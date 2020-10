Mit WSUS lassen sich auch die eher großen Windows-10-Updates problemlos im Netzwerk verteilen. Das spart deutlich Bandbreite ein und Administratoren können gruppenweise größere Aktualisierungen verteilen. Doch zuvor müssen Sie in WSUS einige Einstellungen vornehmen, neue Gruppenrichtlinienvorlagen herunterladen und Gruppenrichtlinien entsprechend anpassen, damit der Updateserver richtig mit dem aktuellen Windows zusammenspielt. Im ersten Teil der Workshopserie zeigen wir, wie Sie WSUS einrichten und die automatische Freigabe von Updates steuern.









Bild 3: WSUS-Updates lassen sich auch automatisch freigeben.





Im zweiten Teil erklären wir, wie Sie SSL in WSUS nutzen und Windows-10-Rechner an WSUS anbinden. Im dritten Teil geht es darum, wie Sie eigene Patch-CDs für Windows und Office erstellen und Windows-Updates per Befehl steuern.

Die Anbindung von Windows 10 an WSUS gleicht generell der von Windows 7, 8 und 8.1. Die Standardeinstellungen setzen Sie daher genauso wie bei den Vorgängerversionen. Zusätzlich stehen für Windows 10 weitere WSUS-Einstellungen zur Verfügung, die Microsoft im Übrigen mit jeder Windows-10-Version anpasst, sodass sich ein genauerer Blick durchaus lohnt. Damit Sie die neuen Funktionen einsetzen können, sind die aktuellen Gruppenrichtlinienvorlagen notwendig. Diese müssen Sie auf die Domänencontroller kopieren beziehungsweise auf den lokalen Rechner, über den Sie die Gruppenrichtlinien verwalten.Um diese ADMX-Dateien in das Verzeichnis "C:\Windows\PolicyDefinitions" auf den Domänencontrollern und dem Server, auf dem die Richtlinie bearbeitet wird, kopieren zu können, passen Sie den Besitzer des Verzeichnisses und die Berechtigungen entsprechend an. Achten Sie auch darauf, die ADML-Dateien in das entsprechende Unterverzeichnis der Sprache zu kopieren, also zum Beispiel "de-de". Anschließend sind die neuen Funktionen zur Steuerung von Updates für Windows 10 verfügbar, auch in Windows Server 2016 und 2019. Zu sehen ist das, wenn auf Servern mit Windows Server 2012 R2 / 2016 / 2019 der Menüpunkt "Übermittlungsoptimierung" im Bereich "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten" zu finden ist. Hier wurden mit jedem Windows-10-Funktionsupdate zahlreiche neue Einstellungsmöglichkeiten integriert.Aktivieren Sie nun in der Verwaltungskonsole von WSUS auf der Registerkarte "Klassifizierungen" bei "Produkte und Klassifizierungen" den Menüpunkt "Upgrades". Gleiches gilt für die verschiedenen Windows-10-Optionen auf der Registerkarte "Produkte". Nur dann lassen sich neue Windows-10-Versionen über WSUS verteilen. Nach den Änderungen dieser Einstellungen ist eine erneute Synchronisierung notwendig. Anschließend erscheinen die verschiedenen Windows-10-Updates im Bereich "Alle Updates" der Konsole.Für Windows-10-Updates kann es sinnvoll sein, verschiedene Computergruppen in WSUS anzulegen und die Rechner per GPO zu den Gruppen hinzuzufügen. Dadurch lassen sich große Updates besser verteilen. Sie können so zum Beispiel den Rollout solcher Updates nach und nach im Netzwerk durchführen und müssen nicht alle Rechner auf einmal aktualisieren. Das Anlegen einer eigenen Gruppe führen Sie über den Menüpunkt "Computer" in der WSUS-Konsole durch. Sobald die Gruppe angelegt ist und die Gruppenrichtlinien so gesetzt sind, dass auch Windows-10-Rechner die Updates von WSUS erhalten, können Sie Windows-10-Updates über den Bereich der Updates genehmigen. Wichtig ist auch hier eine vorherige Synchronisierung.Sind alle Computer zugewiesen, legen Sie im Assistenten zum Genehmigen von Patches fest, auf welchen Computergruppen die Updates installiert werden sollen. Innerhalb der Gruppen ist im Kontextmenü der einzelnen Computer sofort zu sehen, ob Patches installiert werden müssen. Um die Einstellungen über Gruppenrichtlinien zu steuern, nutzen Sie die Optionen unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Update". Über die Einstellung "Clientseitige Zuordnung aktivieren" legen Sie fest, zu welcher Computergruppe ein Computer zugeordnet werden soll, wenn er an WSUS angebunden wird. Zusätzlich interessant ist die Option "Gruppenrichtlinie oder Registrierungseinstellung auf Computern verwenden" im Bereich "Optionen / Computer" in der WSUS-Verwaltungskonsole.Möchten Sie mit Berichten in WSUS arbeiten, installieren Sie auf dem Server das Tool "Microsoft Report Viewer Redistributable 2012" [3]. Zusätzlich müssen auf dem Server noch die CLR-Types für SQL Server 2012 vorhanden sein [4]. Um Updateberichte anzuzeigen, klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf "Berichte" und anschließend auf die Option "Updatestatus-Zusammenfassung". Die Liste können Sie durch entsprechende Kriterien filtern. Klicken Sie anschließend in der Symbolleiste des Fensters auf "Bericht erstellen". Die Reporte können Sie als Excel-Tabelle oder PDF-Datei speichern oder drucken. Klicken Sie dazu in der Symbolleiste auf das Speichern-Symbol.Sobald WSUS so konfiguriert ist, dass die Updates heruntergeladen werden und Computer angebunden sind, können Sie die Updates manuell freigeben, ablehnen oder deinstallieren. Natürlich bedeutet das einiges an Aufwand. Daher gibt es in WSUS auch die Möglichkeit, neue Updates automatisch freizugeben. Die Regeln dazu stehen über "Optionen / Automatische Genehmigungen" zur Verfügung. Hier lassen sich verschiedene Regeln erstellen ("Neue Regel"), vorhandene Regeln anpassen ("Bearbeiten") oder Regeln löschen ("Löschen"). Auch das sofortige Anwenden einer Regel kann hier ausgeführt werden ("Regel ausführen").Das Erstellen einer Regel erfolgt über verschiedene Schritte. Zunächst legen Sie fest, auf welcher Basis die automatische Genehmigung stattfinden soll. Danach verfeinern Sie im unteren Bereich die Regel. So geben Sie zum Beispiel an, dass für Arbeitsstationen generell alle Updates automatisch genehmigt werden oder eben nur Sicherheitsupdates für Windows 10. Hier stehen als Filter alle Optionen zur Verfügung, die auch in der Konfiguration von WSUS bereitstehen. Zusätzlich legen Sie hier einen Stichtag fest, also wann das Update automatisch genehmigt wird.