Die Windows Server Update Services (WSUS) unterscheiden sich schon bei den Installationsvoraussetzungen deutlich von den SUS. Zu den Nutzungsvoraussetzungen zählen aktuelle Versionen des Microsoft .NET Frameworks ebenso wie von ASP.NET, der Microsoft SQL Server respektive die MSDE (Microsoft SQL Server Desktop Engine) und BITS 2.0. BITS steht für Background Intelligent Transfer Service und ist eine Erweiterung für die IIS, mit der die Bandbreite von Downloads gesteuert und unterbrochene Übertragungen fortgesetzt werden können. Die Technologie wird beispielsweise bei den MSDN Subscriber Downloads eingesetzt.
Die Kritik vieler Kunden, dass die SUS nur die wichtigsten Updates für die Windows-Betriebssysteme unterstützen, hat Microsoft zumindest teilweise adressiert. Die WSUS können alle Aktualisierungen für die Windows-Betriebssysteme, Microsoft Office, den SQL Server und den Exchange Server bereitstellen. Weitere Microsoft-Produkte sollen folgen. Allerdings beschränkte sich die Liste beim Release Candidate noch auf die Windows-Betriebssysteme, Unterstützung für Office etc. fehlte noch.
Das eigentliche Problem ist aber, dass Nicht-Microsoft-Produkte auch weiterhin nicht unterstützt werden. Es dürfte nämlich kaum ein Unternehmen geben, das beim Patch-Management nur Microsoft-Produkte aktualisieren muss. Zumindest der Acrobat Reader von Adobe ist auch in Umgebungen, die schwerpunktmässig auf Microsoft als Softwarelieferant setzen, zu finden – gemeinsam etwa mit weiteren spezialisierten Anwendungen, Server-Betriebssystemen und so weiter. In der Konsequenz bedeutet diese Einschränkung, dass zu den WSUS immer noch weitere Lösungen für das Patch-Management erforderlich sind.
Dafür lässt sich nun sehr viel differenzierter als bisher steuern, welche Patches heruntergeladen werden. So stehen neben der Sprache auch das Betriebssystem und weitere Update-Kategorien wie beispielsweise die Beschränkung ausschliesslich auf kritische Updates zur Auswahl bereit.
Zu den interessantesten Erweiterungen gehört die Option, Aktionen für Updates zu konfigurieren. Damit können beispielsweise automatische Genehmigungen für bestimmte Gruppen von Updates definiert werden, so dass diese schnell auf die Zielsysteme verteilt werden. Durch die Definition von Computergruppen, von Microsoft als Targeting bezeichnet, können Patches aber beispielsweise auch automatisch auf eine Gruppe von Zielsystemen installiert werden, während die Freigabe für die produktiv genutzten Rechner zu einem späteren Zeitpunkt manuell erfolgt.
Interessant ist auch die Detect-Only-Funktion. Mit dieser lässt sich ermitteln, auf wie vielen Zielsystemen ein Update installiert werden müsste. Auf dieser Basis können Verteilungsprozesse vor allem von sehr grossen Patches und Service Packs besser gesteuert werden.
Ausserdem gibt es nun eine deutlich leistungsfähigere Berichtsfunktionalität mit einer Reihe vordefinierter Berichte. Hier profitiert das Produkt davon, dass nun mit dem SQL Server gearbeitet wird. Der Status des Patch-Managements lässt sich auf diese Weise sehr gut nachvollziehen.
Die schon eingangs erwähnten relativ hohen Anforderungen bezüglich der installierten Komponenten können bei der Installation zu Problemen führen. Es ist unbedingt erforderlich, die Installationsvoraussetzungen genau zu prüfen und die IIS, die BITS, ASP.NET und andere Komponenten vorzubereiten. Die Installation der WSUS verlief im Test nur reibungslos, wenn die IIS und ASP.NET eingerichtet waren, bevor die eigentliche Installation begann. Auch die Konfiguration von BITS 2.0 muss nach der Konfiguration der IIS erfolgen.
