WSUS-Server

Aus helpdesk
Zur Navigation springen Zur Suche springen

Einleitung

Das ZMI betreibt zwei WSUS-Server für die Aktualisierung der Arbeitsplätze und Server.

Einer übernimmt die Aktualisierung der Server. Die Server sind in zwei Computergruppen unterteilt. Die Test-Server sind in einer TestServer-Computergruppe zusammengefasst und werden relativ zeitnah nach dem veröffentlichen von Patches aktualisiert. Treten auf den Test-Servern keine Probleme auf, werden die Produktions-Server eine Woche später (3. Woche des Monats) in der Nacht von Dienstag auf Mittwoch aktualisiert.

Der zweite Server übernimmt die Aktualisierung der Arbeitsplätze der Windows-Domäne Buerokommunikation.FernUni-Hagen.de. Die Patche werden nach der Veröffentlichung zeitnah freigegeben.


WSUS-Server

Die Konfiguration der WSUS-Server erfolgt über die MMC.

Die beiden WSUS-Server sind bei vielen Einstellungen gleich konfiguriert. Beide Server laden die Updates direkt von dem Microsoft Update-Server herunter. Die Aktualisierung erfolgt zweimal täglich. Updates für die WSUS-Software selbst und neue Revisionen von schon genehmigten Updates werden automatisch zur Installation freigegeben. Ansonsten werden keine Updates automatisch genehmigt. Updates werden automatisch abgelehnt, sobald neue Revisionen den Ablauf des Updates bewirken.

Die Konfiguration der Server unterscheidet sich hinsichtlich der Updates und der Sprachen die heruntergeladen werden. Während für die Server hauptsächlich Updates für Server-Produkte und Office in Deutsch und Englisch benötigt werden, werden für die Workstations Updates für das Betriebssystem und Anwendungssoftware (z.B. Office und Visual Studio) in mehreren Sprachen heruntergeladen.

Über das WSUS-SnapIn in der MMC kann der Status der einzelnen WSUS-Server überprüft werden.

 

Über die umfangreiche Reporting-Funktion können Berichte über den Status von Computern und Updates erstellt werden.

Mit Hilfe des Assistenten für die Serverbereinigung können diverse Aufräumaktionen gestartet werden. So werden veraltete Updates, Rechner, die sich mindestens 30 Tage nicht an der Konsole gemeldet haben und nicht länger benötigte Update-Dateien gelöscht. Updates die ausgelaufen sind oder erneuert wurden werden automatisch abgelehnt.

Einstellung der WSUS-Parameter zur Anbindung an den WSUS-Server (Server)

Die Server der Windows-Domäne Buerokommunikation.FernUni-Hagen.de erhalten die Einstellungen über einen Reg-File direkt in die Registry geschrieben.

Die Konfiguration beinhaltet, dass Updates automatisch heruntergeladen und um 3 Uhr installiert werden. Updates, die weder einen Dienst noch das Betriebssystem neu starten, werden sofort installiert. Die Server überprüfen alle 2 Stunden, ob neue Updates verfügbar sind.


Einstellung der WSUS-Parameter zur Anbindung an den WSUS-Server (Clients)

Die Rechner der Windows-Domäne Buerokommunikation.FernUni-Hagen.de erhalten die Einstellungen über die Gruppenrichtlinie der Domäne.

Die Konfiguration beinhaltet, dass Updates automatisch heruntergeladen und um 10 Uhr installiert werden. Sollte der Installationszeitpunkt verpasst werden, weil der Rechner nicht eingeschaltet ist, wird die Installation 15 Minuten nach dem Rechnerstart vorgenommen. Updates, die weder einen Dienst noch das Betriebssystem neu starten, werden sofort installiert. Erfordert ein installiertes Update den Neustart des Rechners, wird dieser nur durchgeführt, wenn kein Benutzer angemeldet ist. Ansonsten erfolgt nur ein Hinweis, dass ein Neustart erforderlich ist. Dieser Hinweis wiederholt sich alle 10 Stunden. Die Clients überprüfen alle 2 Stunden, ob neue Updates verfügbar sind.

Der Kommandozeilenbefehl der automatischen Updates lautet wuauclt.exe. Leider ist gibt es keinen Hilfeparameter für diesen Befehl. Nützliche Optionen sind aber /detectnow (startet Abfrage nach neuen Updates) und /reportnow (schickt einen Bericht an den WSUS-Server).