Anwendungen über WSUS bereitstellen – Teil 1

Es gab schon immer die Möglichkeit mit der WSUS API eigene Programme über den Windows Server Update Service (WSUS), für die Clients und Servern zur Verfügung zu stellen. Mit dem Local Update Publisher (LUP) hat man nun eine Benutzeroberfläche dazu bekommen.

Was wir alles benötigen:

  • einen WSUS
  • Microsoft SQL Server Management Studio (629.8 MB) auf dem WSUS
  • Microsoft .NET Framework 3.5 (muss auf dem WSUS installiert sein)
  • einen Domain Controller (mind. Windows Server 2008) oder einen Client (mind. Windows Vista), benötigt wird die  Group Policy Management Console (GPMC.MSC) die bereits Group Policy Preferences  anbietet. Die GPMC von Windows Server 2003 oder Windows XP kann die Group Policy Preferences nicht darstellen.  Damit auch ältere Clients das verstehen und umsetzen können, muss KB943729 auf den Clients installiert sein.
  • Local Update Publisher Version 1.1

Ausgangsposition ist ein WSUS 3.0 SP2 Vers. 3.2.7200.256 (November 2012)

Hier klicken um das Bild zu vergrößern
Abbildung WSUS 3.0 SP2

Wie man sieht, sind noch keine Updates zur Installation genehmigt. Pauschal ein paar hundert oder tausend Updates genehmigen ist nicht nötig. Die Clients/Server berichten, welche Updates sie benötigen. Die gibt man zum Installieren frei. In einem schlecht gewarteten Active Directory kann es unter Umständen etwas länger dauern bis alle Clients up2date sind. Dafür lädt man nicht unnötigerweise viele Updates herunter, verbraucht somit auch keine Bandbreite und spart auch noch Festplattenplatz.

Ebenfalls mit abgebildet sind die beiden verwendeten Gruppenrichtlinienobjekte (GPO). Zuerst für die Clients und Benutzer, als zweites das GPO für die Server.

Hier klicken um das Bild zu vergrößern
Abbildung WSUS Clients User GPO

Hier klicken um das Bild zu vergrößern
Abbildung WSUS Server GPO

Der LUP ist gleich installiert und bedarf keiner weiteren Erklärung. Wie später zu sehen ist, verbindet sich der LUP zur SUSDB.mdf, das ist die SQL Serverdatenbank des WSUS. Aus diesem Grund empfehle ich die Installation des LUP direkt auf dem WSUS. In diesem HowTo wird der LUP auf dem WSUS direkt installiert.
Damit der lokale Windows Update Agent auf den Clients/Servern auch die 3rd Party Anwendungen downloaden und installieren kann, müssen diese auch signiert werden. Die Updates von Microsoft sind selbstverständlich signiert und die Clients/Server haben das entsprechende Root Zertifikat installiert. Das Zertifikat verteilen wir später über eine Gruppenrichtlinie auf die Clients/Server automatisch.

Der WSUS ist einsatzbereit, der Local Update Publisher kann gestartet werden.

Hier klicken um das Bild zu vergrößern
Abbildung LUP Startbild

Beim ersten Start kann man schon erschrecken, es ist recht wenig zu sehen. Damit sich das ändert muss über das Menü Werkzeuge > Einstellungen > [ ] Offizielle Updates von Microsoft ausblenden deaktiviert werden. Den LUP neu starten.
Ein Klick auf den LOCALHOST fördert schon den nächsten Dialog zu Tage, sofern man kein eigenes Zertifikat verwendet und per GPO verteilt hat. Die Übersetzung ist verbesserungswürdig. Evtl. ist es besser mit der englischen Version zu arbeiten. Damit es einheitlich bleibt, bleiben wir in diesem HowTo auf Deutsch.

Hier klicken um das Bild zu vergrößern
Abbildung LUP Zertifikat Anforderung

In diesem HowTo wird nur das Zertifikat vom LUP benutzt. Wer möchte, kann natürlich auch ein Zertifikat aus der eigenen CA erstellen.

Hier klicken um das Bild zu vergrößern
Abbildung LUP Zertifikat Erstellung

Hier klicken um das Bild zu vergrößern
Abbildung LUP Zertifikat Erstellt

Das Zertifikat muss jetzt exportiert werden, damit es später in das GPO importiert werden kann. Diesen Schritt kann jeder selbst ohne Bilder durchführen. Anschließend wieder mit OK den Zertifikatsdialog schließen.

