Freigeben über

Schritt 2: Konfigurieren von WSUS

Nachdem Sie die Serverrolle „Windows Server Update Services (WSUS)“ auf Ihrem Server installiert haben, müssen Sie sie ordnungsgemäß konfigurieren. Außerdem müssen Sie Ihre Clientcomputer so konfigurieren, dass sie ihre Updates vom WSUS-Server erhalten.

2.1. Konfigurieren der Netzwerkverbindungen

Bevor Sie mit der Konfiguration beginnen, müssen Sie sich die folgenden Fragen beantworten:

  • Ist die Firewall des Servers so konfiguriert, dass Clients auf den Server zugreifen können?

  • Kann dieser Computer eine Verbindung mit dem Upstreamserver herstellen (der Server, der zum Herunterladen von Updates von Microsoft Update bestimmt ist)?

  • Kennen Sie den Namen des Proxyservers und die Benutzeranmeldeinformationen für den Proxyserver, falls Sie sie benötigen?

Anschließend können Sie mit der Konfiguration der folgenden WSUS-Netzwerkeinstellungen beginnen:

  • Updates: Geben Sie an, wie dieser Server Updates erhalten soll (von Microsoft Update oder von einem anderen WSUS-Server).

  • Proxy: Wenn Sie feststellen, dass WSUS einen Proxyserver für internetzugriff verwenden muss, konfigurieren Sie Proxyeinstellungen auf dem WSUS-Server.

  • Firewall: Wenn Sie feststellen, dass WSUS hinter einer Unternehmensfirewall liegt, führen Sie zusätzliche Schritte am Edgegerät aus, um WSUS-Datenverkehr zuzulassen.

Important

Wenn Sie nur über einen WSUS-Server verfügen, muss er über Internetzugriff verfügen, da updates von Microsoft heruntergeladen werden müssen. Wenn Sie über mehrere WSUS-Server verfügen, benötigt nur ein Server Internetzugriff. Die anderen benötigen nur Netzwerkzugriff auf den mit dem Internet verbundenen WSUS-Server. Ihre Clientcomputer benötigen keinen Internetzugang. Sie benötigen nur Netzwerkzugriff auf einen WSUS-Server.

Tip

Wenn Ihr Netzwerk überhaupt keinen Zugriff auf das Internet hat, können Sie WSUS weiterhin verwenden, um Updates für Clientcomputer im Netzwerk bereitzustellen. Für diesen Ansatz sind zwei WSUS-Server erforderlich. Ein WSUS-Server mit Internetzugriff sammelt die Updates von Microsoft. Ein zweiter WSUS-Server im geschützten Netzwerk stellt die Updates für die Clientcomputer bereit. Updates werden vom ersten Server auf Wechselmedien exportiert, über den Luftabstand übertragen und in den zweiten Server importiert. Diese Konfiguration ist anspruchsvoll und liegt außerhalb des Rahmens dieses Artikels.

2.1.1. Konfigurieren Ihrer Firewall, sodass Ihr erster WSUS-Server eine Verbindung mit Microsoft-Domänen im Internet herstellen kann

Falls eine Unternehmensfirewall zwischen WSUS und dem Internet vorhanden ist, müssen Sie sie ggf. konfigurieren, um sicherzustellen, dass WSUS Updates abrufen kann. Der WSUS-Server verwendet die Ports 80 und 443 für das HTTP- und das HTTPS-Protokoll, um Updates von Microsoft Update abzurufen. Die meisten Unternehmensfirewalls lassen diese Art von Datenverkehr zu. In einigen Unternehmen ist der Internetzugriff der Server aber durch Sicherheitsrichtlinien eingeschränkt. Wenn Ihr Unternehmen den Zugriff beschränkt, müssen Sie Ihre Firewall so konfigurieren, dass Ihr WSUS-Server auf Microsoft-Domänen zugreifen kann.

Ihr erster WSUS-Server muss über ausgehenden Zugriff auf die Ports 80 und 443 in den folgenden Domänen verfügen:

  • http://windowsupdate.microsoft.com

  • http://*.windowsupdate.microsoft.com

  • https://*.windowsupdate.microsoft.com

  • http://*.update.microsoft.com

  • https://*.update.microsoft.com

  • http://*.windowsupdate.com

  • http://download.windowsupdate.com

  • https://download.microsoft.com

  • http://*.download.windowsupdate.com

  • http://wustat.windows.com

  • http://ntservicepack.microsoft.com

  • http://go.microsoft.com

  • http://dl.delivery.mp.microsoft.com

  • https://dl.delivery.mp.microsoft.com

  • http://*.delivery.mp.microsoft.com

  • https://*.delivery.mp.microsoft.com

Wenn Sie Microsoft 365-Updates verwalten, für die Microsoft Configuration Manager erforderlich ist, lesen Sie " Verwalten von Updates für Microsoft 365 Apps mit Microsoft Configuration Manager ", um weitere Informationen zu den Domänen zu erhalten, die Sie zulassen müssen.

Important

Sie müssen Ihre Firewall so konfigurieren, dass der erste WSUS-Server auf alle URLs innerhalb dieser Domänen zugreifen kann. Die IP-Adressen, die diesen Domänen zugeordnet sind, ändern sich ständig. Versuchen Sie daher nicht, stattdessen IP-Adressbereiche zu verwenden.

2.1.2. Konfigurieren der Firewall, sodass Ihre anderen WSUS-Server eine Verbindung mit dem ersten Server herstellen können

Wenn Sie über mehrere WSUS-Server verfügen, sollten Sie die anderen WSUS-Server so konfigurieren, dass sie auf den ersten (obersten) Server zugreifen. Ihre anderen WSUS-Server erhalten dann alle aktualisierungsinformationen vom obersten Server. Durch diese Konfiguration können Sie Ihr gesamtes Netzwerk mithilfe der WSUS-Verwaltungskonsole auf dem obersten Server verwalten.

