http://www.tu-ilmenau.de

Logo TU Ilmenau


Ansprechpartner

UniRZ

IT Service Desk

Telefon +49 3677 69-1111

E-Mail senden

Ihre Position

INHALTE

TUILM-Update

MS WSUS-Server

Das UniRZ bietet für Windows Rechner der Technischen Universität die Nutzung eines MS Windows Server Update Services (WSUS) an. Der Dienst ermöglicht Betreibern von Windows Rechnern ihre Systeme auf dem aktuellen Patch-Stand zu halten. Der WSUS des UniRZ ist Teil eines Sicherheitskonzepts um Windowsclients innerhalb der Universität vor sicherheitskritischen Gefahren zu schützen.

Beim Windows Server Update Services (WSUS) handelt es sich um eine Patch- und Updatesoftware von Microsoft. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom WSUS-Server. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion statt. Der herkömmliche Windowsupdate über Start-Windows Update bzw. über den IE unter Sicherheit-Windows Update bleibt davon unberührt.

Die Vorteile bei der Nutzung des WSUS vom UniRZ  ist die Reduzierung der Belastung des GWin-Anschlusses durch die Funktion des WSUS-Servers als zentralen Verteilpunkt innerhalb der Universität, der WSUS-Server erfasst keine PC-/Benutzerdaten und kann deshalb auch keine Daten an MS weiterleiten, Updates für Windows Rechner können automatisiert installiert werden und   Rechner mit fehlenden Updates können besser identifiziert und gemanaged werden.

Die zu verwaltenden Rechner müssen nur  eine IP-Adresse im Netzbereich der Technischen Universität Ilmenau oder über einen Zugang über den VPN Server zum Netzwerk der Universität besitzen.

Welche Updates werden über den WSUS Server  der Universität Ilmenau angeboten?

Microsoft verteilt  Updates für fast alle seiner Produkte über WSUS:

  • Windows Betriebssysteme Windows 2000 bis Windows 10/ Windows Server 2003 bis 2016
  • Virtuell Rechner und Server
  • MS Produkte wie Internet Explorer, Outlook Express, Windows Media Player usw.
  • MS Office (XP und höher)
  • MS Exchange (2000 und höher), SMS, ISA-Server, Forefront
  • SQL Server (2000 und höher) und Microsoft SQL Server 2012 und 2014
  • Developer Tools, Runtimes  und Redistributables (Report viewer 2005 und Visual Studio 2005 und höher)

Und in folgenden Klassifizierungen:

  • Feature Packs
  • Service Packs
  • Sicherheitsupdates
  • Update Rollups
  • Updates
  • Upgrades
  • Wichtige Updates
  • Definitionsupdates
Konfiguration des Auto Update Clients

Die Konfiguration des Clients kann auf zwei verschiedenen Wegen erfolgen:

  • über ein Gruppenrichtlinienobjekt
  • direkt über die Registrierung


Bei beiden Varianten muss der Nutzer mit Administratorrechten angemeldet sein.
Für den Fall, dass eine Windows Domäne eingesetzt wird, kann das fertig konfigurierte Gruppenrichtlinienobjekt einfach auf die einzelnen Clients übertragen werden.

Die Konfiguration der Gruppenrichtlinien werden wie folgt durchgeführt:

  1. Start -> Ausführen... -> gpedit.msc -> Ok

  2. Unter Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten sollte nun der Punkt Windows Update aufgeführt sein
    Falls nicht, Rechtsklick auf Administrative Vorlagen -> Vorlagen hinzufügen/entfernen... -> Hinzufügen... -> wuau.adm -> Öffnen -> Schließen des Fensters Vorlagen hinzufügen/entfernen

  3. Unter 2. genanntem Punkt "Automatische Updates konfigurieren" doppelklicken

  4. Automatische Updates nun auf aktiviert setzen und den Modus gemäß der Tabelle auswählen (Für Windows 10 wird Einstellung "4" empfohlen)
    Automatische Updates nun auf aktiviert setzen und den Modus gemäß der Tabelle auswählen
    "0"Automatisch Updates deaktiviert
    "2"Prüfung auf Updates, Benachrichtigung vor Download und vor Installation
    "3"Prüfung auf Updates, automatischer Download, Benachrichtigung vor Installation
    "4"Prüfung auf Updates, automatischer Download und Installation
    "5"lokalem Administrator wird ermöglicht die Automatischen Updates zu konfigurieren (z. B. bei unterschiedlichen Installationszeitplänen sinnvoll)
  5. "Internen Pfad für den Microsoft Updatedienst angeben" doppelklicken, auf aktiviert setzen und "http://wsus.tu-ilmenau.de" in beide Felder eintragen

  6. "Option "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anzeigen" auf deaktiviert setzen, wenn der Modus 2 oder 3 gewählt wurde

  7. "Die Standardoption "Updates installieren und herunterfahren im Dialogfeld "Windows herunterfahren" nicht anpassen" aktivieren, wenn der Modus 2 oder 3 gewählt wurde

  8. Bei nicht zum Rechnernetz der TU Ilmenau gehörenden Rechnern (private) "Clientseitige Zielzuordnung aktivieren" aktivieren und als Gruppe "Sonstige" angeben (unabhängig davon, in welcher Sprache das Betriebssystem vorliegt); Option kann in der Registrierungsdatei weiter unten entfernt werden

  9. "Keinen automatischen Neustart für geplante Installationen durchführen" aktivieren, sonst kann es zu Datenverlust führen

  10. "Automatische Updates sofort installieren" aktivieren
    Die Konfiguration über die Registrierung wird wie folgt durchgeführt: 
  1. Start -> Ausführen... -> regedit -> Ok
  2. Schlüssel "HKEY_LOCAL_MACHINESoftwarePoliciesWindows" öffnen
  3. sofern noch nicht vorhanden, den Schlüssel "Windows Update" anlegen
  4. Anlegen der Zeichenfolge "TargetGroup" und den Wert "Sonstige" hier eintragen
  5. Anlegen des DWORD Wertes "TargetGroupEnabled" und den Wert 1 hier eintragen
  6. Anlegen oder Ändern der Zeichenfolge "WUServer" und den Wert "http://wsus.tu-ilmenau.de" hier eintragen 
  7. Anlegen oder Ändern der Zeichenfolge "WUStatusServer" und den Wert "http://wsus.tu-ilmenau.de" hier eintragen
  8. sofern noch nicht vorhanden, den Schlüssel "AU" in "Windows Update" anlegen
  9. Anlegen von DWORD-Werten gemäß folgender Tabelle (Groß-/Kleinschreibung beachten!):
Anlegen von DWORD-Werten gemäß folgender Tabelle (Groß-/Kleinschreibung beachten!)
AUOptions"3"Modus gemäß obiger Tabelle
AutoInstallMinorUpdates"1"Updates, die keinem Neustart bedürfen, automatisch installieren
DetectionFrequency"6"Zeitraum, in dem nach Updates gesucht wird
DetectionFrequencyEnabled"1"Option aktivieren
NoAUAsDefaultShutdownOption"0"Option "Updates installieren und herunterfahren" als Standardoption im "Herunterfahren"-Dialog festlegen
NoAUShutdownOption"0"Option "Updates installieren und herunterfahren" anzeigen
NoAutoRebootWithLoggedOnUsers"0"Kein automatischer Neustart bei eingeloggtem Benutzer
NoAutoUpdate"0"Bezug der Updates über WSUS
RebootRelaunchTimeoutEnabled"0"Aufforderung zum Neustart aktivieren
RebootWarningTimeoutEnabled"0"Warnmeldung für Neustart aktivieren
RescheduleWaitTime"1"Zeit der Installationswiederaufnahme nach dem Neustart
RescheduleWaitTimeEnabled"1"Option aktivieren
ScheduledInstallDay"0"Installationstag, nur für AUOption=4 notwendig
ScheduledInstallTime"c"Installationszeit, nur für AUOption=4 notwendig
UseWUServer"1"Lokalen WSUS Server nutzen

 

Eine fertig vorkonfigurierte Registrierungsdatei können Sie hier herunterladen.

Auf dem Server werden die Clients manuell den einzelnen Gruppen zugeordnet, weswegen es etwas Zeit benötigt, bis der Client die ersten Updates erhält.

Um eine Zuordnung der Rechner zu erleichtern, möchten wir Sie bitten, den FQDN (Full Qualified Domain Name, z. B. rz.tu-ilmenau.de) zusätzlich zum Hostnamen anzugeben. Dazu können Sie eine passende Registrierungsdatei hier herunter laden. Die Datei anschließend mit einem Editor Ihrer Wahl öffnen und die Domainsuffices entsprechend vervollständigen. Anschließend lediglich importieren.

Der FQDN kann auch in der Systemsteuerung unter System / Computername / Ändern... / Weitere... konfiguriert werden.

Konfiguration eines WSUS-Servers zur Synchronisation mit dem UniRZ WSUS

Wie auch schon die SUS Server, unterstützen die WSUS Server die Spiegelung, sodass z. B. in Fachbereichen oder Fakultäten eigene WSUS Server installiert werden können.Hierzu kann man während der Installation bereits angeben, dass man einen Spiegelserver installieren möchte.Dies ist allerdings nicht zu empfehlen, da sonst auch die Einstellungen vom UniRZ mit gespiegelt werden und man somit die Updates nicht selbst verteilen kann.Stattdessen gibt es unter dem Punkt Optionen -> Synchronisierungsoptionen der WSUS Webschnittstelle die Möglichkeit hier den WSUS Upstream Server einzustellen. Portnummer ist gemäß HTTP die 80.Derzeit umfassen die deutschen und englischen Updates ca. 78GB, weiter wachsend. Daher sollte man ausreichend Platz einkalkulieren.Der UniRZ WSUS synchronisiert täglich um 1:30 Uhr morgens. Aus diesem Grund empfiehlt es sich, den eigenen Synchronisationszeitpunkt entsprechend anzupassen.

Synchronisation zwischen WSUS und SUS bzw. umgekehrt ist nicht möglich.