WSUS steht für das einfache Updaten von Systemumgebungen. Windows Server Update Services sind Bestandteil von Windows Server 2012 R2. Wir vermitteln Know-how für die Praxis.
Thomas Joos ist selbständiger IT-Consultant, Fachbuchautor und freiberuflicher Mitarbeiter unserer Schwesterpublikation TecChannel. Mit Windows Server Update Services halten Unternehmen ihre Windows-Umgebungen auf dem neusten Stand. Die Dienste sind auch in den aktuellen Windows Server 2012/2012 R2 das Werkzeug der Wahl. Dieser Beitrag vermittelt einige Neuerungen im Zusammenspiel mit Windows 8.1. Daneben werden einige Neuerungen in den Gruppenrichtlinien erläutert, mit denen sich die Aktualisierung von Windows 8.1 besser steuern lässt. WSUS installieren Sie in Windows Server 2012 R2 als Rollendienst über den Server-Manager. Dafür klicken Sie auf Verwalten/Rollen und Features hinzufügen. Als Serverrolle selektieren Sie Windows Server Updates Services. Während der Installation bestimmen Sie, ob auf dem Server eine interne Windows-Datenbank für WSUS installiert werden soll (WID) oder nur der Dienst zum Verteilen von Patches dient. Bei der Auswahl von Datenbanken lässt sich eine SQL-Datenbank hinterlegen, in der WSUS seine Daten speichern soll.
In manchen Umgebungen erscheinen Fehlermeldungen, wenn WSUS auf virtuellen Servern betrieben wird. Grund ist die Speicherung von Patches auf der virtuellen Festplatte. Hier sollten Sie eine lokale Festplatte des Hyper-V-Hosts für die Patches zuteilen. Nach Abschluss der Installation warnt Server-Manager, dass noch eine nachträgliche Konfiguration der Dienste erfolgen muss. Bei diesem Vorgang richtet der Assistent die Datenbank von WSUS ein. Erst dann starten Sie den eigentlichen Assistenten zum Einrichten der Patches und Clients.
WSUS erstmals einrichten
Wie für andere Serverdienste legt Server-Manager in Windows Server 2012 R2 auch für WSUS eine eigene Gruppe an. Über das Kontextmenü des Servers im Server-Manager starten Sie den Einrichtungsassistenten von WSUS. Mithilfe des Assistenten legen Sie fest, ob der Server neue Updates bei Microsoft herunterladen soll oder von einem anderen WSUS-Server bezieht. Ausserdem lassen sich die Sprachen und Produkte festlegen, die über WSUS aktualisiert werden sollen. Auch den Zeitplan der Aktualisierung legen Sie bei der Einrichtung fest.
Damit die Clients neue Updates vom WSUS beziehen und nicht aus Internet herunterladen, müssen sie entsprechend konfiguriert sein. Dies lässt sich in der Gruppenrichtlinienverwaltung unter «Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update» steuern. Hier finden Sie alle Einstellungen für Windows-Updates. Über den Eintrag «Synchronisierungen» in der Verwaltungskonsole sehen Sie, ob der erste Synchronisierungsvorgang erfolgreich war. Im oberen Bereich der Konsole erfahren Sie auch, ob neue Updates zur Verfügung stehen, die Sie genehmigen müssen. Nächste Seite: WSUS mit PowerShell steuern Wer WSUS in der PowerShell verwalten will, kann sich mit dem Befehl get-command -module updateservices alle CMDlets anzeigen lassen, mit denen sich die Windows Server Update Services verwalten lassen. Die Steuerung von WSUS nehmen Sie mit folgenden CMDlets vor: Add-WsusComputer - fügt einen angebundenen PC einer bestimmter WSUS-Gruppe hinzu Approve-WsusUpdate - gibt Updates frei Deny-WsusUpdate - verweigert Updates Get-WsusClassification - zeigt alle verfügbaren Klassifikationen an, die aktuell verfügbar sind Get-WsusComputer - zeigt WSUS-Clients und -Computer an Get-WsusProduct - zeigt eine Liste aller Produkte auf dem WSUS an, für die der Server Patches bereithält. Get-WsusServer - zeigt alle WSUS-Server im Netzwerk an Get-WsusUpdate - zeigt Informationen zu Updates an Invoke-WsusServerCleanup - startet den Aufräumvorgang Set-WsusClassification - fügt Klassifikationen zu WSUS hinzu Set-WsusProduct - fügt Produkte zu WSUS hinzu Set-WsusServerSynchronization - steuert die WSUS-Synchronisierung
Clients via Gruppenrichtlinie anbinden
Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter «Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update» vor. Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. So aktualisieren Sie auch den Server. Die erste Option ist im internen Pfad für den Microsoft-Update-Dienst angeben. Diese Option aktivieren Sie. Da WSUS eine Webapplikation ist, müssen Sie den Servernamen mit einer HTTP-Adresse angegeben. Den Port finden Sie in der WSUS-Konsole im unteren Bereich. Die zweite Option ist das Update-Verhalten, das Sie über Automatische Updates konfigurieren festlegen. Dabei stehen folgende Möglichkeiten zur Verfügung: «Vor Herunterladen und Installation benachrichtigen» - Mit dieser Option benachrichtigt Windows Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein. «Autom. Herunterladen, aber vor Installation benachrichtigen» - Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server. «Autom. Herunterladen und laut Zeitplan installieren» - Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows die Aktualisierung beim nächsten Bootvorgang. «Lokalen Administrator ermöglichen, Einstellung auszuwählen» - Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung die Konfiguration selbst auswählen können. Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls:
! KASTEN !
eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch immer nicht angebunden, geben Sie in der Befehlszeile
! KASTEN !
und dann
! KASTEN !
ein. Sollten die Einstellungen in der Gruppenrichtlinie auf einem PC noch nicht gespeichert sein, hat Windows unter Umständen die Gruppenrichtlinie noch nicht angewendet. In diesem Fall können Sie mit dem Befehl:
! KASTEN !
das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen. Nächste Seite: Updates konfigurieren
WSUS lädt die konfigurierten Updates aus dem Internet, installiert diese aber nicht automatisch. Erst wenn ein Administrator einen Patch genehmigt, beginnt Windows die Installation. Um Updates zu genehmigen, gehen Sie folgendermassen vor: 1. Klicken Sie in der WSUS-Verwaltungskonsole auf Updates/Alle Updates. Anschliessend sehen Sie eine Zusammenfassung der Updates, die auf dem Server verfügbar sind. 2. Wählen Sie in der Liste die Updates aus, die Sie zum Installieren genehmigen möchten. 3. Klicken Sie mit der rechten Maustaste auf den oder die Patches, und wählen Sie im Kontextmenü den Befehl «Genehmigen» aus. Sie können auch mehrere Updates oder mit der Tastenkombination [Strg] + [A] alle Updates auswählen und über das Kontextmenü genehmigen. Ab 24 Stunden nach der Freigabe von Patches können Sie in den Berichten zum WSUS überprüfen, ob die Updates auf den Computern bereitgestellt wurden. Um Update-Berichte anzuzeigen, gehen Sie folgendermassen vor: 1. Klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf Berichte. 2. Klicken Sie auf die Option Updatestatus-Zusammenfassung. 3. Die Liste kann durch entsprechende Kriterien gefiltert werden. 4. Klicken Sie anschliessend in der Symbolleiste des Fensters auf «Bericht erstellen». 5. Berichte können Sie auch als Excel-Tabelle oder PDF-Datei speichern oder drucken. Klicken Sie dazu in der Symbolleiste auf das «Speichern»-Symbol. Nächste Seite: Neuerungen für Windows 8.1
Viele Anwender stören sich daran, dass Windows nach der automatischen Installation von Updates sofort neu starten möchte. Diese Funktion lässt sich deaktivieren. Setzen Sie Windows 8.1 Pro oder Enterprise ein, können Sie dazu die Richtlinienverwaltung verwenden. Wir zeigen Ihnen im Anschluss die Deaktivierung über die Registry, die auch in der Basis-Edition von Windows 8.1 funktioniert. Das Vorgehen ist wie folgt: 1. Rufen Sie über die Startseite den Editor für lokale Gruppenrichtlinien auf (gpedit.msc), oder wählen Sie die Richtlinien, die Sie auch für die Anbindung an WSUS verwenden. 2. Navigieren Sie zu «Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update». 3. Im rechten Bereich stehen Ihnen verschiedene Einstellungen für Windows-Updates zur Verfügung, die in der Verwaltungsoberfläche der Systemsteuerung nicht verfügbar sind. Hier sind auch Einstellungen für WSUS zu finden, auf die wir später ebenfalls noch eingehen. 4. Deaktivieren Sie die Option «Erneut zu einem Neustart für geplante Installation auffordern». Zusätzlich sollten Sie noch die Option «Keinen automatischen Neustart für geplante Installationen ausführen» aktivieren. Anwender mit der Basis-Edition von Windows 8.1 können die Einstellung in der Registry vornehmen: 1. Rufen Sie über die Startseite den Registrierungs-Editor auf (regedit). 2. Navigieren Sie zu «HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU». 3. Legen Sie einen neuen DWORD-Wert mit der Bezeichnung «NoAutoRebootWithLoggedOnUsers» an, und geben Sie diesem den Wert 1. Dieser Wert verhindert den automatischen Neustart. 4. Erstellen Sie den DWORD-Wert «RebootRelaunchTimeoutEnabled», und geben Sie diesem den Wert 0, um auch die Meldung zu unterbinden.
