von Redaktion IT-A…
Lesezeit
4 Minuten
Windows aktualisieren mit WSUS (1)
Mit WSUS lassen sich auch die eher großen Windows-10-Updates problemlos im Netzwerk verteilen. Das spart deutlich Bandbreite ein und Administratoren können gruppenweise größere Aktualisierungen verteilen. Doch zuvor müssen Sie in WSUS einige Einstellungen vornehmen, neue Gruppenrichtlinienvorlagen herunterladen und Gruppenrichtlinien entsprechend anpassen, damit der Updateserver richtig mit dem aktuellen Windows zusammenspielt. Im ersten Teil der Workshopserie zeigen wir, wie Sie WSUS einrichten und die automatische Freigabe von Updates steuern.
Windows Server Update Service (WSUS) installieren Sie in Windows Server 2016 und 2019 als Serverrolle. Damit Sie Windows-10-Updates und -Upgrades einspielen können, müssen Sie zunächst einige Einstellungen in der WSUS-Verwaltung vornehmen. Außerdem müssen Sie die neuen Gruppenrichtlinienvorlagen (ADMX) für das aktuelle Windows 10 im Netzwerk einbinden. Diese stehen für Windows Server 2012 R2 wie auch für Windows Server 2016 und 2019 zur Verfügung und bieten wesentlich mehr Einstellungsmöglichkeiten als die Standardoptionen in Windows Server.
Besonders wichtig ist, dass der WSUS-Server selbst auf dem aktuellsten Stand in Sachen Windows-Updates ist, da ansonsten die Installationsdateien von Windows-10-Updates nicht funktionieren. Vor allem die Entschlüsselung von ESD-Dateien auf dem WSUS-Server mit Windows Server 2012 und 2012 R2 bereitet Probleme [1]. Für Windows Server 2012 R2 spielt außerdem das Update KB3095113 [2] eine wichtige Rolle bezüglich der Windows-10-Feature-Updates. Server unter Windows Server 2016 und 2019 haben normalerweise mit dem Verteilen von Windows-10-Updates weniger Probleme.
Die angesprochenen Probleme in WSUS unter Windows Server 2012 R2 bestehen bei der Verteilung von Windows-10-Updates und -Aktualisierungen meistens darin, dass sich die WSUS-Konsole nicht mehr mit dem Server verbinden kann, sobald bestimmte Update installiert sind. Meistens hilft, wenn Sie in der Befehlszeile den folgenden Befehl ausführen:
WSUS einrichten und Gruppenrichtlinien konfigurieren
Die Anbindung von Windows 10 an WSUS gleicht generell der von Windows 7, 8 und 8.1. Die Standardeinstellungen setzen Sie daher genauso wie bei den Vorgängerversionen. Zusätzlich stehen für Windows 10 weitere WSUS-Einstellungen zur Verfügung, die Microsoft im Übrigen mit jeder Windows-10-Version anpasst, sodass sich ein genauerer Blick durchaus lohnt. Damit Sie die neuen Funktionen einsetzen können, sind die aktuellen Gruppenrichtlinienvorlagen notwendig. Diese müssen Sie auf die Domänencontroller kopieren beziehungsweise auf den lokalen Rechner, über den Sie die Gruppenrichtlinien verwalten.
Um diese ADMX-Dateien in das Verzeichnis "C:\Windows\PolicyDefinitions" auf den Domänencontrollern und dem Server, auf dem die Richtlinie bearbeitet wird, kopieren zu können, passen Sie den Besitzer des Verzeichnisses und die Berechtigungen entsprechend an. Achten Sie auch darauf, die ADML-Dateien in das entsprechende Unterverzeichnis der Sprache zu kopieren, also zum Beispiel "de-de". Anschließend sind die neuen Funktionen zur Steuerung von Updates für Windows 10 verfügbar, auch in Windows Server 2016 und 2019. Zu sehen ist das, wenn auf Servern mit Windows Server 2012 R2 / 2016 / 2019 der Menüpunkt "Übermittlungsoptimierung" im Bereich "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten" zu finden ist. Hier wurden mit jedem Windows-10-Funktionsupdate zahlreiche neue Einstellungsmöglichkeiten integriert.
Aktivieren Sie nun in der Verwaltungskonsole von WSUS auf der Registerkarte "Klassifizierungen" bei "Produkte und Klassifizierungen" den Menüpunkt "Upgrades". Gleiches gilt für die verschiedenen Windows-10-Optionen auf der Registerkarte "Produkte". Nur dann lassen sich neue Windows-10-Versionen über WSUS verteilen. Nach den Änderungen dieser Einstellungen ist eine erneute Synchronisierung notwendig. Anschließend erscheinen die verschiedenen Windows-10-Updates im Bereich "Alle Updates" der Konsole.
Für Windows-10-Updates kann es sinnvoll sein, verschiedene Computergruppen in WSUS anzulegen und die Rechner per GPO zu den Gruppen hinzuzufügen. Dadurch lassen sich große Updates besser verteilen. Sie können so zum Beispiel den Rollout solcher Updates nach und nach im Netzwerk durchführen und müssen nicht alle Rechner auf einmal aktualisieren. Das Anlegen einer eigenen Gruppe führen Sie über den Menüpunkt "Computer" in der WSUS-Konsole durch. Sobald die Gruppe angelegt ist und die Gruppenrichtlinien so gesetzt sind, dass auch Windows-10-Rechner die Updates von WSUS erhalten, können Sie Windows-10-Updates über den Bereich der Updates genehmigen. Wichtig ist auch hier eine vorherige Synchronisierung.
Sind alle Computer zugewiesen, legen Sie im Assistenten zum Genehmigen von Patches fest, auf welchen Computergruppen die Updates installiert werden sollen. Innerhalb der Gruppen ist im Kontextmenü der einzelnen Computer sofort zu sehen, ob Patches installiert werden müssen. Um die Einstellungen über Gruppenrichtlinien zu steuern, nutzen Sie die Optionen unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Update". Über die Einstellung "Clientseitige Zuordnung aktivieren" legen Sie fest, zu welcher Computergruppe ein Computer zugeordnet werden soll, wenn er an WSUS angebunden wird. Zusätzlich interessant ist die Option "Gruppenrichtlinie oder Registrierungseinstellung auf Computern verwenden" im Bereich "Optionen / Computer" in der WSUS-Verwaltungskonsole.
Berichte erstellen
Möchten Sie mit Berichten in WSUS arbeiten, installieren Sie auf dem Server das Tool "Microsoft Report Viewer Redistributable 2012" [3]. Zusätzlich müssen auf dem Server noch die CLR-Types für SQL Server 2012 vorhanden sein [4]. Um Updateberichte anzuzeigen, klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf "Berichte" und anschließend auf die Option "Updatestatus-Zusammenfassung". Die Liste können Sie durch entsprechende Kriterien filtern. Klicken Sie anschließend in der Symbolleiste des Fensters auf "Bericht erstellen". Die Reporte können Sie als Excel-Tabelle oder PDF-Datei speichern oder drucken. Klicken Sie dazu in der Symbolleiste auf das Speichern-Symbol.
Automatische Freigabe von Updates
Sobald WSUS so konfiguriert ist, dass die Updates heruntergeladen werden und Computer angebunden sind, können Sie die Updates manuell freigeben, ablehnen oder deinstallieren. Natürlich bedeutet das einiges an Aufwand. Daher gibt es in WSUS auch die Möglichkeit, neue Updates automatisch freizugeben. Die Regeln dazu stehen über "Optionen / Automatische Genehmigungen" zur Verfügung. Hier lassen sich verschiedene Regeln erstellen ("Neue Regel"), vorhandene Regeln anpassen ("Bearbeiten") oder Regeln löschen ("Löschen"). Auch das sofortige Anwenden einer Regel kann hier ausgeführt werden ("Regel ausführen").
Das Erstellen einer Regel erfolgt über verschiedene Schritte. Zunächst legen Sie fest, auf welcher Basis die automatische Genehmigung stattfinden soll. Danach verfeinern Sie im unteren Bereich die Regel. So geben Sie zum Beispiel an, dass für Arbeitsstationen generell alle Updates automatisch genehmigt werden oder eben nur Sicherheitsupdates für Windows 10. Hier stehen als Filter alle Optionen zur Verfügung, die auch in der Konfiguration von WSUS bereitstehen. Zusätzlich legen Sie hier einen Stichtag fest, also wann das Update automatisch genehmigt wird.
jp/ln/Thomas Joos
[1] https://support.microsoft.com/en-us/help/3159706/update-enables-esd-decryption-provision-in-wsus-in-windows-server-2012
[2] https://support.microsoft.com/de-de/help/3095113/update-to-enable-wsus-support-for-windows-10-feature-upgrades
[3] www.microsoft.com/de-de/download/details.aspx?id=35747
[4] www.microsoft.com/de-de/download/details.aspx?id=49999
Besonders wichtig ist, dass der WSUS-Server selbst auf dem aktuellsten Stand in Sachen Windows-Updates ist, da ansonsten die Installationsdateien von Windows-10-Updates nicht funktionieren. Vor allem die Entschlüsselung von ESD-Dateien auf dem WSUS-Server mit Windows Server 2012 und 2012 R2 bereitet Probleme [1]. Für Windows Server 2012 R2 spielt außerdem das Update KB3095113 [2] eine wichtige Rolle bezüglich der Windows-10-Feature-Updates. Server unter Windows Server 2016 und 2019 haben normalerweise mit dem Verteilen von Windows-10-Updates weniger Probleme.
Die angesprochenen Probleme in WSUS unter Windows Server 2012 R2 bestehen bei der Verteilung von Windows-10-Updates und -Aktualisierungen meistens darin, dass sich die WSUS-Konsole nicht mehr mit dem Server verbinden kann, sobald bestimmte Update installiert sind. Meistens hilft, wenn Sie in der Befehlszeile den folgenden Befehl ausführen:
C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicingAußerdem müssen Sie über den Server-Manager das Feature "HTTP Activation" installieren, das Sie bei den .NET Framework 4.5-Features finden. Auch wenn das Update Probleme bereitet, sollten Sie es installieren, da sich ansonsten neuere Windows-10-Updates nicht im Netzwerk verteilen lassen.
WSUS einrichten und Gruppenrichtlinien konfigurieren
Die Anbindung von Windows 10 an WSUS gleicht generell der von Windows 7, 8 und 8.1. Die Standardeinstellungen setzen Sie daher genauso wie bei den Vorgängerversionen. Zusätzlich stehen für Windows 10 weitere WSUS-Einstellungen zur Verfügung, die Microsoft im Übrigen mit jeder Windows-10-Version anpasst, sodass sich ein genauerer Blick durchaus lohnt. Damit Sie die neuen Funktionen einsetzen können, sind die aktuellen Gruppenrichtlinienvorlagen notwendig. Diese müssen Sie auf die Domänencontroller kopieren beziehungsweise auf den lokalen Rechner, über den Sie die Gruppenrichtlinien verwalten.
Um diese ADMX-Dateien in das Verzeichnis "C:\Windows\PolicyDefinitions" auf den Domänencontrollern und dem Server, auf dem die Richtlinie bearbeitet wird, kopieren zu können, passen Sie den Besitzer des Verzeichnisses und die Berechtigungen entsprechend an. Achten Sie auch darauf, die ADML-Dateien in das entsprechende Unterverzeichnis der Sprache zu kopieren, also zum Beispiel "de-de". Anschließend sind die neuen Funktionen zur Steuerung von Updates für Windows 10 verfügbar, auch in Windows Server 2016 und 2019. Zu sehen ist das, wenn auf Servern mit Windows Server 2012 R2 / 2016 / 2019 der Menüpunkt "Übermittlungsoptimierung" im Bereich "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten" zu finden ist. Hier wurden mit jedem Windows-10-Funktionsupdate zahlreiche neue Einstellungsmöglichkeiten integriert.
Für Windows-10-Updates kann es sinnvoll sein, verschiedene Computergruppen in WSUS anzulegen und die Rechner per GPO zu den Gruppen hinzuzufügen. Dadurch lassen sich große Updates besser verteilen. Sie können so zum Beispiel den Rollout solcher Updates nach und nach im Netzwerk durchführen und müssen nicht alle Rechner auf einmal aktualisieren. Das Anlegen einer eigenen Gruppe führen Sie über den Menüpunkt "Computer" in der WSUS-Konsole durch. Sobald die Gruppe angelegt ist und die Gruppenrichtlinien so gesetzt sind, dass auch Windows-10-Rechner die Updates von WSUS erhalten, können Sie Windows-10-Updates über den Bereich der Updates genehmigen. Wichtig ist auch hier eine vorherige Synchronisierung.
Berichte erstellen
Möchten Sie mit Berichten in WSUS arbeiten, installieren Sie auf dem Server das Tool "Microsoft Report Viewer Redistributable 2012" [3]. Zusätzlich müssen auf dem Server noch die CLR-Types für SQL Server 2012 vorhanden sein [4]. Um Updateberichte anzuzeigen, klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf "Berichte" und anschließend auf die Option "Updatestatus-Zusammenfassung". Die Liste können Sie durch entsprechende Kriterien filtern. Klicken Sie anschließend in der Symbolleiste des Fensters auf "Bericht erstellen". Die Reporte können Sie als Excel-Tabelle oder PDF-Datei speichern oder drucken. Klicken Sie dazu in der Symbolleiste auf das Speichern-Symbol.
Automatische Freigabe von Updates
Sobald WSUS so konfiguriert ist, dass die Updates heruntergeladen werden und Computer angebunden sind, können Sie die Updates manuell freigeben, ablehnen oder deinstallieren. Natürlich bedeutet das einiges an Aufwand. Daher gibt es in WSUS auch die Möglichkeit, neue Updates automatisch freizugeben. Die Regeln dazu stehen über "Optionen / Automatische Genehmigungen" zur Verfügung. Hier lassen sich verschiedene Regeln erstellen ("Neue Regel"), vorhandene Regeln anpassen ("Bearbeiten") oder Regeln löschen ("Löschen"). Auch das sofortige Anwenden einer Regel kann hier ausgeführt werden ("Regel ausführen").
Bild 3: WSUS-Updates lassen sich auch automatisch freigeben.
Das Erstellen einer Regel erfolgt über verschiedene Schritte. Zunächst legen Sie fest, auf welcher Basis die automatische Genehmigung stattfinden soll. Danach verfeinern Sie im unteren Bereich die Regel. So geben Sie zum Beispiel an, dass für Arbeitsstationen generell alle Updates automatisch genehmigt werden oder eben nur Sicherheitsupdates für Windows 10. Hier stehen als Filter alle Optionen zur Verfügung, die auch in der Konfiguration von WSUS bereitstehen. Zusätzlich legen Sie hier einen Stichtag fest, also wann das Update automatisch genehmigt wird.
Im zweiten Teil
erklären wir, wie Sie SSL in WSUS nutzen und Windows-10-Rechner an WSUS anbinden. Im dritten Teil geht es darum, wie Sie eigene Patch-CDs für Windows und Office erstellen und Windows-Updates per Befehl steuern.
jp/ln/Thomas Joos
[1] https://support.microsoft.com/en-us/help/3159706/update-enables-esd-decryption-provision-in-wsus-in-windows-server-2012
[2] https://support.microsoft.com/de-de/help/3095113/update-to-enable-wsus-support-for-windows-10-feature-upgrades
[3] www.microsoft.com/de-de/download/details.aspx?id=35747
[4] www.microsoft.com/de-de/download/details.aspx?id=49999
