Fachartikel

Windows aktualisieren mit WSUS (3)

Mit WSUS lassen sich auch die eher großen Windows-10-Updates problemlos im Netzwerk verteilen. Das spart deutlich Bandbreite ein und Administratoren können gruppenweise größere Aktualisierungen verteilen. Doch zuvor müssen Sie in WSUS einige Einstellungen vornehmen, neue Gruppenrichtlinienvorlagen herunterladen und Gruppenrichtlinien entsprechend anpassen, damit der Updateserver richtig mit dem aktuellen Windows zusammenspielt. Im dritten Teil der Workshopserie geht es darum, wie Sie eigene Patch-CDs für Windows und Office erstellen und Windows-Updates per Befehl steuern.
Die Windows Server Update Services fungieren auch als Paketträger für Windows-Updates.
Mehrere WSUS-Server einsetzen
Setzen Sie mehrere WSUS-Server im Unternehmen ein, ist es nicht notwendig, dass sich alle Server direkt bei Microsoft synchronisieren. Sie können vielmehr einen Upstream-Server festlegen, von dem andere WSUS-Server ihre Updates beziehen. Dabei haben Sie auch die Möglichkeit, nicht nur die Updates zu synchronisieren, sondern auch die Einstellungen. Auf diesem Weg richten Sie einen einzelnen WSUS-Server ein und verteilen dessen Daten und Patches im Unternehmen auf andere WSUS-Server.

Sinnvoll ist das als Alternative für die Peer-To-Peer-Verteilung von Windows-10-Updates im Netzwerk. Für die Einstellungen in diesem Bereich gehen Sie in den Optionen zu "Updatequelle und Proxy". Hier können Sie zudem die Aktualisierungen über Proxy-Server konfigurieren samt der Möglichkeit, einen Benutzernamen und ein Kennwort bereitzustellen.

Sobald Sie den Quell-WSUS-Server eingerichtet haben, rufen Sie auf den untergeordneten WSUS-Servern "Optionen / Updatequelle und Proxyserver" auf. Aktivieren Sie die Option "Von einem anderen Windows Server Update Services-Server synchronisieren". Im Fenster geben Sie den Servernamen ein sowie den Port 8530, sofern Sie kein SSL konfiguriert haben.

Nutzen Sie bereits SSL, verwenden Sie den entsprechenden Port. Im Fenster zur Steuerung des Upstream-Servers legen Sie auch fest, dass der untergeordnete WSUS-Server auch die Einstellungen vom übergeordneten Server erhält. Dazu aktivieren Sie die Option "Dieser Server ist ein Replikat des Upstream-Servers". Nun müssen Sie auf den untergeordneten Servern auch keine Updates mehr freigeben, da diese Option ebenfalls synchronisiert wird.

Nach einigen Stunden sollten die Server miteinander abgeglichen sein. Im Bereich "Downstreamserver" in der Verwaltungskonsole von WSUS sehen Sie die untergeordneten WSUS-Server. Hier können Sie den Server zur Verwaltung auch zur aktuellen Konsole hinzufügen und auf diesem Weg in einer WSUS-Konsole auch mehrere Server verwalten.
Eigene Patch-CDs für Windows und Office erstellen
Müssen mehrere Computer installiert werden, kann das schnell Stunden dauern, bis Server oder Arbeitsstationen auf dem neusten Stand sind. Hier bietet es sich an, eine Aktualisierungs-CD/DVD oder eine ISO-Datei zu erstellen, auf der alle wichtigen Patches gespeichert sind, und die auf einen Schlag automatisiert installiert werden können. Auch das Erstellen eines USB-Sticks ist möglich.

Dabei hilft die Freeware "WSUS Offline Update" [5]. Das Tool lädt automatisch die WSUS-Katalogdatei bei Microsoft herunter und danach alle Patches, die Sie ausgewählt haben. Sie müssen das Tool nicht installieren, sondern können es einfach starten. Die aktuelle Version unterstützt allerdings nicht mehr Windows XP und Windows Server 2003, dafür aber Windows 10 und Windows Server 2016. Mit WSUS Offline Update können Sie daher gezielt alle vorhandenen Aktualisierungen für Windows 10 und Windows Server 2016 auf einmal herunterladen und eine ISO-Datei erstellen. Die ISO-Datei brennen Sie dann entweder auf einen Datenträger oder stellen sie auf einem Server bereit. Danach starten Sie die Aktualisierung der Rechner über einen Assistenten. Dieser kann auf Wunsch auch den Server neu starten oder nach der Aktualisierung herunterfahren.

In der grafischen Oberfläche legen Sie danach fest, welche Updates das Tool berücksichtigen soll. Um das Tool zu starten, rufen Sie die Datei "UpdateGenerator.exe" auf. Auf der Registerkarte "Windows" legen Sie nach dem Start des Tools fest, für welche Windows-Versionen Sie Updates herunterladen möchten.


Bild 5: Mit WSUS Offline Update erstellen Sie einen Installationsdatenträger für Windows-Patches.
So können Sie einen Windows-Server in einem Schritt auf den aktuellsten Stand bringen.

Sobald Sie die Produkte ausgewählt haben, legen Sie im unteren Verzeichnis noch verschiedene Optionen fest. Diese sind weitgehend selbsterklärend. Sinnvoll ist in jedem Fall noch das Aktivieren der Optionen "C++-Laufzeitbibliotheken und .NET Frameworks einschließen" und "pro Produkt und Sprache" bei "Erstelle ISO-Images". Das bietet den Vorteil, dass Sie die ISOs auch bei virtuellen Servern nutzen können. Auf herkömmlichen Servern können Sie die heruntergeladenen Aktualisierungen auch einfach auf einem USB-Stick speichern.

Sie legen auf der Seite zudem fest, ob Sie nur 64-Bit-Patches (x64 Global) oder auch Aktualisierungen für 32-Bit-Computer (x86 Global) herunterladen wollen. Möchten Sie die Updates nicht direkt über Windows Update herunterladen, sondern auf Basis eines vorhandenen WSUS-Servers, können Sie über die Schaltfläche "WSUS" die URL eines WSUS-Servers hinterlegen. Mit der Auswahl "Start" beginnt das Tool mit dem Download der Patches und erstellt auf Wunsch auch die ISO-Dateien für die Aktualisierung.

Um Server oder Arbeitsstationen mit WSUS Offline Update zu aktualisieren, mounten Sie entweder die ISO-Datei, brennen diese auf CD/DVD, oder kopieren den Inhalt des Verzeichnisses "\wsusoffline\client" auf einen USB-Stick. In diesem Verzeichnis befinden sich alle Aktualisierungen des Tools sowie die notwendigen Installationsdateien. Das Verzeichnis wird auch beim Erstellen von ISO-Dateien berücksichtigt. Die Aktualisierung starten Sie mit dem Tool "Updateinstaller.exe". Das Werkzeug startet eine grafische Oberfläche, über die Sie festlegen, wie die Aktualisierung durchgeführt wird.

Windows-Updates per Befehl steuern
Sie können in Windows 10 und Windows Server 2016 in der Eingabeaufforderung oder der PowerShell mit dem Tool "wusa.exe" Windows-Updates installieren und deinstallieren:
Wusa.exe <MSU-Datei des Patches> /quiet /norestart
Die Option "/quiet" installiert ohne Rückmeldung, durch die Option "/norestart" startet der Computer auch dann nicht neu, wenn der Patch das fordert. Mit der Option "/uninstall" können Sie Updates deinstallieren:
Wusa.exe /uninstall /kb:<Knowledgebase-Nummer des Patches>
In der Eingabeaufforderung besteht auch die Möglichkeit, sich die installierten Updates anzeigen zu lassen. Dazu dient der Befehl wmic qfe. Das gleiche gilt für die PowerShell mit dem Cmdlet get-hotfix. Das Cmdlet kann dabei nicht nur Updates des lokalen Rechners anzeigen, sondern praktischerweise auch Updates, die auf Rechnern im Netzwerk installiert sind:
Get-hotfix -computername <Name des Rechners>
Fazit
Die Verteilung von Updates erfolgt in Windows 10 ähnlich wie in den Vorgängerversionen. Allerdings gibt es zahlreiche neue Funktionen und Einstellungsmöglichkeiten, die auch in WSUS mit Windows Server 2012 R2 oder Windows Server 2016 eine wichtige Rolle spielen. Administratoren sollten die neuen Einstellungen für Windows 10 berücksichtigen und die Verteilung der großen Windows-10-Updates gut planen, um nicht das ganze Netzwerk außer Funktion zu setzen.

Im ersten Teil der Workshopserie zeigten wir, wie Sie WSUS einrichten und die automatische Freigabe von Updates steuern. Im zweiten Teil erklärten wir, wie Sie SSL in WSUS nutzen und Windows-10-Rechner an WSUS anbinden.
19.10.2020/jp/ln/Thomas Joos

Nachrichten

SAP-Systeme auf Brexit vorbereiten [26.10.2020]

Der IT-Dienstleister Syntax hat ein neues Whitepaper veröffentlicht, das Unternehmen dabei unterstützt, die Brexit-bedingten Umstellungen ihrer SAP-Systeme zu bewältigen. Die Umstellungen betreffen jeden, der mit Großbritannien Handel treibt, also Waren oder Dienstleistungen von dort bezieht oder Kunden im Vereinigten Königreich hat. [mehr]

Neuerungen in Ubuntu 20.10 [23.10.2020]

Canonical hat "Ubuntu 20.10" für Desktop und Server auf den Markt gebracht. Die neue Betriebssystemversion enthält einige Neuerungen wie verbesserte Unterstützung für Raspberry PI, LXD 4.6 für das Container-Management und MicroK8s 1.19, um Edge-Workloads zu orchestrieren. Auch GNOME 3.38 ist an Bord und hat einen Feinschliff erhalten. [mehr]

Alles-as-a-Service [21.10.2020]

Tipps & Tools

HPE baut schnellsten Supercomputer [27.10.2020]

EuroHPC und das LUMI-Konsortium haben 144,5 Millionen Euro in den Bau eines der schnellsten HPE-Supercomputer investiert. Dieser wird laut Hersteller eine Spitzenleistung von mehr als 550 Petaflop/s erreichen – das entspricht etwa der Leistung von 1,5 Millionen Laptops. Das neue System soll Mitte 2021 in Finnland in Betrieb gehen. [mehr]

Konischer Bluetooth-Lautsprecher [25.10.2020]

Wenn Sie viel Wert auf Design und besonderes Material legen, lohnt sich ein Blick auf den Bluetooth-Lautsprecher "Mini Halo One". Dieser ist konisch geformt, was nicht nur ungewöhnlich aussieht, sondern auch äußerst gut klingt. Das Gadget bringt kompakte Maße mit und findet somit schnell einen Platz auf dem Schreibtisch. [mehr]

Dehnbares Ladekabel [18.10.2020]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen