Möglichkeiten zum Bereitstellen
von Updates
Vorwort
Microsoft stellt mehrere Methoden zum Ausführen von Updates bereit, um
die Anforderungen unterschiedlicher
Organisationstypen zu erfüllen. Die bevorzugte Methode zum Bereitstellen
von Updates erfolgt über Software
Update Services (SUS) bzw. dem Nachfolger
Windows Update Services (WSUS). Große
Organisationen, die
derzeit Gruppenrichtlinienobjekte zum Verteilen von Software verwenden, bevorzugen
möglicherweise auch die
Verwendung von Gruppenrichtlinienobjekten für das Bereitstellen von Updates,
weil es ihnen so möglich ist, das
Update auf vielen Systemen gleichzeitig bereitzustellen. Gruppenrichtlinienobjekte
können verwendet werden,
um Updates automatisch auf Computern zu installieren oder um sie Benutzern über
die Optione 'Software" zur
Verfügung zu stellen. Außerdem können Unternehmen, die Microsoft
Systems Management Server (SMS) ver-
wenden, Updates auch mithilfe von SMS bereitstellen. Sie haben sogar die Möglichkeit,
ein manuelles Installie-
ren von Updates auf neuen Systemen zu vermeiden, indem Sie das Update direkt
in die Installationsdateien
von Windows Server 2003 oder Windows XP ingetrieren (Slipstream).
Kleinere Organisationen, die keine Computerressourcen zu einer
Update-Infrastruktur zuordnen können, haben
die Möglichkeit, Updates manuell mithilfe von Express- oder Netzwerkinstallationen
bereitzustellen. Kleine Or-
ganisationen können die Vorteile einer automatischen Updatebereitstellung
nutzen, ohne Infrastrukturserver
hinzuzufügen zu müssen, indem Sie den Client
für automatische Updates und den Windows Update Server
verwenden. In der folgenden Tabelle werden die Vor- und Nachteile der einzelnen
heir beschriebenen
Updatevarianten aufgeführt:
Updateverteilungs- methode |
Vorteile |
Nachteile |
Windows Update | Keine Infrastruktur nötig | Administratoren können keine Updates testen oder genehmigen. Unnötige Beanspruchung der Internetbandbreite in großen Organisationen. |
SUS/WSUS | Ermöglicht Administratoren das Testen, Genehmigen und zeitliche Planen von Updates. Reduziert die Internet-Bandbreitenverwendung. | Erfordert einen Infrastrukturserver auf dem WSUS installiert wird. |
Gruppenrichtlinien | Bietet präzise Steuerungsoptionen, um zu kontrollieren, welche Clients Updates erhalten. Kann zum Verteilen von anderen Softwaretypen verwendet werden. | Im Gegensatz zu Service Packs, müssen Updats manuell zu einem Windows Installer-Paket hinzugefügt werden. |
Menüpunkt Software | Endbenutzer können steuern, welche Updates zu welchem Zeitpunkt installiert werden. Kann zum Verteilen von anderen Softwaretypen verwendet werden. | Endbenutzer müssen auswählen, wann welche Updates installiert werden sollen. |
Systems Management Server SMS | Bietet in hohem Maße anpassbare, zentrale Steruerungsoptionen für die Updatebereitstellung mit der Möglichkeit, Clientsysteme zu überwachen und zu inventarisieren und Fernzusteuern. Kann zum Verteilen von anderen Softwaretypen verwendet werden. | Erfordert Infrastrukturserver und zusätzliche Lizenzen für den SMS. |
Client für automatische
Updates
Windows Update und Windows Software Update Services verwenden denselben Client
zum Herunterladen und
Installieren von Updates, und zwar den Client für automatische Updates.
Der Client für automatische Updates
kann Benutzer automatisch benachrichtigen, wenn wichtige Updates und Sicherheitsupdates
entweder auf der
Windows Update Seite oder auf einem Unternehmensinternen WSUS Server verfügbar
sind.
Der Client für automatische Updates ist unter Windows
2000 Service Pack 3, Windows XP Home Edition,
Windows XP Professional und Windows Server 2003 verfügbar und fungiert
als proaktiver Dienst, der das auto-
matische Erkennen, Benachrichtigen, Herunterladen und optimale Installieren
wichtiger Updates ermöglicht.
Der Client für automatische Updates kann sogar einen Computer zu einem
geplanten Zeitpunkt neu starten, um
sicherzustellen, dass die Updates sofort in Kraft treten.
Der Client für automatische Updates, stellt viele Steuerungsoptionen
bereit. Sie können einzelne Computer
mithilfe der Systemsteuerung konfigurieren. Bei Netzwerken, in denen der Active
Directory Verzeichnisdienst
verwendet wird, kann die Konfiguration für jeden Client für automatische
Updates mithilfe der Gruppenrichtlinien-
einstellungen festgelegt werden. In Umgebungen ohne Active Directory können
Sie Computer durch das Ändern
der entsprechenden Regisrierungswerte konfigurieren.
IT-Administratoren könne automatische Updates so konfigurieren,
dass die Updates automatisch herunterge-
laden werden und ihre Installation zu einer angegebenen Zeit (zB. ein regelmäßiges
Wartungs/Updatefenster)
geplant wird. Wenn der Computer zu dieser Zeit ausgeschaltet ist, können
die Updates unmittelbar nach dem
Einschalten des computers installiert werden. Das Herunterladen von Updates
wirkt sich auch nicht nachteilig
auf die Netzwerkleistung eines Benutzers aus, da der Client die Updates mithilfe
des intelligenten Hintergrund-
übertragungsdienstes (Background Intelligent
Transfer Service, BITS) herunterlädt. Bei BITS handelt es sich
um eine innovative Technologie der Bandbreitenbeschränkung, die nur Bandbreiten
im Leerlauf verwendet.
Hinweis:
Sie können BITS mithilfe des Supporttools "Bitsadmin.exe"
verwalten. Sie können die Supporttools installieren
indem Sie \Support\Tools\Suptools.msi von
der Windows Server 2003 CD installieren.
Wenn eine vollständige Automatisierung unzulässig
ist, können Sie auch den Benutzern entsprechende Re-
chte einräumen, damit sie entscheiden können, wann Updates heruntergeladen
und installiert werden.
Aus der folgenden Abbildung geht hervor, dass der Client für automatische
Updates mithilfe der Gruppenricht-
linieneinstellungen so konfiguriert werden kann, dass der Benutzer nur benachrichtigt
wird, wenn Updates
verfügbar sind. Die Updates werden erst heruntergeladen oder ausgeführt,
wenn der Benutzer auf das Hinweis-
symbol klickt und die gewünschten Updates auswählt.
Client für automatische Updates
Nachdem der Client für automtaische Updates die Updates heruntergeladen
hat, überprüft er vor dem Ausführen
die digitale Signatur der Updates, um zu verhindern, dass ein Angreifer ein
trojanisches Pferd einschleust.
Wenn Sie überprüfen möchten, ob die Updates installiert wurden,
können Sie die Adresse eines Webservers
angezeigt.
Windows Update/Microsoft
Update
Windows Update ist ein kostenloser Microsoft-Dienst, der es Ihnen ermöglicht,
Computer unter Windows mit
den neuesten Softwareupdates zu aktualisieren. Windows Update besteht aus drei
Komponenten:
Der Windows
Update-Website
Dem Client
für automatische Updates
Dem Windows
Update Katalog
Millionen Menschen verwenden die Windows Update Website jede Woche um die Windows-basierten
Systeme auf dem aktuellen Stand zu halten. Wenn ein Benutzer eine Verbindung
zur Windows Update Web-
site herstellt, wird der Computer des Benutzers durchsucht, um zu prüfen
welche Softwareupdates und aktua-
lisierten Gerätetreiber zur Aufrechterhaltung der Sicherheit und Zuverlässigkeit
des System installiert werden
sollen.
