blog.bartlweb - a technologist's external brain

WSUS ohne ActiveDirectory konfigurieren

WSUS (WindowsServerUpdateServices) ist auch für kleine Netze interessant, allerdings wird die Konfiguration meistens über ActiveDirectory erledigt. In kleineren Netzen ohne Domänenkontroller kann die Konfiguration allerdings auch manuell durchgeführt werden.

WSUS-Client per Gruppenrichtlinen konfigurieren

Auf allen Professional/Enterprise-Versionen von Windows gibt es den so genannten GruppenRichtlinen-Editor. Dieser ist in jedem Fall der Konfiguration per Registry vorzuziehen.

Zu finden sind die Konfigurationsoptionen unter Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Windows Update.

Eine sinnvolle Konfiguration setzt folgende Optionen auf den Status "Aktiviert" (die restlichen Optionen bleiben auf dem Status "Nicht konfiguriert"):

  • Automatische Update konfigurieren
  • Internen Pfad für den Microsoft Updatedienst angeben
  • Nichtadministratoren gestatten, Updatebenachrichtigungen zu erhalten
  • Softwarebenachrichtigungen aktivieren
  • Automatische Updates sofort installieren
  • Empfohlene Updates über automatische Updates aktivieren

WSUS-Client per Registry konfigurieren

Auch Home-Versionen die keinen GruppenRichtlinen-Editor enthalten, kann man per WSUS bedienen. Die Konfiguriation wird hier einfach in der Registry vorgenommen. Achtung: Nie die beiden Konfigurationsmethoden mischen.

Die folgende Konfiguration aktiviert das automatische Installieren von Updates ohne Rückfrage beim Benutzer. Dabei sind weitere sinnvolle Konfigurationsoptionen wie das Nachfragen vor einem Neustart beim Benutzer aktiviert. Ändern Sie <SERVER-IP> auf die IP ihrers WSUS-Servers und speichern Sie das ganze als .reg-Datei ab.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"ElevateNonAdmins"=dword:00000001
"WUServer"="http://<SERVER-IP>:8530"
"WUStatusServer"="http://<SERVER-IP>:8530"
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAUShutdownOption"=dword:00000000
"NoAUAsDefaultShutdownOption"=dword:00000001
"NoAutoUpdate"=dword:00000000
"AUOptions"=dword:00000004
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000014
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"AutoInstallMinorUpdates"=dword:00000001
"IncludeRecommendedUpdates"=dword:00000001
"RebootWarningTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootRelaunchTimeout"=dword:00000258
"UseWUServer"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
"DetectionFrequency"=dword:0000000a

Konfiguration testen

Windows Vista / Windows 7

Unter Windows Vista/Windows 7 kann man den Update-Prozess ganz einfach über die Systemsteuerung -> Windows-Update und Nach Updates suchen anstoßen.

Tipp: Suchen Sie gelegentlich manuell online bei Microsoft nach Updates um aktuelle Treiber zu erhalten (diese werden nicht über den WSUS-Server ausgeliefert)

Windows XP

Unter Windows XP startet die Suche nach Updates der folgende Befehl:

wuauclt.exe /detectnow

Fehlerbehebung

Klont man seine Systeme kann es durchaus vorkommen, dass zwei Verschiedene Rechner als ein und der selbe in der WSUS-Administration auftauchen und deshalb auch nie korrekt Updates ausgeliefert bekommen. Dies passiert wenn beide PC's die selbe SUSClientID (eine eindeutige Kennung des Clients) haben.

Durch löschen der folgenden Registry-Keys und einem Neustart des Systems wird die ClientID neu erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\
  • AccountDomainSid
  • PingID
  • SusClientId

Dieser Artikel hat Dir deinen Tag gerettet?

... und mühevolles Probieren, Recherchieren und damit Stunden an Zeit gespart? Oder einfach nur Dein Problem gelöst?

