Die Verwaltung von Updates mit WSUS kann manchmal mühsam sein, insbesondere wenn man manuell entscheiden muss, welche Updates installiert werden sollen und welche zurückgehalten werden sollen. Vielleicht sind Sie auch schon auf Probleme gestoßen, bei denen zwar Updates genehmigt wurden, diese aber anschließend Schwierigkeiten verursachen. In diesem Fall benötigen Sie eine Möglichkeit, diese sauber abzulehnen oder zu entfernen. Wenn Sie sich in dieser Situation befinden, könnte das Verständnis der Konfiguration von Zielgruppen und die Verwendung von PowerShell zur Automatisierung genau das Richtige für Sie sein. Es ist eine Mischung aus manuellen Schritten und Skripten, was sich anfangs etwas ungewohnt anfühlt, aber nach kurzer Einarbeitungszeit gut funktioniert. Rechnen Sie mit etwas Ausprobieren, Fehlern und vielleicht dem einen oder anderen Neustart – aber die Kontrolle, die Sie dadurch gewinnen, lohnt sich. Außerdem erspart Ihnen die Automatisierung von Genehmigungen nach der Ersteinrichtung die ständige Klickerei.
So beheben Sie häufige Probleme bei der WSUS-Updategenehmigung – Schritt für Schritt
Konfigurieren von Zielcomputergruppen in WSUS
Dies ist die Grundlage für ein effizientes Update-Management. Durch die vorläufige Zuordnung von Computern zu Gruppen legen Sie fest, welche Computer zuerst Patches erhalten, welche übersprungen werden und wann die Produktivumgebung erreicht wird.Üblicherweise unterteilen Sie Ihre Umgebung in Test- und Produktionsgruppen, z. B.Test_Srv_WSUS, Test_Wks_WSUS usw.Öffnen Sie auf Ihrem Windows Server die WSUS-Konsole und navigieren Sie zu Computer > Alle Computer.
Dort können Sie Gruppen direkt erstellen oder die clientseitige Zielgruppenansprache per Gruppenrichtlinie aktivieren, falls sich Clients anhand Ihrer Regeln automatisch Gruppen zuweisen sollen. Pfad zur Gruppenrichtlinie: Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Windows Update > Zielgruppenansprache. Aktivieren Sie dort die clientseitige Zielgruppenansprache und geben Sie den Gruppennamen an. Das ist sehr praktisch, da es die Einrichtung vereinfacht – nach der ersten Konfiguration sind keine manuellen Aktualisierungen mehr erforderlich.
Wie kann man Updates in WSUS manuell genehmigen und bereitstellen?
Die gute alte manuelle Genehmigung: nicht gerade schnell, aber man sieht zumindest, was wann installiert wird. In der WSUS-Konsole finden Sie unter „Updates “ eine Übersicht, unterteilt in Abschnitte wie „Alle Updates“, „Kritische Updates “ und „Sicherheitsupdates“. Möchten Sie Updates genehmigen? Suchen Sie nach KB-Nummer oder filtern Sie nach Datum.
- Wenden Sie einen Filter an, um
Approval=Unapprovedausstehende Aktualisierungen anzuzeigen. - Klicken Sie mit der rechten Maustaste auf ein Update und wählen Sie dann Genehmigen.
- Wählen Sie die gewünschte Gruppe aus – beispielsweise Test_Srv_WSUS – und klicken Sie auf „Zur Installation genehmigen“.
Für mich ist das ziemlich mühsam, besonders bei Dutzenden oder Hunderten von Aktualisierungen. Mit Strg+Klick oder Umschalt+Klick lassen sich zwar mehrere gleichzeitig auswählen, aber es bleibt trotzdem eine manuelle Angelegenheit. Nach der Genehmigung erscheint eine Bestätigungsmeldung mit dem Ergebnis: Erfolgreich. Ja, es ist ein einfacher Prozess, aber etwas langsam, wenn man viele Änderungen genehmigen muss.
Bei manchen Konfigurationen kann dies etwas unzuverlässig sein – das Genehmigungsfenster zeigt manchmal fehlerhafte Darstellungen an oder benötigt etwas Zeit, um die Änderungen zu übernehmen. Geduld oder eine kurze Aktualisierung können hier Abhilfe schaffen. Sobald der Vorgang abgeschlossen ist, werden die Zielgeräte die Aktualisierungen gemäß ihrem Synchronisierungsplan übernehmen.
So richten Sie automatische Update-Genehmigungsregeln in WSUS ein
Wenn Ihnen manuelle Bearbeitung nicht zusagt (und ehrlich gesagt, sollte sie das wahrscheinlich auch nicht), ist die automatische Genehmigung die beste Lösung. Sie verkürzt Wartezeiten und verringert das Risiko, eine Genehmigung zu vergessen. Gehen Sie in der Konsole zu Optionen > Automatische Genehmigungen. Die Standardregel ist deaktiviert und nicht besonders intelligent. Klicken Sie daher auf „Neue Regel“, um Ihre eigene zu erstellen.
- Wählen Sie aus, welche Art von Updates automatisch genehmigt werden sollen – z. B.kritische Updates, Sicherheitsupdates oder Definitionsupdates.
- Wählen Sie die Zielgruppe aus – vielleicht jetzt Ihre Test_Srv_WSUS- Gruppe und erweitern Sie diese dann auf die Produktionsgruppe, sobald sie stabil ist.
- Setzen Sie eine Frist, wenn Sie Updates auf die Clients erzwingen möchten – manchmal notwendig für kritische Patches, aber achten Sie auf unbeabsichtigte Neustarts.
- Aktivieren Sie auf der Registerkarte „Erweitert“ die Optionen zur automatischen Genehmigung von Updates für WSUS selbst sowie für alle von Microsoft signierten Updates, deren Erscheinungsbild oder Klassifizierung sich später ändern könnte.
Diese Konfiguration wird üblicherweise am zweiten Dienstag im Monat aktiviert, wenn Updates in der Regel ausgerollt werden. Sie können sie bei Bedarf aber auch später manuell mit PowerShell auslösen. Normalerweise bedeutet dies lediglich, dass Updates genehmigt und bereitgestellt werden, und Ihre Benutzer werden es kaum bemerken. Beachten Sie jedoch, dass eine höhere Synchronisierungsfrequenz oder die manuelle Auslösung von Updates mit PowerShell den Prozess beschleunigen kann, insbesondere in großen Umgebungen.
Ablehnen und Entfernen fehlerhafter Updates
Manchmal verursacht ein Update mehr Probleme als es nützt. Um das zu beheben, suchen Sie das problematische Update in der Konsole, klicken Sie mit der rechten Maustaste darauf und wählen Sie „ Ablehnen “.Das ist so, als würden Sie WSUS anweisen: „Hey, installiere das nicht mehr.“ Wählen Sie anschließend die entsprechende Zielgruppe aus und klicken Sie auf „ Zur Entfernung freigegeben “.Nach kurzer Wartezeit weist WSUS die Clients an, das Update zu deinstallieren oder zu ignorieren – eine echte Rettung, wenn etwas schiefgeht.
WSUS-Updates mit PowerShell genehmigen – weil die grafische Oberfläche manchmal nicht schnell genug ist.
Wenn Ihnen das Klicken zu umständlich erscheint oder Ihre Installation sehr umfangreich ist, kann PowerShell die Hauptarbeit übernehmen. Stellen Sie eine Verbindung zu Ihrem WSUS-Server her mit:
$WsusServerFqdn='mont-wsus.woshub.com' [void][reflection.assembly]::LoadWithPartialName("Microsoft. UpdateServices. Administration") $wsus = [Microsoft. UpdateServices. Administration. AdminProxy]::getUpdateServer($WsusServerFqdn, $False, '8530')
Sobald die Verbindung hergestellt ist, können Sie Befehle wie die folgenden ausführen:
$wsus. GetSubscription().StartSynchronization(); Um Aktualisierungen zu synchronisieren oder Gruppen aufzulisten, verwenden Sie: $wsus. GetComputerTargetGroups(). Um Aktualisierungen für eine bestimmte Gruppe zu genehmigen, rufen Sie deren Objekt ab, z. B.
$group = $wsus. GetComputerTargetGroups() | ? {$_. Name -eq "Test_WKS_WSUS"} und anschließend Aktualisierungen genehmigen, etwa so:
$updates = $wsus. GetUpdates() | ? {($_. CreationDate -gt "6/1/2022" -and $_. CreationDate -lt "7/1/2022" -and $_. Title -notmatch ".net Framework" -and $_. PublicationState -ne "Expired") -and ($_. ProductFamilyTitles -eq "Windows" -or $_. ProductFamilyTitles -eq "Office") -and ($_. UpdateClassificationTitle -eq "Security Updates" -or $_. UpdateClassificationTitle -eq "Critical Updates")} foreach ($update in $updates) { $update. Approve("Install", $group) }
Es erfordert etwas Einarbeitungszeit, aber wenn Automatisierung Ihr Ding ist, wird die Skripterstellung für die Genehmigung mehrerer Aktualisierungen in mehreren Gruppen alles verändern. Noch besser: Sie können dies mit Skripten erweitern, um Aktualisierungen regelmäßig zu synchronisieren, zu genehmigen oder abzulehnen – basierend auf Ihren Kriterien.
Genehmigte Updates zwischen WSUS-Gruppen kopieren – weil manuelles Drag & Drop einfach nur nervt
Leider gibt es in der Konsole keine integrierte Option, um genehmigte Updates direkt zwischen Gruppen zu kopieren. Normalerweise bleibt einem nichts anderes übrig, als jedes genehmigte Update manuell zu suchen und für die neue Gruppe zu genehmigen. Das ist mühsam, besonders bei Dutzenden von Updates.
Hier ist ein kleines, cleveres PowerShell-Snippet, das ich schnell zusammengestellt habe, um diesen Schritt zu automatisieren. Es scannt genehmigte Updates in einer Gruppe und genehmigt dann dieselben Updates in einer anderen Gruppe:
$WsusServerFqdn='mont-wsus.woshub.com' $WsusSourceGroup = 'Workstation_Test' $WsusTargetGroup = 'WorkstationProduction' [void][reflection.assembly]::LoadWithPartialName("Microsoft. UpdateServices. Administration") $wsus = [Microsoft. UpdateServices. Administration. AdminProxy]::getUpdateServer($WsusServerFqdn, $False, '8530') $Groups = $wsus. GetComputerTargetGroups() $WsusSourceGroupObj = $Groups | Where {$_. Name -eq $WsusSourceGroup} $WsusTargetGroupObj = $Groups | Where {$_. Name -eq $WsusTargetGroup} $Updates = $wsus. GetUpdates() $i = 0 ForEach ($Update in $Updates) { if ($Update. GetUpdateApprovals($WsusSourceGroupObj).Count -ne 0 -and $Update. GetUpdateApprovals($WsusTargetGroupObj).Count -eq 0) { $i ++ Write-Host ("Approving " + $Update. Title) $Update. Approve('Install', $WsusTargetGroupObj) | Out-Null } } Write-Output ("Approved {0} updates for target group {1}" -f $i, $WsusTargetGroup) Es ist noch etwas unfertig, spart aber viel Zeit. Einfach die Gruppennamen anpassen, nach der Testphase ausführen, und fertig. Genehmigungen werden direkt in PowerShell protokolliert, oder Sie können die Ausgabe zur Dokumentation in eine Textdatei umleiten.
Hoffentlich vereinfacht dies die WSUS-Updateverwaltung etwas. Manchmal ist der Einsatz von Skripten und Automatisierung die beste Lösung, insbesondere in größeren Umgebungen mit Hunderten von Geräten. Ich drücke die Daumen, dass dies jemandem ein paar Stunden oder Ärger erspart.