Windows aktualisieren mit WSUS (2)

Lesezeit
4 Minuten
Bis jetzt gelesen

Windows aktualisieren mit WSUS (2)

12.10.2020 - 00:00
Veröffentlicht in:
Mit WSUS lassen sich auch die eher großen Windows-10-Updates problemlos im Netzwerk verteilen. Das spart deutlich Bandbreite ein und Administratoren können gruppenweise größere Aktualisierungen verteilen. Doch zuvor müssen Sie in WSUS einige Einstellungen vornehmen, neue Gruppenrichtlinienvorlagen herunterladen und Gruppenrichtlinien entsprechend anpassen, damit der Updateserver richtig mit dem aktuellen Windows zusammenspielt. Im zweiten Teil der Workshopserie erklären wir, wie Sie SSL in WSUS nutzen und Windows-10-Rechner an WSUS anbinden.
SSL in WSUS nutzen
Standardmäßig nutzt WSUS für die Kommunikation mit den Clients und der Verwaltungskonsole das unverschlüsselte HTTP, daher sollten Sie besser SSL aktivieren. Dazu installieren Sie auf dem Server zunächst ein Serverzertifikat. Hier gehen Sie vor wie bei der üblichen Installation von Serverzertifikaten im IIS-Manager. Sie können hier natürlich auch auf eine interne Zertifizierungsstelle setzen. Nachdem Sie das Serverzertifikat installiert haben, rufen Sie im IIS-Manager den Punkt "Sites / WSUS-Verwaltung" auf. Klicken Sie auf "Bindungen" und bearbeiten Sie die Bindung für SSL zum Port 8531. Hier wählen Sie jetzt auch das installierte Zertifikat aus. Zusätzlich müssen Sie noch die SSL-Einstellungen aufrufen und die Option "SSL erforderlich" aktivieren für

  • ApiRemoting30
  • ClientWebService
  • DssAuthWebService
  • ServerSyncWebService
  • SimpleAuthWebService
Nachdem Sie SSL für WSUS aktiviert haben, erhalten Sie eine Fehlermeldung, wenn Sie die WSUS-Verwaltungskonsole öffnen. Damit die Konsole wieder funktioniert, öffnen Sie zunächst eine Befehlszeile und wechseln in das Verzeichnis "C:\Programme\Update Services\Tools". Geben Sie den Befehl
wsusutil ConfigureSSL <Name des Zertifikats>
ein. Im nächsten Schritt entfernen Sie die veraltete HTTP-Verbindung in der WSUS-Verwaltungskonsole und fügen über das Kontextmenü eine neue Verbindung hinzu. Geben Sie den Servernamen ein sowie die korrekte Portnummer für die Anbindung an SSL. Aktivieren Sie außerdem die Option "Verbindung mit diesem Server über SSL herstellen". Klicken Sie nach der erfolgreichen Anbindung des Servers auf den Servernamen in der Konsole, sehen Sie im unteren Bereich bei "Verbindung", dass dieser jetzt SSL für die Kommunikation nutzt.

Achten Sie darauf, dass Sie auch in den Gruppenrichtlinien zur Anbindung der Clients den Port auf 8531 setzen müssen. Der HTTP-Port 8530 steht nicht mehr zur Verfügung. Sie finden die Einstellungen über "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update". Passen Sie die Einstellung "Internen Pfad für den Microsoft Updatedienst angeben" an.

Windows-10-Rechner an WSUS anbinden
Damit die Windows-10-Clients Updates von WSUS herunterladen und installieren, müssen Sie diese so konfigurieren, dass sie keine Patches aus dem Internet herunterladen, sondern eben den internen WSUS verwenden. Das hat sich in Windows 10 im Vergleich zu den Vorgängern nicht verändert. WSUS verteilt die Patches nicht automatisch an die Clients, sondern lädt die Aktualisierungen nur aus dem Internet herunter und stellt diese bereit, sobald die Administratoren die Installation genehmigen. Die Clients holen die Patches selbst vom WSUS-Server und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien. Diese Einstellungen gehören also zu den Grundlagen für die Verteilung von Updates für Windows 10. Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update" vor.

Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Die erste Option dazu ist "Internen Pfad für den Microsoft Updatedienst angeben". Diese Option aktivieren Sie, um Windows-Server und -Arbeitsstationen an WSUS anzubinden. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: "http://<Servername>:<Port>". WSUS lässt sich wie erwähnt auch mit HTTPS nutzen. Passen Sie WSUS für die Verwendung von SSL an, dann müssen Sie in den Gruppenrichtlinien den neuen HTTPS-Pfad und den neuen Port dafür angeben. Ansonsten funktioniert nach der Umstellung von WSUS zu SSL die Installation von Updates nicht mehr. Standardmäßig verwendet WSUS herkömmliche TTP-Verbindungen und den Port 8530, den Port für SSL sehen Sie in der WSUS-Konsole nach der Umstellung auf SSL.

Die zweite wichtige Option betrifft das Updateverhalten, das Sie über "Automatische Updates konfigurieren" festlegen. Dabei stehen im Wesentlichen folgende Möglichkeiten zur Verfügung:

  • "Vor Herunterladen und Installation benachrichtigen": Mit dieser Option benachrichtigt Windows Anwender vor dem Download und vor der Installation der Updates.
  • "Autom. Herunterladen, aber vor Installation benachrichtigen": Der Client führt den Download der Updates automatisch durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung eignet sich optimal für Serversysteme.
  • "Autom. Herunterladen und laut Zeitplan installieren": Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung.
  • "Lokalen Administrator ermöglichen, Einstellung auszuwählen": Lokale Administratoren können die Konfiguration selbst auswählen.
Anbindung an WSUS überprüfen
Um zu überprüfen, ob ein Rechner erfolgreich an WSUS angebunden wurde und die Einstellungen in den Gruppenrichtlinien funktionieren, reicht das Ausführen von "rsop.msc" als Administrator auf dem Rechner. Die Einstellungen für die Gruppenrichtlinien werden im Fenster angezeigt. Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche des WSUS erscheinen.

Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls wuauclt /detectnow eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch nicht angebunden, geben Sie den Befehl gpupdate /force und anschließend wuauclt.exe /reportnow /detectnow ein. Sobald ein Windows-10-Rechner an WSUS angebunden ist, erscheint der Link "Suchen Sie online nach Updates von Microsoft Update" in der lokalen Verwaltung der Updates. Dieser Link erscheint ohne die Anbindung an WSUS nicht, da hier die Installation von Updates ohnehin über das Internet erfolgt.

Gruppenrichtlinieneinstellungen für Windows 10
Haben Sie die neuen ADMX-Dateien für die aktuelle Version von Windows 10 auf den Domänencontrollern eingespielt, können Sie Anpassungen für das aktuelle Windows 10 vornehmen. Der Punkt "Übermittlungsoptimierung" im Bereich "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten" spielt dabei eine besondere Rolle. Hier sollten Sie vor allem den Downloadmodus und die Bandbreiten konfigurieren, damit Windows-10-Rechner beim Herunterladen von Updates nicht zu viel Bandbreite verbrauchen. So steuern Sie in den Einstellungen auch, dass Windows-10-Rechner Updates an andere Rechner am gleichen Active-Directory-Standort verteilen dürfen. Das entlastet WAN-Leitungen und den WSUS-Server.

Auf Wunsch lassen sich eigene Gruppen erstellen, etwa für kleine Büros. Zwischen diesen Gruppen tauschen Windows-10-Rechner bei entsprechender Konfiguration die Updates ohne WSUS aus.


Bild 4: In den Gruppenrichtlinien von Windows Server 2016 / 2019 oder Windows Server 2012 R2 werden Rechner
mit Windows 10 an WSUS angebunden.

Die Einstellung "Automatischen Neustart nach Updates während der Nutzungszeitdeaktivieren" kann für Windows 10 so festgelegt werden, dass Computer innerhalb der festgelegten Zeiten nicht neu starten. Über die Einstellung "Computereinstellungen / Administrative Vorlagen / Windows-Komponenten / Windows Update" und die Auswahl von "Keine Treiber in Windows-Updates einschließen" verhindern Sie zudem, dass Windows 10 und Windows Server 2016 / 2019 Treiber über Windows-Updates installieren.

Im ersten Teil der Workshopserie zeigten wir, wie Sie WSUS einrichten und die automatische Freigabe von Updates steuern. Im dritten Teil geht es darum, wie Sie eigene Patch-CDs für Windows und Office erstellen und Windows-Updates per Befehl steuern.


jp/ln/Thomas Joos

Ähnliche Beiträge

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.