• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Security
  • Motivation
  • Rechner sicher machen
  • Umgang mit Passwörtern
  • Die Anti-Virus-Seite
  • Windows Server Update Service
  • Rechner geknackt - was tun?
  • PATH-Variable in Unix
  • AFS und Sicherheit
  • E-Mail und Sicherheit
  • Phishing
  • Konfiguration von 'pine'
  • Sichere Institutsnetze
  • Virtuelle Firewalls
  • Secure Shell (SSH)
  • SSH-Client PuTTY
  • SCP/SFTP-Clients WinSCP
  • Online-Informationen, Literatur
  • Brief der LRZ-Leitung
  • Bearbeitung von Abuse-Fällen
  • Informationen zum DFN-CERT
  • LRZ-Dienste zur Sicherheit
  • Kurs: Sicherheit (für Benutzer)
  • Vortrag: Schattenseiten des Internet
  • Kurs: Sicherheit (für Unix-Admins)
  • Security-Vorträge

ALIs

kommt noch

Windows Server Update Service (WSUS) am LRZ für Microsoft Produkte

---

Inhalt

• Aktuelles zu WSUS am LRZ
• 1. Was ist WSUS?
• 2. Vorteile WSUS vom LRZ zu nutzen
• 3. Mindestanforderungen
• 4. Welche Updates werden über WSUS angeboten?
• 5. Verfügbarkeit der Updates:
• 6. Konfiguration:
• 7. Update Vorgang:
• 8. FAQ:
• 9. Info für Chained WSUS Server Admins:

---

Aktuelles zu WSUS am LRZ

31.07.11	WSUS auf Win 2008 R2 aktualisiert und nun über IPv6 erreichbar
8.07.11	Juli-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)
10.06.11	Juni-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)
13.05.11	Mai-Updates freigegeben. (Näheres bei Microsoft: dt. / en.)

---

Das LRZ bietet für Windows Rechner des Münchner Wissenschaftsnetzs (MWN) die Nutzung eines MS Windows Server Update Services (WSUS) an. Der Dienst ermöglicht Betreibern von Windows Rechnern ihre Systeme auf dem aktuellen Patch-Stand zu halten. Der WSUS des LRZ ist Teil eines Sicherheitskonzepts um Windowsclients innerhalb des MWN vor sicherheiskritischen Gefahren zu schützen. Weitere Komponenten sind die Installation der Sophos-Antivirus Software und das Einrichten und Konfigurieren einer Personal Firewall.

1. Was ist WSUS?

Beim Windows Server Update Services (WSUS) handelt es sich um einen Teilmirror des Windows Updateservers von Microsoft am LRZ. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom LRZ-WSUS-Server. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion statt. Der herkömmliche Windowsupdate über Start-Windows Update bzw. über den IE unter Extras-Windows Update bleibt davon unberührt.

2. Vorteile WSUS vom LRZ zu nutzen

• Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
• Reduzierung der Belastung des GWin-Anschlusses durch die Funktion des WSUS-Servers als zentralen Verteilpunkt innerhalb des MWN.
• Der LRZ-WSUS-Server erfasst keine PC-/Benutzerdaten und kann deshalb auch keine Daten an MS weiterleiten.
• Updates für Windows Rechner können automatisiert installiert werden.
• Rechner mit fehlenden Updates können besser identifiziert und gemanaged werden.

3. Mindestanforderungen

• Der Rechner muß eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Rechner, die über den VPN-Server des LRZ am MWN teilnehmen.

4. Welche Updates werden über WSUS angeboten?

Microsoft verteilt inzwischen Updates für fast alle seiner Produkte über WSUS:

• Windows Betriebssysteme Win 2000 bis Win 7/2008 R2
• MS Produkte wie Internet Explorer, Outlook Express, Windows Media Player usw.
• MS Office (XP und höher)
• MS Exchange (2000 und höher), SMS, ISA-Server, Forefront
• SQL Server (2000 und höher) und SQL Server 2000 Desktop Engine (MSDE)
• Definitionupdates für Defender und Forefront

Zielgruppen:

WSUS bietet die Möglichkeit Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:

• WSUS oder Nicht zugeordnete Computer
  Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Softwareupdates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen der Administratoren selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden. In diese Gruppen komme alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server.
• AlleUpdates
  Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdated, Feature Packs, Fixes, Service Packs, Tools, Treiber und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows Sharepoint Services, Office, SQL Server 2000 (und höher), MSDE und Exchange 2000 (und höher). Diese Gruppe empfiehlt sich nur für Nutzer mit hohen Bandbreiten. Server sollten nicht in dieser Gruppe sein.
• Server
  Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer und zusätzlich noch mit den Produkten Windows Sharepoint Services, SQL Server 2000 (und höher) und Exchange 2000 (und höher) dazu. Genau wie bei "Nicht zugeordnete Computer" bekommen die Clients keine Service Packs (außer für .NET Framework und Windows Sharepoint Services) oder Update-Rollups.

Die Mitgliedschaft in einer dieser Gruppen können Sie über das LRZ-Konfigurationstool, über Gruppenrichtlinien oder über Registry-Keys steuern. (Für Betreuer von WSUS Downstream- und Replikatserver bzw. Systemadministratoren gibt es andere Konfigurationsmöglichkeiten für Ihre Clients - bitte lesen Sie unsere Infos für Chained WSUS Server Admins).

Einschränkungen:

• Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Softwareupdates (z.B. Internet Explorer) auftreten könnten, werden standardmäßig diese vom LRZ nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben, dann werden alle verfügbaren Updates heruntergeladen auf Ihren Rechner.

• Das LRZ unterstützt momentan nur die Sprachen deutsch und englisch. Bei Bedarf können auch weitere Sprachversionen hinzugefügt werden - bitte melden Sie sich bei uns.

• Die Windows und Office Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.  Die Prüfung von Updates gilt nur für Windows und Office Updates.  Andere Produkte, wie SQL Server und Exchange werden nicht vom LRZ getestet bevor sie freigegeben werden!

• Bei den Tests der Windows und Office Patches handelt es sich um eine grobe Prüfung, ob die Patches sich installieren lassen und keinen augenscheinlichen Schaden anrichten. Intensivere Tests können aufgrund der Heterogenität der Zielsysteme nicht durchgeführt werden. Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.

5. Verfügbarkeit der Updates:

 Bei WSUS heißt es Geduld bewahren.
Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern bis Ihre Updates auf dem Rechner installationsbereit sind. Ein Update-Zyklus dauert dabei bis zur 23 Stunden.

6. Konfiguration:

Es gibt drei mögliche Wege, Ihren Rechner für WSUS zu konfigurieren:

6.1 Grafisch über die Gruppenrichtlinien (für ungeübte Benutzer empfohlen)

Diese Variante kann sowohl für Einzelplatzinstallationen als auch zur Verwaltung von vielen Rechnern über das Active Directory verwendet werden.

6.1.1 Starten des Gruppenrichtlinien-Editors

Starten Sie den Gruppenrichtlinien-Editor über Start - Ausführen - gpedit.msc. Für die Verwaltung im Active Directory muß hier natürlich das Verwaltungsprogramm für das Active Directory geöffnet werden.

6.1.2 Hinzufügen der Richtlinien-Datei wuau.adm

Fügen Sie die Richtlinien-Datei wuau.adm über die Administrativen Vorlagen hinzu. Sollten diese fehlen bzw. sollten Sie noch eine ältere Version auf Ihrem Rechner haben, können Sie eine aktuelle Version hier herunterladen.

6.1.3 Konfigurieren des Windows Update

Nach der Installation der Richtlinienvorlage wuau.adm finden Sie nun unter "Administrative Vorlagen - Windows-Komponenten" den Punkt "Windows Update", bestehend aus zehn oder zwölf Unterpunkten. Zwölf sehen Sie nur mit Windows XP+SP2. Wichtig für den Betrieb von WSUS sind aber nur sechs Einstellungen davon.

Öffnen Sie nun die Gruppenrichtlinie Automatische Updates konfigurieren. Hier haben Sie die Möglichkeit zu definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch, wenn die Updates bereits herunter geladen sind, dass diese von einem Benutzer mit administrativen Rechten vor der geplanten Installationszeit installiert werden können.

In der Richtlinie Internen Pfad für den Microsoft Updatedienst angeben definieren Sie den Pfad zu den LRZ-WSUS-Servern.  Tragen Sie "http://sus.lrz.de" in beide Zellen ein.