Jetzt erscheint auch die Gruppenstruktur vom WSUS im LUP und die vorhandenen Produkte im WSUS.

Hier klicken um das Bild zu vergrößern
Abbildung LUP Ansicht

Das soeben exportierte Zertifikat muss nun wieder importiert werden. Diesmal in den Store des Localhost. Im Ordner der Vertrauten Herausgeber importieren wir das soeben exportierte Zertifikat wieder. Start > Ausführen > MMC [ENTER] > SnapIn hinzufügen > Zertifikate hinzufügen > Computerkonto auswählen > Lokalen Computer hinzufügen > Fertig stellen. Vertrauenswürdige Herausgeber > Alle Aufgaben > Importieren. Zusätzlich muss das Zertifikat auch noch in den Zertifikatsspeicher der Vertrauenswürdigen Stammzertifizierungstellen importiert werden, ansonsten schlägt das Zertifizieren von Updates fehl.

Man kann diese beiden Importe natürlich auch über das später noch zu erstellende Gruppenrichtlinienobjekt automatisch vornehmen lassen. Das GPO muss sowieso erstellt werden und auch der Server, auf dem der WSUS/LUP installiert ist, sollte das GPO übernehmen.

Hier klicken um das Bild zu vergrößern
Abbildung Import Zertifikat Lokal

Hier klicken um das Bild zu vergrößern
Abbildung Import Zertifikat Lokal

Über Durchsuchen zum vorher exportierten Zertifikat navigieren, mit OK bestätigen. Im vorletzten Dialog noch den Zertifikatsspeicher kontrollieren.

Hier klicken um das Bild zu vergrößern
Abbildung Import Zertifikat Lokal

Fertig stellen.

Hier klicken um das Bild zu vergrößern
Abbildung Import Zertifikat Lokal

Jetzt importieren wir das Zertifikat in die WSUS GPO, damit es an die Clients verteilt werden kann. Das Zertifikat muss in zwei Zertifikatsspeicher importiert werden. Vertrauenswürdige Herausgeber und Vertrauenswürdige Stammzertifizierungsstellen. Ohne das Zertifikat und eine weitere Einstellung in der WSUS GPO können die Clients keine 3rd Party Anwendungen installieren. Persönlich habe ich gerne alles in einer GPO, deshalb erfolgt in diesem HowTo der Import des Zertifikates in das schon fertige WSUS GPO.

Hier klicken um das Bild zu vergrößern
Abbildung Import Zertifikat GPMC

Und so sieht das Zertifikat dann in den GPO aus:

Hier klicken um das Bild zu vergrößern
Abbildung Ansicht GPMC
Falls bisher noch nicht gesetzt, muss jetzt noch in den GPOs für die Clients und Server die Einstellung gesetzt werden, damit die Clients die 3rd Party Software auch installieren dürfen:

Computerkonfiguration > Windows Komponenten > Windows Update > Signierten Inhalt aus internem Speicherort für Microsoft-Update Dienste zulassen > Aktivieren.

Der langwierige Teil ist jetzt abgeschlossen. Ab sofort können wir Anwendungen über den WSUS zur Verfügung stellen. Ich schreibe ausdrücklich zur Verfügung stellen, denn der WSUS rollt nichts aus, er ist wie ein stummer Diener, er steht nur da und steht zur Verfügung bzw. stellt die Updates den Clients und Servern zur Verfügung. Das nette daran ist das nette darin. Die Clients nutzen den BITS (Intelligenter Hintergrundübertragungsdienst) um die Software herunter zu laden. Mittels Gruppenrichtlinien kann die benutzte Bandbreite des BITS, und damit die des Netzwerkes konfiguriert werden. Damit kann ausgeschlossen werden, dass durch den Download von größeren Paketen das Netzwerk „verstopft“ wird. Wie das mit Gruppenrichtlinien funktioniert, wird in diesem kleinen HowTo beschrieben: http://www.wsus.de/bits

>> Anwendungen über WSUS bereitstellen – Teil 2 <<
>> Anwendungen über WSUS bereitstellen – Teil 3 <<

Winfried Sonntag

Diese Webseite verwendet Cookies. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen