Windows Updates automatisiert

[RouvenE]

Hi,

Auf meinem WHS habe ich nun WSUS installiert und denke, dass das ein super Dienst ist, der dem WHS einen weiteren Sinn gibt und optimal nutzt.

WSUS = Windows Server Update Services (WSUS 3.0 bei Microsoft downloadbar)
Dieser Dienst synchronisiert den Server mit den aktuell verfuegbaren Updates auf der MS-Update-Service-Page (Updates fuer Office, XP, Vista, Serverprodukte u.v.m.).
Einmal installiert und mit den Clients verbunden, baut dieser eine Verbindung zu den Clients auf und versorgt diese mit den aktuellen Updates, die somit nur einmal gedownloadet werden muessen und nicht fuer jeden Rechner einzeln (weniger Traffic).

Da es wohl eine Besonderheit beim WHS gibt und ich nach Loesungen suchen musste, wollte ich die hier kurz bereitstellen:

1) Es muss eine Date namens WSUS.bat erstellt werden mit folgendem Inhalt:

Code: Alles auswählen

@echo off
::
Echo Save the batch file as "WSUS.bat". This batch file will do the following:
Echo 1.    Stops the Automatic Update Service (wuauserv) service.
Echo 2.    Imports WUA settings for workstations in workgroup to detect/download/install updates from WSUS.
Echo 3.    Starts the Automatic Update Service (wuauserv) service.
Echo 4.    Force update detection.
Echo 5.    More information on http://msmvps.com/Athif
REM INSTRUCTIONS:
REM Place both the files (WSUS.reg and WSUS.bat) in same location (single folder)
REM Double-click WSUS.bat to import WSUS.reg which contains Windows Update Agent (WUA) settings. 
REM for WUA in a workgroup environment. In this sample, WSUS.reg and WSUS.bat 
REM are placed in 'c:\'.

REM Author:- Mohammed Athif Khaleel :- Date April 30, 2006
Pause
Net Stop "wuauserv"
Echo Importing WSUS.reg
%windir%\Regedit.exe /s C:\WSUSUpd\WSUS.reg
Echo WSUS.reg imported succesfully
Net Start "wuauserv" 
Echo Forcing update detection
wuauclt /detectnow
Pause

-> Hier muss nur der Pfad nach Regedit angepasst werden.

Nun noch eine Datei namens WSUS.reg mit dem Inhalt: (WUServer und WUStatusServer anpassen sowie die Gruppe unter TargetGroup in der WSUS-Konsole als Computergruppe erstellen!)

Code: Alles auswählen

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://SERVER-Name:8530"
"WUStatusServer"="http://SERVER-Name:8530"   -> 8530 weglassen, sofern keine eigene IIS-Seite erstellt wurde
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Testgruppe"
"ElevateNonAdmins"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:0000000a
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:0000003c
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000000f
"DetectionFrequencyEnabled"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"UseWUServer"=dword:00000001
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000000

Beide Dateien in einen Ordner, WSUS.bat als Administrator ausfuehren, nach 5min. findet der WSUS-Server die CLients und zeigt diese unter Computer an. Dann die Computer der erstellten Gruppe zuordnen. Von nun an kommen die Updates automatisch vom Server.

*edit by AliG* hab die Befehle in einen Codeblock eingebunden, zur besseren Übersicht.

[AliG]

Hi!
Danke für die Arbeit, ist ein tolles Howto für die User, die WSUS bei sich auf dem WHS installieren wollen.
Könntest du noch erläutern, wie du die einzelnen Updates in der Verwaltungskonsole handelst/genehmigst?
Hatte selber auch mal einen WSUS aufgesetzt, aber das mit den Genehmigungen war mir irgendwie zu hoch, werden denn die neuen Updates automatisch heruntergeladen und was ist mit den alten Updates, werden die auch heruntergeladen?

lg Alex

[Martin]

Hi Alex,

beim WSUS 3.0 kannst Du bestimmte/alle Updates automatisch freigeben lassen.
Ist recht übersichtlich gemacht in den Optionen.

Gruß
Martin

[Buntstift]

Der WSUS läuft auf meinem WHS bestens und synchronisiert auch kräftig die Updates. Allerdings verbinden sich die Clients nicht mit dem WSUS-Server. Die BAT- und REG-Datei habe ich entsprechend angepasst und auf den Clients ausgeführt. Im WSUS werden aber trotzdem 0 Computer angezeigt. Hab ich da was übersehen?

[Buntstift]

Keiner eine Idee, warum sich meine Clients nicht beim WSUS melden?

[gastkonto]

Schonmal über Connect2WSUS probiert?

Der Link zeigt auf ein pdf, das bei http://www.gruppenrichtlinien.de gehostet wird...

[Buntstift]

Danke für den Tipp! Leider bringt auch dies keinen Erfolg. Ich denke es muss irgendwas dazwischen den Connect verhindern. In den Firewalls ist aber alles im lokalen Netz freigegeben. Ich habe auch mit anderen Serveranwendungen keine Probleme. Muss beim WSUS auf WHS vielleicht noch irgendwas anderes aktiviert/deaktiviert werden? Weil der WHS hat ja kein Active Directory...

[Martin]

Nein, AD spielt hier keine Rolle.

Starte am Client mal in der Eingabeaufforderung
wuauclt /detectnow

Siehst Du dann auch in den nicht zugeordneten Computer im WSUS keinen auftauchen?
Dann schau mal in die c:\windows\Windowsupdate.log auf dem Client.
Da geh mal ganz ans Ende und schau welchen Server er versucht zu erreichen bzw. welchen Fehler er protokolliert.

Gruß
Martin

[Buntstift]

Client taucht auch dann nicht auf. Im Log versucht er auf die korrekte IP zuzugreifen, allerdings liefert er einen HTTP-404-Error. Scheint also am IIS des Servers zu liegen. Im ersten Thread stand, dass man den Port 8530 weglassen soll, wenn keine eigene IIS-Seite erstellt wurde. Wie kann ich denn diese Seite erstellen?

EDIT: Hab grad mal auf dem Server den IIS gecheckt. Es läuft eine WSUS-Seite! Wenn ich die allerdings lokal im Browser aufrufe (http://localhost:8530), dann erscheint HTTP-403 "verboten".

[Martin]

Deine Standardwebseite ist die vom WHS. Wird in der Konsole unter Einstellungen/Remotezugriff aktiviert.

Der WSUS braucht deshalb auf jeden Fall den Port 8530! Bei deinen Clients sollten in der Registry unter
HKLM\Software\Policies\Microsoft\WindowsUpdate
die Einträge
WUServer mit http://server:8530
WUStatusServer mit http://server:8530
auftauchen.

Gruß
Martin

[Buntstift]

Ja, so sehen die Reg-Einträge auch aus. Wenn ich den im Log angegebenen Link lokal auf dem Server in einem Browser aufrufe, erscheint die Fehlermeldung "Unbekanntes Anforderungsformat".

[Martin]

Da kommt bei mir
IE7: Error 403
Firefox: Auflistung verweigert

Hast Du vielleicht bei der Installation vom WSUS einen anderen Port verwendet? Wie verbindet sich den die Verwaltungskonsole?

Gruß
Martin

[Kay]

wo der whs noch im beta war hatte ich den wsus schon darauf laufen und auch was dazu geschrieben halt in einem anderen forum

http://www.mce-community.de/forum/index ... t&p=141450

[Martin]

@Buntstift

Was kommt denn raus wenn Du beim Test Port 8530 weglässt?
Also http://server eingibst?

Meldet sich da dein WHS oder kommt Error 403?

Gruß
Martin

[Buntstift]

@ Martin
Hast Du die Seite lokal auf dem Server aufgerufen? Wenn ich sie auf dem Client aufrufe steht da, dass es über den Browser nur auf dem Server geht.

Wenn ich den Port weglasse, dann erscheint die WHS-Startseite.

Wo kann ich sehen, wie sich die Konsole verbindet?


@Kay: Ich probiers gleich mal aus...