Windows Server Update Services 3.0, Version 1.1

Transcription

IT-Regionalbetreuer des Landes Vorarlberg
Windows Server Update Services 3.0
© 2007
Besuchen Sie uns im Internet unter
http://www.vobs.at/rb
© 2007 Schulmediencenter des Landes Vorarlberg
IT-Regionalbetreuer des Landes Vorarlberg
6900 Bregenz, Römerstraße 15
Alle Rechte vorbehalten
Microsoft Windows Server Update Services 3.0
Autor: Vonach Erich
Microsoft Windows Server Update Services 3.0, Version 1.1
2 / 86
Inhalt
1.
Vorbemerkungen ................................................................................................6
1.1.
Allgemein ........................................................................................................6
1.2.
Änderungen gegenüber WSUS 2.0.......................................................................6
1.3.
Welche Produkte unterstützt WSUS 3.0? ..............................................................6
1.4.
Voraussetzungen ..............................................................................................6
1.4.1.
Hardware ......................................................................................................6
1.4.2.
Software .......................................................................................................7
1.4.2.1.
Optional ......................................................................................................7
1.4.2.2.
Downloads ...................................................................................................7
2.
2.1.
2.1.1.
2.1.2.
2.2.
2.2.1.
2.2.2.
2.3.
2.4.
2.5.
Installation auf dem Server ..................................................................................8
Neuinstallation vom WSUS 3.0............................................................................8
Mit vorhandener Standardwebsite .....................................................................9
Mit neuer Website ...........................................................................................9
Update-Installation von WSUS 2.0 auf WSUS 3.0 ................................................ 10
Vorbemerkung ............................................................................................. 10
Installation .................................................................................................. 11
Konfigurationsassistent.................................................................................... 13
Report Viewer (optional, zu empfehlen) ............................................................. 15
Management Console 3.0 (optional, zu empfehlen) .............................................. 16
3.
3.1.1.
3.1.2.
Einrichten der Active Directory Services ............................................................... 17
Ohne Zielgruppenzuordnung........................................................................... 19
Mit Zielgruppenzuordnung.............................................................................. 19
4.
Erster Start...................................................................................................... 26
4.1.
Einstellen der Optionen.................................................................................... 27
4.1.1.
Updatequelle und Proxyserver … ..................................................................... 27
4.1.2.
Produkte und Klassifizierungen ....................................................................... 28
4.1.3.
Dateien und Sprachen aktualisieren ….............................................................. 28
4.1.4.
Synchronisierungszeitplan.............................................................................. 29
4.1.5.
Automatische Genehmigungen........................................................................ 29
4.1.6.
Computer .................................................................................................... 30
4.1.6.1.
Update Service-Konsole verwenden ............................................................... 30
4.1.6.2.
Einstellungen aus dem ADS überneh-men ...................................................... 30
4.1.7.
Assistent für die Serverbereinigung ................................................................. 30
4.1.8.
Berichterstattungsrollup................................................................................. 31
4.1.9.
E-Mail-Benachrichtigung ................................................................................ 31
4.1.10.
Programm zur Verbesserung von Microsoft Update ............................................ 32
4.1.11.
Personalisierung ........................................................................................... 32
4.1.12.
Konfigurationsassistent.................................................................................. 33
4.2.
Updates ........................................................................................................ 33
4.2.1.
Updates importieren...................................................................................... 33
4.2.2.
Updates auswählen ....................................................................................... 34
4.2.3.
Updates genehmigen..................................................................................... 34
4.2.3.1.
Für die Installation auf allen Compu-tern sofort genehmigen ............................. 34
4.2.3.2.
Für die Installation auf allen Compu-tern genehmigen am … genehmigen............ 34
4.2.4.
Updates ablehnen ......................................................................................... 36
4.2.5.
Updates gruppieren....................................................................................... 37
4.2.6.
Updates mit hoher Priorität ............................................................................ 37
4.2.7.
Sicherheitsupdates........................................................................................ 37
4.2.8.
WSUS-Updates ............................................................................................. 38
4.2.9.
entfernbare updates...................................................................................... 38
4.3.
Computer ...................................................................................................... 38
4.3.1.
Computer suchen.......................................................................................... 38
4.3.2.
Computer gruppieren .................................................................................... 40
4.3.3.
Verwalten von Computern (Hilfetext) ............................................................... 40
4.3.3.1.
Verwalten von Computergruppen .................................................................. 40
4.3.3.2.
Weitere Überlegungen ................................................................................. 41
4.3.4.
Computergruppen hinzufügen......................................................................... 41
3 / 86
4.3.5.
4.3.5.1.
4.3.5.2.
4.3.6.
4.4.
4.5.
4.5.1.
4.5.1.1.
4.5.1.2.
4.5.2.
4.5.3.
4.6.
4.6.1.
4.6.2.
4.6.3.
4.6.4.
4.6.5.
Mitgliedschaft der Clients zu Computergruppen ................................................. 41
Serverseitige Clientgruppenzuordnung (mittels WSUS)..................................... 41
Clientsitige Computergruppenzuord-nung (mittels Gruppenrichtlinie).................. 41
Computergruppen löschen.............................................................................. 43
Synchronisierungen ........................................................................................ 43
Berichte ........................................................................................................ 44
Updateberichte ............................................................................................. 44
Ohne Filterung ........................................................................................... 44
Mit Filterung............................................................................................... 44
Computerberichte ......................................................................................... 45
Synchronisierungsberichte ............................................................................. 46
Assistent zur Serverbereinigung........................................................................ 46
Nicht verwendete Updates und Updateversionen sind …...................................... 47
Computer, die keine Verbindung mit dem Server herstellen … ............................. 47
Nicht erforderliche Updatedateien sind ….......................................................... 47
Abgelaufene Updates..................................................................................... 47
Ersetze Updates ........................................................................................... 47
5.
Arbeiten am Client ............................................................................................ 48
5.1.
Kontrolle der Gruppenrichtlinie ......................................................................... 48
5.2.
aktueller Windows-Installer .............................................................................. 48
5.3.
Was noch zu tun ist......................................................................................... 50
5.3.1.
Manuell (Methode 1) ..................................................................................... 50
5.3.2.
Manuell (Methode 2) ..................................................................................... 50
5.3.2.1.
Stoppen des Auto-Update-Dienstes des Clients ............................................... 50
5.3.2.2.
Löschen des „Gedächtnisses“ des „toten“ Update-Dienstes................................ 50
5.3.2.3.
Starten des Auto-Update-Dienstes des Clients................................................. 51
5.3.3.
Automatisiert ............................................................................................... 51
5.4.
Clients nach einer Reparaturinstallation ............................................................. 51
6.
Anhang ........................................................................................................... 52
6.1.
Verwaltungskonsole auf einem Client (optional) .................................................. 52
6.1.1.
Vorbemerkung ............................................................................................. 52
6.1.2.
Installation der Verwaltungskonsole................................................................. 52
6.1.3.
Verwaltungskonsole mit Administratorenrechten ............................................... 53
6.1.4.
Verwaltungskonsole mit „Berichterstattungsrechten“.......................................... 54
6.1.4.1.
Gruppenmitgliedschaft................................................................................. 54
6.1.4.2.
Start der Konsole........................................................................................ 54
6.2.
Kommandozeilenbefehle .................................................................................. 55
6.2.1.
Client .......................................................................................................... 55
6.2.2.
Server......................................................................................................... 56
6.3.
Sicherung und Rücksicherung ........................................................................... 56
6.3.1.
Sicherung .................................................................................................... 56
6.3.1.1.
Datenbank ................................................................................................. 56
6.3.1.2.
Update Service Packages ............................................................................. 58
6.3.1.3.
WSUS Content............................................................................................ 60
6.3.2.
Rücksicherung.............................................................................................. 62
6.3.2.1.
Update Service Packages ............................................................................. 62
6.3.2.2.
WSUS Content............................................................................................ 64
6.3.2.3.
Datenbank ................................................................................................. 65
6.4.
Wichtige und nützliche Tools ............................................................................ 67
6.4.1.
Microsoft-eigene Diagnose-Tools für WSUS 3.0 ................................................. 67
6.4.1.1.
Server Diagnostic Tool................................................................................. 67
6.4.1.2.
Client Diagnostic Tool .................................................................................. 67
6.4.1.3.
Windows Server Update Services API Samples and Tools .................................. 68
6.4.1.4.
WSUS Reporting Rollup Sample Tool.............................................................. 68
6.4.1.5.
WSUS 3.0 Management Pack for Microsoft Operations Manager 2005 ................. 68
6.4.2.
Microsoft-fremde Tools für WSUS 3.0............................................................... 68
6.4.2.1.
WSUS Detectnow........................................................................................ 68
6.4.2.2.
Check WSUS .............................................................................................. 69
6.4.2.3.
Windows Update Agent Force Script............................................................... 69
6.4.2.4.
NWSUSUtil................................................................................................. 70
4 / 86
6.4.2.5.
6.4.2.6.
6.4.2.7.
6.5.
6.5.1.
6.5.2.
6.6.
6.7.
6.8.
6.9.
6.9.1.
6.9.2.
6.9.3.
6.9.4.
6.9.5.
6.9.6.
6.9.7.
6.9.8.
6.9.9.
6.10.
6.11.
6.12.
6.12.1.
6.12.2.
6.12.3.
6.12.4.
6.12.5.
6.12.6.
6.12.7.
6.13.
6.13.1.
6.13.2.
6.14.
6.14.1.
6.14.2.
6.14.3.
6.14.4.
UpdateLogger............................................................................................. 70
Get WSUS Content...................................................................................... 70
Connect2WSUS .......................................................................................... 71
Ergänzung zu den Gruppenrichtlinien................................................................. 71
Optional: Benutzerkonfiguration...................................................................... 71
Neue Richtlinien für Windows Vista .................................................................. 71
Microsoft® Update-Katalog .............................................................................. 72
Installation des IIS ......................................................................................... 74
Installation von BITS 2.0 ................................................................................. 75
Verbesserungen von WSUS 3.0 aus Sicht von Microsoft® ..................................... 75
Verbesserte Verwaltungsumgebung ................................................................. 75
Neue unterstützte Plattformen und Anforderungen............................................. 75
Einfache Installation und Aktualisierung von WSUS 2.0 ...................................... 76
Verbesserungen bei der Verwaltung von Replikatservern .................................... 76
Verbesserte Leistung ..................................................................................... 76
Verbesserung der Zuverlässigkeit.................................................................... 76
Verbesserte Berichtsfunktionen....................................................................... 76
Verbesserte Zielgruppenfunktionen ................................................................. 76
Besserer Zugriff auf Updates .......................................................................... 76
Hilfetexte zu WSUS 3.0.................................................................................... 76
Deinstallation von WSUS 3.0 ............................................................................ 78
bekannte Probleme ......................................................................................... 79
Gruppenrichtlinienverwaltung funktioniert nicht mehr......................................... 79
Updates werden nicht heruntergeladen ............................................................ 79
Client erscheint nicht in der Konsole ................................................................ 79
Geclonter Client erscheint nicht in der Konsole .................................................. 80
Client erscheint in der Konsole aber Updates sind als „unbekannt“ gekenn-zeichnet 80
Mindestens erforderlicher Speicherplatz ........................................................... 81
IIS muss installiert sein ................................................................................. 81
Log-Files ....................................................................................................... 81
Server......................................................................................................... 81
Client .......................................................................................................... 82
Empfehlung für Sicherheitseinstellungen des IIS 6.0 ............................................ 83
Fehlermeldung als Text an Client senden.......................................................... 83
Zusätzliche Logging-Optionen ......................................................................... 84
HTTP-Header Extensions entfernen.................................................................. 85
WSUS nach einer Reparaturinstallation des Betriebssystems ............................... 85
5 / 86
1.
Vorbemerkungen
1.1.
Allgemein
Um ein System sicher zu betreiben, ist es unbedingt erforderlich, es durch Hotfixes und
Servicepacks am aktuellen Stand der Sicherheit zu halten. Die Windows Server Update Services
3.0 (WSUS 3.0) bieten eine einfache Möglichkeit, Server und Workstations zentral zu
aktualisieren. WSUS 3.0 synchronisiert Hotfixes und Servicepacks mit einem Microsoft Rechner.
Der Administrator des Systems bestimmt mittels Gruppenrichtlinien, wann und von wo Hotfixes,
Servicepacks, Treiber, … auf die Clients übertragen werden sollen. Der AutoUpdateClient
überprüft diese Auswahl neuerlich und installiert vorhandene Updates kein zweites Mal. Die
Software BITS (Background Intelligent Transfer Service) sorgt dafür, dass nur dann Updates
aufgespielt werden, wenn die Bandbreitennutzung des Netzwerks gering ist.
WSUS ist darüber hinaus sogar in der Lage, fälschlicherweise erfolgte Installationen zurückzunehmen.
Voraussetzungen für die WSUS sind ein laufender Internet Information Server (IIS) und ein
funktionierendes Active Directory (ADS).
1.2.
Änderungen gegenüber WSUS 2.0
Nicht nur, dass WSUS 3.0 nicht mehr über ein Browserfenster gesteuert wird, sondern sich in der
Microsoft Management Console MMC integriert (und sich natürlich trotzdem remote verwalten
lässt), ist neu. Erweiterte Filtermöglichkeiten bzgl. Updates und Berichten (z. B. Excelexport)
erleichtern die Feinjustierung der Clientaktualisierung und v. a. lassen sich jetzt auch Hotfixes
verteilen.
Neu sind außerdem ein erweitertes Clientdiagnosetool (warum erscheint PCxy nicht in der
Console?), die Möglichkeit von eMail-Benachrichtigungen an den Administrator und ganz wichtig:
Nicht mehr benötigte Update-Files lassen sich nun vom Server entfernen!
Zusätzlich hilft ein Post-Configuration-Wizzard neuen Anwendern, sich leichter in der WSUSConsole zurechtzufinden.
1.3.
Welche Produkte unterstützt WSUS 3.0?
Exchange
Forefront
Internet Security and
Acceleration Server
•
•
•
•
Exchange Server 2000/2003/2007
Exchange Server 2007 Anti-spam
Microsoft Codename Max
•
Forefront Client Security
Microsoft Core XML Services
Max
Internet Security and Acceleration
Server 2004/2006
Microsoft System Center Data
Protection Manager
•
Data Protection Manager 2006
Office
SQL Server
Windows Live
•
•
•
•
SQL Server 2000/2005
SQL Server Feature Pack
•
•
•
•
•
Windows
Windows
Windows
Packs
Windows
•
Office 2003
Office 2002/XP
Windows
•
•
•
•
•
Windows 2000/XP/2003
Windows Small Business Server
2003
Windows Defender
Windows Internet Explorer
Dynamic Installer
Windows Media Dynamic Installer
1.4.
Voraussetzungen
1.4.1.
Hardware
o
o
o
o
Windows Live Mail
Windows Live Toolbar
Zune
•
Ultima Extras
Vista Dynamic Installer
Vista Ultimate Language
Zune Software
Vista
Die Systempartition und die Partition auf der WSUS 3.0 installiert wird, muss NTFS-formatiert
sein.
Minimum 1 GB freier Speicherplatz auf der Systempartition
Minimum 6 GB freier Speicherplatz auf der Partition, auf der WSUS die Update-Dateien ablegt.
Minimum 2 GB freier Speicherplatz auf der Partition, auf der Windows® Internal Database
installiert wird.
6 / 86
1.4.2.
•
•
•
•
•
Software
Windows Server 2003 (Nicht: Windows Server 2000)
Background Intelligent Transfer Service (BITS) 2.0
Microsoft Internet Information Services (IIS) 6.0 oder höher
Windows Installer 3.1 oder höher
Microsoft .NET Framework 2.0 oder höher
1.4.2.1. Optional
•
•
•
Microsoft Report Viewer Redistributable 2005
Microsoft Management Console 3.0
SQL Server 2005 Service Pack 1
Bei der WSUS 3.0-Installation wird die Microsoft SQL Server 2005 Embedded Edition installiert,
falls kein SQL 2005 vorhanden ist.
1.4.2.2. Downloads
•
•
•
•
•
•
•
•
•
•
WSUS 3.0
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=e4a868d7a820-46a0-b4db-ed6aa4a336d9
Microsoft .NET Framework 2.0 Redistributable (x86)
http://www.microsoft.com/downloads/details.aspx?familyid=0856EACB-4362-4B0D-8EDDAAB15C5E04F5&displaylang=de
http://www.microsoft.com/downloads/details.aspx?familyid=B44A0000-ACF8-4FA1-AFFB40E78D788B00&displaylang=de
http://www.microsoft.com/downloads/details.aspx?familyid=10CC340B-F857-4A14-83F525634C3BF043&displaylang=de
BITS 2.0 für Windows 2003 Server mit SP1
http://www.microsoft.com/downloads/details.aspx?FamilyID=3fd31f05-d091-49b3-8a80bf9b83261372&DisplayLang=de
Microsoft Management Console 3.0 für Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?familyid=4C84F80B-908D-4B5D-8AA827B962566D9F&displaylang=de
Microsoft Management Console 3.0 für Windows XP
http://www.microsoft.com/downloads/details.aspx?familyid=61FC1C66-06F2-463C-82A2CF20902FFAE0&displaylang=de
Microsoft Report Viewer Redistributable 2005
http://www.microsoft.com/downloads/details.aspx?FamilyID=e7d661ba-dc95-4eb3-89163e31340ddc2c&DisplayLang=de
Schrittweise Anleitung für die ersten Schritte mit Microsoft Windows Server Update Services
http://www.microsoft.com/downloads/info.aspx?na=47&p=3&SrcDisplayLang=de&SrcCategory
Id=&SrcFamilyId=61fc1c66-06f2-463c-82a2cf20902ffae0&u=details.aspx%3ffamilyid%3d3BA03939-A5A9-407B-A4B01290BA5182F8%26displaylang%3dde
WSUS-Tools
http://www.wsus.de/index.php?page=68
7 / 86
2.
Installation auf dem Server
2.1.
Neuinstallation vom WSUS 3.0
8 / 86
Speicherort der Updatedateien:
Standard: G:\WSUS\WSUSContent
2.1.1.
Mit vorhandener Standardwebsite
Speicherort der Datenbank:
Standard: G:\WSUSDatabase
2.1.2.
Mit neuer Website
9 / 86
Weiter geht es mit dem Konfigurationsassistenten von WSUS 3.0.
2.2.
Update-Installation von WSUS 2.0 auf WSUS 3.0
Achtung: Ein Update von SUS auf WSUS 3.0 ist nicht möglich!
2.2.1.
•
•
•
Vorbemerkung
Bei einem Update von WSUS 2.0 auf WSUS 3.0 wird – so sie nicht anderweitig verwendet
wird (z.B. von Symantec™ Antivirus Corporate Edition 10.x) – automatisch die Microsoft SQL
Server 2000 Desktop Engine (MSDE 2000) deinstalliert.
Die Update-Dateien bleiben natürlich im Ordner WSUSContent erhalten und die neuen WSUSDatenbank-Dateien werden im Ordner WsusDatabase gespeichert.
Allenfalls können die Datenbankdateien auch im Unterverzeichnis UpdateServicesDbFiles des
WSUS-Ordners liegen.
Außerdem wird im IIS die Standardwebsite WSUSAdmin gelöscht.
Vor dem Update
nach dem Update
Im urspr. Datenbankordner bleiben nur noch – so
vorhanden - die Log-Dateien übrig. Andernfalls
wird auch der Ordner MSSQL$WSUS gelöscht.
vor dem Update
nach dem Update
10 / 86
vor dem Update
2.2.2.
nach dem Update
Installation
Achtung: Wird WSUS 2.0 auf WSUS 3.0 upgedatet, funktioniert WSUS 3.0 nach eine
allfälligen Reparaturinstallation des Betriebssystems nicht mehr (Siehe: WSUS nach einer
Reparatur-installation des Betriebssystems).
Um ein diesbezügliches Problem von vornherein auszuschließen, empfiehlt sich eher eine Deinstallation von WSUS 2.0 und eine Neuinstallation von WSUS 3.0.
11 / 86
Bei installiertem Server 2003 R2
ist die Management Console 3.0
wahrscheinlich schon vorhanden.
12 / 86
2.3.
Konfigurationsassistent
Nach der Installation von WSUS 3.0 muss – einmalig – ein Konfigurationsassistent durchlaufen
werden. Alle hier getroffenen Einstellungen können selbstverständlich später auch verändert
werden.
Soll ein Proxyserver verwendet
werden, sind hier die entsprechenden Einstellungen zu treffen.
13 / 86
Die Einstellungen sind natürlich den
Bedürfnissen entsprechend anzupassen.
eigenen
14 / 86
Die Einstellungen sind natürlich den eigenen
Die Synchronisierung sollte natürlich nicht zu einer
Zeit erfolgen, in der andere Produktupdates
heruntergeladen werden (z.B. Virenpattern des
Virenscanners, …)
Die entsprechenden Hilfetexte
sind im Anhang zu finden
2.4.
Report Viewer (optional, zu empfehlen)
Ohne den Report Viewer können in WSUS
keine Updateberichte erstellt werden!
15 / 86
2.5.
Management Console 3.0 (optional, zu empfehlen)
16 / 86
3.
Einrichten der Active Directory Services
Damit die Verteilung der Updates und Hotfixes auch ausgeführt wird, müssen folgende
Einstellungen getroffen weden:
• Start → Programme → Verwaltung → Gruppenrichtlinienverwaltung
• [RM] auf schule.aps → Gruppenrichtlinienobjekt hier
erstellen und verknüpfen → AllePCsWSUS
• [RM] auf AllePCsWSUS → Bearbeiten
• Computerkonfiguration → Administrative Vorlagen →
Windows-Komponenten → Windows Update
17 / 86
Hinweis: Option 5 (Lokalen Administrator ermöglichen, Einstellung auszuwählen): Mit dieser Option lassen Sie
zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung eine gewünschte
Konfigurationsoption auswählen. Sie können z. B. einen Zeitpunkt für eine Installation nach Zeitplan auswählen. Lokale
Administratoren können die automatischen Updates nicht deaktivieren (Die Einstellung Lokalen Administrator
ermöglichen, Einstellung auszuwählen wird nur angezeigt, wenn die automatischen Updates sich automatisch auf die
mit WSUS kompatible Version aktualisiert haben).
Wichtig: Beim Einsatz „weniger leistungsfähiger“ Computer kann eine z.B. wöchentliche
Installation durchaus Sinn machen! Auch eine vorübergehende Deaktivierung der
automatischen Updatefunktion und nur z.B. monatliche Aktivierung „belastet“ die PCs weniger.
Soll der Server selbst mittels WSUS aktualisiert werden, muss ihm eine eigene Richtlinie zugeordnet werden, die Updates zwar herunter lädt, aber nicht automatisch installiert (Option 3), siehe
auch: Gruppenrichtliniendelegierung
18 / 86
Hier wird die URL des WSUS-Servers
angegeben, die im Abschlussdialog der
Installation angezeigt wurde.
In der Regel sind beide Serveradressen gleich.
3.1.1.
Ohne Zielgruppenzuordnung
3.1.2.
Mit Zielgruppenzuordnung
Die angegebenen Gruppenbezeichnungen entsprechen den im ADS erstellten Gruppen für die
Computerzuordnung. Die Einstellung macht nur
Sinn, wenn einzelnen Computergruppen auch
unterschiedliche Updates zur Verfügung gestellt
werden sollen.
19 / 86
Wie lange nach dem Systemstart soll
gewartet werden, bis "verpasste" Installationszeitpunkte nachgeholt werden.
Kein automatischer
Installation.
Neustart
nach
der
20 / 86
21 / 86
Weil kein Neustart erfolgen soll, benötigen
wir keine Neustartverzögerung und keine
weitere Aufforderung dazu.
Weil kein Neustart erfolgen soll, benötigen
wir keine Neustartverzögerung und keine
weitere Aufforderung dazu.
22 / 86
Da ohnedies kaum ein Domänenbenutzer auf
den Hinweis im Systray achtet, sollte diese
Einstellung nicht konfiguriert oder deaktiviert
werden.
23 / 86
optional
24 / 86
In der Regel wird nicht erwünscht sein, dass
der Server selbst seine Updates ebenfalls
automatisch über WSUS bezieht und installiert.
Aus
diesem
Grund
wird
also
der
Domänencontroller von der Übernahme der
Gruppenrichtlinie ausgeschlossen.
25 / 86
4.
Erster Start
• Start → Alle Programme → Verwaltung → Microsoft Windows Update Services
oder
• Start → Systemsteuerung → Verwaltung - Microsoft Windows Update Services
Alternativ dazu kann natürlich auch eine Verknüpfung auf dem Desktop erzeugt werden.
Zur besseren Übersichtlichkeit könnten im
Menü Ansicht auch einige Felder ausgeblendet
werden
26 / 86
4.1.
Einstellen der Optionen
4.1.1.
Updatequelle und Proxyserver …
… wurden bereits mittels Konfigurationsassistenten eingerichtet.
Soll ein Proxyserver verwendet
werden, sind hier die entsprechenden Einstellungen zu treffen.
27 / 86
4.1.2.
Produkte und Klassifizierungen
Die Einstellungen sind natürlich den eigenen
4.1.3.
Die Einstellungen sind natürlich den
eigenen
Dateien und Sprachen aktualisieren …
… wurden bereits mittels Konfigurationsassistenten eingerichtet.
Warum diese – nicht konfigurierbare - Einstellung
erscheint?
Die Schnellinstallationsdateien sollen besonders für
Office-Installationen interessant sein, die bislang
nicht mit WSUS upgedatet wurden.
Bei
gemischtsprachigen
Umgebungen
müssen
natürlich auch die entsprechend anderen Sprachen
ausgewählt werden.
28 / 86
4.1.4.
Synchronisierungszeitplan
Die Synchronisierung sollte natürlich nicht zu einer
Zeit erfolgen, in der andere Produltupdates
heruntergeladen werden (z.B. Virenpattern des
Virenscanners, …)
In WSUS 3.0 ist es bei Bedarf auch möglich,
mehrmals täglich zu synchronisieren!
4.1.5.
Automatische Genehmigungen
Wer den automatisch vergebenen Genehmigungen
von Microsoft™ nicht traut, muss alle zu
installierenden Updates händisch genehmigen.
Wichtig: Wird hier eine Regel geändert und/oder hinzugefügt, muss sie unbedingt ausgeführt werden!
29 / 86
4.1.6.
Computer
4.1.6.1. Update Service-Konsole verwenden
Die Netzwerkclients werden den Einstellungen in
der WSUS-Console entsprechend in Computergruppen eingeteilt.
Die PCs müssen also „händisch“ den Gruppen
zugeordnet werden.
4.1.7.
4.1.6.2. Einstellungen aus dem ADS übernehmen
Die Netzwerkclients werden den Einstellungen im
ADS entsprechend in Computergruppen eingeteilt.
Die PCs werden automatisch in die Gruppen
„verschoben“
Assistent für die Serverbereinigung
Der Serverbereinigungsassistent wird in einem
eigenen Kapitel beschrieben.
30 / 86
4.1.8.
Berichterstattungsrollup
Wenn Sie diese Option auf der Seite Optionen
aktivieren, können Update-, Computer- und
Synchronisierungsinformationen für ReplikatDownstreamserver in Berichte aufgenommen
werden, die auf dem WSUS-Upstreamserver
erstellt werden. Dieses Feature ist neu in
WSUS 3.0.
In Schulumgebungen werden in der Regel
keine Replikat-Downstreamserver eingesetzt
werden.
4.1.9.
E-Mail-Benachrichtigung
Achtung: Auch wenn die Angaben bzgl. des verwendeten eMailaccounts korrekt sind, kommt es vor, dass der Test fehlschlägt.
Das liegt daran, dass nicht alle Postausgangsserver mit dem in
WSUS 3.0 integrierten e-Maildienst „umgehen können“. In diesem
Fall ist gegebenenfalls ein anderer e-Mailaccount zu verwenden.
31 / 86
4.1.10. Programm zur Verbesserung von Microsoft Update
Es bleibt allen IT-BetreuerInnen selbstverständlich völlig unbenommen, am Programm zur Verbesserung von Microsoft Update
teilzunehmen!
4.1.11. Personalisierung
In der Regel werden in Schulumgebungen
keine eigenen Replikatserver für WSUS
verwendet.
Eine SSL-Verbindung innerhalb des abgeschlossenen Schulnetzes ist nicht erforderlich.
32 / 86
4.1.12. Konfigurationsassistent
4.2.
Updates
Diese Liste kann – je nach ausgewählten
Produkten und Klassifizierungen – auch
anders aussehen!
4.2.1.
Updates importieren
Diese Form des Updateimports macht nur Sinn, wenn ein bestimmtes Update nicht ohnedies in
der Auswahlliste enthalten ist; da dies nicht allzu häufig vorkommen wird, ist der Vorgang „nur“
im Anhang (Microsoft® Update-Katalog) beschrieben.
33 / 86
4.2.2.
Updates auswählen
Eine
„brauchbare“
Liste
der
Updates erhält man erst nach
richtiger Auswahl der Optionen.
4.2.3.
Updates genehmigen
Updates mit Shift- und/oder
auswählen → Genehmigen …
4.2.3.1. Für die Installation auf allen Computern sofort genehmigen
Strg-Taste
4.2.3.2. Für die Installation auf allen Computern genehmigen am … genehmigen
34 / 86
Der Download der Updatedateien
beginnt übrigens erst nach deren
Genehmigung!
Wichtig: Die Clients beziehen selbstverständlich nur die Updates, die sie brauchen; kein
genehmigtes, aber nicht benötigtes Update wird von den Clients bezogen und installiert.
35 / 86
4.2.4.
Updates ablehnen
Updates mit Shift- und/oder
auswählen → Ablehnen
Strg-Taste
Hinweis: Die abgelehnten Updates werden nach einer gewissen Zeit bei der Serverbereinigung gelöscht!
36 / 86
4.2.5.
Updates gruppieren
4.2.6.
Updates mit hoher Priorität
4.2.7.
Sicherheitsupdates
37 / 86
4.2.8.
WSUS-Updates
4.2.9.
entfernbare updates
• [RM] auf Update – deinstallieren
Hinweis: Es gibt nur wenige Updates, die tatsächlich wieder deinstallierbar sind!
4.3.
Computer
4.3.1.
Computer suchen
• Menü Aktion → Suchen ...
38 / 86
39 / 86
4.3.2.
Computer gruppieren
z.B. nach Betriebssystem
4.3.3.
Verwalten von Computern (Hilfetext)
Mithilfe von WSUS können Sie den gesamten Prozess der Computeraktualisierung verwalten: Sie können festlegen, welche
Updates benötigt werden, wann sie installiert werden sollen, und Sie können den Status der Updatebereitstellung auf den
Computern überwachen. Auf der Übersichtsseite Computer erhalten Sie schnell Statusinformationen für alle Computer,
nach Gruppen sortiert. Nachdem Sie auf Clientcomputern eine Verbindung zum WSUS-Server eingerichtet haben, können
Sie diese vom Server aus verwalten. Die Computer werden dann in der WSUS-Konsole unterhalb des Servernamens
angezeigt.
Ein Clientcomputer kann jeweils nur für die Kommunikation mit einem einzelnen WSUS-Server eingerichtet werden. Wenn
Sie später einen anderen WSUS-Server festlegen, stellt der Clientcomputer keine Verbindung mehr mit dem ersten WSUSServer her. Der Clientcomputer wird jedoch weiterhin in der Liste der Computer und in den angegebenen
Computergruppen auf dem ersten WSUS-Server aufgeführt. Zusätzlich erstellt der ursprüngliche WSUS-Server einen
Bericht über den Zeitpunkt der letzten Verbindung mit dem Clientcomputer. Damit der Clientcomputer nicht mehr auf dem
ersten WSUS-Server angezeigt wird, muss der entsprechende Eintrag entfernt werden.
4.3.3.1. Verwalten von Computergruppen
Mithilfe von WSUS können Sie Updates für Gruppen von Clientcomputern bereitstellen. Durch die Zuordnung bestimmter
Zielgruppen können Sie sicherstellen, dass die Computer die richtigen Updates zur passenden Zeit erhalten. Sie können
beispielsweise festlegen, wann Computer mit einer bestimmten Konfiguration aktualisiert werden sollen und welche
Updates sie erhalten sollen. Anschließend können Sie mithilfe der Berichtsfunktionen von WSUS den Erfolg der
Aktualisierung für diese Computergruppe überprüfen.
In der Standardeinstellung ist jeder Computer der Gruppe "Alle Computer" zugewiesen. Außerdem gehören alle Computer
der Gruppe "Nicht zugewiesene Computer" an, bis Sie einer anderen Gruppe zugewiesen werden. Ein Computer kann
40 / 86
beliebig vielen Gruppen angehören. Sie können für die Computergruppen eine Hierarchie erstellen. Dies ist ein neues
Feature von WSUS 3.0.
Es gibt zwei Möglichkeiten, Computer Gruppen zuzuweisen: die serverseitige Zielzuordnung oder die clientseitige
Zielzuordnung. Bei serverseitiger Zielzuordnung werden Clientcomputer mithilfe der WSUS-Verwaltungskonsole zu
Computergruppen hinzugefügt. Bei clientseitiger Zielzuordnung verwenden Sie "Gruppenrichtlinien" oder bearbeiten die
Registrierungseinstellungen der Clientcomputer, damit sich diese Computer den Computergruppen automatisch zuordnen
können. Sie müssen die gewünschte Methode durch Auswählen einer Option auf der Seite Computer angeben.
4.3.3.2. Weitere Überlegungen
•
•
Unabhängig davon, welche Methode Sie zum Zuordnen von Clientcomputern zu Computergruppen verwenden,
müssen Sie zuerst die Computergruppen in der WSUS-Konsole erstellen.
Sie müssen Mitglied der Sicherheitsgruppe "WSUS-Administratoren" sein, um Computer und Gruppen verwalten und
Konfigurationseinstellungen vornehmen zu können.
Wichtig: Die Verwendung von Computergruppen macht nur Sinn, wenn z.B. PCs mit
unterschiedlichen Betriebssystemen und/oder unterschiedlicher Hardware, etc. verwendet
werden. Eine Trennung lediglich z.B. nach Räumen bringt keine Vorteile.
4.3.4.
Computergruppen hinzufügen
Wichtig: Sollen Computergruppen verwendet
werden, müssen diese – unabhängig von der
Clientzuordnung zu diesen Gruppen –
„händisch“ erstellt werden!
…
4.3.5.
Mitgliedschaft der Clients zu Computergruppen
4.3.5.1. Serverseitige Clientgruppenzuordnung
(mittels WSUS)
4.3.5.2. Clientsitige
Computergruppenzuordnung (mittels Gruppenrichtlinie)
41 / 86
• [RM] auf Client - Mitgliedschaft ändern ...
Hinweis: Computer können in WSUS 3.0 auch Mitglied mehrerer Computergruppen sein!
42 / 86
4.3.6.
Computergruppen löschen
• [RM] auf Gruppe – Löschen → Wenn sich ein PC in
der Gruppe befindet …
4.4.
Synchronisierungen
43 / 86
4.5.
Berichte
4.5.1.
Updateberichte
4.5.1.1. Ohne Filterung
4.5.1.2. Mit Filterung
44 / 86
4.5.2.
Computerberichte
45 / 86
4.5.3.
Synchronisierungsberichte
4.6.
Assistent zur Serverbereinigung
46 / 86
4.6.1.
•
•
•
Nicht verwendete Updates und Updateversionen sind …
abgelaufene und drei Monate lang nicht genehmigte Updates.
neue, aber seit 30 Tagen nicht genehmigte Updates.
seit mindestens 30 Tagen abgelehnte Updates.
4.6.2.
Computer, die keine Verbindung mit dem Server herstellen …
… haben seit mindestens 30 Tagen keine Verbindung zum Server hergestellt.
Achtung: Da diese Nichtverbindung unterschiedlichste Ursachen haben kann, ist das
Entfernen dieser PCs aus WSUS nicht so ohne weiteres zu empfehlen. Ein neuerliches
Einbinden der Computer gestaltet sich aufwändig!
4.6.3.
•
•
•
Nicht erforderliche Updatedateien sind …
abgelaufene und drei Monate lang nicht genehmigte Updates.
neue, aber seit 30 Tagen nicht genehmigte Updates.
seit mindestens 30 Tagen abgelehnte Updates.
4.6.4.
Abgelaufene Updates
… löscht keine Updatedateien, markiert aber diejenigen als abgelehnt, die von Microsoft nicht
genehmigt wurden und deren Gültigkeit abgelaufen ist.
4.6.5.
Ersetze Updates
… löscht keine Updatedateien, markiert aber diejenigen als abgelehnt, die nicht genehmigt und
seit mindestens drei Monaten nicht benötigt wurden.
47 / 86
5.
Arbeiten am Client
5.1.
Kontrolle der Gruppenrichtlinie
• Start → Ausführen → cmd → OK → gpresult
5.2.
aktueller Windows-Installer
Damit ein Client auch wirklich klaglos mit den WSUS zusammenarbeiten kann, muss auf ihm die
neueste Version von Windows Update installiert sein. Sollte dies nicht der Fall sein, wird bei
einem Update über http://windowsupdate.microsoft.com/ darauf aufmerksam gemacht, die
entsprechende Aktualisierung vorzunehmen; alternativ kann die Installation des Windows
Installers
natürlich
auch
offline
erfolgen,
das
Installationspaket
steht
unter
http://support.microsoft.com/kb/893803/de zur Verfügung.
48 / 86
Ab jetzt erscheint am Client gegebenenfalls
das Symbol mit der Aufforderung neue
Updates herunter zu laden und/oder zu
installieren bzw. der Meldung, dass
Updates installiert werden.
Am Server (siehe Kapitel Log-Files) kann Erfolg bzw. Misserfolg des Updatevorgangs kontrolliert
werden:
Erfolg
Misserfolg
49 / 86
5.3.
Was noch zu tun ist
Nach dem Setzen der Richtlinie und dem Starten eines Clients kann es bis zu 20 Stunden dauern,
bis sich der Client dazu bewegt, den WSUS-Server nach neuen Updates „zu befragen“, sie wirklich
herunter zu laden und zu installieren.
5.3.1.
Manuell (Methode 1)
• Start → Ausführen → cmd → OK → wuauclt /detectnow
Hat der Client vorher auf einen SUS-Server „gehört“
• Start → Ausführen → cmd → OK → wuauclt /resetauthorization
5.3.2.
Manuell (Methode 2)
5.3.2.1. Stoppen des Auto-Update-Dienstes des Clients
so …
• Start → Ausführen → cmd → net stop wuauserv
oder so …
• Start → Einstellungen → Systemsteuerung → System →
Automatisches Update → ausschalten
5.3.2.2. Löschen des „Gedächtnisses“ des „toten“ Update-Dienstes
• Start → Ausführen → regedit → HKEY_LOCAL_Machine → Software → Microsoft → Windows →
CurrentVersion → WindowsUpdate→ Auto Update → LastWaitTimeout (löschen)
50 / 86
Falls der Schlüssel AuState nicht verhanden ist:
• HKEY_LOCAL_Machine → Software → Microsoft → Windows → CurrentVersion
WindowsUpdate→ Auto Update → [RM] → Schlüssel hinzufügen → AuState → Wert: 2
→
5.3.2.3. Starten des Auto-Update-Dienstes des Clients
so …
• Start → Ausführen → cmd → net start wuauserv
oder so …
• Start → Einstellungen → Systemsteuerung → System →
Automatisches Update → einschalten
5.3.3.
Automatisiert
Die Registry-Keys kann man auch ganz einfach mit dem Batchfile WUForce-Update.bat
(Download unter: http://www.heise.de/ct/03/21/links/118.shtml oder http://www.vobs.at/rb)
ändern.
5.4.
Clients nach einer Reparaturinstallation
Nach einer Reparaturinstallation ist ein WindowsXP-Clients ev. nicht in der Lage mit dem
neuesten Windows Update Client Updates zu empfangen; dies liegt in erster Linie daran, dass
Systemdateien auf dem Computer ja durch älteren Versionen ersetzt und auch wieder registriert
wurden.
Die Datei wups2.dll ist in älteren Versionen von WindowsXP-CDs nicht enthalten, wird bei der
Reparatur zwar nicht gelöscht aber auch nicht registriert.
siehe:http://support.microsoft.com/?kbid=943144)
Lösung:
• Stoppen des Autoupdatedienstes des Clients
Start → Ausführen → cmd →
net stop wuauserv →
• Registrieren der Datei wups2.dll
regsvr32 %windir%\system32\wups2.dll
Bestätigung mit OK
• Starten des Autoupdatedienstes des Clients
Start → Ausführen → cmd →
net stop wuauserv →
Es könnte alternativ auch der Windows Update Agent 3.0 mit
..\WindowsUpdateAgent30-x86.exe" /wuforce installiert werden.
51 / 86
6.
Anhang
6.1.
Verwaltungskonsole auf einem Client (optional)
6.1.1.
Vorbemerkung
• Für administrative Zwecke kann die Verwaltungskonsole auch auf einem Windows XPSP2Rechner installiert werden.
• Zur Verwaltung von WSUS 3.0 vom Client aus sind Administratorenrechte erforderlich.
• Für reine Reporting-Aufgaben steht ein neuer Benutzer WSUS-Berichterstatter zur Verfügung.
• Sollen Reporting-Aufgaben ausgeführt werden, so muss natürlich auch der Report-Viewer auf
dem Client installiert werden (siehe Installationsanleitung).
• Die Installation der Managementkonsole 3.0 ist optional (siehe Installationsanleitung).
6.1.2.
Installation der Verwaltungskonsole
52 / 86
6.1.3.
Verwaltungskonsole mit Administratorenrechten
• Start → Programme → Verwaltung → Microsoft Windows Update Services 3.0
oder
• Start → Einstellungen → Systemsteuerung → Verwaltung → Microsoft Windows Update
Services 3.0
• [RM] auf Update Services → Verbindung mit dem Server herstellen
53 / 86
Die eingestellten Optionen für Updates,
Computer und Berichte entsprechen nicht
den Einstellungen auf dem WSUS-Server
6.1.4.
Verwaltungskonsole mit „Berichterstattungsrechten“
6.1.4.1. Gruppenmitgliedschaft
Der Benutzer, der WSUS-Reports erstellen können soll, muss im ADS zuerst zur (neuen) Gruppe
der WSUS-Berichterstatter hinzugefügt werden.
6.1.4.2. Start der Konsole
Sollte keine Startmenü-Verknüpfung zur Verfügung stehen, so kann eine solche auch aus
C:\Programme\Update Services\administrationssnapin heraus gestartet werden
54 / 86
Beim Versuch, irgendwelche Einstellungen in der Managementkonsole zu verändern kommt es
natürlich zur Fehlermeldung, lediglich die Erstellung von Berichten ist möglich!
6.2.
Kommandozeilenbefehle
6.2.1.
Client
Einstellungen im Sicherheitscenter der Systemsteuerung setzen Admin-Rechte voraus. Aber auch eingeschränkte Benutzerkonten können – mit Hilfe von
Kommandozeilenbefehlen – gewisse Vorgänge einleiten.
• Überprüfung, ob neue Updates vorliegen
wuauclt /detectnow
• Erzwingen von Updates (nur mit WSUS-Server)
wuauclt /resetauthorization
• Funktioniert die Downloadbenachrichtigung im Systray?
wuauclt /demoui
• Anzeige des Einstellungs-Dialogs „Automatische Updates“
wuauclt /ShowSettingsDialog
• Erstellt für den Client einen Statusberichtes auf dem WSUS-Server
wuauclt /reportnow
55 / 86
6.2.2.
Server
6.3.
Sicherung und Rücksicherung
6.3.1.
Sicherung
• Start → Programme → Zubehör → Systemprogramme → Sicherung
6.3.1.1. Datenbank
56 / 86
57 / 86
6.3.1.2. Update Service Packages
58 / 86
59 / 86
6.3.1.3. WSUS Content
60 / 86
61 / 86
6.3.2.
Rücksicherung
• Start → Programme → Zubehör → Systemprogramme → Sicherung
6.3.2.1. Update Service Packages
62 / 86
63 / 86
6.3.2.2. WSUS Content
64 / 86
6.3.2.3. Datenbank
Achtung: Weil in der Datenbank auch die Optionseinstellungen von WSUS 3.0 gespeichert
werden, müssen diese nach der Rücksicherung allenfalls kontrolliert und angepasst werden.
65 / 86
Achtung: Nach der Rücksicherung der
Datenbank ist ein Neustart des Systems
zwingend erforderlich, weil die verwendeten
Datenbankfiles erst dadurch gelöscht und
ersetzt müssen.
66 / 86
6.4.
Wichtige und nützliche Tools
6.4.1.
Microsoft-eigene Diagnose-Tools für WSUS 3.0
http://technet.microsoft.com/de-de/wsus/bb466192.aspx
6.4.1.1. Server Diagnostic Tool
http://download.microsoft.com/download/7/7/4/7745a34e-f563-443b-b4f83a289e995255/wsus%20server%20debug%20tool.exe
Das Tool muss nicht
von der
Kommandozeile aus aufgerufen
werden!
Download this tool,
which
has
been
designed
to
help
administrators gather
WSUS
server
debugging logs and
configuration
information
for
further
troubleshooting. The
Windows
Server
Update
Services
Server
Diagnostic
tool is provided AS
IS.
No
product
support is available
for this tool.
6.4.1.2. Client Diagnostic Tool
http://download.microsoft.com/download/9/7/6/976d1084-d2fd-45a1-8c27a467c768d8ef/wsus%20client%20diagnostic%20tool.exe
Download this tool, which has been designed to aid the WSUS administrator in troubleshooting client machines that are
failing to report back to the WSUS Server. The tool will conduct preliminary checks and test the communication between
the WSUS Server and the client machine. Once the tool has completed the tests it will display the results in the console
window. The Windows Server Update Services Client Diagnostic tool is provided AS IS. No product support is available for
this tool.
Das Tool kann – muss aber nicht –
von
der
Kommandozeile
aus
aufgerufen werden!
67 / 86
6.4.1.3. Windows Server Update Services API Samples and Tools
http://download.microsoft.com/download/8/d/0/8d068114-bd66-4fde-a04caeaa9d1fe640/update%20services%20api%20samples%20and%20tools.exe
These samples and tools allow administrators and developers to control the functionality of the WSUS server.
6.4.1.4. WSUS Reporting Rollup Sample Tool
http://download.microsoft.com/download/3/3/9/339ac5ee-ae9a-44a4-b09c483736294433/wsusrollupsample.exe
This tool uses the WSUS application programming interface (API) to demonstrate centralized monitoring and reporting for
WSUS. It creates a single report of update and computer status from the WSUS servers into your WSUS environment. The
sample package also contains sample source files to customize or extend the tool functionality of the tool to meet specific
needs. The WSUS Reporting Rollup Sample Tool and files are provided AS IS
6.4.1.5. WSUS 3.0 Management Pack for Microsoft Operations Manager 2005
http://www.microsoft.com/downloads/details.aspx?familyid=b9eb24e0-93df-430e-9ea7e46f09a6ab80&displaylang=en
Das Mangement-Pack hilft bei der Diagnose der vom Reportviewer erstellten Berichten und der
Lösung allfälliger Probleme.
Achtung: Das Management-Pack steht nur Besitzern des kostenpflichtigen Microsoft Operation
Managers zur Verfügung
6.4.2.
Microsoft-fremde Tools für WSUS 3.0
6.4.2.1. WSUS Detectnow
Zur manuellen Neuregistrierung des AU-Clients und/oder zur Ermittlung und zum Download
freigegebenr Updates.
http://downloads.wsus.de/dls/index.php?mekat=WSUSTools&user_sort_top=&down_id=7&seite=0
oder
68 / 86
6.4.2.2. Check WSUS
VBScript zum überprüfen der Windows Update
Einstellungen (netzwerkfähig)
http://downloads.wsus.de/dls/load.php?action=
download&medss=7fb3ad8b3853c3d8e0893a17
7d62a1e8&id=11&mekat=WSUS-Tools
6.4.2.3. Windows Update Agent Force Script
Dieses Script lässt den Windows Update Agent (WUA) nach fehlenden Updates ermitteln
(detectnow), lädt diese herunter, installiert sie und vergleicht mit dem Updateserver.
Es funktioniert mit den Windows Server Update Services (WSUS) und auch mit der Microsoft
Update Webseite.
http://downloads.wsus.de/dls/load.php?action=download&medss=7fb3ad8b3853c3d8e0893a177
d62a1e8&id=4&mekat=WSUS-Tools
69 / 86
6.4.2.4. NWSUSUtil
NWSUSUtil verbindet den Computer kurzfristig mit einem WSUS-Server. Nach einem Reboot
entfernt sich das Programm wieder selbständig und stellt alle Registry-Einträge für 'normales'
Windows-Update wieder her.
• Start → Ausführen → cmd → OK
• Wechsel zum Ordner
• nwsusutil2.exe /servername
6.4.2.5. UpdateLogger
Der UpdateLogger zeigt in die Einträge in die WindowsUpdate.log in Echtzeit an.
6.4.2.6. Get WSUS Content
Get WSUS Content ermöglicht das Herunterladen von Updates vom WSUS Server anhand des Datums oder der
Updatekennung. Dabei liegt keine Beschränkung vor, so dass alle Updates mittels Updatekennung angesprochen werden
können.
Das Programm "Get WSUS Content" wurde um eine Funktion erweitert. Diese heißt "Get WSUS Content Offline Installer"
und ermöglicht dem Benutzer ein Medium (wahlweise eine CD oder DVD) zu erstellen und diese auf einem Zielrechner
auszuführen, der nicht mit einem WSUS-Server verbunden ist.
Dabei werden alle Updates, die vom Administrator vorgesehen sind, installiert und der Benutzer des Zielrechners benötigt
keine Administratorrechte, um die Updates zu installieren. Dies übernimmt eine Runas-Variante. Wahlweise können somit
alle Updates (inkl. Service Pack, Internet Explorer 7, ...) installiert werden, oder nur ganz bestimmte.
Darüber hinaus kann man damit einen regelmäßigen Softwareservice anbieten (z. B. für Außendienstmitarbeiter) oder
Updates von Drittanbietern verteilen. Hauptsache, die Updates von Drittanbietern liegen als .exe-Paket vor und können
mit Kommandozeilenschaltern umgehen.
70 / 86
6.4.2.7. Connect2WSUS
http://www.gruppenrichtlinien.de/index.html?/tools/liste_unsortiert.htm
Connect 2WSUS dient dazu, Clients, die nicht in der Domäne aufgenommen werden sollen, mit
WSUS-Updates zu versorgen.
6.5.
Ergänzung zu den Gruppenrichtlinien
6.5.1.
Optional: Benutzerkonfiguration
• Benutzerkonfiguration → Administrative Vorlagen → Windows-Komponenten → Windows
Update
Achtung: Es muss sichergestellt werden, dass der Ast
Benutzerkonfiguration aktiviert ist.
6.5.2.
Neue Richtlinien für Windows Vista
Aktivieren des Windows Update-Energieverwaltungsfeatures zum automatischen Einschalten des Systems zur Installation
von geplanten Updates
Gibt an, ob das Windows Update-Energieverwaltungsfeature verwendet wird, um das System automatisch aus dem
Ruhezustand zu reaktivieren, wenn Updates zur Installation geplant sind.
Das System wird automatisch reaktiviert, wenn Windows Update zur automatischen Installation von Updates konfiguriert
ist. Wenn sich das System zum Zeitpunkt der geplanten Installation im Ruhezustand befindet und Updates installiert
werden müssen, wird das System mit dem Windows-Energieverwaltungsfeature automatisch reaktiviert, um die Updates
zu
installieren.
Das System wird auch reaktiviert, und Updates werden installiert, wenn ein Zeitlimit für die Installation erreicht wird.
71 / 86
Das System wird erst reaktiviert, wenn Updates zur Installation vorliegen. Wenn sich das System zum Zeitpunkt der
Reaktivierung im Akkubetrieb befindet, werden keine Updates installiert, und das System kehrt nach zwei Minuten in den
Ruhezustand zurück.
Signierten Inhalte aus internem Speicherort für Microsoft-Updatedienste zulassen
Gibt an, ob nicht von Microsoft signierte Updates akzeptiert werden sollen, wenn diese von einem internen Speicherort für
Microsoft-Updatedienste stammen. Wenn diese Richtlinie aktiviert ist, werden Updates akzeptiert, die von einem internen
Speicherort für Microsoft-Updatedienste stammen, wenn diese mit einem Zertifikat signiert sind, das auf dem lokalen im
Zertifikatespeicher "Vertrauenswürdige Herausgeber" vorhanden ist. Wenn diese Richtlinie deaktiviert ist, müssen Updates
von einem internen Speicherort für Microsoft-Updatedienste von Microsoft signiert sein. Updates von anderen Diensten als
dem internen Microsoft-Updatedienst müssen immer von Microsoft signiert sein, unabhängig davon, ob diese Richtlinie
aktiviert oder deaktiviert ist.
Empfohlene Updates über "Automatische Updates" aktivieren
Gibt an, ob wichtige und empfohlene Updates automatisch vom Updatedienst Windows Update abgerufen werden. Wenn
diese Richtlinie aktiviert ist, werden empfohlene und wichtige Updates vom Updatedienst Windows Update abgerufen.
Wenn diese Richtlinie deaktiviert oder nicht konfiguriert ist, werden weiterhin wichtige Updates abgerufen, sofern eine
entsprechende Einstellung vorliegt.
6.6.
Microsoft® Update-Katalog
… zum „händischen“ Import von Updatedateien, die bislang nicht in der Auswahlliste von WSUS
erschienen sind.
• [RM] auf Updates → Updates importieren
72 / 86
2
1
3
Warum ein zum Importieren bestimmtes Update mit Entfernen gekennzeichnet ist, weiß nur die
Firma Microsoft.
73 / 86
6.7.
Installation des IIS
• Start → Einstellungen → Systemsteuerung → Software → Windows Komponenten hinzufügen/entfernen
In der Folge ist das Einlegen der Windows Server 2003-CD erforderlich, anschließend werden die
Standardeingaben bestätigt.
74 / 86
6.8.
Installation von BITS 2.0
Achtung: Nur für Windows Server Windows Server
2003 ohne SP1.
6.9.
Verbesserungen von WSUS 3.0 aus Sicht von Microsoft®
6.9.1.
Verbesserte Verwaltungsumgebung
Die WSUS-Verwaltungskonsole wurde als Snap-in zu Microsoft Management Console (MMC) 3.0 hinzugefügt. Die
Einbindung der WSUS-Verwaltungskonsole in MMC hat unter anderem folgende Vorteile:
•
Von einer Konsole aus können mehrere lokale WSUS-Server und Remote-WSUS-Server verwaltet werden.
•
Die WSUS-Verwaltungskonsole kann auf jedem Computer in jeder Domäne mit Vertrauensstellung zum WSUS-Server
geöffnet werden.
•
Spalten können sortiert und neu angeordnet werden, Zeilen mit gleichen Werten können zusammengefasst werden.
Weitere Verbesserungen der Verwaltung:
•
Startseiten, die schnell den Status für Updates und Computer zur Verfügung stellen
•
Erstellen von benutzerdefinierten Ansichten
•
Mehr Filteroptionen
•
Integrierte Update- und Computerberichtsfunktionen
•
Berichtsstatusrollup von Downstream-WSUS-Servern aus
•
Automatische E-Mail-Benachrichtigungen über neue Updates und Statusberichte
6.9.2.
Neue unterstützte Plattformen und Anforderungen
Plattformen und Anforderungen für WSUS 3.0-Server:
•
Windows Server 2003 Service Pack 1
•
SQL Server 2005 SP1, SQL Server 2005 Express SP1 oder Windows® Internal Database
•
Microsoft .NET Framework 2.0
•
Internetinformationsdienste (IIS) 6.0
•
Spezifische Unterstützung für x64- und x86-Betriebssysteme (Windows auf Windows wird nicht unterstützt)
•
Intelligenter Hintergrundübertragungsdienst (BITS) 2.0
Plattformen und Anforderungen für die WSUS 3.0-Verwaltungskonsole:
•
Windows XP mit SP1 oder SP2, Windows Vista™, Windows Server 2003 oder Windows Server „Longhorn“
•
Management Console (MMC) 3.0
•
Microsoft Report Viewer
Hinweis: Wenn Sie die WSUS-Verwaltungskonsole auf dem WSUS-Server verwenden möchten, müssen Sie MMC und den
Microsoft Report Viewer installieren.
75 / 86
Plattformen und Anforderungen für Clientcomputer:
•
Windows XP mit SP1 oder SP2, Windows Vista, Windows Server 2003 oder Windows Server „Longhorn“
•
Spezifische Unterstützung für x64- und x86-Betriebssysteme (Windows auf Windows wird nicht unterstützt)
•
Intelligenter Hintergrundübertragungsdienst (BITS) 2.0
6.9.3.
•
•
•
6.9.4.
•
•
•
•
•
•
•
Verbesserte Berichtsfunktionen
Einheitliche Statusansicht Ihrer WSUS-Server und -Clients
Berichterstattungsrollup von Downstreamservern und Clientcomputern
Rollups von ausführlichen Statusinformationen oder Zusammenfassungen von Computern oder Updates
Rollup von Berichten von autonomen Servern oder Replikatservern
Druckbare Formatierung der Berichte
Umwandlung in Microsoft Office Excel- oder Adobe Acrobat-Format (PDF)
Durch die Sicherheitsgruppe "WSUS-Berichterstatter" wird ein schreibgeschützter Zugriff auf den WSUS-Server
gewährt.
6.9.8.
•
•
Verbesserung der Zuverlässigkeit
Durch die Unterstützung von Netzwerklastenausgleich (Network Load Balancing, NLB) wird ein schnelleres Failover in
Hochverfügbarkeits-Netzwerkumgebungen ermöglicht.
Unterstützung von SQL Server-Clustern
Verbesserte Zustandsüberwachung
6.9.7.
•
•
•
•
•
•
•
Verbesserte Leistung
Die Berichterstellung ist um 50 Prozent schneller
Die Serversynchronisation ist um 40 Prozent schneller
Auf Computern mit Windows Vista wird BITS-Peercaching unterstützt. Dadurch können Updateinformationen von den
Clientcomputern der gleichen Domäne gemeinsam genutzt werden.
Mit dem Assistenten für die Serverbereinigung können alte Einträge für Computer und Updatedateien vom Server
entfernt werden.
6.9.6.
•
Verbesserungen bei der Verwaltung von Replikatservern
Sie können einen Server vom autonomen Modus in den Replikatmodus schalten, ohne WSUS erneut installieren zu
müssen.
Auf Downstreamreplikatservern können Spracheinstellungen festgelegt werden.
Replikatserver können Updateinformationen von einem WSUS-Upstreamserver synchronisieren, während sie
Updatedateien direkt von Microsoft Update erhalten.
Unterstützung der Synchronisation nicht verbundener Replikatserver
6.9.5.
•
•
•
Einfache Installation und Aktualisierung von WSUS 2.0
Von WSUS 2.0 kann ohne Deinstallation aktualisiert werden.
WSUS 2.0-Server können mit WSUS 3.0-Servern synchronisiert werden.
Direkt verwendbarer Assistent für eine leichtere Konfiguration von WSUS 3.0
Verbesserte Zielgruppenfunktionen
Geschachtelte Zielgruppen oder Gruppen innerhalb von Gruppen können erstellt werden.
Computer können mehr als einer Zielgruppe zugewiesen werden.
6.9.9.
Besserer Zugriff auf Updates
•
Über die Website von Microsoft Update-Katalog (MU) haben Sie Zugriff auf Treiber und Hotfixes.
•
Verbessertes Suchen und Filtern innerhalb der WSUS-Konsole
API-Unterstützung (Application Programming Interface) für den Import von Drittanbieterupdates und für die Inventursammlung
6.10. Hilfetexte zu WSUS 3.0
Verwenden von SSL mit WSUS
Sie können das SSL-Protokoll (Secure Sockets Layer) zum Sichern Ihrer WSUS-Bereitstellung verwenden. WSUS
verwendet SSL zur Authentifizierung des WSUS-Servers bei Clientcomputern und WSUS-Downstreamservern. SSL wird bei
WSUS außerdem zum Verschlüsseln der Metadaten (Informationen über die Updates) verwendet, die zwischen Clients und
WSUS-Downstreamservern übermittelt werden. Beachten Sie, dass SSL bei WSUS nur für die Metadaten und nicht für die
Inhalte (die Updatedateien selbst) verwendet wird. Dies ist auch die Art, wie Updates von Microsoft Update verteilt
werden.
Konfigurieren von SSL auf dem WSUS-Server
Beim Konfigurieren des WSUS-Servers für die Verwendung von SSL muss besonders darauf geachtet werden, dass WSUS
in dieser Konfiguration zwei Ports benötigt: einen für verschlüsselte Metadaten unter Verwendung von HTTPS und einen
für HTTP. Wenn Sie IIS für die Verwendung von SSL konfigurieren, müssen die folgenden Punkte berücksichtigt werden:
o Sie können nicht für die gesamte WSUS-Website festlegen, dass SSL erforderlich ist. Dies würde bedeuten, dass der
gesamte Datenverkehr zur WSUS-Website verschlüsselt werden muss. WSUS verschlüsselt jedoch nur Metadaten von
Updates. Bei dem Versuch eines Clientcomputers oder eines anderen WSUS-Servers, Updatedateien von WSUS über
den HTTPS-Port abzurufen, schlägt die Übertragung fehl.
o Um die WSUS-Website so sicher wie möglich zu halten, sollten Sie SSL nur für die folgenden virtuellen
Stammverzeichnisse voraussetzen:
o
SimpleAuthWebService
o
DSSAuthWebService
76 / 86
o
o
o
ServerSyncWebService
o
ApiRemoting30
o
ClientWebService
Zur ordnungsgemäßen Funktion von WSUS sollten Sie SSL für die folgenden virtuellen Stammverzeichnisse nicht
voraussetzen:
o
Content
o
Inventory
o
ReportingWebService
o
SelfUpdate
Das Zertifikat auf WSUS-Downstreamservern muss entweder in den Speicher für vertrauenswürdige
Stammzertifizierungsstellen des lokalen Computers oder in den WSUS-Speicher für vertrauenswürdige
Stammzertifizierungsstellen importiert werden. Wenn das Zertifikat nur in den Speicher für vertrauenswürdige
Stammzertifizierungsstellen des lokalen Benutzers importiert wird, schlägt die Serverauthentifizierung des WSUSDownstreamservers auf dem Upstreamserver fehl.
Konfigurieren von SSL auf Clientcomputern
o
Bei der Konfiguration von Clientcomputern müssen zwei wichtige Aspekte berücksichtigt werden:
Sie müssen eine URL für einen sicheren Port angeben, der vom WSUS-Server überwacht wird. Da Sie SSL auf dem
Server nicht voraussetzen können, kann die Nutzung eines sicheren Kanals durch die Clientcomputer nur gewährleistet
werden, indem die Verwendung einer URL unter Angabe von HTTPS sichergestellt wird. Wenn Sie für SSL einen
anderen
Port
als
443
verwenden,
müssen
Sie
diesen
Port
in
der
URL
angeben.
o
Das Zertifikat auf einem Clientcomputer muss entweder in den Speicher für vertrauenswürdige
Stammzertifizierungsstellen
des
lokalen
Computers
oder
in
den
Speicher
für
vertrauenswürdige
Stammzertifizierungsstellen des automatischen Updatediensts importiert werden. Wenn das Zertifikat nur in den
Speicher für vertrauenswürdige Stammzertifizierungsstellen des lokalen Benutzers importiert wird, schlägt die
Serverauthentifizierung der automatischen Updates fehl.
Erstellen einer Computergruppe
Bei dieser Aufgabe erstellen Sie eine Computergruppe auf dem WSUS-Server. Sie können Gruppen in jeder Gruppe, mit
Ausnahme der Gruppe "Nicht zugewiesene Computer", schachteln. Dieses Feature ist neu in WSUS 3.0.
So erstellen Sie eine Computergruppe
o Erweitern Sie in der Struktur Update Services den Server, dem Sie eine Computergruppe hinzufügen möchten, und
erweitern Sie anschließend Computer.
o Klicken Sie unter Alle Computer auf die Computergruppe, in der Sie die neue Computergruppe erstellen möchten. Dies
kann jeder Knoten außer der Gruppe Nicht zugewiesene Computer sein.
o Klicken Sie mit der rechten Maustaste auf den ausgewählten Knoten, und klicken Sie anschließend auf
Computergruppe hinzufügen. Sie können diesen Schritt auch ausführen, indem Sie im Fenster Aktionen auf
Computergruppe hinzufügen klicken.
o Geben Sie den Namen der neuen Computergruppe im Feld Name ein, und klicken Sie anschließend auf OK.
Weitere Überlegungen
o Um diesen Vorgang durchzuführen, müssen Sie Mitglied der WSUS-Administratorengruppe auf dem WSUS-Server sein.
o Wenn der WSUS-Server im Replikatmodus ausgeführt wird, können Sie diese Aufgabe nicht ausführen.
Aktivieren der clientseitigen Zuordnung über Gruppenrichtlinien
Bevor Sie diese Aufgabe ausführen, müssen Sie eine Computergruppe erstellen. Nach Abschluss der im Folgenden
aufgeführten Schritte werden Clientcomputer bei der nächsten Verbindung zum WSUS-Server automatisch zu den
entsprechenden Computergruppen hinzugefügt.
Wenn in Ihrem Netzwerk Active Directory ausgeführt und das Netzwerk über Gruppenrichtlinien verwaltet wird, können
Sie einen oder mehrere Computer gleichzeitig konfigurieren, indem Sie diese in ein Gruppenrichtlinienobjekt einbeziehen.
Microsoft empfiehlt, ein neues Gruppenrichtlinienobjekt zu erstellen, das nur WSUS-Einstellungen enthält. Verknüpfen Sie
dieses WSUS-Gruppenrichtlinienobjekt mit einem für die Umgebung geeigneten Active Directory-Container. In einer
einfachen Umgebung können Sie ein einzelnes WSUS-Gruppenrichtlinienobjekt mit der Domäne verknüpfen. In einer
komplexeren Umgebung können Sie ggf. mehrere WSUS-Gruppenrichtlinienobjekte mit unterschiedlichen
Organisationseinheiten verknüpfen. Diese Verfahren gelten für einen oder mehrere Computer, abhängig davon, was Sie in
das Gruppenrichtlinienobjekt aufnehmen. Weitere Informationen zu Gruppenrichtlinien finden Sie auf der Seite zu
Gruppenrichtlinien unter http://go.microsoft.com/fwlink/?linkid=55625 (möglicherweise in englischer Sprache).
Wichtig
Microsoft empfiehlt, die Gruppenrichtlinien für die Standarddomäne oder den Standarddomänencontroller nicht zu ändern.
So aktivieren Sie die clientseitige Zuordnung über Gruppenrichtlinien
o
o
o
o
Öffnen Sie den Gruppenrichtlinienobjekt-Editor. Erweitern Sie zunächst Computerkonfiguration, dann Administrative
Vorlagen, anschließend Windows-Komponenten, und wählen Sie Windows Update aus.
Doppelklicken Sie im Fenster Details auf Clientseitige Zielzuordnung aktivieren.
Klicken Sie auf Aktiviert, und geben Sie im Feld Zielgruppenname für diesen Computer den Namen der
Computergruppe ein. Sie können mehrere Zielgruppen angeben. Trennen Sie die einzelnen Namen durch Semikolons.
Klicken Sie auf OK.
o
Um dieses Verfahren abzuschließen, müssen Sie über eine Einstellungsbearbeitungsberechtigung zum Bearbeiten eines
GPO
verfügen.
Mitglieder
der
Sicherheitsgruppe
„Domänenadministratoren“,
der
Sicherheitsgruppe
77 / 86
„Unternehmensadministratoren“ oder der Sicherheitsgruppe „Richtlinien-Ersteller-Besitzer“ verfügen standardmäßig
über die Einstellungsbearbeitungsberechtigung zum Bearbeiten eines GPO.
Automatisches Genehmigen von Updates für die Installation
Sie können Regeln für das automatische Genehmigen neuer Updates festlegen, wenn sie synchronisiert werden.
Automatische Genehmigungen können auf der Updateklassifizierung, dem Produkt oder der Computergruppe basieren. Sie
können ebenfalls die automatische Genehmigung von Updaterevisionen, die automatische Entfernung von abgelaufenen
Updates und die automatische Genehmigung von WSUS-Updates festlegen. Diese Regeln können jederzeit aktiviert oder
deaktiviert werden.
So genehmigen Sie Updates automatisch für die Installation
o
o
o
o
o
o
o
Erweitern Sie in der Struktur Update Services den Server, für den Sie Updates genehmigen möchten, und klicken Sie
dann auf Optionen.
Klicken Sie auf der Seite Optionen auf Automatische Genehmigungen.
Wählen Sie auf der Registerkarte Updateregeln die Option Regel für automatische Bereitstellung installieren, und
klicken Sie dann auf Bearbeiten, um die Standardregeln anzuzeigen und gegebenenfalls zu ändern.
Um eine neue Regel zu erstellen, klicken Sie auf der Registerkarte Updateregeln auf Neue Regel.
Wählen und bearbeiten Sie die Eigenschaften im Feld Regel hinzufügen, und legen Sie anschließend einen Namen für
die Regel fest.
Microsoft empfiehlt das automatische Genehmigen von WSUS-Updates oder Revisionen für Updates und das
automatische Ablehnen von abgelaufenen Updates. Wenn Sie dennoch andere Einstellungen bevorzugen, deaktivieren
Sie die entsprechende Auswahl auf der Registerkarte Erweitert.
Klicken Sie auf OK.
o Um diesen Vorgang durchzuführen, müssen Sie Mitglied der WSUS-Administratorengruppe auf dem WSUS-Server sein.
Nachdem Ihre Regel erstellt wurde, kann sie nun auf bereits synchronisierte Updates angewendet werden.
6.11. Deinstallation von WSUS 3.0
78 / 86
6.12. bekannte Probleme
6.12.1. Gruppenrichtlinienverwaltung funktioniert nicht mehr
In seltenen Fällen kann es vorkommen, dass – eigenartigerweise nach Installation der Microsoft
Management Console 3.0 für Windows Server 2003 – die Gruppenrichtlinienverwaltung nicht
mehr funktioniert.
Lösung:
Neuinstallation der Gruppenrichtlinienverwaltungsconsole.
6.12.2. Updates werden nicht heruntergeladen
Schlägt eine Synchronisierung mit einem Microsoft-Server fehl, kann das mehrere Ursachen und
demzufolge Lösungen haben.
mögliche Lösung 1
Herstellen der Internetverbindung
mögliche Lösung 2
Konfigurieren einer Firewall, die zwischen WSUS-Server und Internet liegt.
• WSUS benutzt zwingend Port 80 für HTTP und Port 443 für HTTPS. Eine Änderung dieser Ports
ist nicht möglich.
• Sollte insbesondere der Port 443 durch die interne Firewall und/oder den Internet-provider
gesperrt bleiben, so muss zumindest sichergestellt werden, dass mit folgenden Adressen eine
Kommunikation hergestellt werden kann:
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- http://download.microsoft.com
Achtung: Die Windows eigene Firewall
- http://*.download.windowsupdate.com
(Windows Server 2003) braucht nicht
- http://wustat.windows.com
konfiguriert zu werden.
- http://ntservicepack.microsoft.com
6.12.3. Client erscheint nicht in der Konsole
Es kommt vor, dass Clients nicht in der Managementconsole erscheinen und somit auch keine
Updates von WSUS beziehen können.
mögliche Lösung 1
„händisches“ Update des Clients
• Start → Ausführen → cmd
pskill wuauclt
net stop „Automatische Updates“
net stop „Automatische Updates“
wuauclt /detectnow
(ev.) wuauclt /resetauthorization (wenn der Client vorher auf einen SUS-Server „gehört“ hat)
mögliche Lösung 2
• Start → Ausführen → cmd
Reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /s
Server und Port-Nummer im Ausgabefenster müssen korrekt sein.
79 / 86
mögliche Lösung 3
Wenn WSUS bei der Installation nicht für Port 80 konfiguriert wurde, kann auf dem WSUS –
Server folgender Befehl ausgeführt werden:
• C:\Programme\Update Services\Setup\"SetupInstallSelfupdateOnPort80.vbs
6.12.4. Geclonter Client erscheint nicht in der Konsole
Dies kann passieren, wenn die Computer dieselbe Client-ID verwenden. Für einzelne PCs kann die
Lösung 1, für eine größere Anzahl auch die Lösung 2 verwendet werden.
mögliche Lösung 1
•
•
•
•
Start → Ausführen → cmd → regedit
Suchen des Schlüssels: HKLM\Software\Microsoft\Windows\CurrentVersion\Windowsupdate
Löschen der Einträge: AccountDomainSID, SusClientID, PingID
Start → Ausführen → cmd
net stop wuauserv
net start wuauserv
wuauclt /resetauthorization /detectnow
gpupdate/force /boot
• ev. Neustart des Systems
mögliche Lösung 2
• Die Computer werden vorübergehend in eine eigene OU (WSUS_Probleme) verschoben.
• Diese OU erhält ein Gruppenrichtlinienobjekt in dem
- die Windows-Updates mittels WSUS zugewiesen werden (siehe Kapitel: Richtlinien erstellen)
- und ein Startscript (siehe unten) ausgeführt wird.
rem Loest Probleme mit Computern, die aufgrund von Imaging Prolemen nicht in WSUS auftauchen
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v AccountDomainSid /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v PingID /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate /v SusClientId /f
cls
@echo Nach dem Reset der WSUS Client Identität wird ein Anmelden am WSUS Server erzwungen.
net stop wuauserv
net start wuauserv
wuauclt /resetauthorization /detectnow
gpupdate/force /boot
mögliche Lösung 3
Sysprep-Images für den Clonevorgang verwenden
6.12.5. Client erscheint in der Konsole aber Updates sind als „unbekannt“ gekennzeichnet
Sollte dies der Fall sein, kann das System nicht feststellen, welche Updates notwendig bzw.
bereits installiert sind. In der Ereignisanzeige des Clients (Anwendungen) können folgende
Fehlermeldungen erscheinen:
Event Type: Error
Event Source: ESENT
Event Category: General
Event ID: 427
Date: 5/17/2005
Time: 10:51:44 AM
User: N/A
Computer: [computername]
Description:
wuaueng.dll (1280) The database engine could not access the file called
C:\WINNT\SoftwareDistribution\DataStore\Logs\edb.log.
bzw.:
Event Type: Error
Event Source: ESENT
Event Category: Logging/Recovery
Event ID: 413
Date: 5/12/2005
Time: 2:46:16 PM
80 / 86
User: N/A
Computer: [computername]
Description:
wuaueng.dll (1280) Unable to create the log. The drive may be read-only, out of disk space, misconfigured, or
corrupted. Error -1032.
mögliche Lösung
• Stoppen des automatischen Update-Services am Client.
• Löschen der Datei: %windir%\SoftwareDistribution\DataStore\Logs\edb.log
• Starten des automatischen Update-Services am Client.
Der Updatestatus eines Clients kann in der Registrierungsdatei festgestellt werden:
• Start → Ausführen → cmd → regedit
• Suche nach:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto
Update\AUState
Folgende Einträge sind möglich:
0—initial 24-hour timeout (Automatic Updates doesn't run until 24 hours after it first detects an Internet connection.)
1—waiting for the user to run Automatic Updates
2—detection pending
3—download pending (Automatic Updates is waiting for the user to accept the predownloaded prompt.)
4—download in progress
5—install pending
6—install complete
7—disabled
8—reboot pending (Updates that require a reboot were installed, but the reboot was declined. Automatic Updates
won't do anything until this value is cleared and a reboot occurs.)
6.12.6. Mindestens erforderlicher Speicherplatz
Zum Installieren von Windows Server Update Services ist mindestens der folgende Speicherplatz
erforderlich:
• 1 GB auf der Systempartition
• 2 GB für den Datenträger, auf dem die Datenbankdateien gespeichert werden
• 6 GB, basierend auf den Inhaltsprojektionsnummern
6.12.7. IIS muss installiert sein
Für Microsoft® Windows Server™ Update Services (WSUS) müssen die Internetinformationsdienste (Internet Information Services, IIS) installiert sein. Bei Microsoft Windows Server 2003
und Microsoft Windows® 2000 Server ist IIS jedoch nicht standardmäßig installiert, sodass das
Setup-Programm von Windows Server Update Services möglicherweise nicht fortgesetzt werden
kann. Es wird eine Fehlermeldung angezeigt, die besagt, dass IIS nicht installiert ist.
6.13. Log-Files
6.13.1. Server
C:\Windows → WindowsUpdate.log
81 / 86
6.13.2. Client
C:\Windows → WindowsUpdate.log
82 / 86
6.14. Empfehlung für Sicherheitseinstellungen des IIS 6.0
6.14.1. Fehlermeldung als Text an Client senden
Standardmäßig gibt IIS den Web-Clients gegebenenfalls ausführliche Fehlermeldungen zurück. Es
wird empfohlen, dem IIS nur allgemeine (weniger ausführliche) Fehlermeldungen zu ermöglichen.
Dieses hindert einen nicht autorisierten Benutzer an der Prüfung der IIS-Umgebung mit IIS
Fehlermeldungen.
• Start → Programme → Verwaltung → Internet Information Services Manager → [RM] auf
Websites → Eigenschaften
83 / 86
→ OK → Schließen
6.14.2. Zusätzliche Logging-Optionen
Standardmäßig unterstützt der IIS bereits eine Reihe von Logging-Optionen. Es wird jedoch
empfohlen, zusätzliche Einstellmöglichkeiten zu aktivieren.
→
Websites
Eigenschaften
84 / 86
→ OK → Schließen
6.14.3. HTTP-Header Extensions entfernen
Standardmäßig ermöglicht der IIS header extensions für HTTP-Anfragen. Es wird empfohlen,
diese Option zu entfernen.
Websites → Eigenschaften
→ Schließen
6.14.4. WSUS nach einer Reparaturinstallation des Betriebssystems
Problem
Wird WSUS 2.0 auf WSUS 3.0 upgedatet und irgendwann eine Reparaturinstallation des Betriebssystems durchgeführt, funktioniert WSUS 3.0 nicht mehr. Es ist weder eine Neu- noch eine
Deinstallation von WSUS möglich.
Grund
Auf dem reparierten System „läuft“ eigentlich wieder WSUS 2.0. Es fehlen aber Microsoft SQL
Server 2000 Desktop Engine (MSDE 2000) und die Administrationswebseite, außerdem passt die
vorhandene Datenbank zu WSUS 3.0, nicht zu WSUS 2.0.
Lösung
• Sicherung der Updatedateien und der Datenbankdateien (siehe Kapitel Sicherung)
85 / 86
• Rücksicherung einer WSUS 2.0-Datenbank und eines dazu passenden Contents (allenfalls zu
erhalten bei Ihrem IT-Regionalbetreuer)
• Deinstallation von WSUS 2.0 incl. Datenbank und Updatedateien (siehe: WSUS_v14.pdf)
• Neuinstallation von WSUS 3.0 (siehe Kapitel Neuinstallation)
• Rücksicherung der Updatedateien und der Datenbankdateien von WSUS 3.0 (siehe Kapitel
Rücksicherung)
86 / 86

Windows Server Update Services 3.0, Version 1.1

Transcription

Similar documents

Software Update Services

Administrator`s guide

Filter Forge 3 Premium

Gebrauchsanweisung

BENUTZERHANDBUCH

Software Version 4.x - WOW! Würth Online World GmbH

Release Notes: Adobe Application Manager Enterprise Edition

Kaspersky Anti-Virus 2010

Per Mausklick zur vollwertigen Windows-XP-CD

Installation und Konfiguration von ClamAV unter CentOS 6.x