HowTo: Windows Server Update Services (Server 2008 R2)

Hier können Anleitungen für die verschiedensten Themengebiete gepostet werden.
sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:46

Vorwort

Mit Hilfe von WSUS (Windows Server Update Services) ist es möglich Windows Updates zentral im Netzwerk bereitzustellen und zu verwalten.

Durch den Server-Manager behält der Administrator den Überblick über den Patchlevel der Computer innerhalb seines Netzwerks.
Je nach Einstellung können Windows Updates zentral gespeichert werden, so dass diese nur ein einziges Mal heruntergeladen werden müssen, wodurch Bandbreite gespart wird.

Hinweis: Dieses HowTo bezieht sich nicht auf den WHS 2011, da das Hinzufügen von Server-Rollen laut EULA untersagt ist.

Übersicht
Installation der Server-Rolle "Windows Server Update Services (WSUS)"
Microsoft Report Viewer 2008 Redistibutable
Konfiguration des WSUS
Computergruppen anlegen (optional)
Optionen
Updates genehmigen
Clienten hinzufügen
Clienten entfernen
Schlusswort

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:47

Installation der Server-Rolle "Windows Server Update Services (WSUS)"

Im Server-Manager...
wsus-01.png
wsus-01.png (45.84 KiB) 32680 mal betrachtet
... starten wir durch einen Klick auf "Rolle hinzufügen" den Assisteten,...
wsus-02.png
wsus-02.png (30.71 KiB) 32680 mal betrachtet
...klicken auf "Weiter" und setzen das Häkchen bei "Windows Server Update Services (WSUS)".
wsus-03.png
wsus-03.png (44.23 KiB) 32680 mal betrachtet
Nach einen Klick auf "Weiter" erhalten wir eine kurze Einführung zu WSUS.
wsus-04.png
wsus-04.png (48.78 KiB) 32680 mal betrachtet
Ein weiterer Klick auf "Weiter" führt uns zur Bestätigungsseite.
wsus-05.png
wsus-05.png (25.4 KiB) 32680 mal betrachtet
Durch einen Klick auf "Installieren" bereitet der Assistent unseren Server vor.
Dabei wird das Setup für diesen Dienst heruntergeladen, wie im Bild zu sehen.
wsus-06.png
wsus-06.png (22.83 KiB) 32680 mal betrachtet
Anschließend öffnet sich der Setup-Assistent.
Hinweis: In meinem Fall "versteckte" sich dieser hinter dem Fenster des "Rollen hinzufügen-Assistenten".
Durch einen Klick in die Taskleiste kam dieser dann zum Vorschein.
wsus-07.png
wsus-07.png (43.59 KiB) 32680 mal betrachtet
Mit einem Klick auf "Weiter" bekommen wir nun den Lizenzvertag zu sehen, dem wir natürlich zustimmen.
wsus-08.png
wsus-08.png (26.54 KiB) 32680 mal betrachtet
Mit einem Klick auf "Weiter" erhalten wir u.U. nun die Meldung, das eventuell noch Komponenten fehlen.
In meinem Fall die "Microsoft Report Viewer 2008 Redistibutable".
Diese installieren wir später nach.
Zudem kann auch noch der IIS (Internet Information Service; Microsofts Webserver) als fehlend erscheinen, sollte dieser noch nicht installiert sein.
wsus-09.png
wsus-09.png (18.54 KiB) 32680 mal betrachtet
Nun werden wir gefragt ob WSUS die Updates lokal speichern soll und wohin.
Es ist zwar nicht zwingend erforderlich die Updates lokal vorzuhalten, macht aber aufgrund der Einsparung bezüglich der Bandbreite durchaus Sinn.
Da je nach gewünschten Einstellungen, die wir später tätigen werden, der benötigte Speicherplatz durchaus mehrere hundert Gigabyte groß werden kann, sollte für ausreichend Platz gesorgt werden.
Ich empfehle hierfür eine eigene Platte.
Für diese HowTo werde ich aber den Standardpfad D:\WSUS verwenden.
wsus-10.png
wsus-10.png (23.12 KiB) 32680 mal betrachtet
Als nächstes werden wir nach den Datenbankoptionen gefragt.
Bei kleinen und mittelgroßen Netzwerken reicht normalerweise die Standardeinstellung vollkommen aus.
Es ist aber durchaus möglich die Datenbank auf einem anderen Server, bzw. eine andere Datenbank zu verwenden.
Aber auch hier mache ich es mir wieder einfach und nehme die Standardeinstellung.
wsus-11.png
wsus-11.png (22.23 KiB) 32680 mal betrachtet
Da die Kommunikation zwischen Client und WSUS über den Webserver läuft, werden wir nun nach der gewünschten Option gefragt.
Es ist zwar durchaus möglich die Standardeinstellung zu verwenden, allerdings läuft dann diese Kommunikation über Port 80 ab, was u.U. Probleme mit einer bereits vorhanden Webseite auf dem IIS bereiten könnte.
Daher empfehle ich grundsätzlich die zweite Option, also eine eigene Webseite für WSUS zu verwenden.
wsus-12.png
wsus-12.png (21.79 KiB) 32680 mal betrachtet
Nun erhalten wir noch eine Zusammenfassung über unsere getätigten Einstellungen.
wsus-13.png
wsus-13.png (20.85 KiB) 32680 mal betrachtet
Mit einem Klick auf "Fertig stellen" wird nun WSUS auf unserem Server eingerichtet.
wsus-14.png
wsus-14.png (14.19 KiB) 32680 mal betrachtet
Zum Schluss erhalten wir dann noch die Meldung, dass das Setup erfolgreich abgeschlossen wurde.
wsus-15.png
wsus-15.png (42.1 KiB) 32680 mal betrachtet
Anschließend sehen wir den Assistenten, der uns durch die Einstellungen des WSUS begleitet.
wsus-16.png
wsus-16.png (38.47 KiB) 32680 mal betrachtet
Da uns aber ohnehin noch Komponenten fehlen, brechen wir diesen mit einem Klick auf "Abrechen" erstmal ab und schließen zudem auch noch den Assistenten "Rollen hinzufügen" mit einem Klick auf "Schließen".

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:47

Microsoft Report Viewer 2008 Redistibutable

Wem der Report Viewer ebenfalls fehlt, kann sich diesen unter folgender URL herunterlanden.
http://www.microsoft.com/downloads/de-d ... 7d22b6aac6

Da die Installation selbsterklärend ist, verzichte ich an dieser Stelle auf Screenshots.

Anschließend können wir uns wieder der Konfiguration unseres WSUS kümmern.

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:47

Konfiguration des WSUS

Nachdem alle fehlende Komponente nachinstalliert wurden, öffnen wir den Server-Manager und erweitern die Ansicht der Server-Rolle "Windows Server Update Services (WSUS)" so wie im Bild zu sehen ist.
Das gelbe Ausrufezeichen in der Rollenübersicht können wir dabei ignorieren, da sich lediglich die Warnung dahinter verbirgt, das bislang noch kein Client den Server kontaktiert hat...
Wie denn auch?!? ;)
wsus-17.png
wsus-17.png (60.41 KiB) 32679 mal betrachtet
Mit einem Klick auf "Optionen" werden uns im Hauptfenster die Optionen zum WSUS angezeigt, wo wir im unteren Bereich den "Assistenten für die WSUS-Konfiguration" wiederfinden.
wsus-18.png
wsus-18.png (53.18 KiB) 32679 mal betrachtet
Mit einem Klick auf diesen Assistenten öffnet sich selbiger.
wsus-19.png
wsus-19.png (38.65 KiB) 32679 mal betrachtet
Mit einem Klick auf "Weiter" erscheint die Seite "Programm zur Verbesserung von Microsoft Update".
Ob man daran teilnehmen möchte oder nicht, sei jedem selbst überlassen.
Ich verzichte an dieser Stelle darauf.
wsus-20.png
wsus-20.png (50.13 KiB) 32679 mal betrachtet
Nach einem erneuten Klick auf "Weiter" gelangen wir zum "Upstreamserver".
Hier können wir festlegen von welchem Server die Updates bezogen werden sollen.
So kann man z.B. in gößeren Netzwerken mehrere WSUS-Server in Betrieb nehmen, die sich alle von einem "Haupt-WSUS-Server" die Updates herunterladen und diese dann im Netzwerk verteilen.
In den meisten Fällen reicht aber ein einzelner WSUS-Server aus, so dass die erste Option eigentlich passen sollte.
wsus-21.png
wsus-21.png (45.16 KiB) 32679 mal betrachtet
Auf der nächsten Seite können wir einen Proxyserver angeben.
Diese Einstellung macht m.M.n. aber auch nur dann Sinn, wenn a) überhaupt ein Proxyserver im eigenen Netzwerk vorhanden ist und b) mehr als ein WSUS-Server die Updates von den Microsoft Update Servern beziehen.
Ansonsten können wir diese Einstellung getrost überspingen.
wsus-22.png
wsus-22.png (41.67 KiB) 32679 mal betrachtet
Als nächstes folgt die erste Kommunikation unseres WSUS mit den Servern von Micorsoft.
Dabei wird zunächst überprüft ob überhaupt eine Verbindung zustande kommt.
Mit einem Klick auf "Verbindung starten" startet der Test, der durchaus einige Minuten in Anspruch nehmen kann.
wsus-23.png
wsus-23.png (42.84 KiB) 32679 mal betrachtet
Vorausgesetzt der Test war erfolgreich, erhalten wir nach einem Klick auf "Weiter" nun die Auswahl der Sprachen.
In großen, weltweit operierenden Netzwerken ist die Standardauswahl "Updates in allen Sprachen herunterladen, einschließlich neuer Sprachen" vielleicht sinnvoll...
In den meisten Netzwerken innerhalb Deutschlands dürfte es aber vollkommen ausreichen, wenn man "Deutsch" und "Englisch", häufig sogar nur "Deutsch" wählt.
Die Auswahl ist dabei natürlich abhängig von den eingesetzten Micorosoft Produkten.
Für dieses HowTo beschränke ich mich daher auf "Deutsch".
wsus-24.png
wsus-24.png (56.11 KiB) 32679 mal betrachtet
Anschließend erhalten wir eine Auswahl über die Produkte die dem WSUS zur Verfügung stehen.
Hier sollte man gezielt die Produkte auswählen, die im eigenen Netzwerk vorhanden sind.
Es macht schließlich wenig Sinn Updates für Produkte bereitzustellen, die man garnicht einsetzt.

Man sollte sich aber auch darüber im Klaren sein, das Clienten, die einmal dazu aufgefordert wurden Updates über den eigenen WSUS zu beziehen, nicht mehr mit Microsofts Update Servern kommunizieren. *
* siehe WSUS Client entfernen
D.h.: Sollte ich bei meiner Auswahl z.B. Windows XP nicht anhaken, obwohl noch XP-Clienten in meinem Netzwerk vorhanden sind und weise diesen später an nach Updates auf dem WSUS zu suchen, können diese keine Updates erhalten; da nicht vorhanden...

Sollte man trotz vorheriger Überlegung feststellen, dass man das ein oder andere Produkt vergessen hat, lässt sich dieser Fehler aber jederzeit ändern, indem man die fehlenden Produkte einfach hinzufügt.
So lassen sich auch neue/zukünftige Produkte wie z.B. Windows 8 hinzufügen.
Vorausgesetzt diese werden vom WSUS unterstützt.

Für dieses HowTo beschränke ich mich jedoch auf "Windows 7".
wsus-25.png
wsus-25.png (61.27 KiB) 32679 mal betrachtet
Im nächsten Fenster werden wir nun nach den Klassifizierungen gefragt.
Mit einem Klick auf die jeweilige Klassifizierung erhält man im unteren Teil des Fensters genauere Angaben.
Wer genug Platz auf seiner Festplatte hat und auf Nummer Sicher gehen möchte, hakt einfach "Alle Klassifizierungen" an.
Aber auch hier gilt: Der persönliche Geschmack zählt.
Man sollte aber auf jeden Fall die Standardauswahl beibehalten.
Für dieses HowTo beschränke ich mich aber auf die "Sicherheitsupdates", damit der Download nicht zu lange dauert... ;)
wsus-26.png
wsus-26.png (39.42 KiB) 32679 mal betrachtet
Im nächsten Fenster können wir einen Synchronisierungsplan erstellen.
Die Standardoption "Manuell sychronisieren" halte ich dabei für wenig sinnvoll, da man selbst dafür zu sorgen hat das WSUS nach Updates sucht und diese herunterläd.
Wer das Ganze lieber ein wenig automatisiert haben möchte, wählt die Option "Automatisch synchronisieren" und legt die Uhrzeit fest.
Die Synchronisierung sollte selbstverständlich zu einer Uhrzeit stattfinden, zu der der Server auch eingeschaltet ist.
Da Microsoft die Updates in der Regel um 12 Uhr Mittags (Ortszeit!!!) bereitstellt, hat sich bei mir in der Praxis 22 Uhr als Zeitpunkt bewährt.
Das nur so als kleiner Tipp am Rande.
Den Eintrag "Synchronisieren pro Tag" sollte man auf 1 stehen lassen.
Es kann zwar durchaus vorkommen, dass MS einen Hotfix außerhalb ihres Patchdays (jeden zweiten Dienstag im Monat) bereitstellt; kommt aber relativ selten vor.
Zudem belastet eine Erhöhung dieses Wertes nur unnötig die Update Server von Microsoft.
Muss ja nicht sein...
wsus-27.png
wsus-27.png (35.37 KiB) 32679 mal betrachtet
Auf der nächsten Seite werden wir nun noch gefragt ob die Erstsynchronisierung gestartet werden soll.
Das bestätigen wir und klicken unten auf "Fertigstellen".
wsus-28.png
wsus-28.png (38.18 KiB) 32679 mal betrachtet
Nun läuft im Hintergrund die Erstsynchronisierung...
Je nach gewählten Einstellungen heißt es nun: Geduld mitbringen und den Server in Ruhe arbeiten lassen... ;)

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:48

Computergruppen anlegen (optional)

Während im Hintergrund die Erstsynchronisierung läuft, können wir Überlegungen anstellen, ob es sinnvoll ist unsere Computer in Gruppen mit unterschiedlichem Updateverhalten aufzuteilen.

Denkbar wäre z.B. eine Gruppe, bei der die Updates zwar heruntergeladen werden, die Installation jedoch per Hand ausgeführt wird.
Eine weitere Gruppe würde dann die Updates installieren, ohne das der Anwender tätig werden muss.

Wer eine solche Aufteilung nicht benötigt, kann diesen Teil überspringen und sich dem nächsten Punkt widmen.

Werfen wir wieder einen Blick in den Server-Manager und erweitern die Ansicht wie im Bild zu sehen ist.
wsus-29.png
wsus-29.png (35.88 KiB) 32678 mal betrachtet
Wie man sieht sind bislang weder Rechner noch Gruppen vorhanden.
Wobei dieser Satz nicht ganz korrekt ist, denn "Nicht zugewiesene Computer" ist bereits eine Gruppe.
In dieser Gruppe landen erstmal alle Rechner, die nicht explizit einer Gruppe hinzugefügt wurden.
Das Hinzufügen zu einer Gruppe kann auf 3 unterschiedlichen Arten erfolgen:
• Per Gruppenrichtlinie (setzt ein Active-Directory-Netzwerk voraus)
• Per Eintrag in die Registry auf Seiten des Clienten
• Per Hand im Server-Manager

Damit nicht alle Rechner im Netzwerk das gleiche Updateverhalten aufweisen, füge ich nun eine Gruppe "Autoupdate" hinzu.
Rechner innerhalb dieser Gruppe sollen Updates automatisch installieren, ohne dass der Anwender tätig werden muss.
Auf eine zweite Gruppe, bei der Updates zwar heruntergeladen, diese aber nicht automatisch installiert werden, verzichte ich, da ich dafür die Gruppe "Nicht zugewiesene Computer" verwenden werde.
Somit ist sichergestellt, dass alle Computer die innerhalb meines Netzwerkes auf den WSUS zugreifen, auch mit Updates versorgt werden.

Die Gruppen dienen dabei nur der Übersicht!
Das Updateverhalten wird im Endeffekt in der Registry des Clienten festgelegt.
Ganz gleich ob dieser per Hand oder per Gruppenrichtlinie einer Gruppe hinzugefügt wurde.


Mit einem Rechtsklick auf "Alle Computer" öffnet sich das Kontextmenü und wir wählen den Eintrag "Computergruppe hinzufügen..." aus.
wsus-30.png
wsus-30.png (37.57 KiB) 32678 mal betrachtet
Im sich nun öffnenden Fenster geben wir den Namen der Gruppe ein und klicken auf "Hinzufügen".
In meinem Fall also "Autoupdate".
wsus-31.png
wsus-31.png (8.82 KiB) 32678 mal betrachtet
Anschließend erscheint die neue Gruppe im Server-Manager.
Natürlich immernoch ohne Rechner.
wsus-32.png
wsus-32.png (37.65 KiB) 32678 mal betrachtet

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:48

Optionen

Werfen wir nochmal einen Blick in die Optionen unseres WSUS.
Ich werde hier kurz die Wichtigsten ansprechen.
wsus-33.png
wsus-33.png (45.25 KiB) 32678 mal betrachtet
Prdukte und Klassifizierungen
Hier lassen sich nachträglich Produkte und Klassifizierungen hinzufügen und entfernen.

Synchronisierungszeitplan
Hier läßt sich der Zeitplan ändern, zu welcher Zeit der WSUS nach Updates suchen soll.

Automatische Genehmigungen
Hier kann man Regeln erstellen, wie der WSUS mit Updates umgehen soll.
Wer es sich leicht machen möchte, aktiviert die bereits vorhandene "Automatische Standardgenehmigungsregel", fügt mit einem Klick auf die unten stehenden "Regeleigenschaften" alle benötigten Klassifizierungen hinzu und ändert u.U. die Computergruppen.
Es lassen sich natürlich auch eigene Regeln erstellen.

Hinweis: Automatische Genehmigungen können in Firmen zu großen Problemen führen, wenn z.B. eine firmeneigene Software nach Einspielung eines Patches den Dienst verweigert.

E-Mail-Benachrichtigungen
Hier lassen sich Mail-Adressen und -Server eintragen, denen der WSUS auf Wunsch Nachrichten über z.B. neue Updates zukommen lassen kann.
Es ist auch möglich mehrere Mailadressen einzutragen, um Beispielsweise einem Administratorenteam entsprechende Informationen zu senden.

Assistent für die Serverbereinigung
Dieser Assistent hilft dabei den Speicherplatz für Updates und die dazugehörige Datenbank möglichst klein zu halten, indem z.B. nicht benötigte Updates vom WSUS gelöscht werden.

