WSUS Server

WSUS und die PowerShell

Wer WSUS in der PowerShell verwalten will, kann sich mit dem Befehl

get-command -module updateservices

alle CMDlets anzeigen lassen, mit denen sich die Windows Server Update Services verwalten lassen.

Die Steuerung von WSUS nehmen Sie mit folgenden CMDlets vor:

Add-WsusComputer – Fügt einen angebundenen PC einer bestimmter WSUS-Gruppe hinzu

Approve-WsusUpdate – Gibt Updates frei

Deny-WsusUpdate – Verweigert Updates

Get-WsusClassification – Zeigt alle verfügbaren Klassifikationen an, die aktuell verfügbar sind

Get-WsusComputer – Zeigt WSUS-Clients und -Computer an

Get-WsusProduct – Zeigt eine Liste aller Produkte auf dem WSUS an, für die der Server Patches bereithält.

Get-WsusServer – Zeigt alle WSUS-Server im Netzwerk an

Get-WsusUpdate – Zeigt Informationen zu Updates an

Invoke-WsusServerCleanup – Startet den Aufräumvorgang

Set-WsusClassification – Fügt Klassifikationen zu WSUS hinzu

Set-WsusProduct – Fügt Produkte zu WSUS hinzu

Set-WsusServerSynchronization – Steuert die WSUS-Synchronisierung

Client-Computer über Gruppenrichtlinien anbinden

Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Sie unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update vor. Die Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Auf diesem Weg aktualisieren Sie auch den Server.

Die erste Option ist im Internen Pfad für den Microsoft-Update-Dienst angeben. Diese Option aktivieren Sie. Da WSUS eine Webapplikation ist, müssen Sie den Servernamen mit einer HTTP-Adresse angegeben, also http://<Servername>:<Port>. Den Port finden Sie in der WSUS-Konsole im unteren Bereich.

Die zweite wichtige Option ist das Update-Verhalten, das Sie über Automatische Updates konfigurieren festlegen. Dabei stehen hauptsächlich folgende Möglichkeiten zur Verfügung:

Vor Herunterladen und Installation benachrichtigen – Mit dieser Option benachrichtigt Windows Administratoren vor dem Download und vor der Installation der Updates. Dazu blendet Windows ein Symbol in der Taskleiste ein.

Autom. Herunterladen, aber vor Installation benachrichtigen – Mit dieser Option führt der Client automatisch den Download der Updates durch, eine Installation findet aber nicht automatisch statt. Diese Einstellung ist optimal für Server.

Autom. Herunterladen und laut Zeitplan installieren – Mit dieser Installation versorgt sich der Client vollkommen automatisch mit den notwendigen Updates. Wenn die Clients zum Zeitpunkt der Aktualisierung nicht eingeschaltet sind, startet Windows beim nächsten Start die Aktualisierung

Lokalen Administrator ermöglichen, Einstellung auszuwählen – Mit dieser Option lassen Sie zu, dass lokale Administratoren mithilfe der Option Automatische Updates in der Systemsteuerung die Konfiguration selbst auswählen können.

Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls

wuauclt /detectnow

eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch immer nicht angebunden, geben Sie in der Befehlszeile

gpupdate /force

und dann

Wuauclt.exe /reportnow /detectnow

ein. Sollten die Einstellungen in der Gruppenrichtlinie auf einem Computer noch nicht gespeichert sein, hat Windows unter Umständen die Gruppenrichtlinie noch nicht angewendet. In diesem Fall können Sie mit dem Befehl

gpupdate /force

das Aktualisieren der Gruppenrichtlinie auf dem Client erzwingen.

Sicherheitsupdate und mehr

https://technet.microsoft.com/de-ch/ms376608

Probleme mit Patchen

  • Windows Update zurückgesetzt (mit dem Diagnostics-Tool und manuell durch Löschen der Verzeichnisse und Neustart der Dienste) und danach den Rechner neu gestartet
  • regsvr32 %windir%\system32\wups2.dll ausgeführt
  • den Wert „SusClientId“ in der Registry gelöscht
  • sfc /scannow ausgeführt
  • wuauclt /detectnow /resetauthorization ausgeführt
  • https://technikblog.rachfahl.de/losungen/windows-update-fehler-80243004/