MS SUS (old) | Campussoftware | Zentraler Informatikdienst

Zentraler Informatikdienst der TU Wien
Microsoft System Update Server der TU Wien
Bedingt durch zunehmende Attacken auf Microsoft Betriebssysteme ist eine umgehende Reaktion seitens der lokalen
Systemadministration erforderlich. Das Einspielen der neuesten von Microsoft aufgelegten Systempatches gestaltet
sich dabei insofern als automatisierungsbedürftig, da einerseits der zum Lokalisieren und Installieren der Updates
zuständige 'Windows Automatic Update Client' (in weiterer Folge als AU-Client bezeichnet - eine genaue Beschreibung
von Wirkungsweise und Konfigurationsmöglichkeiten finden Sie in den Knowledgebase-Artikeln 294871 bzw. 327838
von Microsoft), bei Erstinstallation entsprechend konfiguriert werden muss. Andererseits legt eine Minimierung der
Downloadzeiten und der externen Bandbreite den Gedanken nahe, die entsprechenden Sicherheitsupdates auf einem
vom ZID betriebenen Server zentral abzulegen und dem Campus zugänglich zu machen.
Nach Hinzufügen der entprechenden Einträge in der hier dargelegten Weise wird Ihr System automatisch auf dem
letzten Stand gehalten.
Ziel ist demnach, den lokal unter dem Namen 'Automatic Updates' laufenden Dienst ('wuauserv') Ihres Systems durch
diese Einträge zu instruieren, seine Updates nicht mehr von den zunehmend ausgelasteten Microsoft-Servern, sondern
von einem TU-internen Server zu beziehen. Minimalanforderung an den zu wartenden Client-Rechner (also an Ihren
Computer) ist, dass dieser mit XP, 2000 Professional/Server/Advanced Server oder Server 2003 betrieben wird, unter
Umständen kann zusätzlich die Installation eines entsprechenden Service Packs notwendig sein.
Seit Anfang April 2003 übernimmt der Server msus.tuwien.ac.at ebendie Aufgabe der Synchronisierung mit den
Microsoft-Servern sowie die Distribution der kritischen Patches und Service-Packs an TU-interne Clients
(Treiberupdates werden dabei nicht unterstützt). Ein serverseitiger Abgleich mit Microsoft wird zum gegenwärtigen
Zeitpunkt jeweils täglich um 03:00 Uhr durchgeführt, sodass ein Patch der Client-Rechner innerhalb der folgenden 24
Stunden sichergestellt werden kann. Realisiert wird die Funktionalität durch eine dort installierte Software namens
'Microsoft System Update Server (SUS 1.0 + SP1)'.
Im Übrigen bleibt die Funktionalität des über den Menüpunkt Start - Windows Update anwählbaren Windows Update
Managers von den Modifikationen unbeeinträchtigt, Sie sollten Ihren Rechner unabhängig davon periodisch auf
allfällige Neuerungen (etwa Treiberupdates) von Microsoft überprüfen lassen und am letzten Stand halten.
MSUS - XP/2000/2003
Downloads:
SUS-TU.exe Registry Patch
WUAU22-DE
WUAU22-EN
2K-SP4-DE
XP-SP2-DE
XP-SP2-EN
AU.bat Batch-Wartungsfile
2K-SP4-EN
2K3-SP1-DE (x86)
2K3-SP1-EN (x86)
Erforderliche Modifikationen
Es gibt verschiedene Möglichkeiten, den AU-Client (Ihr System) auf den TU-Server umzustellen. Bewährt hat sich die
Methode über entsprechende Einträge in der Windows-Registry, prinzipiell können die unten dargelegten
Einstellungen aber auch über die Automatischen Updates in den Systemeigenschaften oder über Konfiguration der
http://www.zid.tuwien.ac.at/campussoftware/microsoft_produkte/ms_system_update_server/ms_sus_old/?
filename=MS%20SUS%20(old).pdf
20 Jan 2017 21:42:30
1/4
lokalen Gruppenrichtlinien mittels 'gpedit.msc' realisiert werden. Letzteres sollten aber nur erfahrene Benutzer
durchführen, Dokumentationen und Anleitungen dazu findet der Interessierte im Abschnitt Weitere Informationen.
Zum Modifizieren der Registry (Administratorrechte notwendig) speichern Sie zunächst die Datei SUS-TU.exe (durch
Anklicken) lokal auf den in Frage kommenden Rechner. Per Doppelklick auf die Datei aus dem Explorer heraus
entpackten Sie nun die Registrierungsdatei 'SUS-TU.reg'.
Alternativ dazu können auch durch Abspeichern und Ausführen von Punkt 3 des Wartungsprogrammes AU.bat (im
Downloadfile sind die für Windows 2000/2003 benötigten Tools 'tlist' und 'reg' inkludiert; Administratorrechte
erforderlich) die Default-Einstellungen gesetzt werden. Zudem ist zusätzlich die Anzeige einiger Werte und der Anstoss
eines Abgleiches
Zum besseren Verständnis der Registry-Einträge bzw. zum Anpassen der jeweiligen Optionen auf Ihre speziellen
Bedürfnisse lesen Sie bitte, bevor Sie fortfahren, den Abschnitt über die Konfigurationsoptionen.