Dann würde ich mich freuen, wenn Du meine Zeit für die Erstellung dieses Blogartikels mit einer kleinen Anerkennung honorierst:

Zahlung mit PayPal oder Kreditkarte.

Hinweis zur Verwendung

Die Übermittlung einer Zahlung ist eine persönliche Anerkennung Ihrerseits an den Entwickler (Christian Bartl, Privatperson). Eine Zahlung ist nicht zweckgebunden und es ist keine Gegenleistung zu erwarten. Bitte beachten Sie, dass für eine übermittelte Zahlung keine Quittung ausgestellt werden kann.

Über den Autor

Christian Bartl

Christian Bartl Requirements Engineer
& Solution Architect für Online und Mobile

Als Technologie-Enthusiast und begeisterter Programmierer entwickle ich in meiner Freizeit Websites, Software und IT-Lösungen, die mir selbst und anderen den Alltag vereinfachen.

mehr auf christian.bartl.me

Kommentare

  1. was wenn "AccountDomainSid" und "PingID" nicht vorhanden sind???
    und wenn der Update-Server den Computer nicht erkennt im AD jedoch sofort erkannt wurde?

    Info:
    0S: WinXP 32Bit
    WSUS: 2008 R2 Standart

    kommentieren

    1. Hallo Beni,
      mehr als denn Tipp beide Systeme neu zu starten und am Client den Befehl "wuauclt.exe /detectnow" auszuführen (hast du wahrscheinlich bereits gemacht) kann ich dir auch nicht geben. Bei mir hat die Anzeige des Clients hin und wieder auch einige Zeit benötigt - am nächsten Tag wurde der Client aber meistens angezeigt.
      lg Christian

      kommentieren

      1. Besten Dank für die schnelle Antwort, ja den Herrn wuauclt.exe habe ich auch schon auseinandergenommen.
        Ich warte jetzt mal ab und schaue was die Zeit bringt...

        Tipp für andere mit diesem Problem:

        ein gpupdate /force hat es bei mir auch schon gebracht dies ist jedoch nur dann verwendbar wenn der WSUS-Server über die Richtlinen eingetragen wird

        Grüsse

        kommentieren

  2. Hallo,
    laut der Anleitung teste ich das ganze indem ich zum Schluss nach Updates suche. Wie kann ich mir sichergehen, dass er die Updates vom WSUS Server bezogen hat?
    Auf meinem WSUS Server taucht der Computer nicht auf. Ich habe ihn versucht mit deiner vorgefertigten Registry-Datei hinzuzufügen.

    Mit freundlichen Grüßen
    Gerry

    kommentieren

    1. Hallo Gerry,
      ist schon etwas her das ich mich damit beschäftigt habe, aber so weit ich mich erinnere sollte der Rechner in jedem Fall im WSUS auftauchen, ansonsten ist er nicht verbunden. Wenn du z.B. eine virtuelle Maschine geklont hast und dadurch die Systeme die selbe Update-ID haben, dann erkennt der WSUS die unterschiedlichen Maschinen allerdings nur als eine.
      Zum erkennen der Verbindung am Gerät selbst: Ich habe immer in der Systemsteuerung manuell die Update-Suche angeworfen. Wenn es dort dann einen Punkt "Updates bei Microsoft online suchen" (oder so ähnlich) gibt, hat das Gerät die Updates vom WSUS bezogen.
      lg Christian

      kommentieren

Kommentar schreiben

Der hier angegebene Name wird gemeinsam mit deinem Kommentar auf der Website veröffentlicht.

Deine E-Mail-Adresse wird zur einmaligen Benachrichtigung bei Veröffentlichung des Kommentars genutzt.

Benachrichtigung per E-Mail über Antworten auf meinen Kommentar erhalten.

Bitte tippe die Zahlenkombination "2368" ein, nur dann kann ich deinen Kommentar entgegennehmen.

Bitte fülle dieses Feld nicht aus, nur dann kann ich deinen Kommentar entgegennehmen.