WSUS ist die Abkürzung für Windows Server Update Services. Bei WSUS handelt es sich um eine Rolle für den Windows Server. WSUS bietet die Möglichkeit den Updatestatus der Computer einzusehen und neue Updates zur Installation zu genehmigen.
Durch eine Gruppenrichtlinie werden die Computer angewiesen ihre Updates nicht von den Microsoft Update Servern zu beziehen sondern vom lokalen WSUS. Die Clients melden sich beim WSUS und übermitteln ihren Updatestatus. Die Berichte werden übersichtlich angezeigt, der Updatestatus jedes einzelnen Clients lässt sich so leicht überwachen.
Funktionsweise
WSUS synchronisiert sich regelmäßig mit den Microsoft Update Servern und zeigt neue Updates an. Erst wenn diese Updates genehmigt werden, beginnt der einmalige Download der Updates von den Microsoft Update Servern auf den WSUS. Sobald ein Computer sein Status an den WSUS übermittelt und neue Updates zur Verfügung stehen, lädt der Computer die Updates vom WSUS. Der Benutzer wird über neue Updates benachrichtigt.
Installation und Konfiguration
In drei Schritten wird die Installation von WSUS auf einem Windows Server 2008 R2 beschrieben. Dabei muss es sich nicht um einen eigenständigen Server für WSUS handeln. Der Server kann gleichzeitig als Domänencontroller, Dateiserver, etc. dienen. In dieser Anleitung wird der WSUS auf dem Server “s1″ installiert.
WSUS installieren
Die Windows Server Update Services (WSUS) verteilen Microsoft Updates im lokalen Netzwerk. Der WSUS-Server lädt die Updates einmalig von den Microsoft Update-Servern herunter und stellt diese allen Clients im Netzwerk zur Verfügung. Die Clients laden die Updates direkt vom lokalem Server im Netzwerk. Dadurch wird u.a. die Internetverbindung geschont, da nicht jeder Client einzeln die Updates von den Microsoft-Servern lädt.
Um WSUS zu installieren im Server-Manager den Punkt Rollen hinzufügen auswählen. In der Liste die neue Rolle Windows Server Update Services (WSUS) auswählen.
WSUS benötigt den Webserver (IIS). Dies mit einem Klick auf Erforderliche Features hinzufügen bestätigen.
Mit einem Klick auf Weiter zum nächsten Schritt.
Der Assistent gibt einen Einblick in den Ablauf der Installation und Konfiguration des Webserver (IIS).
Die benötigten Dienste sind bereits Ausgewählt. Dies mit einem Klick auf Weiter übernehmen.
Der Assistent gibt einen Einblick in den Ablauf der Installation und Konfiguration von WSUS.
Die zu installierenden Programme werden aufgelistet. Mit einem Klick auf Installieren wird die Installation gestartet.
Die Willkommensmeldung des Assistent zum Installieren des WSUS-Servers mit einem Klick auf Weiter zur Kenntnis nehmen.
Die Lizenzbedingungen müssen bestätigt werden.
WSUS speichert die heruntergeladenen Updates auf der Festplatte. Verfügt der Server über eine weitere Festplatte oder Partition, ist es empfehlenswert diese auszuwählen.
WSUS benötigt eine Datenbank um die Updates und Computerberichte verwalten zu können.
Es empfiehlt sich nicht die Standardwebsite zu verwenden. Möchte man später auf dem Server eine Website betreiben, wäre dies nicht möglich. Daher die Option Neue Windows Server Update Services 3.0 SP2-Website erstellen auswählen.
Die Konfigurationsdaten sind wichtig für die spätere Clientkonfiguration. Die Daten sollte man sich notieren oder ein Screenshot anfertigen.
Mit einem klick auf Fertig stellen wird der Installationsvorgang gestartet. Dieser kann mehrere Minuten dauern.
Die Installation des WSUS-Servers ist beendet.
Mit einem Klick auf Fertig stellen wird der Assistent für die Konfiguration des WSUS-Servers gestartet. Die Vorbemerkungen mit einem Klick auf Weiter zur Kenntnis nehmen.
Entscheiden, ob man am Programm zur Verbesserung von Microsoft Update teilnehmen möchte.
Der Updateserver gibt an, von welchem Server WSUS die Updates empfängt. Da es sich um den ersten WSUS handelt, die Option Von Microsoft Update synchronisieren auswählen.
Falls im Netzwerk ein Proxyserver zum Internetzugriff zum Einsatz kommt, diesen hier eingeben.
WSUS muss Informationen über verfügbare Updates, Produkte und Sprachen abrufen. Dies geschieht mit einem Klick auf Verbindung starten. Dieser Vorgang dauert ungefähr 20 Minuten.
Im nächsten Schritt die Sprachen auswählen. Ich empfehle hier nur Deutsch zu wählen. Da sich die Größe der Updates mit jeder Sprache stark zunimmt. Falls Microsoft Produkte mit anderen Sprachen zum Einsatz kommen, kann dies später konfiguriert werden.
Die Produkte auswählen, für Welche Updates bereitgestellt werden sollen. Hier empfehlt es sich nur die im Einsatz befindlichen Produkte zu wählen.
Die Klassifizierungen auswählen. Ich habe gute Erfahrungen gemacht alle Klassifizierung außer Treiber zu wählen.
Auswählen, wann und wie oft WSUS sich mit dem Microsoft Update Server synchronisieren soll, um Informationen über neue Updates zu erhalten. Ein bis Zweimal am Tag sollte dabei absolut ausreichend sein. Schließlich veröffentlicht Microsoft nicht täglich neue Updates.
Erstsynchronisation starten auswählen. Die Konfiguration mit einem Klick auf Weiter beenden.
Der Assistent gibt einen Einblick in die nächsten Konfigurationsschritte.
Die Erstsynchronisation wird nun durchgeführt. Dies dauert ungefähr eine halbe Stunde.Während der Synchronisation nimmt die Systemleistung spürbar zu.
WSUS konfigurieren
Nachdem im ersten Teil WSUS installiert wurde, werden jetzt die Updates für die Verteilung an die Clients genehmigt.
Dazu die WSUS Konfiguration unter Start/Verwaltung/Windows Server Update Services aufrufen. In der linken Spalte auf den Servername (s1) klicken und Updates/Alle Updates auswählen.
In der Filterleiste Status Alle auswählen und Aktualisieren klicken. Es werden alle Updates für die im ersten Teil ausgewählten Sprachen und Produkte angezeigt. Diese Updates müssen genehmigt werden, damit diese heruntergeladen und an die lokalen Clients verteilt werden können. Dazu alle Updates mit Strg+A auswählen und in der linken Spalte im Bereich Update auf Genehmigen… klicken.
Die Updates sollen allen Clients zur Verfügung gestellt werden. Dazu auf das Symbol vor Alle Computer klicken und Für die Installation genehmigt auswählen.
Es erscheinen mehrere Lizenzmeldungen. Diese müssen zur Kenntnis genommen werden.
Die Genehmigung aller Updates kann ein paar Minute dauern.
WSUS beginnt nun mit dem Download der Updates. In diesem Beispiel sind dies 9,9 GB.
Damit die Clients den WSUS-Server für Updates benutzen, muss diesen bekannt sein, das im lokalen Netzwerk ein WSUS-Server vorhanden ist. Dies wird im dritten Teil mit einer Gruppenrichtlinie konfiguriert.
WSUS Gruppenrichtlinie für Clients erstellen
Damit Clients Updates über WSUS beziehen, muss dieser ihnen bekannt sein. Dazu wird eine Gruppenrichtlinie angelegt. Die Gruppenrichtlinienverwaltung unter Start/Verwaltung/Gruppenrichtlinienverwaltung öffnen. Die Domäne (myad.local) wählen. Mit einem Rechtsklick den Punkt Gruppenrichtlinienobjekte hier erstellen und verknüpfen… auswählen.
Dem neuen Gruppenrichtlinienobjekt einen entsprechenden Namen geben. Z.B. WSUS.
Das neue Gruppenrichtlinienobjekt mit der rechten Maustaste auswählen und den Punkt Bearbeiten… wählen.
Der Gruppenrichtlinienverwaltung-Editor wird geöffnet. Im Menü die Einstellungen für Windows Update unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update aufrufen.
Die Einstellung Automatische Updates Konfigurieren auswählen und die Richtlinie Aktivieren. Standardmäßig ist der Punkt 3 Autom. Herunterladen, aber vor Installation benachrichtigen ausgewählt. Dieser ist empfehlenswert, da die Updates auf den lokalen Client heruntergeladen wird und der Benutzer frei entscheiden kann, wann er die Updates einspielen möchte. Da der Hinweis zur Installation beim Herunterfahren des Computers erscheint, werden die meisten Benutzer diese Möglichkeit wahrnehmen.
Die Richtlinie Internen Pfad für den Microsoft Updatedienst angeben anrufen. Die Richtlinie aktivieren und unter Interner Updatedienst zum Ermitteln von Updates und Intranetserver für die Statistik die URL des WSUS (in Schritt 1 konfiguriert) angeben.
Die Richtlinie Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind kann Aktiviert werden, damit Benutzer nach der Installation von Updates nicht zum Neustart gezwungen werden.
Die Richtlinie Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten aktivieren, damit Benutzer ohne Administratorenrechte Updates installieren können.
Damit ist die Installation und Konfiguration der Windows Update Services abgeschlossen. Die Clients melden ihren Updatestatus an den WSUS-Server und erhalten von diesem ihre Updates.