Ihre anderen WSUS-Server müssen über ausgehenden Zugriff auf den obersten Server über zwei Ports verfügen. Standardmäßig sind diese Ports 8530 und 8531. Sie können diese Ports ändern, wie im Abschnitt Konfigurieren des IIS-Webservers des WSUS-Servers zur Verwendung von TLS für einige Verbindungen weiter unten in diesem Artikel beschrieben.

Note

Wenn die Netzwerkverbindung zwischen den WSUS-Servern langsam oder teuer ist, können Sie einen oder mehrere der anderen WSUS-Server so konfigurieren, dass sie Updatenutzlasten direkt von Microsoft empfangen. In diesem Fall werden nur wenige Daten von diesen WSUS-Servern an den obersten Server gesendet. Die anderen WSUS-Server müssen Zugriff auf die gleichen Internetdomänen wie der oberste Server haben, damit diese Konfiguration funktioniert.

Note

Wenn Sie über eine große Organisation verfügen, können Sie Ketten verbundener WSUS-Server verwenden, anstatt alle anderen WSUS-Server direkt mit dem obersten Server zu verbinden. Beispielsweise können Sie über einen zweiten WSUS-Server verfügen, der eine Verbindung mit dem obersten Server herstellt, und dann andere WSUS-Server eine Verbindung mit dem zweiten WSUS-Server herstellen lassen.

2.1.3. Konfigurieren Ihrer WSUS-Server, sodass bei Bedarf ein Proxyserver verwendet wird

Wenn das Unternehmensnetzwerk Proxyserver verwendet, müssen die Proxyserver die HTTP- und HTTPS-Protokolle unterstützen. Sie müssen außerdem die Standardauthentifizierung oder die Windows-Authentifizierung verwenden. Diese Anforderungen können mithilfe einer der folgenden Konfigurationen erfüllt werden:

  • Ein einzelner Proxyserver, der zwei Protokollkanäle unterstützt. In diesem Fall legen Sie einen Kanal für die Verwendung von HTTP und den anderen Kanal für HTTPS fest.

    Note

    Sie können einen Proxyserver einrichten, der beide Protokolle für WSUS während der Installation der WSUS-Serversoftware verarbeitet.

  • Zwei Proxyserver, von denen jeder ein einzelnes Protokoll unterstützt. Konfigurieren Sie in diesem Fall einen Proxyserver für die Verwendung von HTTP und den anderen Proxyserver, um HTTPS zu verwenden.

Einrichten von WSUS zur Verwendung der beiden Proxyserver

  1. Melden Sie sich bei dem Computer an, den Sie als WSUS-Server verwenden möchten, indem Sie ein Konto verwenden, das Mitglied der Gruppe "Lokale Administratoren" ist.

  2. Installieren Sie die WSUS-Serverrolle. Wenn Sie den WSUS-Konfigurations-Assistenten verwenden, wie unter " WSUS konfigurieren" mithilfe des WSUS-Konfigurations-Assistenten erläutert, geben Sie keinen Proxyserver an.

  3. Öffnen Sie die Eingabeaufforderung (Cmd.exe) als Administrator:

    1. Suchen Sie im Startmenü nach der Eingabeaufforderung.
    2. Klicken Sie mit der rechten Maustaste auf die Eingabeaufforderung, und wählen Sie dann "Als Administrator ausführen" aus.
    3. Wenn das Dialogfeld "Benutzerkontensteuerung " angezeigt wird, geben Sie die entsprechenden Anmeldeinformationen (falls angefordert) ein, vergewissern Sie sich, dass die gewünschte Aktion angezeigt wird, und wählen Sie dann "Weiter" aus.

  4. Wechseln Sie in der Eingabeaufforderung zum Ordner C:\Programme\Update Services\Tools. Geben Sie den folgenden Befehl ein:

    wsusutil ConfigureSSLproxy [<proxy-server proxy-port>] -enable

    Dieser Befehl umfasst folgende Parameter:

    • proxy_server ist der Name des Proxyservers, der HTTPS unterstützt.

    • proxy_port ist die Portnummer des Proxyservers.

  5. Schließen Sie die Eingabeaufforderung.

Hinzufügen eines Proxyservers zur WSUS-Konfiguration

  1. Öffnen Sie die WSUS-Verwaltungskonsole.

  2. Erweitern Sie unter "Update Services" den Servernamen, und wählen Sie dann "Optionen" aus.

  3. Wählen Sie im Bereich "Optionen " die Option "Quelle und Proxyserver aktualisieren" aus, und wechseln Sie dann zur Registerkarte "Proxyserver ".

  4. Wählen Sie beim Synchronisieren einen Proxyserver verwenden aus, und geben Sie dann den Namen und die Portnummer des Proxyservers in die entsprechenden Felder ein. Die Standardportnummer ist 80.

  5. Wenn der Proxyserver erfordert, dass Sie ein bestimmtes Benutzerkonto verwenden, wählen Sie "Benutzeranmeldeinformationen verwenden" aus, um eine Verbindung mit dem Proxyserver herzustellen. Geben Sie den erforderlichen Benutzernamen, die Domäne und das Kennwort in die entsprechenden Felder ein.

  6. Wenn der Proxyserver die Standardauthentifizierung unterstützt, wählen Sie "Standardauthentifizierung zulassen" (Kennwort wird in Klartext gesendet) aus.

