Software Update Point in SCCM installieren, WSUS integrieren


    Tags: , ,

    Standortsystemrollen in SCCMDer System Center Configuration Manager (SCCM) nutzt Software Update Points (SUP) für die Ver­teilung von Patches auf die Clients. Dazu benötigt er die Windows Server Update Services (WSUS), welche den Update-Katalog bereit­stellen. Folgende An­leitung zeigt die Installation eines SUP und seine Inte­gration mit WSUS.

    Vor der Installation eines Software­update­punkts, wie die Rolle in der lokalisierten Version von SCCM heißt, sollte man die WSUS bereit­stellen (siehe dazu die Anleitung WSUS auf Windows Server 2016 installieren).

    WSUS nicht direkt konfigurieren

    Wichtig ist es anschließend, dass man die WSUS nicht über ihre eigene Konsole konfiguriert. Nach ihrer Installation sollte man sich nur kurz vergewissern, dass die WSUS-Konsole aufrufbar ist und diese dann aber gleich wieder schließen. Wenn man nämlich den WSUS-Server direkt konfiguriert, kann es nachher durch die Integration in SCCM zu Inkon­sistenzen kommen.

    Die Grundlage für die nun anstehende Konfiguration bilden somit ein frisch installierter SCCM und der noch nicht konfigurierte WSUS-Server. Meine Testum­gebung besteht aus einem Windows Server 2016 und SCCM 2016. Letzterer bringt seinen eigenen SQL Server mit. Dieser läuft in meinem Lab auf dem gleichen Rechner wie SCCM 2016. Diese Konstellation wird von Microsoft unterstützt.

    In der Praxis werden viele Firmen den SQL Server im Cluster betreiben und den SCCM auf einem separaten Server installieren. 

    Benötigte Rollen für das Patch-Management

    Auf dem SCCM werden folgende Rollen für die Konfiguration gebraucht:

    • Management Point: Dieser ist für die Kommunikation zwischen den Clients und dem SCCM erforderlich. Er ist in unserem Fall per Default bereits installiert.
    • Distribution Point: Stellt Dateien (zum Beispiel Updates) für den Client zusammen.
    • Software Update Point: Er ist für die Integration von WSUS erforderlich.

    Hinweis: Ab SCCM 2012 SP1 ist es möglich, an einem Standort mehrere Software Update Points zu installieren. Der zuerst aufgesetzte SUP ist dabei der primäre Update Point, alle anderen synchronisieren ihre Updates dann vom primären Update Point (ein ähnliches Verfahren gibt es auch bei WSUS).

    SUP-Installation per Wizard

    Nachdem die WSUS-Rolle installiert wurde, geht es in der SCCM-Konsole weiter unter Verwaltung => Standortkonfiguration => Server und Standortsystemrollen. Hier erkennt man, dass der Management Point und der Distribution Point bereits installiert sind. Da meine Konsole Deutsch spricht, heißen diese hier Verteilungspunkt und Verwaltungspunkt.

    Überblick über die installierten Standortsystemrollen in SCCM

    Der Software Update Point wird nun wie folgt installiert: Klick mit der rechten Maustaste auf Server und Standorte, dann den Befehl Standort­systemrollen hinzufügen ausführen.

    Neue Standortsystemrollen hinzufügen

    Im ersten Dialog des nun sich öffnenden Wizards belasse ich die vorge­gebenen Einstellungen.

    Auswahl des Servers im Wizard zum Hinzufügen von Standortsystemrollen.

    Im nächsten Fenster kann ein Proxy angegeben werden, falls man einen solchen verwendet.

    Proxy-Einstellungen für die Standortsystemrolle

    Im folgenden Schritt wähle ich nun aus der Liste der verfügbaren Rollen Software­updatepunkt aus

    Softwareupdatepunkt aus de liste der Rollen auswählen 

    Der nächste Dialog ist für die Anbindung von WSUS zuständig. Hier wählt man die Ports aus, unter denen der WSUS-Server erreichbar ist. Standard­mäßig lauten diese seit Server 2012 auf 8530 bzw. 8531 für SSL-Verbindungen. Die Auswahl der Ports 80 und 443 ist noch für Systeme unter Server 2008 (R2) gedacht.

    Ports für die Kommunikation mit WSUS auswählen

    Außerdem entscheiden wir uns, nur interne Clients zuzulassen.

    Im nächsten Fenster legen wir fest, ob die Updates für WSUS direkt von Microsoft kommen oder ob dafür ein Upstream-Server dienen soll. Gerade in größeren Umgebungen macht es durchaus Sinn, mehrere hierarchisch angeordnete WSUS-Server zu nutzen.

    Quelle für den Bezug von Updates bestimmen

    Im darauf­folgenden Schritt wird der Zeitplan für die Synchroni­sierung fest­gelegt. Diese kann in regel­mäßigen Abständen erfolgen oder an einem bestimmten Tag, etwa dem Microsoft-Patchday.

    Zeitplan für die Synchronisierung von Updates festlegen

    Im nächsten Dialog entscheidet man, wie man mit abgelösten Updates (in der WSUS-Konsole heißen sie "ersetzte Updates") umgehen möchte. Je eher sie ablaufen, desto früher können sie vom Bereinigungs-Assistenten aus WSUS entfernt werden.

    Ablaufdatum für ersetzte Updates bestimmen

    Unter Klassifizierungen legt man anschließend fest, welche Arten von Updates herunter­geladen werden sollen.

    Auswahl der zu beziehenden Updates auf Basis ihrer Klassifizierung

    Wie die nachfolgende Auswahl von Produkten und Sprachen entspricht dieser Vorgang genau jenem, wie man ihn von der Konfiguration eines eigen­ständigen WSUS-Servers kennt.

    Festlegen, für welche Produkte man Updates beziehen möchte

    Hinweis: Wie bei den reinen WSUS bleibt der Katalog solange unvollständig, bis die Erstsynchronisation erfolgt ist. Es fehlen etwa Windows 10 oder Server 2016. Diese Auswahl muss später nachgeholt werden.

    Zusammenfassung der getätigten Eintellungen für die SUP-Installation

    Zum Schluss erscheint die Zusammen­fassung der gewählten Einstellungen und der Vorgang kann abgeschlossen werden. Dies kann ein paar Minuten dauern.

    Initiale Synchronisierung veranlassen

    Die Erstsyn­chronisation für den Produktkatalog kann man nun anstoßen, indem man das Kontextmenü von Software => Software Updates => Alle Softwareupdates öffnet und dort den Befehl Softwareupdates synchronisieren ausführt.

    Starten der Erstsynchronisierung von Updates

    Bevor diese beginnt, muss man die nun angezeigte Rückfrage wird mit Ja bestätigen.

    Die erste Synchro­nisation kann nun erfahrungs­gemäß ein bisschen dauern. Nach einiger Zeit sind nun die Updates, welche der WSUS geladen hat, zu sehen.

    Nach der erfolgreichen Erstsynchronisierung füllt sich die Liste der Updates im SCCM.

    Es empfiehlt sich jetzt, nochmal den Produktkatalog anzusehen, welcher uns zuvor ja einige Dinge noch nicht zeigen wollte. Die Spalte Katalogversion sollte auf 1 oder mehr stehen und wird mit jeder erfolgreichen Synchronisierung weiter hochgezählt.

    Update-Katalog für den Software Update Point öffnen

    Der eigentliche Produkt­katalog versteckt sich allerdings recht gut unter Verwaltung => Standort­konfiguration => Standorte. Dort klickt man mit der rechten Maustaste auf den gewünschten Standort und führt den Befehl Standort­komponenten konfigurieren => Software­update­punkt aus.

    Dort sollte nun wesentlich mehr stehen als vorher bei der Erstkonfiguration. Die neuen Updates werden dann bei der nächsten Synchronisation mitgezogen.

    Keine Kommentare