Lesezeit
3 Minuten
Seite 2 - Windows Server Update Services installieren und verwalten (1)
Clientcomputer über Gruppenrichtlinien anbinden
Die Clients holen die Patches selbst vom WSUS-Server und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien. Um Arbeitsstationen und Server mit Patches zu versorgen, erstellen Sie am besten spezielle Gruppenrichtlinien. Dazu starten Sie die Gruppenrichtlinienverwaltung über die Startseite und navigieren Sie zu "Gesamtstruktur / Domänen / Ihre Domäne / Gruppenrichtlinienobjekte". Dort klicken Sie mit der rechten Maustaste auf "Gruppenrichtlinienobjekte" und wählen "Neu". Nun geben Sie als Namen "Patchverwaltung" oder ähnliches ein und klicken auf "OK". Starten Sie dann über das Kontextmenü die Bearbeitung der Richtlinie.
Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen von WSUS herunterladen und installieren. Auf diesem Weg aktualisieren Sie auch den Server. Grundsätzlich lässt sich die Konfiguration der automatischen Updates in drei Bereiche untergliedern:
Bild 3: Bevor neue Updates WSUS Richtung Clients verlassen, muss der Administrator diese genehmigen.
Die zweite wichtige Option beschreibt das Updateverhalten, das Sie über "Automatische Updates konfigurieren" festlegen. Dabei stehen folgende Optionen bereit:
Haben Sie alle Einstellungen vorgenommen, beenden Sie die Bearbeitung der neuen Gruppenrichtlinien. Ziehen Sie anschließend die neue Gruppenrichtlinie per Drag & Drop auf den Namen Ihrer Domäne in der Gruppenrichtlinienverwaltung, damit diese verknüpft wird. Sie erhalten eine entsprechende Meldung. Starten Sie anschließend die Computer neu und überprüfen Sie in der Windows Update-Steuerung der Systemsteuerung, ob die Anbindung erfolgreich war.
In der Systemsteuerung auf den Clients und Servern erhalten Sie Hinweise, wenn Einstellungen zentral durch Gruppenrichtlinien vorgegeben sind. Sie starten die Windows-Update-Verwaltung am schnellsten mit wuapp. Beim Klick auf "Einstellungen ändern" sehen Sie, dass der Client Einstellungen von Servern erhält. Diese sind für die Änderung auf dem Client fest gesetzt und deaktiviert. Anwender können aber nach der Anbindung an WSUS über den Link "Online nach Updates aus Windows Update suchen" auch im Internet nach Aktualisierungen suchen, die noch nicht auf dem WSUS zur Verfügung stehen.
Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche der WSUS erscheinen. Auf den einzelnen Rechnern können Sie in der Befehlszeile durch Eingabe des Befehls wuauclt.exe /detectnow eine sofortige Verbindung zu WSUS erzwingen.
Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows diese unter Umständen noch nicht angewendet. In diesem Fall können Sie mit dem Befehl gpupdate /force das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen. Sie benötigen dazu eine Eingabeaufforderung mit Administratorrechten. Sollten einige Rechner auch nach dieser Zeit nicht angezeigt werden, versuchen Sie folgende Problemlösung:
Seite 1:Installation und Einrichtung
Seite 2: Patchverwaltung in der Praxis
Lesen Sie im zweiten Teil unseres großen WSUS-Workshops, wie Sie Updates genehmigen und bereitstellen und wie Sie unter Windows 8 auch ihne WSUS für automatische Updates sorgen.
Thomas Joos/jp/ln
Die Clients holen die Patches selbst vom WSUS-Server und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien. Um Arbeitsstationen und Server mit Patches zu versorgen, erstellen Sie am besten spezielle Gruppenrichtlinien. Dazu starten Sie die Gruppenrichtlinienverwaltung über die Startseite und navigieren Sie zu "Gesamtstruktur / Domänen / Ihre Domäne / Gruppenrichtlinienobjekte". Dort klicken Sie mit der rechten Maustaste auf "Gruppenrichtlinienobjekte" und wählen "Neu". Nun geben Sie als Namen "Patchverwaltung" oder ähnliches ein und klicken auf "OK". Starten Sie dann über das Kontextmenü die Bearbeitung der Richtlinie.
Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen von WSUS herunterladen und installieren. Auf diesem Weg aktualisieren Sie auch den Server. Grundsätzlich lässt sich die Konfiguration der automatischen Updates in drei Bereiche untergliedern:
- Automatisches Herunterladen der Patches von WSUS auf den Rechner, aber keine Installation, nur die Meldung, dass Patches vorhanden sind.
- Meldung, dass neue Patches auf den WSUS zur Verfügung stehen, aber kein Herunterladen der Patches auf den lokalen Computer.
- Automatisches Herunterladen und automatische Installation der Patches. Dies ist die optimale Einstellung für Arbeitsstationen und kleine Netze.
Bild 3: Bevor neue Updates WSUS Richtung Clients verlassen, muss der Administrator diese genehmigen.
Die zweite wichtige Option beschreibt das Updateverhalten, das Sie über "Automatische Updates konfigurieren" festlegen. Dabei stehen folgende Optionen bereit:
- "Vor Herunterladen und Installation benachrichtigen": Windows benachrichtigt Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.
- "Autom. Herunterladen, aber vor Installation benachrichtigen": Hierüber führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server.
- "Autom. Herunterladen und laut Zeitplan installieren": Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients aktuell nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung.
- "Lokalen Administrator ermöglichen, Einstellung auszuwählen": Hiermit lassen Sie zu, dass lokale Administratoren mithilfe der Option "Automatische Updates" in der Systemsteuerung die Konfiguration selbst auswählen können.
Haben Sie alle Einstellungen vorgenommen, beenden Sie die Bearbeitung der neuen Gruppenrichtlinien. Ziehen Sie anschließend die neue Gruppenrichtlinie per Drag & Drop auf den Namen Ihrer Domäne in der Gruppenrichtlinienverwaltung, damit diese verknüpft wird. Sie erhalten eine entsprechende Meldung. Starten Sie anschließend die Computer neu und überprüfen Sie in der Windows Update-Steuerung der Systemsteuerung, ob die Anbindung erfolgreich war.
In der Systemsteuerung auf den Clients und Servern erhalten Sie Hinweise, wenn Einstellungen zentral durch Gruppenrichtlinien vorgegeben sind. Sie starten die Windows-Update-Verwaltung am schnellsten mit wuapp. Beim Klick auf "Einstellungen ändern" sehen Sie, dass der Client Einstellungen von Servern erhält. Diese sind für die Änderung auf dem Client fest gesetzt und deaktiviert. Anwender können aber nach der Anbindung an WSUS über den Link "Online nach Updates aus Windows Update suchen" auch im Internet nach Aktualisierungen suchen, die noch nicht auf dem WSUS zur Verfügung stehen.
Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche der WSUS erscheinen. Auf den einzelnen Rechnern können Sie in der Befehlszeile durch Eingabe des Befehls wuauclt.exe /detectnow eine sofortige Verbindung zu WSUS erzwingen.
Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows diese unter Umständen noch nicht angewendet. In diesem Fall können Sie mit dem Befehl gpupdate /force das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen. Sie benötigen dazu eine Eingabeaufforderung mit Administratorrechten. Sollten einige Rechner auch nach dieser Zeit nicht angezeigt werden, versuchen Sie folgende Problemlösung:
- Auf dem Computer, der nicht im WSUS angezeigt wird, benennen Sie die Datei \Windows\System32\wuaueng.dll in wuaueng.old um.
- Kopieren Sie danach die Datei wuaueng.dll des WSUS-Servers aus dem gleichen Verzeichnis auf den fehlenden Computer und starten Sie diesen neu.
- Nach dem Anmelden sollten die Dateien, die mit "wu*" beginnen, im Verzeichnis "\Windows\System32" ebenfalls aktualisiert sein.
- Geben Sie in der Befehlszeile das Kommando wuauclt.exe /detectnow ein.
Seite 1:Installation und Einrichtung
Seite 2: Patchverwaltung in der Praxis
Lesen Sie im zweiten Teil unseres großen WSUS-Workshops, wie Sie Updates genehmigen und bereitstellen und wie Sie unter Windows 8 auch ihne WSUS für automatische Updates sorgen.
<< Vorherige Seite | Seite 2 von 2 |
Thomas Joos/jp/ln