Eerlijk gezegd kan het beheren van updates via WSUS soms best lastig zijn, vooral als je die obscure patches nodig hebt die er niet standaard in staan. Niet alle updates komen in de WSUS-catalogus terecht, en als je te maken hebt met specifieke patches – zoals KB3125574 voor het oplossen van een hoog RAM-gebruik – zul je ze waarschijnlijk handmatig moeten importeren. Het is niet altijd zo simpel als op een knop klikken, vooral als je bepaalde updatecategorieën hebt uitgeschakeld of de synchronisatie voor specifieke producten hebt gedeactiveerd. Deze handleiding laat je daarom zien hoe je handmatig updates vanuit de Microsoft Update Catalog aan WSUS of zelfs SCCM kunt toevoegen, of je dat nu via Internet Explorer of PowerShell doet. Want waarom geen opties? Verwacht wat vallen en opstaan, vooral met machtigingen of browserproblemen, maar je krijgt in ieder geval wat je nodig hebt zonder gefrustreerd te raken.
Hoe los je problemen op met het importeren van WSUS-updates en hoe voeg je updates handmatig toe?
Updates handmatig importeren in WSUS met Internet Explorer
- Open eerst uw WSUS- console; deze vindt u meestal via de Beheerhulpmiddelen of rechtstreeks op de server. Klik vervolgens met de rechtermuisknop op het gedeelte Updates en selecteer Updates importeren. Het lijkt eenvoudig, maar let op: Internet Explorer wordt geopend en gaat automatisch naar de Microsoft Update Catalog. Hier kan het misgaan als de beveiligingsinstellingen of ActiveX-besturingselementen van uw browser problemen veroorzaken.
- Wanneer Internet Explorer voor het eerst de updatecatalogus opent, kan het vragen om een speciaal ActiveX-besturingselement te installeren dat nodig is om met de catalogus te communiceren. Dat is een beetje vreemd, maar zo heeft Microsoft bepaalde onderdelen afgeschermd. Om dit probleem op te lossen, is het raadzaam de catalogussite toe te voegen aan uw vertrouwde sites: ga naar Internetopties > Beveiliging > Vertrouwde sites. Voer vervolgens deze opdracht uit in een
cmdopdrachtprompt met beheerdersrechten of in PowerShell om de ActiveX-DLL te registreren:regsvr32 c:\Windows\SysWOW64\MicrosoftUpdateCatalogWebControl.dll. Die DLL registreert zichzelf niet, dus doe dat eerst. Dit kan helpen om browserblokkeringen of fouten tijdens het importproces te voorkomen. - Zoek vervolgens naar de gewenste KB, bijvoorbeeld KB3125574. Voeg deze toe door op ‘Toevoegen’ te klikken. Het is meestal beter om niet meer dan 20-30 updates tegelijk toe te voegen; het importeren van tientallen updates kan fouten of time-outs veroorzaken. Zodra u alles hebt toegevoegd wat u nodig hebt, klikt u op ‘ Winkelmand bekijken’.
- Zorg ervoor dat het selectievakje ‘ Rechtstreeks importeren in Windows Server Update Services’ is aangevinkt. Als dit ontbreekt, controleer dan of u Internet Explorer als beheerder uitvoert – zonder uitzonderingen. Klik op ‘Importeren’ en wacht. Als de download vastloopt of een foutmelding geeft, kan het soms helpen om de browser opnieuw op te starten of de cache van Internet Explorer te wissen.
- Nadat het importeren is voltooid, ga je terug naar je WSUS-console en zoek je de geïmporteerde updates onder ‘ Alle updates’. Je moet ze goedkeuren voor implementatie, bij voorkeur via je groepsbeleidsobject (GPO) voor een gerichte uitrol (omdat het handmatig aanklikken van tientallen machines een nachtmerrie is).
Kort gezegd maakt deze methode het mogelijk om vrijwel elke update uit de Microsoft-catalogus te downloaden, inclusief stuurprogramma’s, servicepacks en functiepakketten. Wees wel voorbereid op wat gedoe met ActiveX-prompts en beveiligingsinstellingen, vooral op nieuwere systemen waar Internet Explorer niet langer de standaardbrowser is.
Fouten verhelpen bij het importeren van updates en stuurprogramma’s in WSUS
Als er fouten optreden tijdens het importeren, met name op WSUS dat draait op Windows Server 2019 of 2016, ziet u mogelijk de gebruikelijke melding ‘Deze update kan niet worden geïmporteerd’, met als reden een incompatibiliteitsprobleem. Meestal komt dit doordat de URL-syntaxis van de catalogus niet klopt. In dat geval moet u de URL die wordt gegenereerd na het klikken op ‘Updates importeren’ handmatig aanpassen.
U zult bijvoorbeeld merken dat de URL een gedeelte bevat zoals Protocol=1.20. Wijzig dit in Protocol=1.80. Het klinkt misschien vreemd, maar deze aanpassing dwingt WSUS om een compatibele protocolversie te gebruiken. De volledige URL zou er ongeveer zo uit moeten zien: http://catalog.update.microsoft.com/v7/site/Home.aspx?SKU=WSUS&Version=10.0.14393.2248&ServerName=yourwsushost&PortNumber=8530&Ssl=False&Protocol=1.80. Kopieer en plak deze in uw browser en kijk of de pagina probleemloos laadt.
Als je tijdens het importeren fouten krijgt zoals foutnummer 80131509, komt dat meestal doordat je server niet is geconfigureerd voor TLS 1.2, wat tegenwoordig min of meer verplicht is. Om dit op te lossen, voer je de volgende opdracht uit in een opdrachtprompt met beheerdersrechten cmdof in PowerShell :
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1 /FDit maakt TLS 1.2-ondersteuning voor. NET Framework 4.0 mogelijk. Start daarna de server of in ieder geval de WSUS-service opnieuw op, en de import zou soepeler moeten verlopen. Want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig.
Updates handmatig toevoegen aan WSUS met PowerShell
Een van de meest flexibele opties is het gebruik van PowerShell, vooral als u updates wilt automatiseren of in batches wilt toevoegen. Zoek eerst de gewenste KB in de WSUS-console en klik er vervolgens op om een URL naar de informatiepagina van de update te verkrijgen. De URL bevat de GUID van de update, die u nodig hebt voor PowerShell.
Download het MSU-updatebestand dat bij die KB hoort (zoals kb5005260.msu) naar een locatie op uw server of werkstation.
Vervolgens maakt u vanuit PowerShell verbinding met uw WSUS-server. Als u het script rechtstreeks op de WSUS-server uitvoert, is het eenvoudig:
$WsusSrv = Get-WsusServerAls u op afstand verbinding maakt, voeg dan de naam en poort van de server toe:
$WsusSrv = Get-WsusServer -Name mun-wsus1 -PortNumber 8531 –UseSslGebruik vervolgens de importopdracht met de GUID en het pad van de update:
$WsusSrv. ImportUpdateFromCatalogSite('a5e40bf9-f1dc-4e6d-93e7-b62c6bf1ce3e', 'C:\Downloads\Updates\kb5005260.msu')Als die opdracht een verbindingsfout geeft, komt dat waarschijnlijk doordat PowerShell (of uw server) probeert TLS 1.0 te gebruiken, wat verouderd is. Voer in dat geval nogmaals de registeraanpassing uit (zie hierboven) om TLS 1.2-ondersteuning in te schakelen en herstart alles.
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1 /FAls dat gedaan is, zou de import moeten werken en kunt u controleren of de update is toegevoegd door het KB-nummer ervan op te zoeken met:
$WsusSrv. SearchUpdates('kb5005260') | fl *Eerlijk gezegd kan het instellen hiervan een beetje aanvoelen als een gevecht met Windows zelf, maar als het eenmaal werkt, gaat het vrij soepel. Weer een reden waarom Mac-gebruikers denken dat Windows-beheerders masochisten zijn, toch?
Samenvatting
- Handmatig importeren vanuit de Microsoft-catalogus via IE, waarbij ActiveX-besturingselementen indien nodig worden geregistreerd.
- Corrigeer de URL-protocolversies om fouten in nieuwere WSUS-installaties te voorkomen.
- Schakel TLS 1.2-ondersteuning in met een snelle registeraanpassing wanneer u verbindingsproblemen ondervindt.
- PowerShell-methoden voor bulk- of geautomatiseerde updates, maar vereisen wel een correcte afhandeling van verbindingsprotocollen.
Samenvatting
Het is niet altijd even makkelijk om aangepaste updates in WSUS te krijgen, vooral niet bij nieuwere Windows Server-versies of vreemde updatefouten. Soms moet je gewoon handmatig inloggen en URL’s of registerinstellingen aanpassen om die problemen op te lossen. Het is een beetje vervelend, maar als alles eenmaal goed staat, is het installeren van patches die niet in de repository staan een fluitje van een cent. Ik hoop dat dit iemand een paar uur aan frustratie bespaart. Succes!