Einrichtung von WSUS auf Computern mit Windows

Einrichtung von WSUS auf Computern mit WindowsBetriebssystem an der Universität Hamburg
1) Einleitung
Das Regionale Rechenzentrum bietet für Rechner mit Windows Betriebssystem im Netz
der Universität Hamburg die Nutzung eines Microsoft Windows Server Update Services
(WSUS) an. Windows-Systeme können sich mit diesem verbinden und aktuelle
Microsoft-Updates lokal herunterladen. Eine Installation der Updates kann je nach
Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion stattfinden.
Angeboten werden von Microsoft freigegebene
• Updates, Service Packs und Feature Packs für Windows-Betriebssysteme ab
Windows 7 bzw. Windows Server 2008 in Englisch und Deutsch.
• Updates, Service Packs und Feature Packs für eine Auswahl an MicrosoftProdukten wie Developertools, SQL-Server, Office, u.a. in Englisch und Deutsch.
Von Microsoft freigegebene Updates werden zunächst einer Gruppe von TestComputern zur Verfügung gestellt, bevor sie allgemein verfügbar sind. So werden die
meisten fehlerhaften oder problematischen Updates vor einer massenhaften
Verbreitung identifiziert und nicht freigegeben.
2) Einstellungen
Um den WSUS-Dienst der Universität Hamburg zu nutzen, sind einige Einstellungen an
dem Computer, der Updates erhalten soll, erforderlich.
• Bei zentral verwalteten Computern wird der Systembetreuer diese Einstellungen
zentral vorgeben, z.B. mit einer Gruppenrichtlinie. Updates kommen dann
automatisch.
• Bei individuell verwalteten Computern ist der jeweilige Administrator für die
Einstellungen und die Systemaktualität selbst verantwortlich. Die Einstellungen
sind entweder über Registry-Schlüssel oder über den lokalen
Gruppenrichtlinien-Editor möglich.
a) Zentrale Vorgaben
Für die einfache, zentrale Konfiguration des automatischen Update-Dienstes bei
größeren Computer-Umgebungen stellt das Rechenzentrum Windows Registry-Keys
zur Verfügung. Wenn Sie dabei Unterstützung benötigen, dann melden Sie sich bei der
Serviceline des Regionalen Rechenzentrums.
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
2
b) Individuelle Einstellungen mit dem lokalen Gruppenrichtlinien-Editor
Um das eigene System über den Gruppenrichtlinien-Editor auf diesen Dienst
auszurichten, startet man mit administrativen Rechten („als Administrator ausführen“)
das Programm „gpedit.msc“:
Die für den Windows Update Dienst notwendige Richtlinie “Windows Update“ findet
sich unter “Computerkonfiguration“ - “Administrative Vorlagen“ - “WindowsKomponenten“.
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
i. Automatische Updates konfigurieren
Die automatischen Updates müssen zunächst eingeschaltet werden. Dazu gibt es im
Wesentlichen zwei Optionen:
• Entweder Sie lassen die Updates nur herunterladen und installieren diese dann
zu einem beliebigen späteren Zeitpunkt, z.B. beim Herunterfahren des
Computers. Dies ist die Option 3.
• Oder Sie benutzen die vollautomatische Option 4. Hier können Sie den
Wochentag und die (ungefähre) Uhrzeit für die Updates einmal vorgeben.
Beachten Sie, dass der Computer zu diesem Zeitpunkt eingeschaltet ist.
3
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
ii.
Internen Pfad für den Microsoft Updatedienst angeben
Hier wird angegeben, woher Sie die Updates beziehen. Der WSUS-Server der
Universität Hamburg ist unter der Adresse https://WSUS.Uni-Hamburg.de erreichbar.
Achten Sie auf das „s“ in „https“!
iii.
Clientseitige Zielzuordnung aktivieren
Für Computer mit einem Client-Betriebssystem (z.B. Windows 7, 8.1, 10) benutzen Sie
bitte für die Zuordnung der Computer im WSUS-Dienst den Eintrag „UHH-Clients“ bei
der „Clientseitigen Zielzuordnung“.
Bei Servern des Regionalen Rechenzentrums verwenden Sie bitte „RRZ-Server“.
4
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
Bei Servern anderer Einrichtungen, die im RRZ gehostet werden, verwenden Sie bitte
„Kunden-Server“.
Zweck
Windows-Client der Uni
Zielgruppenname
UHH-Clients
Windows-Server des RRZ
RRZ-Server
Windows-Server von Kunden des RRZ
Kunden -Server
minimale Sicherheitsstufe: nur Sicherheits- und
wichtige Updates, sowie ServicePacks (wie beim
alten WSUS).
alter WSUS
Es fehlen u.a. die Definition-Updates, die für
einen Betrieb des Windows-Defenders nötig sind
und weitere Fehlerbereinigungen von Microsoft.
Ohne „Clientseitige Zielzuordnung“ bekommen die Computer keine Updates!
Wenn Sie größere Mengen an Computern administrieren kann ggf. eine eigene
Zielgruppe sinnvoll sein. Bitte nehmen Sie mit uns Kontakt auf.
5
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
6
iv.
Weitere Einstellungen (optional)
Es gibt noch diverse weitere Einstellmöglichkeiten, von denen zwei am
interessantesten sind:
1. "Keinen automatischen Neustart für geplante Installationen durchführen"
Damit ein ggf. erforderlicher Neustart nicht automatisch nach 5 Minuten
erfolgt, sollte noch diese Richtlinie aktiviert werden. Der Dienst wartet dann mit
dem Neustart auf das “OK“ des Nutzers. Es sollte aber nicht zu lange gewartet
werden.
2. "Erneut zu einem Start für geplante Installationen auffordern"
Es wurde beobachtet, dass das Fenster, das zum Neustart auffordert, Rechner
blockierte. In diesem Falle empfiehlt es sich diese Option zu konfigurieren. Sie
erlaubt es dem Benutzer das Fenster mit der Neustart Aufforderung zu
schließen. Er wird erst nach der eingestellten Zeit wieder zum Neustart
aufgefordert.
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
7
3) FAQ
a. Welche Updates erhalte ich?
Angeboten werden von Microsoft freigegebene
• Updates, Service Packs, Feature Packs und evtl. Treiber für WindowsBetriebssysteme ab Windows 7 bzw. Windows Server 2008.
• Updates, Service Packs und Feature Packs für eine Auswahl an MicrosoftProdukten wie Developertools, SQL-Server, Office, u.a.
in englischer und deutscher Sprache.
b. Kann ich auf Anfrage auch weitere Updates für Microsoft Software
über den RRZ-WSUS erhalten?
Wenn Microsoft für diese Produkte Updates zur Verfügung stellt und eine größere
Nachfrage besteht, ist das RRZ gerne nach entsprechender Prüfung bereit auch weitere
Software Updates über den RRZ-WSUS zu verteilen. Melden Sie sich bei der Serviceline
des RRZ.
c. Wie kann mit dem Update-Dienst gearbeitet werden?
Sie können in der „Systemsteuerung“ unter „System und Sicherheit\Windows Update“
Sich Informationen über Windows Update ansehen oder auch Aktionen auslösen:
• Updateverlauf anzeigen: Zeigt Ihnen wann welches Update installiert wurde.
• Nach Updates suchen: Startet einen neuen Suchzyklus. Wurden Updates
gefunden, können diese im Anschluss installiert werden.
• Sie erhalten Updates: Zeigt an, woher Sie Updates beziehen. Also entweder vom
RRZ (=“Vom Systemadministrator verwaltet“) oder direkt von Microsoft.
Einrichtung von WSUS auf Computern mit Windows-Betriebssystem an der Universität Hamburg
d. Beim Herunterladen eines Updates vom WSUS bzw. in meiner
WindowsUpdate.log Datei erscheint der Fehlercode 0x80070002
oder 0x80070003. Was muss ich tun?
Dieses Problem tritt auf, wenn einige Dateien im Update fehlen. Dies passiert
gelegentlich trotz scheinbar erfolgreichem Herunterladen und Extrahieren des
betreffenden Updates.
a. Rechner im abgesicherten Modus starten. (Beim Hochfahren Taste „F8“ drücken
bevor das Windows-Logo erscheint.)
b. Mit einem administrativen Benutzerkonto anmelden.
c. Downloadverzeichnis „Softwaredistribution“ im Windows-Verzeichnis entfernen.
(Diese Aktion hat keinerlei Auswirkung auf bereits installierte Updates.)
d. Rechner neu starten.
e. Die zuvor fehlerhaften Updates werden erneut vom WSUS-Server zum Download
angeboten und in der Regel nun fehlerfrei installiert.
e. Wie überprüfe ich, ob der Windows Update Dienst auf meinem
Client einwandfrei läuft?
Der Ablauf des Kontakts zwischen Windows Client und WSUS wird protokolliert in der
WindowsUpdate.log Datei. Diese findet sich bei Standard-Installationen unter
c:\Windows .
4) Kontakt
Bei Fragen und Problemen mit dem Windows-Update-Dienst der Uni-Hamburg wenden Sie
sich bitte an die Serviceline des RRZ unter 040/42838-7790.1
1
Diese Anleitung wurde erstellt von Orge Balack am 19.11.2015 nach einer Vorlage von M. Schacht und T.
Ramin.
8