M42 Patch Installation #2 – Konfiguration und Synchronisation von WSUS

Im ersten Beitrag zur Installation des Matrix42 Patch Plugins für SCCM wurde beschrieben, wie das SSL Bindung für die WSUS Website eingerichtet wurde. Im nächsten Schritt wird die Einrichtung der Synchronisation mit dem WSUS Server beschrieben.

Haben Sie den WSUS Server wie in diesem Artikel beschrieben installiert, verfügt dieser noch über keine Konfiguration und keine synchronisierten Katalog- oder gar Massendaten. Grundsätzlich wird die Konfiguration des WSUS Server über die SCCM Konsole, im Rahmen der Installation der Serverrolle „Software Update Point“ (SUP) durchgeführt. Haben Sie schon Anpassungen am WSUS Server über die WSUS Administrationskonsole durchgeführt kann es passieren, dass Konfigurationsänderungen über SCCM nicht mehr sauber in den WSUS übernommen werden. In einer Testumgebung hat dies bei mir am Ende dazu geführt, dass ich den WSUS Server und den SUP einmal komplett deinstalliert, die SUSDB gelöscht und den WSUS und den SUP wieder neu installiert habe.

Navigieren Sie in der Administration der SCCM Konsole in den Menüpunkt „Site Configuration -> Server and Site System Roles“. Im Kontextmenü des gewünschten Server kann nun eine neue Site System Role hinzugefügt werden.

2015-08-13 16_54_45-System Center Configuration Manager (Connected to MUC - Munich)

Der folgende Dialog kann i.d.R. mit Klick auf „Next“ übersprungen werden. Im Anschluss wird der Proxy Server konfiguriert der genutzt wird, um eine Verbindung ins Internet aufzubauen.

2015-08-13 16_55_15-Add Site System Roles Wizard

Nach Angabe des Proxy-Server wird die Rolle „Software Update Point“ ausgewählt.

2015-08-13 16_55_25-Add Site System Roles Wizard

Wurde wie zuvor beschrieben der WSUS Server mit SSL Zertifikat ausgestattet, kann der Haken gesetzt werden, dass die SSL Kommunikation erzwungen wird.

2015-08-13 16_55_32-Add Site System Roles Wizard

Wird ein Proxy Server genutzt, muss dieser hier aktiviert werden. Zudem wird der Account angegeben, der genutzt wird um auf den WSUS Server zuzugreifen. Dieser Benutzer braucht keine besonderen Rechte im AD, muss aber Mitglied der lokalen Gruppe „WSUS Administratoren“ des WSUS Servers sein (Hier ist empfohlen, eine AD Gruppe zu erstellen, die in die lokale Gruppe eines jeden WSUS Servers aufgenommen wird).

2015-08-13 16_56_36-Add Site System Roles Wizard

Im folgenden Schritt werden die Synchronisierungseinstellungen hinterlegt. Hier geht es explizit darum, den WSUS Server zu konfigurieren (Ich habe bei meinem ersten Gehversuchen den Fehler gemacht anzunehmen, dass hier die Synchronisation von WSUS -> SCCM gemeint sein könnte und den WSUS Server explizit angegeben, was dazu führt, dass der WSUS Server sich mit sich selber synchronisiert).

2015-08-13 16_56_43-Add Site System Roles Wizard

Nun wird definiert, in welchen Intervallen sich der WSUS Server mit seiner Quelle synchronisieren soll.

2015-08-13 16_56_55-Add Site System Roles Wizard

Im Anschluss wird bestimmt, wann Patches als „abgelaufen“ gekennzeichnet werden soll. Da der Rollout eines Patch gestoppt wird wenn er „abgelaufen“ ist, muss diese Einstellung gemäß den internen IT-Richtlinien angepasst werden.

2015-08-13 16_57_01-Add Site System Roles Wizard

Wählen Sie nun die Klassifikation an Patchen aus, die in Ihrem Unternehmen verwendet werden soll. Eine genau Beschreibung über die Bedeutung der Klassifikationen kann hier eingesehen werden.

2015-08-13 16_57_08-Add Site System Roles Wizard

Als nächsten werden die Produkte ausgewählt, die in Ihrem Unternehmen verwendet werden…

2015-08-13 16_58_30-Add Site System Roles Wizard

… und die Sprachen konfiguriert.

2015-08-13 16_58_33-Add Site System Roles Wizard

Nach der Beendigung des Wizard kann der Erfolg der Installation in der SUPSetup.log Datei kontrolliert werden. Die Installation muss dort mit der Zeile „Installation was successful“ quittiert werden.

2015-08-13 17_06_22-Configuration Manager Trace Log Tool - [C__Program Files_Microsoft Configuration

Wechseln Sie nun in die Ansicht „Software Library“. Im Menüpunkt „Overview -> Software Updates -> All Software Updates“ kann nun im Kontextmenü oder über die entsprechende Option im Ribbon die Synchronisation der Patche angestoßen werden.

2015-08-13 17_08_38-System Center Configuration Manager (Connected to MUC - Munich)

Die Synchronisation kann in der Logdatei wsyncmgr.log kontrolliert werden.

2015-08-13 17_14_33-Configuration Manager Trace Log Tool - [C__Program Files_Microsoft Configuration 2015-08-13 18_29_24-Configuration Manager Trace Log Tool - [C__Program Files_Microsoft Configuration

Nach der Einrichtung des WSUS Servers sollten Sie unbedingt ein Auge auf die Wartung des WSUS Server haben. Wenn der WSUS Server ohne weitere Wartung so wie hier beschrieben betrieben wird, ist es eine Frage der Zeit bis er nicht mehr funktioniert. Die Ursache dafür liegt an einem stetig wachsenden Katalog und einer damit immer weiter einhergehenden Defragmentierung der Datenbank sowie immer weiter wachsende Massendaten. Kent Agerlund vergleicht dieses Phänomen in seinem Blog mit einem Kartenhaus und gibt sehr wertvolle Hinweise zur Wartung des WSUS Servers.

Im nächsten Artikel wird nun die Installation des 3rd Party Patch Management Plugins beschrieben.

Advertisements

3 Gedanken zu „M42 Patch Installation #2 – Konfiguration und Synchronisation von WSUS

  1. Pingback: M42 Patch Installation #1 – WSUS und SSL | Crankdesk…

  2. Pingback: M42 Patch Installation #3 – 3rd Party Patch Katalog | Crankdesk…

  3. Pingback: M42 Patch Installation #4 – Download | Crankdesk…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s