Fachartikel

Seite 2 - Windows Server Update Services installieren und verwalten (1)

Clientcomputer über Gruppenrichtlinien anbinden
Die Clients holen die Patches selbst vom WSUS-Server und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien. Um Arbeitsstationen und Server mit Patches zu versorgen, erstellen Sie am besten spezielle Gruppenrichtlinien. Dazu starten Sie die Gruppenrichtlinienverwaltung über die Startseite und navigieren Sie zu "Gesamtstruktur / Domänen / Ihre Domäne / Gruppenrichtlinienobjekte". Dort klicken Sie mit der rechten Maustaste auf "Gruppenrichtlinienobjekte" und wählen "Neu". Nun geben Sie als Namen "Patchverwaltung" oder ähnliches ein und klicken auf "OK". Starten Sie dann über das Kontextmenü die Bearbeitung der Richtlinie.

Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen von WSUS herunterladen und installieren. Auf diesem Weg aktualisieren Sie auch den Server. Grundsätzlich lässt sich die Konfiguration der automatischen Updates in drei Bereiche untergliedern:
  1. Automatisches Herunterladen der Patches von WSUS auf den Rechner, aber keine Installation, nur die Meldung, dass Patches vorhanden sind.
  2. Meldung, dass neue Patches auf den WSUS zur Verfügung stehen, aber kein Herunterladen der Patches auf den lokalen Computer.
  3. Automatisches Herunterladen und automatische Installation der Patches. Dies ist die optimale Einstellung für Arbeitsstationen und kleine Netze.
Die erste Option ist "Internen Pfad für den Microsoft Updatedienst angeben" – aktivieren Sie diese. Da WSUS eine Webapplikation ist, müssen Sie den Servernamen mit einer HTTP-Adresse angegeben, in der Form http://Servername:Port. Den Port sehen Sie, indem Sie den Internetinformationsdienste- Manager starten und dort auf "WSUS-Verwaltung" klicken. Im rechten Bereich finden Sie bei "Website durchsuchen" den Port für die HTTP-Verbindung. Alternativ sehen Sie den Port auch in der WSUS-Konsole im unteren Bereich.


Bild 3: Bevor neue Updates WSUS Richtung Clients verlassen, muss der Administrator diese genehmigen.

Die zweite wichtige Option beschreibt das Updateverhalten, das Sie über "Automatische Updates konfigurieren" festlegen. Dabei stehen folgende Optionen bereit:

  • "Vor Herunterladen und Installation benachrichtigen": Windows benachrichtigt Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.
  • "Autom. Herunterladen, aber vor Installation benachrichtigen": Hierüber führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server.
  • "Autom. Herunterladen und laut Zeitplan installieren": Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients aktuell nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung.
  • "Lokalen Administrator ermöglichen, Einstellung auszuwählen": Hiermit lassen Sie zu, dass lokale Administratoren mithilfe der Option "Automatische Updates" in der Systemsteuerung die Konfiguration selbst auswählen können.
Ebenfalls interessant ist die Funktion, die Energieverwaltung von Windows 7/8 zusammen mit der Anbindung an den WSUS über Gruppenrichtlinien zu steuern. Der PC reaktiviert sich dazu automatisch, wenn Windows Update zur automatischen Installation von Updates konfiguriert ist. Befindet sich das System zum Zeitpunkt der geplanten Installation im Ruhezustand, startet es mit dem Windows-Energieverwaltungsfeature automatisch, um die Updates zu installieren. Im Akkubetrieb installiert Windows aber keine Updates.

Haben Sie alle Einstellungen vorgenommen, beenden Sie die Bearbeitung der neuen Gruppenrichtlinien. Ziehen Sie anschließend die neue Gruppenrichtlinie per Drag & Drop auf den Namen Ihrer Domäne in der Gruppenrichtlinienverwaltung, damit diese verknüpft wird. Sie erhalten eine entsprechende Meldung. Starten Sie anschließend die Computer neu und überprüfen Sie in der Windows Update-Steuerung der Systemsteuerung, ob die Anbindung erfolgreich war.

In der Systemsteuerung auf den Clients und Servern erhalten Sie Hinweise, wenn Einstellungen zentral durch Gruppenrichtlinien vorgegeben sind. Sie starten die Windows-Update-Verwaltung am schnellsten mit wuapp. Beim Klick auf "Einstellungen ändern" sehen Sie, dass der Client Einstellungen von Servern erhält. Diese sind für die Änderung auf dem Client fest gesetzt und deaktiviert. Anwender können aber nach der Anbindung an WSUS über den Link "Online nach Updates aus Windows Update suchen" auch im Internet nach Aktualisierungen suchen, die noch nicht auf dem WSUS zur Verfügung stehen.

Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche der WSUS erscheinen. Auf den einzelnen Rechnern können Sie in der Befehlszeile durch Eingabe des Befehls wuauclt.exe /detectnow eine sofortige Verbindung zu WSUS erzwingen.

Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows diese unter Umständen noch nicht angewendet. In diesem Fall können Sie mit dem Befehl gpupdate /force das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen. Sie benötigen dazu eine Eingabeaufforderung mit Administratorrechten. Sollten einige Rechner auch nach dieser Zeit nicht angezeigt werden, versuchen Sie folgende Problemlösung:
  1. Auf dem Computer, der nicht im WSUS angezeigt wird, benennen Sie die Datei \Windows\System32\wuaueng.dll in wuaueng.old um.
  2. Kopieren Sie danach die Datei wuaueng.dll des WSUS-Servers aus dem gleichen Verzeichnis auf den fehlenden Computer und starten Sie diesen neu.
  3. Nach dem Anmelden sollten die Dateien, die mit "wu*" beginnen, im Verzeichnis "\Windows\System32" ebenfalls aktualisiert sein.
  4. Geben Sie in der Befehlszeile das Kommando wuauclt.exe /detectnow ein.
Sollte dies nicht funktionieren, können Sie noch im Registry-Schlüssel "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate" die Einträge für WSUS löschen. Anschließend geben Sie den Befehl wuauclt /detectnow /reauthorization ein.

   
Seite 1:Installation und Einrichtung
   
Seite 2: Patchverwaltung in der Praxis

Lesen Sie im zweiten Teil unseres großen WSUS-Workshops, wie Sie Updates genehmigen und bereitstellen und wie Sie unter Windows 8 auch ihne WSUS für automatische Updates sorgen.

<< Vorherige Seite Seite 2 von 2
10.11.2014/Thomas Joos/jp/ln

Nachrichten

Auf kleinstem Raum [2.02.2023]

Bressner Technology erweitert sein Portfolio an eingebetteten Computersystemen um den BOXER-6646-ADP. Der Embedded-PC bietet nebst lüfterlosem und kompaktem Gehäuse eine Auswahl aus Intel-Core-Prozessoren der 12. Generation. [mehr]

Alles an Board [3.01.2023]

Mit dem WAFER-EHL erweitert ICP Deutschland sein Portfolio im Bereich der Embedded Boards. Das 3,5-Zoll-Mainboard verfügt über eine Kühlschale, die eine einfache Installation sowie unkomplizierte Wärmeabfuhr der verbauten Komponenten ermöglichen soll. [mehr]

Tipps & Tools

Schick im Stehen arbeiten [28.01.2023]

Gerade IT-Profis sollten auf eine gute Ergonomie bei der Computerarbeit achten – und für einen gesunden Rücken hat sich möglichst mehrstündiges Stehen bei der Arbeit längst bewährt. Und da sich im edlen Ambiente sowieso besser werkeln lässt, lohnt ein Blick auf eine schicke Stehpultalternative: Als Aufsatz für den Schreibtisch ist "Standsome Slim" darüber hinaus in Windeseile einsatzbereit. [mehr]

Hybrid Work hat sich etabliert – Cybersicherheit bleibt größte Herausforderung [24.01.2023]

Laut einer Studie von Okta unter europäischen Entscheidern haben in neun von zehn deutschen Unternehmen Mitarbeiter die Option, zumindest teilweise von zuhause zu arbeiten. Die zeitliche Ausprägung des Home Office fallen zum Teil jedoch recht unterschiedlich aus. Hinsichtlich des Verbesserungspotenzials genießt die Cybersicherheit Toppriorität. [mehr]

Anzeigen