HowTo > Microsoft Custom Support Agreement Aktualisierungen in einen WSUS Server importieren


Als Custom Support Agreement (CSA) Teilnehmer bei Microsoft besteht der Vorteil Sicherheitsaktualisierungen für Betriebssysteme welche noch in Gebrauch sind, allerdings aus dem öffentlichem Wartungszyklus bereits herausgenommen wurden wie zum Beispiel Windows XP, zu bekommen. Natürlich ist dies kein kostenloser Vorteil.
Wenn dieser Vertrag mit Microsoft geschlossen wurde besteht die Möglichkeit diese Aktualisierungen von den Microsoft Webseiten herunter zu laden und in einen WSUS Server oder auch in das System Center Configuration Manager zu importieren.
In diesem Artikel geht es allerdings um den WSUS Server und für System Center Configuration Manager füge ich am Ende des Artikels einige Links ein die darauf verweisen.
In einem bestehenden Wartungsvertrag stellt Microsoft ein Werkzeug zur Verfügung, bitte NICHT darum bitten, für diese CSA Aktualisierungen. Es ist die Datei WSUSImporttool.exe.
Dieses Werkzeug muss auf dem WSUS Server direkt benutzt werden. Es erfordert eine Ordnerstruktur auf dem Server welcher die Katalogdatei und die Aktualisierungsdateien enthält. Ebenfalls wird ein Arbeitsverzeichnis benötigt, grundsätzlich der „TEMP“ Ordner. Wenn Unklarheit darüber besteht kann auch ein selbst erstellter Ordner benutzt werden. Bereits importierte Aktualisierungen können in einem Archiv der Übersichtlichkeit halber abgelegt werden, was allerdings kein Muss für WSUSImporttool.exe ist.
Die Ordnerstruktur kann somit so erstellt werden:

Hier klicken um das Bild zu vergrößern
Abbildung 1

Microsoft benutzt hier den Ordner „Payload“ für die Aktualisierungsdateien, „ScanCab“ für die Katalogdatei und „WorkingDir“ als Arbeitsverzeichnis. „_Archive“ wurde als Archivierungsordner hinzugefügt und wird nicht vom WSUSImporttool benötigt.
In der Ordnerstruktur werden die Dateien abgelegt, welche von der Microsoft Webseite herunter geladen wurden. Die Aktualisierungsdateien:

Hier klicken um das Bild zu vergrößern
Abbildung  2

Und die Katalog Datei (.CAB).

Hier klicken um das Bild zu vergrößern
Abbildung 3

Das Arbeitsverzeichnis bleibt leer.

Hier klicken um das Bild zu vergrößern
Abbildung 4

Mit dieser Vorbereitung können die Dateien mit dem WSUSImporttool in den WSUS Server importiert werden.
Die folgende Syntax wird dabei benutzt:
WSUSImporttool.exe <WsusScan cab Location> <Payload Directory> [Working Directory]

Hier klicken um das Bild zu vergrößern
Abbildung 5

Mit der von mir benutzten Ordnerstruktur sieht der Befehl dann folgendermaßen aus.

Hier klicken um das Bild zu vergrößern
Abbildung 6

Wenn nun die “Enter” Taste gedrückt wird erscheint folgende Anzeige.

Hier klicken um das Bild zu vergrößern
Abbildung 7

Nach einiger Zeit, welche sehr von der benutzten Serverausstattung (RAM, CPU) abhängt, gibt es folgende Anzeige. Es mag sein, wie ebenfalls hier dargestellt, dass fehlende Dateien angezeigt werden.

Hier klicken um das Bild zu vergrößern
Abbildung 8

Das mag passieren wenn Microsoft die Dateien noch nicht zur Verfügung gestellt, allerdings schon in der Katalog Datei gelistet hat, und diese dann später zum Herunterladen zur Verfügung stellt. Dann muss gewartet und auf der Webseite die Verfügbarkeit geprüft werden um sie dann später zu importieren.
Während des Importierens der Aktualisierungen zeigt der Server eine sehr hohe CPU-Last für die “sqlserver.exe” für längere Zeit an. Das kann für diesen Schritt ignoriert werden und muss nach dem Import wieder auf normale Auslastung zurückgehen. In meinem benutzten Server mit Windows Server 2008 R2 hat es ca. 10 – 15 Minuten für die oben angezeigten 13 Aktualisierungen gedauert.

Hier klicken um das Bild zu vergrößern          Hier klicken um das Bild zu vergrößern
Abbildung 9                                             Abbildung 10

Nach dem Aktualisieren mit den neuen Dateien wird der WSUS Server ebenfalls mit den Microsoft Servern synchronisieren, was zum Prozess gehört. Es werden nicht noch einmal alle Aktualisierungen heruntergeladen sondern es wird nur gegengeprüft ob alles aktuell ist.

Hier klicken um das Bild zu vergrößern
Abbildung 11

Zum Schluss werden die importierten Aktualisierungen im WSUS Server wie gewohnt unter den nicht zugewiesenen Aktualisierungen angezeigt. Sie sind einfach zu erkennen da sie am Ende des Dateinamens mit „Custom Support“ gekennzeichnet sind.

Hier klicken um das Bild zu vergrößern
Abbildung 12

Es wird ebenfalls eine Produktgruppe im WSUS angelegt, allerdings vermute ich dass dort keine fehlenden Dateien heruntergeladen werden können. Zur Beobachtung habe ich es bei mir aktiviert und falls es anders ist werde ich diesen Artikel aktualisieren.

Hier klicken um das Bild zu vergrößern
Abbildung 13

Sollte die “sqlserver.exe” nicht aufhören die hohe CPU-Last zu verursachen, dann ist es hilfreich die  Wartung des WSUS Servers mit dem „WsusDBMaintenance“- Skript (http://gallery.technet.microsoft.com/scriptcenter/6f8cde49-5c52-4abd-9820-f1d270ddea61) im SQL Server Management Studio oder mit dem Kommandozeilen-Werkzeug „sqlcmd“, auf dem WSUS Server zu benutzen.

Links:
http://kammaninfo.wordpress.com/category/microsoft/windows/windows-server-2012/
http://chadstech.net/microsoft-csa-patches/


Meinolf Weber
MVP Directory Services
http://mvp.microsoft.com/de-de/mvp/Meinolf%20Weber-4021941