16
WSUS Server 2012 R2
Hallo zusammen,
ich habe einen WSUS installiert und frage mich gerade was die "Best Practice" für Patchverwaltung ist.
Ich habe nur mal MS Office, Windows XP, Windows 7, Windows 8 und Windows 10 angeklickt und erhalte schon 5000 Updates.
Ich möchte jetzt ja nicht 5000 Updates prüfen und durchgehen was ich davon verteilen will. Außerdem hätte ich ungern diese 5000 Updates auf meiner festplatte.
Jetzt habe ich in diesem Artikel gesehen ich soll " Deshalb lieber warten was die Clients anfordern und nur diese Updates genehmigen.".
Quelle: https://www.wsus.de/de/HowTo/WSUS-auf-Windows-Server-2012-installieren
Wie sehe ich denn was meine Clients anfordern? Der Reportviewer ist installiert, aber irgendwie fehlt mir hier eine Information.
DANKE!
ich habe einen WSUS installiert und frage mich gerade was die "Best Practice" für Patchverwaltung ist.
Ich habe nur mal MS Office, Windows XP, Windows 7, Windows 8 und Windows 10 angeklickt und erhalte schon 5000 Updates.
Ich möchte jetzt ja nicht 5000 Updates prüfen und durchgehen was ich davon verteilen will. Außerdem hätte ich ungern diese 5000 Updates auf meiner festplatte.
Jetzt habe ich in diesem Artikel gesehen ich soll " Deshalb lieber warten was die Clients anfordern und nur diese Updates genehmigen.".
Quelle: https://www.wsus.de/de/HowTo/WSUS-auf-Windows-Server-2012-installieren
Wie sehe ich denn was meine Clients anfordern? Der Reportviewer ist installiert, aber irgendwie fehlt mir hier eine Information.
DANKE!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 328267
Url: https://administrator.de/contentid/328267
Printed on: April 23, 2024 at 08:04 o'clock
16 Comments
Latest comment
Hallo,
Hast Du Deinen Clients schon bei gebracht, dass sie Deinen WSUS verwenden sollen?
Wenn die Clients wissen, wo sie nach Updates fragen und reporten sollen, tun sie das auch. Dann siehst Du die Clients auch in der WSUS-Konsole mit dem was denen fehlt.
Sind die Clients Domaenen-Mitglied? Dann regele das per GPO.
BFF
Hast Du Deinen Clients schon bei gebracht, dass sie Deinen WSUS verwenden sollen?
Wenn die Clients wissen, wo sie nach Updates fragen und reporten sollen, tun sie das auch. Dann siehst Du die Clients auch in der WSUS-Konsole mit dem was denen fehlt.
Sind die Clients Domaenen-Mitglied? Dann regele das per GPO.
BFF
1
Die Clients müssen zuerst am WSUS anfragen und einen Statusbericht abgeben. Teile die PC in Gruppen ein, ist besser wegen der Übersicht. Wenn der Statusbericht da ist, kannst Du sehen, was erforderlich ist. Oben im Filter entsprechend einstellen. Sind denn alle Clients schon einmarschiert? Nach dem Status siehst Du, was angefordert wird. Dann kannst Du "genehmigen" oder halt nicht. Uwe
Vielen Dank für eure Antworten,
ja ich habe eine Gruppenrichtlinie und über die Sicherheitseinstellungen eine Gruppe für ein paar Testuser erstellt. Diese haben sich auch alle angemeldet. Dazu ist der Rportviewer installiert und das Update für Windows 10.
Ich sehe her aber jetzt leider nicht "Was Ihnen fehlt". Ich habe bei Status: "Fehlerhaft oder Erfoderlich" eingestellt. Alle haben Windows 10. Bei prozentsatz "Installiert / Nicht zutreffend" steht 99% bei allen.
Bei "Alle Updates" habe ich jetzt 5000 Updates. Wenn ich die jetzt alle Frei gebe, werden dann alle geladen oder nur wenn die ein Client anfragt?
Wo sehe ich was genau die Clients anfragen?
//edit
Ich glaube ich habe es jetzt verstanden, ich habe mir neue Updateansichen erstellt und stelle hier die gewünschten Produkte / Features ein. Oben gehe ich dann auf Fehlerhaft oder Erforderlich.
Bei W10 werden mir dann die benötigten Updates angezeigt.
Bei W7 wird mir da jetzt nichts angezeigt weil ich noch keine W7 Rechner aufgenommen habe.
Ich hoffe das ist richtig so?
Bisher war es in der Firma so, dass die Clients durch die Firewall keine Updates ziehen dürfen. Internet ist auch sehr sehr beschränkt. Daher habe ich die Aufgabe bekommen, die Geräte über den WSUS upzudaten. Es gibt nämlich nur ne 2000er Leitung und das im Jahr 2017 ...
ja ich habe eine Gruppenrichtlinie und über die Sicherheitseinstellungen eine Gruppe für ein paar Testuser erstellt. Diese haben sich auch alle angemeldet. Dazu ist der Rportviewer installiert und das Update für Windows 10.
Ich sehe her aber jetzt leider nicht "Was Ihnen fehlt". Ich habe bei Status: "Fehlerhaft oder Erfoderlich" eingestellt. Alle haben Windows 10. Bei prozentsatz "Installiert / Nicht zutreffend" steht 99% bei allen.
Bei "Alle Updates" habe ich jetzt 5000 Updates. Wenn ich die jetzt alle Frei gebe, werden dann alle geladen oder nur wenn die ein Client anfragt?
Wo sehe ich was genau die Clients anfragen?
//edit
Ich glaube ich habe es jetzt verstanden, ich habe mir neue Updateansichen erstellt und stelle hier die gewünschten Produkte / Features ein. Oben gehe ich dann auf Fehlerhaft oder Erforderlich.
Bei W10 werden mir dann die benötigten Updates angezeigt.
Bei W7 wird mir da jetzt nichts angezeigt weil ich noch keine W7 Rechner aufgenommen habe.
Ich hoffe das ist richtig so?
Bisher war es in der Firma so, dass die Clients durch die Firewall keine Updates ziehen dürfen. Internet ist auch sehr sehr beschränkt. Daher habe ich die Aufgabe bekommen, die Geräte über den WSUS upzudaten. Es gibt nämlich nur ne 2000er Leitung und das im Jahr 2017 ...
1
Denke ja. Wenn 99 usw % steht, hast Du unten ein Kreis Diagramm. Dort sind einzelne Posten aufgeführt. So etwa: Erforderliche Update: 5 Klickst Du da drauf, werden diese angezeigt.
Du solltest nicht alle freigeben, das ist gerade NICHT der Sinn des WSUS!
Uwe
Du solltest nicht alle freigeben, das ist gerade NICHT der Sinn des WSUS!
Uwe
Ok vielen Dank,
das funktioniert schonmal soweit.
Jetzt habe ich noch eine Frage. Was muss ich machen, dass die Updates z.B. am Freitag Nachmittag wenn der Benutzer seinen Rechner runter fährt um in das Wochenende zu gehen, dann die Updates installiert werden.
Irgendwie ist mir das mit den GPOs mit den 4 Auswahlmöglichkeiten noch nicht ganz klar.
Ich will also beim Herunterfahren die Installation erzwingen. Solang der Benutzer arbeitet, darf er nicht eingeschränkt werden...
Wann ist denn aus Erfahrung die perfekte Uhrzeit für sowas?
das funktioniert schonmal soweit.
Jetzt habe ich noch eine Frage. Was muss ich machen, dass die Updates z.B. am Freitag Nachmittag wenn der Benutzer seinen Rechner runter fährt um in das Wochenende zu gehen, dann die Updates installiert werden.
Irgendwie ist mir das mit den GPOs mit den 4 Auswahlmöglichkeiten noch nicht ganz klar.
Ich will also beim Herunterfahren die Installation erzwingen. Solang der Benutzer arbeitet, darf er nicht eingeschränkt werden...
Wann ist denn aus Erfahrung die perfekte Uhrzeit für sowas?
"Wann ist denn aus Erfahrung die perfekte Uhrzeit für sowas?"
??? Wenn keener arbeitet ...
Es gibt 5 Auswahlmöglichkeiten.
Für Dich sollte 4 OK gehen. Selbst habe ich diese aber noch nicht genutzt.
Uwe
??? Wenn keener arbeitet ...
