Teil 6 - Installation und Konfiguration der Software Update Services (SUS)

Im Rahmen des Patchmanagements hat Microsoft die Software Update Services entwickelt, die kostenlos aus dem Internet heruntergeladen werden können.

Sinn und Zweck von SUS ist es, einen lokalen Update-Server zu betreiben, der zentral die von Microsoft bereitgestellten Updates aus dem Internet lädt und an die im LAN vorhandenen Clients verteilt.

Als Administrator bekommt man so die volle Kontrolle darüber, wann welche Clients welche Updates installieren (sollen), denn die Verteilung erfolgt via Gruppenrichtlinie.

Aber der Reihe nach:
Am Anfang steht immer erst der Download. Die SUS-Software kann man bei Microsoft downloaden, die aktuelle Version ist SUSSP1:Download-Link. Die Abarbeitung der im Artikel beschriebenen Vorgehensweise richtet sich eigentlich ausschließlich an DSL-Nutzer mit einer Flatrate - die 33MB Installation für den SUS-Server an sich wären auch mit ISDN noch vertretbar, die > 2GB an Patches, die der SUS-Server dann herunterlädt, allerdings nicht mehr.
Voraussetzung für die Installation ist (lt. offiziellen Microsoft-Angaben) ein Windows 2000 bzw. Windows 2003 Server mit installiertem IIS (Internet Information Server).
Mit ein paar Tricks lässt sich der SUS-Server aber z.B. auch auf einem Notebook unter XP installieren und betreiben, so dass man alle aktuellen Patches immer dabei hat und z.B. bei Freunden im Netz mal schnell für Ordnung sorgen kann.
Dazu wird ein eigener Artikel erscheinen, da es den Rahmen dieses Artikels sprengen würde.
Zurück zum Thema:
Nach dem Download folgt die Installation - da der IIS Grundvoraussetzung für den SUS-Server ist, müssen wir zuerst diesen nachinstallieren. Also Windows 2003 Server-CD einlegen und über Start => Systemsteuerung => Software => Komponenten hinzufügen/entfernen => Anwendungsserver => Details den IIS installieren.

IIS installieren

Nach der Installation des IIS kontrollieren wir, ob er korrekt ausgeführt wird. Dazu einfach den Browser öffnen und http://localhost in der Adresszeile eingeben. Das sollte dann so aussehen:

IIS richtig installiert Klick aufs Bild zum Vergrößern

Nun können wir mit der Installation des SUS-Servers beginnen, dazu einfach die Datei SUS10SP1.exe doppelklicken, dadurch wird das Paket extrahiert und die Installation gestartet.

SUS installieren

Im Installations-Dialog bitte "Typical" auswählen und auf NEXT klicken, der Rest geht dann von alleine, der SUS-Server wird auf Laufwerk C: im Verzeichnis \SUS installiert und speichert auch dort die Updates, die Administrations-Oberfläche unter /wwwroot.
Wenn ihr hier andere Werte eintragen wollt, könnt ihr dies durch Auswahl von "Custom" während der Installation tun. Dies empfiehlt sich z.B. dann, wenn ihr Laufwerk C: nur als Systempartition gedacht habt und eure Datenbestände z.B. auf Laufwerk D: liegen.
Der Abschluss der Installation wird durch diesen Dialog angezeigt, hier seht ihr auch gleich, unter welchem Namen euer Update-Server später erreichbar sein wird.

SUS installieren

Nach dem Klick auf „Finish“ startet automatisch die Administrationsoberfläche des SUS-Servers:

Adminoberfläche des SUS-Servers Klick aufs Bild zum Vergrößern

Klickt nun auf "Set Options", um den Server für euer Netz zu konfigurieren. Der Dialog ist recht lang, daher zwei Bilder, wie es aussehen könnte/sollte:

Adminoberfläche des SUS-Servers Klick aufs Bild zum Vergrößern

Adminoberfläche des SUS-Servers Klick aufs Bild zum Vergrößern

Die Einstellungen im Einzelnen:

• Select a proxy server configuration:
  Falls ihr für den Internetzugang einen Proxy-Server verwendet, tragt ihn bitte hier ein (ggf. mit Authentifizierung).
• Specify the name your clients use to locate this update server:
  Hier gebt ihr den Namen an, unter dem die Clients im Netz den Server später finden werden. Prinzipiell braucht ihr hier nichts zu ändern, der NetBIOS-Name des Servers steht hier ja schon drin.
• Select which server to synchronize content from:
  Hier wird eingestellt, ob die Updates direkt von den Microsoft-Servern oder von einem anderen, im LAN schon vorhandenen SUS-Server gezogen werden sollen. Hier stellt ihr "directly from Microsoft" ein - in unserem LAN gibt's ja keinen weiteren SUS-Server.
• Select how you want to handle new versions of previously approved updates:
  Microsoft stellt korrigierte Versionen von bereits veröffentlichten Patches zum Download zur Verfügung - hier könnt ihr nun einstellen, ob diese Versionen automatisch installiert werden sollen oder ob ihr diese manuell freigeben wollt. Die automatische Freigabe ("automatically approve") ist empfohlen.
• Select where you want to store updates:
  Hier lässt sich einstellen, ob der SUS-Server die Updates einmal selbst herunterlädt und local speichert oder die Zugriffe der Clients direkt auf die MS-Server laufen sollen. Letzteres würde unnötigen Datenverkehr erzeugen, da dann doch wieder jeder Client direkt von Microsoft herunterlädt, wir wählen also "Save updates to a local folder".

Weiterhin lassen sich hier die Sprachversionen der herunterzuladenden Updates festlegen - da ich von deutschen Systemen ausgehe, genügt hier der Haken bei "German" (wobei z.B. das .NET-Framework ungeachtet dieser Einstellung in allen Sprachen heruntergeladen wird).
Zum Abschluss der Konfiguration klicken wir unten rechts auf "Apply" um die getätigten Einstellungen abzuspeichern.
Nachdem der Server nun konfiguriert ist, können wir mit dem ersten Download beginnen. Wie eingangs schon erwähnt, sind das aktuell > 2GB, könnte also eine Weile dauern. Dazu klicken wir auf "Synchronize Server":

Adminoberfläche des SUS-Servers Klick aufs Bild zum Vergrößern

"Synchronize Now" startet einen sofortigen Synchronisierungsvorgang mit Microsoft, "Synchronization Schedule" erlaubt das Planen der Synchronisierung. Wir stellen nun erstmal einen Plan auf, wann unser SUS-Server Updates aus dem Netz laden soll. Da Microsoft einmal im Monat, nämlich immer am zweiten Dienstag eines Monats, "Patchday" hat, wählen wir "Weekly" und "Wednesday".

Zeitplan festlegen

Da unser Server ja rund um die Uhr läuft und wir uns mit dem Download von Updates nicht die Internet-Leitung zuballern wollen, ist 03.00 Uhr nachts eine gute Uhrzeit für diese Downloads. Die Einstellung von drei Neu-Versuchen bei Synchronisations-Fehlern sollte ebenfalls so bleiben.
Zum sofortigen Synchronisieren des Servers klicken wir nun auf "Synchronize Now" und warten, bis der Server alle Updates heruntergeladen hat.

Synchronisieren mit dem Microsoft Server Klick aufs Bild zum Vergrößern

Nachdem alle Updates heruntergeladen wurden, gibt der SUS-Server eine entsprechende Meldung aus:

Abschlussmeldung nach dem Sync-Vorgang

Nach einem Klick auf OK gelangen wir auf die "Approve Updates"-Seite; hier können wir nun entscheiden, welche Updates für die Installation freigegeben (approved) werden.

Approve Updates Klick aufs Bild zum Vergrößern

In unserem Fall sollten wir erstmal alle vorhandenen Updates markieren, angesichts der Masse an Updates, die nach dem ersten Synchronisieren zur Verfügung steht, wäre es müßig, alle Updates einzeln anzuklicken, wir behelfen uns also daher mit einem kleinen Tool:
Autoapproveupdates.vbs - Download: http://www.WinTotal.de/softw/?id=2627
Die Konfiguration des Skripts ist selbsterklärend, der Aufruf des Skripts erfolgt über die Kommandozeile (ich habe das Skript im Verzeichnis C:\SUSAutoApprove abgelegt):

Approve über ein Script

Approve über ein Script

Nach dem Ausführen des Skripts sieht die "Approve Updates"-Seite unseres SUS-Servers dann in etwa so aus:

Updates alle approved Klick aufs Bild zum Vergrößern

Alle Updates sind somit freigegeben, nun kümmern wir uns darum, dass die Clients im Netz diese Updates auch von unserem SUS-Server herunterladen. Dazu nutzen wir die Gruppenrichtlinien-Funktionalität, die uns in Form der Vorlage wuau.adm zur Verfügung steht.
Dazu öffnen wir die GPMC und erstellen uns ein neues GPO mit dem Namen SUSUpdates, welches wir mittels Rechtsklick => Bearbeiten in den GPO-Editor laden.

GPO editieren Klick aufs Bild zum Vergrößern

Wir navigieren nun im linken Baum zu Computerkonfiguration => Administrative Vorlagen => Windows Komponenten => Windows Update und doppelklicken den obersten Eintrag "Automatische Updates konfigurieren". Die Konfigurationsmöglichkeiten sind im Reiter "Erklärung" erläutert, daher spare ich mir das an dieser Stelle.
Meine bevorzugte Einstellung ist auf dem Screenshot zu sehen:

Einstellungen der Gruppenrichtlinie

Nach Klick auf "Übernehmen" und "Nächste Einstellung" gelangen wir zum nächsten Konfigurationspunkt, hier wird der Name des zu verwendenden SUS-Servers festgelegt. Beachtet bitte, das SUS entweder mit dem NetBIOS-Namen oder mit der IP-Adresse funktioniert, nicht aber mit einem FQDN.

Einstellungen der Gruppenrichtlinie

Der nächste Konfigurations-Dialog sieht dann so aus:

Einstellungen der Gruppenrichtlinie

Und der vierte und letzte dann so:

Einstellungen der Gruppenrichtlinie

Bei diesem hier ist wichtig zu wissen, dass das Deaktivieren zu Datenverlusten führen kann, da ein User, der nur über "Benutzer"-Rechte an einem Rechner verfügt, den automatischen Neustart NICHT aufhalten kann.

Wir beenden die Konfiguration mit Klick auf OK und schließen den GPO-Editor. Da momentan die Standard-Delegierung für dieses GPO gilt, würden nur die Benutzer, nicht aber die Domänen-Admins diese Richtlinie übernehmen, was zur Folge hat, dass der Server selbst nicht geupdatet wird.
Um dies zu ändern, rufen wir uns den Delegierungs-Dialog in der GPMC auf:

GPO für Domänen-Admin übernehmen Klick aufs Bild zum Vergrößern

Ein Klick auf "Erweitert" liefert uns die Einstellungen, wer dieses GPO übernimmt und wer nicht, hier setzen wir bei der Gruppe "Domänen-Admins" den Haken bei "Gruppenrichtlinie übernehmen".

GPO für Domänen-Admin übernehmen

Damit ist die Konfiguration für das automatische Installieren von Updates abgeschlossen, sowohl die Clients als auch der Server sollten nun nach einem Neustart diese neuen Einstellungen laden und dann die Updates installieren.

Die Website http://www.susserver.com bietet einige nette Tools zur Verwaltung und Überwachung eines SUS-Servers an, u.a. lässt sich mit deren Tools nachvollziehen, welcher Client wann welches Update vom SUS-Server geladen und installiert hat usw.

Da hier die Systemvoraussetzungen so unterschiedlich sind wie die Wünsche der Benutzer, was denn nun überwacht werden soll, verzichte ich an dieser Stelle darauf, die Tools alle vorzustellen - das würde auch den Rahmen des Artikels deutlich sprengen.

Noch 2 Tipps zum Abschluss aus dem Tipparchiv von WinTotal.

• SUS-Server Dateien bei Neuinstallation sichern
• Clients nur kurzfristig an SUS-Server anbinden

J.A. Ott, 11.02.2005