WSUS: Intelligente Update-Verwaltung unter Windows (Gastbeitrag tecCHANNEL)

Auf dieser Seite

	Systemvoraussetzungen
	Synchronisation: Up to date bleiben
	Reporting
	Konfiguration der Client-PCs
	Fazit

Regelmäßig Updates und Sicherheitspatches einzuspielen, gehört zu den eher lästigen Pflichten des Administrators. Ein manuelles Update kommt ab einer gewissen Clientanzahl nicht mehr in Frage. Die kostenlose Alternative von Microsoft hieß bislang Software Update Services (SUS), diese stößt aber beispielsweise bei der Verwaltung mehrerer Rechnergruppen schnell an ihre Grenzen. Als konsequente Weiterentwicklung sind nun die Windows Server Update Services (WSUS) erschienen.

Das Grundprinzip von WSUS ist einfach: Der Server synchronisiert sich mit Microsoft Update, lädt die benötigten Dateien herunter und legt sie zentral ab. Eine Clientkomponente ersetzt das Windows Update auf den Rechnern im Netzwerk und holt sich die neuen Patches aus dem LAN.

Leichter Patchen: WSUS greift dem geplagten Admin beim Einspielen von Updates unter die Arme.

Die Clients können dabei unter Windows 2000, Windows Server 2003 und Windows XP betrieben werden, der Server läuft unter Windows 2000 oder Windows Server 2003. Microsoft plant, dass WSUS sämtliche von Microsoft angebotenen Programme updaten wird. Zu Beginn ist das aber noch nicht der Fall: Die aktuelle Version von WSUS kümmert sich um aktuelle Windows-Versionen, um Office XP und Office 2003, um Exchange und den SQL Server. Im Laufe der Zeit sollen weitere Produkte hinzukommen.

WSUS ist dabei als Mittelding zwischen Windows Update und dem Systems Management Server (SMS) gedacht: Im Gegensatz zu Windows Update können die Workstations im LAN zentral upgedatet werden - anders als beim SMS stehen jedoch keine Werkzeuge über das reine Patchmanagement hinaus zur Verfügung.

Systemvoraussetzungen

WSUS ist an sich eine kostenlose Lösung. Clients, die auf den Server zugreifen, benötigen allerdings eine Windows Server Client Access License (CAL), diese war auch für SUS nötig. WSUS selbst erfordert einen Windows Server 2003 oder einen Windows Small Business Server 2003.

Vor der Installation weist Microsoft mehrfach deutlich darauf hin, das der Background Intelligent File Transfer Server (BITS) in Version 2 auf dem Zielserver installiert sein muss und dass diese Komponente nicht mit dem WSUS-Server installiert wird. Wer allerdings über ein aktuelles Windows Server 2003-System verfügt, der hat auch BITS 2.

Schon dabei: WSUS braucht eine Datenbank für die Verwaltung. Praktischerweise installiert er auf Wunsch gleich das SQL-Desktop-Modul für diese Aufgabe.

Außerdem muss mindestens der Internet Information Server in Version 5.0, das .NET Framework 1.1 und eine Datenbank (WMSDE/MSDE - oder Microsoft SQL Server) installiert sein. Sämtliche dieser Dateien kommen bereits mit dem Betriebssystem oder können auf der Microsoft-Homepage heruntergeladen werden.

Der Download umfasst etwa 130 MB - für den Betrieb braucht es aber deutlich mehr Platz auf der Serverplatte. WSUS benötigt 1 GB freien Platz auf der Systempartition und mindestens 6 GB Platz auf der Platte, auf der die Inhalte gespeichert werden sollen. Außerdem brauchen Sie etwa 2 GB freien Platz für die Installation der SQL Server Desktop Engines.

Dabei ist es nicht unbedingt notwendig, die Updates auch auf dem WSUS-Server zwischenzuspeichern. Stattdessen können diese auch bei Bedarf bei Microsoft heruntergeladen werden. Das spart natürlich einige GB Plattenplatz auf dem Server, verlangsamt jedoch den Update-Vorgang im LAN. Das Ganze funktioniert so, dass die Metadaten über Updates sowie die Einstellungen des Administrators über diese Updates in der SQL-Datenbank auf dem WSUS-Server gespeichert werden - die Updates selbst aber nicht. Diese landen bei einer ‚lokalen’ Installation auf einem der Laufwerke des WSUS-Servers oder verbleiben auf Microsoft-Servern.

