WSUS Replikatserver einrichten

Aus ITwiki
Wechseln zu: Navigation, Suche

WSUS Replikatserver: warum?[Bearbeiten]

Wer in einer größeren IT-Landschaft arbeitet, wird sicher einen WSUS-Server zum zentralen, kontrollierten Bereitstellen von Microsoft Updates im Einsatz haben. Der ein oder andere wird dann eventuell auch noch mehrere Aussenstellen betreuen und will diese ebenfalls über den WSUS-Server updaten können. Holen sich nun alle Clients sämtlicher Aussenstellen die Updates zentral von einem Server (und das vielleicht noch zum selben Zeitpunkt), wird die Internet-/VPN-Leitung ziemlich in die Knie gehen. Und genau hier kommt ein WSUS Replikat-Server zum Einsatz

Konfiguration[Bearbeiten]

Grundvoraussetzung ist:

  1. Zwischen dem Upstream-Server (= der Server in der "Zentrale", über den alle Updates verwaltet bzw. heruntergeladen werden) und dem Downstream-Server besteht eine (VPN-/Netzwerk-)Verbindung
  2. Der Upstream-Server ist richtig konfiguriert und arbeitet bereits zuverlässig
  3. Man weiß den Port, unter dem der Upstream-Server (bzw. die WSUS-Webseite) läuft

Der Rest ist eigentlich mehr als einfach: entweder, der WSUS wird sowieso gerade neu eingerichtet, oder man startet über das WSUS Snap-in über Optionen den Assistent für die WSUS-Serverkonfiguration. Navigiere dann zum Punkt Upstreamserver auswählen und nehme folgende Einstellungen vor:

Wsusreplikat01.png

Wird der Haken bei Dies ist ein Replikat des Upstreamservers nicht gesetzt, lädt der Downstreamserver zwar die Update-Dateien vom Upstreamserver runter, die Updategenehmigungen müssen aber am Downstreamserver separat vorgenommen werden. Durch das Aktivieren der Replikatoption hat der Downstreamserver folgende Eigenschaften:

  1. Die Computergruppen werden vom Upstreamserver übernommen
  2. Die Zuweisung der Rechner zu der/den entsprechenden Computergruppe(n) erfolgt am Downstream-/Replikatserver, aber die Update-Genehmigungen werden am Upstreamserver vorgenommen!
  3. Am Replikatserver werden die genehmigten Updates vom Upstreamserver synchronisiert und den Rechnern, die den Replikatserver als WSUS konfiguriert haben, bereitgestellt

Zusammengefasst: ein Downstreamserver ohne die Replikatoption holt sich lediglich die Updatefiles vom Upstreamserver, als Replikatserver ist er ein gespiegelter WSUS des Upstream-Servers mit besonderen Eigenschaften, die eben erklärt wurden.

Anstelle von wsus.upstreamserver.com ist natürlich der Name deines WSUS Upstreamservers anzugeben. Beachte auch: sollte die WSUS-Webseite nicht über Port 80 am Upstreamserver laufen, muss - wie im Screenshot gezeigt - der entsprechende Port (8530) angegeben werden. Stelle die SSL-Funktion nur ein, wenn der Upstreamserver dies auch wirklich unterstützt!

Nach Abschluss der Konfiguration synchronisiert der Replikatserver sämtliche Downloads und Computereinstellungen vom Upstreamserver. Konfiguriere nun die Gruppenrichtlinie so, dass sich die Clients die Updates vom Replikatserver (!) holen, beachte hierzu den Step-by-Step Guide von Microsoft, hier wird alles Weitere erklärt. Zusammengefasst gilt folgendes:

  1. Ein Upstream-Server ist ein in der "Zentrale" installierter WSUS-Server, der sich von Microsoft die Updates herunterlädt
  2. Nur hier können Computergruppen gelöscht und neu angelegt werden
  3. Die Zuordnung der Clients zu einer Computergruppe wird an dem WSUS-Server durchgeführt, bei dem sich die Clients auch melden (GPO-Konfiguration)
  4. Es ist nicht möglich, an einem Replikat-Server Computergruppen zu erstellen, das ist nur am Upstream-Server möglich
  5. Client-Rechner, die so konfiguriert wurden, dass sie sich beim Replikat-Server melden, können auch nur am Replikat-Server einer Computergruppe zugeordnet werden (beachte aber, dass die Computergruppen nur am Upstream-Server erstellt werden können!)
  6. Die Freigabe bzw. die Zurdnung von Sicherheitsupdates zu einer Computergruppe kann NUR am Upstream-Server vorgenommen werden
  7. Um die Änderungen (z. B. nach dem neu Hinzufügen einer Computergruppe am Upstream-Server) zu synchronisieren, muss an dem Server, an dem die Änderungen durchgeführt wurden (!) die Synchronisation ausgeführt werden (im WSUS Snap-in unter Synchronisation auf Jetzt synchronisieren)

Nützliche Links[Bearbeiten]