Wenn man WSUS erfolgreich auf einem Server eingerichtet hat, dann startet er die Synchronisierung mit Microsoft Update oder anderen WSUS. Damit die Updates aber an die Clients gelangen, muss man diese über ein GPO konfigurieren. Für ein zielgenaues Patch-Management fasst man die Computer zu Gruppen zusammen.
Nach dem Hinzufügen der Windows Server Update Services, ihrer Erstkonfiguration und der initialen Synchronisierung zeigt die WSUS-Konsole eine Übersicht zu den verfügbaren Updates, unterteilt nach ihrer Klassifikation. Im Dashboard Computer sowie auf der Seite Alle Computer finden sich jedoch keine Einträge.
Client-seitige Konfiguration nötig
Rechner, die über WSUS mit Updates versorgt werden sollen, lassen sich jedoch nicht über die Konsole hinzufügen. Damit sie dort in der Übersicht auftauchen, müssen die Clients vielmehr selbst konfiguriert werden.
Sind die PCs Mitglied in einer Domäne, dann verknüpft man sie über Gruppenrichtlinien mit einem bestimmten WSUS-Server. In Workgroups muss man die entsprechenden Registry-Einträge entweder direkt setzen oder über lokale Gruppenrichtlinien. Eine Alternative stellt noch das Freeware-Tool WSUS Client Manager for Workgroups dar.
Bei der Verwendung von GPOs ist es empfehlenswert, ein eigenes für WSUS zu erstellen. Wenn man mehrere WSUS-Server einsetzt, dann ist man ohnehin gezwungen, für jeden ein separates GPO anzulegen, weil man darin den Clients nur den Namen jenes WSUS-Servers mitteilt, der für sie zuständig ist.
Einstellung für Pfad zu WSUS aktivieren
Die erforderlichen Einstellungen finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update. Für die Zuordnung von Clients zu einem bestimmten WSUS-Server aktiviert man Internen Pfad für den Microsoft Updatedienst angeben.
Dort trägt man den WSUS-Server in der Form http(s)://FQDN:Port ein, also beispielsweise
http://ws2016-wsus.contoso.de:8530
Läuft die Kommunikation über eine unverschlüsselte Verbindung, dann verwendet WSUS standardmäßig den Port 8530. Ändern kann man ihn über den IIS Manager.
Die Einstellung für die Pfade zum Update-Server enthält 3 Eingabefelder. Das erste erwartet die URL zum WSUS-Server, von dem die Clients ihre Updates empfangen sollen.
Das zweite dient der Eingabe eines Statistik-Servers. Die Idee dahinter war offenbar, die Daten zur Auswertung der Update-Aktivitäten auf einer Maschine zu konsolidieren. Das scheint in der Praxis aber nicht zu funktionieren, so dass man hier die gleiche URL eingibt wie im ersten Feld. Für ein zentrales Reporting und Monitoring ist stattdessen das mittlerweile uralte Rollup Sample Tool vorgesehen.
Im dritten Feld schließlich kann man einen alternativen WSUS-Server für den Download der Updates definieren. Lässt man das Feld Alternativen Downloadserver festlegen leer, dann können Clients parallel zum internen WSUS-Server ihre Updates auch von Microsoft Update beziehen (wobei WSUS eine höhere Priorität genießt).
Will man den Kontakt zu Microsoft Update unterbinden, dann aktiviert man die Richtlinie Keine Verbindungen mit Windows Update-Internetadressen herstellen(die aber Probleme bei der Aktivierung von Windows 10 verursachen kann).
Schließlich gibt es noch die Option Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist. Sie greift also nur dann, wenn man einen alternativen Server definiert hat und in den beschreibenden Informationen eines Updates keine URL für das Herunterladen angegeben ist.
Automatische Updates konfigurieren
Sobald nun ein GPO mit der Einstellung Internen Pfad für den Microsoft Updatedienst angeben auf bestimmte Clients angewandt wird, tauchen diese in der Konsole des betreffenden WSUS-Servers auf.
Diese Richtlinie alleine ist aber wirkungslos, und die Endgeräte beziehen so lange keine Updates vom WSUS-Server, bis nicht zusätzlich die Einstellung Automatische Updates konfigurieren aktiviert ist. Dort wählt man einen der vier angebotenen Installationsmodi und legt bei Bedarf einen Zeitplan fest.
Clients in Gruppen einteilen
Das Konzept von WSUS sieht vor, die zugeordneten Clients in Gruppen zusammenzufassen. Auf diese Weise kann man Verteilerringe organisieren. Dabei würde zum Beispiel eine kleine Zahl von Rechnern die neuen Updates zuerst bekommen. Treten dort keine Probleme auf, dann kann man diese Updates im großen Stil ausrollen.
Außerdem erlaubt diese Gliederung eine flexible Genehmigung von Updates durch die Verschachtelung von Gruppen. Hat man beispielsweise eine Struktur, bestehend aus den Gruppen IT, IT\Dev und IT\Helpdesk, dann erhalten alle drei sämtliche Updates, die man für IT genehmigt hat. Gleichzeit kann man andere Updates aber nur der untergeordneten Gruppe Dev zuweisen.
Einteilung über die Konsole oder GPOs
Wenn man Computer über GPOs an einen WSUS-Server zuteilt, dann tauchen diese zuerst unter Alle Computer sowie unter Nicht zugewiesene Computer auf. Nun hat man per Voreinstellung die Möglichkeit, neue Gruppen anzulegen und gleich auf der Konsole die Rechner in die passenden Gruppen einzuordnen. Dies erfolgt über den Befehl Mitgliedschaft ändern im Kontextmenü der PCs.
Alternativ lassen sich Rechner auch über GPOs automatisch in Gruppen aufnehmen. Dies erfordert, dass man erst zum GPO-Modus wechselt. Dazu öffnet man in der WSUS-Konsole Optionen und ruft über Computer den zuständigen Dialog auf. Dort wählt man Gruppenrichtlinie oder Registriereinstellungen auf Computern verwenden.
Nun befüllt man die WSUS-Gruppen über die GPO-Einstellung Clientseitige Zielzuordnung aktivieren.
Will man die betreffenden Rechner in mehr als einer Gruppe haben, dann trennt man deren Namen durch Semikolon.
