Während die IT-Budgets in kleineren Unternehmen oft überschaubar ausfallen, sind die Anforderungen dieselben wie in großen Firmen. Die April-Ausgabe widmet ... (mehr)

SSL in WSUS nutzen

Standardmäßig nutzt WSUS für die Kommunikation mit den Clients und der Verwaltungskonsole HTTP. In sicherheitsempfindlichen Umgebungen sollten Sie besser SSL aktivieren, was auch bei der Anbindung von Windows 10 Sinn ergibt. Dazu müssen Sie auf dem Server zunächst ein Zertifikat installieren. Hier gehen Sie wie bei der Installation von Serverzertifikaten im IIS-Manager vor. Sie können auch auf eine interne Zertifizierungsstelle setzen.

Nachdem Sie das Serverzertifikat installiert haben, rufen Sie im IIS-Manager "Sites / WSUS-Verwaltung" auf. Klicken Sie auf "Bindungen" und bearbeiten Sie die Bindung für SSL zum Port 8531. Hier können Sie jetzt auch das installierte Zertifikat auswählen. Zusätzlich müssen Sie noch für die folgenden untergeordneten Verzeichnisse der WSUS-Verwaltung die SSL-Einstellungen aufrufen und danach die Option "SSL erforderlich" aktivieren:

- ApiRemoting30

- ClientWebService

- DssAuthWebService

- ServerSyncWebService

- SimpleAuthWebService

Nachdem Sie SSL für WSUS aktiviert haben, erhalten Sie eine Fehlermeldung, wenn Sie die WSUS-Verwaltungskonsole öffnen. Damit die Konsole wieder funktioniert, öffnen Sie zunächst eine Befehlszeile und wechseln in das Verzeichnis "C:\Programme\Update Services\Tools". Geben Sie dort den folgenden Befehl ein:

> wsusutil ConfigureSSL Name des Zertifikats

Im nächsten Schritt entfernen Sie die veraltete HTTP-Verbindung in der WSUS-Verwaltungskonsole und fügen über das Kontextmenü eine neue Verbindung hinzu. Geben Sie den Servernamen ein sowie die korrekte Portnummer für die Anbindung an SSL. Aktivieren Sie außerdem die Option "Verbindung mit diesem Server über SSL herstellen". Nach der Anbindung des Servers klicken Sie auf den Servernamen in der Konsole und sehen im unteren Bereich bei "Verbindung", dass dieser jetzt SSL für die Kommunikation nutzt.

Achten Sie darauf, auch in den Gruppenrichtlinien zur Anbindung der Clients den Port 8531 zu setzen. Der HTTP-Port 8530 steht nicht mehr zur Verfügung. Sie finden die Einstellungen über "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update". Passen Sie dort die Einstellung "Internen Pfad für den Microsoft Updatedienst angeben" an.

Windows-10-Rechner anbinden

Damit die Windows-10-Clients Updates von WSUS herunterladen und installieren, müssen diese so konfiguriert sein, dass sie keine Patches aus dem Internet herunterladen, sondern eben den internen WSUS verwenden. Da hat sich in Windows 10 im Vergleich zu den Vorgängern nichts geändert. WSUS verteilt die Patches nicht automatisch an die Clients, sondern lädt die Aktualisierungen nur aus dem Internet herunter und stellt diese bereit, sobald Sie die Installation genehmigen. Die Clients holen die Patches selbst vom WSUS-Server ab und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien. Diese Einstellungen gehören also zu den Grundlagen für die Verteilung von Updates für Windows 10. Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update" vor.

Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Die erste Option dazu lautet "Internen Pfad für den Microsoft Up-

datedienst angeben". Diese Option aktivieren Sie, um Windows-Server und -Arbeitsstationen an WSUS anzubinden. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: "http://Servername:Port". WSUS lässt sich, wie schon erwähnt, auch mit HTTPS nutzen. Die zweite wichtige Option ist das Updateverhalten, das Sie über "Automatische Updates konfigurieren" festlegen. Dabei stehen im Wesentlichen folgende Möglichkeiten zur Verfügung:

- "Vor Herunterladen und Installation benachrichtigen": Mit dieser Option benachrichtigt Windows Anwender vor dem Download und vor der Installation der Updates.

- "Autom. herunterladen, aber vor Installation benachrichtigen": Der Client führt den Download der Updates automatisch durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung eignet sich für Server.

- "Autom. herunterladen und laut Zeitplan installieren": Der Client versorgt sich automatisch mit den notwendigen Updates und spielt diese zu einem festgelegten Zeitpunkt ein. Sind die Clients zu diesem Zeitpunkt nicht eingeschaltet, startet Windows beim nächsten Start die Aktualisierung.

- "Lokalem Administrator ermöglichen, Einstellung auszuwählen": Mit dieser Option lassen Sie zu, dass lokale Administratoren die Konfiguration selbst auswählen können.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023