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:48

Updates genehmigen

Nachdem unsere Server seine Erstsynchronisierung durchgeführt hat, sollten wir einen Blick auf "Update Services" werfen.
wsus-34.png
wsus-34.png (43 KiB) 32678 mal betrachtet
In meinem Fall warten 675 Sicherheitsupdates und 2 Updates mit hoher Priorität darauf von mir genehmigt zu werden.
Je nachdem welche Produkte und Klassifizierungen ausgewählt wurden, kann diese Anzahl um ein Vielfaches höher ausfallen.

Wie bereits in diesem HowTo angesprochen, können solche Genehmigungen auch automatisch erfolgen; inkl. der dazugehörigen Risiken...

Wer auf automatische Genehmigungen verzichten möchte oder muss, wird dieses per Hand nachholen müssen, bzw. ungewünschten Updates die Genehigung verweigern.

Dazu klicken wir auf den hervorgehobenen Link "Genehmigt", oder gehen direkt unter "Update" -> "Alle Updates" direkt in die Übersicht.
Alternativ kann man sich auch z.B. nur die Update mit hoher Priorität anzeigen lassen, indem man den entsprechenden Eintrag unterhalb von "Updates" auswählt.
Es ist dabei darauf zu achten, dass der Filter (oben im Hauptfenster, siehe blau markiertes Feld) so gesetzt ist, dass alle nichtgenehmigten Updates angezeigt werden.
Zugunsten dieses HowTos beschränke ich mich auf "Updates mit hoher Proirität".
wsus-35.png
wsus-35.png (59.2 KiB) 32678 mal betrachtet
Zum Genehmigen/Ablehnen hat man nun mehrere Möglichkeiten.
1. Gewünschtes Update markieren und rechts unter Aktionen auf "Genehmigen..." oder "Ablehnen" klicken
2. Mehrere Update durch Shift + Klick oder Strg + Klick markieren und unter Aktionen auf "Genehmigen..." oder "Ablehnen" klicken
3. Ein odere mehrere Updates markieren, Rechtsklick im Hauptfenster und im Kontextmenü auf "Genehmigen..." oder "Ablehnen" klicken

Egal für welche Variante man sich entscheidet, folgt bei Auswahl von "Genehmigen..." folgendes Fenster.
wsus-36.png
wsus-36.png (21.05 KiB) 32678 mal betrachtet
Da ich in meinem Fall beiden Gruppen die Updates bereitstellen möchte,
klicke ich auf das Symbol vor "Alle Computer", worauf sich ein Kontextmenü öffnet.
wsus-37.png
wsus-37.png (23.51 KiB) 32678 mal betrachtet
Hier wählt man nun "Für die Installation genehmigt" aus.
Jedoch sind auch andere Optionen verfügbar, wie im Bild zu sehen.
So kann man auch bereits genehigte und eventuell installierte Updates wieder entfernen, ohne von Rechner zu Rechner laufen zu müssen.

Nachdem wir uns dazu entschieden haben die Updates zu genehmigen erkennt man im Fenster ein neues Symbol, welches uns optisch mitteilt, dass die gewählten Updates für "Alle Computer" und somit auch für die darunterliegenden Gruppen als genehmigt gekennzeichnet sind.
wsus-38.png
wsus-38.png (21.03 KiB) 32678 mal betrachtet
Nur als Beipiel:
Auch solche Genehmigungen/Verweigerungen/Entfernungen sind möglich.
wsus-39.png
wsus-39.png (20.78 KiB) 32678 mal betrachtet
Nach einem Klick auf "OK" werden nun die Updates genehmigt.
Dabei kann es vorkommen, dass man noch die ein oder andere EULA bestätigen muss, je nachdem welches Update gerade genehmigt wird.
Abschließend erhält man noch eine Übersicht über den Status.
wsus-40.png
wsus-40.png (14.96 KiB) 32678 mal betrachtet
Zurück im Server-Manager bekommt man unter "Update Service" nun eine Übersicht über den Status des WSUS und den (mometan noch fehlenden) Clienten.
Wie man im Hauptfenster unter Serverstatistik sieht, sind die beiden von mir genehmigten Updates nun unter "Genehmigte Updates" dazugezählt worden.
Unter "Downloadstatus" erkennt man zudem wieviele Updates noch Dateien von Microsofts Update Servern benötigen und u.U. die Datenmenge.
In meinem Fall 0... ;)
wsus-41.png
wsus-41.png (76.75 KiB) 32678 mal betrachtet
Zum besseren Verständnis hier ein Bild meines echten WSUS:
wsus-42.png
wsus-42.png (64.61 KiB) 32678 mal betrachtet

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 11:49

Clientcomputer hinzufügen

Damit unsere Clienten nun ihre Updates von unserem WSUS erhalten, gibt es mehrere Möglichkeiten.
Die einfachste und angenehmste ist mit Hilfe einer angepassten Gruppenrichtline auf einem Domänencontroller inkl. Active Directory.
Die zweite Möglichkeit besteht darin, die Registry des Clienten so zu bearbeiten, dass fortan Updates über den WSUS bezogen werden.

I. WSUS über Gruppenrichtlinie (Active Directory)

Dieses Thema werde ich nur kurz anschneiden, da das Erstellen einer angepassten Gruppenrichtlinie hier den Rahmen sprengen würde.
Außerdem sollten Administratoren von Domänencontrollern ohnehin wissen, wie man soetwas bewerkstelligt.

Im Gruppenrichtlinienverwaltungs-Editor findet man die entsprechenden Einstellungen unter
Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update
Die dortigen Optionen sollten selbsterklärend sein.
wsus-43.png
wsus-43.png (57.56 KiB) 32678 mal betrachtet
Wer seine Domänencomputer in OUs aufgeteilt hat, kann selbstverständlich unterschiedliche GPOs verwenden, um z.B. die Clienten in unterschiedliche WSUS-Gruppen zu packen.


II. Clienten mit Hilfe der Registry zu WSUS hinzufügen

Wer es ganz bequem haben möchte, kann sich mit dem Tool "WSUS - WorkGroup ClientManager" auf dem Clienten behelfen.
Download: http://wsusworkgroup.codeplex.com/

Dazu trägt man lediglich den Namen des WSUS-Servers ein, wählt die gewünschten Optionen aus und klickt zum Schluss auf "Activate WSUS".
wsus-44.png
wsus-44.png (88.39 KiB) 32678 mal betrachtet
wsus-45.png
wsus-45.png (87.7 KiB) 32678 mal betrachtet
Leider unterstütz dieses Tool nicht alle verfügbaren Optionen...
Und so wie es aussieht wird es auch nicht mehr weiterentwickelt.
Schade eigentlich...


Nach einem Reboot des Clienten sollte dieser kurze Zeit später im WSUS auftauchen und sich bei Bedarf notwendige Updates herunterladen und gegebenenfalls installieren.


Wer das ganze lieber per Hand erledigen möchte, kann sich der Reg-Datei bedienen, die ich hier anhänge.
Diese muss selbstverständlich noch bearbeitet und den eigenen Gegebenheiten angepasst werden.
WSUS - Client hinzufügen.zip
(582 Bytes) 891-mal heruntergeladen
Dazu speichern wir diese Datei auf dem Clienten und entpackt sie anschließend.
Mit einem Rechtsklick öffnet sich das Kontext Menü.
Dort wählen wir "Bearbeiten", worauf sich der Editor öffnet.
Nun können wir die Datei unseren Bedürfnissen anpassen und speichern.
Anschließend fügen wir die Registrykeys mit einem Doppelklick dem Clienten zu.

Zum besseren Verständnis erkläre ich noch die einzelnen Werte.

WUServer:
Hier wird die Adresse des WSUS-Servers eingegeben, inkl. Port, falls dieser vom Port 80 abweicht.
z.B.
http://Servername
oder
http://Servername:8530

WUStatusServer:
Hier wird die Adresse der WSUS-Datenbank eingegeben.
Normalerweise ist dieser Eintrag identisch mit dem des WUServers

ElevateNonAdmins:
Nichtadministratoren gestatten Updatebenachrichtigungen zu erhalten
Benachrichtigungen anzeigen = dword:00000001
Benachrichtigungen nicht anzeigen = dword:00000000

TargetGroupEnabled:
Client einer WSUS-Gruppe hinzufügen ja/nein.
Einer Gruppe hinzufügen = dword:00000001
Keiner Gruppe hinzufügen = dword:00000000

TargetGroup:
Name der WSUS-Gruppe

AcceptTrustedPublisherCerts:
signierte Updates von Drittanbietern ablehnen = dword:00000000
signierte Updates von Drittanbietern akzeptieren = dword:00000001

NoAUShutdownOption:
Option "Updates installieren und herunterfahren" anzeigen = dword:00000001
Option "Updates installieren und herunterfahren" ausblenden = dword:00000000

NoAUAsDefaultShutdownOption:
Option "Updates installieren und herunterfahren" als Standardoption im "Herunterfahren"-Dialog festlegen = dword:00000000
Option "Updates installieren und herunterfahren" nicht als Standardoption im "Herunterfahren"-Dialog festlegen = dword:00000001

AUPowerManagement:
Windows Update-Energieverwaltung aktivieren, um das System zur Installation von geplanten Updates automatisch zu reaktivieren.
Rechner reaktivieren = dword:00000001
Rechner nicht reaktivieren = dword:00000000

NoAutoUpdate:
automatisch Updates aktivieren = dword:00000000
automatische Updates deaktivieren = dword:00000001

AUOptions:
Vor dem Download benachrichtigen = dword:00000002
Updates herunterladen, vor der Installation benachrichtigen = dword:00000003
Updates herunterladen und zum geplanten Zeitpunkt installieren = dword:00000004 -> ScheduledInstallDay und ScheduledInstallTime müssen gültige Werte aufweisen!
Lokalen Administratoren ermöglichen, Einstellungen auszuwählen = dword:00000005

