Möglichkeiten zum Bereitstellen
von Updates

Vorwort
Microsoft stellt mehrere Methoden zum Ausführen von Updates bereit, um die Anforderungen unterschiedlicher
Organisationstypen zu erfüllen. Die bevorzugte Methode zum Bereitstellen von Updates erfolgt über Software
Update Services (SUS) bzw. dem Nachfolger Windows Update Services (WSUS). Große Organisationen, die
derzeit Gruppenrichtlinienobjekte zum Verteilen von Software verwenden, bevorzugen möglicherweise auch die
Verwendung von Gruppenrichtlinienobjekten für das Bereitstellen von Updates, weil es ihnen so möglich ist, das
Update auf vielen Systemen gleichzeitig bereitzustellen. Gruppenrichtlinienobjekte können verwendet werden,
um Updates automatisch auf Computern zu installieren oder um sie Benutzern über die Optione 'Software" zur
Verfügung zu stellen. Außerdem können Unternehmen, die Microsoft Systems Management Server (SMS) ver-
wenden, Updates auch mithilfe von SMS bereitstellen. Sie haben sogar die Möglichkeit, ein manuelles Installie-
ren von Updates auf neuen Systemen zu vermeiden, indem Sie das Update direkt in die Installationsdateien
von Windows Server 2003 oder Windows XP ingetrieren (Slipstream).

Kleinere Organisationen, die keine Computerressourcen zu einer Update-Infrastruktur zuordnen können, haben
die Möglichkeit, Updates manuell mithilfe von Express- oder Netzwerkinstallationen bereitzustellen. Kleine Or-
ganisationen können die Vorteile einer automatischen Updatebereitstellung nutzen, ohne Infrastrukturserver
hinzuzufügen zu müssen, indem Sie den Client für automatische Updates und den Windows Update Server
verwenden. In der folgenden Tabelle werden die Vor- und Nachteile der einzelnen heir beschriebenen
Updatevarianten aufgeführt:

Client für automatische Updates
Windows Update und Windows Software Update Services verwenden denselben Client zum Herunterladen und
Installieren von Updates, und zwar den Client für automatische Updates. Der Client für automatische Updates
kann Benutzer automatisch benachrichtigen, wenn wichtige Updates und Sicherheitsupdates entweder auf der
Windows Update Seite oder auf einem Unternehmensinternen WSUS Server verfügbar sind.

Der Client für automatische Updates ist unter Windows 2000 Service Pack 3, Windows XP Home Edition,
Windows XP Professional und Windows Server 2003 verfügbar und fungiert als proaktiver Dienst, der das auto-
matische Erkennen, Benachrichtigen, Herunterladen und optimale Installieren wichtiger Updates ermöglicht.
Der Client für automatische Updates kann sogar einen Computer zu einem geplanten Zeitpunkt neu starten, um
sicherzustellen, dass die Updates sofort in Kraft treten.

Der Client für automatische Updates, stellt viele Steuerungsoptionen bereit. Sie können einzelne Computer
mithilfe der Systemsteuerung konfigurieren. Bei Netzwerken, in denen der Active Directory Verzeichnisdienst
verwendet wird, kann die Konfiguration für jeden Client für automatische Updates mithilfe der Gruppenrichtlinien-
einstellungen festgelegt werden. In Umgebungen ohne Active Directory können Sie Computer durch das Ändern
der entsprechenden Regisrierungswerte konfigurieren.

IT-Administratoren könne automatische Updates so konfigurieren, dass die Updates automatisch herunterge-
laden werden und ihre Installation zu einer angegebenen Zeit (zB. ein regelmäßiges Wartungs/Updatefenster)
geplant wird. Wenn der Computer zu dieser Zeit ausgeschaltet ist, können die Updates unmittelbar nach dem
Einschalten des computers installiert werden. Das Herunterladen von Updates wirkt sich auch nicht nachteilig
auf die Netzwerkleistung eines Benutzers aus, da der Client die Updates mithilfe des intelligenten Hintergrund-
übertragungsdienstes (Background Intelligent Transfer Service, BITS) herunterlädt. Bei BITS handelt es sich
um eine innovative Technologie der Bandbreitenbeschränkung, die nur Bandbreiten im Leerlauf verwendet.

Hinweis:
Sie können BITS mithilfe des Supporttools "Bitsadmin.exe" verwalten. Sie können die Supporttools installieren
indem Sie \Support\Tools\Suptools.msi von der Windows Server 2003 CD installieren.

Wenn eine vollständige Automatisierung unzulässig ist, können Sie auch den Benutzern entsprechende Re-
chte einräumen, damit sie entscheiden können, wann Updates heruntergeladen und installiert werden.
Aus der folgenden Abbildung geht hervor, dass der Client für automatische Updates mithilfe der Gruppenricht-
linieneinstellungen so konfiguriert werden kann, dass der Benutzer nur benachrichtigt wird, wenn Updates
verfügbar sind. Die Updates werden erst heruntergeladen oder ausgeführt, wenn der Benutzer auf das Hinweis-
symbol klickt und die gewünschten Updates auswählt.

Client für automatische Updates


Nachdem der Client für automtaische Updates die Updates heruntergeladen hat, überprüft er vor dem Ausführen
die digitale Signatur der Updates, um zu verhindern, dass ein Angreifer ein trojanisches Pferd einschleust.
Wenn Sie überprüfen möchten, ob die Updates installiert wurden, können Sie die Adresse eines Webservers
angezeigt.

Windows Update/Microsoft Update
Windows Update ist ein kostenloser Microsoft-Dienst, der es Ihnen ermöglicht, Computer unter Windows mit
den neuesten Softwareupdates zu aktualisieren. Windows Update besteht aus drei Komponenten:
Der Windows Update-Website
Dem Client für automatische Updates
Dem Windows Update Katalog
Millionen Menschen verwenden die Windows Update Website jede Woche um die Windows-basierten
Systeme auf dem aktuellen Stand zu halten. Wenn ein Benutzer eine Verbindung zur Windows Update Web-
site herstellt, wird der Computer des Benutzers durchsucht, um zu prüfen welche Softwareupdates und aktua-
lisierten Gerätetreiber zur Aufrechterhaltung der Sicherheit und Zuverlässigkeit des System installiert werden
sollen.

Die Windows Update Website umfasst einen Katalog sämtlicher Softwareupdate-Installationspakete, die von
Administratoren heruntergeladen werden können. Anschließend können diese Softwareupdate-Installations-
pakete auf CD gespeichert, verteilt und (zB. mithilfe von SMS oder mit Softwareverteilungstools von Drittan-
bietern) installiert werden. Darüber hinaus können Sie auch beim Installieren neuer Computer verwendet
werden. Die "Windows Update" Website, wurde mittlerweile auf "Microsoft Update" umgestellt. Dies bedeu-
tet, dass Sie nun nicht nur Windows Updates, sondern auch andere Updates Ihrer Microsoft Software auf
Ihrem Gerät, per Microsoft Update, up2date halten können. Desshalb erreichen Sie das gewohnte
Windows Update nunmehr als Microsoft Update unter http://update.microsoft.com.
Nebenher, gibt es jedoch noch speziell für Microsoft Office, http://officeupdate.microsoft.com bzw.
http://office.microsoft.com.

Windows Software Update Services, WSUS (ehemalig Software Update Services, SUS)
WSUS ist mit einer Kopie von der Windows Update Website vergleichbar, nur das diese lokal auf einem
Server Ihres Unternehmens abgespeichert und von dort verteilt und genehmigt werden.
WSUS stellt eine Verbindung zur Windows Update Website her, lädt wichtige Updates, Sicherheitsup-
dates, Feature Packs, Service Packs und Treiber Updates herunter und fügt sie zwecks Administrator-
genehmigung zu einer Pipeline hinzu. Anschließend werden Administratoren per E-Mail von WSUS be-
nachrichtigt, dass neue Updates verfügbar sind. Nachdem ein Administrator diese Updates genehmigt
und nach Priorität geordnet hat, stellt WSUS diese automatisch auf allen Computern unter Windows
2000 Server, Windows 2000 Professional, Windows XP oder Windows Server 2003 zur Verfügung.
Die clientseitigen Komponenten auf diesen Computern überprüfen dann den WSUS Server, und die
Updates werden gemäß der von den Administratoren festgelegten Konfiguration automatisch herunterge-
laden und installiert.

WSUS Startseite, Für größere Darstellung Bild anklicken

WSUS ist für die Verwendung in großen Organisationen konzipiert. Das bedeutet, jedoch nciht, dass der
Einsatz von WSUS in kleineren Unternehmen nicht profitabel ist. Ein eingerichtetes und automatisiertes
Patch Management für zB. Wichtige Updates und Sicherheitsupdates ist auch für kleine Unternehmen mit
wenigen Arbeitstationen rechenbar, da daruch u.A. auch Bandbreiten eingespart werden.
Fast jedes Verhalten kann angepasst werden. Der WSUS-Server kann beispielsweise Updates von
Microsoft automatisch, manuell oder nach einem vom Administrator festgelegten Zeitplan herunterladen.
WSUS Server können mehrstufig konfiguriert werden, so dass mehrere WSUS-Server die Updates mitein-
ander synchronisieren. Auf diese Weise wird die Nutzung der Internetverbindung optimiert, weil jedes Up-
date nur einmal für die gesamte Organisation heruntergeladen werden muss. Darüber hinaus wird auch
der Datenverkehr in WANs (Wide Area Networks) optimiert, weil Clients die Updates von einem lokalen
am Standort des Benutzers befindlichen Server herunterladen können.

Mehrstufige Architektur von Windows Software Update Services

Sie können die Möglichkeit nutzen, Update für interne Benutzer zu genehmigen, ohne die Updates lokal spei-
chern zu müssen. Administratoren können WSUS so konfigurieren, dass der Client für automatische Upda-
tes genehmigte Updates direkt von Microsfot abruft. Dadurch werden die Speicheranforderungen auf dem
WSUS Server (es werde alle Updates die existieren heruntergeladen) verringert. Dies kann sich auch vorteil-
haft auf die effiziente Nutzung großer Netzwerke auswirken, die auf mehrere geografische Standorte verteilt
sind. Bedenken Sie dabei aber, dass bei dieser Option wieder jeder Client die Updates für sich herunterlädt.

Wenn Sie Windows Software Update Services auf einem Server installieren möchten, muss auf diesem
Computer bereits IIS5.0 (für Server unter Windows 2000) oder IIS 6.0 (für Computer unter Windows Server
2003) installiert sein, weil der Client für automatische Updates die verfügbaren Updates mithilfe von Weban-
fragen abruft.Da es sich hierbei um einen Dienst handelt, zu dem nur Clients in einem internen Netzwerk
oder in einem Virtuellen Privaten Netzwerk (VPN) eine Verbindung herstellen sollten, ist es empfehlens-
wert, diesen Computer mit einer Firewall vor Internetzugriffen zu schützen. Ansonsten agieren Sie als öffen-
tlicher Windows Update Server auf Ihre Kosten für die Internetgemeinde.

Wenn Sie nähere Informationen zu WSUS und ggf. den Updateanleitungen von SUS auf WSUS möchten,
so besichtigen Sie die Windows Software Update Services Website:
http://www.microsoft.com/windowsserversystem/updateservices/default.mspx

Gruppenrichtlinie
Alle in einem Windows Installer Paket enthaltenen Softwareanwendungen könne mithilfe des Knotens So-
ftwareinstallation eines Gruppenrichtlinienobjektes auf Computer bereitgestellt werden. Windows Installer
ist eine Windows-Komponente, die das Installieren und Verwalten von Softwareprogrammen wie Updates
standardisiert und vereinfacht. Mithilfe von Windows Installer können Sie Softwareprogramme installieren,
ändern, reparieren und entfernen. Windows Installer vereinfacht eine einheitliche Bereitstellung, so dass Sie
freigegebene Ressourcen verwalten, Installationsprozesse anpassen und Konfigurationsprobleme lösen kön-
nen.

In der Regel handelt es sich bei den von Microsoft in Windows Installer-Paketen zur Verfügung gestellten Up-
dates ausschließlich um Service Packs. Es ist jedoch auch möglich, andere Updates in einer MSI-Datei zu-
sammenzufassen, wenn die Software-Installation mithilfe von Gruppenrichtlinien für Sie die optimale Lösung
darstellt, um Updates in der Organisation bereitzustellen. Da Service Packs in Organisationen auf Computern
(statt bestimmten Benutzern) zur Verfügung gestellt werden, sollten Sie das Paket über eine Gruppenricht-
linienbereitstellung auf Computerebene übertragen.

Wenn Sie ein Service Pack oder ein anderes Update mithilfe einer Windows Installer-Datei bereitstellen,
möchten, müssen Sie zuerst einen oder mehrere freigegebene Ordner bestimmen, in denen die Dateien ge-
speichert werden sollen. Vor allem Service Packs können sehr groß sein. Zwecks optimaler Netzwerknu-
tzung in Unternehmen mit mehreren Standorten sollten Sie an jedem Standort freigegebene Ordner bestim-
men. Ordnen Sie anschließend separate Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) zu jedem
einzelnen Standort zu, indem Sie entweder die GPOs mit standortbasierten Organisationseinheiten oder mit
Active Directory Standorten verknüpfen oder Sicherheitseinstellungen verwenden, so dass nur die Computer
an einem bestimmten Standort das GPO dieses Standorts übernehmen dürfen. Verwenden Sie WMI-Filter
(Windows Management Instrumentation, Windows Verwaltungsinstrumentation), um sicherzustellen, dass
das Update nur auf Computern mit Softwareanwendungen, die dieses Update benötigen, ausgeführt wird.

Wenn Sie ein Problem eines Updates oder eines anderen Windows Installer Pakets beheben müssen, kann
es erforderlich sein, die betroffenen Computer vorübergehend aus dem Gültigkeitsbereich des Gruppenricht-
linienobjekts auszuschließen und anschließend wieder in den Gültigkeitsbereich enizuschließen. Aus diesem
Grund sollten Sie beim Bereitstellen von Updates mithilfe eines Gruppenrichtlinienobjekts die Option Anwen-
dung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt aktivieren. Dadurch wird das
Update entfernt, wenn Sie einen Computer aus dem Gültigkeitsbereich des Gruppenrichtlinienobjekts aus-
schließen.

Sie können eine Software entweder zuweisen oder veröffentlichen. Beim Veröffentlichen wird die Software
mittels der Komponente "Software" dem Benutzer freigegeben. Der Benutzer kann diese Software anschlie-
ßend über diesen Programmpunkt installieren. Veröffentlichte Anwendungen können etwas detailierter
steuern als zugewiesene. So können Sie beispielsweise auch angeben, ob die Software automatisch bei
der Benutzeranmeldung installiert werdem soll, ob die Software installiert werden soll, wenn die Dateierwei-
terung für dieses Programm zum ersten mal aktiviert wird und ob das Programm überhaupt in dem Menü
Software angezeigt werden soll. Eine veröffentlichung wirkt sich nur auf Benutzerobjekte aus.

Beim Zuweisen wird das Programm nicht über den Benutzer sondern über das Computerkonto zugewiesen.
Zugewiesene Software wird beim Computerstart installiert. Sie können keine Anwendungen auf Benutzer-
objekte zuweisen sondern nur auf Computerobjekte.

Um Software zuzuweisen, öffnen Sie ein Gruppenrichthlinienobjekt, und wechseln dort, je nach dem, ob Sie
eine Software zuweisen, oder veröffentlichen wollen, in den Punkt "Softwareverteilung" der Hauptgruppe.
Dort erstellen Sie eine neues Paket, geben den UNC Speicherort für das Paket ein, und wählen dann die
Optionen die Sie wünschen.

Menüpunkt Software
Unter bestimmten Umständen möchten Sie ein Update möglicherweise Benutzern zur Verfügung stellen, ohne
die Benutzer jedoch zum Ausführen des Updates zu zwingen. Dies stellt eine ideale Möglichkeit dar, andere
Administratoren, Entwickler und Hauptbenutzer zu motivieren, ihre eigenen Computer zu aktualisieren, ohne
sie jedoch zum Ausführen eines Updates zu zwingen. In Entwicklungs- und Testumgebungen müssen Admini-
stratoren Updates häufig manuell ausführen, um Konflikte mit anderen Aufgaben, für die der Administrator oder
Entwickler das System verwendet, zu vermeiden. Außerdem möchten Benutzer, die über eine DFÜ-Verbindung
auf das Netzwerk zugreifen, Updates lieber manuell ausführen, wenn Sie die Netzwerkverbindung für eine be-
stimmte Dauer nicht anderweitig verwenden müssen.

Wenn Sie ein Update mithilfe der Option Software ankündigen möchten, statt das Installieren des Updates zu
erzwingen, können Sie eine ZAP-Datei verwenden, um die Veröffentlichung des Updates zu erzwingen, können
jedoch problemlos erstellt werden. Bei Installationen mit ZAP-Dateien muss der Benutzer als lokaler Adminis-
trator angemeldet wein, weil die Aktualisierung im Kontext des aktuellen Benutzers ausgeführt wird. Weitere
Informationen zum Verwenden von ZAP-DAteien finden Sie im Microsoft Knowledgebase Artikel 231747 unter
http://support.microsoft.com/default.aspx?scid=kb;de;231747.

Wenn das Service Pack aufgrund von Speicherplatzmangel nicht installiert werden kann, wird das Update mö-
glicherweise unter Software trotzdem als installiert angezeigt. In Winver.exe wird es jedoch nicht als installiert
angezeigt. Wenn diese Situation im Rahmen der Bereitstellung auftritt, müssen Sie die betroffenen Computer
aus dem Gültigkeitsbereich des verwalteten Programms ausschließen. Sie können diese Computer aus dem
Gültigkeitsbereich des verwaltenten Programms ausschließen. Sie können diese Computer beispielsweise zu
einer anderen Organisationseinheit zuordnen. Geben Sie genügend Speicherplatz für die Installation des Ser-
vice Packs frei, und schließen Sie die Computer anschließend wieder in den Gültikeitsbereich der Organisations-
einheit mit dem bereitgestellten Service Pack ein. Sie müssen die Computer neu starten, damit der Entfernungs-
vorgang und die Neuinstallation des Service Packs vollständig ausgeführt werden.

Hinweis:
Winver.exe ist genauer als das Tool Software der Systemsteuerung. Daher sollten Sie grundsätzlich
Winver.exe verwenden, um zu überprüfen, ob ein Update erfolgreich installiert wurde.

Systems Management Server
Obwohl nur das reine Ausführen von Updates nicht unbedingt Grund genug ist, Systems Management Server
(SMS) bereitzustellen, sollte doch erwähnt werden, dass SMS (sofern bereits verwendet) eine hervorragende
Lösund darstellt, um die Netzwerkcomputer auf dem neuesten Stand zu halten. SMS bietet zahlreiche Tools,
die Sie beim Bereitstellen von Updates in der Organisation unterstützen. Dank der Softwareverteilungsfunktion
von SMS können Sie automatisch alle SMS-Clietcomputer in der Organisation mit dem neuen Update aktuali-
sieren. Sie können zulassen, dass die Benutzer das Update zum jeweils gewünschten Zeitpunkt installieren,
oder Sie können das Ausführen der Update- Installation zu einer bestimmten Zeit planen. Sie können auch
festlegen, dass die Update-Installation auf dem SMS-Clientcomputer ausgeführt wird, wenn die Benutzer
nicht angemeldet sind.

Wenn Sie SMS 2.0 verwenden, sollten Sie das SUS Feature Pack auswerten. Mit SMS 2.0 und dem SUS Fea-
ture Pack können Administratoren Sicherheitsupdates im gesamten Unternhemen problemlos verwalten. Mit
SMS konnte schon immer jeder Softwaretyp verteilt werden, aber mit dem SUS Feature Pack werden weitere
Funktionen hinzugefügt, sodass der Verwaltungsprozess für Sicherheitspatches weiter optimiert wird. Das SUS
Feature Pack für SMS 2.0 ist darauf ausgelegt, Sicherheitspatches für Windows, Microsoft Office und anderen
vom Microsoft Baseline Security Analyzer (MBSA) überprüfte Produkte schnell und effizient zu beurteilen und
bereitzustellen. Das Feature Pack stellt folgende neue Tools für SMS bereit.

Security Update Inventory Tool
Dieses Tool fügt weitere auf MBSA basierende Update-Inventurfunktionen zu den bereits vorhandenen Hardware-
Inventurfunktionen von SMS hinzu.

Microsoft Office Inventory Tool für Updates
Dieses Tool stellt Inventurfunktionen für Office Updates bereit.

Softwareupdateverteilungs-Assistent
Diese Komponente stellt ein Tool zur Verfügung, das Updates auf den Computern der Endbenutzer zuverlässig
installiert, ohne einen Neustart des Computers zu erzwingen, bevor der Benutzer dies vorsieht.

Web Reports Add-In für Softwareupdates
Mit diesem Add-In stehen Administratoren Berichte zur Verfügung, in denen der aktuelle Status der im Unter-
nehmen bereitgestellten Updates beschrieben wird.

Erstellt von: Haßlinger Stefan
Im: Jahr 2006