Wir kennen es alle, Updates. Ob am Handy, Tablet, PC oder gar an Fernsehern und Receivern. Aber was macht man eigentlich, wenn man viele Windows-Systeme hat, die Aktualisiert werden müssen, kann diese Arbeit jedoch schon mal sehr zeitaufwendig werden. Abgesehen davon, besteht insbesondere in großen Infrastrukturen ein Risiko, dass Updates fehlerhaft sind und zu vielen Problemen innerhalb der Infrastruktur führen können.
Es wäre also gut, wenn wir festlegen könnten, dass Updates nicht zeitgleich auf allen Systemen installiert werden. Das Thema Redundanzen spielt hier auch nochmal eine große Rolle. Das ist jedoch ein Thema, für einen Separaten Blog-Artikel.
Kommen wir also zu den Updates.
Microsoft stellt einen Serverdienst bereit, der in der Lage sein soll Updates zu verwalten.
Aber wie funktioniert das Ganze? Okay, wir sind mal von vornherein ehrlich: Nicht so gut wie gehofft, bisher. Und um noch ehrlicher zu sein, Ich selbst kenne mich mit diesem Update-System noch nicht allzu gut aus. Ich lerne aber jeden Tag etwas dazu und lerne jeden Tag neue Dinge.
Ziel dieses Windows Update Servers ist es, Systemen innerhalb der eigenen Netzwerkinfrastruktur zu „verbieten“ mit dem Microsoft eigenen Windows Update Servern zu kommunizieren. Hierdurch können wir selbst entscheiden welche Updates zu welchem Zeitpunkt auf den Windows Servern installiert werden sollen. Dies kann auch in Gruppen geschehen, sodass wir z.B. erst einmal unkritische Systeme, Systeme die Redundant sind oder im besten fall Lab-Systeme (also Testsysteme) mit den aktuellen Updates zu versorgen. Dadurch kann geprüft werden ob die Updates zu Fehlern führen.
Sollten hier Fehler auftreten, können die Updates für die produktiv wichtigen Systeme gestoppt und unterbunden werden.
Da wir ja wissen, dass es ohne Backups kein Mitleid gibt, können wir natürlich alle Systeme, die einem Updatefehler zum Opfer gefallen sind, im schlimmsten Fall aus dem Backup wiederherstellen. Dadurch reduzieren wir zum einen das Risiko, dass es zu Systemausfällen kommt, zum anderen aber auch einen evtl. entstehenden Datenverlust.
Um die Clients dazu zu bewegen mit dem WSUS zu kommunizieren, gibt es 2 Methoden.
Methode 1: Wir haben Systeme, denen wir die Adresse unseres Update-Servers manuell mitteilen wollen. Hierzu müssen in der Registry ein paar Einträge vornehmen, um den Client dazu zu bewegen, sich die Informationen bei Unserem Update-Server zu holen. Das funktioniert zwar recht gut, ist jedoch etwas umständlich, wenn wir viele Clients haben.
Für den Fall, dass es mehrere Clients gibt, kann mittels Power Shell-Script die Eintragung in die Regedit vorgenommen werden.
Methode 2: Falls die Clients in einer Domäne sind, kann die Verteilung der Informationen und Einträge über eine Gruppenrichtlinie vorgenommen werden.
Alle Clients in der Domäne können so relativ einfach mit den Informationen unseres eigenen Updateservers versehen werden.
Hierzu muss im Active Directory des Domänen Controllers eine neue Organisationseinheit eingerichtet werden, in dem eine Sicherheitsgruppe angelegt wird, der die Clients der Domäne mit den entsprechenden Informationen versorgt.
In Kürze wird das Power Shell Script bereitgestellt, mit welchem die Anbindung der Clients an unseren eigenen Update-Server problemlos funktioniert. Ebenso wird es dort Hinweise geben, welche Daten ihr ergänzen müsst. Für Fragen, Hilfe oder Anregungen könnt Ihr euch per Mail an mich wenden.
Da das ganze hier ein Hobby-Projekt ist, welches bisher nur Minus auf meinem Konto erzeugt hat, kann es mal sein, dass eine Antwort einen oder 2 Tage dauert. Habt hierfür bitte Verständnis…
Musik, die du gehört haben musst: KATI K – Schizophren