| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| de:services:it_security:wsus:start [2023/10/09 12:22] – [Konfiguration für Windows] pernst1 | de:services:it_security:wsus:start [2024/02/15 15:42] (aktuell) – [Weitere Informationen] pernst1 |
|---|
| ====== Windows Server Update Service der GWDG ====== | ====== Windows Server Update Service der GWDG ====== |
| |
| Um das Betriebssystem Windows und die Office-Produkte auf dem aktuellen Stand zu halten, ist es erforderlich, die regelmäßig von Microsoft bereitgestellten Korrekturen, auch Patches genannt, einzufahren. Die GWDG betreibt hierfür einen WSUS-Server, der die Korrekturen vorsortiert seinen Kunden zur Verfügung stellt. | Das Betriebssystem Windows, sowie diverse weitere Microsoft-Produkte, werden durch regelmäßige Updates auf dem aktuellen Stand gehalten. Die GWDG betreibt einen WSUS-Server um die Verteilung dieser Updates im Universitäts-Umfeld zu steuern und auch Geräte ohne Internet-Zugriff zu erreichen. Die Auswahl der unterstützten Produkte orientiert sich dabei am Bedarf der Institute; auf privaten Computern sollte also stattdessen der vorkonfigurierte "Windows Update" Dienst verwendet werden. |
| | |
| **Dieser Server zielt im Wesentlichen auf die Windows-Systeme in den Instituten und dient zudem als Upstream-Server für die verschiedenen institutsinternen WSUS-Server (Downstream-Server). Daher bietet er ein auf dieses Klientel abgestimmtes Sortiment an. Heimische PCs sollten stattdessen den Windows Update Service (//über die Aktivierung der automatischen Update-Funktion//) von Microsoft nutzen, da dieser ein umfangreicheres Angebot an Updates bereitstellt.** | |
| ===== Konfiguration für Windows ===== | ===== Konfiguration für Windows ===== |
| |
| Um Windows (//keine Home-Versionen!//) auf den WSUS-Server auszurichten, startet man unter einem Benutzeraccount mit administrativen Rechten den Editor für die Gruppenrichtlinien: "**gpedit.msc**". | Um Windows (//keine Home-Versionen!//) auf den WSUS-Server auszurichten, starten Sie unter einem Benutzeraccount mit administrativen Rechten den Editor für die Gruppenrichtlinien: "**gpedit.msc**". Navigieren Sie anschließend links zu Computerkonfiguration > Administrativen Vorlagen > Windows-Komponenten > Windows Update. |
| |
| Dort findet sich links unter **Computerkonfiguration > Administrativen Vorlagen > Windows-Komponenten** der Eintrag **Windows Update**, worüber der automatische Update-Prozess detailliert konfiguriert werden kann. | Editieren Sie nun die Richtlinie **Internen Pfad für den Microsoft Updatedienst angeben**. Wählen Sie "Aktiviert" und tragen Sie bei "Interner Updatedienst zum Ermitteln von Updates" und "Intranetserver für die Statistiken" die folgende Adresse ein: |
| | |
| Hervorzuheben sind hierbei die folgenden Einträge in der rechten Spalte: | |
| | |
| "**Interne Pfad für den Microsoft Updatedienst angeben**" sowie "**Internetserver für die Statistik**": | |
| hier wird der Server bestimmt, von dem das Update bezogen werden soll. Seine Adresse lautet: | |
| |
| ''https://wsus.gwdg.de:8531'' | ''https://wsus.gwdg.de:8531'' |
| * **Ring-0**: Freigabe am 2. Dienstag des Monats nach Release durch Microsoft um 17:00 UTC. Empfohlen für Testsysteme. | * **Ring-0**: Freigabe am 2. Dienstag des Monats nach Release durch Microsoft um 17:00 UTC. Empfohlen für Testsysteme. |
| * **Ring-2**: Freigabe Donnerstagabend. Empfohlen für Workstations. | * **Ring-2**: Freigabe Donnerstagabend. Empfohlen für Workstations. |
| * **Ring-5**: Freigabe Sonntagabend. Empfohlen für Server, die in der Nacht auf Montag zur Installation rebooten. | * **Ring-5**: Freigabe Sonntagabend. Empfohlen für Server mit Reboot Montagmorgen. |
| | |
| | ===== Weitere Informationen ===== |
| | |
| | **Upgrade auf Windows 11**: Damit Sie den Zeitpunkt des Umstiegs auf Windows 11 selbst bestimmen können, werden Upgrades nicht in den regulären Ring-Zielgruppen freigegeben. Sie können stattdessen vorübergehend die Zielgruppe **Win11** verwenden, um ein In-Place-Upgrade durchzuführen. Die monatlichen Sicherheitsupdates für Windows 11 erhalten Sie anschließend auch in den Ringen. |
| | |
| | **Funktionsupdates**: Alle Zielgruppen befinden sich auf der finalen Windows 10 Version 22h2. Für Windows 11 sind Funktionsupdates jedoch mit einem Zwangsupgrade von Windows 10 auf 11 kombiniert. Da wir dies nicht erzwingen möchten, sind die Funktionsupdates für Windows 11 zur Zeit nur in der Zielgruppe **Win11** verfügbar. Alternativ können Sie online über Windows Update abgerufen werden. |
| |
| | **Alte Zielgruppen**: Alle Computer, die zuvor mit den Zielgruppen "ServerAll" und "ServerAll-FU" konfiguriert waren, wurden in "Ring-2" eingeordnet. |
| |
| | **Neue Server-Adresse**: Im Zuge der Umstellung auf die neue automatisierte WSUS-Umgebung hat sich die IP-Adresse des Servers auf ''134.76.16.243'' geändert. Bitte prüfen Sie bei Update-Problemen die Erreichbarkeit dieser Adresse über Port 8531 und 8530. |
| |
| Informationen zu Funktionsupdates: Alle Zielgruppen befinden sich auf der finalen Windows 10 Version 22h2. Funktionsupdates für Windows 11 können zurzeit nicht über WSUS verteilt werden, da Microsoft diese mit einem Zwangsupgrade von Windows 10 auf 11 kombiniert hat. Sie können diese bei Bedarf online über Windows Update erhalten. | **Ports**: Der Standard-Port für die WSUS-Konfiguration ist mittlerweile Port 8531 (HTTPS), wobei dieser Port nur für Metadaten verwendet wird - die Content-Daten der Updates werden über Port 8530 (HTTP) heruntergeladen. Wird die alte Konfiguration verwendet, sind es stattdessen Port 443 und 80. Clients müssen den WSUS-Server jeweils über beide Ports erreichen können. |
