Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?

Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 14 »Innere Sicherheit«
Pfeil 14.1 Netzwerkrichtlinien- und Zugriffsdienste
Pfeil 14.1.1 Wie funktioniert NAP?
Pfeil 14.1.2 Netzwerkrichtlinienserver
Pfeil 14.1.3 Client vorbereiten
Pfeil 14.1.4 Mehrstufiges NAP-Konzept vorbereiten
Pfeil 14.1.5 NAP für DHCP-Zugriff
Pfeil 14.1.6 Und die anderen Netzwerkverbindungsmethoden?
Pfeil 14.2 Windows-Firewall
Pfeil 14.2.1 Eingehende und ausgehende Regeln
Pfeil 14.2.2 Basiskonfiguration
Pfeil 14.2.3 Regeln im Detail
Pfeil 14.2.4 Verbindungssicherheitsregeln
Pfeil 14.3 Windows Server Update Services (WSUS)
Pfeil 14.3.1 Die Funktionsweise
Pfeil 14.3.2 Erstkonfiguration mit dem Assistenten
Pfeil 14.3.3 Konfiguration und Betrieb
Pfeil 14.3.4 Updates genehmigen
Pfeil 14.3.5 Gruppenrichtlinie konfigurieren
Pfeil 14.3.6 Kurzer Blick auf den WSUS-Client
Pfeil 14.3.7 Mit Berichten arbeiten
Pfeil 14.4 VPNs mit Windows Server 2012 R2
Pfeil 14.4.1 Gateway-Architektur
Pfeil 14.4.2 Grundkonfiguration des VPN-Servers
Pfeil 14.4.3 VPN einrichten (allgemein)
Pfeil 14.4.4 Einwahlberechtigung
Pfeil 14.4.5 PPTP-VPN
Pfeil 14.4.6 L2TP-VPN
Pfeil 14.4.7 SSTP
Pfeil 14.4.8 Automatischer Modus
Pfeil 14.4.9 Connection Manager Administration Kit (CMAK, Verbindungs-Manager-Verwaltungskit)

Rheinwerk Computing - Zum Seitenanfang

14.3 Windows Server Update Services (WSUS) Zur nächsten Überschrift

Es hat sich gezeigt, dass das Installieren von Patches, Service Packs oder sonstigen Updates einer der wichtigsten Beiträge sowohl zur »inneren Sicherheit« als auch für die Stabilität der Systeme ist.

So komplexe Produkte wie ein Windows-Betriebssystem, ein Exchange Server oder ein Office-Paket können notwendigerweise niemals fehlerfrei sein, trotz aller Qualitätssicherung in den Entwicklungsprozessen. Hierbei bezieht sich »fehlerfrei« sowohl auf die Resistenz gegen unautorisierte Zugriffsversuche (»Hacking«) als auch auf die stabile Funktion an sich.

Es ist extrem positiv zu bewerten, dass Microsoft mit Fehlern in den Produkten erstens sehr offen umgeht und zweitens recht zügig Patches zur Behebung derselben bereitstellt. Das ist in der IT-Branche vorbildlich. Obwohl es eigentlich selbstverständlich sein sollte, ist mir kein Hersteller bekannt, bei dem dieser Prozess so nachhaltig funktioniert.

Nun verhält es sich aber leider so, dass in den meisten Installationen zwar bei der Erstinstallation darauf geachtet wird, dass aktuelle Service Packs und Patches eingespielt sind, aber danach ist die Maschine sich selbst überlassen. Das war vor 10 Jahren so, vor 5 Jahren, letztes Jahr, und es ist auch heute so und wird vermutlich auch in Zukunft noch immer so sein. Da es allerdings dringend notwendig ist, diesen Zustand bzw. Missstand zu beheben, scheint mir ein Abschnitt über WSUS in diesem Buch sehr angebracht zu sein.

Falls Sie glauben, dass Patch-Management mittlerweile eine Selbstverständlichkeit ist und es folglich doch eigentlich nicht notwendig ist, so die Trommel dafür zu rühren: Ich sehe häufig Umgebungen, in denen die Verantwortlichen mich zwar ganz zerknirscht anschauen, aber trotzdem Windows 2000 Server und Clients ohne Service Pack und Patches einsetzen.

Ich kann gut verstehen, dass man nicht monatlich 30 Server und 500 Clients besuchen kann, um dort Updates aufzuspielen. Da der Windows Server Update Service (WSUS) aber sowohl kostenlos als auch recht einfach einzuführen ist, gibt es ab jetzt keine Entschuldigungen mehr.


Rheinwerk Computing - Zum Seitenanfang

14.3.1 Die Funktionsweise Zur nächsten ÜberschriftZur vorigen Überschrift

Die Funktionsweise von WSUS ist in Abbildung 14.66 gezeigt:

  • Der WSUS-Server im Unternehmen bzw. in der Organisation lädt Update-Definitionen und Updates von der Microsoft Update-Website herunter.
  • Die Clients, auf denen der Microsoft Update-Client standardmäßig vorhanden ist, werden über Gruppenrichtlinien konfiguriert. So erhalten sie auf diesem Weg die Information, welcher WSUS-Server verwendet werden soll, ob automatisch die Software-Updates installiert werden sollen und dergleichen mehr.
  • Die Clients fragen nun regelmäßig den WSUS-Server ab und erhalten dabei gegebenenfalls die benötigten Updates.

Abbildung

Abbildung 14.66 Stark vereinfacht: Die Funktionsweise von WSUS

Zwei Aspekte wären anzumerken:

  • Welche Patches, Updates oder Service Packs letztendlich auf den WSUS-Clients installiert werden sollen, entscheidet weder Microsoft noch der WSUS-Server, sondern der Administrator. Sie können entweder jedes einzelne Update individuell genehmigen, oder Sie erstellen eine oder mehrere Regeln, die das Genehmigen für Sie erledigen.
  • Im Gegensatz zu vielen »großen« Softwareverteilungslösungen wird bei WSUS der Verteilungsvorgang nicht vom Server angestoßen. Vielmehr ist es die Aufgabe des Clients, sich in regelmäßigen Abständen beim Server zu melden und zu prüfen, ob es Updates für ihn gibt. WSUS basiert also auf einem Pull- und nicht auf einem Push-Verfahren.

Es gibt noch eine weitere gute Nachricht in Zusammenhang mit WSUS – jedenfalls für den Finanzvorstand des Unternehmens: Microsoft bietet WSUS kostenlos an:

  • Seit Windows Server 2008 R2 (also auch in 2012/R2) ist WSUS bereits enthalten. Es ist dort als Rolle vorhanden, die Sie bei der Installation hinzufügen.

Voraussetzungen

Die Installation ist unkompliziert. Im Gegensatz zu WSUS unter 2008 brauchen Sie keine Voraussetzungen software-mäßiger Art zu konfigurieren.

Eine andere Voraussetzung ist aber trotzdem wichtig zu erwähnen: WSUS braucht viel Platz. Wenn Sie viele Produkte damit supporten (und das eventuell auch mehrsprachig), dürfte auch das auf Abbildung 14.67 angelegte 2 Terabyte große Volume bald knapp sein. Planen Sie also großzügig, und legen die heruntergeladenen Daten um Himmels Willen nicht auf C: ab!

Abbildung

Abbildung 14.67 WSUS braucht viel Platz. Am besten nicht auf »C:«!

Weiterhin verwendet WSUS für Berichte aller Art den Microsoft Report Viewer 2008. Dieser muss von Hand installiert werden. Der Report Viewer ist übrigens keine zwingende Voraussetzung für die Installation, es gibt aber eine unschöne Fehlermeldung, wenn er nicht vorhanden ist und entsprechende Funktionen aufgerufen werden (Abbildung 14.68).

Abbildung

Abbildung 14.68 Den Microsoft Report Viewer 2008 muss man vorab nicht installieren, es gibt aber Fehlermeldungen, wenn man es nicht tut.

Der Download-Link zu dem Report Viewer-Paket ist: http://www.microsoft.com/en-us/download/details.aspx?id=3841

Voraussetzung für die Installation ist das Vorhandensein von .NET-Framework 2-Runtime. Dieses steht in Server 2012 (übrigens auch in Windows 8) in Form der .NET Framework 3.5-Funktionen zur Verfügung. Es reicht aber nicht, einfach das Feature zu aktivieren. Vielmehr müssen Sie das Paket von der Installation-DVD nachladen. Dazu geben Sie bei der Frage nach einem alternativen Quellpfad (gelber Balken) den Pfad \sources\sxs auf der Installations-DVD an. Abbildung 14.69 zeigt, wie’s gemacht wird.

Abbildung

Abbildung 14.69 Um das .NET Framework 3.5-Feature zu installieren, müssen Sie auf die Installations-DVD verweisen.

WSUS installieren

Die Installation erfolgt mithilfe des Server-Managers. Ich werde Sie auf ein paar Kleinigkeiten aufmerksam machen, aber viel Spannendes oder Problematisches gibt es nicht zu vermelden.

WSUS ist eine Rolle im Server 2012/R2, folglich beginnt die Installation an der üblichen Stelle im Server-Manager. WSUS benötigt einen ganzen Schwung von anderen Rollen und Features, die Sie durch einen Mausklick ganz einfach hinzufügen können (Abbildung 14.70).

Abbildung

Abbildung 14.70 WSUS ist eine Rolle, also startet die Installation im Server-Manager.

Abbildung 14.71 zeigt die Auswahl der Rollendienste. Die »Haupt-Entscheidung« an dieser Stelle ist, ob WSUS mit der internen Windows-Datenbank (Option: WID Database) oder einem vorhandenen SQL Server (Option: Datenbank) betrieben werden soll.

Nach der Auswahl der Rollendienste geht es um das Festlegen des Inhaltsspeicherorts (Abbildung 14.72). Wie bereits zuvor angedeutet, kann der Platzbedarf hier sehr groß werden. Es ist also keine gute Idee, hier das C:-Laufwerk anzugeben.

Abbildung

Abbildung 14.71 Auswahl der Rollendienste

Abbildung

Abbildung 14.72 Der Inhaltsspeicherort kann groß werden, daher bitte die Updates nicht auf »C:« legen!

Die eigentliche Installation ist nicht weiter bemerkenswert, bis auf die Tatsache, dass am Ende des Vorgangs ein Link Nachinstallationsaufgaben starten erscheint (Abbildung 14.73). Wenn dieser Prozess gestartet wird, öffnet sich – anders als bei zig anderen Installationsszenarien – kein weiterer Assistent, sondern die Nachinstallationsaufgaben werden sozusagen »schweigend« erledigt. Während der Installation wird das wie auf Abbildung 14.74 angezeigt, und an ebendieser Stelle findet sich dann auch die »Fertig«-Meldung.

Abbildung

Abbildung 14.73 Vergessen Sie nicht, die Nachinstallationsaufgaben zu starten!

Abbildung

Abbildung 14.74 Mehr ist bei der Ausführung der Nachinstallationsaufgaben nicht zu sehen.

Die WSUS-Konsole auf dem Client

Zunächst ist es interessant, festzustellen, dass die WSUS-Verwaltungskonsole auch auf Clients laufen kann. Das ist nicht uninteressant, denn so lässt sich vermeiden, dass der Administrator sich auf dem Server anmelden muss. Gut, das ist dank RDP kein Problem, ich bin aber immer dafür, unnötige Anmeldevorgänge auf dem Server zu vermeiden.

Die WSUS-Konsole ist Bestandteil der Remoteserver-Verwaltungstools für Windows 8, die es im Microsoft Download Center gibt. Im Kontext-Menü des obersten Knotens findet sich der Menüpunkt Verbindung mit dem Server herstellen, der zu dem Dialog aus Abbildung 14.75 führt. Letztendlich müssen Sie hier nur den Servernamen eintragen. Sie müssen aber eine Ausnahme in der Windows-Firewall des WSUS-Servers konfigurieren; sonst ist ein Verbindungsaufbau nicht möglich.

Abbildung

Abbildung 14.75 Vom Admin-PC lässt sich eine Verbindung zum WSUS-Server herstellen.


Rheinwerk Computing - Zum Seitenanfang

14.3.2 Erstkonfiguration mit dem Assistenten Zur nächsten ÜberschriftZur vorigen Überschrift

Bei der Erstkonfiguration hilft ein freundlicher Assistent, der ein weitgehend betriebsbereites System hinterlässt.

Dieser Assistent startet, wenn Sie das erste Mal die WSUS-Konsole öffnen. Wenn Sie ihn geschlossen haben, können Sie ihn jederzeit wieder aufrufen. Wählen Sie dazu unterhalb des Knotens Optionen den Eintrag Assistent für die WSUS-Serverkonfiguration.

Die erste Entscheidung ist, von welchem Server die Updates abgerufen werden sollen. In den meisten Umgebungen werden das die Microsoft-Systeme (Microsoft Update) sein. Für große verteilte Umgebungen, in denen mehrere WSUS-Server arbeiten, können Sie allerdings auch eine andere Quelle angeben, sodass die Dateien nicht zweimal aus dem Internet geholt werden müssen (Abbildung 14.76).

WSUS kann für die Verbindung natürlich einen Proxyserver verwenden; auch eine Authentifizierung an diesem ist möglich (Abbildung 14.77). Sind die Verbindungseinstellungen konfiguriert, wird die Verbindung gestartet. Dies ist aber nicht nur ein simpler Verbindungstest, sondern es werden die Listen der auf der Updatequelle zur Verfügung stehenden Sprachversionen, Produkte und Klassifizierungen geladen.

Abbildung

Abbildung 14.76 Vermutlich werden Sie die Updates vom Microsoft-Server beziehen. Für große Umgebungen mit mehreren WSUS-Servern gibt es auch die Möglichkeit, eine andere Quelle anzugeben.

Abbildung

Abbildung 14.77 Nach der Konfiguration des Proxy-Servers wird (falls nötig) eine Verbindung aufgebaut. Dabei werden grundlegende Informationen über Sprachen, Produkte und Klassifizierungen abgerufen.

Auf den nächsten Dialogseiten geht es nun darum, festzulegen, welche Updates auf dem WSUS-Server zur Verfügung stehen sollen. Auch wenn es vielleicht sehr verlockend ist, »vorsichtshalber« alle Sprachversionen und Updates für alle Produkte zu beziehen, sollten Sie zumindest grob selektieren, was Sie benötigen. Wenn Sie zu großzügig auswählen, haben Sie schnell etliche 100 Gigabyte auf dem Server (Abbildung 14.78 und Abbildung 14.79).

Abbildung

Abbildung 14.78 Geben Sie die in Ihrer Umgebung vorhandenen Sprachen ...

Abbildung

Abbildung 14.79 ... und Produkte an.

Globalität

Übrigens: Auch wenn Sie Niederlassungen auf der ganzen Welt haben, müssen Sie entscheiden, ob Sie wirklich die Clients aus Fernost über den deutschen WSUS-Server versorgen möchten. Das kann man machen, aber wenn es sich um größere Niederlassungen handelt, dürften lokale WSUS-Server die deutlich bessere Idee sein. In diesem Fall brauchen Sie diese Sprachversionen auch nicht auf dem deutschen Server zu halten.

Bei der Auswahl der Klassifizierungen sollten Sie ebenfalls mit Augenmaß vorgehen. Wichtige Updates und Sicherheitsupdates sind natürlich »Pflichtprogramm«, allerdings sind Feature Packs und Tools im Allgemeinen Komponenten, die man meist eher nicht über WSUS installiert. Ich möchte nun zwar nicht um ein paar Gigabyte mehr oder weniger feilschen – wenn Sie jedoch viele Sprachversionen benötigen, summiert sich das. Ich mache mir übrigens weniger Sorgen um die Plattenkapazität, sondern um Ihre Internetanbindung. Wenn die ohnehin stark belastet ist, spielen »ein paar Gigabyte« eben doch eine Rolle (Abbildung 14.80).

Abbildung

Abbildung 14.80 Wählen Sie, welche Arten von Updates heruntergeladen werden sollen.

Auf der nächsten Dialogseite geht es nun noch darum, die Synchronisierungshäufigkeit und die »Grundzeit« festzulegen. Bei den heutigen zur Verfügung stehenden Bandbreiten spricht meines Erachtens. nichts dagegen, jede Stunde zu synchronisieren. Die Datenmenge wird durch viele Vorgänge nicht größer, es kann aber sein, dass eine große Downloadmenge mitten am Tag die Internet-Verbindungen einschränkt.

Abbildung

Abbildung 14.81 Einstellungen zur automatischen Synchronisierung

Damit haben Sie den Assistenten bereits durchgearbeitet. Auf der letzten Dialogseite bietet er Ihnen an, direkt die Erstsynchronisation zu starten. Das macht Sinn, denn ohne Synchronisierung ist der Nutzwert der WSUS sehr begrenzt (Abbildung 14.82).

Abbildung

Abbildung 14.82 Auf Wunsch kann der Assistent direkt die Erstsynchronisation starten.

Ob die Synchronisierung läuft, können Sie übrigens in der Verwaltungskonsole erkennen: Wenn Sie den Knoten Synchronisierungen wählen, sollten Sie einen laufenden Vorgang sehen (Abbildung 14.83).

Abbildung

Abbildung 14.83 Hier ist in der Verwaltungskonsole von WSUS die laufende Erstsynchronisation zu sehen.


Rheinwerk Computing - Zum Seitenanfang

14.3.3 Konfiguration und Betrieb Zur nächsten ÜberschriftZur vorigen Überschrift

Auch wenn der soeben besprochene Assistent schon ein weitgehend lauffähiges System hinterlässt, gibt es in der WSUS-Verwaltungskonsole noch hinreichend viele weitere Optionen, die konfiguriert werden können. Abbildung 14.84 zeigt einen ersten Blick in die Optionen der Verwaltungskonsole, wobei viele Bereiche bereits vom Assistenten abgearbeitet worden sind – aber vielleicht muss daran ja auch irgendwann etwas verändert werden.

Wir werden nicht jeden Konfigurationsbereich ansehen, da diese Dialoge überwiegend selbsterklärend sind. Ich möchte Sie aber gern durch ein paar »wirklich wichtige Aspekte« führen.

Hinweis

Ein wesentlicher Konfigurationsaspekt sind die Automatischen Genehmigungen. Diese bespreche ich in Abschnitt 14.3.4.

Die WSUS-Verwaltungskonsole finden Sie übrigens in der Gruppe Verwaltung des Startmenüs.

Abbildung

Abbildung 14.84 In der WSUS-Verwaltungskonsole gibt es immerhin ein Dutzend Optionen zu konfigurieren.

Gruppen anlegen, Computer zuordnen

Vermutlich werden Sie nicht alle Computer gleich behandeln wollen. Es gibt durchaus absolut unternehmenskritische Server, auf denen Sie vermutlich nicht automatisiert Updates einspielen möchten. Um dies zu steuern, gibt es zwei Ansatzpunkte:

  • Mithilfe von Gruppenrichtlinien können Sie beispielsweise festlegen, ob die Computer Updates automatisch beziehen sollen und falls notwendig direkt einen Neustart durchführen.
  • Über WSUS-Computergruppen steuern Sie vereinfacht gesagt, welche Computer welche Updates erhalten. Wenn Sie beispielsweise möchten, dass einige Clients das Service Pack 5 für Windows 8 bekommen, andere aber nicht, kann das über die besagten WSUS-Computergruppen realisiert werden.

Ein Client, der sich zum ersten Mal beim WSUS-Server meldet, wird in die Gruppe Nicht zugewiesene Computer einsortiert. Wenn alle Systeme in Ihrem Netz dieselben Updates bekommen, könnten Sie sogar alle Computer dort belassen. Die meisten Administratoren möchten aber doch differenzieren können.

WSUS nicht zur Trennung

Sie benötigen diese Gruppen übrigens nicht, um Computer mit verschiedenen Betriebssystemen, Office-Versionen und dergleichen voneinander zu trennen. WSUS und der WSUS-Client sind so schlau, dass ein Windows XP-System keine Vista-Patches lädt und installiert (bzw. es versucht).

In einer kleinen und gleichzeitig einigermaßen simplen Umgebung könnte man beispielsweise drei Computergruppen einrichten:

  • Standardclients, in die alle Client-Systeme einsortiert werden.
  • Server, Class A: Das sind die wirklich kritischen und komplexen Systeme. Diese sollten natürlich auch aktuell gehalten werden, aber gegebenenfalls möchten Sie die Updates für diese Systeme zuvor in einer Testumgebung ausprobieren.
  • Server, Class B: Diese Server sind zwar ebenfalls wichtig, allerdings können zumindest kritische Patches für diese automatisch genehmigt werden.

Da ein WSUS-Client Mitglied in verschiedenen Gruppen sein kann, sind beliebig komplexe Gruppenkonzepte denkbar. Wenn mir die »WSUS-Beauftragten« von größeren Unternehmen ihre WSUS-Computergruppen-Strategie vorstellen, habe ich teilweise den Eindruck, dass es um die Realisierung der weichen Mondlandung und nicht »nur« um die Verteilung von Patches geht. Mit mehr oder weniger viel Mühe kann man das wirklich zur Perfektion treiben – Respekt!

Kommen wir zu den praktischen Dingen des Lebens (Abbildung 14.85):

  • Das Anlegen von neuen WSUS-Computergruppen geschieht im Kontextmenü des Knotens Alle Computer. Benötigt wird hier nur ein gut klingender Name für die neue Gruppe.
  • Um einen Computer einer oder mehreren Gruppen zuzuordnen, wählen Sie den Menüpunkt Mitgliedschaft ändern des Kontextmenüs.

Alternative

Die Gruppe oder Gruppen, in die ein Computer »einsortiert« werden soll, kann bzw. können alternativ auch in den Gruppenrichtlinien konfiguriert werden.

Abbildung

Abbildung 14.85 Ein neuer Computer wird standardmäßig in die Gruppe »Nicht zugewiesene Computer« einsortiert.

Computer überwachen

Wie ich weiter vorn erwähnt habe, basiert WSUS darauf, dass sich der Client regelmäßig beim Server »meldet«, um Updates zu beziehen. Falls der Client das längere Zeit nicht tut, kann es dafür zwei Gründe geben:

  • Der Computer ist länger nicht eingeschaltet worden, beispielsweise weil der Besitzer im Urlaub ist. Das kann natürlich für Server nicht zutreffen (schlecht wäre, wenn ein Server nicht mehr läuft, wenn der Admin im Urlaub ist, was aber oft genug vorkommt).
  • Der WSUS-Client hat ein irgendwie geartetes Problem und kann nicht (mehr) mit dem Server kommunizieren.

In der Liste der Computer können Sie unter anderem erkennen, wann ein WSUS-Client sich das letzte Mal beim Server gemeldet hat (Abbildung 14.86). Die Liste kann beispielsweise nach dem Datum sortiert sein, sodass Sie sich relativ einfach einen Überblick verschaffen können.

Abbildung

Abbildung 14.86 Hier bekommen Sie eine Übersicht über alle Computer. Wenn sich ein System lange nicht gemeldet oder Updates mit Fehlern hat, besteht Handlungsbedarf.

Synchronisierungen überwachen

Ein weiterer Aspekt, den Sie regelmäßig überprüfen sollten, ist die Durchführung bzw. der Erfolg der Synchronisierungen mit der Update-Quelle. Die Liste aus Abbildung 14.87 gibt einen Überblick über den Erfolg, den Zeitpunkt und die Anzahl der gefundenen Updates.

Im Kontextmenü jedes Eintrags findet sich der Menüpunkt Statusbericht. Dort erhalten Sie Details zum Vorgang, beispielsweise erfahren sie, welche neuen Updates gekommen sind und welche vorhandenen Updates dadurch ersetzt wurden.

Abbildung

Abbildung 14.87 Es kann nicht schaden, gelegentlich die Synchronisierungsvorgänge zu überwachen.


Rheinwerk Computing - Zum Seitenanfang

14.3.4 Updates genehmigen Zur nächsten ÜberschriftZur vorigen Überschrift

Auch wenn Sie bis hierhin alles perfekt konfiguriert haben, wird kein einziger Patch auf einen WSUS-Client gelangen. Der Grund ist, dass der WSUS-Server kein Update an einen WSUS-Client sendet, wenn es nicht genehmigt (d. h. freigegeben) ist. Genauer gesagt muss ein Update für jede einzelne Computergruppe genehmigt werden.

Da realistisch betrachtet kaum ein Administrator Zeit dafür haben wird, jedes einzelne Update zu kontrollieren und für die diversen angelegten Computergruppen zu genehmigen, können Sie sich von der Automatischen Genehmigung helfen lassen.

Automatische Genehmigung konfigurieren

In der Praxis arbeiten die meisten Administratoren mit automatischen Genehmigungen. Den Konfigurationsdialog rufen Sie in der Verwaltungskonsole über Optionen · Automatische Genehmigungen auf.

Standardmäßig vorhanden ist die Standardregel für automatische genehmigung, die besagt, dass Updates, die als Sicherheitsupdate oder Wichtiges Update klassifiziert sind, für Alle Computer genehmigt werden (Abbildung 14.88).

Abbildung

Abbildung 14.88 Sie können beliebig viele Regeln anlegen. Die »Standardregel für automatische Genehmigung« ist bereits vorhanden, allerdings deaktiviert.

Sie können diese Regel bei Bedarf modifizieren. Bevor aber irgendetwas passiert, muss sie zunächst aktiviert werden. Wenn Sie eine Regel erstellt und aktiviert haben, wirkt sie für neu eingehende Updates. Sie können die Regel sofort auf alle vorhandenen Updates anwenden, wenn Sie die Schaltfläche Regel ausführen anklicken (Abbildung 14.89).

