Meister aller Klassen: 6 Tipps für 100 % WSUS-Kompatibilität

WSUS ist bereits die bevorzugte und herausragende Lösung für die Updateverwaltung. Sie können sie jedoch noch weiter optimieren.

Von Greg Shields.

Windows Server Update Services (WSUS) ist wirklich eine der Microsoft's bemerkenswerten Errungenschaften. Viele von uns erinnern sich seiner Vorfahren, Software Update Services (SUS). Damals kam Softwareupdates mit wenig Warn- und unvorhersehbaren Zeitpläne. Es gab Dutzende von Patch-Management-Lösungen auf dem Markt, jede Werbung eine einzigartige Möglichkeit, Ordnung in dem Ansturm der kritischen Updates zu bringen.

Dann kam Sie WSUS, und mit ihm schien die Ernte von Patch-Management-Lösungen zu versiegen. Fast allein stehend, herrscht WSUS als die Microsoft-Patch-Management-Lösung für die Massen. Was ist der Grund? Weil es funktioniert.

Viele Rechenzentren verwenden einen WSUS-Server für die Verwaltung Ihrer Windows-Updates. Noch mehr den WSUS-Client verwenden — die Windows Update-Agent – für die Installation von jedem update's ausführbaren Code. Dennoch kämpfen viele noch, um Updates in einer zeitgemäßen Weise bereitstellen. Getting to 100-prozentige Übereinstimmung über Nacht eine hehre Ziel ist, selbst wenn wir es nicht immer schaffen.

Viele Hansdampf in allen Gassen IT-Profis erkennen nicht, dass einige der besten Möglichkeiten zum Implementieren von WSUS nicht die offensichtlichsten sind. Einige sind nicht einmal gut. Lassen Sie mich einige der mehr-erfolgreichen teilen Tricks, die Ihnen hilft, Ihre Update-Prozess zu glätten.

1. Lassen Sie sich nicht Benutzer oder Updates Steuerelement Neustarts

Getting to 100 Prozent Update Compliance erfordert zwei grundlegende Schritte: Zuerst müssen Sie das Update installieren;Zweitens müssen Sie den Computer neu zu starten. Sie müssen beide Schritte für den Computer als konform erreichen. WSUS fällt kurz in wie es den Neustart-Schritt verarbeitet.

Die meisten von Ihnen wollen nicht Benutzer mit einem Neustart nach Abschluss der Aktualisierung zu stören. Kicking off ein Neustart während des Arbeitstages Nutzer irritiert und kann verlorene Arbeit verursachen. Das ist, warum es gibt immer die Option, damit Benutzer den Neustart zu verschieben. Verschieben einen Neustart gibt eine Benutzerzeit zu beenden, was Sie tun, und den Computer ordnungsgemäß heruntergefahren. Jedoch kann die Verschiebung des Neustarts verzögern 100-prozentige Übereinstimmung zu erreichen.

Eine weitere Option ist eine Frist an jedem genehmigten Update anfügen. Feststellt, daß ein Datum und die Uhrzeit, wann die Installation und Neustart abgeschlossen sein müssen. Sie werden absolut erzwingen, Computer neu starten, nachdem die Frist übergibt. Das Problem hier ist mit Computern, die nach unten oder außerhalb des Netzwerks während der Frist angetrieben wurden. Diese Computer bekommen gepatcht und anschließend neu gestartet, nachdem Sie wieder eingeschaltet sind oder wenn Sie mit dem Netzwerk herzustellen. Das ist keine gute Lösung.

Ein besserer Weg, um Neustarts zu steuern ist um Sie insgesamt von WSUS zu entfernen. Erstellen Sie eine Skript, die alle Computer auf einmal neu gestartet wird. Planen Sie das Skript ausgeführt, nachdem der Benutzer für den Tag verlassen. Sie können Systeme aktualisieren, wann immer Sie wollen, zu wissen, Ihre externe Reboot-Skript wird den Prozess zu beenden.

Beispielsweise identifizieren ein Zeitfenster wann werde Sie jeden Desktop im Netzwerk neu starten — sagen wir zwischen 2: 00 Uhr Mittwoch und Samstag vormittags und 4: 00 Uhr Sozialisieren Sie dieses "Reboot-Fenster" Benutzer, damit Sie, wissen um Ihre Arbeit zu speichern. Dann, bauen Sie sich ein kleines Skript, das jeden Desktop auf einmal neu gestartet. Sie können eine Beispieldatenbank herunterladen, von $concentratedtech.com/download $. Verwenden Sie Task Scheduler, um das Skript jede Woche während Ihre Windows-Neustart ausgeführt.

Einige Gruppenrichtlinieneinstellungen können mit dieser Situation helfen: Aktivieren Sie die Richtlinieneinstellung "Kein automatischer Neustart mit angemeldeten Benutzern für Installationen geplanter automatischer Updates." Dies verhindert eine Updateinstallation aus dem Neustart des Computers.