Es gibt 5 Auswahlmöglichkeiten.
Für Dich sollte 4 OK gehen. Selbst habe ich diese aber noch nicht genutzt.
Uwe
Naja wenn keiner arbeitet...
Wenn die Rechner nachts aus sind, dann können die ja auch nicht Updaten?
Wenn die Rechner nachts aus sind, dann können die ja auch nicht Updaten?
Wie gesagt, ich habe diese Option noch nie probiert. Uwe
Hallo,
Und wenn die Leute den PC nicht ausschalten sollen, tun sie es doch
Schau im BIOS nach, ob Du die PC alle auf WOL setzen kannst.
Wecke die PC dann halt auf, wenn Du es brauchst. Ok, die Teile die mit Schaltleiste "herunter gefahren" werden bleiben aus.
BFF
Wenn die Rechner nachts aus sind...
Und wenn die Leute den PC nicht ausschalten sollen, tun sie es doch
Schau im BIOS nach, ob Du die PC alle auf WOL setzen kannst.
Wecke die PC dann halt auf, wenn Du es brauchst. Ok, die Teile die mit Schaltleiste "herunter gefahren" werden bleiben aus.
BFF
mal noch eine weitere frage,
Einige User nehmen Ihren Computer mit nach Hause und verbinden sich dann über VPN (SonicWall Netextender).
Wie schaffe ich es jetzt, dass diese User sich nicht unbedingt über unsere Internetverbindung die Updates vom WSUS holen. Das ist absolut ungeeignet. Ich habe aber irgendwie keine Idee wie ich das bewerkstelligen sollte.
Einige User nehmen Ihren Computer mit nach Hause und verbinden sich dann über VPN (SonicWall Netextender).
Wie schaffe ich es jetzt, dass diese User sich nicht unbedingt über unsere Internetverbindung die Updates vom WSUS holen. Das ist absolut ungeeignet. Ich habe aber irgendwie keine Idee wie ich das bewerkstelligen sollte.
Wähle unter Einstellungen am Client Nr. 5 aus. Damit bleibt am Client die Möglichkeit, das "echte" MS Update zu verwenden. Allerdings besteht dann die Gefahr, dass der User das immer so macht. Uwe
du meinst in den gruppenrichtlinien?
Ja," automatische Updates konfigurieren", Punkt 5. Mögliche Nebenwirkung siehe oben. Uwe
Alles klar,
Ich habe jetzt auf automatische Updates Punkt 4, und täglich. Das läuft soweit.
Allerdings habe ich auf einem W10 Rechner, dass ein paar Updates installiert wurden aber das Upgrade 1607 und weitere andere Updates werden nicht mehr gefunden.. Auf dem Rechner ist 1511 installiert. Es sind 21 Updates offen... unter anderem auch das Funktionsupdate 1607.
An diesem Rechner war die Funktion "Upgrades aussetzen" aktiviert. Das habe ich mal raus gemacht. Aber dennoch werden nach mehreren Neustarts keine Updates mehr gefunden.
Auf anderen Rechnern funktioniert aber alles einwandfrei...
Habt ihr ein paar Tips?
Ich habe jetzt auf automatische Updates Punkt 4, und täglich. Das läuft soweit.
Allerdings habe ich auf einem W10 Rechner, dass ein paar Updates installiert wurden aber das Upgrade 1607 und weitere andere Updates werden nicht mehr gefunden.. Auf dem Rechner ist 1511 installiert. Es sind 21 Updates offen... unter anderem auch das Funktionsupdate 1607.
An diesem Rechner war die Funktion "Upgrades aussetzen" aktiviert. Das habe ich mal raus gemacht. Aber dennoch werden nach mehreren Neustarts keine Updates mehr gefunden.
Auf anderen Rechnern funktioniert aber alles einwandfrei...
Habt ihr ein paar Tips?
W10 ist inkonsistent, fehlerhaft und für den seriösen Einsatz unbrauchbar. Uwe
Ach ja, auf 2012r2 und wsus muss für W10 alles gepatcht sein. Besonders KB3159706
Achtung:
WSUS startet nicht mehr nach der Duchführung von Windows-Updates
Uwe
Achtung:
WSUS startet nicht mehr nach der Duchführung von Windows-Updates
Uwe
