Schlagwort-Archive: WSUS

Windows Update im Griff: ABC-Update

Ich war lange Zeit auf der Suche nach einem Tool, mit dem ich den Windows Update Prozess etwas besser im Griff haben kann.

Lange habe ich mit dem WSUShelper von Wolfgang Fuehrer gearbeitet, allerdings benötige ich zur Ergänzung noch ein Tool, mit dem ich den Update Prozess sofort starten kann.

Hier setzt jetzt das Tool ABC-Update an, welches von Flemming Varmer kostenlos zur Verfügung gestellt wird.

Mit diesem Tool kann man die Updates entweder direkt von Microsoft holen

 ABC-Update.exe /A:Install 

oder von einem WSUS-Server, den man im eigenen Netz hat

 APC-Update.exe /S:WSUS /A:Install /R:N 

(Installiert alle verfügbaren, aber noch nicht installierten Updates ohne Reboot)
Interessant ist auch, dass man für den WSUS Server unterschiedliche Ports angeben kann (also Port 80 oder 8530).

Hier noch die Übersetzte Beschreibung des Programmes von der Webseite:

ABC-Update
ist ein einfach zu bedienendes Tool, mit dem Sie die Kontrolle über MS-Update-Vorgänge behalten.

Mit ABC-Update erhalten Sie die Updates genau dann, wenn Sie sie benötigen, und können auch maximale Neustarts definieren, Filteroptionen verwenden, um Updates anhand von Patchdaten, KB-Artikeln und Update-Kategorien auszuwählen.
Das Tool hat eine GUI- und eine Kommandozeilenversion und ermöglicht es Ihnen, Update-Operationen auch dann zu skripten, wenn Sie diese benötigen. Da Sie das Tool auch von der Kommandozeile aus aufrufen können, ist es gut geeignet für die Verwendung mit Software-Verteilungstools wie ABC-Deploy, MS SCCM und anderen.

Sie haben die Kontrolle. Kein Warten mehr auf automatische Updates.
Getestet OK von Windows XP/2003 und höher

Diese Lücke zwischen dem, was Microsoft direkt nach dem Auspacken anbietet, und dem, was viele Administratoren wirklich wollen, ist das, was das ABC-Update-Tool ausfüllen soll.

 

WSUS Content Ordner bereinigen

Ab und zu kann es mal notwendig sein den WSUS Content Ordner zu bereinigen. Entweder um „Altlasten“ zu entfernen oder um korrupte Patchdateien zu löschen.

Wie arbeitet der WSUS bei der Bereitstellung?

Zunächst lädt der WSUS Server nur die Metadaten der Upadtes herunter. D.h. es wird zuerst nur die Paketinformation geladen.
Nachdem man das Patch bestätigt hat (entweder händisch oder per Autoaccept) wird nun das eigentliche Update heruntergeladen.
Dieses Patch liegt dann in WSUS-Content.

Wie wird das jetzt bereinigt?

  1. WSUS Content Ordner bereinigen
    In den Diensten auf dem WSUS Server beendet man den „Update Service“ Dienst. Danach öffnet man das Verzeichnis WSUSContent (z.B. C:\WSUS\WsusContent) und löscht alle Unterordner. Am besten STRG-A (alles auswählen) und HOCHSTELLTASTE-Entf (ohne Papierkorb löschen).
    Jetzt den „Windows Update“ Dienst wieder starten.
  2. Update Reset durchführen, um WSUS wieder betriebsbereit zu bekommen.
    Jetzt öffnet man die Konsole (CMD) und gibt folgendes ein:
    cd „%SystemDrive%\Program Files\Update Services\Tools\“
    Damit befindet man sich jetzt im Tools Verzeichnis des WSUS Servers.
    Jetzt folgenden Befehl absetzen:
    WsusUtil.exe reset
    Jetzt sollte man dem Server etwas Zeit lassen, um sich neu zu organisieren. Jetzt werden alle Einträge in der Datenbank geprüft und verifiziert, ob die Datei im WSUSContent Ordner verfügbar ist. Ist das nicht der Fall, wird ein BITS* Auftrag gestartet, um die Datei bei Microsoft zu laden.
    So rein optisch passiert jetzt erst einmal nicht viel, aber nach einer Zeit sieht man, dass im WSUS Content Ordner wieder Unterordner angelegt werden.

    Quelle: blogs.technet.microsoft.com
    * BITS – Background Intelligent Transfer Services – mehr Info unter wsus.de

WSUS GPO deaktivieren

Es kommt immer wieder einmal vor, dass man einen Rechner, der per Gruppenrichtlinie für die WSUS Nutzung konfiguriert worden ist, nachträglich wieder auf systemeigene Updates bei Microsoft umstellen muss.
Leider lässt sich das nicht über die GUI des Rechners bewerkstelligen. Hier sind jetzt zwei Möglichkeiten, wie man das bewerkstelligen kann:

  1. Eine neue Richtlinie erstellen erstellen, die die ursprüngliche WSUS GPO deaktiviert. Dazu erstellt man im AD eine neue OU und erstellt eine Gruppenrichtlinie, in der die Richtline „Specify intranet Microsoft update service location“ auf „Deaktiviert“ gesetzt wird. Jetzt noch den entsprechenden PC in diese OU verschieben und in der cmd „gpupdate /force“ ausführen oder den Rechner einmal neu starten.
  2. Am Client den Registry-Editor öffnen und folgenden Key suchen:
    HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
    Dort den folgenden Wert ändern:
    UseWUServer = dword:0x0 (also deaktiviert)
    Alternativ kann man auch den ganzen Bereich „WindowsUpdate“ in der Registry löschen. Bei einem Neustart des „Windows Update Service“ oder des Rechners werden anschließend die Standardwerte wieder gesetzt.
    (Quelle: social.technet.microsoft.com)
    Regedit WSUS