Konfigurationsoptionen
Durch rechten Mausklick auf die Datei 'SUS-TU.reg' und Auswahl des Menüpunktes 'Bearbeiten' wird die Datei geöffnet
und einer Modifikation zugänglich. Der erste Abschnitt verweist auf den TU-Updateserver selbst und sollte nicht
verändert werden. Selbiges gilt für die letzten beiden Abschnitte, die für ein etwaiges Update des AU-Clients selbst
zuständig sind. Von Interesse sind die Parameter im Abschnitt
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
Die Einträge können verändert werden und bedeuten (Dezimalwerte, Standardauswahl in 'regedit' sind Hexwerte)
Folgendes:
REG DWORD
Default
Wertebereich Bedeutung
NoAutoUpdate
00000000
00000000
00000001
AUOptions
00000002
00000004 00000003
00000004
ScheduledInstallDay
00000000
0000000000000007
0: täglich 1: Sonntag 2: Montag ... 6: Freitag 7:
Samstag
ScheduledInstallTime
00000005
0000000000000023
Zeit der lokalen Installation: 00-23 Uhr
RescheduleWaitTime
00000003
0000000100000060
Rücksetzen der Installationszeit in Minuten (z.B. bei
ausgeschaltetem Rechner)
NoAutoRebootWithLoggedOnUsers 00000001
00000000
00000001
Berücksichtigt und verständigt eventuell eingeloggte
User
UseWUServer
00000000
00000001
0: Microsoft Update Server
1: Server laut Eintrag im ersten Abschnitt
("WUServer=")
00000001
0: Der Update Agent läuft
1: Der Update Agent ist deaktiviert
2: Verständigung bei Download und Installation
(manuell)
3: Automatischer DL, manuelle Inst.
4: Automatischer DL, autom. Inst.
Vergessen Sie nicht, die modifizierte Datei vor dem Ausführen abzuspeichern!
AUOptions=3 bewirkt einen automatisierten Download verfügbarer Updates, die Installation der Patches erfolgt jedoch
erst, wenn ein Benutzer mit Administratorrechten eingeloggt ist. Für Administratoren besteht nach der Benachrichtigung
weiters die Möglichkeit, die Installation auf einen späteren Zeitpunkt zu verschieben bzw. können über den Schalter
'Details' spezielle Patches zur Installation ausgewählt werden.
Soll das System vollautomatisch auf dem neuesten Stand gehalten werden (jetzt die neue Default-Einstellung), so ist
der Key 'AUOptions' mit Hilfe des Registrierungs-Editors (siehe unten) manuell auf '4' zu setzen - dieser Eintrag taucht
in der Registry ein weiteres Mal auf, überprüfen und ändern Sie beide REG_DWORD-Werte in den Verzeichnissen
http://www.zid.tuwien.ac.at/campussoftware/microsoft_produkte/ms_system_update_server/ms_sus_old/?
filename=MS%20SUS%20(old).pdf
20 Jan 2017 21:42:30
2/4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
Diese Setzungen haben zur Folge, dass auch die Installationen automatisch durchgeführt werden, bei notwendigem
Systemneustart weden eventuell eingeloggte Benutzer vor dem Reboot verständigt und aufgefordert, Ihre Daten zu
sichern. Ein Neustart erfolgt erst, wenn sämtliche eingeloggten Benutzer die Rebootmeldung mit 'OK' zur Kenntnis
genommen haben, Benutzer mit Administratorrechten haben auch hier wieder zusätzlich die Möglichkeit, den Upgrade
des Systems aufzuschieben. Von Vorteil ist, dass keine weiteren Aktionen seitens des lokalen Systemadministrators
mehr notwendig sind.
Rückgängigmachen der Registry-Einträge
Bei sämtlichen vorgenommenen Veränderungen handelt es sich um Neueinträge in die Windows-Registry. Sie können
daher den ursprünglichen Zustand Ihres Systems gefahrlos durch Löschen der Verzeichnisse
'WindowsUpdate' im Baum
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows]
und 'Critical Update' in
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate]
mit Hilfe des Registrierungs-Editors (aufzurufen über Start-Ausführen-regedit) wiederherstellen. Alternativ dazu bewirkt
die Setzung "UseWuServer=0" und erneutes Ausführen der in dieser Form veränderten Datei 'SUS-TU.reg' einen Zugriff
auf die Microsoft-Server.
Das Update-Service kann auch über die Verwaltung unter 'Dienste' gestoppt und deaktiviert werden, wieder bleibt die
manuelle Update-Funktion (Start - Windows Update) davon unbeeinträchtigt.
Troubleshooting
Microsoft garantiert die Funktionalität für XP und Windows 2000 (Professional, Server und Advanced Server), im Falle
von Windows 2000 jedoch erst ab Service Pack 3. Somit erklärt sich der vierte Abschnitt im File 'SUS-TU.reg', der
gegebenenfalls ein Update des Update-Agents bewirken soll und eine Lauffähigkeit auch für SP2-Systeme erzielt
werden kann (Pre-SP2-Systeme sollten aus Sicherheitsgründen prinzipiell vorher auf SP3 hochgezogen werden). Bei
Problemen in diesem Zusammenhang überprüfen Sie bitte die Versionsnummer Ihres AU-Clients (Sie sollte nach
Microsoft 5.4.3626.2 oder höher sein):
1. Start-Ausführen- %windir%\system32\
2. Rechter Mausklick-Eigenschaften auf die Datei Wuaueng.dll
3. Registerkarte Version
Bei Versionskonflikten sollten Sie den AU-Client (unter Beachtung der Systemsprache) updaten:
Deutscher Client (WUAU22Ger) - Englischer Client (WUAU22)
Es ist außerdem möglich, dass der automatische Update-Dienst nicht auf Ihrem System läuft, da er nicht installiert
wurde (in diesem Fall fehlt die Datei 'Wuaueng.dll' - installieren Sie einen der obigen Clients) oder beim Hochfahren
des Systems nicht automatisch gestartet wurde (eine Liste der Dienste und deren Status finden Sie über den Punkt
'Verwaltung' in der Systemsteuerung bzw. speziell das Update-Service mit Punkt 1 aus AU.bat).
In dem im Windows-Verzeichnis Ihres Systems abgelegten Logfile 'Windows Update.log' sind im übrigen alle
durchgeführten Aktionen mitprotokolliert. Da Treiberupdates und andere, 'weniger kritische' Updates nicht vom TUServer unterstützt werden, erklärt sich eine etwaige Fehlermeldung im Logfile - das Verzeichnis '/autoupdatedrivers' ist
nicht verfügbar.
Bei deaktivierter Systemwiederherstellung sind zudem Fehlermeldungen der Bauart "Error IUENGINE Install Set
Restore Point (Error 0x00000422)" zu erwarten und ebenfalls zu ignorieren.
http://www.zid.tuwien.ac.at/campussoftware/microsoft_produkte/ms_system_update_server/ms_sus_old/?
filename=MS%20SUS%20(old).pdf
20 Jan 2017 21:42:30
3/4
Testen der automatischen Updatefunktion
Im laufenden Betrieb bei täglicher Updateoption erfolgen laut Microsoft die Serverzugriffe zur Ermittelung neuer
Patches clientseitig alle 17-22 Stunden, wobei hier ein Zufallsprozess zur Berechnung der Updatezeit ein Load
Balancing sicherstellen soll. Zur Überprüfung der Funktionsfähigkeit Ihres Clients können Sie aber wie folgt vorgehen:
1. Öffnen Sie eine DOS-Shell: Start-Ausführen-cmd
2. Durch den Befehl "ping msus.tuwien.ac.at" überprüfen Sie, ob der Server erreichbar ist
3. Stoppen Sie den Automatischen Update-Dienst mit dem Befehl "net stop wuauserv"
4. Löschen Sie mit Hilfe des Registrierungs-Editors (Start-Ausführen-regedit) den Registry-Key 'LastWaitTimeout' im
Baum [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
Ist der Wert des 'AUState'-Keys ungleich 2, so löschen sie diesen Key ebenfalls.
5. Starten Sie den Automatischen Update-Dienst mit dem Befehl "net start wuauserv" neu.
Innerhalb der nächsten 10 Minuten sollte nun ein Zugriff auf den System Update Server erfolgen, der aus einem
entsprechenden Eintrag im Logfile ersichtlich ist bzw. beim Auffinden neuer Updates bereits weitere Aktionen
(Download und Installationsverständigung im Systray) nach sich zieht.
Durch Punkt 2 der Batch-Datei AU.bat kann ein solcher Abgleich bequemer initialisiert werden, hier wird der für den
Abgleich zuständige Key 'LastWaitTimeout' jeweils automatisch gelöscht (aus Sicherheitsgründen nur unter gewissen
Zusatzvoraussetzungen, die den Updatestatus betreffen), wodurch binnen der nächsten 10 Minuten ein Kontakt mit
msus.tuwien.ac.at erfolgt. Es ist sicherzustellen, dass der Benutzer Schreibberechtigung in der Registry besitzt und
wuauserv beenden und neu starten darf. Ansonsten erfolgt der Abgleich im gewohnten Zeitintervall.
Weitere Informationen
Fehlerbehebungen, FAQs, Links und Tricks zu SUS:
http://www.faqshop.com/sus
Auf der Microsoft-Website finden Sie Dokumentationen und Downloads zur Funktionalität von MS-SUS:
http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp
SUS Deploymentguide und Installation im Word-Format:
DeployGuide.doc
SUS-SP1.doc
http://www.zid.tuwien.ac.at/campussoftware/microsoft_produkte/ms_system_update_server/ms_sus_old/?
filename=MS%20SUS%20(old).pdf
20 Jan 2017 21:42:30
4/4