Im Zuge der Installation lässt sich WSUS auch in eine Serverhierarchie einbetten. Das macht vor allem dann Sinn, wenn sehr viele Clients mit Updates versorgt werden sollen.

Zum Seitenanfang

Synchronisation: Up to date bleiben

Nach der Installation legen die Optionen auf der administrativen Webseite von WSUS fest, welche Updates interessant sind. WSUS ist so eingestellt, dass er sich um sicherheitsrelevante Updates kümmert; dies lässt sich problemlos ändern. Sind die benötigten Updates eingestellt, muss der Server zunächst einmal synchronisiert werden.

Beim Synchronisieren verbindet sich der Server mit Windows Update, um Informationen über verfügbare Updates herunterzuladen. Beim ersten Mal werden dabei Informationen über alle verfügbaren Dateien abgeholt, der Vorgang kann also eine Weile dauern. Die Synchronisation lässt sich später manuell oder zeitgesteuert durchführen.

Datenabgleich: Um überhaupt Updates bereitstellen zu können, muss WSUS die Daten erst einmal von Microsoft abholen.

Für das Verteilen der Updates im Netz sind ‚Computer Groups’ zuständig. Von Haus aus gibt es zwei solcher Gruppen: ‚All Computers’ und ‚Unassigned Computers’. Beim ersten Kontakt eines WSUS-Clients mit dem Server trägt der WSUS-Server den Client in beiden Gruppen ein. Über diese beiden Gruppen hinausgehend können weitere Gruppen angelegt werden: Mit den administrativen Möglichkeiten können Sie dann Computer aus den ‚unassigned’-Gruppen in die selbst angelegten Gruppen verschieben.

Auf diese Weise lassen sich Updates einfach an eine bestimmte Gruppe von Computern weiterleiten, während andere Gruppen die Updates nicht erhalten. Dadurch kann man beispielsweise die Updates zunächst in Testsystemen prüfen, bevor sie in der kompletten Infrastruktur installiert werden. Die Gruppe ‚All Computers’ ist dafür gedacht, Updates auf einfache Weise für alle Computer im Netz auf einen Schlag freizugeben. Sie kommt beispielsweise bei hoch kritischen Sicherheitspatches zum Einsatz.

WSUS verfolgt eine restriktive Patchpolitik: Sobald neue Updates eingehen, muss der Administrator diese zur Installation freigeben, sonst werden sie nicht eingespielt. Die Daten lassen sich für alle Computer und für eine oder für mehrere Gruppen freigeben.

Zum Seitenanfang

Reporting

Die Clients kontaktieren den WSUS-Server per Voreinstellung alle 22 Stunden, danach sollten freigegebene Updates überall installiert sein. Überprüfen lässt sich das Ganze mit Hilfe des Reportings. Der Reporting-Bereich gliedert sich insgesamt in vier Kategorien auf:

Der Status der Updates zeigt an, welche Dateien bisher installiert wurden. Außerdem wird angezeigt, ob das Update notwendig war und ob die Installation reibungslos verlief. Der Administrator kann zudem einzelne Gruppen oder Computer auswählen und diese genauer untersuchen. Über die Filter am linken Bildschirmrand lassen sich die Ergebnisse weiter eingrenzen.

Reporter: Die Übersicht zeigt auf, welche Daten und Updates geladen wurden, und ob dabei Probleme auftraten.

Der Status der Computer zeigt genauere Informationen über die einzelnen Rechner im WSUS-Netz an. Neben dem Computernamen befinden sich ebenfalls Informationen zu den einzelnen Updates, ob alles reibungslos verlief und wann zum letzten Mal ein Patch eingespielt wurde. Auch hier kann der Administrator das Ergebnis weiter filtern.

