WSUS-Reports: Updates, Computer und Synchronisierungen analysieren


    Tags: ,

    Update-Report in WSUSRichtet ein Unter­nehmen ein zen­trales Patch-Manage­ment für Microsoft-Produkte mit WSUS ein, dann muss der Admini­strator den Über­blick über den Status von PCs und den wich­tigsten Updates behalten. Reports helfen ihm dabei, die Systeme aktuell zu halten und Sicherheits­lücken zu ver­meiden.

    Eine wesentliche Aufgabe eines WSUS-Admins besteht darin, über neue Updates am Laufenden zu bleiben und kritische Patches so schnell wie möglich zu genehmigen. Die Freigabe von Updates lässt sich zwar automa­tisieren, aber in der Regel will man diese Möglich­keit nicht zu großzügig nutzen (siehe dazu auch: Updates in WSUS (automatisch) genehmigen).

    Gescheiterte Updates und Synchronsierungen entdecken

    Aber selbst wenn der Administrator seinen Pflichten regel­mäßig nachkommt, kann es aus ver­schiedenen Gründen passieren, dass Updates nicht überall installiert werden und einzelne Rechner somit nicht auf dem aktuellen Stand sind.

    Eine weitere Fehlerquelle, die zu unsicheren Systemen führt, ist die Synchro­nisierung von WSUS mit Microsoft Update oder mit einem Upstream-Server. Bleibt der unter­brochene Nachschub mit Updates unbemerkt, dann sind auch auto­matische Genehmigungen wirkungslos.

    Schnelle Übersicht in den Dashboards

    Es gibt verschiedene Wege, mit Hilfe der WSUS-Bordmittel an derartige Informationen zu gelangen. Das am häufigsten genutzte Tool ist das MMC-Snapin für die Update Services. Es enthält mehrere Dashboards, aus denen man auf einen Blick wichtige Hinweise erhält.

    Auch ohne installiertes Reporting-Modul bietet die WSUS-Konsole einen guten Überblick über den Status von Updates und PCs.

    Wechselt man in der linken Navigation etwa zu einem WSUS-Server oder zu den Abschnitten Updates bzw. Computer, dann erhält man eine zum jeweiligen Kontext passende Übersichtsseite. Sie enthält die wichtigsten Statistiken zu den verfügbaren Updates und den aktualisierten Computern, beim Server-Dashboard erhält man auch Daten zur Synchronisierung.

    Eigene Update-Ansichten anlegen

    Die Konsole für die WSUS bietet zudem die Möglichkeit, für Updates eigene Ansichten zu erstellen und diese über Filter einzu­grenzen. Durch Hinzufügen von weitere Spalten ergeben sich zusätzliche Optionen zur Sortierung der Daten.

    Auch PowerShell bietet mittlerweile eine Reihe von Funktionen, um Infor­mationen über WSUS-Server, Updates und Computer zu erhalten (siehe dazu: WSUS mit PowerShell verwalten: Computer, Updates, Genehmigungen)

    Berichte erzeugen mit dem Report Viewer

    Die bisher erwähnten Mittel erlauben bereits einen guten Einblick in den Zustand eines WSUS-Servers und den Status von Updates. Im Navigations­fenster der WSUS-Konsole findet sich aber zusätzlich der Eintrag Berichte, der eine Reihe vorkon­figurierter Reports enthält.

    Der Report Viewer muss separat heruntergeladen und installiert werden.

    Klickt man zum ersten Mal auf einen von ihnen, dann meldet das Tool, dass zum Ansehen der Berichte der Report Viewer 2008 erforderlich sei. Der entsprechende Dialog enthält auch den Download-Link für die mittler­weile etwas betagte Software, die man anschließend selbst installieren muss.

    Die WSUS-Konsole enthält eine Reihe von vorgegebenen Berichten

    Danach stehen die genannten Standard­reports zur Verfügung, deren Wert sich aber in Grenzen hält. Es handelt sich dabei um die drei möglichen Ansichten Zusammen­fassung, Details und Tabelle für alle Updates oder für alle Computer. Hinzu kommt ein Bericht für die Synchro­nisierungs­ergebnisse, bei dem man erst den gewünschten Zeitraum auswählen muss.

    Unter den Berichtsoptionen stehen mehrere Filtermöglichkeiten zur Verfügung.

    Einen Report erzeugt man durch den Klick auf Bericht erstellen in der Menüleiste, und mit Berichts­optionen blendet man die Filter für Klassifizierung und Status der Updates, die Computer­gruppe oder die Produkte ein und aus. Reports lassen sich übrigens über das kleine Icon in der Symbolleiste als PDF, .docx oder .xlsx exportieren.

    Reports zu ausgewählten Updates oder PCs

    Wenn man einen Report zu bestimmten Updates oder PCs benötigt, dann geht es schneller, wenn man diese in der jeweiligen Ansicht markiert und anschließend aus dem Kontextmenü den Befehl Statusbericht ausführt.

    Auswahl mehrerer Updates für einen Bericht

    Bei den Synchroni­sierungen heißt der entsprechende Befehl Synchroni­sierungs­bericht.

    Bericht für eine bestimmte Synchronisierung abrufen

    Hat man mehrere davon ausgewählt, dann enthält anschließend die Ansicht Details (erreichbar über Berichtsansicht) eine Navigations­leiste, über die man die Seite für das jeweilige Update ansteuern kann.

    Generiert man einen Report für mehrere Updates, dann kann man diese über die Navigation einzeln ansehen.

    Über das Menü Aufgaben lassen sich Updates hier gleich genehmigen oder ablehnen, wenn man die erforderlichen Rechte dazu besitzt.

    Berechtigungen

    Die WSUS-Konsole sieht zwei Rollen für Benutzer vor, nämlich die des Admini­strators mit allen Rechten und die des Reporters. User ohne admini­strative Privilegien werden beim Aufruf des MMC-Tools standard­mäßig abgewiesen, sie haben keinen Zugriff.

    Um die WSUS über das MMC-Snapin verwalten zu können, müssen User Mitglied in einer der beiden lokalen WSUS-Gruppen sein.

    Für die beiden genannten Rollen steht auf einem WSUS-Server je eine Gruppe zur Verfügung, und zwar WSUS Administrators und WSUS Reporters.

    Laufen die WSUS unter Server Core, dann bietet es sich an, dorthin eine Remote-Session mit Enter-PSSession aufzubauen und die Mitglied­schaften über PowerShell zu verwalten. Dieses Vorgehen funktioniert natürlich auch bei einem Server mit Desktop Experience.

    Hinzufügen eines Kontos zur Gruppe der WSUS Reporters mittels PowerShell.

    Die WSUS-bezogenen Gruppen kann man sich so anzeigen lassen:

    Get-LocalGroup -Name *WSUS*

    Um einem Konto die Berechtigungen eines Reporters einzuräumen, geht man nach diesem Muster vor:

    Add-LocalGroupMember -Group "WSUS Reporters" -Member contoso\user

    Vom Erfolg der Operation kann man sich mit Hilfe dieses Kommandos überzeugen:

    Get-LocalGroupMember -Group "WSUS Reporters"

    Keine Kommentare