Startseite 
 1. WSUS Architektur 
 2. Überwachung von WSUS 

Softwareupdates (WSUS)

WSUS Architektur Überwachung von WSUS
Basis der Aktualisierung von Servern und Clients in einer Domäne sind die Windows Server Update  Services (WSUS).
Damit lassen sich Updates gezielt hin auf Computer- und Benutzergruppen organisieren und planen.

1. WSUS Architektur
Je nachdem, wie groß das Netzwerk ist und über welche Netzwerkverbindungen die Clients und  Subnetze verfügen, sollte man das Updateverhalten anpassen.
Für ein kleines Netzwerk mit nur einem Standort ist ein einzelner WSUS-Server ausreichend.  Clients in einem seperaten Subnetz mit leistungsschwacher Anbindung an das Netzwerk kann  man auch so konfigurieren, dass sie mithilfe von Windows Updates über das Internet eigenständig  Updates herunterladen und installieren.
Für größere Standorte sollte man eine Architektur von Upstream- und Downstream WSUS-Servern  planen und aufsetzen. Damit lassen sich Computer- und Benutzergruppen definieren, die  Updatehäufigkeit festlegen u.v.m.
Zentrale Punkte, die dabei berücksichtigt werden müssen, sind:
  • Updatequelle: WSUS kann Updates entweder direkt von Microsoft Update oder über einen  anderen WSUS-Server abrufen. Letztendlich zählt der Netzwerktraffic als Kriterium, wenn es in  einem Netzwerk zwei WSUS-Server gibt, kann der eine als Upstreamquelle dienen und der  andere als Downstreampunkt. In einer verteilten Architektur mit drei Standorten, die jeweils  über einen eigenen WSUS-Server verfügen, sollten die Update jeweils autonom über die  Standorte direkt über das Internet erfolgen.
  • Repliktation von Genehmigungen und Konfiguration: Es ist möglich Downstreamserver als  exakte Kopie des Updateservers einzurichten. Damit erhält der Downstreamserver auch alle  Informationen über Genehmigungen, Berechtigungen, Computergruppen u.a..
  • Updatespeicherung: Es ist möglich Updates lokal zu speichern, damit Clients Updates über  das interne Netz abrufen können.
  • Datenbank: In der Standardeinstellung speichert WSUS die Liste der Updates in einer lokalen  Datenbank
  • Websiteauswahl: WSUS funktioniert nur in Verbindung mit einem IIS. Cleints rufen Updates  über http oder https ab. Es ist möglich die Standardwebseite des IIS hierfür zu verwenden.
  • Sprachen: Es ist möglich die Updates nur in Hinsicht auf die benötigten Sprachen  durchzuführen und somit Traffic und Speicherplatz zu reduzieren.

2. Überwachung von WSUS
Neben integrierten Überwachungstools lassen sich zusätzliche Features installieren. Hilfreich sind  dabei fallweise:
  • Windows Update Console: Im Knoten Computer und Berichte läßt sich feststellen, welche  Clients welche Updates nicht installiert haben
  • Microsoft System Center Configuration Manager (MSCCM). Hier kann man sich detaillierte  Informationen über die Updates und Anwendungen ausgeben lassen, die auf verwalteten  Computern installiert sind
  • Microsoft Baseline Security Analyzer (MBSA). Mit MBSA läßt sich das gesamte Netzwerk  scannen und es können umfassende Informationen und Berichte über vorhandene Update,  fehlgeschlagene Updates und die zugehörigen Konfigurationen eingesehen werden.
  • Netzwerkzugriffsschutz (Network Access Protection NAP). Wenn NAP konfiguriert ist, läßt  sich im Überwachungsmodus feststellen, wie das Updateverhalten aussieht, im  Erzwingungsmodus können Computer, die die Integritätsprüfung nicht bestehen an ein  Wartungsnetzwerk weitergeleitet werden, um sich die benötigten Updates dort zu installieren.
Seitenanfang