Windows Server Update Services (WSUS) einrichten und konfigurieren
Mit Hilfe des Windows Server Update Services bezieht und verwaltet man Updates von der Microsoft-Update-Site zentral. Welche Updates zu welchem Zeitpunkt an welche Client-Gruppen ausgeliefert werden, legt der Administrator fest, so dass diese vorher jeweils unter kontrollierten Bedingungen auf Kompatibilität und unerwünschte Nebenwirkungen getestet werden können.
Durch die Verlagerung des Update-Services in das lokale Netz lässt sich Bandbreite einsparen – nur ein WSUS-Server muss in der Lage sein, die Updates von Microsoft zu beziehen. Andere Downstream-Server können die Updates von diesem erhalten, so dass sich in der Organisation Server-Hierarchien einrichten lassen. Die Verwendung von WSUS gegenüber clientseitigen Einzel-Updates sollte immer dann erwogen werden, wenn eine große Management-Lösung wie SCCM nicht im Einsatz ist.
WSUS: Das gehört dazu
Um einen WSUS-Server zu betreiben, benötigt man neben WSUS selbst noch den IIS sowie eine Datenbank als Kernkomponente, welche die Versionsdaten der Aktualisierungen und die Berichte der Clients verwaltet. WSUS wird im Server-Manager als Rolle installiert, die abhängigen Komponenten vom Server-Manager selbst beziehungsweise im Rahmen des WSUS-Setups installiert und konfiguriert.
Als Datenbanken können dabei die interne Windows-Datenbank oder vorhandene SQL-2005/2008-Server verwendet werden; letztere müssen sich nicht auf der gleichen Maschine befinden wie der WSUS-Server.
Beim Einrichten des WSUS-Servers gibt man im Assistenten gleich an, für welche Sprachen und welche Produkte Updates mit dem Upstream-Server synchronisiert werden sollen. Dies lässt sich später in der WSUS-Verwaltungskonsole jederzeit wieder anpassen.
Computer erfassen und gruppieren
Den Clients macht man den neuen WSUS-Server bekannt, indem man ihnen per GPO den Pfad zum Windows-Update-Server konfiguriert. Dies geschieht in der Richtlinie Computerkonfiguration ? Richtlinien ? Administrative Vorlagen ? Windows-Komponenten ? Windows Update ? Internen Pfad für den Microsoft Updatedienst angeben. Der Client installiert daraufhin beim nächsten Durchlauf von Windows Update eine Aktualisierung der Update-Dienste und ist damit seinerseits dem WSUS-Server bekannt.
In der WSUS-Verwaltungskonsole kann man daraufhin die so gefundenen Computer einzelnen Gruppen zuweisen, je nachdem wie viele Update-Richtlinien es gibt. Denkbar ist etwa eine Unterteilung nach Test- und Produktiv-PCs, wobei die Gruppe der Test-PCs alle Konfigurationstypen der Produktiv-PCs abbilden sollte, damit die Tests sinnvoll sind.
Eine Alternative ist das Setzen der Option „Gruppenrichtlinie oder Registrierungseinstellungen auf Computern verwenden“ unter Optionen ? Computer. Ist sie gesetzt, besorgen die Computer ihre Gruppierung „selbst“, das heißt sie sortieren sich abhängig von den eingetragenen Gruppen in der Richtlinie Computerkonfiguration ? Richtlinien ? Administrative Vorlagen ? Windows-Komponenten ? Windows Update ? Clientseitige Zielzuordnung aktivieren ein. Nach der Client-Erfassung durch den WSUS-Server werden bei der nächsten Synchronisation – nach Zeitplan oder manuell – Updates heruntergeladen und lokal vorgehalten.
Eigene MSU-Pakete kann man nicht per WSUS verteilen. Dies funktioniert nur mit von Microsoft offiziell in den Update-Katalog aufgenommenen Paketen, die man über die Import-Funktion zu seinem WSUS-Server hinzufügen kann.
Updates Computergruppen zuordnen
Je nach Gruppe lassen sich Updates nun genehmigen, also an diese ausliefern, oder ablehnen. Dazu klickt man Dialogfeld „Updates genehmigen“ auf das Symbol neben einer Computergruppe, und anschließend auf „Für die Installation genehmigt“. Die Clients holen sich die Updates im Pull-Verfahren, das heißt sie fragen den WSUS-Server nach neuen Updates ab und installieren diese selbst.
Analog wie Updates genehmigt werden können, lassen sie sich auch ablehnen. Die Einstellungen zum automatischen Genehmigen bestimmter Updates, etwa Virensignaturen oder ähnlich nicht-kritische Komponenten, befinden sich unter Optionen ? Automatische Genehmigungen. Microsoft empfiehlt etwa, Updates zu Windows Update selbst automatisch genehmigen zu lassen.
Die WSUS-Verwaltungskonsole bietet umfangreiche Möglichkeiten, den Zustand der Clients, den Updateverlauf und andere Informationen von den Clients berichten zu lassen und zentral anzuzeigen. Für die meisten Detail-Ansichten muss man zuvor noch den Microsoft Report Viewer 2008 installieren, für diese Komponente geschieht das nicht automatisch.
Downstream-Server und Replikat-Server
Ein Downstream-Server bezieht seine Updates nicht von der Windows-Updates-Site, sondern von einem anderen WSUS-Server. Dieser ist ihn dadurch übergeordnet, da der Downstream-Server keine Updates anbieten kann, die er nicht „von oben“ erhalten hat. Man konfiguriert dies in den Optionen unter „Updatequelle und Proxyserver“. Soll der Downstream-Server auch die Genehmigungen und Updateeinstellungen des Upstream-Servers spiegeln, aktiviert man außerdem „Dieser Server ist ein Replikat des Upstreamservers“. Er ist dadurch in diesen Einstellungen nicht konfigurierbar, sondern übernimmt diese vom übergeordneten WSUS-Server. Die von ihm versorgten Computergruppen kann man jedoch weiterhin auch an einem Replikat-Server konfigurieren.
Nach dem ersten Abgleich eines Downstream-Servers ist dieser bei seinem übergeordneten WSUS-Server bekannt, analog wie dies bei Client-Computern der Fall ist. Unter „Downstreamserver“ sind alle untergeordneten WSUS-Server aufgelistet, so dass man von der übergeordneten Maschine aus deren Zustand prüfen kann.
WSUS per SSL sichern
Steht die WSUS-Infrastruktur in den Grundzügen, sollte sich der Administrator um deren Sicherheit kümmern und deren Administration per SSL konfigurieren. Wichtig zu wissen ist, dass dies nicht die Übertragung der Updates selbst verschlüsselt, dies geschieht im Hintergrund per BITS. Die Verschlüsselung selbst wird auf die Kommunikation zwischen Clients und Server, Up-und Downstream-Server sowie beim Remote-Zugriff auf die Server-Console angewendet.
