Unternehmen die Windows-Clients, Server und Serverdienste aktuell halten wollen, arbeiten seit Jahren mit Windows Server Update Services . Diese Funktion ist auch in Windows Server 2012/2012 R2 weiterhin ein wesentlicher Bestandteil, um Windows-Netzwerke aktuell zu halten.
Im diesem Beitrag zeigen wir Ihnen einige Neuerungen in Windows 8.1 , sowie bewährte Technologien, wie Sie auch aktuelle Betriebssysteme mit WSUS aktuell halten können. Darüber hinaus werden einige Neuerungen im Bereich der Gruppenrichtlinien erläutert, mit denen Sie die Aktualisierung von Windows 8.1 besser steuern können.
WSUS in Windows Server 2012 R2 installieren
WSUS installieren Sie in Windows Server 2012 R2 , wie in Windows Server 2012 über den Server-Manager als Rollendienst. Hier gibt es keine großartigen Neuerungen oder zu erwartende Probleme. Wie in Windows Server 2012, können Sie WSUS auch in Windows Server 2012 R2 über die PowerShell verwalten.
Im Server-Manager klicken Sie auf Verwalten/Rollen und Features hinzufügen . Als Serverrolle wählen Sie Windows Server Updates Services aus. Während der Installation nehmen Sie noch keine Einstellungen vor, sondern erst nachträglich. Im Laufe der Installation wählen Sie auch aus, ob auf dem Server eine interne Windows-Datenbank für WSUS installiert werden sollen (WID) oder nur der Dienst zum Verteilen von Patches. Bei der Auswahl von Datenbank lässt sich eine SQL Server-Datenbank hinterlegen, in der WSUS seine Daten speichern soll.
In manchen Umgebungen erscheinen Fehlermeldungen, wenn WSUS auf virtuellen Servern betrieben wird. Das liegt daran, dass die Patches dann auf einer virtuellen Festplatte abgespeichert werden sollen. In diesem Fall sollten Sie eine lokale Festplatte des Hyper-V-Hosts für die Patches zuteilen.
Nach Abschluss der Installation warnt der Server-Manager, dass noch eine nachträgliche Konfiguration der Dienste erfolgen muss. Diese sollten Sie nach der Installation von WSUS starten. Bei diesem Vorgang richtet der Assistent vor allem die Datenbank von WSUS ein. Danach erst starten Sie den eigentlichen Assistenten zur Einrichtung der Patches und Clients.
Wie für andere Serverdienste legt der Server-Manager in Windows Server 2012 R2 auch für WSUS eine eigene Gruppe an. Über das Kontextmenü des Servers im Server-Manager starten Sie den Einrichtungs-Assistenten von WSUS. Die Einrichtung unterscheidet sich nicht grundlegend von der Einrichtung eines Servers mit Windows Server 2008 R2.
Im Rahmen des Assistenten legen Sie fest, ob der Server-Updates direkt bei Microsoft herunterladen soll, oder von einem anderen WSUS-Server. Außerdem lassen sich die Sprachen und Produkte festlegen, die über WSUS aktualisiert werden sollen. Auch den Zeitplan der Aktualisierung legen Sie bei der Einrichtung fest.
Damit die Clients Updates installieren, müssen diese so konfiguriert sein, dass sie keine Patches aus dem Internet herunterladen, sondern den internen WSUS verwenden. Das ist auch bei Windows Server 2012 R2 noch der Fall. Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie in der Gruppenrichtlinienverwaltung unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update . Hier finden Sie alle relevanten Einstellungen für Windows-Updates.
Über den Eintrag Synchronisierungen in der Verwaltungskonsole sehen Sie, ob der erste Synchronisierungsvorgang erfolgreich war. Sie erfahren dann auch im oberen Bereich der Konsole, ob neue Updates zur Verfügung stehen, die Sie genehmigen müssen.
Wer WSUS in der PowerShell verwalten will, kann sich mit dem Befehl
get-command -module updateservices
alle CMDlets anzeigen lassen, mit denen sich die Windows Server Update Services verwalten lassen.
Die Steuerung von WSUS nehmen Sie mit folgenden CMDlets vor:
• Add-WsusComputer – Fügt einen angebundenen PC einer bestimmte WSUS-Gruppe hinzu
• Approve-WsusUpdate – Gibt Updates frei
• Deny-WsusUpdate – Verweigert Updates
• Get-WsusClassification – Zeigt alle verfügbaren Klassifikationen an, die aktuell verfügbar sind
• Get-WsusComputer – Zeigt WSUS-Clients/ und -Computer an
• Get-WsusProduct – Zeigt eine Liste aller Produkte auf dem WSUS an, für die der Server Patches bereithält.
• Get-WsusServer – Zeigt alle WSUS-Server im Netzwerk an
• Get-WsusUpdate – Zeigt Informationen zu Updates an
• Invoke-WsusServerCleanup – Startet den Aufräumevorgang
• Set-WsusClassification – Fügt Klassifikationen zu WSUS hinzu
• Set-WsusProduct – Fügt Produkte zu WSUS hinzu
• Set-WsusServerSynchronization – Steuert die WSUS-Synchronisierung
Client-Computer über Gruppenrichtlinien anbinden
Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update vor. Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Auf diesem Weg aktualisieren Sie auch den Server.
Die erste Option ist Internen Pfad für den Microsoft Updatedienst angeben. Diese Option aktivieren Sie. Da WSUS eine Webapplikation ist, müssen Sie den Servernamen mit einer HTTP-Adresse angegeben: http://
Die zweite wichtige Option ist das Updateverhalten, das Sie über Automatische Updates konfigurieren festlegen. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:
• Vor Herunterladen und Installation benachrichtigen – Mit dieser Option benachrichtigt Windows Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.
• Autom. Herunterladen, aber vor Installation benachrichtigen – Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server.
• Autom. Herunterladen und laut Zeitplan installieren – Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung
• Lokalen Administrator ermöglichen, Einstellung auszuwählen – Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung die Konfiguration selbst auswählen können.
Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls
wuauclt /detectnow
eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch immer nicht angebunden, geben Sie in der Befehlszeile
gpupdate /force
und dann
Wuauclt.exe /reportnow /detectnow
ein. Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows unter Umständen die Gruppenrichtlinie noch nicht angewendet. In diesem Fall können Sie mit dem Befehl
gpupdate /force
das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen.
WSUS lädt die konfigurierten Updates aus dem Internet, installiert diese aber nicht automatisch. Erst wenn ein Administrator einen Patch genehmigt, installiert Windows diesen Patch auf Computern.
Um Updates zu genehmigen, gehen Sie folgendermaßen vor:
1. Klicken Sie in der WSUS-Verwaltungskonsole auf Updates/Alle Updates . Anschließend sehen Sie eine Zusammenfassung der Updates, die auf dem Server verfügbar sind.
2. Wählen Sie in der Liste die Updates aus, die Sie zum Installieren genehmigen möchten.
3. Klicken Sie mit der rechten Maustaste auf den oder die Patches, und wählen Sie im Kontextmenü den Befehl Genehmigen aus. Sie können auch mehrere Updates oder mit der Tastenkombination Strg + A alle Updates auswählen und über das Kontextmenü genehmigen.
Ab 24 Stunden nach der Freigabe von Patches können Sie in den Berichten zum WSUS überprüfen, ob die Updates auf den Computern bereitgestellt wurden. Um Updateberichte anzuzeigen, gehen Sie folgendermaßen vor:
1. Klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf Berichte .
2. Klicken Sie auf die Option Updatestatus-Zusammenfassung .
3. Die Liste kann durch entsprechende Kriterien gefiltert werden.
4. Klicken Sie anschließend in der Symbolleiste des Fensters auf Bericht erstellen .
5. Berichte können Sie auch als Excel-Tabelle oder PDF-Datei speichern oder drucken. Klicken Sie dazu in der Symbolleiste auf das Speichern-Symbol.
