Uw WSUS-implementatie plannen

De eerste stap in de implementatie van Windows Server Update Services (WSUS) is het nemen van belangrijke beslissingen, zoals het beslissen van het WSUS-implementatiescenario, het kiezen van een netwerktopologie en het begrijpen van de systeemvereisten.

1.1. Overwegingen en systeemvereisten bekijken

Systeemvereisten

Hardware- en databasesoftwarevereisten worden bepaald door het aantal clientcomputers dat in uw organisatie wordt bijgewerkt. Voordat u de WSUS-serverfunctie inschakelt, controleert u of de server voldoet aan de systeemvereisten en bevestigt u dat u over de benodigde machtigingen beschikt om de installatie te voltooien door aan de volgende richtlijnen te voldoen:

• Serverhardwarevereisten voor het inschakelen van de WSUS-rol zijn gebonden aan hardwarevereisten. De minimale hardwarevereisten voor WSUS zijn:

  • Processor: 1,4 gigahertz (GHz) x64 processor (2 Ghz of sneller wordt aanbevolen)
  • Geheugen: WSUS vereist een extra 2 GB RAM-geheugen, afgezien van wat vereist is voor de server en alle andere services of software.
  • Beschikbare schijfruimte: 40 GB of hoger wordt aanbevolen.
    • On-premises updatebeheer met Unified Update Platform (UUP) vereist 10 GB extra ruimte per Windows-versie en processorarchitectuur voor elke versie. Zie de sectie UUP-overwegingen voor meer informatie.
  • Netwerkadapter: 100 megabits per seconde (Mbps) of hoger (1 GB wordt aanbevolen)

  Note

  Bij deze richtlijnen wordt ervan uitgegaan dat WSUS-clients elke acht uur met een totaal van 30.000 clients worden gesynchroniseerd met de server. Als ze vaker synchroniseren, is er een overeenkomstige toename in de serverbelasting.

• Vereiste software-updates:

  • Windows Server 2016, 2019 en 2022: cumulatieve update 2023-02 of een latere cumulatieve update
  • Windows Server 2012 en 2012 R2: cumulatieve update 2023-03 of een latere cumulatieve update
  • Als u deze updates niet kunt installeren, kunt u de vereiste MIME-typen voor UUP handmatig toevoegen aan de WSUS-server.

• Softwarevereisten:

  • Voor het weergeven van rapporten vereist WSUS de Herdistribueerbare 2008 van Microsoft Report Viewer. Voor Windows Server 2016 vereist WSUS Microsoft Report Viewer Runtime 2012

• Als u functies of software-updates installeert waarvoor u de server opnieuw moet opstarten wanneer de installatie is voltooid, start u de server opnieuw op voordat u de WSUS-serverfunctie inschakelt.

• Microsoft .NET Framework 4.0 moet zijn geïnstalleerd op de server waarop de WSUS-serverfunctie wordt geïnstalleerd.

• Controleer of het account dat u wilt gebruiken om WSUS te installeren lid is van de groep Lokale beheerders.

• Het NT Authority\Network Service-account moet machtigingen voor volledig beheer hebben voor de volgende mappen, zodat de module WSUS-beheer correct wordt weergegeven:

  • %windir%\Temp

  • %windir%\Microsoft.NET\Framework\v4.0.30319\Tijdelijke ASP.NET bestanden

    Note

    Dit pad bestaat mogelijk niet voordat u de webserverfunctie installeert die IIS (Internet Information Services) bevat.

Overwegingen bij de installatie

Tijdens het installatieproces installeert WSUS de volgende items standaard:

• .NET API- en Windows PowerShell-cmdlets
• Windows Internal Database (WID), dat wordt gebruikt door WSUS
• Services die door WSUS worden gebruikt, zijn:
  • Update-service
  • Rapportagewebservice
  • Clientwebservice
  • Eenvoudige webverificatiewebservice
  • Serversynchronisatieservice
  • DSS-verificatiewebservice

Overwegingen met betrekking tot UUP

Vanaf 28 maart 2023 ontvangen on-premises Windows 11-apparaten met versie 22H2 kwaliteitsupdates via het Unified Update Platform (UUP). UUP on-premises werkt samen met WSUS en Microsoft Configuration Manager. De onderdelenupdate voor Windows 11, versie 22H2, wordt maandelijks bijgewerkt, zodat u eenvoudig de nieuwste build voor uw clients kunt implementeren. UUP-kwaliteitsupdates blijven cumulatief en bevatten alle vrijgegeven kwaliteits- en beveiligingspatches van Windows. Hoewel UUP-updates niet kunnen worden verwijderd via WSUS, krijgen clients die worden bijgewerkt met behulp van on-premises UUP de volgende mogelijkheden:

• De mogelijkheid voor eindgebruikers om functies op aanvraag en taalpakketten te verkrijgen in WSUS- of Configuration Manager-omgevingen.
• Automatisch herstel van corruptie
• Geminimaliseerde downloadgroottes van kwaliteitsupdate-client.

Als u zich wilt voorbereiden op on-premises UUP-updates, moet u ervoor zorgen dat aan de volgende vereisten wordt voldaan:

• Wanneer u inhoud lokaal opslaat voor WSUS, downloadt de WSUS-server ongeveer 10 GB inhoud per Windows-versie en processorarchitectuur voor elke versie. Er wordt bijvoorbeeld een extra inhoud van 20 GB gedownload voor zowel x64 als arm64 voor Windows 11, versie 22H2.

• Installeer een van de volgende updates op de WSUS-servers of voeg handmatig de vereiste MIME-typen voor UUP toe aan de WSUS-server:

  • Windows Server 2016, 2019 en 2022: cumulatieve update 2023-02 of een latere cumulatieve update
  • Windows Server 2012 en 2012 R2: cumulatieve update 2023-03 of een latere cumulatieve update

  Tip

  Als er een Cannot add duplicate collection entry of type 'mimeMap' fout optreedt, raadpleegt u tips voor het oplossen van problemen met WSUS.

Handmatig de vereiste MIME-typen voor UUP toevoegen

Er zijn twee bestandstypen vereist voor het on-premises updatebeheer met UUP. De .msu en .wim MIME-typen moeten worden toegevoegd aan de WSUS-servers om UUP on-premises te ondersteunen. Als u de WSUS-servers niet kunt bijwerken, kunt u deze stappen gebruiken om de vereiste bestandstypen handmatig toe te voegen:

1. Open Internet Information Services (IIS)-beheer.
2. Selecteer de naam van de WSUS-server in het deelvenster Verbindingen . Als u de naam van de WSUS-server niet ziet, selecteert u Verbinding maken met een server in het menu Bestand en voert u de servernaam in.
3. Selecteer MIME-typen in de weergave Functies en open vervolgens de functie in het deelvenster Acties.

   Important

   Zorg ervoor dat u de server hebt geselecteerd en niet de site bij het toevoegen van de MIME-typen. De WSUS-beheersite moet de MIME-typevermelding overnemen in plaats van lokaal.

4. Selecteer Toevoegen in het deelvenster Acties voor de MIME-typen.
5. Voer de volgende informatie in het venster MIME-type toevoegen in:
   • Bestandsnaamextensie: .wim
   • MIME-type: application/x-ms-wim
6. Selecteer OK wanneer u klaar bent om het MIME-type toe te voegen.
7. Voeg nog een MIME-type toe door opnieuw Toevoegen te selecteren en voer vervolgens de volgende gegevens in:
   • Bestandsnaamextensie: .msu
   • MIME-type: application/octet-stream
8. Selecteer OK wanneer u klaar bent met het toevoegen van het MIME-type.

Overwegingen voor functies op aanvraag

Houd er rekening mee dat het configureren van clientcomputers (inclusief servers) die moeten worden bijgewerkt met behulp van WSUS de volgende beperkingen heeft:

1. Serverfuncties waarvan de payloads zijn verwijderd met behulp van Features on Demand, kunnen niet op verzoek vanuit Microsoft Update worden geïnstalleerd. U moet een installatiebron opgeven op het moment dat u dergelijke serverfuncties probeert te installeren of een bron configureren voor onderdelen op aanvraag in groepsbeleid.

2. Windows-clientversies kunnen .NET 3.5 niet op aanvraag installeren vanaf het web. Dezelfde overwegingen als serverfuncties zijn van toepassing op .NET 3.5.

   Note

   Het configureren van een installatiebron voor onderdelen op aanvraag omvat geen WSUS. Zie Functies op aanvraag configureren in Windows Server voor meer informatie over het configureren van functies.

3. Enterprise-apparaten met Windows 10, versie 1709 of versie 1803 kunnen geen functies op aanvraag rechtstreeks vanuit WSUS installeren. Als u Features on Demand wilt installeren, maakt u een functiebestand (side-by-side store) of verkrijgt u het Feature on Demand-pakket van een van de volgende bronnen.

   • Volume Licensing Service Center (VLSC) - VL-toegang is vereist

   • OEM-portal - OEM-toegang is vereist

   • MSDN Downloads - Een MSDN-abonnement is vereist

     Afzonderlijk verkregen Feature on Demand-pakketten kunnen worden geïnstalleerd met behulp van DISM-opdrachtregelopties.

Vereisten voor WSUS-databases

WSUS vereist een van de volgende databases:

• Windows Interne Database (WID)
• Elke ondersteunde Versie van Microsoft SQL Server. Raadpleeg voor meer informatie het Microsoft levenscyclusbeleid.

WSUS ondersteunt de volgende edities van SQL Server:

• Standard
• Enterprise
• Express

U kunt de WSUS-rol installeren op een computer die gescheiden is van de databaseservercomputer. In dit geval zijn de volgende aanvullende criteria van toepassing:

1. De databaseserver kan niet worden geconfigureerd als een domeincontroller.

2. De WSUS-server kan Remote Desktop Services niet uitvoeren.

3. De databaseserver moet zich in hetzelfde Active Directory-domein bevinden als de WSUS-server, of moet een vertrouwensrelatie hebben met het Active Directory-domein van de WSUS-server.

4. De WSUS-server en de databaseserver moeten zich in dezelfde tijdzone bevinden of worden gesynchroniseerd met dezelfde Coordinated Universal Time -bron (Greenwich Mean time).

1.2. Een WSUS-implementatiescenario kiezen

In deze sectie worden de basisfuncties van alle WSUS-implementaties beschreven. Gebruik deze sectie om vertrouwd te raken met een eenvoudige implementatie met één WSUS-server, naast complexere scenario's, zoals een WSUS-serverhiërarchie of een WSUS-server in een geïsoleerd netwerksegment.

Eenvoudige WSUS-implementatie

De meest eenvoudige WSUS-implementatie bestaat uit een server binnen de bedrijfsfirewall die clientcomputers op een privé-intranet bedient. De WSUS-server maakt verbinding met Microsoft Update om updates te downloaden. Dit wordt synchronisatie genoemd. Tijdens de synchronisatie bepaalt WSUS of er nieuwe updates beschikbaar zijn gemaakt sinds de laatste synchronisatie. Als het uw eerste keer is dat WSUS wordt gesynchroniseerd, worden alle updates beschikbaar gesteld voor downloaden.

De WSUS-server gebruikt standaard poort 80 voor het HTTP-protocol en poort 443 voor het HTTPS-protocol om updates van Microsoft te verkrijgen. Als er een bedrijfsfirewall tussen uw netwerk en internet is, moet u deze poorten openen op de server die rechtstreeks met Microsoft Update communiceert. Als u van plan bent om aangepaste poorten voor deze communicatie te gebruiken, moet u deze poorten in plaats daarvan openen. U kunt meerdere WSUS-servers configureren om te synchroniseren met een bovenliggende WSUS-server. De WSUS-server gebruikt standaard poort 8530 voor het HTTP-protocol en poort 8531 voor het HTTPS-protocol om updates voor clientwerkstations te bieden.

Meerdere WSUS-servers

Beheerders kunnen meerdere servers met WSUS implementeren die alle inhoud binnen het intranet van hun organisatie synchroniseren. Mogelijk maakt u slechts één server beschikbaar op internet. Dit is de enige server die updates downloadt van Microsoft Update. Deze server is ingesteld als de upstream-server en fungeert als de bron waaraan de downstreamservers zich synchroniseren. Indien van toepassing, kunnen servers zich in een geografisch verspreid netwerk bevinden om de beste connectiviteit met alle clientcomputers te bieden.

Niet-verbonden WSUS-server

Als bedrijfsbeleid of andere voorwaarden computertoegang tot internet beperken, kunnen beheerders een interne server instellen om WSUS uit te voeren. Een voorbeeld hiervan is een server die is verbonden met het intranet, maar is geïsoleerd van internet. Na het downloaden, testen en goedkeuren van de updates op deze server, zou een beheerder de metagegevens en inhoud van de update exporteren naar een dvd. De metagegevens en inhoud van de update worden geïmporteerd van de dvd naar servers met WSUS in het intranet.

WSUS-serverhiërarchieën

U kunt complexe hiërarchieën van WSUS-servers maken. Omdat u één WSUS-server kunt synchroniseren met een andere WSUS-server in plaats van met Microsoft Update, moet u slechts één WSUS-server hebben die is verbonden met Microsoft Update. Wanneer u WSUS-servers aan elkaar koppelt, is er een upstream-WSUS-server en een downstream-WSUS-server. Een implementatie van een WSUS-serverhiërarchie biedt de volgende voordelen:

• U kunt updates eenmalig downloaden van internet en de updates vervolgens distribueren naar clientcomputers met behulp van downstreamservers. Met deze methode bespaart u bandbreedte op de internetverbinding van het bedrijf.

• U kunt updates downloaden naar een WSUS-server die zich fysiek dichter bij de clientcomputers bevindt, bijvoorbeeld in filialen.

• U kunt afzonderlijke WSUS-servers instellen voor clientcomputers die verschillende talen van Microsoft-producten gebruiken.

• U kunt WSUS schalen voor een grote organisatie met meer clientcomputers dan één WSUS-server effectief kan beheren.

U kunt WSUS-servers verbinden in de autonome modus (om gedistribueerd beheer te bereiken) of in de replicamodus (om gecentraliseerd beheer te bereiken). U hoeft geen serverhiërarchie te implementeren die slechts één modus gebruikt: u kunt een WSUS-oplossing implementeren die gebruikmaakt van zowel autonome als replica-WSUS-servers.

Autonome modus

De autonome modus, ook wel gedistribueerd beheer genoemd, is de standaardinstallatieoptie voor WSUS. In de autonome modus deelt een upstream WSUS-server updates met downstreamservers tijdens de synchronisatie. Downstream-WSUS-servers worden afzonderlijk beheerd en ontvangen geen updategoedkeuringsstatus of computergroepgegevens van de upstream-server. Met behulp van het gedistribueerde beheermodel selecteert elke WSUS-serverbeheerder updatetalen, maakt computergroepen, wijst computers toe aan groepen, test en keurt updates goed en zorgt ervoor dat de juiste updates worden geïnstalleerd op de juiste computergroepen.

Replicamodus

De replicamodus, ook wel gecentraliseerd beheer genoemd, werkt door een upstream WSUS-server te hebben die updates, goedkeuringsstatus en computergroepen deelt met downstreamservers. Replicaservers nemen updategoedkeuringen over en worden niet afzonderlijk beheerd van de upstream WSUS-server.

Filialen

U kunt de functie Filiaal in Windows gebruiken om de WSUS-implementatie te optimaliseren. Dit type implementatie biedt de volgende voordelen:

1. Dit helpt het gebruik van WAN-koppelingen te verminderen en de reactiesnelheid van toepassingen te verbeteren. Als u BranchCache-versnelling wilt inschakelen van inhoud die wordt geleverd door de WSUS-server, installeert u de functie BranchCache op de server en de clients en zorgt u ervoor dat de BranchCache-service is gestart. Er zijn geen andere stappen nodig.

2. In filialen met verbindingen met een lage bandbreedte met het centrale kantoor, maar verbindingen met een hoge bandbreedte met internet, kan de functie Filiaal ook worden gebruikt. In dit geval wilt u downstream-WSUS-servers configureren om informatie te krijgen over welke updates moeten worden geïnstalleerd vanaf de centrale WSUS-server, maar download de updates van Microsoft Update.

Netwerktaakverdeling

Netwerktaakverdeling (NLB) verhoogt de betrouwbaarheid en prestaties van uw WSUS-netwerk. U kunt meerdere WSUS-servers instellen die één failovercluster met SQL Server delen. In deze configuratie moet u een volledige SQL Server-installatie gebruiken, niet de installatie van de interne Windows-database die wordt geleverd door WSUS en moet de databaserol worden geïnstalleerd op alle WSUS-front-endservers. U kunt ook alle WSUS-servers een gedistribueerd bestandssysteem (DFS) gebruiken om hun inhoud op te slaan.

WSUS-installatie voor NLB: vergeleken met WSUS 3.2-installatie voor NLB is een speciale aanroep en parameters niet meer vereist om WSUS voor NLB te configureren. U hoeft alleen elke WSUS-server in te stellen, rekening houdend met de volgende overwegingen.

• WSUS moet worden ingesteld met behulp van de sql-databaseoptie in plaats van WID.
• Als updates lokaal worden opgeslagen, moet dezelfde map Inhoud worden gedeeld tussen de WSUS-servers die dezelfde SQL-database delen.
• WSUS-installatie moet in serieel worden uitgevoerd. Taken na installatie kunnen niet op meer dan één server tegelijk worden uitgevoerd wanneer u dezelfde SQL-database deelt.
• Elke front-end-WSUS-server moet dezelfde versie van het besturingssysteem uitvoeren, inclusief hetzelfde cumulatieve updateniveau.

WSUS-implementatie met zwervende clientcomputers

Als het netwerk mobiele gebruikers bevat die zich vanaf verschillende locaties aanmelden bij het netwerk, kunt u WSUS zo configureren dat zwervende gebruikers hun clientcomputers kunnen bijwerken vanaf de WSUS-server die zich het dichtst bij hen in de buurt bevindt. U kunt bijvoorbeeld één WSUS-server per regio implementeren en een ander DNS-subnet voor elke regio gebruiken. Alle clientcomputers kunnen worden omgeleid naar dezelfde WSUS-server, die in elk subnet wordt omgezet naar de dichtstbijzijnde fysieke WSUS-server.

1.3. Een WSUS-opslagstrategie kiezen

Windows Server Update Services (WSUS) maakt gebruik van twee typen opslagsystemen: een database voor het opslaan van WSUS-configuratie- en updatemetagegevens, en een optioneel lokaal bestandssysteem voor het opslaan van updatebestanden. Voordat u WSUS installeert, moet u beslissen hoe u opslag wilt implementeren.

Updates bestaan uit twee delen: metagegevens die de update beschrijven en de bestanden die nodig zijn om de update te installeren. Metagegevens van updates zijn doorgaans veel kleiner dan de werkelijke update en worden opgeslagen in de WSUS-database. Updatebestanden worden opgeslagen op een lokale WSUS-server of op een Microsoft Update-webserver.

WSUS-database

WSUS vereist een database voor elke WSUS-server. WSUS ondersteunt het gebruik van een database die zich op een andere computer bevindt dan de WSUS-server, met enkele beperkingen. Zie sectie 1.1 Bekijk in deze handleiding de eerste overwegingen en systeemvereisten voor een lijst met ondersteunde databases en beperkingen voor externe databases.

De WSUS-database slaat de volgende informatie op:

• Configuratiegegevens van WSUS-server
• Metagegevens die elke update beschrijven
• Informatie over clientcomputers, updates en interacties

Als u meerdere WSUS-servers installeert, moet u een afzonderlijke database onderhouden voor elke WSUS-server, ongeacht of het een autonome of een replicaserver is. U kunt niet meerdere WSUS-databases opslaan op één exemplaar van SQL Server, behalve in NLB-clusters (Network Load Balancing) die gebruikmaken van SQL Server-failover.

SQL Server, SQL Server Express en Windows Internal Database bieden dezelfde prestatiekenmerken voor een configuratie met één server, waarbij de database en de WSUS-service zich op dezelfde computer bevinden. Een configuratie met één server kan enkele duizenden WSUS-clientcomputers ondersteunen.

WSUS met interne Windows-database

De installatiewizard maakt en gebruikt standaard een interne Windows-database met de naam SUSDB.mdf. Deze database bevindt zich in de map %windir%\wid\data\ waar %windir% het lokale station is waarop de WSUS-serversoftware is geïnstalleerd.

WSUS ondersteunt alleen Windows-verificatie voor de database. U kunt geen SQL Server-verificatie gebruiken met WSUS. Als u Windows Interne database voor de WSUS-database gebruikt, maakt WSUS Setup een exemplaar van SQL Server met de naam server\Microsoft##WID, waarbij de server de naam van de computer is. Met beide databaseopties maakt WSUS Setup een database met de naam SUSDB. De naam van deze database kan niet worden geconfigureerd.

In de volgende gevallen wordt u aangeraden Windows Internal Database te gebruiken:

• De organisatie heeft nog geen SQL Server-product aangeschaft en heeft geen SQL Server-product nodig voor een andere toepassing.
• De organisatie vereist geen NLB WSUS-oplossing.
• U wilt meerdere WSUS-servers implementeren (bijvoorbeeld in filialen). In dit geval moet u overwegen Windows Interne database te gebruiken op de secundaire servers, zelfs als u SQL Server gebruikt voor de WSUS-hoofdserver. Omdat elke WSUS-server een afzonderlijk exemplaar van SQL Server vereist, ondervindt u snel prestatieproblemen met de database als slechts één exemplaar van SQL Server meerdere WSUS-servers verwerkt.

Windows Internal Database biedt geen gebruikersinterface of hulpprogramma's voor databasebeheer. Als u deze database voor WSUS selecteert, moet u externe hulpprogramma's gebruiken om de database te beheren. Voor meer informatie, zie:

• Back-up maken van WSUS-gegevens en back-ups maken van uw server

• De WSUS-database opnieuw indexeren

WSUS met SQL Server

In de volgende gevallen wordt u aangeraden SQL Server met WSUS te gebruiken:

1. U hebt een NLB WSUS-oplossing nodig.
2. U hebt al ten minste één exemplaar van SQL Server geïnstalleerd.
3. U kunt de SQL Server-service niet uitvoeren onder een lokaal niet-systeemaccount of met behulp van SQL Server-verificatie. WSUS ondersteunt alleen Windows-verificatie.

WSUS-updateopslag

Wanneer updates worden gesynchroniseerd met uw WSUS-server, worden de metagegevens en updatebestanden opgeslagen op twee afzonderlijke locaties. Metagegevens worden opgeslagen in de WSUS-database. Updatebestanden kunnen worden opgeslagen op uw WSUS-server of op Microsoft Update-servers, afhankelijk van hoe u uw synchronisatieopties hebt geconfigureerd. Als u ervoor kiest om updatebestanden op uw WSUS-server op te slaan, downloaden clientcomputers goedgekeurde updates van de lokale WSUS-server. Zo niet, dan downloaden clientcomputers goedgekeurde updates rechtstreeks vanuit Microsoft Update. De optie die het meest zinvol is voor uw organisatie, is afhankelijk van de netwerkbandbreedte voor internet, de netwerkbandbreedte op het intranet en de beschikbaarheid van lokale opslag.

U kunt een andere oplossing voor updateopslag selecteren voor elke WSUS-server die u implementeert.

Lokale WSUS-serveropslag

Lokale opslag van updatebestanden is de standaardoptie wanneer u WSUS installeert en configureert. Deze optie kan bandbreedte besparen op de bedrijfsverbinding met internet omdat clientcomputers updates rechtstreeks downloaden vanaf de lokale WSUS-server.

Deze optie vereist dat de server voldoende schijfruimte heeft om alle benodigde updates op te slaan. Wsus vereist minimaal 20 GB om updates lokaal op te slaan; we raden echter ten minste 40 GB aan. Zie systeemvereisten en UUP-overwegingen voor meer informatie over het projecteren van de benodigde schijfruimte.

Externe opslag op Microsoft Update-servers

U kunt updates op afstand opslaan op Microsoft Update-servers. Deze optie is handig als de meeste clientcomputers verbinding maken met de WSUS-server via een trage WAN-verbinding, maar verbinding maken met internet via een verbinding met een hoge bandbreedte.

In dit geval synchroniseert de WSUS-hoofdserver met Microsoft Update en ontvangt u de metagegevens van de update. Nadat u de updates hebt goedgekeurd, downloaden de clientcomputers de goedgekeurde updates van Microsoft Update-servers.

1.4. WSUS-updatetalen kiezen

Wanneer u een WSUS-serverhiërarchie implementeert, moet u bepalen welke taalupdates vereist zijn in de hele organisatie. U moet de WSUS-hoofdserver configureren om updates te downloaden in alle talen die in de hele organisatie worden gebruikt.

Het hoofdkantoor vereist bijvoorbeeld mogelijk Engelse en Franse taalupdates, maar voor één filiaal zijn Engelse, Franse en Duitse taalupdates vereist, en voor een ander filiaal zijn Engelse en Spaanse taalupdates vereist. In deze situatie configureert u de WSUS-hoofdserver om updates te downloaden in het Engels, Frans, Duits en Spaans. Vervolgens configureert u de eerste WSUS-server van het filiaal om alleen updates in het Engels, Frans en Duits te downloaden en configureert u het tweede filiaal om updates alleen in het Engels en Spaans te downloaden.

Op de pagina Talen kiezen van de wizard WSUS-configuratie kunt u updates ophalen uit alle talen of uit een subset talen. Als u een subset talen selecteert, bespaart u schijfruimte, maar het is BELANGRIJK om alle talen te kiezen die nodig zijn voor alle downstreamservers en clientcomputers van een WSUS-server.

Hieronder vindt u enkele belangrijke opmerkingen over de updatetaal waarmee u rekening moet houden voordat u deze optie configureert:

• Neem altijd Engels op naast alle andere talen die nodig zijn in uw organisatie. Alle updates zijn gebaseerd op Engelse taalpakketten.
• Downstreamservers en clientcomputers ontvangen niet alle updates die ze nodig hebben als u niet alle benodigde talen voor de upstream-server hebt geselecteerd. Zorg ervoor dat u alle talen selecteert die nodig zijn voor alle clientcomputers die zijn gekoppeld aan alle downstreamservers.
• Over het algemeen moet u updates downloaden in alle talen op de WSUS-hoofdserver die wordt gesynchroniseerd met Microsoft Update. Deze selectie garandeert dat alle downstreamservers en clientcomputers updates ontvangen in de talen die ze nodig hebben.

Als u updates lokaal opslaat en u een WSUS-server hebt ingesteld om updates in een beperkt aantal talen te downloaden, ziet u mogelijk dat er andere talen zijn dan de updates die u hebt opgegeven. Veel updatebestanden zijn bundels van verschillende talen, waaronder ten minste één van de talen die op de server zijn opgegeven.

Upstream-servers

Updates worden weergegeven als Niet van toepassing op clientcomputers waarvoor de taal is vereist. Om dit te voorkomen, moet u ervoor zorgen dat alle talen van het besturingssysteem zijn opgenomen in de synchronisatieopties van uw WSUS-server. U kunt alle talen van het besturingssysteem zien door naar de computerweergave van de WSUS-beheerconsole te gaan en de computers te sorteren op taal van het besturingssysteem. Mogelijk wilt u echter meer talen opnemen als er Microsoft-toepassingen in meer dan één taal zijn (bijvoorbeeld als de Franse versie van Microsoft Word is geïnstalleerd op sommige computers die gebruikmaken van de Engelse versie van Windows.)

Het kiezen van talen voor een upstream-server is niet hetzelfde als het kiezen van talen voor een downstreamserver. In de volgende procedures worden de verschillen uitgelegd.

Updatetalen kiezen voor een server die wordt gesynchroniseerd vanuit Microsoft Update

1. In de wizard WSUS-configuratie:

   • Als u updates in alle talen wilt ophalen, selecteert u Updates downloaden in alle talen, inclusief nieuwe talen.
   • Als u updates alleen voor specifieke talen wilt ophalen, selecteert u Alleen updates downloaden in deze talen en selecteert u vervolgens de talen waarvoor u updates wilt.

Updatetalen voor een downstreamserver kiezen

1. Als de upstream-server is geconfigureerd voor het downloaden van updatebestanden in een subset van talen: selecteer in de wizard WSUS-configuratie alleen updates downloaden in deze talen (alleen talen die zijn gemarkeerd met een sterretje worden ondersteund door de upstream-server) en selecteer vervolgens de talen waarvoor u updates wilt.

   Note

   U moet dit doen, ook al wilt u dat de downstreamserver dezelfde talen downloadt als de upstream-server.

2. Als de upstream-server is geconfigureerd voor het downloaden van updatebestanden in alle talen: selecteer in de wizard WSUS-configuratie updates downloaden in alle talen die worden ondersteund door de upstream-server.

   Note

   U moet dit doen, ook al wilt u dat de downstreamserver dezelfde talen downloadt als de upstream-server. Deze instelling zorgt ervoor dat de upstream-server updates downloadt in alle talen, inclusief talen die oorspronkelijk niet zijn geconfigureerd voor de upstream-server. Als u talen toevoegt aan de upstream-server, moet u de nieuwe updates naar de replicaservers kopiëren.

   Als u taalopties op de upstream-server alleen wijzigt, kan dit leiden tot een niet-overeenkomend aantal updates dat is goedgekeurd op de centrale server en het aantal updates dat is goedgekeurd op de replicaservers.

1.5. WSUS-computergroepen plannen

MET WSUS kunt u updates richten op groepen clientcomputers, zodat u ervoor kunt zorgen dat specifieke computers altijd de juiste updates krijgen op de handigste momenten. Als bijvoorbeeld alle computers in één afdeling (zoals het accountingteam) een specifieke configuratie hebben, kunt u een groep voor dat team instellen, bepalen welke updates hun computers nodig hebben en hoe laat ze moeten worden geïnstalleerd en vervolgens WSUS-rapporten gebruiken om de updates voor het team te evalueren.

Computers worden altijd toegewezen aan de groep Alle computers en blijven toegewezen aan de groep Niet-toegewezen computers totdat u ze aan een andere groep toewijst. Computers kunnen tot meer dan één groep behoren.

Computergroepen kunnen worden ingesteld in hiërarchieën (bijvoorbeeld de groep Salarisadministratie en de groep Crediteuren onder de groep Boekhouding). Updates die zijn goedgekeurd voor een hogere groep, worden automatisch geïmplementeerd in lagere groepen, naast de hogere groep. In dit voorbeeld, als u Update1 goedkeurt voor de groep Boekhouding, wordt de update geïmplementeerd op alle computers in de groep Boekhouding, alle computers in de groep Salarisadministratie en alle computers in de groep Crediteurenadministratie.

Omdat computers kunnen worden toegewezen aan meerdere groepen, is het mogelijk dat één update meerdere keren wordt goedgekeurd voor dezelfde computer. De update wordt echter slechts eenmaal geïmplementeerd en eventuele conflicten worden opgelost door de WSUS-server. Om door te gaan met het vorige voorbeeld, als computerA is toegewezen aan de groep Salarisadministratie en de groep Crediteuren, en Update1 is goedgekeurd voor beide groepen, wordt deze slechts eenmaal geïmplementeerd.

U kunt computers toewijzen aan computergroepen met behulp van een van de twee methoden, servergerichte targeting of clientgerichte targeting. Hier volgen de definities voor elke methode:

• Doel aan de serverzijde: u wijst handmatig een of meer clientcomputers toe aan meerdere groepen tegelijk.
• Doel aan de clientzijde: U gebruikt Groepsbeleid of bewerkt de registerinstellingen op clientcomputers om deze computers in staat te stellen zichzelf automatisch toe te voegen aan de eerder gemaakte computergroepen.

Conflictresolutie

De server past de volgende regels toe om conflicten op te lossen en de resulterende actie op clients te bepalen:

1. Priority

2. Install/Uninstall

3. Deadline

Priority

De acties die zijn gekoppeld aan de groep met de hoogste prioriteit, overschrijven de acties van andere groepen. Hoe dieper een groep wordt weergegeven in de hiërarchie van groepen, hoe hoger de prioriteit ervan. Prioriteit wordt alleen toegewezen op basis van diepte; alle takken hebben gelijke prioriteit. Een groep die twee niveaus onder de vertakking Bureaubladen staat, heeft een hogere prioriteit dan een groep die één niveau onder de vertakking Servers staat.

In het volgende tekstvoorbeeld van het deelvenster Update Services-consolehiërarchie, voor een WSUS-server met de naam WSUS-01, zijn computergroepen met de naam Desktopcomputers en Server toegevoegd aan de standaardgroep Alle computers . Zowel de desktopcomputers als de servergroepen bevinden zich op hetzelfde hiërarchische niveau.

• Update Services
  • WSUS-01
    • Updates
    • Computers
      • Alle computers
        • Niet-toegewezen computers
        • Desktopcomputers
          • Desktops-L1
            • Desktops-L2
        • Servers
          • Servers-L1
    • Downstreamservers
    • Synchronizations
    • Reports
    • Options

In dit voorbeeld heeft de groep twee niveaus onder de vertakking Desktopcomputers (Desktops L2) een hogere prioriteit dan de groep één niveau onder de serverbranch (Servers L1). Voor een computer die lid is van zowel de Desktops-L2 als de Servers-L1 groepen, nemen alle acties voor de Desktops-L2 groep prioriteit boven acties die zijn opgegeven voor de Servers-L1 groep.

Prioriteit van installeren en verwijderen

Installatieacties overschrijven verwijderingsacties. Vereiste installaties overschrijven optionele installaties (optionele installaties zijn alleen beschikbaar via de API en het wijzigen van een goedkeuring voor een update met behulp van de WSUS-beheerconsole zal alle optionele goedkeuring wissen.)

Prioriteit van deadlines

Acties die een deadline hebben, overschrijven deze zonder deadline. Acties met eerdere deadlines overschrijven deze met latere deadlines.

1.6. Overwegingen voor WSUS-prestaties plannen

Er zijn enkele gebieden die u zorgvuldig moet plannen voordat u WSUS implementeert, zodat u de prestaties kunt optimaliseren. De belangrijkste gebieden zijn:

• Netwerkinstallatie
• Uitgestelde download
• Filters
• Installation
• Grote update-uitrolingen
• Achtergrond Intelligente Overdrachtsdienst (BITS)

Netwerkinstallatie

Houd rekening met de volgende suggesties om de prestaties in WSUS-netwerken te optimaliseren:

1. WSUS-netwerken instellen in een hub-and-spoke-topologie in plaats van in een hiërarchische topologie.

2. Gebruik DNS-netmaskervolgorde voor roamingclientcomputers en configureer roamingclientcomputers om updates te verkrijgen van de lokale WSUS-server.

Uitgestelde download

U kunt updates goedkeuren en de metagegevens van de update downloaden voordat u de updatebestanden downloadt. Deze methode wordt uitgestelde downloads genoemd. Wanneer u downloads uitstellen, wordt een update alleen gedownload nadat deze is goedgekeurd. U wordt aangeraden downloads uit te stellen omdat hiermee de netwerkbandbreedte en schijfruimte worden geoptimaliseerd.

In een hiërarchie van WSUS-servers stelt WSUS automatisch alle downstreamservers in voor het gebruik van de uitgestelde downloadinstelling van de WSUS-hoofdserver. U kunt deze standaardinstelling wijzigen. U kunt bijvoorbeeld een upstream-server configureren om volledige, onmiddellijke synchronisaties uit te voeren en vervolgens een downstreamserver te configureren om de downloads uit te stellen.

Als u een hiërarchie van verbonden WSUS-servers implementeert, raden we u aan de servers niet te veel te vernestelen. Als u uitgestelde downloads inschakelt en een downstreamserver een update aanvraagt die niet is goedgekeurd op de upstream-server, dwingt de aanvraag van de downstreamserver een download af op de upstream-server. De downstreamserver downloadt vervolgens de update tijdens een volgende synchronisatie. In een diepe hiërarchie van WSUS-servers kunnen vertragingen optreden wanneer er updates worden aangevraagd, gedownload en vervolgens doorgegeven via de serverhiërarchie. Uitgestelde downloads worden standaard ingeschakeld wanneer u updates lokaal opslaat. U kunt deze optie handmatig wijzigen.

Filters

Met WSUS kunt u updatesynchronisaties filteren op taal, product en classificatie. In een hiërarchie van WSUS-servers stelt WSUS automatisch alle downstreamservers in op de updatefilteropties die zijn geselecteerd op de WSUS-hoofdserver. U kunt downloadservers opnieuw configureren om alleen een subset van de talen te ontvangen.

De producten die moeten worden bijgewerkt, zijn standaard Windows en Office en de standaardclassificaties zijn essentiële updates, beveiligingsupdates en definitie-updates. Als u bandbreedte en schijfruimte wilt besparen, raden we u aan om talen te beperken tot talen die u daadwerkelijk gebruikt.

Installation

Updates bestaan doorgaans uit nieuwe versies van bestanden die al bestaan op de computer die wordt bijgewerkt. Op binair niveau verschillen deze bestaande bestanden mogelijk niet erg van bijgewerkte versies. De functie voor snelle installatiebestanden identificeert de exacte bytes tussen versies, maakt en distribueert alleen updates van deze verschillen en voegt vervolgens het bestaande bestand samen met de bijgewerkte bytes.

Deze functie wordt soms deltalevering genoemd omdat deze alleen de delta (verschil) downloadt tussen twee versies van een bestand. Snelle installatiebestanden zijn groter dan de updates die worden gedistribueerd naar clientcomputers, omdat het snelle installatiebestand alle mogelijke versies bevat van elk bestand dat moet worden bijgewerkt.

U kunt snelle installatiebestanden gebruiken om de bandbreedte te beperken die wordt gebruikt op het lokale netwerk, omdat WSUS alleen de delta verzendt die van toepassing is op een bepaalde versie van een bijgewerkt onderdeel. Dit komt echter ten koste van extra bandbreedte tussen uw WSUS-server, eventuele upstream WSUS-servers en Microsoft Update, en vereist extra lokale schijfruimte. WSUS maakt standaard geen gebruik van snelle installatiebestanden.

Niet alle updates zijn goede kandidaten voor distributie met behulp van snelle installatiebestanden. Als u deze optie selecteert, krijgt u snelle installatiebestanden voor alle updates. Als u updates niet lokaal opslaat, bepaalt de Windows Update-agent of u de snelle installatiebestanden of de distributies van volledige updates wilt downloaden.

Grote update-implementatie

Wanneer u grote updates (zoals servicepacks) implementeert, kunt u voorkomen dat het netwerk wordt gevuld met behulp van de volgende procedures:

1. Gebruik bandbreedtebeperking van Background Intelligent Transfer Service (BITS). BITS-bandbreedtebeperkingen kunnen worden beheerd door de tijd van de dag, maar ze zijn van toepassing op alle toepassingen die BITS gebruiken. Zie Groepsbeleid om te leren hoe BITS-throttling kan worden beheerd.

2. Gebruik de throttling-functie van Internet Information Services (IIS) om het beperken van één of meer webservices te beheren.

3. Computergroepen gebruiken om de implementatie te beheren. Een clientcomputer identificeert zichzelf als lid van een bepaalde computergroep wanneer deze informatie naar de WSUS-server verzendt. De WSUS-server gebruikt deze informatie om te bepalen welke updates op deze computer moeten worden geïmplementeerd. U kunt meerdere computergroepen instellen en grote servicepackdownloads opeenvolgend goedkeuren voor een subset van deze groepen.

Intelligente Achtergrondoverdracht Service

WSUS maakt gebruik van het BITS-protocol (Background Intelligent Transfer Service) voor alle bestandsoverdrachtstaken. Dit omvat downloads naar clientcomputers en serversynchronisaties. MET BITS kunnen programma's bestanden downloaden met behulp van reservebandbreedte. BITS onderhoudt bestandsoverdrachten tijdens netwerkonderbrekingen en het opnieuw opstarten van computers. Zie voor meer informatie: Background Intelligent Transfer Service.

1.7. Instellingen voor automatische updates plannen

U kunt een deadline opgeven voor het goedkeuren van updates op de WSUS-server. De deadline zorgt ervoor dat clientcomputers de update op een bepaald tijdstip installeren, maar er zijn verschillende situaties, afhankelijk van of de deadline is verlopen, of er andere updates in de wachtrij staan om de computer te installeren en of de update (of een andere update in de wachtrij) opnieuw moet worden opgestart.

Automatische updates pollt standaard elke 22 uur op de WSUS-server voor goedgekeurde updates min een willekeurige offset. Als er nieuwe updates moeten worden geïnstalleerd, worden ze gedownload. De tijd tussen elke detectiecyclus kan worden bewerkt van 1 tot 22 uur.

U kunt de meldingsopties als volgt bewerken:

1. Als Automatische updates is geconfigureerd om de gebruiker op de hoogte te stellen van updates die gereed zijn om te worden geïnstalleerd, wordt de melding verzonden naar het systeemlogboek en naar het systeemvak van de clientcomputer.

2. Wanneer een gebruiker met de juiste referenties het systeemvakpictogram selecteert, worden de beschikbare updates weergegeven die moeten worden geïnstalleerd. De gebruiker moet Installeren selecteren om de installatie te starten. Er wordt een bericht weergegeven als de update vereist dat de computer opnieuw wordt opgestart om de update te voltooien. Als opnieuw opstarten wordt aangevraagd, kunnen automatische updates geen extra updates detecteren totdat de computer opnieuw is opgestart.

Als Automatische updates is geconfigureerd voor het installeren van updates volgens een vast schema, worden toepasselijke updates gedownload en gemarkeerd als gereed om te installeren. Met automatische updates worden gebruikers met de juiste referenties op de hoogte gesteld met behulp van een systeemvakpictogram en wordt een gebeurtenis vastgelegd in het systeemlogboek.

Op de geplande dag en tijd installeert Automatische updates de update en start de computer opnieuw op (indien nodig), zelfs als er geen lokale beheerder is aangemeld. Als een lokale beheerder is aangemeld en de computer opnieuw moet worden opgestart, geeft Automatische updates een waarschuwing en een aftelling weer voor het opnieuw opstarten. Anders vindt de installatie plaats op de achtergrond.

Als de computer opnieuw moet worden opgestart en er een gebruiker is aangemeld, wordt een soortgelijk afteldialoogvenster weergegeven, dat de gebruiker waarschuwt voor de aanstaande herstart van de computer. U kunt computer opnieuw opstarten bewerken met Groepsbeleid.

Nadat de nieuwe updates zijn gedownload, controleert Automatische updates de WSUS-server voor de lijst met goedgekeurde pakketten om te bevestigen dat de pakketten die worden gedownload nog steeds geldig en goedgekeurd zijn. Dit betekent dat als een WSUS-beheerder updates verwijdert uit de lijst met goedgekeurde updates terwijl automatische updates updates downloadt, alleen de updates die nog worden goedgekeurd, daadwerkelijk zijn geïnstalleerd.

Volgende stap