Einführung
WSUS (Windows Server Update Service) ist eine in Windows Server integrierte Rolle, die den Aufbau eines internen Microsoft Update-Verteilungssystems ermöglicht.
Die Vorteile von WSUS:
- Steuern der Update-Bereitstellung
- Reduzierte Internetbandbreite
- Installationsbericht aktualisieren
- Möglichkeit, ein Update im Problemfall zu deinstallieren.
Voraussetzungen
- Eine physische oder virtuelle Maschine, die für WSUS dediziert ist.
- 2 CPUs
- Mindestens 4 GB RAM
- 2 Betriebssystem- und DATEN-Festplatten. Das DATENvolumen hängt von der Anzahl der Produkte und Klassifizierungen ab, die aktiviert werden. 200 bis 300 GB Speicherplatz sind ein guter Anfang.
- Eine SQL Server-Instanz (Express) – empfohlen
Der Server muss sich nicht in einer Domäne befinden.
Bevor Sie mit der Installation und Konfiguration von WSUS beginnen, empfehle ich Ihnen, die Microsoft-Produkte aufzulisten, die Sie mit dem Dienst aktualisieren möchten.
Der gesamte Katalog der Microsoft-Produkte ist verfügbar. Wenn Sie in Ihrer Organisation beispielsweise über einen SharePoint-Server verfügen, ist es wirklich interessant, Updates für dieses Produkt auf Ihrem WSUS-Server zu speichern. Dasselbe gilt auch, wenn Sie „altes“ Office 2007 haben /Produkte vom Typ Windows XP…
Ich rate Ihnen auch, vorsichtig zu sein, wenn Sie Updates für SQL Server aktivieren und vorher sicherstellen, dass Ihre Anwendungen mit Service Packs kompatibel sind
Installieren der WSUS-Rolle
Klicken Sie im Server-Manager auf Rollen und Funktionen hinzufügen 1.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Wählen Sie die Option Rollen- oder funktionsbasierte Installation 1 und klicken Sie auf Weiter 2.
Wählen Sie den Server aus, auf dem die Installation durchgeführt werden soll 1 und klicken Sie auf Weiter 2.
Aktivieren Sie in der Rollenliste das Kontrollkästchen 1 WSUS Services (Windows Server Update Services).
Bestätigen Sie das Hinzufügen von Abhängigkeiten, indem Sie auf Features hinzufügen 1 klicken.
Die WSUS-Rolle installiert IIS und die interne Windows-Datenbank.
Klicken Sie auf Weiter 1.
Bestätigen Sie die Funktionalitäten, indem Sie auf Weiter 1 klicken.
Überspringen Sie die WSUS-Rollenzusammenfassung, indem Sie auf Weiter 1 klicken.
Belassen Sie die Standardinstallationsoptionen und klicken Sie auf Weiter 1.
Die Option „SQL Server-Konnektivität“ ist eine mit Windows Server 2016 eingeführte Option, die die Konfiguration der grundlegenden Verwendung einer SQL Server-Datenbank bei der Installation ermöglicht.
Geben Sie den Speicherort für Updates auf Server 1 an und klicken Sie dann auf Weiter 2.
Im Falle eines Täters mit SCCM besteht keine Notwendigkeit, Updates auf dem WSUS-Server zu speichern, sie werden auf dem Verteilungsserver gespeichert.
Überspringen Sie die Zusammenfassung der IIS-Rolle, indem Sie auf die Schaltfläche „Weiter“ 1 klicken.
Klicken Sie auf Weiter 1, um die zu installierenden IIS-Dienste zu validieren.
Bestätigen Sie die Installation von Rollen und Funktionen, indem Sie auf „Installieren 1“ klicken.
Warten Sie, während die verschiedenen Rollen installiert werden …
Sobald die Installation abgeschlossen ist, beenden Sie den Assistenten, indem Sie auf Schließen 1 klicken.
Klicken Sie im Server-Manager auf die Benachrichtigungsflagge 1 und dann auf Nachinstallationsaufgaben starten 2.
Warten Sie, während die Post-Deployment-Konfiguration ausgeführt wird …
Die Rolle ist nun installiert.
Nachdem wir nun über die für die Bereitstellung von WSUS erforderlichen Rollen verfügen, fahren wir mit der Konfiguration fort.
WSUS konfigurieren
Der WSUS-Konfigurationsassistent wird automatisch gestartet, wenn Sie die Konsole zum ersten Mal öffnen.
Starten Sie die Verwaltungskonsole des WSUS-Dienstes.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Klicken Sie auf Weiter 1.
Quelle der Updates, wählen Sie „Von Microsoft Update synchronisieren“ 1 und klicken Sie dann auf „Weiter“ 2.
Wenn der WSUS-Server einen Proxy benötigt, um ins Internet zu gehen, konfigurieren Sie ihn, andernfalls klicken Sie auf Weiter 1.
Klicken Sie auf Verbindung starten 1.
Warten Sie, während die Informationen von Microsoft abgerufen werden (5 bis 15 Minuten).
Sobald die Informationen heruntergeladen wurden, klicken Sie auf Weiter 1.
Wählen Sie die Sprachen für Updates aus 1 und klicken Sie dann auf Weiter 2.
Wählen Sie die Produkte aus, deren Updates heruntergeladen werden müssen 1 und klicken Sie auf Weiter 2.
Wählen Sie die Art der Aktualisierungen (Klassifizierung) 1 für die ausgewählten Produkte und klicken Sie dann auf Weiter 2.
Konfigurieren Sie den Synchronisierungszeitplan 1 zum Abrufen der Liste der Updates und klicken Sie dann auf Weiter 2.
Durch die Synchronisierung werden keine Aktualisierungsdateien heruntergeladen.
Aktivieren Sie „Erstsynchronisierung starten“ 1 und klicken Sie auf „Weiter“ 2.
Die Konfiguration ist abgeschlossen. Klicken Sie auf Fertig stellen 1, um den Assistenten zu schließen.
Öffnen Sie die Administrationskonsole und warten Sie während der Synchronisierung.
Die erste Synchronisierung kann mehrere Stunden dauern.
Erster Schritt mit der WSUS-Verwaltungskonsole
Überblick
Klicken Sie im Menü links auf den Server 1, eine Zusammenfassung des Status von Updates und Stationen wird angezeigt.
Sie sollten im Moment nichts haben, da wir gerade WSUS installiert haben.
Erweitern Sie im linken Menü Updates 1 und klicken Sie auf Alle Updates 2. Hier wird die Liste der Updates angezeigt. Es ist möglich, Updates basierend auf ihrer Genehmigung zu filtern.
Erweitern Sie Computer 1. In diesem Teil werden die Computer angezeigt, die mit dem WSUS-Server kommunizieren. Es ist möglich, Gruppen zu erstellen und diesen Gruppen Computer zuzuordnen.
Standardmäßig werden Computer, die Kontakt zum WSUS-Server aufnehmen, zur Gruppe „Nicht zugewiesene Computer“ hinzugefügt
Im Abschnitt „Optionen 1“ können Sie die WSUS-Einstellungen sowie deren Wartung verwalten.
Hier können Sie die bei der Konfiguration von WSUS vorgenommenen Einstellungen ändern.
Verwalten von Updates in WSUS
Afin de facilité l’administration des mises à jour, je vous conseille d’afficher l’état de remplacement de celle-ci, cela permet d’éviter de valider et donc de télécharger des mises à jour qui sont remplacées par une autre.
Klicken Sie in einer Aktualisierungsansicht mit der rechten Maustaste auf eine Spaltenüberschrift 1 und klicken Sie auf „Ersetzen“ 2
In dieser Spalte wird ein Piktogramm angezeigt oder nicht, mit dem Sie den Ersetzungsstatus des Updates sehen können.
Aktualisierungen ohne oder mit Piktogramm
Aktualisierungen mit einem der folgenden Piktogramme
Validieren Sie Updates
Wählen Sie Updates 1 aus, klicken Sie mit der rechten Maustaste und klicken Sie auf Genehmigen 2.
Klicken Sie auf 1 und dann auf Zur Installation freigegeben 2.
Drücken Sie Strg+C, um die Vererbung 1 anzuwenden. Andernfalls konfigurieren Sie jede Gruppe und klicken Sie auf OK 2.
Warten Sie, während die Updates genehmigt werden.
Wenn Sie fertig sind, schließen Sie das Fenster, indem Sie auf die Schaltfläche 1 klicken.
In der Aktualisierungsliste wurde „Genehmigung“ in „Installieren 1“ geändert.
Wenn wir die Liste der Updates aktualisieren, würden wir sie aufgrund des Filters „Nicht genehmigt“ bei der Genehmigung nicht mehr sehen.
Auf der Serverstatusseite 1 sehen Sie die Anzahl der herunterzuladenden Updates 2 sowie das Datenvolumen 3.
Updates ablehnen
Wählen Sie Updates 1 aus, klicken Sie mit der rechten Maustaste und klicken Sie auf Ablehnen 2.
Bestätigen Sie die Ablehnung, indem Sie auf Ja 1> klicken.
Updates werden abgelehnt 1.
Konfigurieren Sie Computer für die Verwendung von WSUS
In diesem Teil erfahren Sie, wie Sie die Workstations (Server und Client) so konfigurieren, dass sie Kontakt zum WSUS-Server aufnehmen.
In einer Active Directory-Domäne per GPO
Richtlinieneinstellungen gelten auf Positionsebene.
Persönlich rate ich Ihnen, nicht eine einzige Strategie für Ihre gesamte Flotte zu entwickeln, sondern zwei Strategien, eine für die Workstations und eine für die Server.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, klicken Sie mit der rechten Maustaste auf die Organisationseinheit 1, auf die Sie die Richtlinie anwenden möchten, und klicken Sie auf „GPO in dieser Domäne erstellen“ und verknüpfen Sie es hier 2 .
Benennen Sie das Gruppenrichtlinienobjekt 1 und klicken Sie dann auf OK 2.
Klicken Sie mit der rechten Maustaste auf die erstellte Richtlinie 1 und klicken Sie auf Ändern 2.
Gehen Sie zum Ordner Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponente / Windows Update. In diesem Ordner finden Sie alle konfigurierbaren Parameter für das Windows Update-Verhalten.
Ändern Sie die Einstellung. Geben Sie den Intranet-Speicherort des Microsoft Update-Dienstes an, aktivieren Sie 1, geben Sie die Server-URL an 2 und klicken Sie dann auf Übernehmen 3 und OK 4.
Ändern Sie die Einstellung: Konfigurieren des Dienstes für automatische Updates, Aktivieren 1, Konfigurieren des Windows Update-Verhaltens 2, dann klicken Sie auf Übernehmen 3 und OK 4.
Im Hilfebereich finden Sie Erläuterungen zu den verschiedenen verfügbaren Verhaltensweisen.
(Optional) Aktivieren Sie die Einstellung: Kein automatischer Neustart mit angemeldeten Benutzern für geplante Installationen. Dadurch wird vermieden, dass ein Computer automatisch neu startet, wenn Sie angemeldet sind.
Die Strategie ist fertig, Sie müssen warten, bis sie angewendet wird.
Manuelle Konfiguration mit WSUS WORKGROUP
Wenn sich in Ihrem Netzwerk Nicht-Domänen-Arbeitsstationen befinden, ist es dennoch möglich, die Arbeitsstationen für die Verwendung des WSUS-Servers zu konfigurieren.
Herunterladen WSUS WORKGROUP und führen Sie es aus.
Konfigurieren Sie auf der Registerkarte „Haupt“ 1 die WSUS-Server-URL 2 und das Windows Update-Verhalten 3.
(Optional) Gehen Sie zur Registerkarte Erweitert 1 und passen Sie die Parameter entsprechend dem gewünschten Verhalten an.
Klicken Sie auf die Schaltfläche WSUS 1 aktivieren.
Bestätigen Sie den Antrag mit einem Klick auf Ja 1.
(Optional) Die Anwendung schlägt vor, die Registrierung zu speichern, bevor Sie die Einstellungen anwenden. Klicken Sie auf Speichern 1.
Wenn Sie nicht speichern möchten, klicken Sie auf Abbrechen
Klicken Sie auf OK 1, um das Informationsfenster zu schließen.
Konfigurationsanwendung überprüfen
Gehen Sie in der WSUS-Verwaltungskonsole zu Computer / Alle Computer / Nicht zugewiesene Computer 1. Die Stationen, die den Server kontaktieren, sollten angezeigt werden.
Wenn Sie Updates für alle Computer genehmigen haben, beginnen die Stationen mit dem Herunterladen von Updates, nachdem sie einen ersten Bericht gesendet haben, der es dem WSUS-Dienst ermöglicht, verfügbare Updates anzubieten.
Gehen Sie mit WSUS noch weiter
Deinstallieren Sie ein Update
Sollte ein Update Probleme bereiten, besteht die Möglichkeit, es über WSUS zu deinstallieren.
Sobald das Update identifiziert ist, klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Genehmigen 1.
Klicken Sie auf das Symbol 1 und dann auf Zum Löschen freigegeben 2.
Klicken Sie zum Übernehmen auf OK 1.
Migrieren Sie die WID-Datenbank nach SQL Server (Express)
Wenn Ihr WSUS-Dienst regelmäßig stoppt, empfehle ich Ihnen, die Datenbank auf eine SQL Server-Instanz zu migrieren. Diese Lösung wird die Leistung Ihres WSUS verbessern. Ein Tutorial gibt es hier.
Itanium- und/oder ARM64-Updates automatisch ablehnen
Wenn Sie Updates für Windows XP, Windows 2003 Server oder Windows 2008 Server erhalten und kein Itanium-System haben, können Sie diese mithilfe des Skripts hier automatisch ablehnen.
Wenn Sie Updates für Windows 10 erhalten und kein ARM64-System haben, können Sie diese mithilfe des Skripts hier automatisch ablehnen.