Viele Anwender stören sich daran, dass Windows nach der automatischen Installation von Updates sofort neu starten will. Wollen Sie diese Funktion nicht, können Sie diese deaktivieren. Setzen Sie Windows 8.1 Pro oder Enterprise ein, können Sie dazu die Richtlinienverwaltung verwenden. Wir zeigen Ihnen im Anschluss die Deaktivierung über die Registry. Diese funktioniert auch in der Basis-Edition von Windows 8.1. Die Deaktivierung über Richtlinien nehmen Sie folgendermaßen vor:
1. Rufen Sie über die Startseite den Editor für lokale Gruppenrichtlinien auf ( gpedit.msc ) oder verwenden Sie die Richtlinien, die Sie auch für die Anbindung an WSUS verwenden.
2. Navigieren Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update .
3. Im rechten Bereich stehen Ihnen verschiedene Einstellungen für Windows Update zur Verfügung, die in der normalen Verwaltungsoberfläche der Systemsteuerung nicht verfügbar sind. Hier sind auch die wichtigen Einstellungen für WSUS zu finden, auf die wir später ebenfalls noch eingehen.
4. Deaktivieren Sie die Option Erneut zu einem Neustart für geplante Installation auffordern . Zusätzlich sollten Sie noch die Option Keinen automatischen Neustart für geplante Installationen ausführen aktivieren.
Anwender mit der Basis-Edition von Windows 8.1 können die Einstellung in der Registry vornehmen:
1. Rufen Sie über die Startseite den Registrierungs-Editor auf (regedit).
2. Navigieren Sie zu HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdateAU .
3. Legen Sie einen neuen DWORD-Wert mit der Bezeichnung NoAutoRebootWithLoggedOnUsers an und geben Sie diesem den Wert 1 . Dieser Wert verhindert den automatischen Neustart.
4. Erstellen Sie den DWORD-Wert RebootRelaunchTimeoutEnabled und geben Sie diesem den Wert 0 , um auch die Meldung zu unterbinden.
Frequenz der automatischen Updatesuche anpassen
Windows 8.1 sucht nach einem internen Algorithmus in regelmäßigen Abständen nach neuen Updates, aus dem Internet oder auf einem WSUS-Server. In den Gruppenrichtlinien können Sie diese Frequenz an Ihre eigenen Bedürfnisse anpassen. Dazu rufen Sie mit gpedit.msc die Verwaltung der Richtlinien auf oder verwenden die Gruppenrichtlinien, wie bei der Anbindung an WSUS.
Navigieren Sie zu Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Windows Update . Auf der rechten Seite finden Sie die bereits erwähnten Einstellungen für Windows Update. Die Frequenz ändern Sie mit der Einstellung Suchhäufigkeit für automatische Updates . In der Richtlinie finden Sie auch die Erklärung wie die Suche normalerweise funktioniert.
Sie können die Einstellung auch über die Registry steuern. Zunächst aktivieren Sie die benutzerdefinierte Einstellung im Schlüssel HKLMSoftwarePoliciesMicrosoftWindowsWindowsUpdateAU . Der DWORD-Wert DetectionFrequencyEnabled aktiviert die benutzerdefinierte Steuerung mit dem Wert 1 . Das Intervall selbst legen Sie mit DetectionFrequency fest. Tragen Sie hier die Anzahl der Stunden ein.
Unter manchen Umständen kann es passieren, dass Systemdateien nicht mehr funktionieren und sich Windows nicht mehr über Windows Update aktualisieren kann. In einem solchen Fall gelingt auch die Anbindung an WSUS nicht mehr.
Dazu hat Microsoft in Windows 8.1 das System Update Readiness Tool fest eingebaut. Sie können bei Problemen oder zu Testzwecken einen manuellen Scanvorgang starten.
Achten Sie aber darauf, dass ein solcher Scan durchaus bis zu einer halben Stunde dauern kann. Um einen Scanvorgang zu starten, öffnen Sie eine Eingabeaufforderung mit Administratorrechten. Geben Sie dann den folgenden Befehl ein:
DISM /Online /Cleanup-Image /Scanhealth
Bei Problemen geben Sie nach dem Scanvorgang dann den folgenden Befehl ein:
DISM /Online /Cleanup-Image /Checkhealth
Dieser Befehl überprüft ob eine Fehlermeldung im System von einem früheren Scanvorgang vorliegt.
