Aktuell	Software Update Service (SUS)
Drucken Menuleiste ein Themen   Gesamtübersicht   Windows   Netzwerktechnik   Exchange & Messaging   Sicherheit (ISA...)   PC & Büro (Office...)   Hardware  ---AC.net---   Verwandte Seiten  BITS [ T2167 ]  WSUS	Inhalt  Info  SUS-Nachfolger: BETA-Test  Informationsquellen zum SUS  Nachteile von SUS Version 1  E-Mail-Alarmierung bei neuen Updates  Deaktivieren des Windows Update Service  Troubeshooting  Kontrolle via Baseline Security Analyzer  Offline-Update  Rechtshinweise Diese Seite wird nicht mehr gepflegt! Nachfolgerprodukt:  Windows Server Update Service (WSUS)   Info "Up-to-date" zu bleiben ist gar nicht so einfach. Service Packs und Hotfixe erscheinen fast täglich. Insbesondere die zeitnahe Versorgung mit (oft sicherheitsrelevanten) Hotfixen ist ein zeitintensiver Prozess. Zum bequemem Überprüfen und Aktualisieren einer Windows Maschine bietet Microsoft den Windows Update Service an. Das Nutzen dieses Services setzt allerdings administrative Rechte und Internetzugang voraus. Für Administratoren ist die Nutzung des Software Update Service (SUS) wesentlich interessanter. Damit ist es möglich, innerhalb des eigenen Netzes einen Update-Server aufzubauen. Die angeschlossenen Server und Clients greifen dann auf den eigenen Update-Server zu. Dieser wiederum aktualisiert sich online über die Microsoft Server. Der Software Update Service gibt dem Administrator eine Kontrolle über die Verteilung von Hotfixen und Service Packs (Windows XP, Windows 2000, Windows Server 2003). In folgendem Artikel erläutert Microsoft die Software Update Strategy:  Understanding Patch and Update Management: Microosoft's Software Update Strategy
Stand: 7. September 2004

Nachfolger des SUS - BETA-Test

Der Nachfolger des SUS wird "Windows Update Service" heißen. Der Windows Update Service wird nicht nur Windows, sondern auch Office, SQL-Server und andere MS-Produkte updaten können. Wer an dem Beta-Test teilnehmen möchte, sollte sich folgende Seite anschauen:

 Windows Update Service - Open Evaluation Version

Informationsquellen zum SUS

 Software Update Service (Homepage von MS)
 Dt. Video zum SUS
 SUSServer.com

In der Technet-Datenbank findet man einen zweiteiligen Artikel in dt. Sprache zur Installation und Konfiguration des SUS.
 Technet-Software Update Service 

 Download des SUS inklusive SP1 

Einen hervorragenden Artikel zum SUS-Server, der auch Details zu den "Verteilmodi 2,34" und auch Troubleshooting-Infos beinhaltet hat die ct in Ausgabe 21/2003 ab Seite 118 veröffentlicht.

Nachteile des SUS Version 1

Leider verfügt der SUS über einige Nachteile:

• Keine Unterstützung von Office oder Backoffice Produkten
• Keine Deinstallation von Updates möglich
• Ungenügende Protokollierung / Kontrolle über installierte bzw. noch fehlende Updates
• Gruppenbildung (Installation nur auf bestimmten Gruppen von Maschinen)

Alle genannten Punkte sollen in der angekündigten Version 2 von SUS beseitigt werden.

Verteilmodi des SUS

Ob und wann nun Updates tatsächlich (evtl. automatisch) installiert werden, wird über die Richtlinie "Configure Automatic Updates" definiert. Diese Richtlinie bietet drei Modi (2,3 und 4) an.

Über Modus 2 und 3 werden Updates immer nur nach Rückfrage beim Administrator installiert. Wenn sich nie ein Administrator anmeldet, wird auch nie ein Update installiert.

Konfiguration für Arbeitsplätze

Nur der Modus 4 installiert ein Update auch ganz ohne Administrator. Modus 4 benötigt überhaupt keinen angemeldeten Benutzer für die Installation. Dieser Modus dürfte daher für die Arbeitsplätze die richtige Wahl sein. Bei Arbeitsplätzen kann es aber vorkommen, dass diese zum definierten Installationszeitpunkte gar nicht eingeschaltet sind. Daher sollte hier zusätzlich die Option "Reschedule Automatic Updates scheduled Installations" aktiviert werden. Dies bewirkt die Installation beim nächsten Systemstart nach dem verpassten Installationstermin.

Konfiguration für Server

Bei Servern dürfte eine vollautomatische Installation (ggf. mit vollautomatischen Reboot!) in der Regel eher unerwünscht sein. In diesem Falle ist der Modus 3 besser geeignet. Dieser lädt zwar die benötigten Updates, führt die Installation aber nur nach Rückfrage bei einem angemeldeten Administrator durch. Somit kann der Administrator den Zeitpunkt der Installation und des ggf. notwendigen Reboot selbst bestimmen. Natürlich erfordert dieses Verfahren ein regelmäßiges Anmelden an jedem Server.

E-Mail-Alarmierung bei neuen Updates

Der SUS lädt (je nach Zeitplan) neue Updates automatisch. Leider verfügt der SUS aber nicht über eine Möglichkeit zum Versenden eines E-Mails, wenn tatsächlich neue Updates auf den Microsoft Servern gefunden wurden. Der Administrator ist also gezwungen, den SUS täglich auf neue Updates zu kontrollieren. Es geht aber auch einfacher. Microsoft bietet einen speziellen SUS-E-Mail-Service online an. Wenn Sie sich dort registrieren werden Sie per Mail informiert, wenn neue Updates vorliegen.

 Registrierung für SUS-E-Mail-Benachrichtigung

Deaktivieren des Windows Update Service

Wenn man via SUS kontrolliert Updates im Unternehmen verteilt, möchte man in der Regel vermeiden, dass Benutzer ggf. eigenständig Update über den Windows Update Service laden. Genau dieses Thema wird in einem Technet Artikel beschrieben: Hier der entsprechende Auszug:

-------Zitat Anfang------------

Sie möchten möglicherweise dafür sorgen. dass die Benutzer die Installation von SUS-Updates nicht stören können, nicht freigegebene Updates nicht von einem Windows Update Server herunterladen können. Sie können dies über Gruppenrichtlinieneinstellungen erreichen. Aktivieren Sie die Einstellung "Remove access to use all Windows Update Features" unter Benutzerkonfiguration /Administrative Vorlagen / Windows Komponenten / Windows Update. Bei allen Windows XP Computern. die von dieser Gruppenrichtlinie betroffen sind, ist der AU-Ordner in der Systemsteuerung dann deaktiviert. Die Möglichkeit der Benutzer auf die Option "Halten Sie Ihren Computer mit Windows Update auf dem neusten Stand" im Hilfe— und Supportcenter zuzugreifen wird durch diese Einstellung nicht beeinflusst. Sie hat auf Windows 2000 Computer ebenfalls keinen Einfluss. Um diese Möglichkeiten zu sperren aktivieren Sie die Richtlinie "Verknüpfungen und Zugriff auf Windows Update entfernen" unter Benutzerkonfiguration /Administrative Vorlagen / Windows Komponenten / Startmenü / Taskleiste.

---Zitat Ende ---------------------

Troubleshooting

Wenn SUS-Clients aus irgendwelchen Gründen nicht funktionieren lohnt sich ein Blick in die Protokolldatei des Updateclients. Diese findet man unter

 C:\Windows\Windows Update.log

Wichtig ist zu wissen, dass Fehler Nummer 0x80190194 immer auftaucht! Dies liegt daran, dass ein SUS-Server keine Treiberupdates anbietet. Details hierzu liefert folgender MS-Artikel:
 Error 0x80190194 Is Logged in the Windows Update.log File When the Client Queries "/autoupdatedrivers/getmanifest.asp" (KB 326596)

Um die (erste) Synchonisierung eines neu installierten PCs zu beschleunigen bietet die ct ein kleines Tool an:
 AuForceUpdate

Die genaue Funktion des Tools wird in dem bereits erwähnten ct-Artikel beschrieben. Dieser Artikel beschreibt auch, wie man eine genaue Problemanalyse durchführen kann. Dabei wird der Server, der Client und auch der BITS-Dienst behandelt (dieser ist für den Datentransfer verantwortlich).

Kontrolle via Microsoft Baseline Security Analyzer (MBSA)

Ein kritischer Administrator wird dem SUS-Server (und den SUS-Clients) nicht einfach vertrauen. Wurden auch wirklich alle Updates auf allen Clients installiert? Eine Netzwerkweite Kontrolle kann man sehr bequem über den Baseline Security Analyzer vornehmen. Dieser ist in der Lage, einen einzelnen Rechner, einen bestimmten IP-Bereich oder auch alle Rechner einer ganzen Domäne zu überprüfen.

Dabei greift der MBSA auf die Datenbank des SUS-Servers und kontrolliert anschließend, ob die entsprechenden Updates installiert wurden.

Abb. 1: Kooperation zwischen SUS und BSA

Beim Einsatz des MBSA sollte man darauf achten, dass mindestens die Version 1.21 benutzt wird. Diese Version wurde zusammen mit dem Windows XP-SP2 veröffentlicht. Die Vorgängerversion hatte diverse Probleme. Weitere Hinweise zum Thema MBSA finden Sie hier:

 Microsoft Baseline Security Analyzer
 Automatisches Erzeugen von Berichten via MBSA (Batch) [ T2188 ]

Offline-Update

Die ct hat in Heft 26/2003 (S.106ff) einen interessanten Artikel zum Thema Offline-Update verfasst. Hier wird beschrieben, wie man sich selbst eine Update-CD zusammenstellt, die alle Hotfixe enthält. Darüber hinaus wird beschrieben wie man ein System via Microsoft Baseline Security Analyzer überprüft.

 Weitere Weblinks zum Thema

 Next Wish Software Update Service Utility (einmaliges Update eines Rechners von einem SUS)
 SUS Client erkennt genehmigte Updates nicht (KB 323184)
 Erzwingen eines Erkennungszyklus des SUS-Client (KB 326693)

 Rechtshinweise

Kein Teil dieser Informationen darf ohne schriftliche Genehmigung reproduziert, vervielfältigt, veröffentlicht oder in Lehrveranstaltungen verwendet werden. Die Nutzung ist ausschließlich zum persönlichen Gebrauch des Lesers gedacht. Sie können aber gerne einen Link auf diese Seite setzen (Links sollten ein neues Fenster öffnen). Es wird darauf hingewiesen, dass Markenzeichen, Namen, Produkte und Bezeichnungen auch ohne ausdrückliche Nennung oder Kennzeichnung durch Rechte Dritter geschützt sind! Es obliegt dem Anwender die Informationen und Programme selbst zu prüfen und gegebenenfalls zu entscheiden, ob diese für seine beabsichtigten Zwecke tauglich sind. Die Informationen auf unserer Webpräsenz werden ohne Anspruch auf Korrektheit oder Vollständigkeit veröffentlicht. Auf unsere ausführliche Rechtshinweise wird ausdrücklich verwiesen.

Themen  Tipps Sitemap