Zielzuordnung

Der Richtlinie Clientseitige Zielzuordnung aktivieren müssen Sie aktiviern und "WSUS" als Zielgruppenname eintragen um die standardmäßig LRZ WSUS Patchverteilung Einstellungen zu verwenden. (Für Betreue von WSUS Downstream- und Replikatserver bzw. Systemadministratoren gibt es andere Konfigurationsmöglichkeiten für Ihre Clients - bitte lesen Sie unsere Info für Chained WSUS Server Admins)

In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit eine bestimmte Wartzeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen die Wartzeit nach Systemstart auf 5 Minuten zu setzen.

Wenn der Status der Richtlinie Kein automatischen Neustart für geplante Installationen durchführen auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt ein Benutzer angemeldet ist. Stattdessen wird der Benutzer aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die von angemeldeten Benutzern durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen. Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.

Durch der Richtlinie Automatisch Updates sofort installiern können Sie entscheiden, ob Updates, die weder die Windows-Dienste noch Windows neu starten, sofort, nachdem sie heruntergeladen wurden und installationsbereit sind, automatisch installiert werden sollen. Wir empfehlen Sie diese Richtlinie zu aktivieren.

6.2 Direktes Editieren der Registry (nur für erfahrene Benutzer empfohlen)

Das direkte Editieren der Registry sollte aber nur von erfahrenen Benutzern vorgenommen werden. Bei falschem Verhalten können Sie Ihr System unbrauchbar machen. 

6.2.1 Ändern der Registry

Legen Sie für die Nutzung von WSUS über das LRZ folgende Registrykeys an.
Bei diesem Beispiel findet ein automatischer Download der Updates vom LRZ-SUS-Server statt. Die Installation der Updates ist aber vom Benutzer gesteuert.

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetGroup"="WSUS"
"TargetGroupEnabled"=dword:00000001
"WUServer"="http://sus.lrz.de"
"WUStatusServer"="http://sus.lrz.de" 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"AUOptions"=dword:00000003
"AutoInstallMinorUpdates"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"NoAutoUpdate"=dword:00000000
"RescheduleWaitTime"=dword:00000005
"RescheduleWaitTimeEnabled"=dword:00000001
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"UseWUServer"=dword:00000001

Eine Ausführliche Dokumentation der einzelnen Parameter finden Sie im WSUS Deployment Guide. 

Hinweis: Wenn"TargetGroup" auf "WSUS" gesetzt ist, verwenden Ihre Clients die standarmäßig LRZ WSUS Patchverteilung Einstellungen. (Für Betreuer von WSUS Downstream- und Replikatserver bzw. Systemadministratoren gibt es auch andere Konfigurationsmöglichkeiten für Ihre Clients - bitte lesen Sie unsere Info für Chained WSUS Server Admins)

6.2.2 Starten des Dienstes "Automatische Updates"

Beenden Sie eventuell den Dienst "Automatische Updates" und starten ihn dann wieder. Kontrollieren Sie auch gleich, ob der Autostarttyp auf "Automatisch" eingestellt ist.

6.3 Automatisches Einrichten

6.3.1 Über VBS Scripts

Das LRZ bietet Ihnen zwei vorgefertigte Konfigurationen an, die Sie über die angegebenen VBS Scripts installieren können. Laden Sie hierzu die entsprechende Datei auf ihren PC herunter und starten diese mit einem Doppelklick.  Nach ausführen dieser Scripts, verwenden Ihre Clients die standardmäßigen LRZ WSUS Patchverteilung Einstellungen.

• ManuellInstall - Automatischer Download von Updates, die Installation der Updates muss aber vom Benutzer mit administrativen Rechten manuell gestartet werden, kein automatischer Neustart.

• AutoInstall   - Automatischer Download von Updates, die Installation der Updates erfolgt um 3:00 Uhr, spätestens mit dem nächsten darauf folgenden Neustart, kein automatischer Neustart, wenn eine Benutzer angemeldet ist.

6.3.2 WSUS Konfigurationstool

Um den Nutzern des WSUS im MWN die Konfiguration Ihrer Windows-Clients in Zukunft zu erleichtern stellt das LRZ ein grafisches Konfigurationstool zur Verfügung.  Dieses Tool bietet auch die Möglichkeit die Wahl eines Update Typs, über den definiert werden kann, ob nur Sicherheitspatches oder auch Sicherheitspatches mit Service Packs installiert werden sollen.  Laden Sie hierzu die Datei auf ihren PC herunter und starten diese mit einem Doppelklick.

• Konfigurationstool   - Mit wenigen Mausklicks können Sie selbst definieren, wann und wie welche Updates installiert werden sollen bzw. ob Ihr Rechner richtig konfiguriert ist und alle notwendigen Dienste dafür laufen.  Sie haben auch die Möglichkeit zu definieren ob nur Sicherheitspatches oder auch Sicherheitspatches mit Service Packs installiert werden sollen.

7. Update Vorgang:

Automatische Installation:

Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administratoren werden vor der Installation von Updates benachrichtigt und können die Updates wie unter Manuelle Installation erklärt installieren. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.  

Manuelle Installation:

Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste benachrichtigt (  Windows 2000 und XP, ohne SP2 oder  XP mit SP2) . Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.

 

Durch Doppelklick auf das Icon in der Taskleiste startet ein Assistent für das automatische Update.

 

Mit Klick auf "Installieren" startet die Installation der Updates.  Über "Abbrechen" ist es möglich, das Update auf einen späteren Zeitpunkt zu verschieben. In diesem Fall bleibt das Icon in der Taskleiste bis Sie wieder darauf  Doppelklicken.   Durch Wählen von "Benutzerdefinierte Installation" ändert sich die Taste "Installieren" auf "Weiter".  Hier können Sie sich die Updates näher anschauen und gegebenenfalls Updates abwählen. Mit Installieren startet die Installation der gewählten Updates. Die meisten Updates erfordern allerdings einen Neustart. Es empfiehlt sich, diesen sofort durchzuführen, Sie können aber auch weiter arbeiten und am nächsten Morgen mit dem Neustart Ihres Rechners die Updates einfahren.

 

   

8. FAQ:

8.1 Kann ich einen sofortigen Update erzwingen?

Es ist leider nicht möglich, mit einem einfachen Mausklick seinen Rechner sofort zu aktualisieren..
Sie können aber über  START - AUSFÜHREN mit dem Kommando "wuauclt.exe /detectnow" einen Update-Zyklus zu erzwingen. Es dauert dann allerdings 5-10 Minuten bis die Updates heruntergeladen und zur Installation angeboten werden.

8.2 Welche Dienste benötigt WSUS?

Es werden die folgenden Dienste benötigt:

• Automatische Updates (wuauserv, erforderliche Startart: Automatisch)
• Intelligenter Hintergrundübertragungsdienst (BITS, erforderliche Startart: Manuell)

8.3 Wie kann ich überprüfen, ob mein Client sich die Updates holt?

 Kontrollieren Sie die Datei "WindowsUpdate.log". Sie finden diese bei Windows 2000 unter c:\winnt und bei Windows XP/2003 unter c:\windows. Sollten Sie in der Logdatei Error-Meldungen finden, können Sie hier nachschauen was schief gelaufen ist.

8.4 Können wir selbst einen WSUS-Server betreiben?"

 Ja. Es ist mit relativ geringen Aufwand möglich, einen eigenen WSUS-Server zu betreiben und damit seine Clients selbst zu versorgen. Sie benötigen dazu ein Windows 2000 Server oder Windows 2003 Server mit mindestens 512 MB RAM und 1GHz CPU. Eine Beschreibung wie Sie weiter vorgehen müssen finden Sie im WSUS Deployment Guide.

8.5 Können wir unserem WSUS-Server an den des LRZ anbinden / Synchronisieren?

Ja, es ist möglich. Betreuer von alten SUS Server-Installationen bitte beachten Sie, dass sich bei WSUS das Management Modell gegenüber SUS verändert hat!!  Sie können den WSUS nun in zwei Modi betreiben:

8.5.1 WSUS als Downstreamserver:

Der Downstreamserver ist für ein "Decentralised Management" gedacht, wobei jeder Server einen eigenen Vorortbetreuer hat. Dieser Betreuer muß dann selber entscheiden welche Updates verteilt werden und welche nicht. Er kann auch selbst Zielgruppen im WSUS für die Zuordnung von Clients anlegen. Diese Instanz ist dann komplett unabhängig vom LRZ-WSUS Server, und holt sich nur die Updates davon.

8.5.2 WSUS als Replikatserver:

Der Replicatserver ist für ein "Centralised Managment" gedacht. In diesem Modus funktioniert der WSUS als eine Art Proxy-Server. Der Replikatserver bekommt die Updates und die Approvals vom LRZ WSUS Server heruntergeladen.  Er bekommt aber auch die vom LRZ festgelegten Zielgruppen zugewiesen. Der Betreuer kann nun nur noch den Rechner in die verschiedenen Gruppen legen.  Wir empfehlen Betreuern von SUS Servern, die die Updates vom LRZ SUS Server geholt haben, dieses Modell umzusetzen, da sie so die frühere Funktionalität von Approvals wieder haben.  Um Ihren Server als Replikatserver zu konfigurieren, müssen Sie dass während die Installation auswählen. Dass kann nicht nach dem Install umgestellt werden!

Wenn Sie ein Downstream- oder Replikatserver an der LRZ WSUS Server anbinden wollen, empfehlen wir Ihnen vorerst mit uns Kontakt aufnehmen, um die Vor- bzw. Nachteile dieses Management Modells abzuwägen.  Bitte lesen Sie auch unsere Infos für Chained WSUS Server Admins.

8.6 Können wir unserem SUS-Server mit den WSUS-Server des LRZ anbinden / synchronisiern?

 Nein. Es ist nicht möglich ein SUS Server mit ein WSUS Server zu verbinden oder zu synchronisiern. Bitte lesen Sie unsere Info für Chained WSUS Server Admins.

8.7 Seit 1. August 2005 bekommt unser SUS-Server keine Updates mehr vom LRZ!

Das LRZ hat am 1. August den Software Update Service für die MS Patches auf WSUS umgestellt. Der Dienst ist weiterhin unter der bisherigen URL http://sus.lrz-muenchen.de verfügbar, so daß die Nutzer des Dienstes nichts an ihrer Konfiguration verändern müssen. Das bedeutet leider auch, dass Ihr SUS Server jetzt nicht mehr über die bisherige URL Updates holen kann. Wenn Sie weiterhin die Updates für Ihren SUS-Server vom LRZ beziehen wollen, müssen Sie ihren SUS-Server auf die alternative Adresse http://sus01.lrz-muenchen.de umstellen. Dieser SUS-Server wird noch voraussichtlich bis 30. September zur Verfügung stehen.

8.8 Zielgruppe? Computergruppe? Was sind den das?

Sie können Ihre Clients in die verschiedenen Computergruppen über die Konsole des WSUS Server, über Group Policy oder durch setzen von Registry Keys einordnen. Über die Gruppenmitgliedschaft steuern Sie welche Updates die Clients bekommen.  Beispielsweise bekommt die Gruppe 1 keine Service Packs, Gruppe 2 bekommt nur SQL Updates, Gruppe 3 erhält alles.  Wir am LRZ  verwenden "Client Side Targeting".  Die Einstellung, die Sie über Group Policy oder Registry setzen, um Client Side Targeting nutzen zu können, heißt "Zielgruppe".

8.9 Wie kann ich die Rechner meiner Domäne überprüfen?

Microsoft stellt kostenlos den Microsoft Baseline Security Analyzer zum Download zur Verfügung. Mit diesem grafischen Tool können Sie bequem sowohl den eigenen als auch alle Rechner einer Domäne scannen. Auf der Webseite finden Sie neben dem MBSA auch einen Link wie Sie die Funktionalität des MBSA mit verschiedenen Skripten erweitern können.

8.10 Meiner Rechner steht hinter einem Proxy Server und ich habe Probleme WSUS zu nutzen!

Um Ihre Proxy Konfiguration zu überprüfen, lesen Sie bitte die Microsoft Knowlege Base Article KB836941 und KB900935.

8.11 Warum bekomme ich den Internet Explorer 7 oder andere Microsoft Softwareupdates nicht zur Installation angeboten!

Auf dem WSUS des LRZ sind verschiedene Zielgruppen definiert. Ein Rechner, der die Gruppe "WSUS", keine oder nicht die am LRZ verfügbaren Zielgruppen konfiguriert hat wird automatisch der Standardgruppe "WSUS" oder "Nicht zugeordnete Computer" eingegliedert. In dieser Gruppen werden dem Client nur Sicherheitsupdates und Wichtige Updates zugewiesen.

8.12 Wo finde ich weiterführende Links zu dem Thema WSUS?

MS-Seite zu WSUS
WSUS Documentation
MVP-Seite zu WSUS
WSUS Wiki

9. Info für Chained WSUS Server Admins:

9.1 WSUS als Replikatserver

Wenn Sie sich für einen Replikatserver entscheiden, müssen Sie diese Option während der Installation von WSUS auswählen. Beachten Sie bitte, daß ein WSUS Server nach der Installation nicht mehr umgestellt werden kann. Aktivieren sie während der Installation die Option "Dieser Server erbt die Einstellungen von folgendem Server" und geben Sie sus.lrz-muenchen.de als Servername und als TCP-Port 80 ein. Bei der ersten Synchronisation werden die Updates, Metadataeien, Approval Settings und Computergruppen von LRZ Server auf Ihren Server repliziert. Haben Sie hierbei etwas Geduld.

9.2 Clients zuordnen

Als nächsten Schritt müssen Sie Ihre Clients in die Computergruppen zuordnen.  Administratoren von Downstreamservern und Replikatservern müssen selbst zwischen Client Side- und Server Side- Targeting entscheiden. (WSUS Deployment Guide). Aber nur Administratoren von Downstreamserver können auch Ihre eigenen Computergruppen erstellen. Adminstratoren von Replikatservern müssen dieselben Computergruppen nutzen, die durch den LRZ-WSUS Server vorgegeben sind. 

Replikatserver erben vom LRZ WSUS Server die folgende Computergruppen.  Bitte beachten Sie, dass für jede Gruppe nur Windows und Office Patches vor der Freigabe vom LRZ getestet werden.

Nicht zugeordnete Computer:

Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools nur für die Produkte Windows, Office und MSDE. 

AlleUpdates

Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Feature Packs, Fixes, Service Packs, Tools und Treiber für die Produkte Windows, Windows Sharepoint Services, Office, SQL Server 2000 (und höher), MSDE und Exchange 2000 (und höher).

Server:

Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer und zusätzlich noch mit den Produkten Windows Sharepoint Services, SQL Server 2000 (und höher) und Exchange 2000 (und höher) dazu. Genau wie bei "Nicht zugeordnete Computer" bekommen die Clients keine Service Packs (außer für .NET Framework und Windows Sharepoint Services) oder Update-Rollups.

TEST:

Diese Gruppe wird vom LRZ als Testbereich genutzt. Sie sollten keine Rechner in diese Gruppe einordnen.

Es gibt zwei Möglichkeiten um Clients in die verschiedene Gruppen einzuordnen.  Entweder über Group Policy, durch die Einstellungen Clientseitige Zielzuordnung aktivieren, oder durch setzen von Registrykeys (TargetGroupEnabled auf "1" und TargetGroup auf die Name der gewünschten Computergruppe).  Um Clients in die AlleUpdates Gruppe einzuordnen, geben Sie "AlleUpdates" ein.  Für die Server Gruppe geben Sie einfach "Server" ein.  Bei "WSUS" oder alle anderen Einträge (außer TEST) landen die Clients in der "Nicht zugeordnete Computer" Gruppe.  Das ist unsere Standard/Default Gruppe für die meisten Clients.

Auch wenn dieser Registrykey leer ist, landen die Clients in der "Nicht zugeordnete Computer" Gruppe. Administratoren von Replikatservern sollten die Einstellungen auf die Clients setzen bevor Sie ihren WSUS Server in Betrieb nehmen um sicher zu sein, daß die Clients die richtigen Updates holen. 

9.3 Clientstatusdatenbank

Jeder Server in einer Chain hält seine eigene Datenbank über die Clients, die von ihm die Updates holen. Weder Replikatserver noch Downstreamserver geben diese Informationenen an den LRZ Upstreamserver weiter. 

9.4 Synchronisationszeit

Der LRZ WSUS Server synchronisiert sich mit Microsoft stündlich.