Windows Server Update Service der GWDG

Um das Betriebssystem Windows und die Office-Produkte auf dem aktuellen Stand zu halten, ist es erforderlich, die regelmäßig von Microsoft bereitgestellten Korrekturen, auch Patches genannt, einzufahren. Die GWDG betreibt hierfür einen WSUS-Server, der die Korrekturen vorsortiert seinen Kunden zur Verfügung stellt.

Dieser Server zielt im Wesentlichen auf die Windows-Systeme in den Instituten und dient zudem als Upstream-Server für die verschiedenen institutsinternen WSUS-Server (Downstream-Server, Port 80). Daher bietet er ein auf dieses Klientel abgestimmtes Sortiment an. Heimische PCs sollten stattdessen den Windows Update Service (über die Aktivierung der automatischen Update-Funktion) von Microsoft nutzen, da dieser ein umfangreicheres Angebot an Updates bereitstellt.

Konfiguration für Windows

Um Windows (keine Home-Versionen!) auf den WSUS-Server auszurichten, startet man unter einem Benutzeraccount mit administrativen Rechten den Editor für die Gruppenrichtlinien: „gpedit.msc“.

Dort findet sich links unter Computerkonfiguration > Administrativen Vorlagen > Windows-Komponenten der Eintrag Windows Update, worüber der automatische Update-Prozess detailliert konfiguriert werden kann.

Hervorzuheben sind hierbei die folgenden Einträge in der rechten Spalte:

Interne Pfad für den Microsoft Updatedienst angeben“ sowie „Internetserver für die Statistik“: hier wird der Server bestimmt, von dem das Update bezogen werden soll. Seine Adresse lautet:

http://sus.gwdg.de

Da ein wesentlicher Grund für den Einsatz des WSUS-Servers die unterschiedlichen Zielgruppen sind, für die er eine jeweils eigene Zusammenstellung von Patches vorhält, ist weiterhin die Angabe der gewünschten Zielgruppe sinnvoll. Das geschieht über die Richtlinie „Clientseitige Zielzuordnung aktivieren“.

Derzeit stehen unter Anderem die folgenden Clientseitige Zielzuordnung zur Verfügung:
gwdg: Zusammenstellung wie auf GWDG-SEC-Mailingliste angekündigt, allerdings ohne Service Packs, Funktionsupdates (Windows 10) und ohne den IE
Server-All, ServerNOSPs,AD-Test: spezielle Zielgruppen für das AD-Umfeld
mpg-verwaltung, mpgv-test: spezielle Zielgruppen für die MPG-Verwaltung

Wurden die gewünschten Einträge in den Richtlinien vorgenommen, werden sie sich erst dann auswirken können, wenn der automatische Update-Dienst in „services.msc“ neu gestartet wurde.