Planen der Integration in WSUS

Client Security verwendet WSUS zum Herunterladen der Agent-Komponenten, Definition und Modulupdates von Microsoft Update und zum Verteilen der Updates an die Client Security-Agents in Ihrem Unternehmen.

Mit WSUS können Sie auswählen, ob Sie Informationen über Updates in einer SQL Server-Datenbank oder einer MSDE-Datenbank (Microsoft SQL Server-Desktopmodul) speichern möchten. Da WSUS eine große Anzahl von Client Security-Updates von Microsoft Updates herunterlädt, wird dringend empfohlen, dass Sie den WSUS-Server für Client Security in einer SQL Server-Datenbank installieren.

Mit WSUS erhalten Unternehmen die Möglichkeit, Microsoft-Produktupdates automatisch herunterzuladen und diese innerhalb des Unternehmens an Clients zu verteilen. WSUS stellt eine Verbindung mit Microsoft Update her und synchronisiert die verfügbaren Updates mit dem lokalen Server. Nach dem Installieren und Konfigurieren von WSUS müssen Sie die Clients konfigurieren, damit diese eine Verbindung mit dem WSUS-Server zum Herunterladen der Updates herstellen. Für diese Konfiguration können Sie eine Gruppenrichtlinie verwenden. Weitere Informationen zum Bereitstellen von Client Security für verwaltete Computer finden Sie unter Deploying Client Security (http://go.microsoft.com/fwlink/?LinkId=88893) (Bereitstellen von Client Security - möglicherweise in englischer Sprache) und Planen der Bereitstellung von Client Security.

Informationen zum Bereitstellen von WSUS 2.0 finden Sie unter Deploying Microsoft Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=88891) (Bereitstellen von Microsoft Windows Server Update Services - möglicherweise in englischer Sprache). Informationen zum Bereitstellen von WSUS 3.0 finden Sie unter Deploying Microsoft Windows Server Update Services 3.0 (http://go.microsoft.com/fwlink/?LinkId=88892) (Bereitstellen von Microsoft Windows Server Update Services 3.0 - möglicherweise in englischer Sprache). Weitere Informationen zum Verwenden von WSUS finden Sie unter Microsoft Windows Server Update Services (http://go.microsoft.com/fwlink/?LinkId=88611) (möglicherweise in englischer Sprache).

WSUS muss auf die Microsoft Update-Website über TCP-Port 80 oder TCP-Port 443 zugreifen können. Möglicherweise müssen Sie zum Aufbau dieser Kommunikation Firewall- oder Routerregeln in Ihrem Unternehmen ändern. Zusätzlich müssen Sie den neuen WSUS-Server vor dem Installieren von Client Security synchronisieren, da dieser Vorgang möglicherweise einige Zeit dauert. Diese Synchronisierung fügt zusätzliche Updatekategorien für Client Security hinzu, die von der Verteilungsrolle aktiviert werden.

Die empfohlene Methode zum Bereitstellen von Client Security für verwaltete Zielcomputer ist die Gruppenrichtlinie. Sie können Client Security-Richtlinien für Ziele mit der Verwaltungskonsole von Microsoft Forefront Client Security bereitzustellen. Wenn die Zielcomputer die Client Security-Richtlinie erhalten haben, kontaktieren sie den WSUS-Server und laden die Client Security-Clientkomponenten herunter, die vom WSUS-Server von Microsoft Update heruntergeladen wurden. Hierzu müssen die verwalteten Computer so konfiguriert sein, dass sie den WSUS-Server kontaktieren können.

Bei der Installation der Client Security-Verteilungskomponente auf dem WSUS-Server wird ein Dienst mit der Bezeichnung Forefront Client Security-Update-Assistent hinzugefügt. Dieser Dienst veranlasst, dass WSUS stündlich Microsoft Updates auf Updates überprüft. Dies ermöglicht WSUS das Abrufen von Client Security-Definitionsupdates in kürzeren Intervallen als bei der standardmäßigen WSUS-Konfiguration.

Bei der Installation der Verteilungskomponente wird der WSUS-Server zusätzlich so konfiguriert, dass er automatisch eine Synchronisierung mit den Client Security-Definitionsupdates von Microsoft Update durchführt. Die Definitionsupdates werden außerdem unter WSUS im Abschnitt Optionen für automatische Genehmigungen der Liste Zum Installieren genehmigen hinzugefügt. Dies führt dazu, dass alle vom WSUS-Server heruntergeladene Definitionsupdates automatisch von den verwalteten Computern für die Installation genehmigt werden.

Mit WSUS können Administratoren die Genehmigungseinstellungen für die Bereitstellung von Updates für Clientcomputer verwalten. Betrachten Sie die automatische Genehmigung als standardmäßige Client Security-Konfiguration für Definitionsupdates. Es wird empfohlen, die Definitionsupdates automatisch genehmigen zu lassen, damit Definitionsupdates möglichst schnell verteilt werden. Dennoch sollte in einigen Fällen die automatische Genehmigung deaktiviert werden:

  • Beim Testen von Definitionsupdates
  • Bei gestaffelten Rollouts von Definitionsupdates, um Netzwerkverkehr zu reduzieren

Damit sichergestellt ist, dass der WSUS-Server nach der Bereitstellung der Client Security-Richtlinie eine Synchronisierung mit den Client Security-Clientkomponenten durchführt und diese heruntergeladen und auf den verwalteten Computern installiert werden können, müssen Sie unter WSUS im Abschnitt Synchronisierungsoptionen in die Liste Updateklassifizierungen Updates hinzufügen. Weitere Informationen finden Sie unter Approving the client components in WSUS (http://go.microsoft.com/fwlink/?LinkId=88895) (Genehmigen der Clientkomponenten in WSUS - möglicherweise in englischer Sprache).

Wenn Ihre aktuelle WSUS-Infrastruktur mehrere WSUS-Server enthält, müssen Sie die Client Security-Verteilungskomponente auf allen WSUS-Servern installieren. Mit der Client Security-Verteilungskomponente wird der WSUS-Server so konfiguriert, dass Microsoft Updates stündlich auf Definitionsupdates überprüft wird und WSUS die Definitionsupdates automatisch genehmigt. Wenn die Verteilungskomponente nicht auf allen WSUS-Servern installiert wird, führt dies zu einer Verzögerung bei der Verteilung der Definitionsupdates.

Wenn die WSUS-Infrastruktur zusätzlich eine Upstream/Downstream-Konfiguration der WSUS-Server enthält, müssen die Genehmigungsoptionen für Definitionsupdates auf den Upstreamservern mit den Genehmigungsoptionen auf dem Downstreamserver übereinstimmen. In einer Upstream/Downstream-Konfiguration der WSUS-Server wird außerdem für jede WSUS-Serverebene in der Kette die Wartezeit bei der Verteilung der Definitionsupdates an die verwalteten Computer um eine Stunde verlängert.

Anzeigen: