Nachdem wir in Teil 1 einen WSUS Server eingerichtet haben, der eine kleine Domäne mit Updates versorgt, erfolgt nun in diesem Artikel die Konfiguration.
Um Updates an Computer zu verteilen, gibt es die Möglichkeit, in der grafischen Ober-fläche des WSUS auf dem Server Gruppen zu erstellen und die Computer dann diesen Gruppen zuzuweisen. Die Zuweisung können wir manuell täten oder automatisiert über GPOs durchführen lassen. Eine andere Bezeichnung ist Server-Sided Targeting, da man die Clients auf dem Server zuweist. Das Pendant dazu ist Client-Sided Targeting. Dabei entscheiden die Clients selbst welcher Gruppe sie beitreten.
Client-Sided Targeting hat diverse Vorteile. Zum Beispiel werden auch neu erstelle Computer in unserer Domäne automatisch einer Gruppe zugewiesen. Mithilfe von unter anderem Group Policies können wir mit Bordmitteln des Windows Servers Client-Sided Targeting umsetzen. Es gibt mehrere Möglichkeiten diese Gruppen logisch zu organisieren. Eine von Microsoft verbreitete Vorgehensweise ist das Verteilen über Deployment Ringe.
Da dies nur eine Testumgebung und keine Produktionsumgebung oder Vergleichbares ist, können wir den Großteil der Installation automatisiert durchzuführen. In Produktionsumgebungen sollte man jedoch darauf achten, Updates gewählt und kontrolliert zu installiert.
Deployment Ringe sind logisch organisierte Gruppen von Computern, für die Updates bereitgestellt werden. Dabei stellt der erste Ring die Gruppe mit der kleinsten Anzahl an Benutzern dar. Die Anzahl der zugehörigen Computer wächst sukzessiv bis im letzten Ring jeder Computer eingeschlossen ist, der zu der logischen Domäne der Deployment Ringe gehört. Hierbei geht es darum, schrittweise Updates und Funktionen für ausgewählte Computer bereitzustellen. Zum Beispiel ermöglicht die zeitliche Verzögerung von Updates über einen gewissen Zeitraum mit einer geringen Anzahl an Benutzern mit unkritischen oder eigens dedizierten Tester-Rollen zu überprüfen und bei Problemen Schaden begrenzt zu halten.
Hier ein Beispiel wie so eine Ringstruktur aussehen könnte:
WSUS – Servers – Ring 1 – Test-Servers
WSUS – Servers – Ring 2 – Automatic 4AM
WSUS – Servers – Ring 3 – Automatic 2AM
WSUS – Servers – Ring 4 – Manual
WSUS – Workstations – Ring 1 – Test-Workstation
WSUS – Workstations – Ring 2 – Broad
Zu beachten ist, dass wir jeweils einen dedizierten Deployment Ring sowohl für Workstations, als auch für Server verwenden. Wir können also für eine jeweils sinnvolle logische Domäne einen Deployment Ring anlegen.
Deployment Ringe realisieren wir durch GPOs und Benutzergruppen. Die Schritte um einen Deployment Ring mit WSUS zu realisieren, sehen wie folgt aus:
Für jeden Deployment Ring ist es sinnvoll eine Active Directory Security Group oder auch mehrere einzurichten. Hier geht es nur darum zu bestimmen, welche Computer letztendlich in dem entsprechenden Deployment Ring landen. Dazu öffnen wir die grafische Oberfläche Active Directory Users and Computer auf dem Domain Controller. Diese können wir über die Windows Suchleiste finden. Hier klappen wir unsere Domänenstruktur auf.
Über einen Rechtsklick auf Users > New > Group erstellen wir neue Gruppen.
Für jeden Ring erstellen wir nun eine Security Gruppe. Die Namen sollten so gewählt werden, dass wir die Gruppe nachher zuordnen können.
Über einen Rechtsklick auf die soeben erstellte Gruppe können wir über Add to Group all diejenigen Computer zuweisen, die wir später in dem entsprechendem Deployment Ring haben möchten.
Falls wir einen Ring einrichten möchten, in den später neu eingerichtete Computer defaultmäßig beitreten sollen, zum Beispiel WSUS – Servers – Ring 1 – Test-Servers, bestimmen wir auch eine Security Gruppe für diesen Ring und fügen dann die Domain Computers Gruppe über Add to Group hinzu.
Für unsere Deployment Ringe müssen wir zunächst Computergruppen auf dem WSUS Server einrichten. Dazu öffnen wir auf unserem WSUS Server die grafische Benutzeroberfläche des Windows Server Update Services, indem wir zum Beispiel in dem Windows Suchfeld “Windows Server Update Services” eingeben.
Hier erstellen wir Gruppen, die einer logischen Domäne entsprechen, zum Beispiel “Server” oder “Workstations”. Nachdem wir fertig sind, haben wir hier zwei Gruppen erstellt.
Um die Erreichbarkeit der WSUS Server zu gewährleisten, muss eine Adresse in der Domäne hinterlegt werden. Dies geschieht über den Group Policy Manager auf dem Domain Controller. Gefunden werden kann er am einfachsten über die Windows Suchleiste, indem wir dort einfach “Group Policy Manager“ eingeben.
Dort klappen wir unsere Domänenstruktur auf: Forest: unsereDomain> Domains >unsereDomain und erstellen per Rechtsklick auf unserer Domain > Create a GPO in this domain, and Link it here… eine neue GPO.
Die GPO können wir so benennen: “WSUS - AUTO Update und Intranet Update Service Location” und bestätigen mit OK.
Nach dem Erstellen machen wir einen Rechtsklick auf unsere GPO und klicken auf Edit. In dem neuen Fenster gelangen wir über Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update in den Unterordner für die entsprechende Einstellung. Dort klicken wir auf die Einstellung Specify intranet Microsoft update service location.
In dem Einstellungsfenster wählen wir Enabled. Unter Options Set the intranet update service for detecting updates geben wir die FQDN Adresse unseres WSUS Servers an. Diese wird angeführt von dem Schema, in unserem Fall http://, und endet mit der Portnummer, hier 8530, die wir für den Service konfiguriert haben. Die URI sieht schlussendlich so aus: http://FQDN-UNSERES-WSUS-Servers:8530
Das Anlegen der GPOs funktioniert über den Group Policy Manger. In unserer Testumgebung erfolgt dieser Vorgang über den Domain Controller. Dazu müssen wir wie bereits in Schritt 3 den Group Policy Manager öffnen.
Die GPO, die die Adresse unseres WSUS Servers beinhaltet haben wir bereits angelegt. Diese GPO gilt für alle Computer in der Domäne. Die restlichen GPOs sind dem Updateverhalten unserer Deployment Ringe innerhalb unserer Gruppen gewidmet. Für jeden unserer Deployment Ringe brauchen wir jeweils eine GPO.
Wie bereits in Schritt 3 präsentiert, legen wir nun alle GPOs entsprechend unseren Deployment Ringen an und konfigurieren diese über Edit in dem entsprechendem Group Policy Management Editor Fenster.
Für die Zuordnung in den WSUS Gruppen ist es wichtig die Einstellung Enable Client-Side Targeting mit Enabled konfiguriert zu haben. Bei der automatischen Installation der Updates ist darauf zu achten, dass die Einstellung Configure Automatic Updates auf Enabled gesetzt ist und entsprechend konfiguriert wurde. Die restlichen Einstellungen kann man nach Bedarf konfigurieren. Das könnte in etwa so aussehen:
WSUS – Servers – Ring 1 – Automatic 5 AM
WSUS – Servers – Ring 2 – Manual
WSUS – Workstations – Ring 1 – Automatic 3 AM
WSUS – Workstations – Ring 2 – Test-Workstations Manual
Als professioneller SQL Server Support und zertifizierter Microsoft Partner unterstützen wir Sie in allen Fragen und individuellen Problemen rund um Ihre Serverumgebung, egal ob vor Ort oder remote. Überzeugen Sie sich selbst von unserem vielfältigen Angebot und den individuellen Leistungspaketen.
Bevor Updates installiert werden können, müssen diese genehmigt werden. Diesen Prozess können wir über eine Einstellung auf dem WSUS Server automatisieren. Dazu klicken wir in der grafischen Oberfläche des WSUS auf dem entsprechenden Menüpunkt.
In der grafischen Benutzeroberfläche des WSUS klicken wir auf Options und wählen den Menüpunkt Automatic Approvals aus. Hier auswählen wir, welche Updateklasse für welche Computergruppen automatisch bestätigt werden sollen. Je nach Auswahl können wir hier die entsprechenden Einstellungen tätigen. Falls wir alle Updates automatisch bestätigt haben möchten, setzen wir einen Haken unter Default Automatic Approval Rule.
In diesem Teil unseres zweiteiligen Tutorials haben wir gelernt wie wir ein automatisiertes Patchmanagement einrichten. Um einen besseren Überblick zu verschaffen, haben wir unsere Konfiguration simpel gehalten. Allerdings kann man den Umfang sehr individuell auf den Einsatzzweck zuschneiden.
Wir hoffen Ihnen mit dem zweiteiligen Artikel helfen zu können. Bei offenen Fragen stehen wir Ihnen gerne für ein Beratungsgespräch zur Verfügung. Nutzen Sie dafür unverbindlich unser Kontaktformular.
Kontaktieren Sie uns gerne über das
Kontaktformular und vereinbaren ein unverbindliches
Beratungsgespräch mit unseren Berater:innen zur
Bedarfsevaluierung. Gemeinsam optimieren wir Ihre
Umgebung und steigern Ihre Performance!
Wir freuen uns auf Ihre Kontaktaufnahme!