Teil 1 - Funktionsweise und SystemvoraussetzungenSo einfach nutzen Sie WSUS für Ihr Patch-Management

Teil 2 - Konfiguration und Verteilen von Patches

Autor: windows-server-praxis.de

 

Konfiguration: Nehmen Sie diese Einstellungen vor

Alle Konfigurations- und Verwaltungsarbeiten nehmen Sie über die Web-Oberfläche vor, die Sie übrigens nur mit einem aktuellen Internet Explorer (mind.  IE 6) betrachten können. Sie ist unter der URL "http://WSUSSERVER:8530/WSUSAdmin" erreichbar. Als erste Aktion synchronisieren Sie den WSUS-Server mit dem Microsoft-WSUS-Server, um Ihre Updates auf den aktuellsten Stand zu bringen. Dies tun Sie unter „Optionen“ -> „Synchronisierungsoptionen“.

Abb. 2

Nach der Installation weisen Sie Ihren WSUS-Server an, regelmäßig neue Informationen über Patches aus dem Internet zu laden. Dabei werden aber noch nicht die eigentlichen Patch-Installationspakete geladen, sondern nur Rahmeninformationen wie die Beschreibung des Patches und der Kompatibilität.

Damit der WSUS-Server zukünftig automatisch auf dem Laufenden bleibt, konfgurieren Sie gleich noch einen Zeitplan. Wählen Sie „tägliche Synchronisation“ und geben Sie einen Zeitpunkt vor – etwa morgens um „03:00“.

So testen und verteilen Sie Patches

Die zu aktualisierenden PCs im Netz verwalten Sie unter „Computer“. Vordefniert sind hier zwei Gruppen: „Alle Computer“ und „Nicht zugeordnete  Computer“. Die Gruppe „Alle Computer“ ist für im Einsatz befindliche PCs gedacht. Fügen Sie hier also Ihre produktiven Systeme hinzu.

Tipp der Redaktion: Zum Testen von Patches erstellen Sie am besten noch eine Computergruppe namens „Test-PCs“. Fügen Sie der Gruppe alle Test-Systeme hinzu. Neue Patches verteilen Sie in Zukunft zunächst nur an diese Gruppe und prüfen hier die Funktionalität der Patches.

Abb. 3

Zum Verteilen von Patches im Netz klicken Sie dann auf „Updates“ und gehen wie folgt vor:

Schritt 1:
Sie wählen aus dem Suchmenü zur Genehmigung links „Alle Updates“ und danach die Computergruppe für produktive Systeme aus.

Schritt 2: In der nun angezeigten Update-Liste markieren Sie die zu installierenden Updates und klicken links im Menü auf „Zur Installation genehmigen“.

 

Konfgurieren Sie Ihre Clients

Im letzten Schritt konfgurieren Sie Ihre Windows-Clients, so dass sich deren Windows-Update-Komponente mit dem lokalen WSUS-Server verbindet und die freigegebenen Updates installiert. Dazu verwenden Sie eine Gruppenrichtlinie, die automatisch die Einstellungen an Ihre Clients verteilt. Sie finden die Konfigurationsparameter im GPO-Editor unter „Computerkonfguration“  -> „Administrative Vorlagen“  -> „Windows Komponenten“  -> „Windows-Update“. Definieren Sie die folgenden zwei Richtlinien:

  1. „Interner Pfad für den Microsoft Updatedienst angeben“: Geben Sie hier jeweils die URL Ihres Servers ein. In unserem Beispiel also z. B. „http://octogon:8530“.

  2. „Automatische Updates konfigurieren“: Aktivieren Sie die Richtlinie und legen Sie die Einstellungen für das Update-Verhalten der Clients fest. Standardgemäß ist die Option „3“ aktiviert.

Beachten Sie: Falls Sie die Option „4“ („Updates automatisch installieren und laut angegebenem Zeitplan installieren“) nutzen möchten, legen Sie den Installationszeitpunkt nicht in die Mittagspause. Wir selbst haben in der Praxis erlebt, wie dadurch die PCs ungewollt in der Pause neu gestartet wurden und offene Dateien der Mitarbeiter verloren gingen.

Nach der Konfiguration kontaktieren Ihre Client-PCs den Server alle 18 bis 24 Stunden, um nach neuen Updates zu suchen. Der Zeitabstand lässt sich über die Richtlinie „Suchhäufgkeit für automatische Updates“ beeinflussen. Ganz genau ist der Zeitpunkt jedoch selbst dann nicht, denn der vorgegebene Update-Zyklus wird clientseitig um bis zu 20 Prozent zufällig variiert. Damit wird verhindert, dass zu viele Clients gleichzeitig auf den Server zugreifen.

Um einen PC zu veranlassen, unmittelbar nach frischen  Patches zu fahnden, wenn diese verfügbar sind, geben Sie auf Kommandozeilenebene folgenden Befehl ein: wuauclt.exe /detecnow

Haben Sie das System getestet, informieren Sie schließlich Ihre Benutzer über das neue Update-Verhalten der Systeme und darüber, wie sie z. B. einen Update-Vorgang hinauszögern können, damit der PC nicht sofort neu startet.

 

Quellen & Links

WSUS im Microsoft TechNet
 http://technet.microsoft.com/de-de/wsus/default.aspx

WSUSpraxis.de - das ServerHowTo.de-Partnerprojekt
 http://www.wsuspraxis.de/

 

© MCSEboard.de, windows-server-praxis.de

Teil 1 - Funktionsweise und SystemvoraussetzungenSo einfach nutzen Sie WSUS für Ihr Patch-Management