Automatisiertes Patchmanagement mit Windows Server Update Services [WSUS] Part 1 - Installation

Windows Server Update Services ist eine Windows Rolle, mit der man Updates, Hotfixes und Patches planen, managen und deployen kann. Diese Funktionen stehen für Windows Server, Windows Client Betriebssysteme, aber auch Microsoft Software Produkte, wie z.B. SQL Server oder SSMS zur Verfügung.

In diesem Tutorial installieren wir einen WSUS Server, der eine kleine Domäne mit Updates versorgt. Grundsätzlich lässt sich WSUS flexibel einrichten und auf verschiedene Arten konfigurieren, z.B. kann man einen Upstream Server konfigurieren, der Updates direkt von Microsoft bezieht und im Anschluss an mehreren Downstream WSUS Servern verteilt einrichten. Andere Konfigurationsmöglichkeiten sind auch denkbar. Da wir dieses Tutorial jedoch simpel halten möchten, richten wir wie beschrieben einen WSUS Server ein.

Vorbereitung

In unserer Installation gehen wir davon aus, dass sich der WSUS Server in der selben Domäne befindet, wie die Client Computer, die von WSUS bedient werden. Weiterhin muss der WSUS Server Zugriff auf Microsoft Services haben, damit die benötigten Windows Updates aus dem Internet gezogen werden können.

Falls sich dafür entscheiden wird, Updates lokal auf dem WSUS Server zu speichern, sollte vor der Installation des WSUS Services eine separate Laufwerkspartition auf dem WSUS Server erstellt werden. Diese sollte mindestens 30 GB groß sein und je nach Umfang der verwendeten Updates oder Sprachen kann auch mehr Speicherplatz sinnvoll sein.

WSUS Server Rolle hinzufügen

Über das Dashboard auf dem Server Manager klicken wir auf Add roles and features.

Wir klicken uns über Next durch bis zum Menüpunkt Select server roles. Dort wird der Haken unter Windows Server Update Services gesetzt.

Das PopUp bestätigen wir durch einen Klick auf Add Features und machen weiter mit Next.

Unter Select features sehen wir den Haken bei Windows Internal Database. Dadurch wird sichergestellt, dass WSUS die interne Windows Datenbank verwendet und wir uns in dieser Hinsicht um keine weitere Konfiguration kümmern müssen.

Wir klicken uns über Next durch bis zum Punkt Content Location Selection. Falls wir uns dafür entschieden haben, Microsoft Updates auf dem WSUS Server zu speichern, geben wir dort den Pfad zu unserem Speicherort ein. In unserem Fall wäre das die neu erstelle Partition. Danach bestätigen wir mit Next.

Über Next kommen wir zum Punkt Confirm Installation Selections. Dort setzten wir einen Haken unter Restart the destination server automatically if required und klicken auf Install.

Nachdem die Installation durchgelaufen ist schließen wir Add Roles und Features Wizard über Close. Die Rolle ist nun installiert. Als nächsten Schritt müssen wir den Service konfigurieren. Dazu klicken wir im Server Manager auf das Fähnchen mit dem gelben Ausrufezeichen und dort auf Launch Post-Installation tasks und warten einen Moment. Der Prozess läuft im Hintergrund und gibt keine Ausgaben, nur das Icon mit dem Ausrufezeichen und die Schaltfläche sind weg.

Nachdem der Prozess beendet ist, klicken wir in der linken Menüleiste des Server Managers auf WSUS. Im Hauptfenster machen wir einen Rechtsklick auf unseren Server und wählen WSUS Update Services aus. Alternativ suchen wir nach Windows Server Update Services in der Windows-Suchleiste und starten die Applikation. Es öffnet sich der Windows Server Update Service Configuration Wizard.

In diesem Wizard klicken wir uns über Next durch bis zum Punkt Specify Proxy Server.

Unter Specify Proxy Server klicken wir auf Start Connecting. Der Configuration Wizard beginnt, den WSUS Server mit Microsoft Update Servers zu synchronisieren. Das hat in unserer Testumgebung etwa 40 Minuten gedauert.

Wenn die Synchronisation beendet ist, drücken wir auf Next und kommen in das Choose Languages Menü. Dort wählen wir die Sprachen aus, für die wir Updates bereitgestellt bekommen möchten. Falls wir deutsche und englische Windows Betriebssysteme haben wählen wir dementsprechend diese beiden Sprachen aus. Den Menüpunkt, um Updates für alle Sprachen zu erhalten, ist aus Speicherplatzgründen nicht empfehlenswert. Nachdem wir die Sprachen ausgewählt haben machen wir weiter mit Next.

Unter Choose Products suchen wir die Microsoft Betriebssysteme und Software aus, für die wir Updates bereitgestellt haben möchten. Hier sollten wir beachten, dass wir nur Produkte auswählen, für die wir auch tatsächlich Updates brauchen. Treiberupdates sollten mit WSUS eher vermieden werden, da es normalerweise besser ist Computertreiber direkt vom Hersteller zu beziehen. Gleichzeitig reduzieren wir so die Anzahl der Updates und den Speicherplatzbedarf.

Die Art der Updates, die heruntergeladen werden sollen, suchen wir unter Choose Classification. Die default Einstellungen sind sinnvoll gewählt, hier lohnt es sich nach der Maxime vorzugehen “weniger ist mehr”. Eine Übersicht, um welche Updateklassifizierung es sich handelt, finden Sie bei Microsoft. Hier ein Auszug:

WSUS benutzt standardmäßig die Ports 8530 (HTTP) und 8531 (HTTPS), um mit den Clients zu kommunizieren. Aus diesem Grund ist es wichtig, dass der Inbound traffic auf diesen Ports erlaubt ist. Während der Installation sollte der WSUS Configuration Wizard entsprechende Regeln in den Windows Firewall Option automatisch hinterlegen. Um sicher zu gehen, dass alles richtig konfiguriert ist, sollten wir die Einstellungen jedoch überprüfen. Die entsprechende Einträge finden wir in Windows Defender Firewall with Advanced Security. Unter dem Menüpunkt Inbound Rules sehen wir die angelegten Regeln.

Falls die beiden hier mit WSUS bezeichneten oberen zwei Einträge nicht angelegt sind, müssen wir sie auf jeden Fall anlegen. Das geht über die New Rule-Schaltfläche in der rechten Menüleiste.

Es öffnet sich ein Fenster, in dem wir den Punkt Port auswählen und bestätigen mit Next. Dabei bleibt TCP ausgewählt. Unter Specific local ports geben wir lediglich die beiden erwähnten Ports 8530 und 8531 durch ein Komma getrennt ein. Daraufhin klicken wir uns weiter bis zur Benennung der neuen Regel, wo wir einen Namen sinnvollen Namen vergeben z.B. WSUS Inbound TCP und auf Next klicken. Nach dem klick auf Finish haben wir die neue Regel erstellt.

Fazit

Damit ist der Installationsprozess Windows Server Update Services Rolle abgeschlossen. Im nächsten Part wird die Konfiguration vorgenommen. Dort zeigen wir euch dann wie man über logisch aufgebaute Gruppen, die man Deployment Rings nennt, eine Domäne mit Updates versorgt.

Sollten Sie Fragen zu diesem Artikel oder Probleme mit der Installation haben, stehen wir Ihnen gerne zur Verfügung. Nutzen Sie dafür unverbindlich unser Kontaktformular.