Zum Inhalt springen

WSUS installieren – Teil 3: Updates freigeben

Veröffentlicht 28. Dezember 2018

WSUS installieren Teil 1: Vorbereitung
WSUS installieren Teil 2: Installation

Erstellung der Gruppenrichtlinien


In Teil 3 der Artikel-Serie kümmern wir uns heute um die Freigabe der Updates.
Während wir auf die nächtliche Sychronisation warten, ist noch Zeit die Gruppenrichtlinien, sowohl für die Clients, als auch für die Server zu erstellen.
Die Trennung in zwei Gruppenrichtlinien ist sinnvoll, da ich die Art der Updates und den Zeitpunkt des Neustarts bei Servern lieber individuell festlege.
Wie immer bei Gruppenrichtlinien (GPO) wird diese zuerst in der Gruppenrichtlinienverwaltung unter Gruppenrichtlinienobjekte erstellt. Mit der korrekten OU wird sie erst nach abgeschlossener Konfiguration verknüpft. So verhindert man, dass schon während der Konfiguration die GPO verteilt und angewandt wird.

Die Gruppenrichtlinie

Die relevanten Richtlinien finden sich unter „Computerkonfiguration – Richtlinien – Administrative Vorlagen – Windows-Komponenten – Windows Update“.
In der Minimalkonfiguration aktiviere ich lediglich die Richtlinien „Automatische Updates konfigurieren“, „Internen Pfad für den Microsoft Updatedienst angeben“, „Keine Treiber in Windows-Update einschließen“ und „Suchhäufigkeit für automatische Updates“. Besonders bei letzterer GPO ändere ich die Suchhäufigkeit auf eine Stunde, da mir der Standard-Zeitraum von 22 h plus/ minus 20% einfach zu lang ist. Außerdem ist mir bisher noch nie eine negative Auswirkung auf das Netzwerk respektive WSUS aufgefallen, wenn ich die Suchhäufigkeit umstelle.

Gruppenrichtlinie für Clients

Diese Richtlinie verknüpfe ich mit den gesonderten OUs, in der die PC und Laptops liegen.
Prinzipiell ist es nicht nowendig, aber über das „Gruppenrichtlinienupdate…“ im Kontextmenü der PC-OU lassen sich die Clients anweisen innerhalb nächsten 10 min die Gruppenrichtlinien neu zu verarbeiten. Sonst dauert das bis zu zwei Stunden.

Manuelles Gruppenrichtlinien-Update für alle Rechner in der OU

Jetzt müssen wir nur noch die nächste automatische Synchronisation für die kommende Freigabe der Patches abwarten, bis wir die notwendigen Updates auswählen und genehmigen können.

Freigabe der Updates

Einer der letzten Schritte ist die Auswahl und Freigabe der zur Verfügung stehenden Updates.
Durch die Vorauswahl der Sprachen, Produkte und Klassen (siehe Teil 2 ) wurde die Anzahl der Updates schon ziemlich eingeschränkt.
Trotzdem finden sich in der WSUS-Konsole eine stattliche Anzahl an Updates. Diese Menge wird nun weiter eingeschränkt und anschließend freigegeben.
Zwischenzeitlich sollten sich auch alle Clients und Server am WSUS angemeldet und einen Statusbericht zurückgemeldet haben.

Rückmeldung aller Clients im WSUS

Im Update-Knoten unter „Alle Updates“ stellen wir im Dropdown von „Genehmigung“ auf „Alle bis auf abgelehnte“ und den „Status“ auf „Fehlerhaft oder Erforderlich“. Danach aktualisieren wir die Ansicht.

Einstellung für Updates

Die angezeigte Auswahl (hier: vier Mal „Windows-Tool zum entfernen bösartiger Software“) wird komplett ausgewählt und mittels rechter Maustaste genehmigt. In diesem Fall für den Server-Knoten. Für die Clients stehen dann im nächsten Anfrage-Zyklus die freigegebenen Updates bereit und werden je nach Gruppenrichtlinie verarbeitet.

Genehmigung über das Kontext-Menü
Genehmigung zur Installation
Genehmigte Updates

Ablehnung nicht benötigter Updates

Anschließend suche ich mir über die Konsole noch alle anderen Updates, die ich keinesfalls haben möchte oder nicht (mehr) brauche.
Beispielsweise habe ich keine einzige 32-bit Windows-Installation mehr. Daher kann man nach „32-bit“ suchen und die Updates pauschal ablehnen. Ebenso verfahre ich mit Windows 10-Versionen, die nicht mehr im Einsatz sind. Somit entferne ich nacheinander „Version 1511“ bis „Version 1709“ sowie „ARM“ aus der Liste der vorhandenen Updates.

Suche nach „Version 1511“
Ablehnung der Updates und Bestätigung

Die Serverbereinigung

Als letzten Schritt führe ich meist noch einmal den Assistenten zur Serverbereinigung durch. Damit lassen sich noch einmal einige GB einsparen.
Diese Prodzedur läßt sich auch per PowerShell automatisieren.
Ebenso gibt es ein SQL-Skript, dass sich über den SSMS komfortabel manuell ausführen oder als automatischer Trigger einrichten läßt.
Einmal monatlich sollte das vollauf genügen. Der WSUS sollte nun in der Regel deutlich unter 100 GB Platz benötigen.

Assistent zur Serverbereinigung
Der Aufräumvorgang läuft
Freigabe von 135 MB

Damit ist Basis-Konfiguration abgeschlossen.
In Teil 4 wird es noch um sinnvolle Einstellungen und etwas Kommandozeile gehen.

Kategorien:Praxis WSUS

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert