Gruppenrichtlinie für WSUS

Nach der Installation und Konfiguration von WSUS besteht die nächste wichtige Aufgabe darin die Gruppenrichtlinieneinstellungen für automatische Updates zu konfigurieren. Mithilfe von Gruppenrichtlinien können Sie Ihre Clients auf einen neuen WSUS-Server verweisen.

In einer Active Directory-Umgebung können Sie mithilfe von Gruppenrichtlinien den WSUS-Server angeben. Die Gruppenrichtlinieneinstellungen werden verwendet, um automatische Updates von Windows Server Update Services (WSUS) abzurufen.

Sie können die Gruppenrichtlinie erstellen und auf bestimmte Organisationseinheiten (die Ihre Computer enthalten) anwenden.

Obwohl es viele Windows Update-Richtlinieneinstellungen gibt, müssen nur wenige von ihnen konfiguriert werden.
Eine Liste aller Windows Update-Richtlinieneinstellungen finden Sie in diesem Artikel von Microsoft.

 

Konfigurieren der WSUS Client Gruppenrichtlinie

Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole und erstellen Sie ein neues Gruppenrichtlinienobjekt.

Geben Sie dem Gruppenrichtlinienobjekt einen Namen.

Klicken Sie mit der rechten Maustaste auf den Namen des neu angelegten Gruppenrichtlinienobjekts und wählen Sie Bearbeiten.

Navigieren Sie zu Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update .

Doppelklicken Sie auf Automatische Updates konfigurieren und setzen Sie es auf Aktiviert .

Wählen Sie unter Automatische Updates konfigurieren die gewünschte Option aus. Unter Geplanter Installationstag wählen Sie den Tag, an dem die Updates installiert werden sollen. Legen Sie ebenso die geplante Installationszeit fest.

Wenn Sie Autom. Herunterladen… auswählen und die Installation der Updates planen, erhalten Sie einige Optionen, um die Aktualisierungshäufigkeit zu begrenzen. Wenn Sie die Einstellungen konfiguriert haben, klicken Sie auf Übernehmen und auf OK .

Die nächste Einstellung die Sie konfigurieren sollten, ist die Angabe eines Speicherorts für den Microsoft-Update-Dienst im Intranet. Die Idee dahinter ist, sicherzustellen, dass die Clients den angegebenen Intranetserver kontaktieren, anstatt Updates von Microsoft Update aus dem Internet herunterzuladen. Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden die Clients keinen Kontakt zum WSUS Server aufbauen können.

Um die Richtlinie zu aktivieren, klicken Sie Aktiviert.
Geben Sie den Internen Updatedienst und den Intranetserver für die Statistik an.
Klicken Sie auf Übernehmen und auf OK .

Verknüpfen Sie das erstellte Gruppenrichtlinienobjekt mit einer OU, in der sich die Computerobjekte befinden.

Wählen Sie das Gruppenrichtlinienobjekt (WSUS Policy) aus und klicken auf OK.

Sie können die WSUS Clientkonfiguration auch auf Clients mithilfe der Registrierung überprüfen.
Öffnen Sie auf einem Client den Registrierungseditor und wechseln Sie zu HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Überprüfen Sie die Werte und stellen Sie sicher, dass die Werte mit denen übereinstimmen, die Sie im WSUS-Gruppenrichtlinienobjekt angegeben haben.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

WSUS Installation auf Windows Server 2019

Melden Sie sich mit einem administrativen Account an dem Windows Server 2019 an, auf dem Sie die Windows Server Update Services (WSUS) installieren möchten.

Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.

 

Wählen Sie auf der Seite „Installationstyp auswählen“ die Option Rollenbasierte oder featurebasierte Installation aus.
Klicken Sie auf Weiter.

 

Überprüfen Sie auf der Seite „Zielserver auswählen“ den Servernamen und klicken Sie auf Weiter.

 

Wählen Sie auf der Seite „Serverrollen auswählen“ die Rolle Windows Server Update Services.

 

Im folgenden Fenster Sie sehen Sie die Features, die für Installation der Windows Server Update Services erforderlich sind.
Klicken Sie auf Features hinzufügen und dann auf Weiter .

 

Übernehmen Sie auf der Seite „Features auswählen“ die Standardeinstellungen und klicken Sie auf Weiter.

 

Klicken Sie auf der Seite „Windows Server Update Services“ auf Weiter.

 

Auf der Seite „Rollendienste auswählen“ müssen die Rollendienste/Datenbanktyp ausgewählt werden.
Wählen Sie WID-Konnektivität und WSUS-Dienste.
Klicken Sie auf Weiter.

 

Geben Sie einen Speicherort zum Speichern der Updates an.
Es ist ratsam,  die Updates nicht auf dem Systemlaufwerk (C:), sondern auf einem eigenen Laufwerk zu speichern.
Klicken Sie auf Weiter .

 

Klicken Sie auf der Seite „Rolle ‚Webserver (IIS)'“ auf Weiter.

 

Die Rollendienste zum Installieren des Webservers (IIS) werden automatisch ausgewählt.
Ändern Sie hier nichts und klicken Sie auf Weiter.

 

Bestätigen Sie die Installationsauswahl, bevor Sie WSUS installieren.
Überprüfen Sie die Einstellungen und klicken Sie auf Installieren.

 

Klicken Sie nach Abschluss der WSUS-Installation auf Nachinstallationsaufgaben starten.

 

Warten Sie bis die Meldung „Die Konfiguration wurde erfolgreich abgeschlossen“ erscheint.
Klicken Sie auf Schließen

 

Nach der Installation können Sie den WSUS-Server mithilfe des WSUS Server-Konfigurationsassistenten konfigurieren. Dies ist eine einmalige Konfiguration, in der Sie wichtige WSUS-Optionen konfigurieren.

Sollte der WSUS Server-Konfigurationsassistent nicht angezeigt werden, kann dieser auch über die WSUS-Konsole -> Optionen -> Assistent für die WSUS-Serverkonfiguration gestartet werden.

Hinweis:
Bevor Sie mit der Konfiguration von WSUS beginnen, sollten Sie einige wichtige Punkte beachten:

  • Stellen Sie sicher, dass die Firewall auf dem WSUS Server den Clients den Zugriff auf den WSUS-Server ermöglicht.
  • Stellen Sie sicher, dass die Firewall dem WSUS-Server ermöglicht, eine Verbindung zu Microsoft Update herzustellen.
  • Falls eine Verbindung zum Internet über einen Proxy-Server hergestellt wird, müssen bei der Konfiguration die Anmeldeinformationen für den Proxy-Server eingeben werden.

Klicken Sie auf der Seite Bevor Sie beginnen auf Weiter .

 

Klicken Sie Weiter.

 

Dies ist ein wichtiger Abschnitt, in dem Sie den Upstream-Server auswählen. Sie haben zwei Möglichkeiten.

  • Von Microsoft Update synchronisieren
    Wenn Sie diese Option auswählen, werden die Updates von Microsoft Update heruntergeladen.
  • Von einem anderen Windows Server Update Services-Server synchronisieren
    Wählen Sie diese Option, wenn dieser WSUS-Server Updates von einem bereits vorhandenen WSUS-Server herunterladen soll. Sie müssen standardmäßig den Servernamen und die Portnummer (8530) angeben. Wenn Sie die Option zur Verwendung von SSL während der Synchronisierung von Updates auswählen, stellen Sie sicher, dass der Upstream-WSUS-Server auch für die Unterstützung von SSL konfiguriert ist.

Klicken Sie auf Weiter .

 

Falls Sie einen Proxy-Server verwenden, geben Sie hier die den Proxyservernamen und die Portnummer ein.
Geben Sie außerdem die Anmeldeinformationen für die Verbindung zum Proxy-Server an.

Klicken Sie auf Weiter .

 

Klicken Sie auf der Seite „Mit Upstreamserver verbinden“ auf die Schaltfläche Verbindung starten.

 

Sobald dies abgeschlossen ist, klicken Sie auf Weiter .

 

Auf der Seite „Sprache auswählen“ können Sie die Sprachen der Updates auswählen. Wenn Sie Updates in allen Sprachen herunterladen möchten, finden Sie Updates in allen Sprachen in der WSUS-Konsole.

Wenn Sie jedoch Updates nur für bestimmte Sprachen erhalten möchten, wählen Sie Updates nur in diesen Sprachen herunterladen. Wählen Sie die Sprachen aus, für die Sie Aktualisierungen wünschen.

Klicken Sie auf Weiter .

 

Aus der Produktliste können Sie einzelne Produkte oder Produktfamilien auswählen für die der WSUS Server Updates synchronisieren soll.

Klicken Sie auf Weiter.

 

Wählen Sie auf der Seite „Klassifizierungen auswählen“ die erforderlichen Klassifizierungen aus.
Klicken Sie auf Weiter .

 

Auf der Seite „Synchronisierungszeitplan festlegen“ können Sie auswählen, ob die Synchronisierung manuell oder automatisch durchgeführt werden soll.

Wenn Sie Manuell synchronisieren wählen, müssen Sie jedes Mal den Synchronisierungsvorgang manuell über die WSUS-Verwaltungskonsole starten.
Wählen Sie diese Option  daher nicht aus, wenn Sie den WSUS in produktiven Umgebung einsetzen.

Wenn Sie Automatisch synchronisieren wählen, wird der WSUS-Server in festgelegten Intervallen synchronisiert. Sie können die Uhrzeit der ersten Synchronisation einstellen. Stellen Sie anschließend die Anzahl der Synchronisationen pro Tag ein. In der Dropdown-Liste können Sie einen Wert zwischen 1-24 auswählen.

Klicken Sie auf Weiter .

 

Klicken Sie auf Erstesynchronisierung starten.
Klicken Sie auf Weiter .

 

Klicken Sie abschließend auf der letzten Seite auf Fertig stellen.
Damit ist die Konfiguration des WSUS Servers abgeschlossen.

 

 

 

 

 

 

 

 

 

 

 

 

 

Updates importieren

Es kann vorkommen, dass Microsoft Updates veröffentlicht werden, die zwar über den Microsoft Update Katalog zum Download angeboten werden, jedoch (noch) nicht für WSUS freigegeben wurden. Solche Update können bei Bedarf in die WSUS Konsole importiert werden.
Wie dies funktioniert wird hier beschrieben:

Klicken Sie mit der rechten Maustaste auf „Updates..“
Im  Menü wählen sie „Import Updates ..“

Es öffnet ich der Internet Explorer..

Hinweis:
Der Internet Explorer muss im System als Standard Browser definiert sein, da andere Browser (z.B. Google Chrome, Mozilla Firefox) für den Import von Updates nicht unterstützt werden.

In das Suchfeld auf der rechten Seite kann nach den gewünschten Updates gesucht werden.

Geben Sie z.B. den KB-Artikel oder den Namen des Updates in das Suchfeld ein.

Wählen Sie das/die erforderliche(n) Update(s) aus und klicken rechts auf „Hinzufügen“ bzw. „Add“ um es in den Warenkorb hinzuzufügen.

Klicken Sie nun auf „Warenkorb anzeigen“ bzw. „view basket“ um alle zu importierenden Updates anzuzeigen

Klicken sie auf die Schaltfläche „Import“ um den Importvorgang zu starten.

Hinweis:
Beachten Sie, dass der Haken für den direkten Import in WSUS aktiviert ist.
Ansonsten werden die Updates als Datei heruntergeladen und nicht importiert.

 

Nach einer manuellen Aktualisierung der WSUS Konsole wird das importierte Update gelistet und kann nun freigegeben werden.

 

 

 

 

 

 

 

 

Firewall Ports / Ausnahmen

Wenn Sie den WSUS Server einrichten ist es wichtig, dass der Server eine Verbindung zu Microsoft Update herstellen kann,
um Updates herunterzuladen. Wenn sich zwischen WSUS Server und dem Internet eine Unternehmensfirewall befindet,
müssen Sie diese Firewall möglicherweise konfigurieren, um sicherzustellen, dass WSUS Aktualisierungen abrufen werden können.

Um Updates von Microsoft Update zu erhalten verwendet der WSUS-Server Port 443 für das HTTPS-Protokoll.
Sie müssen den Internetzugriff von WSUS auf die folgenden URLs zulassen:

  • http://windowsupdate.microsoft.com
  • http://*.windowsupdate.microsoft.com
  • https://*.windowsupdate.microsoft.com
  • http://*.update.microsoft.com
  • https://*.update.microsoft.com
  • http://*.windowsupdate.com
  • http://download.windowsupdate.com
  • https://download.microsoft.com
  • http://*.download.windowsupdate.com
  • http://wustat.windows.com
  • http://go.microsoft.com
  • http://dl.delivery.mp.microsoft.com
  • https://dl.delivery.mp.microsoft.com

Ausführen eines Scripts auf der Windows Internal Database

Auf dem WSUS-Server muss das Microsoft SQL Server Management Studio installiert sein.

Download:  Microsoft SQL Server Management Studio Express Service Pack 2 oder
                   SQL Server Management Studio (SSMS)

Nach der Installation starten. Der Login muss dann so aussehen:

Servername bis Windows Server 2008 R2:      \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query
Servername ab Windows Server 2012:             \\.\pipe\MICROSOFT##WID\tsql\query

Benutzername wird der vom aktuell angemeldeten User verwendet. Es muss darauf geachtet werden, dass der Benutzer auch genügend Rechte hat, um den SQL-Server zu verwalten.

Wenn man eingeloggt ist, sieht es so aus:

Jetzt auf neue Abfrage klicken und den Inhalt dieses Scripts einfügen:

 

Jetzt auf Ausführen klicken.

Die Abfrage wurde korrekt ausgeführt.

Dieser Test lief auf WSUS 3.0 SP1 in einer virtuellen Umgebung.

 

Winfried Sonntag

Diese Webseite verwendet Cookies. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen