Video-Tipp: WSUS (Teil 1)

WSUS-Grundlagen für Admins

| Autor / Redakteur: Thomas Joos / Peter Schmitz

Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir in diesem Video-Tipp.
Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir in diesem Video-Tipp. (© ileezhun - stock.adobe.com)

Die Installation von Windows-Updates oder Patches für Microsoft-Produkte möchten Administratoren selten ganz dem Anwendern überlassen. Will man die Updates effizient, zur passenden Zeit und ohne extreme Auslastung der eigenen Internetleitung im Netzwerk verteilen, kommt man um Windows Server Update Services (WSUS) nicht herum. Im ersten Teil der WSUS-Video-Tipp-Serie zeigen wir die wichtigsten Grundlagen für Installation und Einsatz von WSUS.

WSUS wird als Serverrolle installiert. Nach der Installation erfolgt die Verwaltung über eine interne Managementkonsole oder der PowerShell. Die einzelnen Clientcomputer, also Server und Computer werden über Gruppenrichtlinien angebunden. Auf dem WSUS-Server wird festgelegt welche Updates auf dem Server zur Verfügung stehen sollen. Die Clientrechner verbinden sich mit WSUS und laden die Updates entsprechen der Einstellungen herunter, die in den Gruppenrichtlinien gesetzt wurden.

Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir im Video-Tipp und in der Bildergalerie.

WSUS installieren und einrichten

Bei WSUS handelt es sich um eine Serverrolle, die zum Beispiel über Windows Server 2012 R2 und Windows Server 2016 installiert werden kann. Nach der Installation übernimmt der Server noch keinerlei Aufgaben. Zuerst muss der Server konfiguriert werden. Damit die Updates im Netzwerk verteilt werden, müssen die Clients so konfiguriert werden, dass diese Updates nicht mehr aus dem Internet herunterladen, sondern beim WSUS-Server. Der Server selbst ist also der passive Teil der Infrastruktur. Er verteilt die Updates nicht, sondern stellt die Updates den Clients zur Verfügung, die diese vom Server per HTTP oder HTTPS herunterlädt.

WSUS anpassen

Nach der Installation wird die Verwaltungskonsole aufgerufen. Über den Bereich „Optionen“ stehen die wichtigsten Einstellungen zur Verfügung. Bei „Produkte und Klassifizierungen“ wird festgelegt, welche Updates heruntergeladen werden sollen.

Damit Windows 10-Upgrades über WSUS bereitgestellt werden können, muss bei „Produkte und Klassifizierungen“ auch die Option „Upgrades“ auf der Registerkarte „Klassifizierungen“ aktiviert sein. Auf der Registerkarte „Produkte“ sollten die verschiedenen Windows 10-Optionen aktiviert werden. Wichtig ist hier auch die Option „Windows 10 Anniversary Update and Later Servicing Drivers“.

Zeitplan festlegen

Wenn festgelegt wurde, was WSUS herunterladen sollen, und welche Versionen der Produkte unterstützt werden sollen sowie die dazugehörigen Sprachen, muss als nächstes der Zeitplan definiert werden, zu dem die Updates heruntergeladen werden sollen. Die Optionen dazu stehen im Bereich „Optionen\Synchronisierungszeitplan“ zur Verfügung. Hier kann festgelegt werden, dass die Aktualisierungen regelmäßig durchgeführt werden, oder manuell gestartet werden müssen.

Upstream-Server in WSUS nutzen

Setzen Unternehmen mehrere WSUS-Server ein, können diese in den Optionen so konfiguriert werden, dass ein WSUS-Server seine Updates nicht aus dem Internet herunterlädt, sondern bei einem anderen WSUS-Server. Die Einstellungen dazu befinden Sie in den Optionen bei „Updatequelle und Proxyserver“. Im Fenster wird der Servername eingegeben sowie der Port, über den WSUS zur Verfügung steht. Auf dem übergeordneten Server erscheinen die untergeordneten Server im Bereich „Downstreamserver“. Im Rahmen der Einrichtung des untergeordneten Servers kann auch festgelegt werden, dass die Einstellungen vom untergeordneten Server repliziert werden.

Wie man die Windows Server Update Services (WSUS) installiert und welche Optionen bei der Ersteinrichtung besonders wichtig sind, zeigen wir im Video-Tipp und in der Bildergalerie.

WSUS-Grundeinrichtung über Gruppenrichtlinien

Damit WSUS Updates im Netzwerk zur Verfügung stellen kann, müssen Gruppenrichtlinien festgelegt werden, mit denen die Clients so konfiguriert werden, dass sie Updates direkt bei WSUS herunterladen, nicht bei Microsoft aus dem Internet. Die Konfiguration der automatischen Updates in den Gruppenrichtlinien werden in der Gruppenrichtlinienverwaltung unter „Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update“ vorgenommen.

Generell bietet es sich an verschiedene Gruppenrichtlinien zu erstellen. Dadurch lassen sich die verschiedenen WSUS-Einstellungen an die gewünschten Computer verteilen. Arbeitsstationen lassen sich zum Beispiel so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Server laden Updates herunter, installieren aber nicht automatisch.

Die erste Option ist Internen Pfad für den Microsoft Updatedienst angeben. Diese Option muss aktiviert werden. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: http://<Servername>:<Port>. Der Port ist auf der Startseite der Verwaltungskonsole zu sehen.

Die zweite wichtige Option ist das Update-Verhalten, das über „Automatische Updates konfigurieren“ festgelegt wird. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:

  • Vor Herunterladen und Installation benachrichtigen: Mit dieser Option benachrichtigt Windows vor dem Download und vor der Installation der Updates.
  • Autom. Herunterladen, aber vor Installation benachrichtigen: Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist ideal für Server.
  • Autom. Herunterladen und laut Zeitplan installieren: Mit dieser Installation lädt der Client automatisch mit Updates herunter und installiert diese auch automatisch. Die Einstellung wird normalerweise für die Aktualisierung von Arbeitsstationen verwendet.
  • Lokalen Administrator ermöglichen, Einstellung auszuwählen: Mit dieser Option können Administratoren die Einstellungen auf dem jeweiligen Server manuell vornehmen. Die Updates werden aber direkt beim WSUS-Server heruntergeladen.

Clients in der WSUS-Konsole verwalten

Wenn die Clientcomputer angebunden sind, erscheinen sie nach einiger Zeit in der WSUS-Konsole. Hier können auch Gruppen erstellt werden. Für verschiedene Gruppen können auch unterschiedliche Patches freigegeben werden. Über den Menüpunkt Computer sind in der WSUS-Verwaltungskonsole bei Nicht zugewiesene Computer alle angebundenen Rechner zu sehen. Wenn alle Computer zugewiesen sind, können im Assistenten zum Genehmigen von Patches festgelegt werden, auf welchen Computergruppen die Updates freigegeben werden.

Um diese Einstellungen über Gruppenrichtlinien zu steuern, wird zu „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Update“ navigiert. Über die Einstellung „Clientseitige Zuordnung aktivieren“ kann festgelegt werden zu welcher Computergruppe ein Computer zugeordnet werden soll, wenn er an WSUS angebunden wird.

Updates genehmigen und bereitstellen

Erst wenn ein Administrator einen Patch genehmigt, installiert Windows diesen Patch auf Computern, da WSUS diesen erst dann freigibt. In der WSUS-Verwaltungskonsole wird dazu auf „Updates/Alle Updates“ geklickt. Über das Kontextmenü von Updates können diese zur Installation genehmigt werden.

Alle weiteren Teile dieser Video-Tipp-Serie zu Windows Server Update Services (WSUS) finden Sie schnell und einfach über die untenstehende Bildergalerie.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45167081 / Schwachstellen-Management)