bluebay2014 - Fotolia
Windows Server Update Services: Das passende WSUS-Setup für jede Umgebung
Manchmal genügt ein WSUS-Server, bei komplexeren IT-Umgebungen sind hingegen hierarchische WSUS-Konfigurationen sinnvoll. Das richtige Setup finden.
Mit den Windows Server Update Services lässt sich die Verteilung von Microsoft-Updates in Windows-basierten Netzwerken verwalten. Die Bereitstellungsoptionen reichen von einem einfachen singulären System bis hin zu leistungsstarken, verteilten Infrastrukturen.
Administratoren, die ein einfaches Aufsetzen des WSUS-Servers bevorzugen, können einen einzelnen Server per WSUS-Serverrolle innerhalb der Firewall konfigurieren. Dieser WSUS-Server verbindet und synchronisiert sich mit Microsoft Update, dem Dienst, der die Updates für Windows-Betriebssysteme und andere Microsoft-Produkte bereitstellt. Alle neuen Updates werden bei Erscheinen mit dem WSUS-Server synchronisiert. Der Administrator muss allerdings dafür Sorge tragen, dass der WSUS-Server über Port 80 für HTTP-Verkehr und Port 443 für HTTPS-Datenverkehr kommunizieren kann und diese entsprechend geöffnet sind.
In größeren Unternehmen mit einer höheren Anzahl an Clients kann der Einsatz von mehreren WSUS-Servern sinnvoll sein. Admins können diese hierarchisch einstufen, mit übergeordneten und untergeordneten WSUS-Servern. Dabei stellt dann ein einzelner übergeordneter WSUS-Server (Upstream) die Verbindung zu Microsoft Update her. Die untergeordneten WSUS-Server stellen dann nachgeschaltet eine Verbindung zum übergeordneten WSUS-Server her und beziehen von diesem die Udpates, die dann wiederum an die Clients verteilt werden. Eine Konfiguration mit mehreren WSUS-Servern bietet sich auch für Firmen mit mehreren Niederlassungen an. Admins können dann an jedem Standort einen Downstream-Server bereitstellen – mit aktivierter BranchCache-Funktion. Damit die Verteilung der Updates zeitnah erfolgt, sollte die Hierarchie nicht mehr als drei Ebenen aufweisen.
Updates mit Genehmigung durchreichen
Die IT-Abteilung kann das WSUS-Server-Setup so konfigurieren, dass der Upstream-Server die Microsoft Updates an die Downstream-Server weiterreicht, ohne dass eine gesonderte Genehmigung erfolgt. Microsoft spricht hier von einem autonomen Modus. Dann führen die Admins dieser WSUS-Server vor Ort die Prüfung, Genehmigung und das Einspielen der Updates durch. Wenn der Replika-Modus für den WSUS-Server gewählt wird, synchronisiert der Upstream-Server auch die Genehmigungen mit den Downstream-Servern. So kann es je nach Standorten oder Anwendungsfall auch sinnvoll sein, beide Modi im Unternehmen zu verwenden. Eine ausführliche Beschreibung der Konfigurationsmöglichkeiten finden Sie auch auf Microsofts MSDN.
Üblicherweise wird WSUS als Online-Dienst eingesetzt, besondere Anwendungsfälle können aber auch eine Verwendung als Offline-Variante erfordern. In einem solchen Szenario werden die Updates per WSUS in einer kontrollierten Umgebung zum Testen heruntergeladen. Sobald die Admins die Updates getestet haben und diese für die produktive Umgebung freigegeben haben, exportieren sie diese auf ein Speichermedium. Auf einem WSUS-Server in einem geschlossenen Netzwerk lassen sich diese dann wieder importieren und entsprechend verteilen.
Probleme beim Windows Server Upgrade
WSUS kann für Probleme sorgen, wenn ein Upgrade auf Windows Server 2012 R2 (oder höher, sprich Windows Server 2016) durchgeführt werden soll. Unter Umständen wird die Installation blockiert, wenn WSUS 3.2 erkannt wird. Darüber hinaus kann es zu Problemen nach dem Upgrade kommen, die im nach hinein nicht repariert werden können, ohne dass Installationslaufwerk zu formatieren und den Server komplett neu aufzusetzen. Daher empfiehlt es sich WSUS 3.2 zu deinstallieren, bevor das Server-Upgrade durchgeführt wird.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!