WSUS update/installatie policy settings? - Serversoftware en clouddiensten

woensdag 14 december 2011 14:20

Acties:

0 Henk 'm!

Topicstarter

Ik ben momenteel bezig met het inrichten van WSUS op een Windows 2003R2 omgeving met XP clients en ondanks het lezen van diverse technet artikelen, blog/forum posts en het experimenteren met test machines kom ik er toch niet helemaal uit.

Het liefst zou ik het installeren van de updates geheel transparant voor de gebruikers laten verlopen en alle updates pas laten installeren tijdens het afsluiten van de PC's aan het einde van de dag.
Echter, enkele gebruikers hebben de eigenschap om de PC (vrijwel) altijd aan te laten staan dus zou ik een tijd 'window' willen instellen (b.v. 48uur) waarbinnen ze regelmatig een waarschuwing krijgen waarna de PC uiteindelijk automatisch afsluit/reboot om de updates te installeren.
Is zoiets mogelijk?

Ik heb deze uitleg gevonden over de diverse GPO settings:
http://technet.microsoft.com/en-us/library/cc512630.aspx
maar volgens mij is geen combinatie van de genoemde opties a,b,d,c, en e mogelijk.

Informatie over hoe jullie de WSUS policies gebruiken en welke instellingen er voor nodig waren om dat te bereiken zou ik ook erg op prijs stellen.

woensdag 14 december 2011 14:25

Acties:

0 Henk 'm!

Mike2k

Zone grote vuurbal jonge! BAM!

Wat wel even heel belangrijk is:

Wat voor omgeving draai je ? 2003 of 2008? en welke clients?
2008 omgevingen met vista/7 clients hebben namelijk veel meer GPO mogelijkheden...

Ow enne...zoals altijd: wat heb je al en wat lukt er nog niet ?

[ Voor 15% gewijzigd door Mike2k op 14-12-2011 14:25 ]

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

woensdag 14 december 2011 14:32

Acties:

0 Henk 'm!

PeterPan

Topicstarter

AD is 2003R2, de clients zijn allemaal XP.

Wat ik nu voor elkaar lijk te hebben is dat alle updates alleen tijdens het afsluiten van de computer geïnstalleerd worden maar mensen die de PC altijd aan laten staan krijgen geen waarschuwing met uiteindelijk een verplichte shutdown/reboot.

Het probleem is ook dat testen/experimenteren bijzonder lastig is omdat je maar 1 of 2x per dag wat kunt aanpassen en dat tot de volgende dag moet wachten om het resultaat te zien, ivm met de refresh rate van de policies en de WSUS detectie.

woensdag 14 december 2011 14:53

Acties:

0 Henk 'm!

Mike2k

Zone grote vuurbal jonge! BAM!

Dit is toch wel basiskennis:
Policy refresh: gpupdate/force

En voor de rest: http://www.security.auckl...crosoftwsusguidelines.htm

Tipje van de sluier...updates automatisch installeren en daarna users spammen over het rebooten van computer

[ Voor 28% gewijzigd door Mike2k op 14-12-2011 14:55 ]

You definitely rate about a 9.0 on my weird-shit-o-meter
Chuck Norris doesn't dial the wrong number. You answer the wrong phone.

woensdag 14 december 2011 14:55

Acties:

0 Henk 'm!

Garfield

en handmatige wsus detectie: wuauclt /detectnow

woensdag 14 december 2011 15:13

Acties:

0 Henk 'm!

PeterPan

Topicstarter

Bedankt, die refresh commandos ken natuurlijk wel

In het gelinkte document staat eigenlijk hetzelfde als in de diverse MS documenten. Waar het mij eigenlijk om gaat is hoe dit in de praktijk werkt. Dus wat zijn jullie ervaringen en hoe zijn jullie tot je uiteindelijke instellingen gekomen (en welke zijn dit).

woensdag 14 december 2011 15:24

Acties:

0 Henk 'm!

wasted247

Tip: Re-prompt for restart with scheduled installations

Is de letterlijke naam van de policy instelling die je zoekt

Zo laten wij om 16:00 uur de updates installeren, als er geen users ingelogd zijn mag het systeem rebooten, zijn er wel users ingelogd, gaat ie iedere x minuten roepen dat hij herstart wil worden.

Daarnaast hebben we de volgende policy opties op enabled staan:

Allow Automatic Updates immediate installation
Allow non-administrators to receive update notifications
Do not adjust default option to 'Install Updates and Shut Down' in Shut Down Windows dialog box
Do not display 'Install Updates and Shut Down' option in Shut Down Windows dialog box
No auto-restart with logged on users for scheduled automatic updates installations

Inclusief client side targeting ivm verschillende wsus groepen, en uiteraard een scheduled update install (optie 4 auto download and schedule install).

Op user polices hebben we dan weer aanstaan dat de windows update secties geheel onzichtbaar zijn in het configuratie scherm e.d. (Remove access to use all Windows Update features). Echter gaat dat je vraag voorbij. Zo hebben wij voor verschillende types gebruikers, verschillende instellingen. Sommige worden er totaal niet mee geconfronteerd, terwijl anderen meer vrijheid en keuzes krijgen. Hoe je dit inricht hangt totaal van je omgeving en gebruikers af.

Ik kan je niet verzekeren dat al de bovenstaande opties AD 2003 zijn

Edit: w.b.t. ervaringen, ik kan niets anders doen dan vol lof over WSUS spreken. I.c.m. goed ingerichte OU's en policy's op verschillende niveau's, kun je hiermee vrijwel de hele boel automatiseren, op het accorderen van de updates in het WSUS console na. Ik update met WSUS zowel test als productie omgevingen, op basis van schedules en andere eisen, exclusions voor bepaalde servers. Mits goed doordacht is MS AD i.c.m. de verschillende services er om heen erg mooi in te richten

[ Voor 24% gewijzigd door wasted247 op 14-12-2011 15:36 ]

woensdag 14 december 2011 16:01

Acties:

0 Henk 'm!

PeterPan

Topicstarter

Dank voor je uitgebreide reactie wasted247.

Het is me toch niet helemaal duidelijk welke policies er invloed hebben of settings overrulen op andere policies. Met name de policies waar je tijden kunt invullen om een reboot uit te stellen en of de gebruiker nu wel of niet iets te zien krijgt.
Een flowchart oid zou heel handig zijn maar Google wil geen vriendje met me zijn in deze

donderdag 15 december 2011 00:02

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

In de WSUS console, onder options heb je automatic approvals.
Nieuwe rule aanmaken, kies voor "Set a deadline for the approval".
Je kunt dan kiezen welke groepen (als je die al gemaakt hebt) en hoelang het mag duren (standaard 7 dagen).
Naampje geven en op OK drukken, volgens mij is het dan al geregeld.

Verders kun je dat ook bij iedere update los doen.
Onder updates rechter muisknop op een update, kies voor "Approve..."
Zet hem "approved for install"
Vervolgens nog een keer op dat pijltje klikken waarmee je hem approved, nu is "deadline" niet meer grijs.
Je kunt dan zo een week of 2 weken of met custom zelfs een dag invullen, maar dat is dus handmatig per update.

mookie

donderdag 15 december 2011 08:12

Acties:

0 Henk 'm!

PeterPan

Topicstarter

Met het automatic approvals heb ik me nog niet bezig gehouden. Bedankt voor de tip.

Ik probeer het nu nog te regelen met met alleen de GPO settings voor WSUS zelf.
Ik heb het nu zover dat ik na de scheduled install tijd het volgende te zien krijg:
Afbeeldingslocatie: http://oi44.tinypic.com/x6d8uw.jpg

Afbeeldingslocatie: http://oi44.tinypic.com/x6d8uw.jpg

Dit komt volgens mij door de policy "Delay Restart for scheduled installations" deze kun je maximaal op 30min zetten.
Het liefst zou ik deze melding genereren xx minuten na de installatie tijd met de mogelijk dat de gebruiker deze melding kunnen wegklikken met een maximum tijd (bijvoorbeeld 24 of 48 uur).
Op deze manier kan ik de installatie tijd op b.v. 16:30 zetten (kantoortijd is tot 17:00). De meeste gebruikers krijgen de melding dan net niet of misschien 1 keer te zien als ze rond 17:00 uitloggen.
Gebruikers die overwerken kunnen de melding een paar keer wegklikken als ze dat willen. Gebruikers die hun machine nooit uitzetten zullen uiteindelijk geforceerd gereboot worden.

Is zoiets nu echt niet mogelijk?

[ Voor 85% gewijzigd door PeterPan op 15-12-2011 09:39 ]

donderdag 15 december 2011 12:12

Acties:

0 Henk 'm!

mookie

Heerlijk Helder

Ja, maar waarom laten ze eigenlijk die computers aanstaan?
Hoeven ze de electriciteit soms zelf niet te betalen?
Kunnen ze zoveel meer werk doen als ze 's ochtends niet een minuutje hoeven te wachten, terwijl ze dan meestal toch eerst koffie gaan halen?

Het is hier wel tweakers dus als iets kan dan is het al reden om te doen, maar hier zie ik toch echt geen voordeel in.

Als jij ze gewoon hun PC uit laat zetten met de optie "shutdown and install updates" dan is iedereen blij...
Hebben hun er geen last van dat de PC even traag is, geen irritante meldingen over "wil je nu herstarten?", de baas bespaart stroom aangezien die PC's af en toe uit gaan en jij hebt je updates.

mookie

maandag 19 december 2011 08:48

Acties:

0 Henk 'm!

PeterPan

Topicstarter

Okay, ik denk dat ik het uiteindelijk redelijk voor elkaar heb nu. WSUS updates zonder de gebruikers al te veel lastig te vallen maar wel met een geforceerde reboot als de gebruikers het uiteindelijk niet zelf doen.
Het probleem zit 'm vooral in hoe de diverse GPO settings voor WSUS elkaar beïnvloeden, dat kun je niet echt uit de beschrijving in de GPO halen of in de documentatie vinden.

Dit is wat ik uiteindelijk heb gedaan:
-Configure automatic updates: 4. Auto download and schedule the install. 0 - Every day 16:00
-No auto-restart with logged on users for scheduled automatic updates: Enabled
^{(hiermee zet je de geforceerde reboot uit. Je gebruikt in WSUS een deadline om toch een reboot te forceren maar eventueel met een veel groter tijd window)}
-Delay Restart for scheduled installations: Enabled, 30min.
^{(Dit is de waarschuwingstijd bij een geforceerde reboot, zie scherm hieronder. In mijn geval veroorzaakt door een in WSUS ingestelde deadline en niet door de GPO zelf.)}
-Re-prompt for restart with scheduled installations: Enabled 120 min.
^{(Na de installatie om 16:00 krijgen de gebruikers een pop-up en dan om de 120 min. een herinnering)}
-Allow non-administrators to receive update notifications: Disabled
^{(Zet je dit aan dan krijgen de gebruikers het gele uitroepteken onderin maar ook de mogelijkheid om een express of custom installatie te doen. Bij een custom installatie kan de gebruiker zelfs bepaalde updates weigeren wat niet bedoeling is)}

Onze werktijden zijn van 8:00 tot 17:00 met regelmatig mensen die overwerken of ploegendiensten draaien in de nacht en weekend. Daarom heb ik nu gekozen voor een installatie tijd om 16:00 uur.
De gebruikers krijgen na installatie op de achtergrond zo tussen 16:00 en 16:30 een pop-up te zien als er voor deze updates gereboot moet worden, deze kunnen ze weg klikken.
Mensen die om 17:00 naar huis gaan krijgen bij het afsluiten automatisch "Install updates and shut down" te zien en zijn daarmee klaar.

Voor mensen die overwerken of in een ploegendiens draaien zal deze pop-up elke 120 min. terug komen totdat ze zelf rebooten/ afsluiten of tot de in WSUS ingestelde deadline.

Door in WSUS zelf eventueel gebruik te maken van de deadline optie kun je een reboot forceren. De gebruikers krijgen na de deadline tijd dan nog 30 min. de tijd om hun werk te saven:
Afbeeldingslocatie: http://oi44.tinypic.com/x6d8uw.jpg

Deze pop-up is niet meer weg te klikken of minimaliseren.

Om toch een reboot te forceren moet je in WSUS zelf bij het approven van de updates een deadline opgeven:
Afbeeldingslocatie: http://i40.tinypic.com/wujpug.jpg

Afbeeldingslocatie: http://i40.tinypic.com/wujpug.jpg

Doe je dat niet dan heb je, met bovenstaande instellingen, als gebruiker de mogelijkheid om de reboot tot in het oneindige te blijven uitstellen.

Let er ook op dat afhankelijk wat je gebruikt voor de instelling "Automatic Updates detection frequency" de updates, na ze in WSUS te hebben geapproved, gedurende de gehele dag gedownload worden. Je stelt met "Configure Automatic Updates" alleen de daadwerkelijke (geforceerde) installatie van de updates in.
Ik heb er verder ook voor gekozen om "Allow Automatic Updates immediate installation" uit te zetten. Hiermee wachten updates die geen reboot nodig hebben toch tot de ingestelde tijd (16:00) met installeren.

Ik hoop dat ik hiermee mensen die ongeveer hetzelfde willen bereiken met WSUS een stukje op gang kan helpen. Voel je vrij om me een PM te sturen als je vragen hebt

[ Voor 26% gewijzigd door PeterPan op 19-12-2011 09:17 ]