Fachartikel

Windows aktualisieren mit WSUS (3)

Mit WSUS lassen sich auch die eher großen Windows-10-Updates problemlos im Netzwerk verteilen. Das spart deutlich Bandbreite ein und Administratoren können gruppenweise größere Aktualisierungen verteilen. Doch zuvor müssen Sie in WSUS einige Einstellungen vornehmen, neue Gruppenrichtlinienvorlagen herunterladen und Gruppenrichtlinien entsprechend anpassen, damit der Updateserver richtig mit dem aktuellen Windows zusammenspielt. Im dritten Teil der Workshopserie geht es darum, wie Sie eigene Patch-CDs für Windows und Office erstellen und Windows-Updates per Befehl steuern.
Die Windows Server Update Services fungieren auch als Paketträger für Windows-Updates.
Mehrere WSUS-Server einsetzen
Setzen Sie mehrere WSUS-Server im Unternehmen ein, ist es nicht notwendig, dass sich alle Server direkt bei Microsoft synchronisieren. Sie können vielmehr einen Upstream-Server festlegen, von dem andere WSUS-Server ihre Updates beziehen. Dabei haben Sie auch die Möglichkeit, nicht nur die Updates zu synchronisieren, sondern auch die Einstellungen. Auf diesem Weg richten Sie einen einzelnen WSUS-Server ein und verteilen dessen Daten und Patches im Unternehmen auf andere WSUS-Server.

Sinnvoll ist das als Alternative für die Peer-To-Peer-Verteilung von Windows-10-Updates im Netzwerk. Für die Einstellungen in diesem Bereich gehen Sie in den Optionen zu "Updatequelle und Proxy". Hier können Sie zudem die Aktualisierungen über Proxy-Server konfigurieren samt der Möglichkeit, einen Benutzernamen und ein Kennwort bereitzustellen.

Sobald Sie den Quell-WSUS-Server eingerichtet haben, rufen Sie auf den untergeordneten WSUS-Servern "Optionen / Updatequelle und Proxyserver" auf. Aktivieren Sie die Option "Von einem anderen Windows Server Update Services-Server synchronisieren". Im Fenster geben Sie den Servernamen ein sowie den Port 8530, sofern Sie kein SSL konfiguriert haben.

Nutzen Sie bereits SSL, verwenden Sie den entsprechenden Port. Im Fenster zur Steuerung des Upstream-Servers legen Sie auch fest, dass der untergeordnete WSUS-Server auch die Einstellungen vom übergeordneten Server erhält. Dazu aktivieren Sie die Option "Dieser Server ist ein Replikat des Upstream-Servers". Nun müssen Sie auf den untergeordneten Servern auch keine Updates mehr freigeben, da diese Option ebenfalls synchronisiert wird.

Nach einigen Stunden sollten die Server miteinander abgeglichen sein. Im Bereich "Downstreamserver" in der Verwaltungskonsole von WSUS sehen Sie die untergeordneten WSUS-Server. Hier können Sie den Server zur Verwaltung auch zur aktuellen Konsole hinzufügen und auf diesem Weg in einer WSUS-Konsole auch mehrere Server verwalten.
Eigene Patch-CDs für Windows und Office erstellen
Müssen mehrere Computer installiert werden, kann das schnell Stunden dauern, bis Server oder Arbeitsstationen auf dem neusten Stand sind. Hier bietet es sich an, eine Aktualisierungs-CD/DVD oder eine ISO-Datei zu erstellen, auf der alle wichtigen Patches gespeichert sind, und die auf einen Schlag automatisiert installiert werden können. Auch das Erstellen eines USB-Sticks ist möglich.

Dabei hilft die Freeware "WSUS Offline Update" [5]. Das Tool lädt automatisch die WSUS-Katalogdatei bei Microsoft herunter und danach alle Patches, die Sie ausgewählt haben. Sie müssen das Tool nicht installieren, sondern können es einfach starten. Die aktuelle Version unterstützt allerdings nicht mehr Windows XP und Windows Server 2003, dafür aber Windows 10 und Windows Server 2016. Mit WSUS Offline Update können Sie daher gezielt alle vorhandenen Aktualisierungen für Windows 10 und Windows Server 2016 auf einmal herunterladen und eine ISO-Datei erstellen. Die ISO-Datei brennen Sie dann entweder auf einen Datenträger oder stellen sie auf einem Server bereit. Danach starten Sie die Aktualisierung der Rechner über einen Assistenten. Dieser kann auf Wunsch auch den Server neu starten oder nach der Aktualisierung herunterfahren.

In der grafischen Oberfläche legen Sie danach fest, welche Updates das Tool berücksichtigen soll. Um das Tool zu starten, rufen Sie die Datei "UpdateGenerator.exe" auf. Auf der Registerkarte "Windows" legen Sie nach dem Start des Tools fest, für welche Windows-Versionen Sie Updates herunterladen möchten.


Bild 5: Mit WSUS Offline Update erstellen Sie einen Installationsdatenträger für Windows-Patches.
So können Sie einen Windows-Server in einem Schritt auf den aktuellsten Stand bringen.

Sobald Sie die Produkte ausgewählt haben, legen Sie im unteren Verzeichnis noch verschiedene Optionen fest. Diese sind weitgehend selbsterklärend. Sinnvoll ist in jedem Fall noch das Aktivieren der Optionen "C++-Laufzeitbibliotheken und .NET Frameworks einschließen" und "pro Produkt und Sprache" bei "Erstelle ISO-Images". Das bietet den Vorteil, dass Sie die ISOs auch bei virtuellen Servern nutzen können. Auf herkömmlichen Servern können Sie die heruntergeladenen Aktualisierungen auch einfach auf einem USB-Stick speichern.

Sie legen auf der Seite zudem fest, ob Sie nur 64-Bit-Patches (x64 Global) oder auch Aktualisierungen für 32-Bit-Computer (x86 Global) herunterladen wollen. Möchten Sie die Updates nicht direkt über Windows Update herunterladen, sondern auf Basis eines vorhandenen WSUS-Servers, können Sie über die Schaltfläche "WSUS" die URL eines WSUS-Servers hinterlegen. Mit der Auswahl "Start" beginnt das Tool mit dem Download der Patches und erstellt auf Wunsch auch die ISO-Dateien für die Aktualisierung.

Um Server oder Arbeitsstationen mit WSUS Offline Update zu aktualisieren, mounten Sie entweder die ISO-Datei, brennen diese auf CD/DVD, oder kopieren den Inhalt des Verzeichnisses "\wsusoffline\client" auf einen USB-Stick. In diesem Verzeichnis befinden sich alle Aktualisierungen des Tools sowie die notwendigen Installationsdateien. Das Verzeichnis wird auch beim Erstellen von ISO-Dateien berücksichtigt. Die Aktualisierung starten Sie mit dem Tool "Updateinstaller.exe". Das Werkzeug startet eine grafische Oberfläche, über die Sie festlegen, wie die Aktualisierung durchgeführt wird.

Windows-Updates per Befehl steuern
Sie können in Windows 10 und Windows Server 2016 in der Eingabeaufforderung oder der PowerShell mit dem Tool "wusa.exe" Windows-Updates installieren und deinstallieren:
Wusa.exe <MSU-Datei des Patches> /quiet /norestart
Die Option "/quiet" installiert ohne Rückmeldung, durch die Option "/norestart" startet der Computer auch dann nicht neu, wenn der Patch das fordert. Mit der Option "/uninstall" können Sie Updates deinstallieren:
Wusa.exe /uninstall /kb:<Knowledgebase-Nummer des Patches>
In der Eingabeaufforderung besteht auch die Möglichkeit, sich die installierten Updates anzeigen zu lassen. Dazu dient der Befehl wmic qfe. Das gleiche gilt für die PowerShell mit dem Cmdlet get-hotfix. Das Cmdlet kann dabei nicht nur Updates des lokalen Rechners anzeigen, sondern praktischerweise auch Updates, die auf Rechnern im Netzwerk installiert sind:
Get-hotfix -computername <Name des Rechners>
Fazit
Die Verteilung von Updates erfolgt in Windows 10 ähnlich wie in den Vorgängerversionen. Allerdings gibt es zahlreiche neue Funktionen und Einstellungsmöglichkeiten, die auch in WSUS mit Windows Server 2012 R2 oder Windows Server 2016 eine wichtige Rolle spielen. Administratoren sollten die neuen Einstellungen für Windows 10 berücksichtigen und die Verteilung der großen Windows-10-Updates gut planen, um nicht das ganze Netzwerk außer Funktion zu setzen.

Im ersten Teil der Workshopserie zeigten wir, wie Sie WSUS einrichten und die automatische Freigabe von Updates steuern. Im zweiten Teil erklärten wir, wie Sie SSL in WSUS nutzen und Windows-10-Rechner an WSUS anbinden.
19.10.2020/jp/ln/Thomas Joos

Nachrichten

Schutz digitaler Identitäten im Home Office [23.09.2021]

Wie eine in der letzten Woche erschienene Studie des Kriminologischen Forschungsinstituts Niedersachsen zeigt, wirkt sich die aktuelle Pandemie und die vermehrte Nutzung von Remote Work häufig negativ auf die IT-Sicherheit in Unternehmen aus. 60 Prozent der Befragten an, dass sie innerhalb eines Jahres auf mindestens einen Cyberangriff reagieren mussten. [mehr]

Längerer Support für Ubuntu-LTS-Versionen [21.09.2021]

Canonical verlängert den Lebenszyklus von Ubuntu 14.04 LTS "Trusty Tahr" und 16.04 LTS "Xenial Xeru" um zwei auf insgesamt zehn Jahre. Diese erweiterte Extended-Security-Maintenance-Phase soll Unternehmen eine sichere und wartungsarme Infrastruktur mit Sicherheitsupdates und Kernel-Livepatches ermöglichen. [mehr]

Tipps & Tools

Mein erster Laptop [25.09.2021]

Wer im Home Office arbeitet und kleine Kinder zuhause hat, kennt die schwierige Balance zwischen Konferenzschaltung und gleichzeitig Aufmerksamkeit schenken. Eine gute Lösung scheint hier das Holz-Notebook "My First Computer" zu sein. Mit dem altersgerechten Laptop werden garantiert keine Daten gelöscht oder Tastaturen auseinandergebaut. [mehr]

Download der Woche: Power Automate Desktop [22.09.2021]

Wenn Sie im Programmieren nicht so versiert sind, zur Arbeitserleichterung aber dennoch bestimmte Abläufe wiederholen wollen, sollten sie sich das kostenfreie Microsoft-Tool "Power Automate Desktop" genauer ansehen. Es zeichnet Ihre Aktionen als sogenannte Flows auf und kann sie später für eine Automatisierung jederzeit wieder abspielen. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen