silvesterlangen.de

Seite
Menü

Windows Server Update Service

Das ist ein Server, der von den Microsoft-Servern zu einem vordefiniertem Zeitpunkt alle Updates herunterlädt und diese allen Clients im Firmennetzwerk zur Verfügung stellt bzw verteilt.

 

Wer braucht sowas?

Der kleine Privatmann mit seinen drei Computern und einer 50 Mbit Internetleitung sicher nicht. Die Datenmenge und der Zeitpunkt sind quasi zu vernachlässigen. Das Unternehmen mit 2000 Geräten und einer 50 Mbit Leitung allerdings benötigt sowas schon. Man stelle sich vor es ist Patch-Day, jeder Mitarbeiter schaltet morgens seine Workstation ein und alle Maschinen laden erst mal alle Updates direkt von den Microsoft-Servern. Die 50 Mbit Internetverbindung reicht ganz einfach nicht mehr aus. Obendrein kann ein Update einen Neustart des Systems verlangen und das kann je nach Workstation und Update bis zu einer Stunde brauchen bis es fertig ist. Der Mitarbeiter kann in der Zeit ganz einfach nicht arbeiten. Und wer nicht neu booten muss, der quält sich mit einer zugestopften Internetleitung und kann auch nicht richtig arbeiten.

 

Was kann ein WSUS?

Ein WSUS lädt zu einem definierten Zeitpunkt alle Updates von den Microsoft-Servern. Das konfiguriert man zu einer Zeit wo niemand arbeitet, bspw. nachts um 01:00 Uhr. Der Server startet die Installation des Updates auf den Clients zu einer vordefinierten Zeit, bspw. mittags um 12:00 Uhr, wenn alle Mitarbeiter in die Pause gehen oder ebenfalls nachts, falls die Workstations 24/7 laufen. Jedenfalls zu einer Zeit wo niemand arbeitet. Das wird ebenfalls vom WSUS aus gesteuert.

Ein WSUS muss nicht zwangsläufig von einem MS-Server die Daten holen. Er kann seine Daten wiederum vom WSUS aus der Hauptgeschäftsstelle herunterladen. Das muss natürlich entsprechend konfiguriert werden.

Ein WSUS steuert welcher Client zu welchem Zeitpunkt seine Updates bekommt. Es kann auch ein Testcomputer eingesetzt werden und erst nach seiner erfolgreichen Installation startet der WSUS die Installation auf allen anderen Clients. Der Zeitpunkt kann auch Tage danach sein.  Das soll verhindern, dass ein fehlerhaftes Update die ganze Firma lahm legt.

 

Upstream- und Downstream-Server

Es gibt zwei Varianten. Ein Downstreamserver ist ein WSUS, der nicht direkt bei Microsoft herunterlädt, sondern seine Daten von einem anderen WSUS holt.

Ein Upstreamserver ist ein WSUS, der seine Daten bei Microsoft holt und sie anderen WSUS zum Download bereitstellt. Er kann aber auch die Updates per tragbarem Medium (Stick, DVD, etc) erhalten.

 

Autonomer Downstream Server oder Replikations Server

Der Downstream Server unterteilt sich noch mal in Replikations Server und Autonomer Server. Der Autonome Server lädt seine Daten von einem Upstreamserver, aber verwaltet seine Updates selbst.

Der Replikations Server empfängt vom übergeordneten WSUS (Upstream Server) Verwaltungsinformationen wie bspw. Gruppeninformationen von Computern, Updates oder Genehmigungen. Mit dem Replikationsmodus habe ich keine Möglichkeiten Einstellungen selbst vorzunehmen.

Ein Video zur Installation eines WSUS findet sich wie immer auf meinem YouTube Kanal.

 

Hinweise:

1) Die Clients müssen per GPO angewiesen werden den WSUS zu benutzen. Das kann per Active Directory oder lokalen GPOs gemacht werden. Danach auf den Clients einmalig "wuauclt /detectnow" ausführen. Damit werden die Clients angewiesen nach dem Update Server zu suchen. In der Liste Computer sollten sich dann die Computer wiederfinden, die für die Updates bereit sind.

2) Erstellte Gruppen auf dem WSUS sind keine Active Directory Gruppen. Das sind eigenständige Gruppen auf dem WSUS. Die Gruppenzugehörigkeit von Clients können allerdings von AD verwaltet werden. Das lässt sich in den GPOs regeln, um die Clients den Gruppen im WSUS zuzuordnen. Die Gruppen müssen im WSUS aber erstellt werden. Im AD sollten entsprechende UOs erstellt werden.

3) Auf den Clients folgende Befehle ausführen, falls sie nicht in WSUS angezeigt werden:

  • wuauclt /resetauthorization
  • wuauclt /detectnow
  • gpupdate /force

 

Phasen des Updateprozesses

Phase 1: Einschätzen der Umgebung

Phase 2: Identifizieren der Updates

Phase 3: Evaluierung und Planung welche Updates auf welche Clients gehören bzw. nötig sind.

Phase 4: Updates genehmigen

 

"WSUS müllt mir die Festplatte voll"

Dafür gibt es zwei Ursachen:

  1. WSUS löscht keine Logfiles. Das Verzeichnis C:\inetpub\logs\LogFiles\ schwillt auf mehrere GB an bis die Festplatte voll ist.
    1. 1 Beispielsweise beim SBS 2011 kommt das gerne vor. Das liegt daran, weil das Script wsuslogcleaner.vbs die Logfiles nicht findet. Eine korrigierte Version gibt es hier.
  2. WSUS löscht keine alten und ersetzten Updates aus seinem Verzeichnis c:\WSUS\. WSUS muss das Löschen per Hand angestoßen werden. Das macht man in der Verwaltungskonsole von WSUS unter Optionen -> Assitent für die Serverbereinigung. Das lässt sich aber per CMD-BATCH oder Powershell-Script automatisieren.

 

"Der Client will sich einfach nicht am WSUS melden"

Öffne als Administrator die CMD und versuche folgende Schritte:

net stop wuauserv
net stop bits
rd /s /q %windir%\SoftwareDistribution
net start wuauserv
wuauclt /detectnow
wuauclt /reportnow

 

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login