Automatische Update-Suche
Windows 8.1 sucht in regelmässigen Abständen nach neuen Updates aus dem Internet oder auf einem WSUS-Server. In den Gruppenrichtlinien können Sie die Suchfrequenz anpassen. Dazu rufen Sie mit gpedit.msc die Verwaltung der Richtlinien auf oder verwenden die Gruppenrichtlinien wie bei der Anbindung an WSUS. Navigieren Sie zu «Computerkonfiguration/ Administrative Vorlagen/ Windows-Komponenten/ Windows Update». Auf der rechten Seite finden Sie die bereits erwähnten Einstellungen für Windows Update. Die Frequenz ändern Sie mit der Einstellung «Suchhäufigkeit für automatische Updates». In der Richtlinie finden Sie auch die Erklärung, wie die Suche normalerweise funktioniert. Sie können die Einstellung auch über die Registry steuern. Zunächst aktivieren Sie die benutzerdefinierte Einstellung im Schlüssel «HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU». Der DWORD-Wert «DetectionFrequencyEnabled» aktiviert die benutzerdefinierte Steuerung mit dem Wert 1. Das Intervall selbst legen Sie mit «DetectionFrequency» fest. Tragen Sie hier die Anzahl der Stunden ein. Nächste Seite: Troubleshooting WSUS
Unter bestimmten Umständen kann es passieren, dass Systemdateien nicht mehr funktionieren und sich Windows nicht mehr über Windows Update aktualisieren kann. In einem solchen Fall gelingt auch die Anbindung an WSUS nicht mehr. Dazu hat Microsoft in Windows 8.1 das System Update Readiness Tool eingebaut. Sie können bei Problemen oder zu Testzwecken einen manuellen Scanvorgang starten. Achten Sie aber darauf, dass ein solcher Scan durchaus eine halbe Stunde dauern kann. Um einen Scanvorgang zu starten, öffnen Sie eine Eingabeaufforderung mit Administratorrechten. Geben Sie dann den folgenden Befehl ein:
! KASTEN !
Bei Problemen geben Sie nach dem Scanvorgang dann den folgenden Befehl ein:
! KASTEN !
Dieser Befehl überprüft, ob eine Fehlermeldung im System von einem früheren Scanvorgang vorliegt. Um Fehler zu reparieren, geben Sie folgenden Befehl ein:
! KASTEN !
Das Tool scannt die wichtigsten Systemdateien in Windows 8.1 und kann diese bei Problemen wie einer defekten Festplatte wiederherstellen. Auch die Registry wird auf Konsistenz und einige wichtige Werte überprüft. Danach sollten Sie noch mit
! KASTEN !
weitere Systemdateien überprüfen lassen. Sind Fehler auf dem System vorhanden, prüfen Sie die Protokolldatei CBS.Log im Ordner C:\Windows\Logs\CBS.
Patches manuell installieren
In Windows 8.1 rufen Sie die Einstellungen von Windows Updates mit wuapp über die Startseite auf. Über Updateverlauf anzeigen im Update-Fenster können Sie sich anzeigen lassen, welche Updates heruntergeladen und installiert worden sind. Hier gibt es zunächst keine Unterschiede zu anderen Windows-Versionen. An dieser Stelle erhalten Sie auch Informationen wie die ID des Patches, die Sie dann an der Kommandozeile verwenden können. Sie können aber auch in der Eingabeaufforderung mit dem Tool wusa.exe Patches manuell installieren und deinstallieren. Diese Vorgehensweise ist zum Beispiel für Installationsskripte oder Anmeldeskripte sinnvoll. Die Technik funktioniert auch ohne den Einsatz von WSUS, zum Beispiel mit dem Befehl:
Die Option /quiet installiert ohne Rückmeldung, /norestart startet den PC auch dann nicht neu, wenn der Patch das erfordert. Mit der Option /uninstall können Sie installierte Updates auch wieder deinstallieren. Zusätzlich benötigen Sie dann noch die Option /kb. Hier geben Sie die Knowledge-Base-ID des Patches mit, zum Beispiel mit dem Befehl
Wusa.exe /uninstall /kb:976932
Die Option /extract entpackt den Inhalt des Updates in einen Zielordner, /warnrestart warnt bei der Verwendung von /quiet bei einem Neustart, und /forcerestart erzwingt den Neustart des Rechners. In der Ereignisanzeige finden Sie Fehler und Einträge, wenn Sie nach der Quelle WUSA filtern. In der Eingabeaufforderung können Sie sich ebenso die installierten Updates des Rechners anzeigen lassen. Dazu verwenden Sie den Befehl:
wmic qfe
Die installierten Updates lassen sich auch durch den Aufruf von systeminfo anzeigen.