Zu beachten sind auch die Plattenplatzanforderungen. Auf einem WSUS-Server müssen mindestens sechs GByte Plattenplatz für die Patches und 2 GByte Plattenplatz für die SQL-Server-Datenbank frei sein. Ausserdem wird für die Installation 1 GByte freier Plattenplatz auf dem System-Volume (!) benötigt. Falls mit dem SQL Server und nicht der MSDE gearbeitet wird, muss dieser lokal installiert sein.
Die Installation selbst ist relativ einfach. Im Rahmen des Installationsprogramms müssen die Verzeichnisse für die Patches und
die SQL-Server-Datenbank angegeben werden. Ausserdem
muss man festlegen, über welche URL die Verwaltungsanwendung erreichbar sein soll. Dafür kann wahlweise die Standard-Website
der IIS oder eine neue Website
auf Port 8530 gewählt werden.
Je nach vorinstallierten Anwendungen werden anschliessend
die verschiedenen Komponenten installiert und konfiguriert, was einige Zeit in Anspruch nimmt. Im Anschluss an die Installation kann direkt die Verwaltungsanwendung gestartet werden.
Im Rahmen der Installation lässt sich festlegen, ob der WSUS-Server alleinstehend betrieben wird oder mit anderen Servern zusammenarbeitet. So kann man im Unternehmen eine Hierarchie aufbauen, bei der ein WSUS-Server Updates von der Windows-Update-Website bezieht, während alle anderen Systeme auf diesen Server zugreifen.
Die Administrationswerkzeuge zeigen sich im Vergleich mit den SUS in einem völlig überarbeiteten Layout. Auf der Startseite werden die Statusinformationen angezeigt. Dort kann auch der Download der aktuellen Patch-Informationen von der Windows-Update-Website initiiert werden. Im unteren Bereich findet sich eine Aufgabenliste, in der die verschiedenen aktuell anstehenden Aufgaben wie die erstmalige Synchronisation mit dem Windows-Update-Server aufgeführt sind.
Im Bereich Updates findet sich eine Liste der aktuellen Updates. Diese können nach unterschiedlichen Kriterien durchsucht und klassifiziert werden. Damit lassen sich schnell die für die aktuelle administrative Aufgabe relevanten Updates ermitteln, was bei den SUS typischerweise zu einer mühsamen Suche in endlosen Listen geführt hat.
Die Berichte sind gruppiert. Es gibt Berichte für den Updatestatus, der sich auf Gruppen von Computern bezieht. Die Berichte zum Computerstatus informieren über den Zustand der Clients, die Synchronisierungsergebnisse liefern Informationen zum Zusammenspiel zwischen dem WSUS-Server und Microsofts Windows-Update-Website.
Im Bereich Computer lassen sich die Computergruppen zusammenstellen. Bedauerlicherweise werden die Informationen nicht aus dem Active Directory gelesen, was hier der naheliegende Ansatz gewesen wäre.
Schliesslich gibt es noch die Konfigurationsoptionen, die bei den WSUS sehr viel differenzierter anpassbar sind als bei den SUS. Besonders wichtig ist die gezielte Auswahl der Produkte, für die Patches geladen werden sollen. Hier hat Microsoft viel verbessert, wenn man den Vergleich zu den SUS zieht – aber das ist nicht das einzige Produkt, mit dem man die WSUS vergleichen muss.
In Anbetracht dessen, dass man auf die WSUS lange warten musste, ist das Ergebnis nicht wirklich überzeugend. Für Anwender, die ein isoliertes Patch-Management im Windows-Umfeld suchen, sind die WSUS eine durchaus geeignete Lösung, auch durch die potentielle Integration mit dem Microsoft Systems Management Server (SMS). Die Beschränkung auf Patches für Microsoft-Produkte und die immer noch isolierte Sicht von Microsoft auf das Patch-Management, das eigentlich als Teil der gesamten Softwareverteilungsinfrastruktur verstanden werden sollte, sind die klaren Schwachstellen der Windows Software Update Services. Daher sollte vor dem WSUS-Einsatz genau analysiert werden, ob nicht umfassendere Client-Management-Lösungen, die üblicherweise auch das Patch-Management abdecken, der bessere Ansatz wären.
