Clients für WSUS konfigurieren, Computer zu Gruppen hinzufügen

    Gruppen für Computer in WSUSWenn man WSUS erfolg­reich auf einem Server einge­richtet hat, dann startet er die Synchro­nisierung mit Microsoft Update oder anderen WSUS. Damit die Updates aber an die Clients gelan­gen, muss man diese über ein GPO konfi­gurieren. Für ein ziel­genaues Patch-Management fasst man die Computer zu Gruppen zusammen.

    Nach dem Hinzufügen der Windows Server Update Services, ihrer Erst­konfiguration und der initialen Synchronisierung zeigt die WSUS-Konsole eine Übersicht zu den verfügbaren Updates, unterteilt nach ihrer Klassifikation. Im Dashboard Computer sowie auf der Seite Alle Computer finden sich jedoch keine Einträge.

    Nach der Installation von WSUS synchronisieren sie zwar schon Updates, liefern diese aber noch an keine Clients aus.

    Client-seitige Konfiguration nötig

    Rechner, die über WSUS mit Updates versorgt werden sollen, lassen sich jedoch nicht über die Konsole hinzufügen. Damit sie dort in der Übersicht auftauchen, müssen die Clients vielmehr selbst konfiguriert werden.

    Sind die PCs Mitglied in einer Domäne, dann verknüpft man sie über Gruppen­richtlinien mit einem bestimmten WSUS-Server. In Work­groups muss man die entsprechenden Registry-Einträge entweder direkt setzen oder über lokale Gruppen­richtlinien. Eine Alternative stellt noch das Freeware-Tool WSUS Client Manager for Workgroups dar.

    Die drei wichtigsten GPO-Einstellungen für die WSUS-Konfiguration

    Bei der Verwendung von GPOs ist es empfehlens­wert, ein eigenes für WSUS zu erstellen. Wenn man mehrere WSUS-Server einsetzt, dann ist man ohnehin gezwungen, für jeden ein separates GPO anzulegen, weil man darin den Clients nur den Namen jenes WSUS-Servers mitteilt, der für sie zuständig ist.

    Einstellung für Pfad zu WSUS aktivieren

    Die erforderlichen Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update. Für die Zuordnung von Clients zu einem bestimmten WSUS-Server aktiviert man Internen Pfad für den Microsoft Updatedienst angeben.

    Dort trägt man den WSUS-Server in der Form http(s)://FQDN:Port ein, also beispielsweise

    http://ws2016-wsus.contoso.de:8530

    Läuft die Kommunikation über eine unverschlüsselte Verbindung, dann verwendet WSUS standardmäßig den Port 8530. Ändern kann man ihn über den IIS Manager.

    Zuweisung eines WSUS-Servers über Gruppenrichtlinien

    Die Einstellung für die Pfade zum Update-Server enthält 3 Eingabefelder. Das erste erwartet die URL zum WSUS-Server, von dem die Clients ihre Updates empfangen sollen.

    Das zweite dient der Eingabe eines Statistik-Servers. Die Idee dahinter war offenbar, die Daten zur Auswertung der Update-Aktivitäten auf einer Maschine zu konsolidieren. Das scheint in der Praxis aber nicht zu funktionieren, so dass man hier die gleiche URL eingibt wie im ersten Feld. Für ein zentrales Reporting und Monitoring ist stattdessen das mittlerweile uralte Rollup Sample Tool vorgesehen.

    Im dritten Feld schließlich kann man einen alternativen WSUS-Server für den Download der Updates definieren. Lässt man das Feld Alternativen Downloadserver festlegen leer, dann können Clients parallel zum internen WSUS-Server ihre Updates auch von Microsoft Update beziehen (wobei WSUS eine höhere Priorität genießt).

    Will man den Kontakt zu Microsoft Update unterbinden, dann aktiviert man die Richtlinie Keine Verbindungen mit Windows Update-Internetadressen herstellen (die aber Probleme bei der Aktivierung von Windows 10 verursachen kann).

    Schließlich gibt es noch die Option Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist. Sie greift also nur dann, wenn man einen alternativen Server definiert hat und in den beschreibenden Informationen eines Updates keine URL für das Herunterladen angegeben ist.

    Automatische Updates konfigurieren

    Sobald nun ein GPO mit der Einstellung Internen Pfad für den Microsoft Updatedienst angeben auf bestimmte Clients angewandt wird, tauchen diese in der Konsole des betreffenden WSUS-Servers auf.

    Automatische Updates über GPO konfigurieren

    Diese Richtlinie alleine ist aber wirkungslos, und die Endgeräte beziehen so lange keine Updates vom WSUS-Server, bis nicht zusätzlich die Einstellung Automatische Updates konfigurieren aktiviert ist. Dort wählt man einen der vier angebotenen Installations­modi und legt bei Bedarf einen Zeitplan fest.

    Clients in Gruppen einteilen

    Das Konzept von WSUS sieht vor, die zugeordneten Clients in Gruppen zusammen­zufassen. Auf diese Weise kann man Verteiler­ringe organisieren. Dabei würde zum Beispiel eine kleine Zahl von Rechnern die neuen Updates zuerst bekommen. Treten dort keine Probleme auf, dann kann man diese Updates im großen Stil ausrollen.

    WSUS organisiert Rechner in Gruppen, diese können auch verschachtelt werden.

    Außerdem erlaubt diese Gliederung eine flexible Genehmigung von Updates durch die Verschachtelung von Gruppen. Hat man beispiels­weise eine Struktur, bestehend aus den Gruppen IT, IT\Dev und IT\Helpdesk, dann erhalten alle drei sämtliche Updates, die man für IT genehmigt hat. Gleichzeit kann man andere Updates aber nur der unter­geordneten Gruppe Dev zuweisen.

    Einteilung über die Konsole oder GPOs

    Wenn man Computer über GPOs an einen WSUS-Server zuteilt, dann tauchen diese zuerst unter Alle Computer sowie unter Nicht zugewiesen Computer auf. Nun hat man per Voreinstellung die Möglichkeit, neue Gruppen anzulegen und gleich auf der Konsole die Rechner in die passenden Gruppen einzuordnen. Dies erfolgt über den Befehl Mitgliedschaft ändern im Kontextmenü der PCs.

    Ändern der Gruppenmitgliedschaften von PCs in der WSUS-Konsole

    Alternativ lassen sich Rechner auch über GPOs automatisch in Gruppen aufnehmen. Dies erfordert, dass man erst zum GPO-Modus wechselt. Dazu öffnet man in der WSUS-Konsole Optionen und ruft über Computer den zuständigen Dialog auf. Dort wählt man Gruppenrichtlinie oder Registrier­einstellungen auf Computern verwenden.

    Umschalten zwischen dem GPO- und Konsolenmodus für die Zuteilung von PCs zu Gruppen.

    Nun befüllt man die WSUS-Gruppen über die GPO-Einstellung Clientseitige Zielzuordnung aktivieren.

    Rechner über GPO in WSUS-Gruppen einteilen

    Will man die betreffenden Rechner in mehr als einer Gruppe haben, dann trennt man deren Namen durch Semikolon.

    Keine Kommentare