Mainzer Datenfabrik ist Microsoft Gold Partner

Interesse geweckt?

Lassen Sie uns reden!

blog.Mainzer Datenfabrik

Automatisiertes Patchmanagement mit Windows Server Update Services [WSUS] Part 2 - Konfiguration

cover image of blog article 'Automatisiertes Patchmanagement mit Windows Server Update Services [WSUS] Part 2 - Konfiguration'

Nachdem wir in Teil 1 einen WSUS Server eingerichtet haben, der eine kleine Domäne mit Updates versorgt, erfolgt nun in diesem Artikel die Konfiguration.

Um Updates an Computer zu verteilen, gibt es die Möglichkeit, in der grafischen Ober-fläche des WSUS auf dem Server Gruppen zu erstellen und die Computer dann diesen Gruppen zuzuweisen. Die Zuweisung können wir manuell täten oder automatisiert über GPOs durchführen lassen. Eine andere Bezeichnung ist Server-Sided Targeting, da man die Clients auf dem Server zuweist. Das Pendant dazu ist Client-Sided Targeting. Dabei entscheiden die Clients selbst welcher Gruppe sie beitreten.

Client-Sided Targeting hat diverse Vorteile. Zum Beispiel werden auch neu erstelle Computer in unserer Domäne automatisch einer Gruppe zugewiesen. Mithilfe von unter anderem Group Policies können wir mit Bordmitteln des Windows Servers Client-Sided Targeting umsetzen. Es gibt mehrere Möglichkeiten diese Gruppen logisch zu organisieren. Eine von Microsoft verbreitete Vorgehensweise ist das Verteilen über Deployment Ringe.

Da dies nur eine Testumgebung und keine Produktionsumgebung oder Vergleichbares ist, können wir den Großteil der Installation automatisiert durchzuführen. In Produktionsumgebungen sollte man jedoch darauf achten, Updates gewählt und kontrolliert zu installiert.

Deployment Ringe sind logisch organisierte Gruppen von Computern, für die Updates bereitgestellt werden. Dabei stellt der erste Ring die Gruppe mit der kleinsten Anzahl an Benutzern dar. Die Anzahl der zugehörigen Computer wächst sukzessiv bis im letzten Ring jeder Computer eingeschlossen ist, der zu der logischen Domäne der Deployment Ringe gehört. Hierbei geht es darum, schrittweise Updates und Funktionen für ausgewählte Computer bereitzustellen. Zum Beispiel ermöglicht die zeitliche Verzögerung von Updates über einen gewissen Zeitraum mit einer geringen Anzahl an Benutzern mit unkritischen oder eigens dedizierten Tester-Rollen zu überprüfen und bei Problemen Schaden begrenzt zu halten.

Hier ein Beispiel wie so eine Ringstruktur aussehen könnte:

  • WSUS – Servers – Ring 1 – Test-Servers

  • WSUS – Servers – Ring 2 – Automatic 4AM

  • WSUS – Servers – Ring 3 – Automatic 2AM

  • WSUS – Servers – Ring 4 – Manual

  • WSUS – Workstations – Ring 1 – Test-Workstation

  • WSUS – Workstations – Ring 2 – Broad

Zu beachten ist, dass wir jeweils einen dedizierten Deployment Ring sowohl für Workstations, als auch für Server verwenden. Wir können also für eine jeweils sinnvolle logische Domäne einen Deployment Ring anlegen.

Deployment Ringe Beispiel
Deployment Ringe Beispiel

Deployment Ringe mit WSUS in 4 Schritten

Deployment Ringe realisieren wir durch GPOs und Benutzergruppen. Die Schritte um einen Deployment Ring mit WSUS zu realisieren, sehen wie folgt aus:

1. Anlegen der AD Security Gruppe

Für jeden Deployment Ring ist es sinnvoll eine Active Directory Security Group oder auch mehrere einzurichten. Hier geht es nur darum zu bestimmen, welche Computer letztendlich in dem entsprechenden Deployment Ring landen. Dazu öffnen wir die grafische Oberfläche Active Directory Users and Computer auf dem Domain Controller. Diese können wir über die Windows Suchleiste finden. Hier klappen wir unsere Domänenstruktur auf.

Über einen Rechtsklick auf Users > New > Group erstellen wir neue Gruppen.

Active Directory Benutzeroberfläche
Active Directory Benutzeroberfläche

Für jeden Ring erstellen wir nun eine Security Gruppe. Die Namen sollten so gewählt werden, dass wir die Gruppe nachher zuordnen können.

AD Benutzer anlegen
AD Benutzer anlegen

Über einen Rechtsklick auf die soeben erstellte Gruppe können wir über Add to Group all diejenigen Computer zuweisen, die wir später in dem entsprechendem Deployment Ring haben möchten.

Falls wir einen Ring einrichten möchten, in den später neu eingerichtete Computer defaultmäßig beitreten sollen, zum Beispiel WSUS – Servers – Ring 1 – Test-Servers, bestimmen wir auch eine Security Gruppe für diesen Ring und fügen dann die Domain Computers Gruppe über Add to Group hinzu.

2. Anlegen der Gruppen auf dem WSUS Server

Für unsere Deployment Ringe müssen wir zunächst Computergruppen auf dem WSUS Server einrichten. Dazu öffnen wir auf unserem WSUS Server die grafische Benutzeroberfläche des Windows Server Update Services, indem wir zum Beispiel in dem Windows Suchfeld “Windows Server Update Services” eingeben.

Hier erstellen wir Gruppen, die einer logischen Domäne entsprechen, zum Beispiel “Server” oder “Workstations”. Nachdem wir fertig sind, haben wir hier zwei Gruppen erstellt.

Windows Server Update Services Benutzeroberfläche
Windows Server Update Services Benutzeroberfläche
Melden Sie sich zu unserem monatlichen Newsletter an.

Seitennavigation

Zur Artikel Übersicht