1          Namenserklärung :

SUS = Software Update Service mit Service Pack 1

WUS = Windows Update Service (Beta Stadium)

WU = Windows Update

DC = Domain Controller

IIS = Internet Information Service

SBS = Small Business Server

SMS = System Management Server 2003

ADM = Administrative Vorlage

ADS = Active Directory Service

MS = Microsoft (was sonst J )

LAN = Local Area Network

WAN = Wide Area Network

AUC = Automatic Update Client

EULA = End User License Agreement

GPMC = Group Policy Management Console

MBSA = Microsoft Baseline Security Analyser

1.1         Allgemeines zum SUS :

Der SUS ist eine sinnvolle Erweiterung für das LAN. Der SUS ist kein Server, den man bei Bedarf zum Update eines Clients benutzen kann. Der SUS ist ein pushendes verfahren. Nur wenn ein Client eine Anforderung an den SUS sendet, wird dieser Vorgang aufgenommen. Ein Client fragt alle 17 - 22 Std. bei seinem SUS nach, ob es neue Patches gibt. Wenn der SUS neue Patches zur Verfügung stellt, dann wird die Datei getmanifest.asp zum Client übertragen. Wenn diese Ausgewertet ist, fängt der Client nach seinem Zeitplan mit dem Update an. Das WU über das Startmenü hat nichts mit der Funktion des SUS zu tun, und kann auch nicht dafür genutzt werden!

Was auch zu berücksichtigen ist, wenn man einen SUS neu ins LAN stellt, dass dieser Server Zeit braucht. Es kann passieren, dass es bis zu 48 Stunden dauert, bis die ersten Clients Patches vom SUS bekommen! Das ist kein Fehler, der SUS ist einfach so.

Wichtig: Installieren und dann erst einmal abwarten, der SUS benötigt Zeit !!!!

Es ist nicht möglich mehrere Instanzen des SUS auf einer Hardware laufen zu lassen ! Auch eine zweite Installation auf einem Virtuellem PC ( Virtual-PC, VMWare) funktioniert nicht. Sollte der SUS starten bricht er nach kurzer Zeit zusammen !

1.2         Voraussetzungen

1.2.1          Hardware : (empfohlene Mindestanforderung !)

Pentium III 733 MHz

512 MB Hauptspeicher

6 GB freier Speicherplatz auf einer NTFS Partition

1.2.2          Software

Windows 2000 Server Std. SP2 (oder höher)

IIS5 (oder höher) muss aktiv sein !

Mit nur einem SUS kann man ein Netzwerk von ca. 500 Systemen versorgen (lt. MS sogar 15000), allerdings empfiehlt sich dann eine hierachische Struktur mehrerer SUS Server (Upstreaming).

2          Installation unter Windows 2000 Server SP 4

SUS10SP1.exe ist die Installationsdatei, es gibt den SUS in englisch und in japanisch.

Wenn eine Vorgängerversion (Beta) des SUS installiert ist, dann sollte diese zuerst deinstalliert werden! Der eigentliche Platzbedarf für die Programmteile des SUS beträgt nur ca. 50 MB, der Rest wird für die Downloads benötigt. Dieser beträgt derzeit ca. 800 MB pro Sprache.

Durch einen Doppelklick auf Installationsdatei wird die Installation eingeleitet. Hierbei können die Standardvorgaben übernommen werden. Die Sprachauswahl geht später deutlich bequemer, so muss man sich nicht durch die Liste klicken!

SUS SP1 kann man auch auf einem DC installieren, ältere Versionen waren dazu nicht in der Lage.

Die Installation auf einem Memberserver sollte gemacht werden, nachdem der Eintrag im DNS des ADS erfolgt ist.

Nachdem die Installation erfolgreich durchgeführt worden ist, wird automatisch das IIS Lockdown Tool ausgeführt. Dieses schaltet nun alle unnötigen Funktionen des IIS für den SUS ab! Danach ist der Server soweit gehärtet (hardening), dass eine normale Webseite nicht mehr erreichbar wäre!

Es ist auch nicht zu empfehlen, dass man den Port 80 des IIS für den SUS verändert, denn dieser Port wird während der Installation automatisch konfiguriert. Auch wenn es anfänglich funktionieren mag, nach einiger Zeit bricht der SUS zusammen und lässt sich nur durch eine Neuinstallation wiederbeleben.

2.1         Installation unter Server 2003 :

WICHTIG : DEN SUS NICHT AUF EINEM IIS INSTALLIEREN DER EINE SEITE BEREITSTELLT !

Um SUS auf einem Server 2003 laufen zu lassen sind nur ein paar Unterschiede zu beachten. Die Hardwareanforderungen sind identisch.

1.      Es werden Server 2003 Standard, Enterprise und Web Edition unterstützt.

2.      Der IIS wird standardmäßig nicht mitinstalliert ! Er muss manuell installiert werden !

3.      Das wuau.adm File ist bereits enthalten und muss nicht importiert werden.

4.      Wenn die GPMC installiert ist, kann man die Auswertung der GPO aus grafisch erledigen.

5.      Download unter : http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887

(Um die GPMC auf eine Win 2000 Domäne anzuwenden, muss diese von einem XP Client mit SP1 und .net Framework 1.1 ausgeführt werden.)

Die Konfiguration des SUS ist identisch. Das Updaten der GPO erfolgt über :

gpupdate /target:computer /force

gpupdate /target:user /force

Wenn man die Schalteroption /target weglässt, werden automatisch beide Bereiche der GPO aktualisiert.

3          Konfiguration des SUS:

Die Konfiguration des SUS erfolgt über den Browser, wenn man direkt an dem System arbeitet, auf dem der SUS installiert worden ist, dann kann man mit der URL http://localhost/susadmin die Konfigurationsseite aufrufen. Alternativ dazu kann man es auch folgende URL nutzen :

http://{ ipadresse }/susadmin

http://{ netbiosname }/susadmin

Wichtig : Beim IIS sollte auf der Registerkarte für die Verzeichnissicherheit den
anonymen Zugriff entfernen, weil sonst jeder User durch Eingabe der URL auf den SUS zugreifen kann !!!

(SUSAdmin - Eigenschaften)

3.1         Die Welcomeseite des SUS :

Hier werden allgemeine Informationen zum SUS angegeben ( Built, etc.) Im mittleren Bereich findet man Neuerungen die durch MS eingespielt worden sind !

Damit ist es auch möglich Service Packs zu installieren ! (Bandbreite beachten !)

3.2         Set Options

In der linken Navigationsleiste befindet sich ein Link zum Bereich Set Options, hier werden die eigentlichen Einstellungen für den SUS vorgenommen.

Wenn im LAN ein Proxyserver als Internet Gateway existiert, dann wird dieser an der 2. Position angegeben. Sollte dieser Proxy eine Userauthentifizierung verlangen, dann MUSS diese mit angegeben werden, ansonsten kann der SUS keinen Kontakt mit der Hauptseite von MS aufnehmen. Es erfolgt keine Nachfrage zur Authentifizierung des Useraccounts !

Gibt es keine Authentifizierung dann kann man direkt auf das Internet zugreifen, indem man den ersten Punkt aktiviert (Do not use a proxy server to access the Internet).

Im Bereich : Specify the Name your clients ...

Hier kann man den NetBIOS Namen des Servers eingeben (z.B. SUS01) oder auch den FQDN (fully qualified domain name) (sus01.domäne.suffix). Wichtig ist nur, dass man diesen Namen auch exakt so in der Konfiguration der GPO angibt.

Angabe des Synchronisationsservers :

Wenn man nur einen SUS oder der ersten SUS in einer Hierachie hat, dann sollte man diesen direkt mit dem Updateserver von MS abgleichen. Somit kommt es nicht zu Verzögerungen, wenn man über andere Server arbeitet.

Wenn man einen untergeordneten Server nutzt (Child-SUS) dann kann man diese(n) mit dem ersten SUS abgleichen, dafür wird einfach der spezifizierte Name des primären SUS angegeben (z.B. SUS01 - oder der FQDN).

Bereich : Select how you want to handle new versions of previously approuved patches :

Wird diese erste Option auswählt, dann werden NUR Patches automatisch approved,

die vorher schon einmal als approved gekennzeichnet waren. Neue Patches bleiben davon ausgeschlossen ! Nutzt man die 2. Option werden alle Patches als neu gekennzeichnet und man muss diese manuell approven (beglaubigen). Es gibt keinen vollständigen Automatismus !

Bereich : Select where you want to store updates :

Option 1 lässt die Patches auf dem MS Server, es erfolgt keine lokale Speicherung.

Option 2 speichert eine lokale Kopie der Patches die vom MS Server synchronisiert werden.

Man findet die Patches in einem Unterverzeichnis des SUS. Es heisst Content\cabs

( z.b.: c:\sus\content\cabs)

Bei der Sprachauswahl hat man in diesem Bereich den großen Vorteil alle Sprachen mit einem klick zu deaktivieren (Beim Setup ist das in Einzelschritten möglich).

Select all : aktiviert alle Sprachen

Clear all : deaktiviert alle Sprachen

Insgesamt stehen 26 Sprachen zur Verfügung, man sollte wirklich nur die Sprachen wählen die man auch einsetzt, denn pro Sprache fallen ca. 800 MB Platz an ! Dann ist die Konfiguration des SUS abgeschlossen. Nun sollte man die erste Synchronisation durchführen. Dazu wählt man in der Navigationsleiste den Punkt : synchronize server.

3.3         Synchronisation des SUS

Wenn man den Button Synchronize now wählt, dann verbindet sich der SUS mit dem nächst höherem Updateserver egal ob mit dem von MS, oder der in der angegebenen Hierachie.

Als erstes erhält der pullende Server ein Katalogfile (aucatalog1.cab), in dem die Updates gelistet sind. Der Server sendet seine Auswahl an den pushenden Server zurück und bekommt seine Patches.

Je nach Sprachauswahl und Bandbreite der WAN Strecke kann dieser Vorgang bis zu 10 Stunden dauern !

Man kann die Patches auch durch kopieren in den SUS einbringen, dazu muss man von einem anderen SUS das Verzeichnis cabs auf CD / DVD brennen. Nun muss der SUS einmal angefangen haben die Patches zu transferieren. Wenn die ersten 2 Patches gezogen sind, bricht man das Update ab und startet den Kopiervorgang von der CD / DVD. Nach einem Reboot sind alle Patches im SUS aufgenommen. Wenn der Synchronisationsvorgang nicht begonnen hat, dann bekommt man einen Fehler das die digitale Signatur der Patches nicht akzeptiert wird !

Nun sollte man noch einen Zeitplan einstellen, damit der SUS selbstständig nach Neuerungen sucht. dazu wählt man synchronize schedule.

3.4         Zeitplanung (Schedule)

Option 1 : do not synchronize lässt den SUS auf manueller Synchronisation.

Option 2 : synchronize using this schedule, damit bekommt der SUS einen Plan mit der eine automatische Aktualisierung durchführt.

at this time : frei wählbar, immer zur vollen Stunde.

on the following days : daily = täglich

weekly = wöchentlich zum gewählten Tag (Doppelwahl nicht möglich)

failure : nach wie vielen Fehlversuchen die Synchronisation abgebrochen werden soll.

Wenn eine komplette Synchronisation gelaufen ist, kann man im Bereich Monitor Server sehen welche Updates zu welchem Betriebssystem gehören.

MS hat seinen Updateplan soweit umgestellt das jeden 2. Mittwoch im Monat neue Patches veröffentlicht werden. Alle Patches werden als *.exe verteilt. Eine Veröffentlichung als +.msi File ist in Planung und soll mit der Einführung des MSI Installer 3.o passieren. Dieser wird wohl kurz vor der Marktreife des WUS erreicht sein. Genaue Zeitpläne wurden durch MS noch nicht bekannt gegeben.

Damit die Patches verteilt werden können müssen die relevanten Patches auf approved gesetzt werden. Aus der Navigationsleiste wählt man die Option approve updates.

3.5         Approve Updates

Es gibt drei Stadien der Patches :

• rot = new and not approves
• blau = approves and ready for deploy
• bau = not approved since last syncrozing

Um ein Patch zu approven, muss man nur den Haken vor das Patch setzen, hier kann man erst alle relevanten Patches auswählen. Zur endgültigen Freigabe muss man noch auf den Approve Button klicken. Dann muss man stellvertretend für alle User den EULA annehmen.

3.6         Synchronisation Log

Um sich einen schnellen Überblick über die neusten Patches zu machen, kann man den Punkt view synchronize log wählen. Hier werden die Zeiten und Art der Patches protokolliert,

die der SUS gemäß dem Zeitplan synchronisiert hat.

3.7         Approve Log

Der Punkt view approval log zeigt an, welche Patches zu welchem Zeitpunkt freigeben worden sind. Es wird nicht vermerkt welcher User dieses getan hat !

4          Einstellung der GPO am DC

Nun kann die GPO entsprechend angepasst werden, damit die Clients Ihre Updates bekommen.

4.1         Download und Import des ADM Files für WIN 2000

Wenn man eine Windows 2000 Domäne hat, dann muss man zuerst ein ADM File importieren. Das File kann man von der MS Seite runterladen:

http://www.microsoft.com/downloads/details.aspx?FamilyId=D26A0AEA-D274-42E6-8025-8C667B4C94E9&displaylang=en

Man kann das wuau.adm schon in das Verzeichnis %systemroot%\inf kopieren !

Jetzt öffnet man das Snap-in Active Directory Benutzer und Computer. In der Gruppenrichtlinie erweitert man den Knoten:

Computerverwaltung -

Rechtsklick auf Administrative Vorlagen

Vorlage hinzufügen

und den Eintrag wuau auswählen - hinzufügen.

Wenn man nun den Knotenpunkt Administrative Vorlagen - Windows Komponenten erweitert stellt man fest das ein neuer Unterpunkt dazu gekommen ist : Windows Update ! Dieser beinhaltet 4 Konfigurationsmöglichkeiten.

4.2         Automatische Updates konfigurieren - aktiviert

nun hat man 3 Möglichkeiten zur Auswahl :

2 - Vor dem Download von Updates benachrichtigen und vor deren Installation erneut benachrichtigen.

Je nach Zeitplan, erscheint im Systray das Symbol für Windowsupdates (Weltkugel).

Nun wird der User darüber informiert, dass neue Patches zur Verfügung stehen. Der User kann nun den Download initiieren und wird dann zur Installation aufgefordert. Allerdings sind

hierfür lokale Admin-Rechte erforderlich !

3 = (Standardeinstellung) Updates automatisch downloaden und über installierbare Updates benachrichtigen.

Ähnlich wie Punkt 2 - allerdings wird der User nur dazu informiert, dass neue Patches installiert werden können. Der Download wird im Hintergrund durch den intelligenten Hintergrundübertragungsdienst (BITS) erledigt. Dieser soll verhindern, dass zuviel Bandbreite in den Download geht. Die normale Arbeit soll nicht beeinträchtigt werden. Auch hier sind für die Installation lokale Admin-Rechte erforderlich !

4 = Updates automatisch downloaden und laut angegebenem Zeitplan installieren.

Die wohl meist gewählte Funktion ist diese. Der User kann nicht in die Übertragung und die Installation eingreifen ! Auch werden für diese Methode keine lokalen Admin-Rechte benötigt. Nach der Installation wird der User nur zu einem evt. Neustart des Systems aufgefordert.

Wenn man die Einstellungen 2 oder 3 gewählt hat, und der Benutzer hat keine lokalen Admin-Rechte, dann reicht es auch aus, wenn sich ein User mit Admin-Rechten lokal anmeldet.

Wenn man Punkt 4 auswählt, muss man noch mehr konfigurieren :

Geplanter Installationstag:

0 = täglich

1 = Sonntag

2 = Montag

3 = Dienstag

4 = Mittwoch

5 = Donnerstag

6 = Freitag

7 = Samstag

Geplante Installationszeit: 3:00 Uhr (Standartzeit)

kann immer zu einer vollen Stunde frei definiert werden.

4.3         Geplante Installationen automatischer Updates erneut planen - aktiviert

Nach dem Systemstart warten (Minuten): 5 (Standard)

Dieser Wert gibt die Wartezeit an, die das System nach einem Neustart wartet, bis es

übergangene/geplante Updates erneut installieren möchte.

4.4         Internen Pfad für den Microsoft Updatedienst angeben - aktiviert

Gibt den Pfad an, wo sich der SUS befindet, der anstelle des Internetupdates genutzt werden soll.

Interner Updatedienst zum Ermitteln von Updates - z.B. Http://sus01 (Name aus Set Option)

Intranetserver für die Statistiken - z.B. Http://sus01 (Name aus Set Option)

Es müssen beide Server angeben werden, ansonsten wird diese Richtlinie nicht angewandt !

4.5         Kein automatischer Neustart für geplante Installationen automatischer Updates - aktiviert

Diese Einstellung verhindert den automatischen Neustart des Systems und wartet auf einen Usereingriff. Wenn der User keine lokalen Admin-Rechte besitzt, kann nur „JA" auswählen,

die „Nein" Fläche ist deaktiviert. Das Popup kann weder geschlossen, noch in den Hintergrund gelegt werden (always on Top) !

Um bei den Usern nicht das Eindruck zu hinterlassen, dass der Startmenüeintrag Windows Update auf den SUS zugreift, sollte man diesen pro GPO ausblenden.

Die Einstellungen kann man sofort aktivieren wenn man diese forciert !

secedit /refreshpolicy machine_policy /enforce

4.6         Windows Update deaktivieren

Benutzerkonfiguration -