Um Fehler zu reparieren, geben Sie folgenden Befehl ein:
DISM /Online /Cleanup-Image /Restorehealth
Das Tool scannt die wichtigsten Systemdateien in Windows 8.1 und kann diese bei Problemen, zum Beispiel einer defekten Festplatte wiederherstellen. Auch die Registry wird auf Konsistenz und einige wichtige Werte überprüft. Danach sollten Sie noch mit sfc /scannow weitere Systemdateien überprüfen lassen. Sind Fehler auf dem System vorhanden, überprüfen Sie die Protokolldatei CBS.Log im Ordner C:WindowsLogsCBS.
Patches in der grafischen Oberfläche und der Eingabeaufforderung installieren
In Windows 8.1 rufen Sie die Einstellungen von Windows Updates mit wuapp über die Startseite auf. Über den Link Updateverlauf anzeigen im Update-Fenster oder auf der linken Seite des Fensters können Sie sich anzeigen lassen, welche Updates heruntergeladen und installiert worden sind. Hier gibt es zunächst keine Unterschiede zu Windows 7 oder anderen Windows-Versionen. An dieser Stelle erhalten Sie auch Informationen, wie die ID des Patches, die Sie dann in der Eingabeaufforderung verwenden können.
Sie können aber auch in der Eingabeaufforderung mit dem Tool wusa.exe Patches installieren und deinstallieren. Diese Vorgehensweise ist zum Beispiel für Installationsskripte oder Anmeldeskripte sinnvoll. Die Technik funktioniert auch ohne den Einsatz von WSUS, zum Beispiel mit dem Befehl:
Wusa.exe Windows6.1-KB976462-v2-x64.msu /quiet /norestart
oder
Wusa.exe d:934307Windows6.0-KB934307-x86.msu
Die Option /quiet installiert ohne Rückmeldung /norestart startet den PC auch dann nicht neu, wenn der Patch das benötigt. Mit der Option /uninstall können Sie installierte Updates auch wieder deinstallieren. Zusätzlich benötigen Sie dann noch die Option /kb . Hier geben Sie die Knowledge-Base-ID des Patches mit, zum Beispiel mit dem Befehl
Wusa.exe /uninstall /kb:976932
Die Option /extract entpackt den Inhalt des Updates in einen Zielordner, /warnrestart warnt bei der Verwendung von /quiet bei einem Neustart und /forcerestart erzwingt den Neustart des Rechners.
In der Ereignisanzeige finden Sie Fehler und Einträge, wenn Sie nach der Quelle WUSA filtern. In der Eingabeaufforderung können Sie sich auch die installierte Updates des Rechners anzeigen lassen. Dazu verwenden Sie den Befehl
wmic qfe
Die installierten Updates lassen sich auch durch den Aufruf von systeminfo anzeigen.
Der Microsoft-Cloud-Dienst Windows Intune hat die Aufgabe Arbeitsstationen in Netzwerken zu überwachen und zentral zu verwalten. Dabei arbeitet das Tool auch zusammen mit anderen Verwaltungswerkzeugen wie System Center 2012 und kann auch viele Bereiche des WSUS berücksichtigen.
Im Fokus stehen bei der Verwendung Rechner von Unternehmen die überall auf der Welt verteilt sind. Das Tool lässt sich für 30 Tage kostenlos testen . Ein wichtiger Punkt bei der Sicherheit von Arbeitsstationen ist die Installation von Sicherheitspatches. Sie steuern in der Verwaltungskonsole von Windows Intune zentral welche Updates auf den angebundenen Rechnern installiert werden sollen und erhalten so auch eine Übersicht.
Die Anbindung an Windows Intune erfolgt über eine Agent-Software. Diese können Sie aus dem Internet herunterladen oder per Skript verteilen. Der Agent verbindet die einzelnen Geräte mit dem Verwaltungsportal. Sobald sich ein Client mit der Agent-Software am Portal registriert hat, können Sie auch die installierten Updates anzeigen, Informationen zum Virenschutz sowie Warnungen. (mje)