Windows Server Update Service

Für das patchen von Clients und Servern in einer Unternehmensumgebung ist der Administrator nicht nur zuständig, er kann auch haftbar gemacht werden wenn wichtige Updates nicht eingespielt werden. Wenn mehr als eine handvoll Systeme regelmäßig aktuallisiert werden müssen ist eine automatisierte Software Lösung früher oder später unumgänglich. Neben einigen Third Party Anbietern stellt auch Microsoft eine ansprechende Lösung zur Verfügung die nebenbei auch noch kostenlos ist. Der WSUS ist eine Neuentwicklung die den SUS Server ablöst der am 06.06.2006
endgültig abgeschaltet wurde. Eine Migration von SUS auf WSUS ist möglich, dazu gibt es entsprechende Artikel in der Knowledge Base.(http://www.microsoft.com/downloads/details.aspx?FamilyId=150E795E-AE32-4D47-A6B8-E01F918AAE93&displaylang=en )

Hardware

Die Mindestvorraussetzung ist bereits mit einem Rechner mit 1 GHz und 1000 MB Ram erfüllt, die Empfehlung ist ein zuverlässiger Server mit 3 GHz (optimal Dualcore) und 1000 MB Ram. Um alle Updates unterzubringen sind 20-50 GB Plattenspeicher erforderlich.

Software

Windows Server 2000 Standard oder höher mit SP4
Windows Server 2003 Standard (nur 32 Bit) oder höher
Small Buisiness Server

Die Installation ist auch auf einem Domänencontroller möglich, einen Memberserver würde ich allerdings dringend empfehlen.
Der SBS ist davon ausgenommen, bei diesem Server ist es vorgesehen das alle Funktionen auf einem System laufen.

Lizenzen

Der WSUS selbst ist Lizenzfrei, es werden lediglich Windows Server Zugriffs-Cals benötigt

Plattform

Das System setzt auf dem Microsoft Update Service auf und unterstützt folgende Software Produkte

Windows Server 2000 ab SP3
Windows Server 2003 (32 Bit)
Windows Server 2003 mit SP1 (64 Bit)
Windows 2000 ab SP3
Windows XP
Office
Exchange
SQL

Die Updates stehen in 25 Client Sprachen und 17 Server Sprachen zur Verfügung.


Installation

Nach der Grundinstallation z.B. eines Windows Server 2003 wird dieser als Anwendungsserver konfiguriert, danach müssen folgende Komponenten nachinstalliert werden:

Internetinformationsdienste (IIS) 6.0 oder höher
Microsoft .NET Framework 1.1 Service Pack 1 für Windows Server 2003 oder höher Intelligenter Hintergrundübertragungsdienst (BITS) 2.0 BITS 2.0 für Windows Server 2003 Windows SQL Server™ 2000 Desktop Engine (WMSDE) (ist im WSUS Setup dabei)
ASP.NET

Die Datei wsus.setup ist nicht auf dem Datenträger enthalten, und muß explizit heruntergeladen werden.
( http://go.microsoft.com/fwlink/?LinkId=24384 )

Die Installation auf einem Domänencontroller ist möglich, wird aber nicht empfohlen. Wird ein DC zu einem Memberserver heruntergestuft muß der WSUS vorher deinstalliert werden.
Wird ein Memberserver zum DC heraufgestuft muß der WSUS ebenfalls vorher deinstalliert werden.

Die Installation selbst ist unkompliziert und verläuft im Assistentenmodus, das einzige was es zu bachten gilt ist die Einrichtung als primären
WSUS oder als untergeordneten Update Server (siehe auch Konfigurationsmöglichketen).
Bei der Einrichtung als untergeordneter WSUS ist es wichtig das der primäre Server im Installationsdialog nur mit dem blanken Namen
angegeben wird ohne jeglichen Zusatz.



Um auf die Administrationskonsole zugreifen zu können muß man in der Gruppe der Administratoren oder der
WSUS Administratoren sein bzw. höhere Gruppenzugehörigkeiten besitzen.
Der Zugriff erfolgt durch Eingabe von http://WSUS-Servername/WSUSAdmin (ggf. mit der Portangabe)

Konfiguration


Das Prinzip

Der WSUS Server holt sich die Updates regelmäßig vom Microsoft Update Service ab, verwaltet und speichert diese lokal und gibt sie an die Clients weiter.
Es gibt allerdings sehr viele Varianten wie man die Toppologie gestalten kann.

WSUS Übersicht

1. Replikationsmodus

Besonders in sehr großen Umgebungen erreicht man damit eine schnellere Verteilung und eine gewiße Redundanz. Ein weiterer bzw. mehrere untergeordnete WSUS Server erhalten von einem Masterserver Replikate und übernehmen auch die Konfiguration. Diese Server dienen im Prinzip nur als zusätzliche Verteilstationen. Diese Konfiguration wird bei der Installation festgelegt und kann nachträglich nicht geändert werden.


2 Disconnect Modus

Hier dient ein Server der keine direkte Verbindung zum Internet hat als Verteilstation, dieser Server erhält seine Updates von einer externen Quelle per Datenträger. Diese Variante ist nicht sonderlich praktikabel
und erinnert eher an EDV zu Fuß.
Für eine Filiale mit einer sehr schwachen Webanbindung kann so eine Aktualisierung durchgeführt werden z.B. mit einer CD
mit Hilfe der Import/Export Funktion.

3. Verwaltungsmodus

Ein Server holt die Updates bei Microsoft und die weiteren WSUS Server synchronisieren sich mit diesem Server, können aber über eine eigenständige Konfiguration verfügen.

Firewall

Damit der WSUS funktionieren kann müssen die Ports 80 (http) und 443 (https) freigeschaltet sein.
Sollte die Unternehmensfirewall nur expliziete Webadressen unterstützen dann kann man mit diesen Ausnahmen arbeiten:

http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com

Gruppenrichtlinien konfigurieren

Damit die Gruppenrichtlinien zur Verfügung stehen muß bei Bedarf erstmal ein template importiert werden.
Ich empfehle aus Gründen der besseren Administration eine eigene Gruppenrichtlinie für WSUS zu entwerfen.
Danach weist man dem Client die Updatequelle und alle spezifischen Einstellungen des Update Service zu, und packt alle Computer die über den WSUS ihre Updates bekommen sollen in eine Organisationseinheit und verknüpft diese mit der GPO.
Zu finden sind die relevanten Gruppenrichtlinien in den administrativen Einstellungen der Computerkonfiguration.

WSUS Einstellungen

Mit der WSUS Konsole arbeiten

Mit dem Browser wird das Webinterface des Admins gestartet, ein sicherer Aufruf ist http://-IP-/-Port-/wsusadmin.

WSUS Einstellungen

Über den Menüpunkt Updates lassen sich komfortabel die Genehmigungen verwalten, hier wird festgelegt ob ein Update installiert, entfernt, abgelehnt oder nur ermittelt wird.
Außerdem offenbart die Übersicht in der Detailansicht eine genaue Beschreibung der Updates, was im Einzelfall sehr nützlich sein kann.

WSUS Update

Für Updates die automatisch genehmigt werden sollen, kann man spezielle Regeln erstellen und diese auch über die Gruppen individuell zuweisen. Mit Hilfe von Klassifizierungen
lassen sich einfach Srukturen und erstellen und automatisch wichtige Updates freigeben.

WSUS Klassifizierungen

Welche Updates angezeigt werden kann man in einer benutzerdefinierten Ansicht einstellen.

Ansicht anpassen

Jedes Update kann explizit freigegeben werden, und für jede Gruppe speziell konfiguriert werden.

Updates genehmigen

Unter Berichte kann man sich die zahlreichen Infos anschauen die man auch sehr detailliert konfigurieren kann. Durch dieses Feature eignet sich der WSUS auch hervorragend für Auswertungen und Reporting.

Updates

Unter dem Aufruf der Einstellungszusammenfassung kannman die gesamte Konfiguration des Update Servers einsehen und diese auch bei Bedarf ausdrucken.

Bericht

Unter dem Menüpunkt Computer kann man sich für jeden Client einen Status und die Details anschauen. Außerdem lassen sich in diesem Screen auch die Computergruppen generieren, und einzelne Computer in die gewünschten Gruppen verschieben.

Berichte

Die Anzeige Status zeigt an welche Updates bereits installiert sind, noch ausstehen oder nicht erforderlich sind.

Installierte Updates

So detailliert kann man für jeden einzelnen Computer seinen speziellen Update Status einsehen. Die Updates und der Status lassen sich noch einmal erweitern, um alle Details einsehen zu können.

Status

Man kann über diesen Dialog einstellen ob man seine Computer über den WSUS oder über Gruppenrichtlinien strukturiert, bei größeren Umgebungen mit mehreren tausend Rechnern ist die Verwaltung über Gruppenrichtlinien weitaus praktikabler.

Computeroptionen

Das erstellen von Gruppen ist mit wenigen Mouseklicks gemacht.

Neue Gruppe

Individuelle Erweiterbarkeit

Für Programmierfreaks denen die Weboberfläche nicht zusagt stehen API´s zum Download bereit die vielfälltige Möglichkeiten bieten. Der Sourcecode wird mitgeliefert.
http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx

Troubleshooting

Client manuell aktuallisieren

Um einem Client sofort nach Updates zu suchen lassen gibt man auf der Konsole den Befehl
wuaucllt.exe /detectnow ein.

WSUS funktioniert nicht

Bei Problemen empfehle ich die Verwendung von 2 Diagnostic Tools um den Fehler leichter zu finden.

1. Server Diagnostic Tool
2. Client Diagnostic Tools

Mit diesen Tools lassen sich die einzelnen Funktionen komfortabel abprüfen, was eine große Hilfe ist.

Infos und Downloads findet man unter:
http://www.microsoft.com/windowsserversystem/updateservices/downloads/default.mspx

WSUS Verzeichniss nachträglich ändern

Es kann notwendig sein das man aus verschiedenen Gründen das WSUS Verzeichniss ändern muß, um eine Neuinstallation zu umgehen kann man das integrierte Komandozeilentool wsusutil verwenden, mit dem Befehl
wsusutil help movecontent kann man die

Patche können nicht entfernt werden

Bei älteren Patchen ist das entfernen unter Umständen nicht möglich, da nur Patche die bereits den Windows Installer 3.1 unterstützen dieses Feature mitbringen.

Manche Clients rebooten unaufhörlich nach der Patchverteilung

Microsoft macht dabei fehlerhafte Biosversionen verantwortlich, ein flashen des Bios kann Abhilfe schaffen.

Die Option Installation beim herunterfahren ist in den GPO´s aktiviert funktioniert aber bei manchen Clients nicht
Dieses Feature erfordert mindestens Windows XP SP2 bzw, Windows Server 2003 SP1.

Automatic Update Client manuell reinstallieren

Wenn ein Client partout nichts vom WSUS annehmen will, kann es helfen eine manuelle reinstallation durchzuführen. Am besten macht man dies mit der Eingabeaufforderung

Bei Windows XP mit SP2 lautet der Befehl:

rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %systemroot%\inf\au.inf


Bei Windows 2000 oder Windows XP lautet der Befehl:

rundll32.exe setupapi,InstallHinfSection AutoUpdate 132 %systemroot%\inf\au.inf





SUS auf WSUS migrieren

Der WSUS ist mit seinem Vorgänger nicht kompaktibel, wer seine Struktur übernehmen will muß mit dem integrierten Programm WSUSUtil.exe arbeiten, das derzeit nur für 32 Bit Systeme verfügbar ist.
Zu finden ist das Tool unter Update Services\Tools im WSUS Verzeichnis.
Es stehen folgende Parameter zur Auswahl:

WSUSUtil.exe export
Exportiert Updatemetadaten (keine Inhaltsdateien, Genehmigungen oder
Servereinstellungen) in eine Exportdatei. Diese Datei kann in einen anderen WSUS Server importiert werden

WSUSUtil.exe export Paket Protokolldatei
Paket = Pfad und Dateiname der zu erstellenden Paketkabinettdatei.
Protokolldatei = Pfad und Dateiname der zu erstellenden Protokolldatei

WSUSUtil.exe import
Importiert die Metadaten von einem anderen WSUS Server.
import Paket Protokolldatei

WSUSUtil.exe migratesus
migriert Genehmigungen von SUS auf WSUS
Der Parameter /help zeigt alle Varianten.

WSUSUtil.exe movecontent
Ändert den Pfad auf dem die WSUS Inhalte gespeichert werden
WSUSUtil.exe movecontent Inhaltpfad (neuer Pfad) Protokolldatei (Pfad und Dateiname der zukünftigen Protokolldatei)
[-skipcopy] (Serverkonfiguration wird geändert, aber die Inhaltdateien bleiben wie gehabt)

WSUSUtil.exe reset
Fehlender oder fehlerhafter Inhalt wird geprüft und bei Bedarf wiederhergestellt.

WSUSUtil.exe deleteunneededrevisions
löscht überflüssige Einträge in der Datenbank

WSUSUtil.exe listinactiveapprovals
zeigt inaktive Updates an

WSUSUtil.exe removeinactiveapprovals
Entfernt Genehmigungen bei permanent inaktiven Updates


Ähnliche Beiträge

Hinterlasse ein Kommentar

Name
E-Mail
Sedo - Domains kaufen und verkaufen das Projekt pqtuning.de steht zum Verkauf Besucherstatistiken von pqtuning.de etracker Web-Controlling statt Logfile-Analyse