Im dritten Punkt findet man Daten zur Synchronisation. Hier lässt sich ablesen, wann das letzte Mal Daten mit Microsoft abgeglichen wurden, ob dies automatisch oder manuell geschah und ob der Durchgang erfolgreich war. Im Anschluss zeigt die Seite an, wie viele Updates neu geladen wurden, welche Dateien nicht mehr gültig sind und ob Fehler auftraten. Falls es Fehler gab, finden sich im nächsten Feld genauere Informationen dazu. Die letzte Dialogbox schließlich informiert genauer über die geladenen Dateien.

Der vierte Punkt fasst sämtliche Einstellungen von WSUS übersichtlich auf einer Seite zusammen. Alle vier Informationsseiten lassen sich bei Bedarf auch ausdrucken.

Zum Seitenanfang

Konfiguration der Client-PCs

Nachdem der Server aufgesetzt wurde, sind die Clients an der Reihe. Auf sämtlichen PCs ist eine Erneuerung des automatischen Updates notwendig. Eine Ausnahme bildet hier Windows XP SP2, dort ist bereits das richtige Update eingerichtet. Danach muss nichts mehr getan werden, die Software für automatische Updates unterstützt dann den WSUS-Server.

Allerdings ist im Control-Panel der Clients keine Einstellung vorgesehen, mit der sich der Update-Server ändern lässt. Diese Konfiguration muss daher mit anderen Mitteln erfolgen. Welche, ist davon abhängig, wie das Netzwerk angelegt ist.

Verfügt das Netz über Active Directory, erfolgt die Konfiguration der Update-Clients einfach per Group Policy. Dazu wird ein neues Group-Policy-Objekt angelegt und mit dem passenden Active Directory-Container des Netzes verbunden, im einfachsten Fall also mit der Domain. Für die Konfiguration des Servers ist natürlich das passende administrative Template notwendig. Das findet sich unter dem Namen ‚Wuau.adm’ - alle relevanten Einstellungen sind darin enthalten.

Die Group Policy auf den Clients wird bei einer normalen Installation etwa alle 90 Minuten erneuert - danach sollten die Clients Updates aus dem lokalen Netz anstatt von Microsoft laden.

Soll der WSUS ohne eine Active Directory Domain verwendet werden, dann muss man dazu entweder die lokale Registry auf den Clients bearbeiten, oder man bearbeitet das lokale Group Policy Object mit dem GPO Editor – die Dokumentation zum WSUS enthält dafür eine passende Schritt-für-Schritt-Anleitung. Microsoft hat die Dokumentationen bereits online zur Verfügung gestellt.

Zum Seitenanfang

Fazit

Der neue WSUS ist eine konsequente Weiterentwicklung der Software Update Services. Er bildet einen intelligenten Zwischenschritt zwischen Windows Update und dem Systems Management Server und erspart Administratoren in kleinen und mittleren Netzwerken eine Menge Arbeit. WSUS glänzt vor allem in den Bereichen Reporting und beim Einrichten verschiedener Update-Gruppen.

Die Verwaltung des WSUS-Servers erfolgt bequem über eine Browser-basierte Oberfläche. Bei dem Update-Tool hat sich Microsoft sichtlich Mühe gegeben. Das zeigt sich, wenn beispielsweise Sicherheitsprobleme bemängelt werden, die mit der eigentlichen Aufgabe von WSUS gar nichts zu tun haben: Stellt man die Verbindung zur Webseite ohne SSL her, dann enthält die Verwaltungsseite einen entsprechenden Hinweis. Außerdem erhält man einen Link, um den SSL-Zugang einrichten zu können.

Da die Software an sich nichts kostet und sich hervorragend in eine bestehende Netzwerkinfrastruktur einbinden lässt, steht einer Installation nichts im Wege. Zumindest im Internet hat der WSUS schon eine rege Anhängerschaft gefunden. Interessierte tauschen sich im englischsprachigen WSUS Wiki über den Server aus. Dort finden sich auch Lösungen bei Problemen und Links zu weiteren Community-Seiten. Eine Rubrik zum SUS rundet die Seite ab.

© www.tecCHANNEL.de

Zum Seitenanfang