Schritt 2: Konfigurieren von WSUS
Nachdem Sie die Serverrolle „Windows Server Update Services (WSUS)“ auf Ihrem Server installiert haben, müssen Sie sie ordnungsgemäß konfigurieren. Außerdem müssen Sie Ihre Clientcomputer so konfigurieren, dass sie ihre Updates vom WSUS-Server erhalten.
In diesem Artikel werden die folgenden Verfahren beschrieben:
Aufgabe | BESCHREIBUNG |
---|---|
2.1. Konfigurieren der Netzwerkverbindungen | Konfigurieren Sie Ihre Firewall- und Proxyeinstellungen so, dass der Server die benötigten Verbindungen herstellen kann. |
2.2. Konfigurieren von WSUS mit dem WSUS-Konfigurations-Assistenten | Verwenden Sie den WSUS-Konfigurations-Assistenten, um die WSUS-Basiskonfiguration auszuführen. |
2.3. Schützen von WSUS mit dem Secure Sockets Layer-Protokoll | Konfigurieren Sie das Secure Sockets Layer (SSL)-Protokoll zum Schutz von WSUS. |
2.4. Konfigurieren von WSUS-Computergruppen | Erstellen Sie Computergruppen in der WSUS-Verwaltungskonsole zum Verwalten von Updates in Ihrer Organisation. |
2.5. Konfigurieren von Clientcomputern zum Herstellen von SSL-Verbindungen mit dem WSUS-Server | Richten Sie die Clientcomputer so ein, dass sichere Verbindungen mit dem WSUS-Server hergestellt werden. |
2.6. Konfigurieren von Clientcomputern zum Empfangen von Updates vom WSUS-Server | Richten Sie die Clientcomputer so ein, dass sie ihre Updates vom WSUS-Server erhalten. |
2.1. Konfigurieren der Netzwerkverbindungen
Bevor Sie mit der Konfiguration beginnen, müssen Sie sich die folgenden Fragen beantworten:
Ist die Firewall des Servers so konfiguriert, dass Clients auf den Server zugreifen können?
Kann dieser Computer eine Verbindung mit dem Upstreamserver herstellen (z. B. dem Server, der zum Herunterladen von Updates von Microsoft Update verwendet wird)?
Kennen Sie den Namen des Proxyservers und die Benutzeranmeldeinformationen für den Proxyserver, falls Sie sie benötigen?
Anschließend können Sie mit der Konfiguration der folgenden WSUS-Netzwerkeinstellungen beginnen:
Updates: Geben Sie an, wie dieser Server Updates abruft (von Microsoft Update oder von einem anderen WSUS-Server).
Proxy: Wenn WSUS einen Proxyserver für den Internetzugriff verwenden muss, müssen Sie Proxyeinstellungen im WSUS-Server konfigurieren.
Firewall: Wenn sich WSUS hinter einer Unternehmensfirewall befindet, müssen einige zusätzliche Schritte auf dem Edgegerät ausgeführt werden, um den WSUS-Datenverkehr zuzulassen.
Wichtig
Wenn Sie nur über einen WSUS-Server verfügen, muss dieser über Internetzugriff verfügen, da er Updates von Microsoft herunterladen muss. Wenn Sie über mehrere WSUS-Server verfügen, benötigt nur ein Server Internetzugriff. Die anderen benötigen nur Netzwerkzugriff auf den mit dem Internet verbundenen WSUS-Server. Ihre Clientcomputer benötigen keinen Internetzugriff, sondern lediglich Netzwerkzugriff auf einen WSUS-Server.
Tipp
Wenn Sie über ein „ Air-Gap“-Netzwerk verfügen (wenn es überhaupt keinen Zugriff auf das Internet hat), können Sie WSUS trotzdem verwenden, um Updates für Clientcomputer im Netzwerk bereitzustellen. Für diesen Ansatz sind zwei WSUS-Server erforderlich. Ein WSUS-Server mit Internetzugriff sammelt die Updates von Microsoft. Ein zweiter WSUS-Server im geschützten Netzwerk stellt die Updates für die Clientcomputer bereit. Updates werden vom ersten Server auf Wechselmedien exportiert, über das Air-Gap übertragen und auf den zweiten Server importiert. Dies ist eine erweiterte Konfiguration, die über den Rahmen dieses Artikel hinausgeht.
2.1.1. Konfigurieren Ihrer Firewall, sodass Ihr erster WSUS-Server eine Verbindung mit Microsoft-Domänen im Internet herstellen kann
Falls eine Unternehmensfirewall zwischen WSUS und dem Internet vorhanden ist, müssen Sie sie ggf. konfigurieren, um sicherzustellen, dass WSUS Updates abrufen kann. Der WSUS-Server verwendet die Ports 80 und 443 für das HTTP- und das HTTPS-Protokoll, um Updates von Microsoft Update abzurufen. Die meisten Unternehmensfirewalls lassen diese Art von Datenverkehr zu. In einigen Unternehmen ist der Internetzugriff der Server aber durch Sicherheitsrichtlinien eingeschränkt. Wenn Ihr Unternehmen den Zugriff einschränkt, müssen Sie Ihre Firewall so konfigurieren, dass Ihr WSUS-Server auf Microsoft-Domänen zugreifen kann.
Ihr erster WSUS-Server muss über ausgehenden Zugriff auf die Ports 80 und 443 in den folgenden Domänen verfügen:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
https://dl.delivery.mp.microsoft.com
http://*.delivery.mp.microsoft.com
https://*.delivery.mp.microsoft.com
Wichtig
Sie müssen Ihre Firewall so konfigurieren, dass der erste WSUS-Server auf alle URLs innerhalb dieser Domänen zugreifen kann. Die IP-Adressen, die diesen Domänen zugeordnet sind, ändern sich ständig. Versuchen Sie daher nicht, stattdessen IP-Adressbereiche zu verwenden.
Informationen zu einem Szenario, bei dem WSUS aufgrund von Firewallkonfigurationen keine Updates abrufen kann, finden Sie in der Microsoft Knowledge Base im Artikel 885819.
2.1.2. Konfigurieren der Firewall, sodass Ihre anderen WSUS-Server eine Verbindung mit dem ersten Server herstellen können
Wenn Sie über mehrere WSUS-Server verfügen, sollten Sie die anderen WSUS-Server so konfigurieren, dass sie auf den ersten („obersten“) Server zugreifen können. Ihre anderen WSUS-Server erhalten alle Updateinformationen vom obersten Server. Durch diese Konfiguration können Sie Ihr gesamtes Netzwerk mithilfe der WSUS-Verwaltungskonsole auf dem obersten Server verwalten.
Ihre anderen WSUS-Server müssen über ausgehenden Zugriff auf den obersten Server über zwei Ports verfügen. Standardmäßig sind dies die Ports 8530 und 8531. Sie können diese Ports ändern, wie weiter unten in diesem Artikel beschrieben.
Hinweis
Wenn die Netzwerkverbindung zwischen den WSUS-Servern langsam oder teuer ist, können Sie einen oder mehrere der anderen WSUS-Server so konfigurieren, dass sie Updatenutzlasten direkt von Microsoft empfangen. In diesem Fall wird nur eine kleine Datenmenge von diesen WSUS-Servern an den obersten Server gesendet. Die anderen WSUS-Server müssen Zugriff auf die gleichen Internetdomänen wie der oberste Server haben, damit diese Konfiguration funktioniert.
Hinweis
Wenn Sie über eine große Organisation verfügen, können Sie Ketten verbundener WSUS-Server verwenden, anstatt alle anderen WSUS-Server direkt mit dem obersten Server zu verbinden. Beispielsweise können Sie über einen zweiten WSUS-Server verfügen, der eine Verbindung mit dem obersten Server herstellt, und dann andere WSUS-Server eine Verbindung mit dem zweiten WSUS-Server herstellen lassen.
2.1.3. Konfigurieren Ihrer WSUS-Server, sodass bei Bedarf ein Proxyserver verwendet wird
Wenn das Unternehmensnetzwerk Proxyserver verwendet, müssen die Proxyserver HTTP- und HTTPS-Protokolle unterstützen. Sie müssen außerdem die Standardauthentifizierung oder die Windows-Authentifizierung verwenden. Diese Anforderungen können mithilfe einer der folgenden Konfigurationen erfüllt werden:
Ein einzelner Proxyserver, der zwei Protokollkanäle unterstützt. In diesem Fall legen Sie einen Kanal für die Verwendung von HTTP und den anderen Kanal für HTTPS fest.
Hinweis
Sie können einen Proxyserver einrichten, der beide Protokolle für WSUS während der Installation der WSUS-Serversoftware verarbeitet.
Zwei Proxyserver, von denen jeder ein einzelnes Protokoll unterstützt. In diesem Fall ist ein Proxyserver für die Verwendung von HTTP und der andere Proxyserver zur Verwendung von HTTPS konfiguriert.
Einrichten von WSUS zur Verwendung der beiden Proxyserver
Melden Sie sich bei dem Computer, der als WSUS-Server verwendet wird, mit einem Konto an, das Mitglied der Gruppe der lokalen Administratoren ist.
Installieren Sie die WSUS-Serverrolle. Geben Sie bei Verwendung des WSUS-Konfigurations-Assistenten keinen Proxyserver an.
Öffnen Sie eine Eingabeaufforderung (Cmd.exe) als Administrator:
- Öffnen Sie das Startmenü.
- Gib in Suche starten den Suchbegriff Eingabeaufforderung ein.
- Klicken Sie am oberen Rand des Startmenüs mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie dann Als Administrator ausführen aus.
- Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, geben Sie die entsprechenden Anmeldeinformationen ein (falls angefordert), vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und wählen Sie dann Weiter aus.
Wechseln Sie im Eingabeaufforderungsfenster zum Ordner C:\Programme\Update Services\Tools. Geben Sie den folgenden Befehl aus:
wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable
Dieser Befehl umfasst folgende Parameter:
proxy_server steht für den Namen des Proxyservers, der HTTPS unterstützt.
proxy_port ist die Portnummer des Proxyservers.
Schließen Sie das Eingabeaufforderungsfenster.
Hinzufügen eines Proxyservers zur WSUS-Konfiguration
Öffnen Sie die WSUS-Verwaltungskonsole.
Erweitern Sie im linken Bereich den Servernamen, und wählen Sie dann Optionen aus.
Wählen Sie im Bereich Optionen die Option Updatequelle und Proxyserver und anschließend die Registerkarte Proxyserver aus.
Aktivieren Sie das Kontrollkästchen Proxyserver für die Synchronisierung verwenden.
Geben Sie im Textfeld Proxyservername den Namen des Proxyservers ein.
Geben Sie im Textfeld Proxyportnummer die Portnummer des Proxyservers ein. Die Standardportnummer ist 80.
Wenn der Proxyserver erfordert, dass Sie ein bestimmtes Benutzerkonto verwenden, aktivieren Sie das Kontrollkästchen Benutzeranmeldeinformationen für die Verbindungsherstellung mit dem Proxyserver verwenden. Geben Sie den erforderlichen Benutzernamen, die Domäne und das Kennwort in die entsprechenden Textfelder ein.
Falls der Proxyserver Standardauthentifizierung unterstützt, aktivieren Sie das Kontrollkästchen Standardauthentifizierung zulassen (Kennwort wird in Klartext gesendet) .
Klicken Sie auf OK.
Entfernen eines Proxyservers aus der WSUS-Konfiguration
Deaktivieren Sie das Kontrollkästchen Proxyserver für die Synchronisierung verwenden.
Klicken Sie auf OK.
2.1.4. Konfigurieren der Firewall, sodass Clientcomputer auf einen WSUS-Server zugreifen können
Alle Clientcomputer stellen eine Verbindung mit einem Ihrer WSUS-Server her. Der Clientcomputer muss über ausgehenden Zugriff auf zwei Ports auf dem WSUS-Server verfügen. Standardmäßig sind dies die Ports 8530 und 8531.
2.2. Konfigurieren von WSUS mit dem WSUS-Konfigurations-Assistenten
Dieses Verfahren setzt voraus, dass Sie den WSUS-Konfigurations-Assistenten verwenden, der beim erstmaligen Starten der WSUS-Verwaltungskonsole angezeigt wird. Weiter unter in diesem Thema wird beschrieben, wie Sie diese Konfigurationen auf der Seite Optionen ausführen.
So konfigurieren Sie WSUS
Wählen Sie im linken Bereich des Server-Managers Dashboard>Tools>Windows Server Update Services aus.
Hinweis
Wenn das Dialogfeld WSUS-Installation abschließen angezeigt wird, wählen Sie Ausführen aus. Wählen Sie im Dialogfeld WSUS-Installation abschließen die Option Schließen aus, wenn die Installation erfolgreich abgeschlossen wurde.
Der WSUS-Konfigurations-Assistent wird geöffnet. Lesen Sie die Informationen auf der Seite Vorbemerkungen, und wählen Sie dann Weiter aus.
Lesen Sie die Anweisungen auf der Seite Am Programm zur Verbesserung von Microsoft Update teilnehmen. Behalten Sie die Standardauswahl bei, wenn Sie am Programm teilnehmen möchten, oder deaktivieren Sie das Kontrollkästchen, falls nicht. Wählen Sie Weiteraus.
Wählen Sie auf der Seite Upstreamserver auswählen eine der beiden Optionen aus: Updates mit Microsoft Update synchronisieren oder Mit einem anderen Windows Server Update Services-Server synchronisieren.
Wenn Sie sich für die Synchronisierung mit einem anderen WSUS-Server entscheiden:
Geben Sie den Servernamen und den Port an, über den der Server mit dem Upstreamserver kommuniziert.
Wenn Sie SSL verwenden möchten, aktivieren Sie das Kontrollkästchen SSL beim Synchronisieren der Updateinformationen verwenden. Die Server verwenden den Port 443 für die Synchronisierung. (Stellen Sie sicher, dass dieser Server und der Upstreamserver SSL unterstützen.)
Falls es sich um einen Replikatserver handelt, aktivieren Sie das Kontrollkästchen Dies ist ein Replikat des Upstreamservers.
Nachdem Sie die Optionen für Ihre Bereitstellung ausgewählt haben, wählen Sie Weiter aus.
Aktivieren Sie auf der Seite Proxyserver angeben das Kontrollkästchen Proxyserver beim Synchronisieren verwenden. Geben Sie dann den Proxyservernamen und die Portnummer (standardmäßig Port 80) in die entsprechenden Felder ein.
Wichtig
Dieser Schritt muss ausgeführt werden, wenn WSUS einen Proxyserver für den Internetzugriff benötigt.
Wenn Sie für die Verbindung mit dem Proxyserver Anmeldeinformationen eines bestimmten Benutzers verwenden möchten, aktivieren Sie das Kontrollkästchen Benutzeranmeldeinformationen für die Verbindungsherstellung mit dem Proxyserver verwenden. Geben Sie dann den Benutzernamen, die Domäne und das Kennwort des Benutzers in die entsprechenden Felder ein.
Falls Sie für den Benutzer, der die Verbindung mit dem Proxyserver herstellt, die Standardauthentifizierung aktivieren möchten, aktivieren Sie das Kontrollkästchen Standardauthentifizierung zulassen (Kennwort wird in Klartext gesendet) .
Wählen Sie Weiter aus.
Wählen Sie auf der Seite Mit Upstreamserver verbinden die Option Verbindung starten aus.
Wenn WSUS eine Verbindung mit dem Server herstellt, wählen Sie Weiter aus.
Auf der Seite Sprachen auswählen können Sie die Sprachen auswählen, für die WSUS Updates empfängt: alle Sprachen oder eine Teilmenge von Sprachen. Wenn Sie eine Teilmenge von Sprachen auswählen, sparen Sie Speicherplatz. Es ist jedoch wichtig, alle Sprachen auszuwählen, die für sämtliche Clients dieses WSUS-Servers erforderlich sind.
Wenn Sie Updates nur für bestimmte Sprachen abrufen möchten, wählen Sie Updates nur in folgenden Sprachen herunterladen und dann die gewünschten Sprachen aus. Übernehmen Sie andernfalls die Standardeinstellung.
Warnung
Wenn Sie die Option Updates nur in folgenden Sprachen herunterladenauswählen und ein WSUS-Downstreamserver mit dem Server verbunden ist, werden für den Downstreamserver ebenfalls nur die ausgewählten Sprachen verwendet.
Nachdem Sie die Sprachoptionen für Ihre Bereitstellung ausgewählt haben, wählen Sie Weiter aus.
Auf der Seite Produkte auswählen können Sie die Produkte angeben, für die Sie Updates herunterladen möchten. Wählen Sie Produktkategorien wie Windows oder bestimmte Produkte wie Windows Server 2012 aus. Durch die Auswahl einer Produktkategorie werden alle Produkte in der Kategorie ausgewählt.
Nachdem Sie die Produktoptionen für Ihre Bereitstellung ausgewählt haben, wählen Sie Weiter aus.
Wählen Sie auf der Seite Klassifizierungen auswählen die gewünschten Updateklassifizierungen aus. Sie können alle Klassifizierungen oder eine Teilmenge auswählen. Wählen Sie anschließend Weiter aus.
Auf der Seite Synchronisierungszeitplan festlegen können Sie auswählen, ob die Synchronisierung manuell oder automatisch ausgeführt werden soll.
Bei Auswahl von Manuell synchronisierenmüssen Sie die Synchronisierung über die WSUS-Verwaltungskonsole starten.
Bei Auswahl von Automatisch synchronisieren führt der WSUS-Server die Synchronisierung in festgelegten Intervallen aus.
Legen Sie die Zeit für Erste Synchronisierungfest, und geben Sie an, wie viele Synchronisierungen dieser Server pro Tag ausführen soll. Wenn Sie beispielsweise vier Synchronisierungen pro Tag angeben, beginnend um 3:00 Uhr, erfolgen Synchronisierungen um 3:00 Uhr, 9:00 Uhr, 15:00 Uhr und 21:00 Uhr.
Nachdem Sie die Synchronisierungsoptionen für Ihre Bereitstellung ausgewählt haben, wählen Sie Weiter aus.
Auf der Seite Fertig gestellt haben Sie die Möglichkeit, die Synchronisierung direkt zu starten, indem Sie das Kontrollkästchen Erstsynchronisierung starten aktivieren.
Wenn Sie diese Option nicht auswählen, müssen Sie die Erstsynchronisierung über die WSUS-Verwaltungskonsole ausführen. Wählen Sie Weiter aus, wenn Sie mehr über zusätzliche Einstellungen erfahren möchten, oder Fertig stellen, um den Assistenten zu beenden und die WSUS-Erstkonfiguration abzuschließen.
Nach dem Auswählen von Fertig stellen wird die WSUS-Verwaltungskonsole angezeigt. Sie verwenden diese Konsole, um Ihr WSUS-Netzwerk zu verwalten, wie weiter unten beschrieben.
2.3. Schützen von WSUS mit dem Secure Sockets Layer-Protokoll
Sie sollten das SSL-Protokoll zum Sichern Ihres WSUS-Netzwerks verwenden. WSUS kann SSL verwenden, um Verbindungen zu authentifizieren und Updateinformationen zu verschlüsseln und zu schützen.
Warnung
Die Sicherung von WSUS mithilfe des SSL-Protokolls ist für die Sicherheit Ihres Netzwerks wichtig. Wenn Ihr WSUS-Server SSL nicht ordnungsgemäß verwendet, um seine Verbindungen zu schützen, kann ein Angreifer möglicherweise wichtige Updateinformationen während der Übertragung von einem WSUS-Server an einen anderen oder vom WSUS-Server an die Clientcomputer ändern. Dadurch kann der Angreifer Schadsoftware auf Clientcomputern installieren.
Wichtig
Clients und Downstreamserver, die für die Verwendung von Transport Layer Security (TLS) oder HTTPS konfiguriert werden, müssen auch zur Verwendung eines vollqualifizierten Domänennamens (FQDN) für WSUS-Upstreamserver konfiguriert werden.
2.3.1. Aktivieren von SSL/HTTPS im IIS-Dienst des WSUS-Servers für die Verwendung von SSL/HTTPS
Um den Prozess zu starten, müssen Sie die SSL-Unterstützung im IIS-Dienst des WSUS-Servers aktivieren. Dies umfasst das Erstellen eines SSL-Zertifikats für den Server.
Die Schritte, die zum Abrufen eines SSL-Zertifikats für den Server erforderlich sind, gehen über den Rahmen dieses Artikels hinaus und hängen von Ihrer Netzwerkkonfiguration ab. Weitere Informationen und eine Anleitung zum Installieren von Zertifikaten sowie zum Einrichten der Umgebung finden Sie in den folgenden Artikeln:
Active Directory-Zertifikatdienste: Leitfaden zu Upgrades und zur Migration
Konfigurieren der automatischen Registrierung von Zertifikaten
2.3.2. Konfigurieren des IIS-Webservers des WSUS-Servers für die Verwendung von SSL für einige Verbindungen
WSUS erfordert zwei Ports für Verbindungen mit anderen WSUS-Servern und Clientcomputern. Ein Port verwendet SSL/HTTPS, um Update-Metadaten (wichtige Informationen zu den Updates) zu senden. Standardmäßig ist dies Port 8531. Ein zweiter Port verwendet HTTP, um Updatenutzlasten zu senden. Standardmäßig ist dies Port 8530.
Wichtig
Sie können nicht die gesamte WSUS-Website so konfigurieren, dass SSL erforderlich ist. WSUS ist nur für die Verschlüsselung von Updatemetadaten konzipiert. Auf dieselbe Weise werden die Updates auch von Windows Update verteilt.
Zum Schutz vor Angreifern, die die Updatenutzlasten manipulieren, werden alle Updatenutzlasten mit einem bestimmten Satz vertrauenswürdiger Signaturzertifikate signiert. Darüber hinaus wird ein kryptografischer Hash für jede Updatenutzlast berechnet. Der Hash wird zusammen mit den anderen Metadaten für das Update über die sichere HTTPS-Metadatenverbindung an den Clientcomputer gesendet. Wenn ein Update heruntergeladen wird, überprüft die Clientsoftware die digitale Signatur und den Hash der Nutzlast. Wenn das Update geändert wurde, wird es nicht installiert.
Sie sollten SSL nur für diese virtuellen IIS-Stammverzeichnisse benötigen:
SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
APIremoting30
ClientWebService
Sie sollten SSL nicht für die virtuellen Stammverzeichnisse erfordern:
Inhalt
Inventory
ReportingWebService
SelfUpdate
Das Zertifikat der Zertifizierungsstelle (CA) muss in den Speicher für vertrauenswürdige Stammzertifizierungsstellen jedes WSUS-Servers für den lokalen Computer oder in den Speicher für vertrauenswürdige Stammzertifizierungsstellen für WSUS (sofern vorhanden) importiert werden.
Weitere Informationen zur Verwendung von SSL-Zertifikaten in IIS finden Sie unter Require Secure Sockets Layer (IIS 7).
Wichtig
Sie müssen den Zertifikatspeicher für den lokalen Computer verwenden. Sie können nicht den Zertifikatspeicher eines Benutzers verwenden.
Normalerweise sollten Sie IIS so konfigurieren, dass Port 8531 für HTTPS-Verbindungen und Port 8530 für HTTP-Verbindungen verwendet wird. Wenn Sie diese Ports ändern, müssen Sie zwei benachbarte Portnummern verwenden. Die für HTTP-Verbindungen verwendete Portnummer muss genau um 1 kleiner sein als die für HTTPS-Verbindungen verwendete Portnummer.
Sie müssen ClientServicingProxy erneut initialisieren, wenn der Servername, die SSL-Konfiguration oder die Portnummer geändert wurde.
2.3.3. Konfigurieren von WSUS für die Verwendung des SSL-Signaturzertifikats für seine Clientverbindungen
Melden Sie sich bei dem WSUS-Server mit einem Konto an, das Mitglied der WSUS-Administratorgruppe oder der lokalen Administratorgruppe ist.
Wechseln Sie zu Start, geben Sie CMDein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung, und wählen Sie dann Als Administrator ausführen aus.
Wechseln Sie zum Ordner %ProgramFiles%\Update Services\Tools\.
Geben Sie den folgenden Befehl in das Eingabeaufforderungsfenster ein:
wsusutil configuressl _certificateName_
In diesem Befehl ist certificateName der DNS-Name des WSUS-Servers.
2.3.4. Sichern der SQL Server-Verbindung (falls erforderlich)
Wenn Sie WSUS mit einer SQL Server-Remotedatenbank verwenden, wird die Verbindung zwischen dem WSUS-Server und dem Datenbankserver nicht durch SSL gesichert. Dadurch entsteht ein potenzieller Angriffsvektor. Beachten Sie die folgenden Empfehlungen, um diese Verbindung zu schützen:
Verschieben Sie die WSUS-Datenbank auf den WSUS-Server.
Verschieben Sie die Remotedatenbankserver und den WSUS-Server in ein privates Netzwerk.
Stellen Sie Internet Protocol Security (IPsec) bereit, um den Netzwerkverkehr zu sichern. Weitere Informationen zu IPsec finden Sie unter Erstellen und Verwenden von IPsec-Richtlinien.
2.3.5. Erstellen eines Codesignierungszertifikats für die lokale Veröffentlichung (falls erforderlich)
Neben der Verteilung der von Microsoft bereitgestellten Updates unterstützt WSUS die lokale Veröffentlichung. Mit der lokalen Veröffentlichung können Sie Updates, die Sie selbst entwerfen, mit Ihren eigenen Nutzlasten und Verhaltensweisen erstellen und verteilen.
Das Aktivieren und Konfigurieren der lokalen Veröffentlichung geht über den Rahmen dieses Artikels hinaus. Ausführliche Informationen finden Sie unter Lokale Veröffentlichung.
Wichtig
Die lokale Veröffentlichung ist ein komplizierter Prozess und wird häufig nicht benötigt. Bevor Sie sich für die Aktivierung der lokalen Veröffentlichung entscheiden, sollten Sie die Dokumentation sorgfältig lesen und überlegen, ob und wie Sie diese Funktionalität verwenden werden.
2.4. Konfigurieren von WSUS-Computergruppen
Computergruppen sind ein wichtiger Bestandteil der effektiven Verwendung von WSUS. Mithilfe von Computergruppen können Sie Updates testen und gezielt für bestimmte Computer anwenden. Zwei Standardcomputergruppen sind verfügbar: %%amp;quot;Alle Computer%%amp;quot; und %%amp;quot;Nicht zugewiesene Computer%%amp;quot;. Standardmäßig fügt der WSUS-Server jeden Clientcomputer bei der ersten Verbindungsherstellung mit dem Server einer dieser beiden Gruppen hinzu.
Sie können beliebig viele benutzerdefinierte Computergruppen erstellen, um Updates in Ihrer Organisation zu verwalten. Es wird empfohlen, mindestens eine Computergruppe zu erstellen, mit der Updates getestet werden können, bevor sie auf anderen Computern in der Organisation bereitgestellt werden.
2.4.1. Auswählen eines Ansatzes zum Zuweisen von Clientcomputern zu Computergruppen
Es gibt zwei Ansätze zum Zuweisen von Clientcomputern zu Computergruppen. Welcher Ansatz für Ihre Organisation geeignet ist, hängt davon ab, wie Sie Ihre Clientcomputer typischerweise verwalten.
Serverseitige Zielgruppenadressierung: Dies ist der Standardansatz. Bei diesem Ansatz weisen Sie Clientcomputer mithilfe der WSUS-Verwaltungskonsole zu Computergruppen zu.
Dieser Ansatz bietet Ihnen die Flexibilität, Clientcomputer schnell von einer Gruppe in eine andere zu verschieben, wenn sich die Umstände ändern. Dies bedeutet jedoch, dass neue Clientcomputer manuell aus der Gruppe „Nicht zugewiesene Computer“ in die entsprechende Computergruppe verschoben werden müssen.
Clientseitige Zielgruppenadressierung: Bei diesem Ansatz weisen Sie jeden Clientcomputer mithilfe von Richtlinieneinstellungen, die auf dem Clientcomputer selbst festgelegt sind, zu Computergruppen zu.
Auf diese Weise ist es einfacher, neue Clientcomputer zu den entsprechenden Gruppen zuzuordnen. Dies geschieht im Rahmen der Konfiguration des Clientcomputers für den Empfang von Updates vom WSUS-Server. Das bedeutet jedoch, dass Clientcomputer nicht mithilfe der WSUS-Verwaltungskonsole zu Computergruppen zugewiesen oder von einer Computergruppe in eine andere verschoben werden können. Stattdessen müssen die Richtlinien der Clientcomputer geändert werden.
2.4.2. Aktivieren der clientseitigen Zielzuordnung (falls zutreffend)
Wichtig
Überspringen Sie diesen Schritt, wenn Sie die serverseitige Zielgruppenadressierung verwenden.
Erweitern Sie in der WSUS-Verwaltungskonsole unter Update Services den WSUS-Server, und wählen Sie dann Optionen aus.
Wählen Sie auf der Registerkarte Allgemein im Bereich Optionen die Option Gruppenrichtlinie oder Registrierungseinstellungen auf Computern verwenden aus.
2.4.3. Erstellen der gewünschten Computergruppen
Hinweis
Sie müssen Computergruppen mithilfe der WSUS-Verwaltungskonsole erstellen, unabhängig davon, ob Sie die serverseitige oder clientseitige Zielgruppenadressierung verwenden, um Clientcomputer zu den Computergruppen hinzuzufügen.
Erweitern Sie in der WSUS-Verwaltungskonsole unter Update Servicesden Eintrag Computer, klicken Sie mit der rechten Maustaste auf Alle Computer, und wählen Sie dann Computergruppe hinzufügen aus.
Geben Sie im Dialogfeld Computergruppe hinzufügen den Namen der neuen Gruppe in das Feld Name ein. Wählen Sie anschließend Hinzufügen.
2.5. Konfigurieren von Clientcomputern zum Herstellen von SSL-Verbindungen mit dem WSUS-Server
Wenn Sie den WSUS-Server so konfiguriert haben, dass die Verbindungen der Clientcomputer mithilfe von SSL geschützt werden, müssen Sie die Clientcomputer so konfigurieren, dass sie diesen SSL-Verbindungen vertrauen.
Das SSL-Zertifikat des WSUS-Servers muss in den Speicher für vertrauenswürdige Stammzertifizierungsstellen des Clientcomputers oder in den Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ des automatischen Updatediensts der Clientcomputer (sofern vorhanden) importiert werden.
Wichtig
Sie müssen den Zertifikatspeicher für den lokalen Computer verwenden. Sie können nicht den Zertifikatspeicher eines Benutzers verwenden.
Die Clientcomputer müssen dem Zertifikat vertrauen, das Sie an den WSUS-Server binden. Je nach verwendetem Zertifikattyp müssen Sie möglicherweise einen Dienst einrichten, sodass die Clientcomputer dem an den WSUS-Server gebundenen Zertifikat vertrauen.
Wenn Sie die lokale Veröffentlichung verwenden, sollten Sie die Clientcomputer außerdem so konfigurieren, dass sie dem Codesignierungszertifikat des WSUS-Servers vertrauen. Anweisungen finden Sie unter Lokale Veröffentlichung.
2.6. Konfigurieren von Clientcomputern zum Empfangen von Updates vom WSUS-Server
Standardmäßig erhalten Ihre Clientcomputer die Updates von Windows Update. Wenn sie ihre Updates stattdessen vom WSUS-Server empfangen sollen, muss dies entsprechend konfiguriert werden.
Wichtig
Dieser Artikel enthält eine Reihe von Schritten zum Konfigurieren der Clientcomputer mit Gruppenrichtlinie. Diese Schritte sind in vielen Situationen geeignet. Es gibt jedoch viele weitere Optionen zum Konfigurieren des Updateverhaltens auf Clientcomputern, einschließlich der Verwendung der mobilen Geräteverwaltung (Mobile Device Management, MDM). Diese Optionen sind unter Verwalten zusätzlicher Windows Update-Einstellungen dokumentiert.
2.6.1. Auswählen des richtigen Richtliniensatzes, der bearbeitet werden soll
Wenn Sie Active Directory in Ihrem Netzwerk eingerichtet haben, können Sie mehrere Computer gleichzeitig konfigurieren, indem Sie sie in ein GPO einschließen und dieses GPO anschließend mit WSUS-Einstellungen konfigurieren.
Es wird empfohlen, ein neues GPO zu erstellen, das nur WSUS-Einstellungen enthält. Verknüpfen Sie dieses WSUS-GPO mit einem für die Umgebung geeigneten Active Directory-Container.
In einer einfachen Umgebung reicht es u. U. aus, ein WSUS-GPO mit der Domäne zu verknüpfen. In einer komplexeren Umgebung können Sie mehrere WSUS-Gruppenrichtlinienobjekte (GPOs) mit mehreren Organisationseinheiten (OUs) verknüpfen. Durch Verknüpfen von Gruppenrichtlinienobjekten mit Organisationseinheiten können Sie WSUS-Richtlinieneinstellungen auf verschiedene Computertypen anwenden.
Wenn Sie Active Directory in Ihrem Netzwerk nicht verwenden, konfigurieren Sie jeden Computer mithilfe des Editors für lokale Gruppenrichtlinien.
2.6.2. Bearbeiten von Richtlinien zum Konfigurieren der Clientcomputer
Hinweis
Bei diesen Anweisungen wird davon ausgegangen, dass Sie die neuesten Versionen der Tools zum Bearbeiten von Richtlinien verwenden. Bei älteren Versionen der Tools sind die Richtlinien möglicherweise anders angeordnet.
Öffnen Sie das entsprechende Richtlinienobjekt:
- Wenn Sie Active Directory verwenden, öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, navigieren Sie zu dem Gruppenrichtlinienobjekt, in dem Sie WSUS konfigurieren möchten, und wählen Sie Bearbeiten aus. Erweitern Sie Computerkonfiguration und dann Richtlinien.
- Wenn Sie Active Directory nicht verwenden, öffnen Sie den Editor für lokale Gruppenrichtlinien. Die Richtlinie für den lokalen Computer wird angezeigt. Erweitern Sie Computerkonfiguration.
Erweitern Sie in dem Objekt, das Sie im vorherigen Schritt erweitert haben, den Knoten Administrative Vorlagen, dann den Knoten Windows-Komponenten, und anschließend Windows Update. Wählen Sie dann Endbenutzererfahrung verwalten aus.
Doppelklicken Sie im Detailbereich auf Automatische Updates konfigurieren. Die Richtlinie Automatische Updates konfigurieren wird geöffnet.
Wählen Sie Aktiviert und dann die gewünschte Option unter der Einstellung Automatische Updates konfigurieren aus, um zu verwalten, wie genehmigte Updates von Automatische Updates herunterladen und installiert werden.
Es wird empfohlen, die Einstellung Automatisch herunterladen und Installation planen zu verwenden. Dies stellt sicher, dass die Updates, die Sie in WSUS genehmigen, rechtzeitig heruntergeladen und installiert werden, ohne dass ein Benutzereingriff erforderlich ist.
Bearbeiten Sie bei Bedarf andere Teile der Richtlinie, wie unter Verwalten zusätzlicher Windows Update-Einstellungen dokumentiert.
Hinweis
Das Kontrollkästchen Updates von anderen Microsoft-Produkten installieren hat keine Auswirkungen auf Clientcomputer, die Updates von WSUS erhalten. Die Clientcomputer erhalten alle Updates, die für sie auf dem WSUS-Server genehmigt wurden.
Wählen Sie OK aus, um die Richtlinie Automatische Updates konfigurieren zu schließen.
Wählen Sie im Knoten Windows Update der Struktur die Option Updates verwalten, die über WSUS angeboten werden aus.
Doppelklicken Sie im Detailbereich Updates verwalten, die über WSUS angeboten werden auf Internen Pfad für den Microsoft Update-Dienst angeben. Die Richtlinie Internen Pfad für den Microsoft Update-Dienst angeben wird geöffnet.
Wählen Sie Aktiviert aus, und geben Sie dann die URL des WSUS-Servers in die Felder Interner Updatedienst zum Ermitteln von Updates und Intranetserver für die Statistik ein.
Warnung
Stellen Sie sicher, dass Sie den richtigen Port in die URL einschließen. Wenn Sie den Server wie empfohlen für die Verwendung von SSL konfiguriert haben, sollten Sie den Port angeben, der für HTTPS konfiguriert ist. Wenn Sie beispielsweise Port 8531 für HTTPS verwenden und der Domänenname des Servers „wsus.contoso.com“ lautet, sollten Sie https://wsus.contoso.com:8531 in beide Textfelder eingeben.
Wählen Sie OK aus, um die Richtlinie Internen Pfad für den Microsoft Update-Dienst angeben zu schließen.
Konfigurieren der clientseitigen Zielzuordnung (falls zutreffend)
Wenn Sie sich für die clientseitige Zielgruppenadressierung entschieden haben, sollten Sie jetzt die entsprechende Computergruppe für die Clientcomputer angeben, die Sie konfigurieren.
Hinweis
Bei diesen Schritten wird davon ausgegangen, dass Sie gerade die Schritte zum Bearbeiten der Richtlinien zum Konfigurieren der Clientcomputer ausgeführt haben.
Doppelklicken Sie im Detailbereich Updates verwalten, die über WSUS angeboten werden auf Clientseitige Zielgruppenadressierung aktivieren. Die Richtlinie Clientseitige Zielzuordnung aktivieren wird geöffnet.
Wählen Sie Aktiviert aus, und geben Sie den Namen der WSUS-Computergruppe, der Sie die Clientcomputer hinzufügen möchten, im Feld Zielgruppenname für diesen Computer ein.
Wenn Sie eine aktuelle Version von WSUS ausführen, können Sie die Clientcomputer zu mehreren Computergruppen hinzufügen, indem Sie die Gruppennamen durch Semikolons getrennt eingeben. Sie können z. B. Buchhaltung; Management eingeben, um die Clientcomputer sowohl zur Computergruppe „Buchhaltung“ als auch zur Computergruppe „Management“ hinzuzufügen.
Wählen Sie OK aus, um die Richtlinie Clientseitige Zielgruppenadressierung aktivieren zu schließen.
2.6.3. Herstellen einer Verbindung zwischen Clientcomputer und WSUS-Server
Clientcomputer werden erst dann in der WSUS-Verwaltungskonsole angezeigt, wenn sie zum ersten Mal eine Verbindung mit dem WSUS-Server herstellen.
Warten Sie, bis die Richtlinienänderungen auf dem Clientcomputer wirksam werden.
Wenn Sie ein Active Directory-basiertes Gruppenrichtlinienobjekt verwendet haben, um die Clientcomputer zu konfigurieren, dauert es einige Zeit, bis der Mechanismus zur Aktualisierung der Gruppenrichtlinie die Änderungen an einen Clientcomputer übermittelt hat. Wenn Sie dies beschleunigen möchten, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und geben Sie den Befehl gpupdate /force ein.
Wenn Sie den Editor für lokale Gruppenrichtlinien verwendet haben, um einen einzelnen Clientcomputer zu konfigurieren, werden die Änderungen sofort wirksam.
Starten Sie den Clientcomputer neu. Durch diesen Schritt wird sichergestellt, dass die Windows Update-Software auf dem Computer die Richtlinienänderungen erkennt.
Lassen Sie den Clientcomputer nach Updates suchen. Diese Überprüfung dauert normalerweise einige Zeit.
Sie können den Prozess mithilfe einer der folgenden Optionen beschleunigen:
- Verwenden Sie in Windows 10 oder 11 die Seite „Windows Update“ der Einstellungen-App, um manuell nach Updates zu suchen.
- Verwenden Sie in Windows-Versionen vor Windows 10 das Symbol Windows Update in der Systemsteuerung, um manuell nach Updates zu suchen.
- In Versionen von Windows vor Windows 10 öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten und geben den Befehl wuauclt /detectnow ein.
2.6.4 Überprüfen der erfolgreichen Verbindung des Clientcomputers mit dem WSUS-Server
Wenn Sie alle vorherigen Schritte erfolgreich ausgeführt haben, werden die folgenden Ergebnisse angezeigt:
Der Clientcomputer sucht erfolgreich nach Updates. (Es werden möglicherweise keine passenden Updates zum Herunterladen und Installieren gefunden.)
Innerhalb von ca. 20 Minuten wird der Clientcomputer in der Liste der Computer in der WSUS-Verwaltungskonsole angezeigt, basierend auf der Art der Zielgruppenadressierung:
Wenn Sie die serverseitige Zielgruppenadressierung verwenden, wird der Clientcomputer in den Computergruppen „Alle Computer“ und „Nicht zugewiesene Computer“ angezeigt.
Wenn Sie clientseitige Zielgruppenadressierung verwenden, wird der Clientcomputer in der Computergruppe „Alle Computer“ und in der Computergruppe angezeigt, die Sie beim Konfigurieren des Clientcomputers ausgewählt haben.
2.6.5. Einrichten der serverseitigen Zielzuordnung für den Clientcomputer (falls zutreffend)
Wenn Sie serverseitige Zielgruppenadressierung verwenden, sollten Sie jetzt den neuen Clientcomputer zu den entsprechenden Computergruppen hinzufügen.
Suchen Sie in der WSUS-Verwaltungskonsole nach dem neuen Clientcomputer. Er sollte in den Computergruppen „Alle Computer“ und „Nicht zugewiesene Computer“ in der WSUS-Server-Liste der Computer angezeigt werden.
Klicken Sie mit der rechten Maustaste auf den Clientcomputer, und wählen Sie Mitglied ändern aus.
Wählen Sie im Dialogfeld die entsprechenden Computergruppen und dann OK aus.