Partager via


WSUS 3.0 Installation und Optionen erklärt

Nach 3 Jahren in Deployment Support, sehe ich immer noch Missverständnisse und Macken die bei der Nutzung WSUS auftreten.

Daher habe ich beschlossen einen oder auch mehrere Artikel zu schreiben, die:

1. Die Installation von WSUS beschreiben

2. Die Optionen erklären.

3. Das Windowsupdate.log erklären.

Fangen wir mit der Installation an.

1. Folgende sind die Pre-Requirements bevor ihr WSUS Installiert:

· Microsoft Management Console 3.0

· Microsoft Report Viewer Redistributable 2008

· Internet Information Services (IIS) 6.0 or later versions

Eine Komplette Liste findet ihr unter folgendem Link:

Microsoft Windows Server Update Services 3.0 SP2 Release Notes

 

2. Ladet das WSUS 3.0 SP2 unter folgendem Link herunter:

Windows Server Update Services 3.0 SP2

3. Als nächstes starten wir das Setup. Ich werde relevante Screens untern erklären:

 

WSUS nutzt eine Datenbank um Informationen, Metadaten und History zu speichern. Diese DB’s können hier installiert werden:

- Default: Auf die WID (Windows Internal Database)

- SQL 2005 SP3 und aufwärts.

Ich werde die WID in unserem Artikel benutzen. NEXT

- Ich werde ebenfalls auf Port 8530 installieren. Default ist Port 80 benutzt, jedoch kann das unter Umständen bei euch keine Option sein. NEXT

Nach dem WSUS installiert ist wird der „initial sync“ durchgeführt.

Als nächstes schauen wir uns alle Optionen in WSUS in Detail an:

            

Die erste Radiobox wird aus diesem Server ein USS (Upstream Server) machen. USS heißt dass die Updates von Microsoft heruntergeladen werden. Alles unterliegenden Server können DSS oder Replika Server sein. Der Unterschied:

DSS:

- Bekommt seine Updates von einem USS über WAN/LAN

- Updates werden manuell genehmigt

- Ein DSS ist ein USS der seine Updates von Microsoft bekommt.

Replika:

- Bekommt seine Updates von einem USS über WAN/LAN

- Alle Approvals/Updates werden von dem überliegenden Server gesynced.

- Man kann die Einstellungen nicht ändern da diese auch synchronisiert werden.

Den Server kann man während dem betrieb, ohne neu Installation die Rolle wechseln!

        

4. Die Optionen erklärt:

1. Update Source and Proxy Server

Da wird die Rolle des WSUS Server sowie der Proxy Server konfiguriert.

2. Products and Classifications

Da wird spezifiziert was der Server an Updates verteilen soll. Je mehr Updates verteilt werden umso mehr dauert eine Detection auf dem Client. Dieses kann ein Problem für Single Core CPU Maschinen bereiten. Wenn das Deployment von Treiber nicht ein Muss ist, schlage ich vor Updates nicht via WSUS zu deployen da es tausende sind, und die Last auf den WSUS Server sowie auf den Clients wird dadurch erheblich gesteigert.

3. Update Files and Languages

  

- Download update Files to this server only when updates are approved

Diese Option heißt dass Binaries nur dann heruntergeladen werden wen nein Update genehmigt ist. Wenn ihr merkt dass euer WSUS Content Verzeichnis sehr groß ist dann kann es bedeuten dass diese Checkbox nicht ausgefüllt ist.

- Download express installation files

Diese Option hilft sehr wenn ihr einen langsamen WAN Anschluss habt. Die Menge an Daten die zwischen WSUS Server und Client ausgetauscht wird ist viel kleiner, jedoch sind die Binaries die dieses ermöglichen viel grösser (Teilweise auch x2.5 grösser).

Was geschieht ist folgendes:

Wenn update 1 installiert ist, und update 2 das DLL’s von Update 1 austauschen muss, wird normalerweise das ganze update auf den Rechner heruntergeladen und installiert.

Mit Express Installation Files wird immer nur das Delta aktualisiert. Ex.: MSI.dll Version 1 hat 2000KB. Express Installation Files ermöglicht dass immer nur die Unterschiede zwischen Files auf die Clients heruntergeladen werden: MSI.dll Version 2 20002 -> 2KB ist die Menge an Daten die der Client bekommt.

Die restlichen Optionen von dem oberen Screenshot sind Selbstverständnis.

4. Synchronisation Schedule

Damit können Sie die Synchronisation des WSUS Server einplanen.

5. Automatic Approvals

Wie auch der Name sagt da können Updates automatisch genehmigt werden. Dieses ist für Forefront Definitions z.B hilfreich.

In dem Advanced TAB sind standardweise alle Optionen angehakt.

6. Computers

Eines der Features die nicht sehr bekannt ist lautet:

- Client Side Targeting

- Server Side Targeting

Wenn sich neue Computer an WSUS anmelden werden sie oder manuell oder automatisch in Gruppen verschoben. Bei großen Unternehmen ist natürlich Client Side Targeting erwünscht. Durch Group Policy wird dem Client mittgeben zu welcher Gruppe er gehört. Jedoch damit Client Side Targeting aktiviert wird, muss auf dem WSUS Server folgende Radiobox eingeblendet werden:

 

7. Server Cleanup Wizard

Dieser Wizard sollte mindestens einmal im Monat auf den WSUS Server ausgeführt werden.

Wenn der Server unter großer Last steht dann wird der Wizard sehr wahrscheinlich in ein Timeout laufen.

Unten bekommt ihr von mir Skripts damit ihr den Cleanup automatisieren könnt:

Normal Skript mit Switches:

WSUS Cleanup

Powershell Script:

WSUS Cleanup with Powershell

8. Reporting Rollup

Ermöglicht den Status von Computer einer Replik Server zu dem USS hoch zu reporten so dass man diese in der Konsole des USS überprüfen kann.

9. Email Notifications

Wie die Option auch sagt kann ein Administrator per Email von verschiedenen Status Updates benachrichtigt werden.

Ich hoffe WSUS ist somit ein wenig klarer geworden.

Bis zum nächsten Mal,

Tudor Dimboianu

Platforms Core Team