windows-server-2008_8x6

 

 

 

WSUS ist die Abkürzung für Windows Server Update Services. Bei WSUS handelt es sich um eine Rolle für den Windows Server. WSUS bietet die Möglichkeit den Updatestatus der Computer einzusehen und neue Updates zur Installation zu genehmigen.

Durch eine Gruppenrichtlinie werden die Computer angewiesen ihre Updates nicht von den Microsoft Update Servern zu beziehen sondern vom lokalen WSUS. Die Clients melden sich beim WSUS und übermitteln ihren Updatestatus. Die Berichte werden übersichtlich angezeigt, der Updatestatus jedes einzelnen Clients lässt sich so leicht überwachen.

Funktionsweise

WSUS synchronisiert sich regelmäßig mit den Microsoft Update Servern und zeigt neue Updates an. Erst wenn diese Updates genehmigt werden, beginnt der einmalige Download der Updates von den Microsoft Update Servern auf den WSUS. Sobald ein Computer sein Status an den WSUS übermittelt und neue Updates zur Verfügung stehen, lädt der Computer die Updates vom WSUS. Der Benutzer wird über neue Updates benachrichtigt.

Installation und Konfiguration

In drei Schritten wird die Installation von WSUS auf einem Windows Server 2008 R2 beschrieben. Dabei muss es sich nicht um einen eigenständigen Server für WSUS handeln. Der Server kann gleichzeitig als Domänencontroller, Dateiserver, etc. dienen. In dieser Anleitung wird der WSUS auf dem Server “s1″ installiert.

WSUS installieren

Die Windows Server Update Services (WSUS) verteilen Microsoft Updates im lokalen Netzwerk. Der WSUS-Server lädt die Updates einmalig von den Microsoft Update-Servern herunter und stellt diese allen Clients im Netzwerk zur Verfügung. Die Clients laden die Updates direkt vom lokalem Server im Netzwerk. Dadurch wird u.a. die Internetverbindung geschont, da nicht jeder Client einzeln die Updates von den Microsoft-Servern lädt.

Um WSUS zu installieren im Server-Manager den Punkt Rollen hinzufügen auswählen. In der Liste die neue Rolle Windows Server Update Services (WSUS) auswählen.

clip_image001

WSUS benötigt den Webserver (IIS). Dies mit einem Klick auf Erforderliche Features hinzufügen bestätigen.

clip_image002

Mit einem Klick auf Weiter zum nächsten Schritt.

clip_image003

Der Assistent gibt einen Einblick in den Ablauf der Installation und Konfiguration des Webserver (IIS).

clip_image004

Die benötigten Dienste sind bereits Ausgewählt. Dies mit einem Klick auf Weiter übernehmen.

clip_image005

Der Assistent gibt einen Einblick in den Ablauf der Installation und Konfiguration von WSUS.

clip_image006

Die zu installierenden Programme werden aufgelistet. Mit einem Klick auf Installieren wird die Installation gestartet.

clip_image007

Die Willkommensmeldung des Assistent zum Installieren des WSUS-Servers mit einem Klick auf Weiter zur Kenntnis nehmen.

clip_image008

Die Lizenzbedingungen müssen bestätigt werden.

clip_image009

WSUS speichert die heruntergeladenen Updates auf der Festplatte. Verfügt der Server über eine weitere Festplatte oder Partition, ist es empfehlenswert diese auszuwählen.

clip_image010

WSUS benötigt eine Datenbank um die Updates und Computerberichte verwalten zu können.

clip_image011

Es empfiehlt sich nicht die Standardwebsite zu verwenden. Möchte man später auf dem Server eine Website betreiben, wäre dies nicht möglich. Daher die Option Neue Windows Server Update Services 3.0 SP2-Website erstellen auswählen.

clip_image012

Die Konfigurationsdaten sind wichtig für die spätere Clientkonfiguration. Die Daten sollte man sich notieren oder ein Screenshot anfertigen.

clip_image013

Mit einem klick auf Fertig stellen wird der Installationsvorgang gestartet. Dieser kann mehrere Minuten dauern.

clip_image014

Die Installation des WSUS-Servers ist beendet.

clip_image015

Mit einem Klick auf Fertig stellen wird der Assistent für die Konfiguration des WSUS-Servers gestartet. Die Vorbemerkungen mit einem Klick auf Weiter zur Kenntnis nehmen.

clip_image016

Entscheiden, ob man am Programm zur Verbesserung von Microsoft Update teilnehmen möchte.

clip_image017

Der Updateserver gibt an, von welchem Server WSUS die Updates empfängt. Da es sich um den ersten WSUS handelt, die Option Von Microsoft Update synchronisieren auswählen.

clip_image018

Falls im Netzwerk ein Proxyserver zum Internetzugriff zum Einsatz kommt, diesen hier eingeben.

clip_image019

WSUS muss Informationen über verfügbare Updates, Produkte und Sprachen abrufen. Dies geschieht mit einem Klick auf Verbindung starten. Dieser Vorgang dauert ungefähr 20 Minuten.

clip_image020

Im nächsten Schritt die Sprachen auswählen. Ich empfehle hier nur Deutsch zu wählen. Da sich die Größe der Updates mit jeder Sprache stark zunimmt. Falls Microsoft Produkte mit anderen Sprachen zum Einsatz kommen, kann dies später konfiguriert werden.

clip_image022

Die Produkte auswählen, für Welche Updates bereitgestellt werden sollen. Hier empfehlt es sich nur die im Einsatz befindlichen Produkte zu wählen.

clip_image024

Die Klassifizierungen auswählen. Ich habe gute Erfahrungen gemacht alle Klassifizierung außer Treiber zu wählen.

clip_image026

Auswählen, wann und wie oft WSUS sich mit dem Microsoft Update Server synchronisieren soll, um Informationen über neue Updates zu erhalten. Ein bis Zweimal am Tag sollte dabei absolut ausreichend sein. Schließlich veröffentlicht Microsoft nicht täglich neue Updates.

clip_image027

Erstsynchronisation starten auswählen. Die Konfiguration mit einem Klick auf Weiter beenden.

clip_image028

Der Assistent gibt einen Einblick in die nächsten Konfigurationsschritte.

clip_image029

Die Erstsynchronisation wird nun durchgeführt. Dies dauert ungefähr eine halbe Stunde.Während der Synchronisation nimmt die Systemleistung spürbar zu.

 

WSUS konfigurieren

Nachdem im ersten Teil WSUS installiert wurde,  werden jetzt die Updates für die Verteilung an die Clients genehmigt.

Dazu die WSUS Konfiguration unter Start/Verwaltung/Windows Server Update Services aufrufen. In der linken Spalte auf den Servername (s1) klicken und Updates/Alle Updates auswählen.

In der Filterleiste Status Alle auswählen und Aktualisieren klicken. Es werden alle Updates für die im ersten Teil ausgewählten Sprachen und Produkte angezeigt. Diese Updates müssen genehmigt werden, damit diese heruntergeladen und an die lokalen Clients verteilt werden können. Dazu alle Updates mit Strg+A auswählen und in der linken Spalte im Bereich Update auf Genehmigen… klicken.

Die Updates sollen allen Clients zur Verfügung gestellt werden. Dazu auf das Symbol vor Alle Computer klicken und Für die Installation genehmigt auswählen.

Es erscheinen mehrere Lizenzmeldungen. Diese müssen zur Kenntnis genommen werden.

Die Genehmigung aller Updates kann ein paar Minute dauern.

WSUS beginnt nun mit dem Download der Updates. In diesem Beispiel sind dies 9,9 GB.

Damit die Clients den WSUS-Server für Updates benutzen, muss diesen bekannt sein, das im lokalen Netzwerk ein WSUS-Server vorhanden ist. Dies wird im dritten Teil mit einer Gruppenrichtlinie konfiguriert.
WSUS Gruppenrichtlinie für Clients erstellen

Damit Clients Updates über WSUS beziehen, muss dieser ihnen bekannt sein. Dazu wird eine Gruppenrichtlinie angelegt. Die Gruppenrichtlinienverwaltung unter Start/Verwaltung/Gruppenrichtlinienverwaltung öffnen. Die Domäne (myad.local) wählen. Mit einem Rechtsklick den Punkt Gruppenrichtlinienobjekte hier erstellen und verknüpfen… auswählen.

clip_image001

Dem neuen Gruppenrichtlinienobjekt einen entsprechenden Namen geben. Z.B. WSUS.

clip_image002

Das neue Gruppenrichtlinienobjekt mit der rechten Maustaste auswählen und den Punkt Bearbeiten… wählen.

clip_image003

Der Gruppenrichtlinienverwaltung-Editor wird geöffnet. Im Menü die Einstellungen für Windows Update unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update aufrufen.

clip_image004

Die Einstellung Automatische Updates Konfigurieren auswählen und die Richtlinie Aktivieren. Standardmäßig ist der Punkt 3 Autom. Herunterladen, aber vor Installation benachrichtigen ausgewählt. Dieser ist empfehlenswert, da die Updates auf den lokalen Client heruntergeladen wird und der Benutzer frei entscheiden kann, wann er die Updates einspielen möchte. Da der Hinweis zur Installation beim Herunterfahren des Computers erscheint, werden die meisten Benutzer diese Möglichkeit wahrnehmen.

clip_image005

Die Richtlinie Internen Pfad für den Microsoft Updatedienst angeben anrufen. Die Richtlinie aktivieren und unter Interner Updatedienst zum Ermitteln von Updates und Intranetserver für die Statistik die URL des WSUS (in Schritt 1 konfiguriert) angeben.

clip_image006

Die Richtlinie Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind kann Aktiviert werden, damit Benutzer nach der Installation von Updates nicht zum Neustart gezwungen werden.

clip_image007

Die Richtlinie Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten aktivieren, damit Benutzer ohne Administratorenrechte Updates installieren können.

clip_image008

Damit ist die Installation und Konfiguration der Windows Update Services abgeschlossen. Die Clients melden ihren Updatestatus an den WSUS-Server und erhalten von diesem ihre Updates.

 

ein Blog von Christian Moritz – mntechblog.de