WSUS

WSUS staat voor ‘Windows Server Update Services’ en is een oplossing voor het beheer van Windows Updates binnen een netwerk. WSUS is een ‘role‘ die op een Windows Server geïnstalleerd kan worden en het beheer hiervan gaat via de WSUS Manager, gecombineerd met Group Policies voor de aangesloten computers.

WSUS-install

Gebruik je de Windows Internal Database voor WSUS dan kies je optie ‘WID‘, wil je liever een SQL server hiervoor gebruiken, kies dan ‘Database

De WSUS server heeft (uiteraard) toegang tot Internet nodig maar de overige servers kunnen beperkt worden want de Windows updates komen immers van de WSUS Server op het interne netwerk.

Eenmaal als de rol geïnstalleerd is kan de WSUS Manager gebruikt worden en de Wizard zal automatisch starten.

wsus01 wsus02 wsus03 wsus04 wsus05 wsus06 wsus07 wsus08 wsus09 wsus10 wsus11 wsus12

Nadat de wizard doorlopen is zullen de updates voor de ingestelde software automatisch gesynchroniseerd worden op de tijdstip(pen) die ingesteld is/zijn. Mijn server die de WSUS role heeft toebedeeld gekregen is de APP01 en het WSUS management ziet er hierna zo uit:

wsus-overzicht

Tijd om computergroepen aan te maken. Dubbelklik op ‘Computers’, rechtsklik op ‘All Computers’ en kies ervoor om een nieuwe computergroep aan te maken. Ik heb een onderverdeling gemaakt tussen ‘Productie Server’, ‘OTA Servers’ en Workstations:

wsus13a

Group Policies

Via Group Policies ga ik nu de servers indelen in de juiste Computer Groups. Op de Domain Controller start ik Group Policy Manager. Zoek de OU voor de productie server en kies ervoor om hier een GPO te maken en te linken.

wsus14 wsus15Om de instellingen van deze GPO aan te passen, klik op Edit…
wsus16 Optie 2 laat de gebruiker ervoor kiezen om de updates te installeren:
wsus17Hiermee wordt de server direct in de juiste WSUS Computer groep geplaatst:
wsus18 Als er nog gebruikers zijn ingelogd, de server niet opnieuw starten.
wsus20Als er updates zijn die geen Windows services of gebruikers beïnvloeden, mogen deze direct geïnstalleerd worden.
wsus21Geef aan waar de WSUS servers te vinden zijn. wsus22 Na het kopieren gebruiken we de OTA GPO voor de OTA servers
wsus25 Voor de OTA servers maken we een eigen GPO. Deze kunnen we kopieren van de Productie
wsus24We hoeven nu alleen nog maar de WSUS Computer Group te wijzigen.
wsus23De GPO’s op hun plek…
wsus26Op alle servers forceer ik nu de nieuwe Group Policy

wsus27Even uit- en weer inloggen om de Group Policy in te stellen. Hierna geef ik een commando om de server aan te melden bij de WSUS server

wsus28WSUS Management

De servers zullen nu verschijnen in de WSUS Management console

wsus29De Essentiële en Beveiligingsupdates zijn automatisch goedgekeurd om geïnstalleerd te worden.

wsus36

Blijft over het de ‘Mislukte of Vereiste’ updates die nog goedgekeurd moeten worden. Met rechtsklik op de bewuste update kan een groep gekozen worden, bijvoorbeeld eerst de ‘OTA servers’ en indien die zonder problemen blijven werken kunnen de updates goedgekeurd worden voor productie.

wsus37 Servers zullen dan bij inloggen vragen of de updates geïnstalleerd mogen worden.

wsus35