Da sich die IT-Umgebung im Unternehmen weiterentwickelt, die Anzahl der Stellen im Unternehmen zunimmt und neue Niederlassungen eröffnet werden, nimmt die Anzahl der Verwaltungsaufgaben für IT-Administratoren zu. Ein besonders wichtiger Aspekt ist die Sicherstellung der korrekten Verteilung von Updates und neueren Versionen des Windows-Betriebssystems, der Office-Suite und anderer Komponenten des Windows-Betriebssystems. Hier kann die Aufgabe durch eine zentrale Stelle zur Verwaltung und Verteilung sowie Kontrolle über den Update-Installationsprozess deutlich erleichtert werden. Das Tool, das diese Anforderungen zu 100 % erfüllt, sind Windows Software Update Services – also WSUS.
Übersicht über die WSUS-Dienste
WSUS-Dienste bieten die folgenden Funktionalitäten:
- Updates von Microsoft-Servern herunterladen, lokal speichern
und im lokalen Netzwerk verteilen – dadurch wird die Belastung der Internetverbindung reduziert; - Genehmigen und Ablehnen von Updates – so können Sie steuern, welche Updates installiert werden und welche nicht;
- Gruppenupdateverteilung – ermöglicht Ihnen festzulegen, welche Computer das Update erhalten sollen und welche nicht;
- Überwachen der Verteilung von Updates und Erstellen von Berichten – ermöglicht Ihnen, den Installationsfortschritt und den Update-Status eines bestimmten Computers zu überwachen.
Beispielhaftes WSUS-Bereitstellungsszenario
Nehmen wir im Szenario an, dass ein Unternehmen drei Niederlassungen hat. Die Zentrale verfügt über 100 Rechner, die Filiale 2 über 50 Rechner und die Filiale 3, die von der lokalen IT-Abteilung betreut wird, über 25 Rechner. Die Situation wird durch das folgende Diagramm perfekt veranschaulicht:
Durch die Implementierung von WSUS in der Zentrale wird die Belastung der Internetverbindung reduziert. Stellen Sie sich vor, Sie installieren ein kumulatives 3-GB-Update für Windows auf jeder Workstation separat. Um dieses Update für 100 Workstations herunterzuladen, müssen etwa 300 GB von Windows Update-Servern über das Internet heruntergeladen werden. Nach der Bereitstellung von WSUS wird das Update nur einmal von Microsoft-Servern heruntergeladen und alle Computer laden es vom WSUS-Server an diesem Standort herunter.
Durch die Implementierung des WSUS-Servers in Zweigstelle 1 wird die zwischen den Zweigstellen übertragene Datenmenge reduziert; 50 Computer in dieser Zweigstelle laden Updates nicht von der Zentrale, sondern vom lokalen Server herunter. Darüber hinaus ermöglicht die Replikatoption eine zentrale Steuerung von der Basisserverebene aus.
Eine zusätzliche Funktionalität von WSUS ist die Möglichkeit, Updates an den nächsten WSUS-Server weiterzuleiten. Diese Funktion wurde bei der Bereitstellung in Zweig 2 verwendet. In dieser Konfiguration lädt der in diesem Zweig installierte WSUS-Server das Update vom primären Server in der Zentrale herunter, aber der lokale Administrator kann das Update zur Installation genehmigen. Berichte und Status der Update-Installation werden auch vom zentralen WSUS-Server aus sichtbar sein.
WSUS-Anforderungen
Für WSUS-Dienste gelten wie für jede andere Rolle auf Windows-Servern bestimmte Hardware- und Softwareanforderungen. Diese sind wie folgt:
- Mindestens Microsoft Windows 2008 R2 – ich empfehle die Verwendung der neuesten verfügbaren Version des Betriebssystems Windows 2016;
- Es läuft auch auf Foundation- und Small Business- oder Essentials-Distributionen
- Die Partition ist mit NTFS formatiert und kann nicht komprimiert werden;
- Mindestens 2 GB RAM;
- Mindestens 4 GB freier Speicherplatz auf der Systempartition für die WSUS-Datenbank und Systemdateien;
- Mindestens 10 GB freier Speicherplatz für den Update-Speicher – ich empfehle 300 GB – die Speicherplatznutzung hängt davon ab, wie viele Produkte und Sprachen wir auswählen.
Bei der Installation von WSUS-Diensten werden zusätzlich folgende Rollen auf dem Server installiert:
- IIS – Internet Information Services – notwendig für die Kommunikation
mit Client-Computern; - Interne Windows-Datenbank – erforderlich zum Speichern von Konfigurationen, Status und Berichten von WSUS-Diensten, kann durch eine externe MSSQL-Datenbank ersetzt werden;
- Optional können Sie Microsoft Reports Viewer 2008 installieren – damit können Sie Berichte aus der Update-Installation generieren.
Implementierung von WSUS-Diensten
Die folgenden Anweisungen stellen die grundlegende Methode zum Implementieren von WSUS-Diensten dar. Es muss an die Bedürfnisse und Anforderungen der Infrastruktur im jeweiligen Unternehmen angepasst werden. Wir werden es auf Windows Server 2012 R2 Standard implementieren.
Wir installieren WSUS-Dienste als Windows-Rolle. Wenn die WSUS-Rolle im Servermanager nicht sichtbar ist, sollten Sie alle Updates von Windows Update herunterladen.
- Wählen Sie im Gerätemanager „Verwalten“ und dann „Rollen und Funktionen hinzufügen“
- Nachdem Sie den Begrüßungsbildschirm des Assistenten angezeigt haben, wählen Sie „Rollenbasierte oder funktionsbasierte Installation“.
- Wählen Sie dann den Server aus, der als WSUS-Server fungieren soll.
- Wählen Sie dann „Windows Server Update Services“ aus der Rollenliste aus.
- Der Assistent fragt Sie, ob zusätzliche Rollen auf dem Server installiert werden sollen (hier gibt es unter anderem IIS und Windows Internal Database), bestätigen Sie dies, indem Sie auf die Schaltfläche „Funktionen hinzufügen“ klicken.
Funktionsliste
Anschließend gehen wir im Assistenten die Liste „Funktionen“ ohne Änderungen durch und gelangen zum WSUS-Begrüßungsbildschirm. Nach dem Willkommensbildschirm können wir entscheiden, ob die Datenbank in der Windows Internal Database oder auf einem externen Server abgelegt werden soll. Wir überlassen die Implementierung der internen Windows-Datenbank.
Speichern von Updates
Anschließend müssen Sie angeben, wo die Updates gespeichert werden sollen. Ich empfehle, wie zuvor empfohlen, einen Speicherort mit ausreichend freiem Speicherplatz zu wählen.
Installieren der IIS-Rolle
Dann erscheinen Bildschirme bezüglich der Installation der IIS-Rolle, an denen Sie nichts ändern sollten, auf dem Zusammenfassungsbildschirm können Sie noch die ausgewählten Rollen überprüfen und wenn alles korrekt ist, klicken Sie auf die Schaltfläche „Installieren“.
Nach diesem Prozess wurde die WSUS-Rolle erfolgreich implementiert. Der nächste Schritt ist die Erstkonfiguration der WSUS-Dienste auf dem Server.
- Wählen Sie im Server-Manager die Rolle „WSUS“ aus und klicken Sie dann, nachdem Sie auf die Schaltfläche „Mehr“ geklickt haben, auf „Aufgaben nach der Installation ausführen“.
- Nach Abschluss des Nachinstallationsprozesses können Sie mit der Konfiguration der Dienste fortfahren. Wählen Sie dazu im Server-Manager-Fenster „Extras“ und dann „Windows Software Update Services“.
- Zum Start erscheint der „Konfigurationsassistent“, mit dem Sie die Dienste entsprechend Ihren Bedürfnissen konfigurieren können. Nachdem wir den Begrüßungsbildschirm durchlaufen und angegeben haben, ob wir Diagnosedaten an Microsoft senden möchten, gelangen wir zu dem Bildschirm, auf dem wir den übergeordneten Server auswählen.
- In diesem Schritt können wir entscheiden, ob:
- Der Master-Server wird ein Windows Update-Server sein – dann ist er der primäre Server in der Organisation;
- Der übergeordnete Server wird ein weiterer WSUS-Server sein – dann wird es ein Slave-Server (sogenannter autonomer Server) sein;
- Wenn wir die Option „Dies ist eine Replik des übergeordneten Servers“ auswählen, wird der Server zu einer Replik des übergeordneten Servers und alle Einstellungen werden vom übergeordneten Server übertragen.
In diesem Schritt wählen wir den übergeordneten Server für Windows Update-Server aus, da dieser der primäre WSUS-Server sein wird.
5. Stellen Sie dann fest, ob Ihre Organisation einen Proxyserver verwendet, um eine Verbindung zum Windows Update-Server herzustellen. Wenn ja, müssen Sie die für die Verbindung erforderlichen Daten angeben.
6. Nachdem Sie die Proxy-Einstellungen eingegeben haben, müssen Sie die Einstellungen vom übergeordneten Server herunterladen. Dieser Vorgang kann einige Zeit dauern.
7. Nach dem Herunterladen der Einstellungen werden Sie zu einem Bildschirm weitergeleitet, auf dem Sie Update-Sprachen auswählen können. Ich empfehle, nur diejenigen auszuwählen, die in Ihrer Organisation verwendet werden. Je mehr wir auswählen, desto mehr Speicherplatz beanspruchen die heruntergeladenen Updates.
8. Wählen Sie anschließend die Produkte aus, auf denen Updates installiert werden sollen. Ich empfehle, nur diejenigen auszuwählen, die in der Organisation vorhanden sind.
9. Im nächsten Bildschirm müssen Sie die Klassifizierungen der herunterzuladenden Updates angeben. Ich empfehle, diese Optionen unverändert zu lassen. Je mehr wir auswählen, desto länger dauert die Synchronisierung mit dem übergeordneten Server.
10. Konfigurieren Sie in den nächsten Schritten den Synchronisierungszeitplan und geben Sie dann an, wann die erste Synchronisierung erfolgen soll. Ich empfehle, die automatische Synchronisierung einmal täglich einzurichten und dies nach Abschluss des Assistenten durchzuführen.
Nach diesen Schritten ist der WSUS-Server betriebsbereit. Der nächste Schritt besteht darin, es in Ihrer Organisation zu veröffentlichen und das Update zu genehmigen, sobald es mit dem übergeordneten Server synchronisiert ist.
Um einen Server für Ihre Organisation zu veröffentlichen, müssen Sie ein Gruppenrichtlinienobjekt (GPO) erstellen und es in Ihrer Active Directory-Domäne einrichten. Dazu erstellen wir ein neues Gruppenrichtlinienobjekt auf dem Active Directory Controller und öffnen es anschließend im Gruppenrichtlinien-Editor. Gehen Sie nach dem Öffnen zu: Computerkonfiguration > Richtlinien > Verwaltungseinstellungen > Windows-Komponenten > Windows Update. Anschließend müssen Sie in diesem Ordner die Einstellung „Intranet-Microsoft-Update-Dienst-Speicherort angeben“ auswählen.
In dieser Einstellung müssen Sie die IP-Adresse des Servers angeben, den wir bereitstellen. In diesem Fall lautet sie: http://SRV-WSUS-01:8530
Darüber hinaus empfehle ich, GPO für automatische Updates zu konfigurieren und automatische Computerneustarts zu deaktivieren.
Nachdem Sie eine GPO-Gruppenrichtlinie konfiguriert haben, müssen Sie die Richtlinie einer Organisationseinheit im Active Directory zuweisen – dies kann in der Konsole „Gruppenrichtlinienverwaltung“ auf dem Active Directory-Domänencontroller erfolgen.
Nachdem Sie die GPO-Richtlinie konfiguriert haben, müssen Sie das Update zur Installation genehmigen.
Rufen Sie dazu die Windows Software Update Services-Verwaltungskonsole auf dem WSUS-Server auf und sehen Sie nach Auswahl des Servernamens in der Konsolenstruktur links den Synchronisierungsstatus mit Windows Update-Servern. Bitte beachten Sie, dass die erste Synchronisierung lange dauert.
Wenn das Ergebnis der letzten Synchronisierung „Erfolgreich“ ist, wie auf dem beigefügten Foto, gehen Sie zum Abschnitt „Updates“ in der Konsolenstruktur. Bei der Genehmigung von Updates empfehle ich, mit der Ansicht „Kritische Updates“ zu beginnen. In diesem Abschnitt empfehle ich, alle Updates auszuwählen und die Option „Commit“ auszuwählen.
Anschließend können Sie in die Ansicht „Sicherheitsupdates“ gehen und dort nur die Updates auswählen, die Client-Computer als „benötigt“ gemeldet haben. Auf diese Weise sparen wir viel Platz auf den Festplatten des WSUS-Servers und überladen sie nicht mit unnötigen Updates.
Sie können den Fortschritt der Update-Installation überwachen, indem Sie in der Konsolenstruktur die Option „Alle Computer“ auswählen. In dieser Ansicht wird angezeigt, welche Updates bereits auf Ihrem Computer installiert sind.
Im Rahmen Ihrer Verwaltungsaufgaben sollten Sie regelmäßig die für die Genehmigung erforderlichen Updates und den Status der Synchronisierung mit Microsoft-Servern überprüfen. Sie können Gruppen erstellen, um Updates zu verteilen, z. B. für Tests. Dadurch können Sie die Kontrolle über die Verteilung von Updates und die Abstufung der Update-Verteilung optimieren.
Zusammenfassung
Die oben vorgestellte Methode ist eine vereinfachte Implementierungsmethode. Dies ermöglicht eine schnelle und korrekte Einführung von Diensten innerhalb der Organisation und wird in Quellmaterialien, z. B. auf den Websites von Microsoft, ausführlicher beschrieben.
Support Online ist ein Unternehmen, das seit 2002 IT-Dienstleistungen anbietet . Wir arbeiten mit vielen Unternehmen im Bereich der umfassenden IT-Betreuung zusammen, darunter:
- Serververwaltung
- IT-Outsourcing
- Cloud-Lösungen (Cloud für Unternehmen)
- Helpdesk (technischer Support)
- und viele andere.
Bitte kontaktieren Sie uns , wir bieten maßgeschneiderte Lösungen. Wir kümmern uns um die Sicherheit Ihres Unternehmens.
Autor: Łukasz Kuźniewski
Quelle:
- Eigene Studien und Erfahrungen
- Pressematerialien – PC World Computer Magazin
- Microsoft-Dokumentation: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus