Windows Server Update Service (WSUS) am LRZ für Microsoft Produkte

15.07.16

Juli-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)

Update KB3159398 wegen veränderter Verarbeitung von GPOs für weitere vier Wochen zurückgestellt

17.06.16

Juni-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)

Update KB3159398 wegen veränderter Verarbeitung von GPOs für vier Wochen zurückgestellt

13.05.16

Mai-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)

Kummulative Updates KB3147461 und KB3147458 auch freigegeben.

15.04.16

April-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)

Kummulative Updates KB3147461 und KB3147458 wegen möglicher Probleme nicht freigegeben

11.03.16

März-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)

12.02.16

Februar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)


Das LRZ bietet für Windows Rechner des Münchner Wissenschaftsnetzs (MWN) die Nutzung eines MS Windows Server Update Services (WSUS) an. Der Dienst ermöglicht Betreibern von Windows Rechnern ihre Systeme auf dem aktuellen Patch-Stand zu halten. Der WSUS des LRZ ist Teil eines Sicherheitskonzepts um Windowsclients innerhalb des MWN vor sicherheitskritischen Gefahren zu schützen. Weitere Komponenten sind die Installation der Sophos-Antivirus Software und das Einrichten und Konfigurieren einer lokalen Firewall.

1. Was ist WSUS?

Beim Windows Server Update Services (WSUS) handelt es sich um einen Teilmirror des Windows Updateservers von Microsoft am LRZ. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom LRZ-WSUS-Server. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion statt.

2. Vorteile den WSUS vom LRZ zu nutzen

  • Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
  • Reduzierung der Belastung des GWin-Anschlusses durch die Funktion des WSUS-Servers als zentralen Verteilpunkt innerhalb des MWN.
  • Der LRZ-WSUS-Server leitet keine Daten an Microsoft weiter.
  • Updates für Windows Rechner können automatisiert installiert werden.
  • Rechner mit fehlenden Updates können besser identifiziert und gemanaged werden.

3. Mindestanforderungen

Das System muss eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Systeme, die über den VPN-Server des LRZ am MWN angebunden sind.

4. Welche Updates werden über WSUS angeboten?

Microsoft verteilt Updates für alle seiner Produkte über den WSUS:

  • Windows Betriebssysteme Win 2003 bis Win 10/2012 R2
  • MS Produkte wie Internet Explorer, Windows Media Player usw.
  • MS Office (XP und höher)
  • MS Exchange (2000 und höher), SMS, ISA-Server, Forefront
  • SQL Server (2000 und höher) und SQL Server 2000 Desktop Engine (MSDE)
  • Definitionupdates für Defender und Forefront

Zielgruppen:

WSUS bietet die Möglichkeit Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden, welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:

  • WSUS oder Nicht zugeordnete Computer
    Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Softwareupdates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen der Administratoren selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden. In diese Gruppen komme auch alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server.
  • AlleUpdates
    Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdates, Feature Packs, Fixes, Service Packs, Tools und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows Sharepoint Services, Office, SQL Server 2000 (und höher), MSDE und Exchange 2000 (und höher). Diese Gruppe empfiehlt sich nur für Nutzer mit hohen Bandbreiten. Server sollten nicht in dieser Gruppe sein.
  • Server
    Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer und zusätzlich noch mit den Produkten Windows Sharepoint Services, SQL Server 2000 (und höher) und Exchange 2000 (und höher) dazu. Genau wie bei "Nicht zugeordnete Computer" bekommen die Clients keine Service Packs (außer für .NET Framework und Windows Sharepoint Services) oder Update-Rollups.

Die Mitgliedschaft in einer dieser Gruppen können Sie über über Gruppenrichtlinien oder Registry-Keys steuern. 

Einschränkungen:

  • Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Softwareupdates (z.B. Internet Explorer) auftreten könnten, werden standardmäßig diese vom LRZ nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben, dann werden alle verfügbaren Updates heruntergeladen auf Ihren Rechner.
  • Das LRZ unterstützt momentan nur die Sprachen Deutsch und Englisch.
  • Die Windows und Office Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.
  • Bei den Tests der Windows und Office Patches handelt es sich um eine grobe Prüfung. Intensivere Tests können aufgrund der Heterogenität der Zielsysteme nicht durchgeführt werden. Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.

5. Verfügbarkeit der Updates

Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern bis Ihre Updates auf dem Rechner installationsbereit sind. Ein Update-Zyklus dauert dabei bis zu 23 Stunden.

6. Konfiguration

Es gibt zwei mögliche Wege, Ihren Rechner für WSUS zu konfigurieren.

6.1 Grafisch über Gruppenrichtlinien

Diese Variante kann sowohl für Einzelplatzinstallationen als auch zur Verwaltung von vielen Rechnern über das Active Directory verwendet werden.

Starten des Gruppenrichtlinien-Editors

Starten Sie den Gruppenrichtlinien-Editor über Start - Ausführen - gpedit.msc.

Konfigurieren des Windows Update

Unter "Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten" finden Sie den Punkt "Windows Update". Hier finden Sie die Richtlinien für den Windows Update Dienst und Sie können das Verhalten Ihres Clientsystems anpassen.

GPall

Öffnen Sie die Gruppenrichtlinie Automatische Updates konfigurieren. Hier haben Sie die Möglichkeit zu definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch, wenn die Updates bereits herunter geladen sind, dass diese von einem Benutzer mit administrativen Rechten vor der geplanten Installationszeit installiert werden können.

GP

In der Richtlinie Internen Pfad für den Microsoft Updatedienst angeben definieren Sie den Pfad zu den LRZ-WSUS-Servern. Tragen Sie "https://sus.lrz.de" in beide Zellen ein.

gp-path

Zielzuordnung

In der Richtlinie Clientseitige Zielzuordnung hinterlegen Sie die entsprechende Zielgruppe. Verwenden Sie "WSUS" als Zielgruppenname um die standardmäßige LRZ WSUS Patchverteilung Einstellungen zu verwenden. 

gp2a

In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit eine bestimmte Wartzeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen die Wartzeit nach dem Systemstart auf 5 Minuten zu setzen.

gp3

Wenn der Status der Richtlinie "Kein automatischen Neustart für geplante Installationen durchführen, wenn Benutzer angemeldet ist" auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt ein Benutzer angemeldet ist. Stattdessen wird der Benutzer aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die von angemeldeten Benutzern durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen. Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.

GP4

6.2 Direktes Editieren der Registry (nur für erfahrene Benutzer empfohlen)

Das direkte Editieren der Registry sollte nur von erfahrenen Benutzern vorgenommen werden. Bei falschem Verhalten können Sie Ihr System unbrauchbar machen. 

Ändern der Registry

Legen Sie für die Nutzung von WSUS über das LRZ folgende Registrykeys an.
Bei diesem Beispiel findet ein automatischer Download der Updates vom LRZ-WSUS-Server statt. Die Installation der Updates ist aber vom Benutzer gesteuert.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetGroup"="WSUS"
"TargetGroupEnabled"=dword:00000001
"WUServer"="https://sus.lrz.de"
"WUStatusServer"="https://sus.lrz.de" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions"=dword:00000003
"AutoInstallMinorUpdates"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"RescheduleWaitTime"=dword:00000005
"RescheduleWaitTimeEnabled"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001

Starten des Dienstes "Automatische Updates"

Beenden Sie eventuell den Dienst "Automatische Updates" und starten ihn dann wieder. Kontrollieren Sie auch gleich, ob der Autostarttyp auf "Automatisch" eingestellt ist.

7. Update Vorgang:

Automatische Installation:

Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administratoren werden vor der Installation von Updates benachrichtigt und können die Updates wie unter Manuelle Installation erklärt installieren. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.  

Manuelle Installation:

Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste rechts unten benachrichtigt. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.

Durch Doppelklick auf das Icon in der Taskleiste oder über "Systemsteuerung - Windows Update " startet das Verwaltungsmenü für Windows Update.

 

Mit Klick auf "Updates Installieren" startet die Installation der Updates. Durch Anklicken auf die Anzahl der verfügbaren Updates können Sie sich die Updates sich näher anschauen und gegebenenfalls Updates abwählen. Mit OK startet die Installation der gewählten Updates. Die meisten Updates erfordern allerdings einen Neustart. Es empfiehlt sich, diesen sofort durchzuführen, Sie können aber auch weiter arbeiten und bis zum Arbeitsende mit dem Neustart Ihres Rechners warten.

Details

Details

 


    

8. FAQs

8.1 Kann ich einen sofortigen Update erzwingen?

Sie können über "Sytemsteuerung - Windowsupdate - Nach Update suchen" eine Suche nach Updates anstoßen. Alternativ können Sie auch über den Befehl
"wuauclt.exe /detectnow" einen Update-Zyklus zu erzwingen. Es dauert dann allerdings 5-10 Minuten bis die Updates heruntergeladen und zur Installation angeboten werden.

8.2 Welche Dienste benötigt WSUS?

Es werden die folgenden Dienste benötigt:

  • Automatische Updates (wuauserv, erforderliche Startart: Automatisch)
  • Intelligenter Hintergrundübertragungsdienst (BITS, erforderliche Startart: Manuell)

8.3 Wie kann ich überprüfen, ob mein Client sich die Updates holt?

Sie können über "Sytemsteuerung - Windowsupdate" grafisch den aktuellen Zustand Ihres Clients kontrollieren. Detaillierte Informationen finden Sie in der Datei "WindowsUpdate.log". Diese Log-Datei finden Sie unter c:\windows. 

8.4 Können wir selbst einen WSUS-Server betreiben?"

Ja, es ist mit relativ geringen Aufwand möglich einen eigenen WSUS-Server zu betreiben und damit seine Clients selbst zu versorgen.

8.5 Können wir unserem WSUS-Server an den des LRZ anbinden / Synchronisieren?

Ja, es ist möglich. Sie müssen sich bei der Konfiguration entscheiden ob Sie einen Downstreamserver oder eine Replikatserver betreiben wollen.

8.5.1 WSUS als Downstreamserver

Der Downstreamserver ist für ein dezentrales Management gedacht, wobei jeder Server einen eigenen Vorortbetreuer hat. Dieser Betreuer muß dann selber entscheiden welche Updates verteilt werden und welche nicht. Er kann auch selbst Zielgruppen im WSUS für die Zuordnung von Clients anlegen. Diese Instanz ist dann komplett unabhängig vom LRZ-WSUS Server, und holt sich nur die Updates vom LRZ.

Downstream

8.5.2 WSUS als Replikatserver

Der Replikatserver ist für ein zentrales Management gedacht. In diesem Modus funktioniert der WSUS als eine Art Proxy-Server. Der Replikatserver bekommt die Updates und die Approvals vom LRZ WSUS Server heruntergeladen.  Er bekommt aber auch die vom LRZ festgelegten Zielgruppen zugewiesen. Der Betreuer kann nun nur noch den Rechner in die verschiedenen Gruppen legen. Um Ihren Server als Replikatserver zu konfigurieren, müssen Sie dass während der Installation auswählen. Dass kann nachträglich nicht geändert werden.

Replikatserver

8.8 Zielgruppe? Computergruppe? Was sind den das?

Sie können Ihre Clients in die verschiedenen Computergruppen über die Konsole des WSUS Server, über Group Policy oder durch setzen von Registry Keys einordnen. Über die Gruppenmitgliedschaft steuern Sie welche Updates die Clients bekommen.  Beispielsweise bekommt die Gruppe 1 keine Service Packs, Gruppe 2 bekommt nur SQL Updates, Gruppe 3 erhält alles.  Wir am LRZ  verwenden "Client Side Targeting".  Die Einstellung, die Sie über Group Policy oder Registry setzen, um Client Side Targeting nutzen zu können, heißt "Zielgruppe".

8.9 Wie kann ich die Rechner meiner Domäne überprüfen?

Microsoft stellt kostenlos den Microsoft Baseline Security Analyzer zum Download zur Verfügung. Mit diesem grafischen Tool können Sie bequem sowohl den eigenen als auch alle Rechner einer Domäne scannen.

8.10 Warum bekomme ich den aktuellen Internet Explorer oder andere Microsoft Softwareupdates nicht zur Installation angeboten?

Auf dem WSUS des LRZ sind verschiedene Zielgruppen definiert. Ein Rechner, der die Gruppe "WSUS", keine oder nicht die am LRZ verfügbaren Zielgruppen konfiguriert hat wird automatisch der Standardgruppe "WSUS" oder "Nicht zugeordnete Computer" eingegliedert. In dieser Gruppen werden dem Client nur Sicherheitsupdates und Wichtige Updates zugewiesen.

KB3080149 -