ScheduledInstallDay:
Geplanter Installationstag
Nur gültig, wenn AUOption = dword:00000004
dword:00000000 = täglich
dword:00000001 = Sonntag
dword:00000002 = Montag
dword:00000003 = Dienstag
dword:00000004 = Mittwoch
dword:00000005 = Donnerstag
dword:00000006 = Freitag
dword:00000007 = Samstag

ScheduledInstallTime:
Geplante Installationszeit
Mögliche Werte 0 - 24 (Uhr), wobei 12:00 Uhr einem Wert von dword:0000000c entspricht.

UseWUServer:
Der Client bezieht seine Updates vom WSUS = dword:00000001
Der Client bezieht seine Updates vom Microsoft Update Server = dword:00000000

DetectionFrequencyEnabled:
Automatische Suche nach Updates aktiviert = dword:00000001
Automatische Suche nach Updates deaktiviert = dword:00000000

DetectionFrequency:
Suchhäufigkeit für automatische Updates.
Mögliche Werte 0 - 22 Stunden
dword:0000000c = 12 Stunden

IncludeRecommendedUpdates:
Updates können auch von "Automatische Updates" installiert werden = dword:00000000
WSUS stellt ausschließlich Updates bereit = dword:00000001

AutoInstallMinorUpdates:
Updates die keinem Neustart erfordern automatisch installieren = dword:00000001
Updates die keinem Neustart erfordern nicht automatisch installieren = dword:00000000

NoAutoRebootWithLoggedOnUsers:
dword:00000001 = Angemeldeter Benutzer erhält die Auswahl den Rechner zu rebooten oder eben nicht.
dword:00000000 = Angemeldeter Benutzer wird darüber informiert, dass der Rechner in 5 Minuten rebootet wird.

RebootRelaunchTimeoutEnabled:
dword:00000000 = Deaktivert die Option RebootRelaunchTimeout; Standardwert von 10 Minuten wird genommen
dword:00000001 = Aktivert die Option RebootRelaunchTimeout

RebootRelaunchTimeout:
Zeit in Minuten die zwischen den Aufforderungen zum geplanten Neustart vergeht.
dword:0000003c = 60 Minuten

RebootWarningTimeoutEnabled:
dword:00000000 = Deaktivert die Option RebootWarningTimeout; Standardwert von 5 Minuten wird genommen
dword:00000001 = Aktivert die Option RebootWarningTimeout

RebootWarningTimeout:
Zeit in Minuten, die der Countdown vor dem Reboot anzeigt.
Mögliche Werte 1 - 30 Minuten
dword:0000001e = 30 Minuten

RescheduleWaitTimeEnabled:
dword:00000000 = Deaktivert die Option RescheduleWaitTime; verpasste Installation wird zur nächsten geplanten Installationszeit ausgeführt
dword:00000001 = Aktivert die Option RebootWarningTimeout

RescheduleWaitTime:
Zeit in Minuten, die Windows Update nach Start des Systems wartet, bis die Installation einer verpassten Installation beginnt.
Mögliche Werte 0 - 60 Minuten
dword:00000005 = 5 Minuten

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 13:37

Clientcomputer entfernen

Damit ein Client seine Updates wieder direkt von den Microsoft Update Servern bezieht, muss lediglich ein Registryschlüssel (inkl. Unterschlüssel) entfernt werden.
Dazu öffnet man den Registry-Editor, navigiert zu

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate
und entfernt diesen komplett.

Nach einem Reboot empfängt der Client seine Updates wieder wie gewohnt von den Microsoft Update Servern.

Um nun noch den Clienten aus der WSUS-Gruppe zu entfernen, öffnet man im Server-Manager die entsprechende Gruppe, rechtsklickt auf den Clienten und wählt im Kontextmenü "Löschen" aus.

Für Domänenadministratoren:
Vor dem Reboot des Clienten ist die Gruppenrichtlinie entsprechend zu bearbeiten, oder den Clienten aus dieser auszuschließen.

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 4. Okt 2011, 13:39

Schlusswort

Sooo...
Ich hoffe Ihr hattet auch an diesem HowTo ein wenig Spaß und konntet das ein oder andere Wissenswerte entnehmen.

Gruß
sTunTe

Traseus
Foren-Mitglied
Beiträge: 944
Registriert: 15. Mai 2011, 11:44
Wohnort: Lüneburger Heide

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von Traseus » 4. Okt 2011, 17:21

Meinen allergrößten Respekt!

Und Danke!
Mein WHS 2011: Wurde durch einen Windows 8.1 "Server" abgelöst.

hyperjojo
Foren-Einsteiger
Beiträge: 9
Registriert: 2. Aug 2010, 20:36

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von hyperjojo » 13. Okt 2011, 17:11

Hallo,

sehr nett gemacht. Jetzt fehlt nur noch ein Addin für WHS2011, welches die Aufgaben übersichtlich automatisiert anbietet :)

Gruß hyperjojo
HomeServer:
HP ProLiant N40L mit WHS2011
RAM: 6GB (2+4)
250GB System, 2x2TB Daten

Benutzeravatar
Nobby1805
Moderator
Beiträge: 20768
Registriert: 6. Jun 2009, 17:40
Wohnort: Essen

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von Nobby1805 » 13. Okt 2011, 17:17

... das es nicht geben wird weil ...
Hinweis: Dieses HowTo bezieht sich nicht auf den WHS 2011, da das Hinzufügen von Server-Rollen laut EULA untersagt ist.
WHS: Acer H340 mit 2x 1 TB (WD10EAVS), 2x 2 TB (WD20EARS), PP3+UR2
5 Clients:
1 Intel i5-4670K, ASUS H87-PRO, 16 GB, 250 GB SSD, 2x 500 GB, Win 10 Pro x64 1809
1 Lüfterlos fürs Wohnzimmer, Intel Celeron D 1900, 4 GB, 240 GB, Win 10 Pro x64 1809
1 HP G 5230, Win 10 Pro 1703
1 Sony Vaio EB 2H4E, Win7 Home Prem. x64 (bleibt auf W7 weil Sony keine W10-Grafiktreiber anbietet :cry: )
1 Samsung NP-R540-JS09DE, Win 10 Pro x64 1803


WHSListTombstones, ein Tool zur Auflistung aller Tombstones
WHSDisks, ein Tool zur Darstellung und Prüfung der DriveExtender-Konfiguration
WHSDiskNames, ein Tool zur Änderung der Plattennamen in der Konsole
WHSBackup, Infos und Tool zur Backup-DB (2011-Version (auch für WSE2012))
Bitte schreibt bei Fragen und Problemen eure Konfig in die Signatur

bcs-luggi
Foren-Mitglied
Beiträge: 88
Registriert: 18. Jan 2010, 21:01

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von bcs-luggi » 11. Dez 2011, 15:31

sTunTe hat geschrieben:Clientcomputer entfernen

Damit ein Client seine Updates wieder direkt von den Microsoft Update Servern bezieht, muss lediglich ein Registryschlüssel (inkl. Unterschlüssel) entfernt werden.
Dazu öffnet man den Registry-Editor, navigiert zu

Code: Alles auswählen

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate
und entfernt diesen komplett.

Nach einem Reboot empfängt der Client seine Updates wieder wie gewohnt von den Microsoft Update Servern.

Um nun noch den Clienten aus der WSUS-Gruppe zu entfernen, öffnet man im Server-Manager die entsprechende Gruppe, rechtsklickt auf den Clienten und wählt im Kontextmenü "Löschen" aus.

Für Domänenadministratoren:
Vor dem Reboot des Clienten ist die Gruppenrichtlinie entsprechend zu bearbeiten, oder den Clienten aus dieser auszuschließen.
Servus,
erstmal danke für die hervorragende Anleitung.

Das mit dem Cliententfernen klappt bei mir nicht so ganz.

Der Client, W7P, sagt mir im Update "Fenster" das der Admin die Updates verwaltet (siehe Bild)
wsus.png
wsus.png (97.87 KiB) 31565 mal betrachtet
Möglicherweise holt er die Updates zwar wieder bei MS, ich habe aber keinen einfluß mehr darauf.

Wo hängt den da der Hammer?
Bert
WHS V1: Acer H340 PP3, 2 GB RAM, 5 TB (2 x 1,5 TB Seagate ST31500341AS, 2 x 1,0 TB Hitachi HDT721010SLA360)
WHS 2011: VM auf Fujitsu TX 150 S7
Clients:
1 x Medion Laptop MD 96970 WIN 7 Pro
1 x Dell Uralt WIN XP Pro SP3
1 x Dell Alt WIN XP Pro SP3
2 x Office PC WIN XP Pro SP3
2 x Kinder Laptop WIN XP Pro SP3
1 x Medion Netbook E1312 WIN XP Home SP3

sTunTe
Moderator
Beiträge: 3078
Registriert: 9. Jun 2008, 16:25
Wohnort: im nasskalten Norden

Re: HowTo: Windows Server Update Services (Server 2008 R2)

Beitrag von sTunTe » 11. Dez 2011, 16:00

hmmm...

Hast Du nach dem entfernen der Registrykeys den Rechner neu gestartet?
Hat der angemeldete Benutzer überhaupt entsprechende Rechte nach Updates zu suchen?
Was zeigt der Client Dir an, wenn Du auf "Einstellungen ändern" gehst?

Gruß
sTunTe

Antworten