  7. Wählen Sie OK aus.

Entfernen eines Proxyservers aus der WSUS-Konfiguration

  1. Erweitern Sie in der WSUS-Verwaltungskonsole unter Update Services den Servernamen, und wählen Sie dann "Optionen" aus.

  2. Wählen Sie im Bereich "Optionen " die Option "Quelle und Proxyserver aktualisieren" aus, und wechseln Sie dann zur Registerkarte "Proxyserver ".

  3. Deaktivieren Sie das Kontrollkästchen Proxyserver für die Synchronisierung verwenden.

  4. Wählen Sie OK aus.

2.1.4. Konfigurieren der Firewall, sodass Clientcomputer auf einen WSUS-Server zugreifen können

Alle Clientcomputer müssen eine Verbindung mit einem Ihrer WSUS-Server herstellen. Jeder Clientcomputer muss über ausgehenden Zugriff auf zwei Ports auf dem WSUS-Server verfügen. Standardmäßig sind diese Ports 8530 und 8531.

2.2. Konfigurieren von WSUS mit dem WSUS-Konfigurations-Assistenten

Die Verfahren in den folgenden Abschnitten verwenden den WSUS-Konfigurations-Assistenten zum Konfigurieren von WSUS-Einstellungen. Der WSUS-Konfigurations-Assistent wird angezeigt, wenn Sie die WSUS-Verwaltungskonsole zum ersten Mal starten. Sie können auch den Bereich "Optionen " in der WSUS-Verwaltungskonsole verwenden, um WSUS-Einstellungen zu konfigurieren. Weitere Informationen zur Verwendung des Bereichs "Optionen " finden Sie in den folgenden Verfahren in anderen Abschnitten dieses Artikels:

Starten des Assistenten und Konfigurieren der Anfangseinstellungen

  1. Wählen Sie im Server-Manager-Dashboard tools>Windows Server Update Services aus.

    Note

    Wenn das Dialogfeld "WSUS-Installation abschließen " angezeigt wird, wählen Sie "Ausführen" aus. Wählen Sie im Dialogfeld "WSUS-Installation abschließen " die Option "Schließen " aus, wenn die Installation erfolgreich abgeschlossen wurde.

    Der WSUS-Konfigurations-Assistent wird geöffnet.

  2. Lesen Sie die Informationen auf der Seite Vorbemerkungen, und wählen Sie dann Weiter aus.

  3. Lesen Sie auf der Seite " Programm zur Verbesserung des Microsoft Update-Programms beitreten " die Anweisungen. Behalten Sie die Standardauswahl bei, wenn Sie am Programm teilnehmen möchten, oder deaktivieren Sie das Kontrollkästchen, falls nicht. Wählen Sie dann Weiter aus.

Konfigurieren von Einstellungen für Upstream- und Proxyserver

  1. Wählen Sie auf der Seite "Upstreamserver auswählen" eine der folgenden Optionen aus:

    • Synchronisieren von Microsoft Update

    • Von einem anderen Windows Server Update Services-Server synchronisieren

    Wenn Sie sich für die Synchronisierung von einem anderen WSUS-Server entscheiden, führen Sie die folgenden Schritte aus:

    1. Geben Sie den Servernamen und den Port an, auf dem dieser Server mit dem Upstreamserver kommunizieren soll.

    2. Um TLS zu verwenden, wählen Sie SSL beim Synchronisieren von Updateinformationen verwenden aus. Die Server verwenden Port 443 für die Synchronisierung. (Stellen Sie sicher, dass dieser Server und der Upstreamserver TLS unterstützen.)

    3. Wenn es sich bei diesem Server um einen Replikatserver handelt, wählen Sie "Dies ist ein Replikat des Upstreamservers".

  2. Nachdem Sie die Optionen für Ihre Bereitstellung ausgewählt haben, wählen Sie "Weiter" aus.

  3. Wenn WSUS einen Proxyserver für den Zugriff auf das Internet benötigt, konfigurieren Sie die folgenden Proxyeinstellungen. Überspringen Sie andernfalls diesen Schritt.

    1. Wählen Sie auf der Seite " Proxyserver angeben " die Option "Proxyserver beim Synchronisieren verwenden" aus. Geben Sie dann den Proxyservernamen und die Portnummer (standardmäßig Port 80) in die entsprechenden Felder ein.

    2. Wenn Sie mithilfe bestimmter Benutzeranmeldeinformationen eine Verbindung mit dem Proxyserver herstellen möchten, wählen Sie "Benutzeranmeldeinformationen verwenden" aus, um eine Verbindung mit dem Proxyserver herzustellen. Geben Sie dann den Benutzernamen, die Domäne und das Kennwort des Benutzers in die entsprechenden Felder ein.

      Wenn Sie die Standardauthentifizierung für den Benutzer aktivieren möchten, der eine Verbindung mit dem Proxyserver herstellt, wählen Sie "Standardauthentifizierung zulassen" (Kennwort wird in Klartext gesendet) aus.

  4. Wählen Sie Weiteraus.

  5. Wählen Sie auf der Seite "Verbindung mit Upstream-Server verbinden " die Option "Verbinden starten" aus.

  6. Wenn WSUS eine Verbindung mit dem Server herstellt, wählen Sie "Weiter" aus.

Auswählen von Sprachen, Produkten und Klassifizierungen

  1. Auf der Seite " Sprachen auswählen " können Sie die Sprachen auswählen, aus denen WSUS Updates empfängt: alle Sprachen oder eine Teilmenge von Sprachen. Die Auswahl einer Teilmenge von Sprachen spart Speicherplatz, aber es ist wichtig, alle Sprachen auszuwählen, die alle Clients dieses WSUS-Servers benötigen.

    Wenn Sie Updates nur für bestimmte Sprachen abrufen möchten, wählen Sie Updates nur in folgenden Sprachen herunterladen und dann die gewünschten Sprachen aus. Übernehmen Sie andernfalls die Standardeinstellung.

    Warning

    Wenn Sie die Option "Updates herunterladen" nur in diesen Sprachen auswählen und dieser Server über einen nachgeschalteten WSUS-Server verfügt, erzwingt diese Option, dass der Downstreamserver auch nur die ausgewählten Sprachen verwendet.

  2. Wählen Sie Weiteraus.

  3. Geben Sie auf der Seite "Produkte auswählen " die Produkte an, für die Sie Updates benötigen. Wählen Sie Produktkategorien wie Windows oder bestimmte Produkte wie Windows Server 2019 aus. Durch die Auswahl einer Produktkategorie werden alle Produkte in der Kategorie ausgewählt.

  4. Wählen Sie Weiteraus.

  5. Wählen Sie auf der Seite "Klassifizierungen auswählen" die Aktualisierungsklassifizierungen aus, die Sie abrufen möchten. Wählen Sie alle Klassifizierungen oder eine Teilmenge davon aus, und wählen Sie dann "Weiter" aus.

Konfigurieren des Synchronisierungszeitplans

  1. Wählen Sie auf der Seite " Synchronisierungszeitplan festlegen " aus, ob die Synchronisierung manuell oder automatisch ausgeführt werden soll.

    • Wenn Sie "Manuell synchronisieren" auswählen, müssen Sie den Synchronisierungsprozess über die WSUS-Verwaltungskonsole starten.

    • Wenn Sie "Automatisch synchronisieren" auswählen, wird der WSUS-Server in festgelegten Intervallen synchronisiert.

      Legen Sie für die erste Synchronisierung die Uhrzeit fest, und geben Sie dann die Anzahl der Synchronisierungen pro Tag an, die dieser Server ausführen soll. Wenn Sie z. B. vier Synchronisierungen pro Tag angeben, beginnend um 3:00 Uhr, erfolgen Synchronisierungen um 3:00 Uhr, 09:00 Uhr, 17:00 Uhr und 9:00 Uhr.

  2. Wählen Sie Weiteraus.

Assistenten abschließen

  1. Wenn Sie die Synchronisierung sofort starten möchten, wählen Sie auf der Seite "Fertig stellen" die Option "Erste Synchronisierung beginnen" aus. Wenn Sie diese Option nicht auswählen, müssen Sie die Erstsynchronisierung über die WSUS-Verwaltungskonsole ausführen.

  2. Wenn Sie weitere Informationen zu anderen Einstellungen lesen möchten, wählen Sie "Weiter" aus. Wählen Sie andernfalls "Fertig stellen" aus, um den Assistenten abzuschließen und das anfängliche WSUS-Setup abzuschließen.

Nachdem Sie "Fertig stellen" ausgewählt haben, wird die WSUS-Verwaltungskonsole angezeigt. Sie verwenden diese Konsole, um Ihr WSUS-Netzwerk zu verwalten, wie in späteren Abschnitten in diesem Artikel beschrieben.

2.3. Sichern von WSUS mit dem TLS-Protokoll

Verwenden Sie das TLS-Protokoll, um das WSUS-Netzwerk zu schützen. WSUS kann TLS zum Authentifizieren von Verbindungen und zum Verschlüsseln und Schützen von Updateinformationen verwenden.

Warning

Die Sicherung von WSUS mithilfe des TLS-Protokolls ist für die Sicherheit Ihres Netzwerks wichtig. Wenn Ihr WSUS-Server TLS nicht ordnungsgemäß verwendet, um seine Verbindungen zu sichern, kann ein Angreifer wichtige Updateinformationen ändern, wenn er von einem WSUS-Server an einen anderen oder vom WSUS-Server an die Clientcomputer gesendet wird. In dieser Situation kann der Angreifer bösartige Software auf Clientcomputern installieren.

Important

Clients und Downstreamserver, die für die Verwendung von TLS oder HTTPS konfiguriert sind, müssen auch für die Verwendung eines vollqualifizierten Domänennamens (Fully Qualified Domain Name, FQDN) für den upstream-WSUS-Server konfiguriert sein.

2.3.1. Aktivieren von TLS/HTTPS im IIS-Dienst des WSUS-Servers für die Verwendung von TLS/HTTPS

Um mit der Verwendung von TLS/HTTPS zu beginnen, müssen Sie die TLS-Unterstützung für den IIS-Dienst (Internet Information Services) des WSUS-Servers aktivieren. Dieser Aufwand umfasst das Erstellen eines TLS/Secure Sockets Layer (SSL)-Zertifikats für den Server.

Die Schritte, die zum Abrufen eines TLS/SSL-Zertifikats für den Server erforderlich sind, gehen über den Umfang dieses Artikels hinaus und hängen von Ihrer Netzwerkkonfiguration ab. Weitere Informationen und Anweisungen zum Installieren von Zertifikaten und zum Einrichten dieser Umgebung finden Sie in der Dokumentation für Active Directory-Zertifikatdienste.

2.3.2. Konfigurieren des IIS-Webservers des WSUS-Servers für die Verwendung von TLS für einige Verbindungen

WSUS erfordert zwei Ports für Verbindungen mit anderen WSUS-Servern und Clientcomputern. Ein Port verwendet TLS/HTTPS zum Senden von Updatemetadaten (wichtige Informationen zu den Updates). Standardmäßig wird Port 8531 für diesen Zweck verwendet. Ein zweiter Port verwendet HTTP, um Updatenutzlasten zu senden. Standardmäßig wird Port 8530 für diesen Zweck verwendet.

Important

Sie können die gesamte WSUS-Website nicht so konfigurieren, dass TLS erforderlich ist. WSUS ist nur für die Verschlüsselung von Updatemetadaten konzipiert. Windows Update verteilt Updates auf die gleiche Weise.

Zum Schutz vor Angreifern, die die Updatenutzlasten manipulieren, werden alle Updatenutzlasten mit einem bestimmten Satz vertrauenswürdiger Signaturzertifikate signiert. Außerdem wird ein kryptografischer Hash für jede Updatenutzlast berechnet. Der Hash wird zusammen mit den anderen Metadaten für das Update über die sichere HTTPS-Metadatenverbindung an den Clientcomputer gesendet. Wenn ein Update heruntergeladen wird, überprüft die Clientsoftware die digitale Signatur und den Hash der Nutzlast. Wenn das Update geändert wurde, wird es nicht installiert.

Sie sollten TLS nur für die folgenden virtuellen IIS-Wurzeln benötigen:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • APIremoting30

  • ClientWebService

Für die folgenden virtuellen Wurzeln sollte TLS nicht erforderlich sein:

  • Content

  • Inventory

  • ReportingWebService

  • SelfUpdate

Das Zertifikat der Zertifizierungsstelle (CA) muss in den Speicher für vertrauenswürdige Stammzertifizierungsstellen jedes WSUS-Servers für den lokalen Computer oder in den Speicher für vertrauenswürdige Stammzertifizierungsstellen für WSUS (sofern vorhanden) importiert werden.

Weitere Informationen zur Verwendung von TLS/SSL-Zertifikaten in IIS finden Sie unter Einrichten von SSL unter IIS 7 oder höher.

Important

Sie müssen den Zertifikatspeicher für den lokalen Computer verwenden. Sie können nicht den Zertifikatspeicher eines Benutzers verwenden.

Normalerweise sollten Sie IIS so konfigurieren, dass Port 8531 für HTTPS-Verbindungen und Port 8530 für HTTP-Verbindungen verwendet wird. Wenn Sie diese Ports ändern, müssen Sie zwei benachbarte Portnummern verwenden. Die für HTTP-Verbindungen verwendete Portnummer muss genau um 1 kleiner sein als die für HTTPS-Verbindungen verwendete Portnummer.

Sie müssen den ClientServicingProxy Clientproxy erneut initialisieren, wenn sich der Servername, die TLS-Konfiguration oder die Portnummer ändert.

2.3.3. Konfigurieren von WSUS für die Verwendung des TLS/SSL-Signaturzertifikats für seine Clientverbindungen

  1. Melden Sie sich mit einem Konto, das Mitglied der WSUS-Administratorgruppe oder der Gruppe "Lokale Administratoren" ist, beim WSUS-Server an.

  2. Geben Sie im StartmenüCMD ein, klicken Sie mit der rechten Maustaste auf die Eingabeaufforderung, und wählen Sie dann "Als Administrator ausführen" aus.

  3. Wechseln Sie zum Ordner "C:\Programme\Update Services\Tools ".

  4. Geben Sie an der Eingabeaufforderung den folgenden Befehl ein:

    wsusutil configuressl <certificate-name>

    In diesem Befehl ist der Zertifikatname der DNS-Name (Domain Name System) des WSUS-Servers.

2.3.4. Sichern der SQL Server-Verbindung (falls erforderlich)

Wenn Sie WSUS mit einer SQL Server-Remotedatenbank verwenden, wird die Verbindung zwischen dem WSUS-Server und dem Datenbankserver nicht über TLS gesichert. Diese Situation schafft einen potenziellen Angriffsvektor. Beachten Sie die folgenden Empfehlungen, um diese Verbindung zu schützen:

  • Verschieben Sie die WSUS-Datenbank auf den WSUS-Server.

  • Verschieben Sie die Remotedatenbankserver und den WSUS-Server in ein privates Netzwerk.

  • Stellen Sie Internet Protocol Security (IPsec) bereit, um den Netzwerkverkehr zu sichern. Weitere Informationen zu IPsec finden Sie unter Erstellen und Verwenden von IPsec-Richtlinien.

2.3.5. Erstellen eines Codesignierungszertifikats für die lokale Veröffentlichung (falls erforderlich)

Neben der Verteilung von Von Microsoft bereitgestellten Updates unterstützt WSUS die lokale Veröffentlichung. Sie können die lokale Veröffentlichung verwenden, um Updates zu erstellen und zu verteilen, die Sie selbst entwerfen, mit ihren eigenen Nutzlasten und Verhaltensweisen.

Das Aktivieren und Konfigurieren der lokalen Veröffentlichung geht über den Rahmen dieses Artikels hinaus. Ausführliche Informationen finden Sie unter "Lokale Veröffentlichung".

Important

Die lokale Veröffentlichung ist ein komplizierter Prozess und wird häufig nicht benötigt. Bevor Sie sich entscheiden, die lokale Veröffentlichung zu aktivieren, sollten Sie die Dokumentation sorgfältig überprüfen und überlegen, ob Sie diese Funktionalität verwenden möchten und wie Sie sie verwenden können.

2.4. Konfigurieren von WSUS-Computergruppen

Computergruppen sind ein wichtiger Bestandteil der effektiven Verwendung von WSUS. Sie können Computergruppen verwenden, um Updates auf bestimmte Computer zu testen und darauf abzuzielen. Zwei Standardcomputergruppen sind verfügbar: %%amp;quot;Alle Computer%%amp;quot; und %%amp;quot;Nicht zugewiesene Computer%%amp;quot;. Standardmäßig fügt der WSUS-Server jeden Clientcomputer bei der ersten Verbindungsherstellung mit dem Server einer dieser beiden Gruppen hinzu.

Sie können beliebig viele benutzerdefinierte Computergruppen erstellen, um Updates in Ihrer Organisation zu verwalten. Es wird empfohlen, mindestens eine Computergruppe zu erstellen, mit der Updates getestet werden können, bevor sie auf anderen Computern in der Organisation bereitgestellt werden.

2.4.1. Auswählen eines Ansatzes zum Zuweisen von Clientcomputern zu Computergruppen

Es gibt zwei Ansätze zum Zuweisen von Clientcomputern zu Computergruppen. Der richtige Ansatz für Ihre Organisation hängt davon ab, wie Sie Ihre Clientcomputer normalerweise verwalten.

  • Serverseitige Zielbestimmung: Dieser Ansatz ist die Standardadressierung. Bei diesem Ansatz weisen Sie Clientcomputer mithilfe der WSUS-Verwaltungskonsole zu Computergruppen zu.

    Dieser Ansatz bietet Ihnen die Flexibilität, Clientcomputer schnell von einer Gruppe in eine andere zu verschieben, wenn sich die Umstände ändern. Daher müssen Sie neue Clientcomputer manuell aus der Gruppe "Nicht zugewiesene Computer" in die entsprechende Computergruppe verschieben.

  • Clientseitige Zielbestimmung: Bei diesem Ansatz weisen Sie jedem Clientcomputer Computer computergruppen zu, indem Sie richtlinieneinstellungen verwenden, die auf dem Clientcomputer selbst festgelegt sind.

    Auf diese Weise ist es einfacher, neue Clientcomputer zu den entsprechenden Gruppen zuzuordnen. Dies geschieht im Rahmen der Konfiguration des Clientcomputers für den Empfang von Updates vom WSUS-Server. Daher können Sie Clientcomputer nicht Computergruppen zuweisen oder sie über die WSUS-Verwaltungskonsole von einer Computergruppe in eine andere verschieben. Stattdessen müssen Sie die Richtlinien der Clientcomputer ändern.

2.4.2. Aktivieren der clientseitigen Zielzuordnung (falls zutreffend)

Important

Überspringen Sie die Schritte in diesem Abschnitt, wenn Sie die serverseitige Zielbestimmung verwenden möchten.

  1. Erweitern Sie in der WSUS-Verwaltungskonsole unter Update Services den WSUS-Server, und wählen Sie dann "Optionen" aus.

  2. Wählen Sie im Bereich "Optionen " die Option "Computer" aus. Wechseln Sie zur Registerkarte " Allgemein ", und wählen Sie dann " Gruppenrichtlinie oder Registrierungseinstellungen auf Computern verwenden" aus.

2.4.3. Erstellen der gewünschten Computergruppen

Note

Sie müssen Computergruppen mithilfe der WSUS-Verwaltungskonsole erstellen, unabhängig davon, ob Sie die serverseitige oder clientseitige Zielgruppenadressierung verwenden, um Clientcomputer zu den Computergruppen hinzuzufügen.

  1. Erweitern Sie in der WSUS-Verwaltungskonsole unter Update Services den WSUS-Server, erweitern Sie "Computer", klicken Sie mit der rechten Maustaste auf "Alle Computer", und wählen Sie dann " Computergruppe hinzufügen" aus.

  2. Geben Sie im Dialogfeld Computergruppe hinzufügen den Namen der neuen Gruppe in das Feld Name ein. Wählen Sie dann Hinzufügen aus.

2.5. Konfigurieren von Clientcomputern zum Einrichten von TLS-Verbindungen mit dem WSUS-Server

Wenn Sie den WSUS-Server konfigurieren, um die Verbindungen der Clientcomputer mithilfe von TLS zu schützen, müssen Sie die Clientcomputer so konfigurieren, dass diese TLS-Verbindungen als vertrauenswürdig festgelegt werden.

Das TLS/SSL-Zertifikat des WSUS-Servers muss in den Speicher für vertrauenswürdige Stammzertifizierungsstellen des Clientcomputers oder in den Speicher „Vertrauenswürdige Stammzertifizierungsstellen“ des automatischen Updatediensts der Clientcomputer (sofern vorhanden) importiert werden.

Important

Sie müssen den Zertifikatspeicher für den lokalen Computer verwenden. Sie können nicht den Zertifikatspeicher eines Benutzers verwenden.

Die Clientcomputer müssen dem Zertifikat vertrauen, das Sie an den WSUS-Server binden. Je nach verwendetem Zertifikattyp müssen Sie möglicherweise einen Dienst einrichten, sodass die Clientcomputer dem an den WSUS-Server gebundenen Zertifikat vertrauen.

Wenn Sie die lokale Veröffentlichung verwenden, sollten Sie die Clientcomputer außerdem so konfigurieren, dass sie dem Codesignierungszertifikat des WSUS-Servers vertrauen. Anweisungen finden Sie unter "Lokale Veröffentlichung".

2.6. Konfigurieren von Clientcomputern zum Empfangen von Updates vom WSUS-Server

Standardmäßig erhalten Ihre Clientcomputer die Updates von Windows Update. Wenn sie ihre Updates stattdessen vom WSUS-Server empfangen sollen, muss dies entsprechend konfiguriert werden.

Important

Dieser Artikel enthält eine Reihe von Schritten zum Konfigurieren der Clientcomputer mit Gruppenrichtlinie. Diese Schritte sind in vielen Situationen geeignet. Es gibt jedoch viele weitere Optionen zum Konfigurieren des Updateverhaltens auf Clientcomputern, einschließlich der Verwendung der mobilen Geräteverwaltung (Mobile Device Management, MDM). Dokumentation zu diesen Optionen finden Sie unter "Verwalten zusätzlicher Windows Update-Einstellungen".

2.6.1. Auswählen des richtigen Richtliniensatzes, der bearbeitet werden soll

Wenn Active Directory in Ihrem Netzwerk eingerichtet ist, können Sie einen oder mehrere Computer gleichzeitig konfigurieren, indem Sie sie in ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) einschließen und dann dieses Gruppenrichtlinienobjekt mit WSUS-Einstellungen konfigurieren.

Es wird empfohlen, ein neues GPO zu erstellen, das nur WSUS-Einstellungen enthält. Verknüpfen Sie dieses WSUS-GPO mit einem für die Umgebung geeigneten Active Directory-Container.

In einer einfachen Umgebung reicht es u. U. aus, ein WSUS-GPO mit der Domäne zu verknüpfen. In einer komplexeren Umgebung können Sie mehrere WSUS-Gruppenrichtlinienobjekte (GPOs) mit mehreren Organisationseinheiten (OUs) verknüpfen. Wenn Sie GPOs mit OUs verknüpfen, können Sie WSUS-Richtlinieneinstellungen auf verschiedene Computertypen anwenden.

Wenn Sie Active Directory nicht in Ihrem Netzwerk verwenden, müssen Sie jeden Computer mithilfe des Editors für lokale Gruppenrichtlinien konfigurieren.

2.6.2. Bearbeiten von Richtlinien zum Konfigurieren der Clientcomputer

Führen Sie die Schritte in den folgenden Abschnitten aus, um die Clientcomputer mithilfe von Richtlinieneinstellungen zu konfigurieren.

Note

Bei diesen Anweisungen wird davon ausgegangen, dass Sie die neuesten Versionen der Tools zum Bearbeiten von Richtlinien verwenden. Bei älteren Versionen der Tools sind die Richtlinien möglicherweise anders angeordnet.

Öffnen Sie den Richtlinien-Editor, und wechseln Sie zum Windows Update-Element.

  1. Öffnen Sie das entsprechende Richtlinienobjekt:

    • Wenn Sie Active Directory verwenden, öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, wechseln Sie zum Gruppenrichtlinienobjekt, für das Sie WSUS konfigurieren möchten, und wählen Sie "Bearbeiten" aus. Erweitern Sie dann die Computerkonfiguration, und erweitern Sie Richtlinien.
    • Wenn Sie Active Directory nicht verwenden, öffnen Sie den Editor für lokale Gruppenrichtlinien. Die Richtlinie für den lokalen Computer wird angezeigt. Erweitern Sie die Computerkonfiguration.

  2. Erweitern Sie im Objekt, das Sie im vorherigen Schritt erweitert haben,Windows>Updatefür administrative Vorlagen>. Wenn Ihr Betriebssystem Windows 10 oder Windows 11 ist, wählen Sie auch "Endbenutzerfreundlichkeit verwalten" aus.

Bearbeiten der Einstellung für automatische Updates

  1. Doppelklicken Sie im Detailbereich auf Automatische Updates konfigurieren. Die Richtlinie Automatische Updates konfigurieren wird geöffnet.

  2. Wählen Sie "Aktiviert" und dann die gewünschte Option unter der Einstellung " Automatische Aktualisierung konfigurieren " aus, um zu verwalten, wie das Feature für automatische Updates genehmigte Updates herunterladen und installieren soll.

    Es wird empfohlen, die Einstellung Automatisch herunterladen und Installation planen zu verwenden. Dadurch wird sichergestellt, dass die in WSUS genehmigten Updates zeitnah heruntergeladen und installiert werden, ohne dass ein Eingreifen des Benutzers erforderlich ist.

  3. Bearbeiten Sie bei Bedarf andere Teile der Richtlinie. Weitere Informationen finden Sie unter "Verwalten zusätzlicher Windows Update-Einstellungen".

    Note

    Die Einstellung " Updates von anderen Microsoft-Produkten installieren" hat keine Auswirkungen auf Clientcomputer, die Updates von WSUS erhalten. Die Clientcomputer erhalten alle Updates, die für sie auf dem WSUS-Server genehmigt wurden.

  4. Wählen Sie "OK" aus, um die Richtlinie " Automatische Updates konfigurieren" zu schließen.

Bearbeiten der Einstellung zum Angeben eines Intranetservers zum Hosten von Updates

  1. Doppelklicken Sie im Detailbereich auf Ort des Microsoft Update-Dienstes im Intranet festlegen. Wenn Ihr Betriebssystem Windows 10 oder Windows 11 ist, wechseln Sie zuerst zum Windows Update-Knoten der Struktur, und wählen Sie dann "Updates verwalten" aus, die von Windows Server Update Service angeboten werden.

    Die Richtlinie Internen Pfad für den Microsoft Update-Dienst angeben wird geöffnet.

  2. Wählen Sie "Aktiviert" aus, und geben Sie dann die URL des WSUS-Servers sowohl im Intranetupdatedienst für die Erkennung von Updates als auch im Feld "Intranetstatistikserver festlegen " ein.

    Warning

    Stellen Sie sicher, dass Sie den richtigen Port in die URL einschließen. Angenommen, Sie konfigurieren den Server für die Verwendung von TLS wie empfohlen, sollten Sie den port angeben, der für HTTPS konfiguriert ist. Wenn Sie beispielsweise Port 8531 für HTTPS verwenden und der Domänenname des Servers wsus.contoso.com ist, sollten Sie beide Felder eingeben https://wsus.contoso.com:8531 .

  3. Wählen Sie "OK" aus, um die Standortrichtlinie für den Microsoft Update-Dienst im Intranet anzugeben .

Konfigurieren der clientseitigen Zielzuordnung (falls zutreffend)

Wenn Sie die clientseitige Zielbestimmung verwenden, führen Sie die Schritte in diesem Abschnitt aus, um die entsprechende Computergruppe für die Clientcomputer anzugeben, die Sie konfigurieren.

Note

Bei diesen Schritten wird davon ausgegangen, dass Sie die Schritte zum Bearbeiten von Richtlinien zum Konfigurieren der Clientcomputer gerade abgeschlossen haben.

  1. Wechseln Sie im Richtlinien-Editor zum Windows Update-Element . Wenn Ihr Betriebssystem Windows 10 oder Windows 11 ist, wählen Sie auch " Updates verwalten" aus, die vom Windows Server Update Service angeboten werden.

  2. Doppelklicken Sie im Detailbereich auf "Clientseitige Zielbestimmung aktivieren". Die Richtlinie Clientseitige Zielzuordnung aktivieren wird geöffnet.

  3. Wählen Sie "Aktiviert" aus. Geben Sie unter dem Namen der Zielgruppe für diesen Computer den Namen der WSUS-Computergruppe ein, der Sie die Clientcomputer hinzufügen möchten.

    Wenn Sie eine aktuelle Version von WSUS ausführen, können Sie die Clientcomputer zu mehreren Computergruppen hinzufügen, indem Sie die Gruppennamen durch Semikolons getrennt eingeben. Sie können beispielsweise "Buchhaltung" eingeben. Manager zum Hinzufügen der Clientcomputer zu den Computergruppen "Buchhaltung" und "Geschäftsleitung".

  4. Wählen Sie "OK" aus, um die clientseitige Zielrichtlinie aktivieren zu können.

2.6.3. Herstellen einer Verbindung zwischen Clientcomputer und WSUS-Server

Clientcomputer werden erst in der WSUS-Verwaltungskonsole angezeigt, wenn sie zum ersten Mal eine Verbindung mit dem WSUS-Server herstellen.

  1. Warten Sie, bis die Richtlinienänderungen auf dem Clientcomputer wirksam werden.

    Wenn Sie ein Active Directory-basiertes Gruppenrichtlinienobjekt verwenden, um die Clientcomputer zu konfigurieren, dauert es etwas, bis der Mechanismus zur Gruppenrichtlinienaktualisierung die Änderungen an einen Clientcomputer übermittelt. Wenn Sie diesen Prozess beschleunigen möchten, können Sie die Eingabeaufforderung mit erhöhten Rechten öffnen und dann den Befehl "gpupdate /force" eingeben.

    Wenn Sie den Editor für lokale Gruppenrichtlinien verwenden, um einen einzelnen Clientcomputer zu konfigurieren, werden die Änderungen sofort wirksam.

  2. Starten Sie den Clientcomputer neu. Durch diesen Schritt wird sichergestellt, dass die Windows Update-Software auf dem Computer die Richtlinienänderungen erkennt.

  3. Lassen Sie den Clientcomputer nach Updates suchen. Diese Überprüfung dauert normalerweise einige Zeit.

    Sie können den Prozess mithilfe einer der folgenden Optionen beschleunigen:

    • Verwenden Sie unter Windows 10 oder 11 die Seite "Einstellungen" , um manuell nach Updates zu suchen.
    • Verwenden Sie unter Windows-Versionen vor Windows 10 das Windows Update-Symbol in der Systemsteuerung, um manuell nach Updates zu suchen.
    • Öffnen Sie in Windows-Versionen vor Windows 10 die Eingabeaufforderung mit erhöhten Rechten, und geben Sie den Befehl "wuauclt /detectnow" ein.

2.6.4 Überprüfen der erfolgreichen Verbindung des Clientcomputers mit dem WSUS-Server

Wenn Sie alle vorherigen Schritte erfolgreich ausführen, werden die folgenden Ergebnisse angezeigt:

  • Der Clientcomputer sucht erfolgreich nach Updates. (Es werden möglicherweise keine passenden Updates zum Herunterladen und Installieren gefunden.)

  • Innerhalb von ca. 20 Minuten wird der Clientcomputer in der Liste der Computer in der WSUS-Verwaltungskonsole angezeigt, basierend auf der Art der Zielgruppenadressierung:

    • Wenn Sie die serverseitige Zielgruppenadressierung verwenden, wird der Clientcomputer in den Computergruppen „Alle Computer“ und „Nicht zugewiesene Computer“ angezeigt.

    • Wenn Sie die clientseitige Zielbestimmung verwenden, wird der Clientcomputer in der Gruppe "Alle Computer" und in der Computergruppe angezeigt, die Sie beim Konfigurieren des Clientcomputers auswählen.

2.6.5. Einrichten der serverseitigen Zielzuordnung für den Clientcomputer (falls zutreffend)

Wenn Sie serverseitige Zielgruppenadressierung verwenden, sollten Sie jetzt den neuen Clientcomputer zu den entsprechenden Computergruppen hinzufügen.

  1. Suchen Sie in der WSUS-Verwaltungskonsole nach dem neuen Clientcomputer. Er sollte in den Computergruppen „Alle Computer“ und „Nicht zugewiesene Computer“ in der WSUS-Server-Liste der Computer angezeigt werden.

  2. Klicken Sie mit der rechten Maustaste auf den Clientcomputer, und wählen Sie " Mitgliedschaft ändern" aus.

  3. Wählen Sie im Dialogfeld die entsprechenden Computergruppen und dann "OK" aus.

Nächster Schritt

Schritt 3: Genehmigen und Bereitstellen von Updates

  • Last updated on