Dieser Beitrag beschreibt die Installation und Einrichtung von Windows Server Update Services (WSUS) auf einem Windows Server 2016.
Inhaltsverzeichnis
Installation
Die Serverrolle „Windows Server Update Services (WSUS)“ wird mit überschaubarem Aufwand über den Windows Server Manager installiert.
Windows Server Manager starten → Rolle und Features hinzufügen:
Vorbemerkungen → Weiter:
Rollenbasierte oder featurebasierte Installation → Weiter:
Zukünftigen WSUS-Server auswählen → Weiter:
Serverrolle „Window Server Update Services (WSUS)“ auswählen → Weiter:
Features hinzufügen:
Features → Weiter:
WSUS → Weiter:
Rollendienste → Weiter:
Inhalt: Ordner erstellen und Pfad angeben → Weiter:
Rolle Webserver (IIS) → Weiter:
Rollendienste → Weiter:
Installationauswahl bestätigen → Installieren:
Nachinstallationsaufgaben starten:
Installation abgeschlossen → Schließen:
Assistent für die Konfiguration
Der erste Start der MMC „Windows Server Update Services“ startet den Konfiguration-Assistenten.
Windows Start → Verwaltung → Windows Server Update Services starten:
Vorbemerkung → Weiter:
Programm zur Verbesserung von Microsoft Update teilnehmen: aktivieren/deaktivieren → Weiter
Upstreamserver auswählen → Weiter:
Proxyserver ggf. konfigurieren → Weiter:
Updateinformationen von Microsoft Update herunterladen → Verbindung starten:
Updateinformationen von Microsoft Update herunterladen → Weiter:
Sprachen auswählen (Deutsch & Englisch vorausgewählt) → Weiter:
Produkte auswählen (die vom WSUS-Server Updates erhalten sollen) → Weiter:
Klassifizierungen auswählen, (meist sinnvoll: Service Packs, Update-Rollups, Updates und Upgrades) → Weiter:
Synchronisierungszeitplan konfigurieren, z.B. wie folgt → Weiter:
Erstsynchronisierung starten ggf. aktivieren (ACHTUNG: während der laufenden Synchronisation können nicht alle Optionen im WSUS bearbeitet werden!) → Weiter:
Nächste Schritte → Weiter:
Einrichtung abschließen
Falls die Erstsynchronisierung zuvor gestartet wurde, sollte diese abgewartet werden:
Computergruppe hinzufügen:
Es sollte min. eine Computergruppe angelegt werden. Die Updates werden dann nur für diese Gruppe genehmigt. Nicht zugewiesene Computer sollen meist keine Updates erhalten.
Optionen aufrufen:
Automatische Genehmigungen öffnen:
Die „Standardregel für automatische Genehmigung“ ist nicht aktiviert. Die Regel kann aktiviert, bearbeitet oder gelöscht werden.
Neue Regel erstellen:
Je nach Bedarf können weitere Regeln hinzugefügt werden. In diesem Beispiel wird eine Regel für die automatische Windows Defender Update-Verteilung erstellt.
Regel ausführen → OK:
Anschließend sollte geprüft werden, ob die erstellte(n) Regel(n) alle Updates genehmigt haben. Ansonsten Regel(n) anpassen oder Updates manuell genehmigen:
Computer steuert die Computergruppen-Zugehörigkeit:
Im Normalfall sollte eine Gruppenrichtlinie verwendet werden.
Die entsprechenden Gruppenrichtlinien können im Gruppenrichtlinien-Verwaltungseditor unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update gesetzt werden. „Internen Pfad für den Microsoft Updatedienst angeben“ sollte aber in jedem Fall konfiguriert werden:
Statusberichte erfordern den kostenlos erhältlichen ReportViewer. Der WSUS-Dienst funktioniert grundsätzlich aber auch ohne ihn. Die Installation ist mit wenigen Klicks abgeschlossen.
Da laufend neue Updates erscheinen und auch andere Updates ersetzen, sollten diese regelmäßig entfernt werden. Die manuelle und automatische Bereinigung wird hier behandelt: