Regelmäßig Updates und Sicherheits-Patches einzuspielen gehört zu den eher lästigen Pflichten des Administrators. Ein manuelles Update kommt ab einer gewissen Client-Anzahl nicht mehr in Frage. Die kostenlose Alternative von Microsoft hieß bislang SUS (Software Update Services), diese stößt aber beispielsweise bei der Verwaltung mehrerer Rechnergruppen schnell an ihre Grenzen. Als konsequente Weiterentwicklung erscheint nun der Windows Server Update Service.
Das Grundprinzip von WSUS ist einfach: Der Server synchronisiert sich mit Microsoft Update, lädt die benötigten Dateien herunter und legt sie zentral ab. Eine Client-Komponente ersetzt das Windows Update auf den Rechnern im Netzwerk und holt sich die neuen Patches aus dem LAN.
Die Clients können dabei unter Windows 2000, 2003 und XP betrieben werden, der Server läuft unter Windows 2000 oder 2003. Microsoft plant, dass WSUS sämtliche von Microsoft angebotenen Programme updaten wird. Zu Beginn ist das aber noch nicht der Fall: Die aktuelle Version von WSUS kümmert sich um aktuelle Windows-Versionen, um Office XP und Office 2003, um Exchange und den SQL Server. Im Laufe der Zeit sollen weitere Produkte hinzukommen.
WSUS ist dabei als Mittelding zwischen Windows Update und dem SMS Server gedacht: Im Gegensatz zu Windows Update können die Workstations im LAN zentral upgedatet werden - anders als beim SMS stehen jedoch keine Werkzeuge über das reine Patchmanagement hinaus zur Verfügung
Systemvoraussetzungen
WSUS ist an sich eine kostenlose Lösung. Clients, die auf den Server zugreifen, benötigen allerdings eine Windows Server Client Access License (CAL), diese war auch für SUS nötig. Der WSUS selbst erfordert einen Windows Server 20003 oder einen SBS 2003.
Vor der Installation weist Microsoft mehrfach deutlich darauf hin, das der Background Intelligent File Transfer Server (BITS) in Version 2 auf dem Ziel-Server installiert sein muss und dass diese Komponente nicht mit dem WSUS-Server installiert wird. Wer allerdings über ein aktuelles Windows-2003-Server-System verfügt, der hat auch BITS 2.
Außerdem muss mindestens der Internet Information Server in Version 5.0, das .NET Framework 1.1 und eine Datenbank (WMSDE/MSDE - oder Microsoft SQL Server) installiert sein. Sämtliche dieser Dateien kommen bereits mit dem Betriebssystem oder können auf der Microsoft-Homepage heruntergeladen werden.
Der Download umfasst etwa 130 MB - für den Betrieb braucht es aber deutlich mehr Platz auf der Server-Platte. WSUS benötigt 1 GB freien Platz auf der Systempartition und mindestens 6 GB Platz auf der Platte, auf der die Inhalte gespeichert werden sollen. Außerdem brauchen Sie etwa 2 GB freien Platz für die Installation der SQL Server Desktop Engines.
Dabei ist es nicht unbedingt notwendig, die Updates auch auf dem WSUS Server zwischenzuspeichern. Stattdessen können diese auch bei Bedarf bei Microsoft heruntergeladen werden. Das spart natürlich einige Gigabyte Plattenplatz auf dem Server, verlangsamt jedoch den Update-Vorgang im LAN. Das Ganze funktioniert so, dass die Metadaten über Updates sowie die Einstellungen des Administrators über diese Updates in der SQL-Datenbank auf dem WSUS gespeichert werden - die Updates selbst aber nicht. Diese landen bei einer ‚lokalen’ Installation auf einem der Laufwerke des WSUS oder verbleiben auf Microsofts Servern.
Im Zuge der Installation lässt sich der WSUS auch in eine Server-Hierarchie einbetten. Das macht vor allem dann Sinn, wenn sehr viele Clients mit Updates versorgt werden sollen.
Synchronisation: Up to date bleiben
Nach der Installation legen die Optionen auf der administrativen Webseite des WSUS fest, welche Updates interessant sind. Der WSUS ist so eingestellt, dass er sich um sicherheitsrelevante Updates kümmert; dies lässt sich problemlos ändern. Sind die benötigten Updates eingestellt, muss der Server zunächst einmal synchronisiert werden.
Beim Synchronisieren verbindet sich der Server mit Windows Update, um Informationen über verfügbare Updates herunterzuladen. Beim ersten Mal werden dabei Informationen über alle verfügbaren Dateien abgeholt, der Vorgang kann also eine Weile dauern. Die Synchronisation lässt sich später manuell oder zeitgesteuert durchführen.
Für das Verteilen der Updates im Netz sind ‚Computer Groups’ zuständig. Von Haus aus gibt es zwei solcher Gruppen: ‚All Computers’ und ‚Unassigned Computers’. Beim ersten Kontakt eines WSUS-Clients mit dem Server trägt der WSUS-Server den Client in beiden Gruppen ein. Über diese beiden Gruppen hinausgehend können weitere Gruppen angelegt werden: Mit den administrativen Möglichkeiten können Sie dann Computer aus den ‚unassigned’-Gruppen in die selbst angelegten Gruppen verschieben.
Auf diese Weise lassen sich Updates einfach an eine bestimmte Gruppe von Computern weiterleiten, während andere Gruppen die Updates nicht erhalten. Dadurch kann man beispielsweise die Updates zunächst in Testsystemen prüfen, bevor sie in der kompletten Infrastruktur installiert werden. Die Gruppe ‚All Computers’ ist dafür gedacht, Updates auf einfache Weise für alle Computer im Netz auf einen Schlag freizugeben. Sie kommt beispielsweise bei hoch kritischen Sicherheits-Patches zum Einsatz.
WSUS verfolgt eine restriktive Patch-Politik: Sobald neue Updates eingehen, muss der Administrator diese zur Installation freigeben, sonst werden sie nicht eingespielt. Die Daten lassen sich für alle Computer und für eine oder für mehrere Gruppen freigeben.
Reporting
Die Clients kontaktieren den WSUS-Server per Voreinstellung alle 22 Stunden, danach sollten freigegebene Updates überall installiert sein. Überprüfen lässt sich das Ganze mit Hilfe des Reportings. Der Reporting-Bereich gliedert sich insgesamt in vier Kategorien auf:
Der Status der Updates zeigt an, welche Dateien bisher installiert wurden. Außerdem wird angezeigt, ob das Update notwendig war und ob die Installation reibungslos verlief. Der Administrator kann zudem einzelne Gruppen oder Computer auswählen und diese genauer untersuchen. Über die Filter am linken Bildschirmrand lassen sich die Ergebnisse weiter eingrenzen.
Der Status der Computer zeigt genauere Informationen über die einzelnen Rechner im WSUS-Netz an. Neben dem Computernamen befinden sich ebenfalls Informationen zu den einzelnen Updates, ob alles reibungslos verlief und wann zum letzten Mal ein Patch eingespielt wurde. Auch hier kann der Administrator das Ergebnis weiter filtern.
Im dritten Punkt findet man Daten zur Synchronisation. Hier lässt sich ablesen, wann das letzte Mal Daten mit Microsoft abgeglichen wurden, ob dies automatisch oder manuell geschah und ob der Durchgang erfolgreich war. Im Anschluss zeigt die Seite an, wie viele Updates neu geladen wurden, welche Dateien nicht mehr gültig sind und ob Fehler auftraten. Falls es Fehler gab, finden sich im nächsten Feld genauere Informationen dazu. Die letzte Dialogbox schließlich informiert genauer über die geladenen Dateien.
Der vierte Punkt fasst sämtliche Einstellungen des WSUS übersichtlich auf einer Seite zusammen. Alle vier Informationsseiten lassen sich bei Bedarf auch ausdrucken.
Konfiguration der Client-PCs
Nachdem der Server aufgesetzt wurde, sind die Clients an der Reihe. Auf sämtlichen PCs ist eine Erneuerung des automatischen Updates notwendig. Eine Ausnahme bildet hier Windows XP SP2, dort ist bereits das richtige Update eingerichtet. Danach muss nichts mehr getan werden, die Software für automatische Updates unterstützt dann den WSUS-Server.
Allerdings ist im Control-Panel der Clients keine Einstellung vorgesehen, mit der sich der Update-Server ändern lässt. Diese Konfiguration muss daher mit anderen Mitteln erfolgen. Welche, ist davon abhängig, wie das Netzwerk angelegt ist.
Verfügt das Netz über Active Directory, erfolgt die Konfiguration der Update-Clients einfach per Group Policy. Dazu wird ein neues Group-Policy-Objekt angelegt und mit dem passenden Active Directory Container des Netzes verbunden, im einfachsten Fall also mit der Domain. Für die Konfiguration des Servers ist natürlich das passende administrative Template notwendig. Das findet sich unter dem Namen ‚Wuau.adm’ - alle relevanten Einstellungen sind darin enthalten.
Die Group Policy auf den Clients wird bei einer normalen Installation etwa alle 90 Minuten erneuert - danach sollten die Clients Updates aus dem lokalen Netz anstatt von Microsoft laden.
Soll der WSUS ohne eine Active Directory Domain verwendet werden, dann muss man dazu entweder die lokale Registry auf den Clients bearbeiten, oder man bearbeitet das lokale Group Policy Object mit dem GPO Editor – die Dokumentation zum WSUS enthält dafür eine passende Schritt-für-Schritt-Anleitung. Microsoft hat die Dokumentationen bereits online zur Verfügung gestellt.
Fazit
Der neue WSUS ist eine konsequente Weiterentwicklung der Software Update Services. Er bildet einen intelligenten Zwischenschritt zwischen Windows Update und dem Systems Management Server und erspart Administratoren in kleinen und mittleren Netzwerken eine Menge Arbeit. WSUS glänzt vor allem in den Bereichen Reporting und beim Einrichten verschiedener Update-Gruppen.
Die Verwaltung des WSUS-Servers erfolgt bequem über eine Browser-basierte Oberfläche. Bei dem Update-Tool hat sich Microsoft sichtlich Mühe gegeben. Das zeigt sich, wenn beispielsweise Sicherheitsprobleme bemängelt werden, die mit der eigentlichen Aufgabe von WSUS gar nichts zu tun haben: Stellt man die Verbindung zur Webseite ohne SSL her, dann enthält die Verwaltungsseite einen entsprechenden Hinweis. Außerdem erhält man einen Link, um den SSL-Zugang einrichten zu können.
Da die Software an sich nichts kostet und sich hervorragend in eine bestehende Netzwerkinfrastruktur einbinden lässt, steht einer Installation nichts im Wege. Zumindest im Internet hat der WSUS schon eine rege Anhängerschaft gefunden. Interessierte tauschen sich im englischsprachigen WSUS Wiki über den Server aus. Dort finden sich auch Lösungen bei Problemen und Links zu weiteren Community-Seiten. Eine Rubrik zum SUS rundet die Seite ab. (mja)