Netzwerk: Windows Server Update Services
MS-Patch-Verteiler
Neue Patchlösung
Netzwerk: Windows Server Update Services
Mit dem WSUS-Server löst Microsoft schrittweise den Vorgänger Software Update Service (SUS) ab. Ende 2006 wird der Support für den alten SUS komplett eingestellt. Aber der Umstieg lohnt sich für Administratoren schon jetzt, weil sie mit WSUS eine viel breitere Produktpalette patchen können.
Allerdings beschränkt sich auch die neue Patchlösung auf das Updaten von Microsoft-Software. Administratoren von heterogenen Netzen sind daher mit einem Patchtool eines Drittherstellers besser bedient (siehe PCpro 10/2005).
Voraussetzungen auf dem Server
Netzwerk: Windows Server Update Services
Installieren lässt sich WSUS auf Windows 2000 und 2003 Server. Unterstützt werden allerdings nur die 32-Bit-Versionen der Betriebssysteme. Die Anforderungen an die Hardware von WSUS sind niedrig. Laut Microsoft genügt ein 1-GHz-Rechner mit 1 GByte RAM für bis zu 500 Clients. Im Testlabor von PC Professionell hat WSUS bei 100 Clients auf einer 3-GHz-Workstation keinerlei spürbare Auswirkungen auf die Performance.
Für die Benutzeroberfläche braucht man IIS 6.0 und .Net-Framework in der Version 1.1 mit SP 1. BITS 2.0 überträgt die heruntergeladenen Dateien, eine SQL-Datenbank verwaltet die Updates. Die benutzten Partitionen müssen NTFS-formatiert sein. Wer 30 GByte freien Festplattenplatz für die Updates reserviert, ist für alle Eventualitäten gerüstet. Mit kleinen Eingriffen in die Standardkonfiguration kann der Administrator aber viel Speicherplatz sparen, in der Praxis genügen 10 GByte freier Speicher meist völlig.
Voraussetzungen auf den Clients
WSUS-Clients hierunter fallen übrigens auch die Server-Betriebssysteme haben die benötigte Clientsoftware schon onboard, weil WSUS auf die Komponente Windows Update zurückgreift. Unterstützt werden dabei nur Rechner ab Windows 2000 (SP 3). Alle älteren Systeme wie Windows 98 SE, Me oder gar NT 4 bleiben außen vor.
Setup des WSUS-Servers
Netzwerk: Windows Server Update Services
Mit einem Doppelklick auf die Datei WSUSSetup.exe startet die Installation aber nur, wenn man als lokaler Administrator am Server angemeldet ist. Auf der Seite Updatequelle auswählen gibt der Admin an, ob der Server die heruntergeladenen Patches abspeichern soll, und falls ja, wo. Es ist zwar möglich, den WSUS-Server nur mit der Verwaltung des Updates zu beauftragen, aber sobald mehr als eine Handvoll Clients vorhanden sind, sollte WSUS auch die Patches speichern. Ansonsten wird die WAN-Verbindung belastet, weil jeder Client sich seine Patches einzeln zieht. Bei den Datenbank-Optionen kann der Administrator einen auf dem PC vorhandenen SQL-Server verwenden. Alternativ installiert man WMSDE.
Schwierigkeiten könnten bei der Auswahl der Website auftreten, wenn der Port 80 lokal schon belegt ist. In dem Fall muss der Admin WSUS einen anderen Port zuweisen. Nachdem die Installation durchgelaufen ist, kann man von jedem Rechner per Browser auf die URL http://Servername/WSUS admin zugreifen und WSUS administrieren. Auf dem Server selbst ist die Konsole im Startmenü unter dem Pfad Alle Programme\Verwaltung\Microsoft Windows Server Update Services zu finden.
Netzwerkverbindungen anpassen
Netzwerk: Windows Server Update Services
Bei der Standardkonfiguration greift WSUS wie jeder gewöhnliche Clientcomputer mit Windows Update direkt über das Internet auf den Microsoft-Update-Pfad zu. Ist im Netzwerk aber ein Proxyserver aktiv, sollte man diese Einstellung in der Konsole entsprechend anpassen. Seine Updates bekommt WSUS über den Port 80 für HTTP und den Port 443 für HTTPS. Die Ports sind fest definiert und lassen sich nicht konfigurieren. Schützt eine restriktiv konfigurierte Firewall das Netzwerk, muss sie durch entsprechende Regeln für WSUS freigeschaltet werden.
Eine Liste aller Zieldomänen findet sich im Dokument »Erste Schritte mit WSUS«. Damit erstellt der Administrator angepasste Firewall-Regeln. Die Windows-Firewall auf dem Server lässt WSUS-Datenverkehr automatisch durch, hier sind keine Änderungen nötig.
Server synchronisieren
Beim Herunterladen der Updates geht WSUS im Auslieferungszustand auf Nummer sicher: Von Arabisch bis Ungarisch sind alle Sprachversionen vertreten. Damit ist man zwar für alle Eventualitäten gerüstet, die Sprachvielfalt bläht den Speicherbedarf für die allermeisten Netzwerke aber unnötig auf.
Es empfiehlt sich, stattdessen folgende Option zu wählen: Updates nur für die ausgewählten Sprachen downloaden. Das spart Speicherplatz und entlastet die Internetverbindung. Bei nachträglichen Änderungen dieser Einstellungen wird immer der komplette Datenbestand neu aufgebaut, alle Updates werden noch einmal gezogen. Wer die Einstellungen schon vor der ersten Synchronisation vornimmt, vermeidet den zeitraubenden doppelten Download.
Setup der WSUS-Clients
Netzwerk: Windows Server Update Services
Der Administrator muss alle Clients umkonfigurieren, damit der integrierte Windows-Update-Dienst nicht mehr Microsoft Update im Internet, sondern den WSUS-Server im LAN kontaktiert. In einer Active-Directory-Umgebung ist es sinnvoll, die Konfigurationsänderung über Gruppenrichtlinien in der gesamten Domäne auszurollen. Das erledigt man in der Domäne zentral am Server oder an einem Client, der die Windows-Verwaltungstools installiert hat. So kann man alle Domänen-Clients auf einmal konfigurieren.
In einer Arbeitsgruppe ist das umständlicher. Hier muss der Admin auf das Richtlinienobjekt der lokalen Gruppe ausweichen und somit jeden Clientrechner einzeln »anfassen«.
Richtlinie konfigurieren
Bevor die Richtlinie bearbeitet werden kann, muss sie erst einmal im Gruppenrichtlinieneditor über Administrative Vorlagen hinzugefügt werden. Es handelt sich um die Datei wuau.adm.
Die aktuelle Version hat man nur dann, wenn auf dem Rechner das neueste Service Pack installiert ist. Die hinzugefügte Vorlage findet sich dann in Administrative Vorlagen\Windows Komponenten\ Windows Update und wird in Automatische Updates konfigurieren angepasst. Unter den Feldern Interner Updatedienst zum Ermitteln von Updates und Intranetserver für die Statistiken ist der Pfad zum WSUS-Server mit der Syntax http://Servername einzugeben und zu aktivieren. Außerdem lassen sich diverse Optionen wie beispielsweise eine Benachrichtigung des Anwenders vor Download und Installation einstellen.
Computergruppen
Netzwerk: Windows Server Update Services
Kontaktiert ein WSUS-Client den Server, nimmt der Server den Clientcomputer automatisch in die beiden Gruppen Alle Computer und Nicht zugeordnete Computer auf. Bei produktiv genutzten Rechnern empfiehlt es sich nicht, alle Patches ungeprüft auszurollen. Denn beim Verteilen von Patches bleibt immer ein Restrisiko.
Sinnvoll ist daher der Einsatz von benutzerdefinierten Gruppen. Patches für Server sollten vorab auf einem oder mehreren Systemen in einer Testgruppe ausprobiert werden, bevor man sie ausrollt. So sinkt das Risiko, durch fehlerhafte Patches das Netzwerk lahm zu legen.
Updates genehmigen
Praktisch ist die Option, Updates einzeln zu genehmigen. Damit lassen sich offensichtlich nicht erforderliche Patches abfangen. So ist es beispielsweise sinnlos, auf einem Server, auf dem der Browser nicht genutzt wird, Patches für ActiveX oder gar den Windows Media Player zu installieren. Jedes Update ist eine potenzielle Fehlerquelle. Deshalb gilt die Grundregel: Nur bei Bedarf patchen.
Die Einschränkungen
Netzwerk: Windows Server Update Services
Der Umfang an unterstützten Programmen ist sehr klein und auf MS-Produkte beschränkt. Ärgerlich ist das Fehlen der Push-Funktion, die bei Patc
htools von Drittherstellern meist vorhanden ist.
Kritische Updates können bei WSUS so nicht auf Knopfdruck ausgerollt werden, der Server muss warten, bis die Clients anfragen. Das geschieht mit der Eingabe von wuauclt.exe /detectnow an den Clients. Bei größeren Netzwerken hilft hier PSexec. Wer mit diesen Einschränkungen leben kann, bekommt mit WSUS aber eine solide Patchlösung, die erfreulich simpel zu bedienen ist.