Diese Anleitung bietet Unterstützung für die Einrichtung des uniinternen Microsoft® Windows Server™ Update Services (WSUS), welcher auf dem Server SUSW im SCC läuft.

  1. Was ist WSUS?
  2. Vorteile von WSUS
  3. Konfiguration der Client-PC
  4. Updatevorgang
  5. Probleme
  6. Links zu diesem Thema

1. Was ist WSUS?

Beim Microsoft Windows Server Update Services (WSUS) handelt es sich um den Nachfolger von Software Update Service (SUS). Dieser Dienst ist im SCC auf dem Server SUSW installiert. Windows-Clients innerhalb der Bauhaus-Universität Weimar können von dort alle verfügbaren Updates zu Microsoft-Produkten erhalten.

Auf jedem Mitarbeiter-Windows-PC sollte aus Sicherheitsgründen dieser Dienst aktiviert sein.

2. Vorteile von WSUS

  • Die Verteilung von Sicherheitspatches, Updates und Servicepacks kann für die Windows-Betriebssysteme (Client und Server), sowie weitere Software von Microsoft (MS Office etc.) automatisiert werden.
  • Eine Kontrolle der angeschlossenen Client-PC ist von zentraler Stelle möglich. Gefährdete Rechner werden schnell erkannt.
  • Alle entdeckten Sicherheitslücken in Microsoft-Produkten werden auf den so gepflegten PC schnellstmöglich und (fast) ohne Nutzereingriff geschlossen. Aktualisierungen und Treiberupdates sind inbegriffen.
  • Die Patches können vor der Freigabe getestet werden.
  • Nur der interne SUSW-Server greift auf Microsoft-Seite zu. Dadurch reduziert sich die Belastung des GWIN- Anschlusses.
  • Dieser Service kann und wird von Microsoft ausgebaut, d.h. weitere Applikationen und zukünftige Betriebssysteme werden mit integriert.
  • Folgende Microsoft-Produkte und Patch-Typen bedient SUSW an der Bauhaus-Universität:
zum Vergrößern ins Bild klicken

3. Konfiguration der Client-PC

Es wird empfohlen diese Arbeit vom verantwortlichen Administrator ausführen zu lassen, da entsprechende Rechte erforderlich sind.
Die Einrichtung des Update-Clients erfolgt über lokale Gruppenrichtlinien, so wie nachfolgend beschrieben.

A) Starten des Gruppenrichtlinien-Editors

Starten Sie den Gruppenrichtlinien-Editor (Rechtsklick auf den Windows-Start-Button - Ausführen - Eingabe von "gpedit.msc")

Navigieren Sie zu Richtlinien für Lokale Computer - Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Windows Update.

Mit den 7 gekennzeichneten Richtlinien lassen alle erforderlichen Einstellungen vornehmen.

B) Konfigurieren der Richtlinien

Die nachfolgenden Bilder zeigen die vom SCC empfohlenen Einträge. Auf weitere Erklärungen wird an dieser Stelle verzichtet, da jedes Dialogfeld unter der Schaltfläche "Erweitert" eine sehr ausführliche Erklärung bietet.

3 – Autom. Downloaden, aber vor Installation benachrichtigen
Für Nutzer, die die Installation der Patches unbedingt zeitlich selbst bestimmen wollen.
4 – Autom. Downloaden und laut Zeitplan installieren
Die vom SCC bevorzugte Variante, die zu einem festgelegten Zeitpunkt die neuen Patches installiert. Der Anwender merkt von den Aktualisierungen kaum etwas. Ein eventuell erforderlicher Neustart des Betriebssystems kann verschoben werden.

Als Installationstag sollte "0-Täglich" eingestellt bleiben, um auch Patches außerhalb der momentan üblichen Freigaben von Microsoft am 2. Mittwoch jedes Monats zu erhalten. Die Störung durch die im Hintergrund ablaufende Installation gering.

4. Updatevorgang

Ist die bevorzugte Option
4 – Autom. Downloaden und laut Zeitplan installieren
in den Gruppenrichtlinien eingetragen, werden neue Updates/Patches vom Nutzer unbemerkt auf den PC geladen und zur voreingestellten Zeit installiert. Die Arbeit am PC ist während dieses Vorganges nicht eingeschränkt und nur wenn ein Neustart notwendig wird, erscheint eine entsprechende Mitteilung auf dem Bildschirm. Diese kann der Nutzer akzeptieren oder aber ablehnen, um den Neustart auf einem späteren, passenderen Zeitpunkt zu verlegen.
Bei der Option
3 – Autom. Downloaden, aber vor Installation benachrichtigen

lädt der PC im Hintergrund alle neuen Updates/Patches vom Server SUSW und informiert anschließend den Nutzer in der Taskleiste. Bei passender Gelegenheit oder beim nächsten Herunterfahren kann dann die eigentliche Installation angestoßen werden.
Nachteil: ignoriert jemand diese Ikone über Tage, kann alles zu spät sein …

Ein Test, ob ein Update auch erfolgreich installiert wurde, kann

  • durch Überprüfen des Ereignisprotokolls oder
  • über START – WINDOWS UPDATE erfolgen, also indem man die originale Microsoft-Seite besucht.

Diese müsste dann melden, dass kein neues Update verfügbar ist. Zu beachten ist allerdings, dass das SCC neue Updates um ca. 1-3 Tage zeitverzögert anbietet, weil zuvor ein allgemeiner Test erfolgt und die Hinweise auf IT-Seiten im Internet ausgewertet werden.

5. Probleme

  • Es wird kein Update ausgeführt obwohl dem PC nachweislich Patches fehlen:

    • Überprüfen, dass der Dienst unter START – EINSTELLUNGEN – SYSTEMSTEUERUNG – VERWALTUNG – DIENSTE – AUTOMATISCHE UPDATES gestartet ist.
    • Wurden vor der Umstellung des PC auf SUSW dieser zuvor über die Microsoft-Update-Seite aktualisiert?
    • Alle WSUS-Aktivitäten können in der C:\Windows\WindowsUpdate.log kontrolliert werden.
    • Informieren Sie den zuständigen Administrator.

  • Ab und an ein Blick auf die originale MS-Update-Seite ist sinnvoll.
  • Erfordern mehrere Updates einen Neustart, so werden mitunter nicht alle zusammen installiert. Die Letzten kommen so möglicherweise erst einen Tag später – also Geduld.
  • Treiber und Tools werden an der Bauhaus-Universität bewusst nicht automatisch verteilt.