Konfiguration und Synchronisation von WSUS
Haben Sie den WSUS Server, wie in diesem Artikel beschrieben, installiert, verfügt dieser noch über keine Konfiguration und keine synchronisierten Katalog- oder gar Massendaten. Grundsätzlich wird die Konfiguration des WSUS Server über die SCCM-Konsole im Rahmen der Installation der Serverrolle "Software Update Point" (SUP) durchgeführt.
Haben Sie schon Anpassungen am WSUS Server über die WSUS-Administrationskonsole durchgeführt, kann es passieren, dass Konfigurationsänderungen über SCCM nicht mehr sauber in den WSUS übernommen werden.
Navigieren Sie in der Administration der SCCM-Konsole in den Menüpunkt "Site Configuration > Server and Site System Roles". Im Kontextmenü des gewünschten Server kann nun eine neue Site System Role hinzugefügt werden.
Der folgende Dialog kann in der Regel mit Klick auf "Next" übersprungen werden. Im Anschluss wird der Proxy Server, der genutzt wird, um eine Verbindung ins Internet aufzubauen, konfiguriert. Nach Angabe des Proxy-Server wird die Rolle "Software Update Point" ausgewählt.
Wurde wie zuvor beschrieben der WSUS Server mit SSL-Zertifikat ausgestattet, kann der Haken gesetzt werden, dass die SSL-Kommunikation erzwungen wird.
Wird ein Proxy Server genutzt, muss dieser hier aktiviert werden. Zudem wird der Account angegeben, der genutzt wird, um auf den WSUS Server zuzugreifen. Dieser Benutzer braucht keine besonderen Rechte im Active Directory (AD), muss aber Mitglied der lokalen Gruppe "WSUS Administratoren" des WSUS Servers sein (Hier ist empfohlen, eine AD-Gruppe zu erstellen, die in die lokale Gruppe eines jeden WSUS Servers aufgenommen wird).
Im folgenden Schritt werden die Synchronisierungseinstellungen hinterlegt. Hier geht es explizit darum, den WSUS Server zu konfigurieren.
Hier ist nicht die Synchronisation von WSUS -> SCCM gemeint! Wird hier der WSUS Server explizit hinterlegt, führt es dazu, dass der WSUS Server sich mit sich selbst synchronisiert.
Nun wird definiert, in welchen Intervallen sich der WSUS Server mit seiner Quelle synchronisieren soll.
Im Anschluss wird bestimmt, wann Patches als "abgelaufen" gekennzeichnet werden sollen. Da der Rollout eines Patches gestoppt wird, wenn er "abgelaufen" ist, muss diese Einstellung gemäß den internen IT-Richtlinien angepasst werden.
Wählen Sie nun die Klassifikation an Patchen aus, die in Ihrem Unternehmen verwendet werden soll. Eine genau Beschreibung über die Bedeutung der Klassifikationen kann hier eingesehen werden.
Als nächstes werden die Produkte ausgewählt, die in dem Unternehmen verwendet werden…
… und die Sprachen konfiguriert.
Nach der Beendigung des Wizard kann der Erfolg der Installation in der SUPSetup.log-Datei (C:\Program Files\Microsoft Configuration Manager\Logs\SUPSetup.log) kontrolliert werden. Die Installation muss dort mit der Zeile "Installation was successful" quittiert werden.
Wechseln Sie nun in die Ansicht "Software Library". Im Menüpunkt "Overview > Software Updates > All Software Updates". Dort kann nun im Kontextmenü oder über die entsprechende Option in der Taskleiste die Synchronisation der Patche angestoßen werden.
Die Synchronisation kann in der Logdatei wsyncmgr.log (C:\Program Files\Microsoft Configuration Manager\Logs\wsyncmgr.log) kontrolliert werden.
Nach der Einrichtung des WSUS Servers sollten unbedingt die Wartung des WSUS Server beachtet werden. Wenn der WSUS Server ohne weitere Wartung, so wie hier beschrieben, betrieben wird, ist es möglich, dass es zu Fehlfunktionen kommen kann. Die Ursache dafür liegt an einem stetig wachsenden Katalog und einer damit immer weiter einhergehenden Defragmentierung der Datenbank sowie immer weiter wachsenden Massendaten. Wertvolle Tipps, um dieses Problem zu vermeiden, finden Sie hier .