird?
Und nun nochmals zum Eingangspost...:
Stimmt es, dass der Stichtag kein Genehmigungsdatum ist, sondern ein "Erzwingdatum", welches einen Reboot des Clients erzwingt trotz GPO?
Eine "automatische" Genehmigung setzt nämlich ein Stichtag.
Wie hast du das denn automatisiert?
Wenn ich dich richtig verstanden habe, gebt Ihr alles und an alle frei? Du filterst nichts heraus oder kontrollierst, was da für Müll von Microsoft angeliefert wird?
Und nun nochmals zum Eingangspost...:
Stimmt es, dass der Stichtag kein Genehmigungsdatum ist, sondern ein "Erzwingdatum", welches einen Reboot des Clients erzwingt trotz GPO?
Eine "automatische" Genehmigung setzt nämlich ein Stichtag.
Wie hast du das denn automatisiert?
Was du zum Stichtag schreibst, ist richtig. Dann wird installiert und neu gestartet. Ist der Rechner am Stichtag aus, wird beim nächsten Einschalten sofort detektiert, installiert und neu gestartet.
Wenn ich dich richtig verstanden habe, gebt Ihr alles und an alle frei?
Ja. Müll war bislang in all den Jahren nicht dabei (und wir haben alle Windows OS' durchlaufen). Es mag wohl sein, dass diverse Patches bei anderen, die andere Software einsetzen, zu Inkompatibilitäten geführt haben, jedoch nicht bei uns. Kleinere Programmfehler sicherlich alle Jubeljahre mal - aber dafür kannst Du mittels WSUS Patches auch massenhaft zurückrufen (deinstallieren), ebenso mit Deadline (=sofort deinstallieren") - und solche kleinen Fehler entdeckt man meist beim Test eh nicht.Eine "automatische" Genehmigung setzt nämlich ein Stichtag.
Nein. Den Stichtag kannst Du zusätzlich setzen, aber er wird nicht erzwungen.
Danke für deine Antworten. Werde das nochmal überdenken. Im Prinzip habe ich durch das testen keinen großen Mehraufwand. Ob das Sinn macht oder nicht, werde ich mir nochmals überlegen. Danke für die Anregung.
Aber nochmal zum testen. Wenn du nichts prüfst, sollte ja alles automatisch gehen?
Habe mal einen Screenshot von meinen Automatisierungsregeln angehängt. Dort steht "Stichtag" setzen.
Mein Ziel ist es aber die Updates nur freizugeben, ohne Stichtag. Wie ist das bei Dir?
Ich will die Updates erst nach x-Tagen freigeben....
Aber nochmal zum testen. Wenn du nichts prüfst, sollte ja alles automatisch gehen?
Habe mal einen Screenshot von meinen Automatisierungsregeln angehängt. Dort steht "Stichtag" setzen.
Mein Ziel ist es aber die Updates nur freizugeben, ohne Stichtag. Wie ist das bei Dir?
Ich will die Updates erst nach x-Tagen freigeben....
Im Prinzip habe ich durch das testen keinen großen Mehraufwand
Dann testest Du nicht gründlich, sondern vielleicht eher so: Installieren und schauen ob Windows startet, Netzlaufwerke verbindet und Anwendung X noch startet. Zudem kommt das Problem, dass Deine Rechner mindestens 14 Tage ungepatcht sind, was im Fall der Fälle (Sicherheitslücke wird ausgenutzt) die Frage "wer hat das verantwortet?" aufwirft.Aber nochmal zum testen. Wenn du nichts prüfst, sollte ja alles automatisch gehen?
Ja.Bearbeite Deine Regel und nimm den Stichtag raus.
Hi,
genau! Das habe ich ja oben schon erwähnt. Wir schauen nur, ob es Schwerwiegende Systemfehler oder Beschwerden der User gibt (Beides schon mehrfach vorgekommen!). Wir sind absichtlich und ganz bewusst immer mindestens 2-3 wochen hinten dran. Das mit den Sicherheitslücken stimmt natürlich. Lücke hin oder her, das sind leider einfach unsere Vorgaben, die ich einzuhalten habe.
Wenn ich die Regel bearbeite und den Stichtag herausnehme, dann werden die Updates sofort freigegeben.
Somit ist meine Vorgabe von x-Tagen ignoriert
genau! Das habe ich ja oben schon erwähnt. Wir schauen nur, ob es Schwerwiegende Systemfehler oder Beschwerden der User gibt (Beides schon mehrfach vorgekommen!). Wir sind absichtlich und ganz bewusst immer mindestens 2-3 wochen hinten dran. Das mit den Sicherheitslücken stimmt natürlich. Lücke hin oder her, das sind leider einfach unsere Vorgaben, die ich einzuhalten habe.
Wenn ich die Regel bearbeite und den Stichtag herausnehme, dann werden die Updates sofort freigegeben.
Somit ist meine Vorgabe von x-Tagen ignoriert
Wenn ich die Regel bearbeite und den Stichtag herausnehme, dann werden die Updates sofort freigegeben.
Nein. Der Stichtag ist nicht der Tag, an dem freigegeben wird. Es wird sofort freigegeben, sobald der WSUS die Updates detektiert hat. Somit kann in deiner Win7-Gruppe sofort installiert werden - je nachdem wie der Updateclient bedient wird oder voreingestellt ist.
Nochmal: Aber das ist doch genau das, was ich NICHT haben will.
Ich MUSS 14 Tage warten, bis die Updates genehmigt werden können.
Ziel:
Automatisierte Updatefreigabe erst nach 14-Tagen und das OHNE Stichtag
Ich MUSS 14 Tage warten, bis die Updates genehmigt werden können.
Ziel:
Automatisierte Updatefreigabe erst nach 14-Tagen und das OHNE Stichtag
Ja, ich kann lesen.
Dein Screenshot zeigt eine Regel, die Updates sofort bewilligt und eine Installation sofort ermöglich und nach 14 Tagen erzwingt.
Du scheinst zu glauben, dass Deine derzeitige Konfig die Updates erst nach 14 Tagen bewilligt - das ist ein Irrtum.
Dein Screenshot zeigt eine Regel, die Updates sofort bewilligt und eine Installation sofort ermöglich und nach 14 Tagen erzwingt.
Du scheinst zu glauben, dass Deine derzeitige Konfig die Updates erst nach 14 Tagen bewilligt - das ist ein Irrtum.
Nein, das ist kein Irrtum. Ich weiß, dass meine Regel nicht meinen Wünschen entspricht.
Ich weiß eben nicht, wie man es korrekt einstellt. Das war ja auch der ursprüngliche Grund meines Beitrages!!
Deshalb einfach nochmals die Frage:
Wie erreiche ich mein Ziel?
Ich weiß eben nicht, wie man es korrekt einstellt. Das war ja auch der ursprüngliche Grund meines Beitrages!!
Deshalb einfach nochmals die Frage:
Wie erreiche ich mein Ziel?
Du kannst dein Ziel nicht mittels des Wizards für Auto-Bewilligung erreichen. Du musst Skripte schreiben.
Per Skript ist mir gar nicht so unrecht. Läuf in der Regel eh stabiler als die Windows-Guis.
Mal abwarten, vielleicht meldet sich noch jemand, der mit der Skripterei für den WSUS Erfahrung hat.
Derweil mal Danke...
Mal abwarten, vielleicht meldet sich noch jemand, der mit der Skripterei für den WSUS Erfahrung hat.
Derweil mal Danke...
