Windows Server Update Services 3.0 SP2 (WSUS) läuft problemlos auf Systemen mit Windows Server 2008 R2 und Small Business Server 2011. WSUS wird über ein Snap-In verwaltet, und es lässt sich auf Arbeitsstationen von IT-Administratoren installieren. Der Dienst verbindet sich mittels eines Internet Information Services (IIS) mit dem WSUS-Server. Der integrierte E-Mail-Benachrichtigungsdienst macht die Softwarekomponente für Operatoren attraktiv. Das Programm versendet WSUS-Berichte an vorher festgelegte E-Mail-Adressen von Administratoren im Unternehmen und informiert diese so über neue Updates.
Windows Server Update Services (WSUS)
WSUS wird folgendermaßen unter Windows Server 2008 R2 eingesetzt: Sie starten den Server Manager und installieren die Rolle Windows Server Update Services (WSUS). Es ist wichtig, dass Sie den Dienst nicht konfigurieren sondern nur den Server-Dienst installieren. Der Rechner lädt die Installationsdateien aus dem Internet herunter. Wenn alle Dateien abgespeichert sind, beginnt der Installationsassistent. Nach dessen Fertigstellung akzeptieren Sie die Lizenzbedingungen.
Die Berichte werden mittels Microsoft Report Viewer Redistributable 2008/2010 angezeigt. Fehlt dieser Dienst auf dem Windows Server, kann es zu Fehlern kommen. In diesem Fall installieren Sie WSUS abermals und starten das Programm erneut. Jetzt geht die Berichtsansicht.
Als nächstes geben Sie an, wo Sie die Installationsdateien der Patches abspeichern wollen. Danach ist der SQL-Server für die WSUS- Konfigurationsdaten und Berichte auszuwählen. Falls Ihr Unternehmen einen SQL-Server verwendet, legen Sie auf diesem eine separate Instanz oder Datenbank für den Update-Dienst an. Es kann auch die interne Datenbank von Windows Server 2008 R2 oder SQL Server 2008 R2 Express Edition als Datenbank angegeben werden. Die Express Edition ist eine kostenlose Datenbank-Plattform mit einem Speichervolumen von 10 GB.
Im Anschluss prüft der Installations-Assistent die Verbindung zur angegebenen Datenbank. Im nächsten Schritt fertigen Sie die Website für die Administration von WSUS an. Die Site ist auch für die Verbindung zum Verwaltungsprogramm zuständig. Nachdem die Installation beendet ist, fängt der Assistent automatisch mit der Konfiguration der Softwarekomponente an.
WSUS konfigurieren
Während der Einrichtung sehen Sie bereits, wie viele Produkte und Komponenten WSUS 3.0 unterstützt. Im Rahmen der Einrichtung mit dem Assistenten wählen Sie aus, für welche Produkte WSUS Patches herunterladen und bereitstellen soll. Auf der ersten Seite des Assistenten erhalten Sie zunächst allgemeine Informationen über die Voraussetzungen in der Infrastruktur.
So muss ein WSUS-Server eine Verbindung zum Internet oder zu anderen WSUS-Servern herstellen können, um die Clients mit Sicherheits-Patches zu versorgen.
Setzen Sie im Unternehmen mehrere WSUS-Server ein, können Sie einen einzelnen als Upstreamserver konfigurieren. Ein Upstream-Server lädt die Patches aus dem Internet und stellt sie anderen WSUS-Servern bereit.
Im Anschluss legen Sie fest, ob der WSUS-Server eine eigenständige Verbindung zum Internet besitzt oder die Verbindung über einen Proxyserver aufbaut. Erst nach einem erfolgreichen Verbindungsaufbau lässt sich der Assistent fortsetzen. Wenn Sie eine interne Firewall einsetzen oder WSUS in einer DMZ steht, müssen Sie den Port 80 (HTTP) zu diesem Server öffnen, damit sich der Client-Computer mit dem Server verbinden können.
WSUS muss zusätzlich mit den beiden Ports 80 und 443 eine Verbindung ins Internet herstellen können. Soll WSUS nur auf die Seiten im Internet Zugriff erhalten, wo die Updates heruntergeladen werden, können Sie die Firewall so konfigurieren, dass WSUS nur zu den Seiten Verbindung aufnehmen kann, die Microsoft zum Übertragen von Patches benötigt. Dazu müssen Sie in der Firewall folgende Seiten freischalten; alle anderen Seiten können Sie blockieren:
• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://*.windowsupdate.com
• http://download.windowsupdate.com
• http://download.microsoft.com
• http://*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com
Detailkonfiguration und Bereinigung
Als Nächstes wählen Sie aus, in welchen Sprachen die Patches zur Verfügung stehen sollen. Unternehmen, die nur eine Sprachversion von Windows einsetzen, wählen hier die entsprechende Sprache aus. Setzen Sie mehrere Sprachen ein, kann WSUS auch für diese Sprachen die entsprechenden Updates herunterladen. In einem weiteren Fenster wählen Sie aus, welche Produkte WSUS aktualisieren soll. Aktivieren Sie in diesem Fenster alle Produkte, die Sie im Unternehmen einsetzen.
Im nächsten Fenster des Assistenten konfigurieren Sie, welche Art von Patches für die ausgewählten Produkte WSUS bereitstellen soll. Grundsätzlich bietet es sich an, alle Klassifizierungen auszuwählen.
Im folgenden Schritt des Assistenten legen Sie fest, wann sich der WSUS-Server mit dem Internet oder anderen WSUS-Servern synchronisieren soll. Zum Abschluss der Konfiguration starten Sie die Verwaltungskonsole und die erste Synchronisierung. Über den Eintrag Synchronisierungen in der Verwaltungskonsole sehen Sie, ob der Vorgang erfolgreich war. Mit dem neuen Server Cleanup Wizard können Sie WSUS bereinigen.
Auf diesem Weg können Sie zum Beispiel Updates für Produkte, die Sie im Unternehmen nicht mehr einsetzen, oder alte Versionen vom Server löschen. Über den Assistenten zur Bereinigung können Sie darüber hinaus PCs aus der Datenbank löschen, die sich nicht mehr am WSUS angemeldet haben. Veraltete oder abgelehnte Updates lassen sich so löschen und weitere Bereinigungsmaßnahmen durchführen. Ein Assistent führt durch diese Bereinigung, sodass keine unnötigen Daten auf dem Server verbleiben. Diesen Assistenten starten Sie in der Konsolenstruktur über den Eintrag Optionen und einen Klick auf Assistent für die Serverbereinigung.
Anbindung der Client-Computer über Gruppenrichtlinien
WSUS 3.0 scannt heruntergeladene Updates und referenziert diese automatisch mit den verbundenen Clients. Einstellungen können Sie über Gruppenrichtlinien verteilen. Damit die Clients Updates installieren, müssen diese so konfiguriert sein, dass sie keine Patches aus dem Internet herunterladen, sondern den internen WSUS verwenden.
WSUS verteilt die Patches nicht automatisch an die Clients, sondern lädt die Aktualisierungen nur aus dem Internet herunter und stellt diese bereit. Die Clients holen die Patches selbst vom WSUS-Server und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien. Um Arbeitsstationen und Server mit Patches zu versorgen, erstellen Sie am besten spezielle Gruppenrichtlinien: Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie in der Gruppenrichtlinienverwaltung von Windows Server 2008 R2 unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update vor.
Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Die Gruppenrichtlinie für die Server lässt sich so einrichten, dass Server Patches herunterladen, aber nicht automatisch installieren, sondern zur Installation anzeigen. Grundsätzlich lässt sich die Konfiguration der automatischen Updates in drei Bereiche untergliedern:
• Automatisches Herunterladen der Patches vom WSUS auf den Rechner, aber keine Installation, nur die Meldung, dass Patches vorhanden ist. Diese Einstellung ist für Server empfohlen.
• Meldung, dass neue Patches auf dem WSUS zur Verfügung stehen, aber kein Herunterladen der Patches auf den lokalen Computer.
• Automatisches Herunterladen und automatische Installation der Patches. Dies ist die optimale Einstellung für Arbeitsstationen.
Ordnung per Organisationseinheiten
Für jede Organisationseinheit (OU) in der Windows-Domäne und der zugrunde liegenden Richtlinie können Sie gesonderte Einstellungen vornehmen. Wenn Sie PCs oder Server in die entsprechende OU verschieben, sind die Geräte anhand der Konfiguration automatisch mit den entsprechenden Patches versorgt. Gehen Sie bei der Untergliederung am besten folgendermaßen vor:
1. Erstellen Sie eine OU, in der Sie die Server aufnehmen. Belassen Sie die Domänencontroller aber in der OU Domain Controllers, da es für diese OU bereits eine spezielle Richtlinie für Domänencontroller gibt (Default Domain Controller Policy).
2. Erstellen Sie eine OU für die Arbeitsstationen. Diese OU kann beliebig viele weitere Unter-OUs enthalten, die Konfigurationen für die Windows-Updates nehmen Sie für die oberste OU vor.
3. Erstellen Sie zwei Gruppenrichtlinien, eine für die Server und eine für die Arbeitsstationen.
4. Führen Sie die Einstellungen für die automatischen Updates in den Gruppenrichtlinien durch.
5. Verknüpfen Sie die Gruppenrichtlinie für die Server mit der OU für die Server und der OU Domain Controllers.
6. Verknüpfen Sie die Gruppenrichtlinie für die Arbeitsstationen mit der OU, in der sich die Arbeitsstationen befinden.
Navigieren Sie zur Konfiguration zu den Einstellungen der automatischen Updates unter Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update. Hier nehmen Sie die notwendigen Einstellungen vor, durch die sich die Clients später automatisch vom WSUS-Server aktualisieren:
Die erste Option ist Internen Pfad für den Microsoft Updatedienst angeben. Diese Option aktivieren Sie. Da WSUS eine Webapplikation ist, müssen Sie den Servername mit einer HTTP-Adresse angegeben: http://<Servername>.
Update-Verhalten festlegen
Die zweite wichtige Option ist das Update-Verhalten, das Sie über Automatische Updates konfigurieren festlegen. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:
• Vor Herunterladen und Installation benachrichtigen - Mit dieser Option benachrichtigt Windows Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.
• Autom. Herunterladen, aber vor Installation benachrichtigen - Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server.
• Autom. Herunterladen und laut Zeitplan installieren - Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung
• Lokalen Administrator ermöglichen, Einstellung auszuwählen - Mit dieser Option lassen Sie zu, das lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung die Konfiguration selbst auswählen können.
Ebenfalls interessant ist die Funktion, die Energieverwaltung von Windows Vista und Windows 7 zusammen mit der Anbindung an den WSUS über Gruppenrichtlinien zu steuern. Der PC reaktiviert sich dazu automatisch, wenn Windows Update zur automatischen Installation von Updates konfiguriert ist. Wenn sich das System zum Zeitpunkt der geplanten Installation im Ruhezustand befindet, startet das System mit dem Windows-Energieverwaltungs-Feature automatisch, um die Updates zu installieren. Wenn sich das System zum Zeitpunkt der Reaktivierung im Akku-Betrieb befindet, installiert Windows aber keine Updates.
Mit Gruppen arbeiten
In der Systemsteuerung auf den Clients und Servern erhalten Sie Hinweise, wenn Einstellungen zentral durch Gruppenrichtlinien vorgegeben sind. Durch die Einstellung Clientseitige Zielzuordnung in den Richtlinieneinstellungen geben Sie die WSUS-Gruppe ein, in der sich der Client am WSUS anmelden soll.
Dazu müssen Sie in der Verwaltung auf dem WSUS entsprechende Gruppen anlegen. Da ein Computer Mitglied mehrerer Gruppen in WSUS 3.0 sein darf, können Sie in der Gruppenrichtlinie auch mehrere Gruppen angeben. Trennen Sie die Bezeichnung durch ein Semikolon (;). Basierend auf diesen Gruppen können Sie in der WSUS-Verwaltung konfigurieren, welche Patches auf den einzelnen Computern der Gruppe installiert werden.
Es gibt zwei Standardcomputergruppen: Alle Computer und Nicht zugeordnete Computer. Das Erstellen von Computergruppen bietet den Vorteil, dass Sie Updates vor der Bereitstellung testen können. Neben der Möglichkeit der Konfiguration per Gruppenrichtlinie können Sie Clients auch manuell in der Verwaltungskonsole der Windows Server Update Services in die Gruppen aufnehmen. Generell ist eine Automatisierung aber immer am besten, da Sie so bereits durch die Zuordnung eines Clients zu seiner OU festlegen, welche Patches er erhält.
Problemlösungen bei der Client-Anbindung
Nach der Konfiguration der Gruppenrichtlinie kann es eine Weile dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche des WSUS erscheinen. Auf den einzelnen Rechnern können Sie in der Befehlszeile durch Eingabe des Befehls
wuauclt.exe /detectnow
eine sofortige Verbindung zum WSUS erzwingen. Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows unter Umständen die Gruppenrichtlinie noch nicht angewendet. In diesem Fall können Sie mit dem Befehl
gpupdate /force
das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen. Mit Standardmitteln lässt sich nicht ohne Weiteres überprüfen, ob eine gesetzte Gruppenrichtlinie bei den Clients im Netzwerk auch ankommt und diese die Einstellungen auch übernehmen, die Sie in Gruppenrichtlinien gesetzt haben. Der einzige Weg besteht über die Überwachung der Ereignisanzeige und das Auswerten entsprechender Fehlermeldungen.
Administratoren können auf der Seite von SDMSoftware das kostenlose CMDlet Group Policy Help herunterladen. Nachdem Sie das CMDlet in die PowerShell eingebunden haben, können Sie mit dem Befehl
Get-SDMGPHealth -computer <Computername>
überprüfen, ob gesetzte Gruppenrichtlinien funktionieren. Dazu verbindet sich das Tool mit dem Zielrechner, auf Wunsch auch mit mehreren, und überprüft, ob der Ablauf von Richtlinien auf dem entsprechenden Computer funktioniert.
Sollten einige Rechner auch nach dieser Zeit nicht angezeigt werden, versuchen Sie folgende Problemlösung:
1. Auf dem Computer, der nicht im WSUS angezeigt wird, benennen Sie die Datei \windows\system32\wuaueng.dll in wuaueng.old um.
2. Kopieren Sie danach die Datei wuaueng.dll des WSUS-Servers aus dem gleichen Verzeichnis auf den fehlenden Computer.
3. Starten Sie diesen Computer neu.
4. Nach dem Anmelden sollten die Dateien, die mit wu* beginnen, im Verzeichnis \Windows\system32 ebenfalls aktualisiert sein.
5. Geben Sie in der Befehlszeile den Befehl wuauclt.exe /detectnow ein.
Sollte das nicht funktionieren, können Sie noch im Registry-Schlüssel HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/WindowsUpdate die Einträge für den WSUS löschen. Anschließend geben Sie den Befehl
wuauclt /detectnow /reauthorization
ein. Mit dem kostenlosen Zusatz-Tool WSUS DETECTNOW 2.0 von der Internetseite http://www.wsus.de/ können Sie das Herunterladen von Aktualisierungen auf dem Client manuell starten.
Außerdem lässt sich mit dem Tool eine neue ID für den Client erzeugen, falls die Anbindung nicht funktioniert. Ein ebenfalls wichtiges Hilfsmittel für die Diagnose von Client-Problemen ist das WSUS Client Diagnostics Tool von Microsoft. Es ermittelt in der Befehlszeile, ob die Anbindung an den Server funktioniert, und teilt eventuelle Probleme mit.
Updates genehmigen und bereitstellen
WSUS lädt die konfigurierten Updates, basierend auf den vorgenommenen Spracheinstellungen, Produkten und Klassifizierungen, aus dem Internet herunter, installiert diese aber nicht automatisch. Erst wenn ein Administrator einen Patch genehmigt, installiert Windows diesen Patch auf Computern.
Über die Optionen in der WSUS-Verwaltung können Sie Regeln erstellen, über die Sie Updates automatisch zur Installation auf den verschiedenen Computergruppen genehmigen. Updates können Sie aber auch manuell oder in Gruppen genehmigen oder ablehnen. Es besteht zum Beispiel die Möglichkeit, Updates zunächst für Testcomputer freizugeben und anschließend über die Berichte zu kontrollieren, ob die Aktualisierung erfolgreich war. Ist dies der Fall, können Sie die entsprechenden Updates für andere Computergruppen oder alle Clients freigeben. Um Updates zu genehmigen, gehen Sie folgendermaßen vor:
1. Klicken Sie in der WSUS-Verwaltungskonsole auf Updates. Anschließend sehen Sie eine Zusammenfassung der Updates, die auf dem Server verfügbar sind.
2. Wählen Sie in der Liste die Updates aus, die Sie zum Installieren genehmigen möchten. Die Ansicht können Sie entsprechend filtern. Wählen Sie ein Update aus, sehen Sie im mittleren Bereich der Konsole ganz unten ausführliche Informationen.
3. Klicken Sie mit der rechten Maustaste auf den Patch oder die Patches, und wählen Sie im Kontextmenü den Befehl Genehmigen aus.
Wählen Sie die Gruppen aus und klicken auf den Pfeil links neben der Gruppe. Sie können jetzt unter verschiedenen Optionen auswählen: Für die Installation genehmigt, Zur Entfernung genehmigt, Nicht genehmigt, Stichtag, Identisch mit übergeordnetem Objekt und Für untergeordnete Elemente übernehmen. Klicken Sie auf die Option Für die Installation genehmigt und anschließend auf OK. Wie Sie aus dem Menü erkennen können, kann WSUS 3.0 installierte Patches auch wieder deinstallieren, wenn diese zum Beispiel mit speziellen Applikationen Probleme bereiten.
Berichte mit WSUS abrufen
Ab 24 Stunden nach der Freigabe von Patches können Sie in den Berichten zum WSUS überprüfen, ob die Updates auf den Computern bereitgestellt wurden.
Wollen Sie mit Berichten arbeiten, muss auf dem Server das Tool Microsoft Report Viewer Redistributable 2008/2010 installiert sein. Um Update-Berichte anzuzeigen, gehen Sie folgendermaßen vor:
1. Klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf Berichte.
2. Klicken Sie auf die Option Updatestatus-Zusammenfassung.
3. Die Liste kann durch entsprechende Kriterien gefiltert werden.
4. Klicken Sie anschließend in der Symbolleiste des Fensters auf Bericht erstellen.
5. Berichte können Sie auch als Excel-Tabelle oder PDF-Datei speichern oder drucken.
Weitere Informationen, Anleitungen und Hilfen finden Sie auf den folgenden Internetseiten:
• http://blogs.technet.com/wsus
• http://www.wsus.info (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)