Die Windows Update Website umfasst einen Katalog sämtlicher
Softwareupdate-Installationspakete, die von
Administratoren heruntergeladen werden können. Anschließend können
diese Softwareupdate-Installations-
pakete auf CD gespeichert, verteilt und (zB. mithilfe von SMS oder mit Softwareverteilungstools
von Drittan-
bietern) installiert werden. Darüber hinaus können Sie auch beim Installieren
neuer Computer verwendet
werden. Die "Windows Update" Website, wurde mittlerweile auf "Microsoft
Update" umgestellt. Dies bedeu-
tet, dass Sie nun nicht nur Windows Updates, sondern auch andere Updates Ihrer
Microsoft Software auf
Ihrem Gerät, per Microsoft Update, up2date halten können. Desshalb
erreichen Sie das gewohnte
Windows Update nunmehr als Microsoft Update unter http://update.microsoft.com.
Nebenher, gibt es jedoch noch speziell für Microsoft Office, http://officeupdate.microsoft.com
bzw.
http://office.microsoft.com.
Windows Software Update Services, WSUS (ehemalig
Software Update Services, SUS)
WSUS ist mit einer Kopie von der Windows Update Website vergleichbar, nur das
diese lokal auf einem
Server Ihres Unternehmens abgespeichert und von dort verteilt und genehmigt
werden.
WSUS stellt eine Verbindung zur Windows Update Website her, lädt wichtige
Updates, Sicherheitsup-
dates, Feature Packs, Service Packs und Treiber Updates herunter und fügt
sie zwecks Administrator-
genehmigung zu einer Pipeline hinzu. Anschließend werden Administratoren
per E-Mail von WSUS be-
nachrichtigt, dass neue Updates verfügbar sind. Nachdem ein Administrator
diese Updates genehmigt
und nach Priorität geordnet hat, stellt WSUS diese automatisch auf allen
Computern unter Windows
2000 Server, Windows 2000 Professional, Windows XP oder Windows Server 2003
zur Verfügung.
Die clientseitigen Komponenten auf diesen Computern überprüfen dann
den WSUS Server, und die
Updates werden gemäß der von den Administratoren festgelegten Konfiguration
automatisch herunterge-
laden und installiert.
WSUS Startseite, Für größere Darstellung
Bild anklicken
WSUS ist für die Verwendung in großen Organisationen
konzipiert. Das bedeutet, jedoch nciht, dass der
Einsatz von WSUS in kleineren Unternehmen nicht profitabel ist. Ein eingerichtetes
und automatisiertes
Patch Management für zB. Wichtige Updates und Sicherheitsupdates ist auch
für kleine Unternehmen mit
wenigen Arbeitstationen rechenbar, da daruch u.A. auch Bandbreiten eingespart
werden.
Fast jedes Verhalten kann angepasst werden. Der WSUS-Server kann beispielsweise
Updates von
Microsoft automatisch, manuell oder nach einem vom Administrator festgelegten
Zeitplan herunterladen.
WSUS Server können mehrstufig konfiguriert werden, so dass mehrere WSUS-Server
die Updates mitein-
ander synchronisieren. Auf diese Weise wird die Nutzung der Internetverbindung
optimiert, weil jedes Up-
date nur einmal für die gesamte Organisation heruntergeladen werden muss.
Darüber hinaus wird auch
der Datenverkehr in WANs (Wide Area Networks) optimiert, weil Clients die Updates
von einem lokalen
am Standort des Benutzers befindlichen Server herunterladen können.
Mehrstufige Architektur von Windows
Software Update Services
Sie können die Möglichkeit nutzen, Update für
interne Benutzer zu genehmigen, ohne die Updates lokal spei-
chern zu müssen. Administratoren können WSUS so konfigurieren, dass
der Client für automatische Upda-
tes genehmigte Updates direkt von Microsfot abruft. Dadurch werden die Speicheranforderungen
auf dem
WSUS Server (es werde alle Updates die existieren heruntergeladen) verringert.
Dies kann sich auch vorteil-
haft auf die effiziente Nutzung großer Netzwerke auswirken, die auf mehrere
geografische Standorte verteilt
sind. Bedenken Sie dabei aber, dass bei dieser Option wieder jeder Client die
Updates für sich herunterlädt.
Wenn Sie Windows Software Update Services auf einem Server
installieren möchten, muss auf diesem
Computer bereits IIS5.0 (für Server unter Windows 2000) oder IIS 6.0 (für
Computer unter Windows Server
2003) installiert sein, weil der Client für automatische Updates die verfügbaren
Updates mithilfe von Weban-
fragen abruft.Da es sich hierbei um einen Dienst handelt, zu dem nur Clients
in einem internen Netzwerk
oder in einem Virtuellen Privaten Netzwerk (VPN) eine Verbindung herstellen
sollten, ist es empfehlens-
wert, diesen Computer mit einer Firewall vor Internetzugriffen zu schützen.
Ansonsten agieren Sie als öffen-
tlicher Windows Update Server auf Ihre Kosten für die Internetgemeinde.
Wenn Sie nähere Informationen zu WSUS und ggf. den Updateanleitungen von
SUS auf WSUS möchten,
so besichtigen Sie die Windows Software Update Services Website:
http://www.microsoft.com/windowsserversystem/updateservices/default.mspx
Gruppenrichtlinie
Alle in einem Windows Installer Paket enthaltenen Softwareanwendungen könne
mithilfe des Knotens So-
ftwareinstallation eines Gruppenrichtlinienobjektes auf Computer bereitgestellt
werden. Windows Installer
ist eine Windows-Komponente, die das Installieren und Verwalten von Softwareprogrammen
wie Updates
standardisiert und vereinfacht. Mithilfe von Windows Installer können Sie
Softwareprogramme installieren,
ändern, reparieren und entfernen. Windows Installer vereinfacht eine einheitliche
Bereitstellung, so dass Sie
freigegebene Ressourcen verwalten, Installationsprozesse anpassen und Konfigurationsprobleme
lösen kön-
nen.
In der Regel handelt es sich bei den von Microsoft in Windows
Installer-Paketen zur Verfügung gestellten Up-
dates ausschließlich um Service Packs. Es ist jedoch auch möglich,
andere Updates in einer MSI-Datei zu-
sammenzufassen, wenn die Software-Installation mithilfe von Gruppenrichtlinien
für Sie die optimale Lösung
darstellt, um Updates in der Organisation bereitzustellen. Da Service Packs
in Organisationen auf Computern
(statt bestimmten Benutzern) zur Verfügung gestellt werden, sollten Sie
das Paket über eine Gruppenricht-
linienbereitstellung auf Computerebene übertragen.
Wenn Sie ein Service Pack oder ein anderes Update mithilfe
einer Windows Installer-Datei bereitstellen,
möchten, müssen Sie zuerst einen oder mehrere freigegebene Ordner
bestimmen, in denen die Dateien ge-
speichert werden sollen. Vor allem Service Packs können sehr groß
sein. Zwecks optimaler Netzwerknu-
tzung in Unternehmen mit mehreren Standorten sollten Sie an jedem Standort freigegebene
Ordner bestim-
men. Ordnen Sie anschließend separate Gruppenrichtlinienobjekte (Group
Policy Objects, GPOs) zu jedem
einzelnen Standort zu, indem Sie entweder die GPOs mit standortbasierten Organisationseinheiten
oder mit
Active Directory Standorten verknüpfen oder Sicherheitseinstellungen verwenden,
so dass nur die Computer
an einem bestimmten Standort das GPO dieses Standorts übernehmen dürfen.
Verwenden Sie WMI-Filter
(Windows Management Instrumentation, Windows Verwaltungsinstrumentation), um
sicherzustellen, dass
das Update nur auf Computern mit Softwareanwendungen, die dieses Update benötigen,
ausgeführt wird.
Wenn Sie ein Problem eines Updates oder eines anderen Windows
Installer Pakets beheben müssen, kann
es erforderlich sein, die betroffenen Computer vorübergehend aus dem Gültigkeitsbereich
des Gruppenricht-
linienobjekts auszuschließen und anschließend wieder in den Gültigkeitsbereich
enizuschließen. Aus diesem
Grund sollten Sie beim Bereitstellen von Updates mithilfe eines Gruppenrichtlinienobjekts
die Option Anwen-
dung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt
aktivieren. Dadurch wird das
Update entfernt, wenn Sie einen Computer aus dem Gültigkeitsbereich des
Gruppenrichtlinienobjekts aus-
schließen.
Sie können eine Software entweder zuweisen
oder veröffentlichen. Beim Veröffentlichen
wird die Software
mittels der Komponente "Software" dem Benutzer freigegeben. Der Benutzer
kann diese Software anschlie-
ßend über diesen Programmpunkt installieren. Veröffentlichte
Anwendungen können etwas detailierter
steuern als zugewiesene. So können Sie beispielsweise auch angeben, ob
die Software automatisch bei
der Benutzeranmeldung installiert werdem soll, ob die Software installiert werden
soll, wenn die Dateierwei-
terung für dieses Programm zum ersten mal aktiviert wird und ob das Programm
überhaupt in dem Menü
Software angezeigt werden soll. Eine veröffentlichung wirkt sich nur auf
Benutzerobjekte aus.
Beim Zuweisen wird das
Programm nicht über den Benutzer sondern über das Computerkonto zugewiesen.
Zugewiesene Software wird beim Computerstart installiert. Sie können keine
Anwendungen auf Benutzer-
objekte zuweisen sondern nur auf Computerobjekte.
Um Software zuzuweisen, öffnen Sie ein Gruppenrichthlinienobjekt,
und wechseln dort, je nach dem, ob Sie
eine Software zuweisen, oder veröffentlichen wollen, in den Punkt "Softwareverteilung"
der Hauptgruppe.
Dort erstellen Sie eine neues Paket, geben den UNC Speicherort für das
Paket ein, und wählen dann die
Optionen die Sie wünschen.
Menüpunkt Software
Unter bestimmten Umständen möchten Sie ein Update möglicherweise
Benutzern zur Verfügung stellen, ohne
die Benutzer jedoch zum Ausführen des Updates zu zwingen. Dies stellt eine
ideale Möglichkeit dar, andere
Administratoren, Entwickler und Hauptbenutzer zu motivieren, ihre eigenen Computer
zu aktualisieren, ohne
sie jedoch zum Ausführen eines Updates zu zwingen. In Entwicklungs- und
Testumgebungen müssen Admini-
stratoren Updates häufig manuell ausführen, um Konflikte mit anderen
Aufgaben, für die der Administrator oder
Entwickler das System verwendet, zu vermeiden. Außerdem möchten Benutzer,
die über eine DFÜ-Verbindung
auf das Netzwerk zugreifen, Updates lieber manuell ausführen, wenn Sie
die Netzwerkverbindung für eine be-
stimmte Dauer nicht anderweitig verwenden müssen.
Wenn Sie ein Update mithilfe der Option Software ankündigen
möchten, statt das Installieren des Updates zu
erzwingen, können Sie eine ZAP-Datei verwenden, um die Veröffentlichung
des Updates zu erzwingen, können
jedoch problemlos erstellt werden. Bei Installationen mit ZAP-Dateien muss der
Benutzer als lokaler Adminis-
trator angemeldet wein, weil die Aktualisierung im Kontext des aktuellen Benutzers
ausgeführt wird. Weitere
Informationen zum Verwenden von ZAP-DAteien finden Sie im Microsoft Knowledgebase
Artikel 231747 unter
http://support.microsoft.com/default.aspx?scid=kb;de;231747.
Wenn das Service Pack aufgrund von Speicherplatzmangel nicht
installiert werden kann, wird das Update mö-
glicherweise unter Software trotzdem als installiert
angezeigt. In Winver.exe wird es jedoch nicht
als installiert
angezeigt. Wenn diese Situation im Rahmen der Bereitstellung auftritt, müssen
Sie die betroffenen Computer
aus dem Gültigkeitsbereich des verwalteten Programms ausschließen.
Sie können diese Computer aus dem
Gültigkeitsbereich des verwaltenten Programms ausschließen. Sie können
diese Computer beispielsweise zu
einer anderen Organisationseinheit zuordnen. Geben Sie genügend Speicherplatz
für die Installation des Ser-
vice Packs frei, und schließen Sie die Computer anschließend wieder
in den Gültikeitsbereich der Organisations-
einheit mit dem bereitgestellten Service Pack ein. Sie müssen die Computer
neu starten, damit der Entfernungs-
vorgang und die Neuinstallation des Service Packs vollständig ausgeführt
werden.
Hinweis:
Winver.exe ist genauer als das Tool Software
der Systemsteuerung. Daher sollten Sie grundsätzlich
Winver.exe verwenden, um zu überprüfen,
ob ein Update erfolgreich installiert wurde.
Systems Management Server
Obwohl nur das reine Ausführen von Updates nicht unbedingt Grund genug
ist, Systems Management Server
(SMS) bereitzustellen, sollte doch erwähnt werden, dass SMS (sofern bereits
verwendet) eine hervorragende
Lösund darstellt, um die Netzwerkcomputer auf dem neuesten Stand zu halten.
SMS bietet zahlreiche Tools,
die Sie beim Bereitstellen von Updates in der Organisation unterstützen.
Dank der Softwareverteilungsfunktion
von SMS können Sie automatisch alle SMS-Clietcomputer in der Organisation
mit dem neuen Update aktuali-
sieren. Sie können zulassen, dass die Benutzer das Update zum jeweils gewünschten
Zeitpunkt installieren,
oder Sie können das Ausführen der Update- Installation zu einer bestimmten
Zeit planen. Sie können auch
festlegen, dass die Update-Installation auf dem SMS-Clientcomputer ausgeführt
wird, wenn die Benutzer
nicht angemeldet sind.
Wenn Sie SMS 2.0 verwenden, sollten Sie das SUS Feature Pack auswerten. Mit
SMS 2.0 und dem SUS Fea-
ture Pack können Administratoren Sicherheitsupdates im gesamten Unternhemen
problemlos verwalten. Mit
SMS konnte schon immer jeder Softwaretyp verteilt werden, aber mit dem SUS
Feature Pack werden weitere
Funktionen hinzugefügt, sodass der Verwaltungsprozess für Sicherheitspatches
weiter optimiert wird. Das SUS
Feature Pack für SMS 2.0 ist darauf ausgelegt, Sicherheitspatches für
Windows, Microsoft Office und anderen
vom Microsoft Baseline Security Analyzer (MBSA) überprüfte Produkte
schnell und effizient zu beurteilen und
bereitzustellen. Das Feature Pack stellt folgende neue Tools für SMS bereit.
Security Update Inventory Tool
Dieses Tool
fügt weitere auf MBSA basierende Update-Inventurfunktionen zu den bereits
vorhandenen Hardware-
Inventurfunktionen
von SMS hinzu.
Microsoft Office Inventory Tool für Updates
Dieses Tool
stellt Inventurfunktionen für Office Updates bereit.
Softwareupdateverteilungs-Assistent
Diese Komponente
stellt ein Tool zur Verfügung, das Updates auf den Computern der Endbenutzer
zuverlässig
installiert,
ohne einen Neustart des Computers zu erzwingen, bevor der Benutzer dies vorsieht.
Web Reports Add-In für Softwareupdates
Mit diesem Add-In
stehen Administratoren Berichte zur Verfügung, in denen der aktuelle Status
der im Unter-
nehmen bereitgestellten
Updates beschrieben wird.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006