По одобрению обновлений
 

Суть ситуации: развернул WSUS на сервере, настроил продукты и классы на обновление, и другие настройки. Синхронизировал с сервером Microsoft, получил что-то около 1900 обновлений, которые уже установлены или неприменимы.

В локальной сети большое количество компьютеров с разным уровнем «обновленности», есть XP как с SP2, так и с SP3, аналогично и Office 2003. Добавил в GPO обновляться с сервера, компьютеры появились в группе «Неназначенные компьютеры».

Теперь я должен одобрять обновления для их установки на компьютерах, как я понимаю. Но по какому принципу это делать:
1. Выделить все обновления и выбрать – одобряю?
2. Просто включить в настройках правило для автоматического одобрения?
3. Поочередно выбирать каждое обновление смотреть, не заменялось ли оно, одобрять заменяемые, чтоб они стояли на всех компьютерах, затем одобрять следующее и это для всех 1900 обновлений?
Первый вариант он какой-то бессистемный, но третий – это не системное администрирование, а труд бабушки на пенсии.

Пожалуйста, объясните, вкратце, как правильно организовать первичное обновление всех компьютеров?

MFoxx, у меня сделано так:
Есть группы servers, test, users. Они настроены с помощью ГПО. В группе test лежит мой стационарный комп и ноутбук рабочий. Туда обновления одобряются автоматически. Через месяц, м.б. чуть больше я применяю эти обновления для группы users - там основная масса компов.

Спасибо.
Только хочется все же уменьшить список обновлений на скачивание с интернета.

Но есть еще вопрос, напримере Windows XP.
SP3 можно поставить на любую машину и на SP2 и без него. Т.е. даже SP2 можно не качать...и все те обновления которые включены в SP2...
Но как тогда исключить все обновления которые внедрены в SP3 и оставить только те которые не включены в сервис паки?

Их нет необходимости качать, WSUS сервер их просто обнаружит на сервере Микрософта, при этом состояние обновления будет - ТОЛЬКО ОБНАРУЖИТЬ. Соответственно те обновления которые надо установить, будут иметь состояние - УСТАНОВИТЬ и будут загружены локально.

Сначала одобри sp3, а потом когда установишь на машины одобряй те которые имеют статус УСТАНОВИТЬ остальные можешь отклонить :yes:

Спасибо всем.
Следую рекомендациям.
Но все же. Одобрил SP3 на тестовой группе компьютеров, на них установлен SP2.
Выполнил wuauclt.exe /detectnow, отчет обновился, а SP3 не устанавливается в логах на локальном компьютере пишет:
Думал может сам SP3 не скачался, но вроде нашел папку на сервере WSUS с SP3.

При этом сам WSUS упорно хочет скачать 430 обновлений на 21,5 гб, что очень много. Приходится отменять загрузку всех этих обновлений, до следующей перезагрузки или синхронизации WSUS, защищаясь, чтобы без моего ведома он не накачал с интернета столько. Дополнительно всем этим обновлениям проставил не одобрено. А в настройках WSUS убедился, что стоит галочка "загружать файлы обновлений на сервер только после одобрения обновления"
(есть смутные воспоминания, что я когда создал тестовую группу и положив туда компьютер, одобрил группе все обновления, но потом я эту группу удалил).


По какой причине SP3 не ставится? Или как эту причину диагностировать?
Как прекратить попытки WSUS скачать такое большое количество пока мне не нужных и не одобренных обновлений?

MFoxx, на wsus сервере ты видишь свой тестовый компьютер с обновлением sp3 и состоянием "только обнаружить"? Если да, то делаем состояние "установить" и на компьютер будет заливаться sp3

Похоже и вправду погорячился, когда одобрил все обновления для тестовой группы, теперь даже эти отклоненные обновления WSUS упорно хочет скачать. Даже теперь, когда поотклонял обновления, оставшемся требуемым 126 обновлениям требуется как и вчера 21.5гб.
Поискал в интернете, не у меня одного такая проблема :-)
Важно! WSUS сервер качает отклоненные обновления, которые ранее были одобрены!
Появилось желание переустановить WSUS, только не решил для себя как с меньшими потерями это сделать.
Можно ли как-нибудь подчистить базу?...она объемом 1гб, пусть только бы она скачалась заново, а сами бы пакеты обновления не торгались и не качались...

madmax24, что-то я не встречал такого слово "только обнаружить".
Когда делаю отчет по этому компьютеру, то среди обновлений для SP3 стоит одобрение: "установить"
Про это имелось ввиду?

да, я про это говорил.
Можешь выложить скриншот по обновлениям...ну хотя бы за последние 2 недели только критические с отметкой "любое одобрение"?

Ну если сравнивать 1гиг и 21 гиг, то на первое можно смело забить ибо объемы не равнозначны. Можно попробовать собрать паралельный сервак например на виртуальной машине и заставить обновить его с первого. Он по идее высосет весь гиг с первого, а потом его можно смело синхронизовать с мелкософтовским сервером. А первый убить.

Можно будет так произвести переустановку WSUS:
1. Остановить все службы связанные с WSUS
2. Убрать подальше mdf базу WSUS
3. Запустить установщик WSUS
...ожидаю что он создаст новую базу, начнет синхронизироватся и подхватит папку со скаченными обновлениями
оправдаются мои ожидания?

madmax24, у меня WSUS стоит всего 2 недели и одобрил за это время совсем немного обновлений на ту группу, на которую собираюсь накатывать SP3 и остальное...не понял, как скриншот по обновлениям сделать?
Так? Если правильно понял, прикрепляю отчет.

не помню, утверждать однозначно что подхватятся или нет не могу :)

Эх, я видать проглядел что у тебя WSUS 3. На WSUS 2 это было б так:

Всем, спасибо разобрался с управлением WSUS.


Переустановил полностью WSUS 3.0 SP1 (по каким-то причинам он не захотел похорошему удалится, пришлось воспользоватся Windows Install Clean Up, а затем еще и переустановить IIS)

Ранее скаченные обновления подхватились.

Теперь стал понятен принцип одобрения.
Когда вижу, что требуется установить обновление - одобряю. Только неудобно в отчете по конкретному компьютеру для каждого обновления прописывать в группу где находится компьютер выбирать "одобряю".