Auf der Registerkarte Erweitert finden Sie einige zusätzliche Optionen:

  • Es kann konfiguriert werden, dass Updates, die den WSUS-Server betreffen, automatisch genehmigt werden.
  • Weiterhin gibt es zwei Einstellungen, die den Umgang mit Updateversionen betreffen.

Beim Umgang mit automatischen Genehmigungen gehen die meisten Unternehmen übrigens wie folgt vor:

  • Updates, die als Sicherheitsupdate oder Wichtiges Update klassifiziert sind, werden automatisch genehmigt – zumindest für Clients.
  • Service Packs werden im Allgemeinen nicht automatisch genehmigt, sondern nach diversen Tests manuell genehmigt.
  • Bei kritischen Servern empfiehlt es sich, gegebenenfalls zuvor in der Testumgebung die »Verträglichkeit« von Updates zu untersuchen. Also ist manuelles Genehmigen angesagt.

Abbildung

Abbildung 14.89 Eine Genehmigungsregel kann sofort ausgeführt werden.

Updates manuell genehmigen

Unterhalb des Knoten Updates befinden sich vier verschiedene Kategorien. In der Kopfzeile der angezeigten Liste sind Filter vorhanden. Es kann nach dem Genehmigungsstatus (z. B. Nicht genehmigt) und/oder dem Status (z. B. Fehlgeschlagen oder Erforderlich) gefiltert werden. In dem Statusbereich (am unteren Rand des Fensters) wird ein Kurzüberblick zu dem selektierten Update gezeigt.

Abbildung

Abbildung 14.90 Im Statusbericht können Sie beispielsweise abfragen, welche Computer das Update benötigen.

Wenn Sie mehr Details sehen möchten, beispielsweise die Server, für die das Update benötigt wird oder würde, wählen Sie den Menüpunkt Statusbericht aus dem Kontextmenü des Eintrags (Abbildung 14.91).

Abbildung

Abbildung 14.91 Die angezeigten Updates können gefiltert werden. Im Kontextmenü können Sie beispielsweise »Genehmigen« oder »Ablehnen« wählen.

Wenn Sie den Menüpunkt Genehmigen aufrufen, erscheint der Dialog aus Abbildung 14.92, in dem Sie die Genehmigung für die einzelnen Gruppen steuern können. Wenn die WSUS-Clients einer solchen Gruppe das nächste Mal die Liste der einzuspielenden Updates abfragen, erhalten Sie dieses Update.

Abbildung

Abbildung 14.92 Das Update kann für »Alle Computer« oder ausgewählte Gruppen genehmigt werden.


Rheinwerk Computing - Zum Seitenanfang

14.3.5 Gruppenrichtlinie konfigurieren Zur nächsten ÜberschriftZur vorigen Überschrift

Da die WSUS-Clients über Gruppenrichtlinien konfiguriert werden, ist es höchste Zeit, diesen Aspekt genauer zu betrachten.

Die Einstellungen finden Sie im Gruppenrichtlinienverwaltungs-Editor unter Computerkonfiguration · Richtlinien · Administrative Vorlagen · Windows-Komponenten · Windows Update. Dort gibt es immerhin 15 Einstellungen, mit denen Sie das Verhalten recht granular steuern können. Abbildung 14.93 zeigt die Einstellung Internen Pfad für den Microsoft Updatedienst angeben, also den Verweis auf Ihren WSUS-Server. Wenn Sie mehrere WSUS-Server an verschiedenen Standorten haben, ist das übrigens eine Einstellung, die sehr gut in einer Standortrichtlinie aufgehoben ist.

Abbildung

Abbildung 14.93 Für WSUS gibt es diverse Gruppenrichtlinien-Einstellungen. Hier wird der zu verwendende WSUS-Server angegeben.

Sehr wichtig ist übrigens auch die in Abbildung 14.94 gezeigte Einstellung, die das automatische Einspielen von Updates regelt.

Die Einstellungen sind im Gruppenrichtlinienverwaltungs-Editor recht ausführlich beschrieben, sodass eine weitere Erläuterung an dieser Stelle nicht notwendig ist. Sie werden vermutlich ein wenig experimentieren müssen, bis Sie Ihre individuellen »Optimaleinstellungen« gefunden haben.

Abbildung

Abbildung 14.94 »Automatische Updates konfigurieren« ist eine besonders wichtige Einstellung: Hier wird festgelegt, ob und wann Updates automatisch eingespielt werden sollen.


Rheinwerk Computing - Zum Seitenanfang

14.3.6 Kurzer Blick auf den WSUS-ClientZur nächsten ÜberschriftZur vorigen Überschrift

Die Betriebssysteme ab Windows 2000 SP3 verfügen standardmäßig über einen WSUS-Client. Abgesehen von dem kleinen Eintrag in der Menüleiste ist von ihm aber im Normalfall wenig zu sehen. Im Windows Server 2012-Server-Manager findet sich ein Überblick über den aktuellen Status, was auf Abbildung 14.95 gezeigt ist; es handelt sich hier übrigens um ein »ganz frisches« System, weshalb auch noch keine Updates installiert wurden.

In der Systemsteuerung kann das Applet Windows Update aufgerufen werden, das einen Überblick über die für diesen Computer bereitliegenden Updates gibt (Abbildung 14.97). Auch der Updateverlauf ist häufig nicht uninteressant.

»wuauclt«

Außerdem besteht die Möglichkeit, einige Befehle mittels des Kommandozeilenprogramms wuauclt abzusetzen. Mit wuauclt /detectnow können Sie beispielsweise einen Überprüfungsvorgang einleiten, und wuauclt/reportnow sendet den aktuellen Status an den WSUS-Server.

Abbildung

Abbildung 14.95 Im Server-Manager von Windows Server 2012 wird der Status von WSUS angezeigt.

Abbildung

Abbildung 14.96 In Windows 8 sieht es so aus, wenn automatische Updates konfiguriert sind

Abbildung

Abbildung 14.97 Im »Windows Update«-Applet der Systemsteuerung können Sie nachschauen, welche Updates für den Computer bereitliegen.

Ich habe zuvor immer behauptet, dass die Kommunikation zwischen WSUS-Client und -Server über das HTTP-Protokoll abläuft. Den »Beweis« sehen Sie in einem Netzwerkmonitor-Mitschnitt (Abbildung 14.98). In der Abbildung sehen Sie übrigens den Beginn des »Nach Updates suchen«-Vorgangs.

Abbildung

Abbildung 14.98 Im Netzwerkmonitor können Sie sich überzeugen, dass die Kommunikation zwischen WSUS-Server und -Client über HTTP abläuft.


Rheinwerk Computing - Zum Seitenanfang

14.3.7 Mit Berichten arbeiten Zur vorigen Überschrift

Wenn Sie das Report Viewer Distributable-Paket installiert haben (im Downloadcenter verfügbar), können Sie diverse Berichte aufrufen. Unterhalb des Knotens Berichte finden Sie diverse allgemeine Reports. Die Beschreibung lässt bereits vermuten, worum es dort jeweils geht (Abbildung 14.99).

Abbildung

Abbildung 14.99 Mithilfe der Berichte lassen sich diverse Aspekte ermitteln.

An verschiedenen Stellen der Verwaltungskonsole können »spezielle« Berichte aufgerufen werden, beispielsweise im Kontextmenü eines Updates oder eines Computers. Der Statusbericht des Computers ist in Abbildung 14.100 zu sehen. Neben einigen grundlegenden technischen Daten ist die Statuszusammenfassung von besonderem Interesse. In diesem Fall ist zwar alles grün, allerdings wurden 7 Updates nicht installiert.

Abbildung

Abbildung 14.100 Diesen Detailbericht können Sie in der Verwaltungskonsole aus dem Kontextmenü des WSUS-Clients aufrufen.

Abbildung

Abbildung 14.101 Nicht uninteressant ist auch der Updatestatusbericht. Sie können dort auch herausfinden, warum ein Update noch nicht installiert worden ist (»Nicht genehmigt«).

Wenn Sie mehr Details brauchen und wissen möchten, welche Updates nicht installiert werden können, wechseln Sie auf die zweite Seite des Berichts. Dort werden die Updates nebst Genehmigungs- und Installationsstatus gezeigt. In diesem Fall wurden die Updates also nicht installiert, weil sie schlicht und ergreifend nicht genehmigt sind – auch einleuchtend.



Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück




Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern


  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen


 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365


Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Rheinwerk-Shop: Linux-Server






 Linux-Server


Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5


Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo