Alternative zu WSUS: Updates verteilen mit Aagon ACMP CAWUM

    Complete Aagon Windows Update ManagementDie Aagon GmbH erweiterte ihre Client-Management-Lösung um eine Ver­waltung für Micro­soft-Updates, mit der sie die Windows Server Update Services komp­lett er­setzt. Interes­sant ist das Tool nicht nur für be­stehende ACMP-Anwender, sondern für alle, die eine Alter­native zu den unzu­länglichen WSUS suchen.*

    Die WSUS sind das Werkzeug schlechthin, um Updates für Microsoft-Produkte im Unter­nehmens­netz­werk zu verteilen. Trotz ihrer Bedeutung für die Sicherheit von Firmen-PCs wurden die WSUS seit mehreren Generationen von Windows Server nicht mehr weiter­entwickelt.

    Bedarf für Verbesserungen wäre aber definitiv gegeben, wie die meisten Admins regelmäßig feststellen dürften. Die Defizite reichen von einer unflexiblen und umständlichen Verwaltung der Verteiler­ringe über limitierte Reporting-Fähigkeiten bis hin zu den immer wieder nötigen manuellen Wartungs­arbeiten, etwa um das wuchernde Daten­volumen zu beschneiden.

    Eine Alternative zu den WSUS stellte die Aagon GmbH kürzlich mit CAWUM (Complete Aagon Windows Update Management) vor. Dabei handelt es sich um ein Modul für ACMP, das aber unabhängig von der ganzen Suite erworben werden kann. Nur das Inventory-Modul wird zusätzlich benötigt. Der gestaffelte Preis für beide Komponenten zusammen liegt unter 10 Euro pro Rechner.

    Installation und Agent-Deployment

    Die Installation umfasst jedoch immer das ganze Paket, wobei nicht lizenzierte Module später aus der Konsole ausgeblendet werden können. Das Setup beschränkt sich auf das Durchlaufen eines grafischen Wizards. Dieser sieht auch das Anlegen einer neuen Datenbank oder die Installation von SQL Server Express vor, der zum Lieferumfang des Pakets gehört.

    SQL Server Express gehört zum Lieferumfang von ACMP und kann beim Setup gleich installiert werden.

    Die Möglichkeit, Microsofts kostenlose Datenbank einzusetzen, ist bereits ein Unterschied zu WSUS. Aufgrund der ständig wachsenden SUSDB erreicht WSUS meist schnell das 10GB-Limit der Express Edition.

    Als Alternative bleiben die Windows Internal Database, welche sich remote nicht verwalten lässt, oder die kosten­pflichtige Vollversion von SQL Server. Aagon hingegen kann für das reine Update-Management mindestens 750 PCs mit SQL Server Express verwalten.

    Der ACMP-Agent kann von der Konsole aus auf die Zielrechner installiert werden.

    Nach erfolgter Installation besteht die erste Aufgabe darin, den Agent auf die Endgeräte auszubringen. Dieser inventarisiert die Rechner nicht nur, sondern wird auch für das Management der Updates benötigt. Das Agent-Deployment lässt sich zentral von der ACMP-Konsole aus erledigen, wobei diese verschiedene Methoden unterstützt, um die Geräte im Netz zu finden.

    Basiskonfiguration

    Im nächsten Schritt kann man sich daran machen, das Update Management zu konfigurieren. Unter Optionen finden sich dafür drei grundlegende Einstellungen. Dazu gehört wie bei WSUS, dass man Updates generell oder nur nach Bedarf herunterlädt, in der Regel wird man sich für Letzteres entscheiden.

    Konfiguration der Optionen, darunter jener für die automatische Bereinigung

    Darüber hinaus legt man hier fest, nach wie vielen Tagen nicht genutzte Updates automatisch abgelehnt und anschließend gelöscht werden. Fordert ein Client diese später trotzdem an, dann lädt ACMP diese wieder nach. Ein manuelles Bereinigen wie bei WSUS kann dadurch entfallen.

    Zum Schluss bestimmt man die Quelle, von der CAWUM die Updates beziehen soll. Voreingestellt ist Microsoft Update, aber für die Migration kann man hier einen bestehenden WSUS-Server angeben. Dies bedeutet aber nicht, dass Aagon ein Konzept kaskadierender Server verfolgt wie WSUS.

    Kein Update-Server für Außenstellen nötig

    Vielmehr reicht ein ACMP-Server, um alle Clients mit den Metadaten über die anstehenden Updates zu versorgen. In Niederlassungen können Admins die eigentlichen Update-Dateien dann auf einem File Repository ablegen und die lokalen PCs ziehen die Patches anschließend von dort.

    Rechner in Niederlassungen können ihre Updates von File Repositories vor Ort beziehen.

    Für diesen Zweck reicht eine einfache Dateifreigabe, etwa auf einem preisgünstigen NAS. In dieser Hinsicht lassen sich also gegenüber den WSUS Kosten einsparen, die in größeren Umgebungen eine ganze Hierarchie aus Upstream- und Downstream-Servern benötigen.

    Update-Katalog beziehen, Produkte auswählen

    Für die Ersteinrichtung von CAWUM steht ein Wizard zur Verfügung, der automatisch startet, sobald man in der Navigation zum ersten Mal auf den Eintrag Windows Update Management wechselt.

    Im ersten Schritt lädt er den Update-Katalog von der konfigurierten Quelle herunter. Man kann die Auswahl aus den Produkten und Klassifizierungen schon hier treffen oder später in den Einstellungen nachholen.

    Der Wizard für die CAWUM-Konfiguration lädt den Update-Katalog von Microsoft herunter.

    Es folgt die Festlegung der Sprachen für die Updates und schließlich wählt man aus der Liste der ACMP-Clients aus, welche davon CAWUM verwalten soll. Von den PCs meldet der Agent künftig an den ACMP-Server, welche Updates dort benötigt werden.

    Konfiguration der Verteilerringe

    Für die Verteilung der Updates sieht ACMP drei Verteilerringe vor, davon zwei Testringe und einen Freigabering. Diese sind aber nicht starr vorgegeben, vielmehr können Anwender diese flexibel handhaben.

    ACMP sieht 3 Verteilerringe vor, die sich flexibel konfigurieren oder überspringen lassen.

    Eine weitgehend automatisierte Variante bestünde darin, dass Updates nach und nach in den nächsten Ring nachrücken. Die Intervalle für das Weiterreichen von Updates in den nächsten Ring lassen sich einstellen. Alternativ kann man diesen Vorgang auf manuell setzen oder bestimmte Ringe ganz überspringen.

    Erwartungsgemäß besteht die nächste Aufgabe darin, die Rechner diesen Verteilerringen zuzuordnen. Weniger kritische Systeme würde man in die Testringe aufnehmen, um zu sehen, ob Updates Probleme bereiten. In den Freigabering schließlich kommen alle wichtigen produktiven PCs.

    Rechner werden in Containern zusammengefasst und diese weist man an Verteilerringe zu.

    Rechner gruppieren

    In WSUS fasst man die Rechner, welche man einem Update-Server zugeordnet hat, entweder manuell auf der Konsole in Gruppen zusammen oder weist sie per GPO einer bestimmten Sammlung zu.

    Container lassen sich über fast beliebige Filter mit Computern befüllen.

    CAWUM zeigt sich auch hier wesentlich flexibler, weil man die PCs mit Hilfe von Abfragen dynamisch in Container einsortieren kann. Als Kriterien kommen alle erdenklichen Merkmale eines Rechners in Frage, die der Agent erfassen kann.

    Profile für Updates

    Theoretisch wären mit den Containern und den Verteilerringen schon die Voraussetzungen gegeben, um Updates auf die Rechner zu verteilen. Allerdings würden dann immer sämtliche Updates für ein Produkt installiert, und zwar aus allen abonnierten Klassifizierungen.

    Daher schaltet ACMP noch so genannte Collections dazwischen. Dabei handelt es sich um Profile für Updates, bei denen man nur bestimmte Produkte und Klassifizierungen auswählt. Über eine Collection legt man zudem das Verhalten des Rechners fest, wenn ein Neustart fällig ist.

    Über Collections legt man auch die Neustartoptionen für die Rechner fest.

    Mit Hilfe von Collections könnte man zum Beispiel Sicherheits-Updates von Feature-Upgrades für Windows 10 trennen oder Updates für Workstations zu einem anderen Zeitpunkt verteilen als jene für Server.

    Collections sind quasi Update-Profile, für die man Produkte und Klassifizierungen auswählt.

    Zusammenspiel aus Containern, Verteilerringen und Collections

    Um also die Rechner im Netz mit Updates zu versorgen, gruppiert man sie in einem Container (manuell oder dynamisch über Abfragen) und weist diesen einem Verteilerring zu. Um zu bestimmen, welche Art von Updates die PCs in einem Container erhalten sollen, verknüpft man diesen zudem mit einer Collection.

    Verknüpfung von Containern mit Verteilerringen und Update-Collections

    Dabei hat der Admin fast überall die Möglichkeit, die über Filter generierten Listen von Updates oder Rechnern manuell zu übersteuern. Zusätzliche Flexibilität ergibt sich dadurch, dass man einen Container mit mehreren Collections und eine Collection mit mehreren Containern verbinden kann.

    Kontrolle des Update-Prozesses

    Da es sich beim Patch-Management um eine sicherheits­relevante Aufgabe handelt, ist es wichtig, dass der Admin schnell erkennt, falls bestimmte Updates auf einzelnen Rechnern nicht installiert wurden.

    Das Dashboard von CAWUM gibt Aufschluss über alle Vorgänge beim Patch-Management.

    Für diesen Zweck bietet CAWUM ein Dashboard, das alle wichtigen Kennzahlen auf einen Blick zugänglich macht. Hinzu kommen vorkonfigurierte Berichte, die auch zeitgesteuert generiert werden können. Dem stehen bei WSUS nur vorsintflutliche Reporting-Tools gegenüber.

    Fazit

    Aagon kombiniert ein verständliches Konzept für das Windows Update Management mit einer modernen grafischen Konsole, die dem Admin alle benötigten Informationen zu Updates und dem Status der Rechner gibt.

    Im Unterschied zu WSUS lassen sich Patches mit Hilfe von Verteilerringen und dynamischen Containern für Rechner sehr flexibel verteilen. Viele Wartungsarbeiten, die der Admin bei WSUS selbst erledigen muss, entfallen bei CAWUM. Dazu zählen etwa das regelmäßige Indizieren der Datenbank oder das Ablehnen und Löschen nicht benötigter Updates.

    Anwender, die eine Alternative zu Microsofts Bordmittel für das Update-Management suchen, sollten einen Blick auf CAWUM werfen. Eine kostenlose Testversion kann über die Website des Herstellers angefordert werden.

    *Dies ist ein bezahlter Beitrag der Aagon GmbH.