computerwoche.de

Archiv

Microsofts WSUS ist noch nicht perfekt

30.06.2005
Von Michael Pietroforte
Über ein Jahr hat sich die Freigabe der "Windows Server Update Services" (WSUS) verspätet, und trotzdem weist die Patch-Lösung für kleine und mittelgroße Unternehmen noch einige Ungereimtheiten auf.

Wie schon der Vorgänger, die "Software Update Services" (SUS), steht die neue Windows-Erweiterung frei zum Download bereit. Die Funktionsweise von WSUS ist im Prinzip die gleiche wie bei SUS. Das in Windows integrierte automatische Update, das standardmäßig den Online-Service Microsoft Update kontaktiert, wird über eine Gruppenrichtlinie beziehungsweise eine Änderung in der Registry auf einen firmeninternen Update-Server umgelenkt. So erhält die Systemadministration die Kontrolle darüber, welche Updates im Netz verteilt werden.

Gegenüber SUS hat WSUS eine Reihe von Verbesserungen erfahren. So können nun außer Windows 2000/XP/2003 auch MS Office XP/2003, Exchange 2000/ 2003 und SQL Server 2000 auf dem neuesten Stand gehalten werden. Eine ebenfalls von vielen Systemverwaltern dringend erwartete Neuerung ist die Möglichkeit, Updates speziell an bestimmte Computergruppen zu verteilen. Die entsprechende Konfiguration kann über das Web-Frontend oder über Gruppenrichtlinien erfolgen. Umständlich ist dabei allerdings, dass die Gruppen vorher von Hand auf dem WSUS-Server anzulegen sind und nicht direkt aus dem Active Directory übernommen werden können.

Automatisierte Freigabe

Eine weitere wichtige Verbesserung betrifft die Freigabe von Updates. Bevor er sie im Netz verteilen konnte, musste der Administrator bislang jeden Patch einzeln genehmigen. Bei WSUS ist nun auch die automatische Freigabe von Updates vorgesehen. Dabei lassen sich der Typ des Updates und die Computergruppe wählen, für die die jeweilige Einstellung gültig ist. So könnte man etwa sicherheitsrelevante Updates automatisch auf Arbeitsplatzrechner verteilen und bei allen anderen Typen die Entscheidung, ob sie notwendig sind, dem Administrator überlassen.

Insbesondere zur Fehlersuche ist es wichtig, einen Überblick über den Update-Status aller Rechner im Netz zu erhalten. Was bei vielen Patch-Management-Tools längst Standard ist, ist nun auch mit der Microsoft-Lösung möglich. Die neue Report-Funktion bietet dafür eine nach Updates und eine nach Computergruppen sortierte Anzeige. Die Filtermöglichkeiten sind aber recht bescheiden. Möchte der Administrator etwa eine Anzeige generieren, die alle Windows-2000-Rechner enthält, auf denen ein bestimmtes Office-Hotfix installierte wurde, ist die Reporting-Funktion schon überfordert.

Hinzu kommt, dass die Arbeit mit der behäbigen Web-Oberfläche recht mühsam ist. Jede Abfrage erfordert einen Zugriff auf den SQL Server beziehungsweise die Microsoft SQL Server 2000 Desktop Engine (MSDE), wo WSUS alle Informationen über den Status der Clients speichert. Das führt zu einer Belastung des entsprechenden Servers, die bei einer großen Zahl an Clients nicht unerheblich sein dürfte. Umso misslicher ist es, dass keine Export-Funktion vorhanden ist, um die Daten offline mit einer professionellen Report-Software analysieren zu können.

Überhaupt machte WSUS im Test einen trägen Eindruck. Das liegt aber nicht immer an mangelnder Performance, sondern hat auch konzeptionelle Gründe. Im Gegensatz zu vielen anderen Patch-Management-Lösungen arbeitet WSUS nur nach dem Pull-Prinzip. Die Clients sind es also, die den Update-Server in regelmäßigen Zeitabständen kontaktieren, ihren Update-Status an den Server übermitteln und sich bei Bedarf dann die neuesten Patches herunterladen. Die Konfiguration des entsprechenden Zeitplans erfolgt dabei über Gruppenrichtlinien, deren Verteilung im Netz immer etwas dauert.

Dieses Verfahren hat sicher den Vorteil, dass sich das Patch-Management weitgehend automatisieren lässt, kann sich im Ernstfall aber auch als Nachteil herausstellen. Wenn beispielsweise aufgrund einer aktuellen Wurmepidemie ein Patch möglichst rasch verteilt werden muss, könnte sich die Pull-Methode als zu langsam erweisen. WSUS bietet dem Administrator keine Möglichkeit, per Push-Verfahren Updates im Netz zu verteilen.

Das Pull-Verfahren eignet sich allerdings besser zum Aufbau von Verteilungsstrukturen, die in größeren Netzwerken von Bedeutung sind. WSUS bietet zwei unterschiedliche Konzepte. Bei einer zentralen Struktur repliziert ein WSUS-Server die Computergruppen und die Informationen über freigegebene Updates auf alle weiteren WSUS-Server im Unternehmensnetz, die dann die Verteilung vornehmen. Alternativ ist es auch möglich, eine Hierarchie von WSUS-Servern aufzubauen. Dabei holen sich die so genannten Upstream-Server lediglich die Patches von einem Downstream-Server. Der letzte Downstream-Server in der Hierarchie kontaktiert dann Microsofts Update und lädt von dort die aktuellsten Versionen.

Konzepte dieser Art findet man sonst eigentlich nur bei Enterprise-Systemen zur Softwareverteilung. Obwohl Microsoft WSUS offiziell eher als Lösung für kleine und mittelgroße Unternehmen positioniert, hat der Hersteller noch weitere Features eingebaut, die vor allem in größeren Netzen zum Tragen kommen. Dazu gehört auch die Unterstützung von Delta Delivery. Bei dieser Methode werden lediglich die veränderten Bytes einer zu aktualisierenden Datei übertragen. Dies spart Bandbreite bei der Verteilung im Unternehmensnetz, wenngleich die Update-Datei, die zunächst vom Microsoft-Server herunterzuladen ist, bis zu dreimal so groß sein kann. Schließlich muss sie Informationen über alle möglichen Variationen der zu aktualisierenden Datei speichern. Das Feature kann deshalb auch deaktiviert werden, da sein Einsatz eigentlich nur in großen Netzwerken Sinn gibt.

Ebenfalls der Bandbreitenkontrolle dient der auch in anderen Microsoft-Produkten eingebaute Background Intelligent Transfer Service (Bits). Bits sorgt dafür, dass nur ungenutzte Bandbreite verwendet wird, und ist darüber hinaus in der Lage, abgebrochene Downloads fortzuführen. Davon dürften in erster Linie Außendienstmitarbeiter profitieren, die über eine langsame und unzuverlässige WAN-Verbindung kommunizieren.

Umgang mit Bandbreite

Grundsätzlich ist es auch möglich, Updates gar nicht vom firmeninternen WSUS-Server zu laden, sondern direkt von Microsoft Update. Der Administrator nutzt WSUS bei diesem Szenario dann lediglich, um Updates freizugeben. Leider kann diese Einstellung aber nur für den gesamten WSUS-Server vorgenommen werden und nicht für einzelne Computergruppen. Sollen nur Außendienstmitarbeiter die Updates von Microsofts Online-Service beziehen, muss für diese daher ein eigener WSUS-Server betrieben werden.

Keine Agenten erforderlich

Trotz dieser Einschränkungen bringt WSUS ohne Zweifel einige Verbesserungen gegenüber SUS und wird nun langsam, aber sicher zu einer ernsthaften Konkurrenz für professionelle Patch-Management-Lösungen. Wie bei Microsoft-Produkten üblich, ist es vor allem die enge Integration mit Windows, die WSUS Vorteile bringt. Das betrifft die Konfigurierbarkeit der Clients über Gruppenrichtlinien und die Tatsache, dass die millionenfach erprobte automatische Update-Funktion von Windows als Agent für WSUS genutzt wird. Zumindest bei Rechnern, die mit Windows 2000 SP 3, Windows XP SP 1 oder Windows 2003 laufen, erspart das die Verteilung eines Agenten, die gerade bei den professionelleren Patch-Management-Tools meist erforderlich ist.

Einige dieser Tools bieten jedoch interessante Features, die WSUS noch fehlen. Dazu gehören etwa Funktionen, die die Evaluierung von Updates unterstützen, die Vergabe von Verteilungsprioritäten und die Möglichkeit, weitere Microsoft-Produkte zu aktualisieren. In diesen Bereichen kann die Gates-Company in kommenden Versionen noch nachbessern. (ue)