Hoe gebruik jij SUS? (Software Update Service)

Lees dit voor je een vraag stelt.

Goede site over SUS: Susserver.com

GoT SUS FAQ! Hiero...

leon1, bedankt!

Hallo,

Omdat ik bezig ben om SUS in gebruik te nemen ben ik benieuwd hoe de professionele Tweakert Microsofts Software Update Service gebruikt. En met name op de volgende 2 gebieden:

Automatisch patches laten installeren of eerst testen en dan handmatig vrijgeven?
Eerlijk gezegd heb ik er geen tijd voor om een paar keer per week te gaan testen. Hoe vaak gebeurt het nou dat er een foute patch de wereld in word gestuurd? Bocendien is het lastig om een paar representatieve testcopmputers in te richten omdat daar in de praktijk ook nog wel wat verschil in zit.

Alleen de clients laten patchen of ook je servers?
Ik heb maar 8 servers dus op zich is dat wel met de hand bij te houden. Wat het risico van een foute patch betreft, als er op een server iets fout gaat dan zitten gelijk 100 mensen zonder mail, internet, etc. Dan doe ik liever eerst 2 minder belangrijke servers en laat die een dagje draaien.

Geen idee waar dit over gaat?
SUS is een server/service die het mogelijk maakt om in je netwerk een Windowsupdate-server te gebruiken en met policies kun je je clients hun updates laten ophalen bij je SUS-server. Meer info over SUS vindt je bij Microsoft. SUS kost niets (behalve een server met Windows 2000 Server of Windows Server 2003).

Jazzy wijzigde dit bericht 14-11-2003 11:56 (28%)

ik gebruik sus niet, maar dat gaat zeker wel gebeuren. overigens alleen clients. voor de servers vertrouw ik gewoon op de firewall en installeer alleen echt kritische patches...

-> Professional Networking & Servers

Het idee achter SUS is geweldig... Alleen heeft het 1 groot nadeel waar ik (netwerkbeheerder) behoorlijk niet blij van wordt: De proxy instellingen worden niet gebruikt....... De functie om dit in te vullen zit er wel in, maar SUS doet er helemaal niets mee..... FIJN!!! username & password credentials zou handig zijn...

Zolang dit niet is gefixed is SUS voor ons nog geen echte optie.....

Ik gebruik Sus; en laat de patches direct installeren ook op de servers...
Zijn maar 2 servertjes bij me thuis en 2 workstations + laptop van het werk...
Als een machine in de soep loopt installeer ik um wel weer met RIS..

Als je dit een situatie op het werk is dan zou ik wel testen; je weet nooit was de impact is op bepaalde machines... servers zou ik dan handmatig patchen in de tijd dat ze down mogen.. productie servers die ineen klappen tijdens werktijd is niet grappig..

[edit]
Huh.. proxy settings pakt ie niet? Bij mij op m'n werk met een testdomein doet ie het perfect... kan helaas nu niet kijken omdat ik momenteel op 'n ander project zit.. [edit2] ow.. credentials.. tja.. wij hebben 'n open proxy zonder credentials.

Krypt wijzigde dit bericht 19-08-2003 12:04 (23%)

sus voor alle windows clients en de sus server, de rest van de servers zijn unix bakken dus da's lastig

Ik heb enkel nog gekeken naar SUS en ben ook van plan er iets mee te doen. Ook ik wil er m'n servers niet mee doen, dat doe ik zelf wel.
Ik pak een 2e IIS server met SUS met geapproved( alles wat ik niet 'eng' vind approve ik) updates. Ik denk dat ik een groep(je) clients de patches ongetest geef aan het begin van de week en als er geen problemen mee zijn krijgt de rest ze ook aan de eind van de week. Systeembeheer moet dan wel weten welke PC's de patches heeft. Als er een probleem met een geupdate PC moeten ze wel in hun achterhoofd houden dat er een ongeteste patch op staat.
Het is ook niet de bedoeling dat meteen alles de schuld van de patch is.

Ideaal is het niet, het liefst heb ik al m'n pc's hetzelfde. Alles testen is echter onmogelijk.

Idem hier. Workstations automatisch, servers manueel en enkel kritische updates.
Ik test wel eerst elke patch die ik implementeer eerst uit op enkele verschillende testbakken.
Alleen gebruik ik momenteel nog geen SUS maar daar gaat verandering in komen bij de migratie naar 2003 binnen een 4 à 6 -tal maanden.
Client-patchen worden gewoon met logon-script meegestuurd en dat werkt evengoed

Heeft iemand tijdens het testen wel eens een probleem gevonden? Zo ja, wat?

quote:

Jay-Jay schreef op 19 August 2003 @ 12:28:
Client-patchen worden gewoon met logon-script meegestuurd en dat werkt evengoed

Hoe doe je dat precies? De meeste patches willen alleen onder een admin account geinstalleerd worden. Ik wil niet dat al mijn gebruikers (local) admin zijn.

ik ga er maar even vanuit dat Jazzy kixtart gebuikt. Daar kun je de runas functie gebruiken.
Ik heb dit zelf niet getest, maar ik neem aan dat je dan de patch as administrator kan laten runnen.

Ik heb begrepen dat er ook een mogelijkheid is om SUS te gebruiken in combinatie met SMS.

De SMS server draait hier wel, maar moet je daar dan nog een aparte machine voor hebben om SUS op te draaien, of kan het gewoon naast de SMS services..

Er wordt hier bij ons geopperd om dit indedaad in te gaan voeren, maar er is eigenlijk te weinig tijd om dit te doen.. Diegene met genoeg SMS kennis hebben geen tijd.

Als het al zou komen te draaien, dan alleen voor de clients. Op de ca. 30 servers worden die patches handmatisch geinstalleerd

SUS werkt hier goed, maar zie geen echte verbeteringen in versie 1.1
We gebruiken het ook voor sommige servers, maar doen daarvan de meeste handmatig.

Groot nadeel is dat hij niet de recommended updates ook meneemt.

Vaak zitten daar toch wel dingen tussen die je ook wil hebben, zoals een nieuwe messenger, of een .NET aanvulling

dmace wijzigde dit bericht 19-08-2003 13:39 (38%)

quote:

AdminHenk schreef op 19 augustus 2003 @ 13:15:
ik ga er maar even vanuit dat Jazzy kixtart gebuikt. Daar kun je de runas functie gebruiken.

Dat heeft als nadeel dat de admin met wachtwoord in cleartext in het loginscript staat. Is niet handig...

Het grote nadeel van SUS is toch wel dat het hier om een pull mechanisme gaat.
Als je even snel toch nog een patch moet versturen naar je clients (MSBlaster o.i.d.) dan is het lastig om dit a la minute te doen.

quote:

Zuig schreef op 19 August 2003 @ 15:12:
Het grote nadeel van SUS is toch wel dat het hier om een pull mechanisme gaat.
Als je even snel toch nog een patch moet versturen naar je clients (MSBlaster o.i.d.) dan is het lastig om dit a la minute te doen.

en

quote:

dmace schreef op 19 August 2003 @ 13:33:Groot nadeel is dat hij niet de recommended updates ook meneemt.
Vaak zitten daar toch wel dingen tussen die je ook wil hebben, zoals een nieuwe messenger, of een .NET aanvulling

Je moet het zien als aanvulling op andere beheertools en -mechanismen. Het is nu eenmaal geen SMS en dient ook niet om SMS of een andere software-distributietool te vervangen.

Maar afgezien van een discussie rond het nut van SUS ben ik meer benieuwd naar best-practices. Dat je met SUS niet alles kunt daar zal iedereen het over eens zijn.

Praktische dingetjes: ik heb via een GPO zowel de Engels- als de Nederlandstalige client uitgedeeld (ge-assigned) maar ik krijg op een aantal testmachines meldingen in het logboek:
- als er al Windows 2000 SP4 oid. op staat (dan is de client al aanwezig)
- op de NL machines de melding van de Engelstalige client dat de taal niet klopt
- op de US machines de melding van de Nederlandstalige client dat de taal niet klopt

Op zich zijn die meldingen te verwachten maar ze blijven bij iedere reboot terugkomen. Zou daar iets aan te doen zijn? Andere methode misschien? Ik heb de methode gevolgd zoals die in het Deployment White Paper staat. Behalve dat ik zowel WUAU22.msi als WUAU22DUT.msi heb gekozen omdat ik clients heb in beide talen.

Edit: zou het een idee zijn om alleen de NL versie te installeren en een vinkje te zetten bij 'Ignore language when deploying this package' in de eigenschappen in de GPO?

Jazzy wijzigde dit bericht 19-08-2003 15:33 (5%)

beter een engelse versie overal installeren + een language pack... ben je van dat gezeik af

quote:

jurrieyup schreef op 19 August 2003 @ 14:24:
[...]

Dat heeft als nadeel dat de admin met wachtwoord in cleartext in het loginscript staat. Is niet handig...

Er bestaan ook hier oplossingen voor. Je kan met enkele kleinere tooltjes perfect je user en passwords onleesbaar maken, zowel in kix als in een gewone batch file.
Tool staat in favorieten op het werk, dus zal morgen even kijken.

quote:

jurrieyup schreef op 19 August 2003 @ 13:09:
[...]

Hoe doe je dat precies? De meeste patches willen alleen onder een admin account geinstalleerd worden. Ik wil niet dat al mijn gebruikers (local) admin zijn.

Zoals vermeld runas in kix, of su (switch user) uit de resource kit. Maar hier zijn de gebruikers locale admin dus heb ik daar weinig problemen mee.

ik gebruik hem als volgt:

handmatig aangeven wat nodig is, want de gebruikers willen ook niet onnodig restarten enzo.

testen gebeurd eerst op test machine, lukt het allemaal goed, dan wordt het uitgerolt over de clients.

verder hebben we een speciale update servertje voor de server, die alleen de patches installeerd die echt hoognodig zijn.

Zoals vermeld, 1 tool om bvb je batch zelf te veranderen in een onleesbare binary .com file kan je vinden on de command line utility section op http://www.windowsshellscripting.com
zoek op bat2exe

Jay-Jay wijzigde dit bericht 20-08-2003 13:30 (5%)

quote:

Jay-Jay schreef op 20 August 2003 @ 12:07:
Zoals vermeld, 1 tool om bvb je batch zelf te veranderen in een onleesbare binary .com file kan je vinden on de command line utility section op http://www.windowsshellscripting.com
zoek op bat2exe

Niets waar de win32 port van strings(1) geen raad mee weet. Maak er gewoon beleid van om geen cleartext passwords in wat voor script dan ook te gebruiken, dan worden de discussies me je security officer een stuk korter.

quote:

PolarWolf schreef op 20 augustus 2003 @ 16:13:
Niets waar de win32 port van strings(1) geen raad mee weet. Maak er gewoon beleid van om geen cleartext passwords in wat voor script dan ook te gebruiken, dan worden de discussies me je security officer een stuk korter.

Eh heren, dit gaat niet over SUS.

khep een vraagje over SUS ..
ik hep SUS op mijn server hier geinstalleerd en wil nu op een client dat SUS Client installeren
alleen het leuke is dat ik het niet mag / kan instaleren Klikje :+
khep zeker weten XP prof ik geloof die met XP SP1 ingebouwd
en volgens de site over SUS

quote:

System Requirements
This Automatic Update applies to the following operating systems:
Windows 2000 Professional with Service Pack (SP) 2
Windows 2000 Server with SP2
Windows 2000 Advanced Server with SP2
Windows XP Professional
Windows XP Home Edition

duzze .. ik snap er geen kont van wat doe ik verkeerd of watevah .. mijn server draait wel met sus sp1 op MS 2000 server
en als ik naar die pagina van SUSadmin ga ( http://server/SUSadmin/ ) kom ik er wel gewoon op dus het moet werken
nu nog dat proggie installeren iemand ervaring ermeej ?

quote:

G4E-PARAD0X schreef op 21 August 2003 @ 12:14:
khep een vraagje over SUS ..
ik hep SUS op mijn server hier geinstalleerd en wil nu op een client dat SUS Client installeren
alleen het leuke is dat ik het niet mag / kan instaleren Klikje :+
khep zeker weten XP prof ik geloof die met XP SP1 ingebouwd
en volgens de site over SUS

[...]

duzze .. ik snap er geen kont van wat doe ik verkeerd of watevah .. mijn server draait wel met sus sp1 op MS 2000 server
en als ik naar die pagina van SUSadmin ga ( http://server/SUSadmin/ ) kom ik er wel gewoon op dus het moet werken
nu nog dat proggie installeren iemand ervaring ermeej ?

Ik kan daar 2 mogelijke oorzaken voor noemen:

1: Je probeert een Engelstalige client op een Nederlandstalige Windows te zetten.
2: Je hoeft niets te installeren want Automatische Updates staat al op jouw pc, zie zelfde screenshot, ander tabblad

Je kunt het installeren van de client dus overslaan en door gaan met het configureren van de client.

quote:

Edit: zou het een idee zijn om alleen de NL versie te installeren en een vinkje te zetten bij 'Ignore language when deploying this package' in de eigenschappen in de GPO?

Weet iemand hier iets meer van? Hoe ditribueer je de clients in een organisatie met zowel NL als US Windows clients?

In een netwerk met minder PC's (3), dan kan je toch ook gewoon de Windows Update-functie (automatisch in dit geval) gebruiken? Is wel meer data-verkeer en niet te testen, maar in principe niets op tegen toch?