Wsus Produkte und Klassifizierungen für Windows 10 1803

@Knorkator:

Hallo.

Die Produktliste kannst Du nicht beeinflussen, die ist so aufgebaut und gelistet, wie sie Microsoft für den WSUS nunmal zur Verfügung stellt. Aber solange da keine Häkchen (bei Anniversary, Creators usw., also alles vor 1803) gesetzt sind, passiert doch auch nichts! Und wenn Du dann noch obendrein so arbeitest, daß Du jedes Update erst freigibst, werden die Updates (auch die, die Du willst) doch auch erst nach Genehmigung heruntergeladen. Mehr Kontrolle gibt es kaum!

Wegen der Produktliste und dem Umstand, daß da immer noch 1511, 1607, 1703 usw. gelistet ist: Angenommen, Ihr hättet nur noch Office 2016 im Einsatz. Würdest Du Dich dann auch darüber beschweren, daß trotzdem auch O2K10 und O2k13 gelistet sind? Wohl kaum, denke ich. Wie gesagt, Du kannst an der grundsätzlichen Produktliste nichts ändern, aber du kannst natürlich bestimmen, wo Du ein Häkchen setzt und wo nicht, und dann müßte doch alles Paletti sein, oder nicht?

Daß Du explizite Auflistung von 1803 in der Produktliste nicht drin hast, wundert mich allerdings. Bei uns ist da sogar schon 1809 dabei:



Welchen WSUS hast Du denn? Unter welchem OS?


Viele Grüße

von

departure69

Eigentlich kann man schon bei der Rolleninstallation des WSUS das Häkchen setzen, daß der WSUS natürlich auch seine eigenen WSUS-Updates automatisch genehmigen soll. Nachträglich wäre das hier zu finden:


Ansonsten sollte der WSUS sich seine eigenen Updates von selbst holen.

Geschieht dies nicht, warum auch immer, kannst Du am WSUS selbst (also in der Windows-Update-Sektion des OS, nicht in der WSUS-MMC) aber mal die Online-Suche nach Updates bei Microsoft von Hand auslösen.

In Idealfall sollte aber irgendwann bei den erforderlichen Updates in der WSUS-MMC mal dies hier auftauchen oder bereits aufgetaucht sein:


Ein spezielles Produkt oder eine spezielle Klassifikation sollte dafür eigentlich nicht ausgewählt werden müssen.

Bezüglich WSUS.DE/FAQ:

Das ist bei denen leider nicht aktuell, der letzte Patch-Stand, der dort angegeben ist, und der wirklich aktuell ist, ist der für WSUS 3.0SP2 unter W2K8/W2K8R2, die Patchstände für die jüngeren WSUS-Versionen, auch für Deinen, stimmen dort nicht und sind veraltet.


Viele Grüße

von

departure69

Hi.

In der WSUS-Konsole gehe mal auf den Namen Deines Servers.
Dann findest Du im mittleren Feld in der unteren rechten Ecke Deine Version. Dort sollte die 6.3.9600.18838 stehen.

Unabhängig von der Version, bekommst Du die Updates für die Vorversionen von Win10 angeboten, ist ´leider so. Im Screenshot von departure siehst Du einen Haken bei "Windows 10" - nimmst Du den raus und lässt nur den darüber bei "Windows 10, version 1809 and later Upgrade and servicing drivers" drin, dann erhältst Du nur die Feature Updates und Treiber, nicht aber die Sicherheitsupdates für 1809. Oder irre ich mich, departure? So ist das bei uns.

Der Punkt, Wsus eigene Updates automatisch genehmigen, ist zumindest bei einem 2016er default gesetzt.

Auf der Seite Wsus.de gibt es auch eine Übersicht der Wsus Versionen.

Die Bezeichnung "Windows 10, version 1809 and later Upgrade and servicing drivers" ist leider irreführend, weil "Drivers" mit drinsteht und viele fürchten, daß der WSUS dann Unmengen an Treibern holt (was ich aus guten Gründen auch nicht empfehlen würde).
Dem ist aber nicht so, mit "Drivers" sind hier nur und ausschließlich Treiber gemeint, die bei einem Inplace-Upgrade benötigt werden könnten, damit die Upgrades überhaupt erfolgreich sind. Das gilt auch in den Fällen, wo die Inplace-UIpgrades nicht über den WSUS laufen, das zu aktualisierende W10 aber bisher Verbindung zum WSUS hatte. Reguläre, laufende/fortlaufende Treiber/Treiberaktualisierungen geschehen aufgrund dieser Einstellung (zum Glück) nicht, dazu müßte


ausgewählt werden (also die nahezu gleiche Zeile, aber ohne "Upgrade"), und obendrein die Klassifizierung "Treiber".

Also: "Windows 10, version 1809 and later Upgrade and servicing drivers" bringt keine Treiber-"Explosionsgefahr" für den WSUS

Ansonsten:

Was wsus.de nicht an Information hat, gibt's bei Wolfgang Sommergut:

Produkte für Windows 10 in WSUS auswählen


Viele Grüße

von

departure69

In der Kürze liegt die Würze:

Wenn ich "Windows 10" als Produkt anhake und sonst nichts, und nun den WSUS synchronisieren lasse, so wird er Updates für alle Versionen von Windows 10 anbieten und nicht nur für die letzte. Das gerade will der Autor aber verhindern.

Ich sage: das ist nicht zu verhindern. man kann zwar Durch Nichtbewilligung den Download verhindern, aber in der WSUS-DB werden die auftauchen, was auch eine automatische Bewilligung erschwert
Was sagst Du?

Bevor ich vor 3 Monaten auf den WSUS unter W2K16 "aufgestiegen" bin, hatte ich einen WSUS 3.0 SP2 unter W2K8R2. Bei diesem hatte es tatsächlich genügt, einfach nur und ausschließlich "Windows 10" anzuhaken, alle Windows-10-Rechner, gleichgültig, welcher Build, bekamen so die monatlichen (oder mehrmals pro Monat ) CUs, alles wunderbar. Ich hatte tatsächlich nichts anderes ausgewählt.

Die Maschine hatte aber noch andere, teils heftige Probleme (auch unabhängig vom WSUS), so daß ich danach den aktuellsten WSUS unter 2K16 aufgesetzt habe. Der geht nun einwandfrei, aber: Beim WSUS unter W2K16 mußte ich "Windows 10, version 1803 and later Upgrade and servicing drivers" mit anhaken, ansonsten, auch nach gefühlt tausend mal "wuauclt /detectnow" und "wuauclt /reportnow" auf den Clients, kamen keine mtl. 1803-CUs bei den erforderlichen Updates zum Vorschein. Dies nur zur Erklärung, warum ich in meinem letzten Posting so auf diesem Punkt herumgeritten habe. Normalerweise ist das nicht notwendig, "Windows 10" genügt, völlig richtig.


D'accord. Alle Einträge, die die Buildbezeichnung tragen, sind ja spezielle Produkte, die in den meisten Fällen insbesondere nur mit den Upgrades im Zusammenhang stehen, und nicht mit den lfd. CUs. Die mtl. Updates und CUs müßten auch nur allein mit "Windows 10" gezeigt/angeboten werden (bis auf meinen WSUS, warum auch immer), für alle Builds (bzw. für die, die die Clients anfordern). Das sind dann aber, wie Du richtig sagst, alle, von allen Builds, zumindest in der DB (zunächst unabhängig vom Content-Verzeichnis).

Erstelle ich eine automatische Genehmigungsregel für die Klassifizierungen "Updates", "Sicherheitsupdates" und "Wichtige Updates" lädt mir der WSUS alle Updates aller W10-Builds von 1511 bis 1809 herunter und bläst mir damit mehrere hundert Gigabyte auf die Platte (auch ohne Treiber!). "Erschwernis" ist da noch milde ausgedrückt.

Insofern macht es der TO aber zum Glück ja richtig, er genehmigt ja nur nachträglich und bedarfsweise.

Das klärt bloß noch nicht, warum er die "speziellen", die die Buildbezeichnung im Namen tragen, in seiner Produktliste gar nicht angezeigt bekommt, unabhängig davon, daß er sie für die monatlichen Updatevorgänge vielleicht gar nicht braucht.

Ich hab meinen WSUS auch erst vor einigen Wochen von 2012 R2 auf einem 2016 neu installiert. Auf dem 2012er WSUS war es mir zB gar nicht möglich die Funktionsupdates auf einen Client auszurollen. Der Client blieb immer bei Download 0% des Funktionsupdates stehen. Die Probleme sind nun auf Server 2016 weg.

Als Produkt habe ich auch nur "Windows 10" angehakt, sonst keins der ganzen anderen Windows 10 .... Produkte.

Meine Antwort auf die Update Flut der W10 Builds: ich genehmige nur noch die Updates die als "erforderlich" angezeigt werden und nicht mehr "alle" Also soll sich erst mal der Client am WSUS melden und ihm sagen was er gerne hätte, und dann gebe ich das Update frei. Schont immens Festplattenspeicher des WSUS Servers. Wenn alle Clients schon auf 1803 laufen, dann tauchen die alten Builds überhaupt gar nicht mehr auf.

Welche Updates tauchen denn nicht unter der Kategorie "Erforderlich" auf und könnten vom Client installiert werden?

Das ist alles anhängig davon, was der Wsus in den Einstellungen der Produkte usw stehen hat.

Ich habe ausschließlich 1709 und neuere Clients, ich erhalte nun keinerlei Updates vorgeschlagen für 1703 und älter, oder auch für ARM CPUs. Also muss ich mich gar nicht mit den älteren Updates auseinandersetzen. Falls dann doch mal ein älterer Win10 Client in die Struktur kommen sollte (wovon ich nicht ausgehe, da wir alle Geräte selbst deployen), gehe ich davon aus dass der WSUS mir entsprechende Updates dann vorschlagen wird.
Schaue ich mir "alle" Updates an, finde ich genau diese Updates für ältere Builds. Als Produkt angehakt habe ich nur "Windows 10"

"ich"? Du meinst, dein Client. Ja, das ist doch klar, es wird nur detektiert, was zu ihm passt. Es geht hier jedoch darum, was am WSUS passiert. Da läuft alles auf (1507, 1511,1607,....) sobald "Windows 10" angehakt ist.

Oh, du hast recht. Habe den Startpost nochmals gelesen. Habe ich nicht richtig interpretiert.