Legen Sie in der Richtlinieneinstellung "Automatische Updates konfigurieren," den Wert 4, und sicherstellen Sie, dass die Installationszeit tritt auf, bevor Sie Ihren Computer neu starten Fenster. Aktivieren der Richtlinie "Ermöglichen automatische Updates sofort installieren" hilft auch, wie es sofort Updates installiert, die einen Neustart erfordern. Schließlich, wenn Sie diese Einstellungen nach unten auch für Administratoren sperren möchten, können Sie den Benutzerkonfiguration Policy "Remove Zugriff auf alle Windows Update-Funktionen." aktivieren

Neukonfigurieren von WSUS auf diese Weise trennt den Neustart-Schritt aus dem Installationsschritt und gibt Ihnen viel bessere Kontrolle über die 100-prozentige Übereinstimmung über Nacht zu erreichen.

2. Verwenden Sie die WSUS-API, um einen Computer sofort Patch

IT Guys Nachfragen ständig, "Gibt es eine Möglichkeit, WSUS zu verwenden, um zu einen Computer sofort zu Flicken?" Sie sind des Wartens müde für zeitbasierte WSUS-Updates. Sie wollen die sofortige Kontrolle, wann Computer, vor allem mit Servern flickte erhalten.

Es ist ein Weg, obwohl Sie nicht in der WSUS-GUI ausgesetzt ist. WSUS hat auch die Exposition durch eine API-scripting. Mit dieser API und Ihre Lieblingsskriptsprache, können Sie anweisen des Clients Windows Update-Agent zu sammeln und genehmigten Updates vom WSUS-Server zu installieren. Der Agent wird sogar den Computer sofort neu gestartet wenn Updates für die Installation ein Neustart erforderlich.

Das schwierige Teil ist bei der Konstruktion einer Skripts, die die Aufgabe werde. Zwei Skripts finden Sie unter concentratedtech.com/download . Die erste führt auf dem Computer, die Aktualisierungen benötigen. Es wird genehmigten Updates herunterladen, installieren und starten Sie den Computer neu, falls erforderlich. Die zweite verwendet das nifty Microsoft-Tool PSExec Remote starten Sie das erste Skript auf mehreren Computern in Ihrem Netzwerk.

Diese zwei Skripts nützlich für das Patchen von Servern. Sie können sagen, dass Ihre Server patch und sich sofort, ohne für den WSUS-Clock-on-the-Wall-Zeitgeber beginnen zu warten, um zu starten.

3. Reaktivieren von Computern mit Gruppenrichtlinien

Rechts, wo die anderen WSUS Gruppenrichtlinieneinstellungen gespeichert werden, finden Sie eine benannte Enabling Windows Update Power Management. Dies wird automatisch das System, um geplante Aktualisierungen installieren aufwachen.

Viele von uns konfigurieren unsere Computer um in Lower-Power-Staaten zu verschieben, wenn Sie nicht in Gebrauch, wie den Bildschirm ausschalten oder sogar schlafen den Computer. Das Problem ist, dass ein schlafender Computer für die Installation von Updates in der Mitte der Nacht wach werden nicht.

Durch Aktivieren dieser Einstellung wird angewiesen, Windows Update zu sleeping Computer automatisch zu reaktivieren, wenn es Zeitrechnung ist zu aktualisieren. Nach Abschluss werden der Computer nach zwei Minuten ein Sleep-Modus zurück.

4. Implementieren Sie eine Internetanbindung WSUS

Mitarbeiter, die nur selten mit dem internen LAN verbinden, sind eine weitere Herausforderung. Diese Laptops sind Firmeneigentum, aber Managementoptionen sind begrenzt, weil Sie selten im Netzwerk. Damit diese Computer flickte erhalten, sind viele Benutzer in der Microsoft-Website für öffentliche Update gezwungen. Dort erhalten Sie jedem Patch, die Microsoft für angemessen hält.

Wie Sie sich vorstellen können, gibt es mehrere Probleme bei diesem Ansatz. Die meisten von uns wollen, um zu bestimmen, welche Patches installiert sind. Wir testen und genehmigen wollen Patches, so dass wir diejenigen Aussortieren können wir wissen, dass Probleme verursachen. Wir brauchen auch Berichte über Patchen Erfolg, um zu verhindern, dass einen ungepatchten Computer unser Netzwerk zu infizieren.

Eine Möglichkeit, dies erreichen (und 100-prozentige Übereinstimmung über Nacht erreichen) ist mit einem Internet-Facing WSUS-Server. Dieser Servertyp kann Ihr Patch-Management für Benutzer Bedürfnisse, die nur selten im Büro sind. Internetanbindung WSUS-Server enthalten nicht in der Regel tatsächlichen Update-Daten. Stattdessen zeigen Sie Clients auf Windows Update für den Update-Inhalt.

Diese können Sie steuern, welche patches Sie bereitstellen, während die Patch-Verteilung-Verantwortung auf Microsoft-Server-Verschiebung. Diese Server tendenziell auch gehärtete gegen unangemessene Benutzer durch die Verwendung von SSL-Zertifikaten und einen separaten Datenbankserver.

5. Betrachten Sie BranchCache-Beschleunigung

100 Prozent zu erreichen erfordert Compliance über Nacht schnell patching Clients. Es erfordert auch schnell verteilen von Updates während der WSUS-Hierarchie. Leider ist speedy Verteilung von Softwareupdate-Metadaten und Inhalt nicht immer möglich, wenn Sie mehrere WSUS-Server miteinander verkettet haben. Die Häufigkeit der automatische Updates-Erkennung und einige latente Branch Office-Netzwerkverbindungen sind die Fragen hier.

Wenn Sie Windows Server 2008 R2 verwenden, können Sie Ihre verketteten WSUS-Server mit BranchCache, eine Inhalt-Acceleration-Lösung ersetzen, die Dokumente für die Benutzer in remote-Geschäftsstellen zwischenspeichert. Sie können auch Verwendung von BranchCache Updatebereitstellung zu beschleunigen.

Installieren Sie BranchCache auf Ihrem WSUS-Server. Dann verwenden Sie Gruppenrichtlinien, um es zu aktivieren für Windows 7-Clients in Ihren remote-Standorten. Schließlich zeigen Sie diese remote Office-Clients auf das Hauptbüro WSUS-Server für Ihre Updates.

BranchCache Distributed Cache-Modus verwenden, werden Windows 7-Computer am Remotestandort WSUS Inhalte zu teilen sobald es heruntergeladen ist. Dies beschleunigt Updateverteilung ohne sättigen Ihre Netzwerkverbindung.

Die tatsächliche Zwischenspeicherung in BranchCache ist vollständig transparent an den Client. Dies bedeutet Beschleunigung einmal aktiviert für alle Inhalte, die von einem BranchCache-fähigen Server heruntergeladen. Als ein Ergebnis, Sie können Ihren Remote-Standorten WSUS-Servern loszuwerden, und entfernen einen Schritt in Updateverteilung.

6. Die WSUS-Datenbank sauber zu halten

Diese letzte Spitze könnte glauben, wie Betrug, aber es ist ein wichtiger Schritt in getting to 100-prozentige Übereinstimmung. Beseitigung abgelaufene Computern aus der WSUS-Datenbank entfernt Sie aus Ihren Compliance-Leistungsindikatoren. Wenn ein Computer nicht mehr vorhanden ist, es wird nie Berichten, Compliance, und du wirst nie 100 Prozent sehen.

WSUS enthält einen Cleanup-Wizard, der Sie auf einer regelmäßigen Basis verwenden sollten. Es wird Entfernen von Computern, die nicht mehr den Server zu kontaktieren, sowie beseitigen unnötige Aktualisierungen.

Ich habe diese Vorschläge, um Clients für Jahre teilen. Alle von Ihnen Bericht erhebliche Verbesserungen in ihrer Zeit um volle Übereinstimmung. Sie können dort zu erhalten. Wenn Sie nicht, lassen Sie es mich wissen. Teilen Sie Ihre Probleme bei concentratedtech.com/WSUSGuarantee .

Greg Shields MVP, ist Partner bei Concentrated Technology. Erhalten Sie mehr Shields Hansdampf in allen Gassen Tipps und Tricks bei ConcentratedTech.com.

Erhalten Sie für Ihre besten Tipps erkannt

Sind Sie ein Hansdampf in allen Gassen (JOAT) Windows-Administrator? Sind Sie verantwortlich für Netzwerke, Server, Drucker und alles dazwischen? Wenn ja, haben Sie sicherlich einige nützliche Tipps und Tricks für das halten von diesen Servers entwickelt. Sind Sie daran interessiert, sharing? TechNet Magazine's Geek-of-All-Trades Kolumnist Greg Shields ist auf der Suche nach ein paar gute Tipps für eine bevorstehende-Spalte, und er sucht Ihre Hilfe.

Haben Sie einen smart-Tipp für die Verwaltung Ihrer Windows-Server? Eine raffinierte Taktik für das halten von Desktops, auf denen herausgefunden? Pflege zu teilen einen geheimen Trick für die Verwaltung Ihrer IT-Umgebung?  Greg's "Top 20 es Tipps" erscheint in einer kommenden Ausgabe TechNet Magazine. Dort werde er die Top 20 smartest-IT-JOATs in der Industrie neben ihren Game-changing Tipp oder Trick Erkenntnis, die sein.  Senden Sie Ihnen heute!  Bekommen Sie Ihren Namen in Print, loben Sie Ihre Tugenden, und erinnern Sie daran, warum Sie diejenigen sind, die die eigentliche Arbeit zu erledigt erhalten. Senden Sie Ihre Tipps zu gshields@concentratedtech.com.  Jeder eingereichten Tipp werden eine Antwort erhalten.

— G.S.

Verwandter Inhalt

• Meister aller Klassen: Bereitstellung von Windows 7 in 7 einfachen Schritten
• Meister aller Klassen: Automatische Bereitstellung von Microsoft Office 2010 mit kostenlosen Tools
• Meister aller Klassen: Stoppen Sie Power und sparen Sie 50 pro Computer pro Jahr