FAUSUS - Microsoft Software Update Service an der FAU (Referenz)

Übersicht:

1. Einführung (Allgemeine Infos zum Produkt und zum Einsatz an der FAU)
2. Systemvoraussetzungen
3. Windows-Dienste für den Betrieb
4. Einfache Installation mit Standardwerten
5. Angepasste Installation
6. Standardkonfiguration
7. Hinweise zum Betrieb für Administratoren
8. Hinweise zum Betrieb mit IP-Filtern/Firewalls
9. Hinweise zum Betrieb für Benutzer
10. Updatemechnismus manuell steuern
11. Funktionsüberprüfung
12. Technische Details
13. Download
14. Mailinglisten
15. Weiterführende Links

Einführung

Der SUS-Client der Firma Microsoft bietet eine einfache Möglichkeit zum automatischen Betriebssystem-Update von Windows-PCs. In der aktuellen Version werden hierüber nur Hotfixes verteilt. Die automatische Installation von Servicepacks und Treiber-Updates ist mit der kommenden Version WUS möglich. Der SUS-Client kann entweder auf die Server der Firma Microsoft oder auf einen eigenen SUS-Server zugreifen.

Das RRZE betreibt einen SUS-Server für die Versorgung der FAU. Dies bringt folgende Vorteile:

• Die Patches werden nur einmalig durch das Internet übertragen (Kosten).
• Bessere Erreichbarkeit der eigenen Server, da die Microsoft-Server phasenweise überlastet sind.
• Patches können vor der Freigabe am Server getestet werden. So können evtl. durch die Patches verursachte Probleme im Vorfeld erkannt und Störungen vermieden werden.

Ein direkter Zugriff auf die Microsoft-Server durch PCs der FAU sollte wegen des dabei entstehenden Datenvolumens vermieden werden.

Der SUS-Client ist ein Programm auf dem Windows-PC vor Ort. Er überträgt im Hintergrund die Patches auf den Windows-PC. Je nach Konfguration werden die Updates anschließend automatisch installiert oder der Benutzer des PCs wird informiert und kann die Installation manuell anstoßen. Zur Nutzung des Dienstes bietet das RRZE die Konfigurations-Setup Datei FAUSUS.EXE an.

zum Seitenanfang

Systemvoraussetzungen

Unterstützte Betriebssystemversionen:

1. Windows 2000 Professionell: ab Servicepack 3, deutsch und englisch
2. Windows XP Professionell: deutsch und englisch

Folgende Betriebssysteme werden von Microsoft und folglich auch vom RRZE nicht unterstützt:

1. Windows 3.x (und Vorgänger)
2. Windows 9x (Windows95, Windows98, WindowsMe)
3. Windows NT4.0 und früher
4. Windows 2000 Professionell vor Servicepack 3 - aktueller Servicepack muss vor Aufruf der FAUSUS.EXE installiert werden

Bitte achten Sie auch auf die weiter unten genannten Hinweise für Administratoren und Benutzer.

zum Seitenanfang

Windows-Dienste für den Betrieb

Zum Betrieb des SUS-Dienstes müssen am Client folgende Dienste aktiviert sein/werden:

1. Automatic Updates (Startmodus: Automatic)
2. Background Intelligent Transfer Service (Startmodus: Manual)

Hinweis 1:
Bei Verwendung von FAUSUS.EXE werden beide Dienste ggf. automatisch aktiviert und gestartet.

Hinweis 2 (bertrifft Windows 2000):
Bei Windows 2000 ist der (Background Intelligent Transfer Service) BITS Dienst im Gegensatz zu Windows XP von weiteren Diensten abhängig, die ebenfalls aktiviert bzw. gestartet sein müssen:

• Remote Procedure Call (RPC) (Startmodus: Automatic)
• System Event Notification (Startmodus: Automatic)
• Windows Management Instrumentation Driver Extension (Startmodus: Manual)
• Workstation (Startmodus: Automatic)

zum Seitenanfang

Einfache Installation mit Standardwerten

Verwenden Sie das Setup-Programm FAUSUS.EXE des RRZE auf jedem PC, der den automatischen Update Dienst innerhalb der FAU nutzen soll. Hierbei ist Folgendes zu beachten:

Systemvoraussetzungen

Bitte beachten und überprüfen Sie unbedingt die genannten Systemvoraussetzungen, bevor Sie die Installation mit Hilfe von FAUSUS.EXE durchführen.

Installation mit administrativer Kennung

Für die Installation der FAUSUS.EXE muss eine Benutzerkennung mit Administrator-Rechten verwendet werden. Die Verwendung normaler "Users" und "Power Users" Berechtigungen reicht nicht aus und kann zu einer fehlerhaften Konfiguration führen.
Für den Download und die Installation der Patches durch den SUS-Client ist keine administrative Berechtigung nötig.

Wiederholter Aufruf des Setups FAUSUS.EXE

Das Setup FAUSUS.EXE kann beliebig oft aufgerufen werden. Dabei werden entweder die RRZE-Standardwerte oder die mittels FAUSUS.INI individualisierten Werte gesetzt.

Individuelle Parametrisierung / Konfiguration des Setups FAUSUS.EXE

Wird die Datei FAUSUS.EXE direkt aufgerufen, so gelten die RRZE-Standardwerte.
Eine individuelle Anpassung der Parameter ist analog zu den weiteren Sicherheits-Tools des RRZE (fausav.exe, fausec.exe) mit Hilfe einer zusätzlichen INI-Datei realisierbar. Dazu muss die Datei FAUSUS.INI mit den angepassten Parametern im selben Verzeichnis liegen, in dem sich auch die Datei FAUSUS.EXE befindet.

Deinstallation des SUS-Clients ist nicht möglich

Der SUS-Client kann deaktiviert, aber nicht deinstalliert werden.

zum Seitenanfang

Angepasste Installation

Einige Parameter des automatischen Updates können mit Hilfe der Datei FAUSUS.INI individuell gesetzt werden. Um diese zu aktivieren, muss die Datei während der Installation im selben Verzeichnis wie FAUSUS.EXE liegen. Die Installation und Konfiguration des SUS-Clients erfolgt mit Doppelklick auf die Datei FAUSUS.EXE.

Beispiel für eine individuelle Anpassung mit der FAUSUS.INI. Möglicher Inhalt:

[AU]
ScheduledInstallDay=0
ScheduledInstallTime=12
NoAutoRebootWithLoggedOnUsers=1

Beschreibung der Parameter:

• ScheduledInstallDay
  Gibt den Wochentag an, an dem der SUS-Client neue Patches nach erfolgtem Download installieren soll. Für diesen Parameter sind die folgenden Werte erlaubt:
  

    0 = täglich (RRZE-Standardeinstellung)
    1 = Sonntag
    2 = Montag
    3 = Dienstag
    4 = Mittwoch
    5 = Donnerstag
    6 = Freitag
    7 = Samstag
  

• ScheduledInstallTime
  Der Zeitpunkt (volle Stunde) der Installation eines neuen Patches nach erfolgtem Download.

    0-23 = volle Stunde, zu der die Installation erfolgen soll
  

  RRZE-Standardwert: 10 = 10 Uhr (halbe Stunde vor täglichem Sophos-Scan bei Verwendung der FAUSAV.exe)
  
• NoAutoRebootWithLoggedOnUsers
  Ist zum Installationszeitpunkt niemand angemeldet, so werden die Patches installiert und es wird (falls nötig) ohne Nachfrage ein Reboot durchgeführt.
  Ist eine administrative Kennung am System angemeldet, so erscheint unten rechts im System-Tray eine kleine Weltkugel. Patches werden dann nicht automatisch installiertr; die Installation der Patches muss vom Administrator manuell angestoßen werden. Falls notwendig, wird im Anschluss gefragt, ob ein Reboot durchgeführt werden soll.
  Ist eine nicht-administrative Kennung am System angemeldet, so hängt das Verhalten des SUS-Clients vom Parameter NoAutoRebootWithLoggedOnUsers wie folgt ab:
  

    0 = Benutzer wird nicht gewarnt, PC bootet automatisch
    1 = Benutzer wird gewarnt; Reboot kann nicht verhindert,
        aber hinausgezögert werden (RRZE-Standardwert)
  

zum Seitenanfang

Standardkonfiguration

1. ScheduledInstallDay: 0
2. ScheduledInstallTime: 10
3. NoAutoRebootWithLoggedOnUsers: 1

zum Seitenanfang

Hinweise zum Betrieb für Administratoren

Hinweis zu den Tests durch das RRZE

Wird ein Patch von Microsoft zur Verfügung gestellt, der nicht sofort weiterverteilt werden muss, testet das RRZE den Patch vor einer Freigabe. In der Regel werden Patches dann nach einem Arbeitstag für die Verteilung an der FAU freigegeben.

Da im Betreuungsbereich des RRZE ausschließlich englischsprachige Windows-Versionen eingesetzt werden, testet das RRZE nur englischsprachige Patches. Über den SUS-Server des RRZE werden auch deutschsprachige Patches angeboten. Diese werden allerdings vor einer Freigabe vom nicht RRZE getestet.

Weitergehende Informationen zu den Patches werden über die Mailingliste windowsupdate@rrze.uni-erlangen.de (Infos zu dieser Mailingliste siehe unten) bekanntgegeben. Trotz intensiver Tests kann das RRZE keine Garantie für die Fehlerfreiheit einzelner Patches übernehmen.

Hinweis zur Empfehlung des RRZE bezüglich der Sprachversion von Windows-Betriebssystemen:

Das RRZE empfiehlt aus Gründen der Aktualität und Kompatibilität statt der Verwendung rein deutschsprachiger Systeme die Verwendung von englischsprachigen Windows-Systemen mit deutscher "Multilanguage" Anpassung (MUI).

zum Seitenanfang

Hinweise zum Betrieb mit IP-Filtern/Firewalls

Der SUS-Client verwendet zum Download der Patches das Standard-http-Protokoll (siehe Microsoft SUS FAQ). Desweiteren sind die Standard-IP Dienste wie z.B. DNS für die Namensauflösung notwendig (diese sind in der folgenden Tabelle nicht aufgeführt).
Tabelle der Kommunikationsbeziehungen für den vom RRZE-betriebenen SUS-Dienst im Wissenschaftsnetz der FAU:

Kommunikationsbeziehungen zwischen SUS-Client und SUS-Server

Richtung	Dienst	Quelladresse	Quellport	Zieladresse	Zielport
Client -> SUS-Server	TCP (http)	131.188.X.Y	>1023	windowsupdate.uni-erlangen.de	80
SUS-Server -> Client	TCP (http)	windowsupdate.uni-erlangen.de	80	131.188.X.Y	>1023

Legende:
131.188.X.Y: IP-Adresse des Windows-PCs bzw. Subnetz, von wo aus der SUS-Dienst genutzt wird.

zum Seitenanfang

Hinweise zum Betrieb für Benutzer

Hinweis zum Downloadzeitpunkt / -Intervall

Ein spezifischer Zeitpunkt für den Download eines neuen Patches kann nicht konfiguriert werden. Der SUS-Client überprüft täglich (siehe MSKB 326693) am SUS-Server die Verfübargkeit neuer Updates. Technische Details zum Anstoßen eines Patch-Downloads außerhalb des normalen Intervalls sind im Abschnitt Updatemechnismus manuell steuern zu finden.

Hinweis zum Installationszeitpunkt

Ist der Rechner zum konfigurierten Installationszeitpunkt nicht in Betrieb, so werden die Updates sofort nach einem Neustart des Rechners eingespielt. Dies gilt aber nur, falls vorher bereits ein Download der Updates erfolgt ist. Andernfalls erfolgt die Installation erst zum nächsten konfigurierten Installationszeitpunkt.

Hinweis zur automatischen Installation von Patches und anschließendem Reboot

Ist eine Kennung der "Users" oder "Power Users" am Windows-Client angemeldet, kann nach der Installation eines Patches ein evtl. notwendiger Reboot durch den Benutzer verzögert, aber nicht verhindert werden.

Muss ein Reboot durchgefgührt werden und ist der Parameter NoAutoRebootWithLoggedOnUsers auf 1 gesetzt, erscheint folgende Dialogmeldung:

Benutzer können nun Ihre laufenden Arbeiten beenden und alle Daten speichern. Anschließend wird der Reboot mit Bestätigung der Dialogmaske ausgelöst.
Diese Dialogbox ist ein fester Bestandteil des Microsoft SUS-Clients und kann nach bisherigen Kenntnissen (siehe Original-Dokumentation von Microsoft) nicht umkonfiguriert werden.

Hinweis zur wiederholten Installation eines/mehrerer Updates

Es kann in vereinzelten Fällen vorkommen, dass ein bereits erfolgreich eingespieltes Update am nächsten Tag erneut geladen und installiert wird. Die Ursache liegt i.d.R. am Erkennungsmechanismus des SUS-Clients, bzw. an einem nicht korrekt beim Einspielen registrierten Patch. Dies ist ein bekanntes und von Microsoft dokumentiertes Problem:
Microsoft Software Update Services: Frequently Asked Questions
(Navigation: Software Updates -> Why do updates continue to be re-offered and re-installed on my client machines?)

zum Seitenanfang

Updatemechnismus manuell steuern

Das Updateintervall ist von Microsoft vorkonfiguriert und kann nicht geändert werde. Auch ein manuelles Anstoßen der Suche nach neuen Updates ist nicht einfach möglich:

1. Anmeldung mit administrativer Kennung (Mitglied der Gruppe "Administrators")
2. Stoppen des "Automatic Updates" Dienstes
3. Löschen des folgenden Registry Wertes unter dem Schlüssel:
   

     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
     LastWaitTimeout
   

4. Setzen des folgenden Registry Wertes unter dem Schlüssel:
   

     [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update]
     AUSate=2
   

Nach diesen Modifikationen kann es noch 5 bis 10 Minuten dauern, bis das System den Download und die Installation neuer Patches versucht. Schlägt dieser Versuch fehl, wartet der SUS-Client wiederum ca. 22-24 Stunden, bis der Update-Versuch wiederholt wird.
Alternative zur manuellen Steuerung des Updates
Administratoren können alternativ ein Update manuell über die bekannte Webseite http://windowsupdate.com anstoßen. Diese manuellen Updates können parallel zum SUS-Client weiterhin durchgeführt werden. Allerdings sind diese Updates dann nicht durch das RRZE vorgetestet.

zum Seitenanfang

Funktionsüberprüfung

Aktivitäten des SUS-Clients werden automatisch im Windows Event-Log protokolliert.

Bildschirmansicht der SUS Eventlog Einträge
Bild in der Originalgröße (Bei eingeschalteten JavaScript als Popup).

Bedeutung der Event-IDs (siehe Original-Dokumentation von Microsoft):

• 16: Unable to connect
  Es kann keine Verbindung zum Update-Server hergestellt werden
• 17: Install ready
  Automatischer Download war erfolgreich, die Patches liegen zum manuellen Installieren bereit.
• 18: Install ready
  Automatischer Download war erfolgreich, die Patches liegen zum automatischen Installieren bereit.
• 19: Install success
  Automatische Installation war erfolgreich.
• 20: Install failure
  Installation wurde nicht erfolgreich durchgeführt.
• 21: Restart required
  Neustart nach Installation ist erforderlich.
• 22: Restart required
  Neustart nach Installation ist erforderlich, automatischer Neustart nach ca. 5 Minuten Wartezeit.

zum Seitenanfang

Technische Details

Der Installationsprozess mit FAUSUS.EXE im Detail

Die Installation gliedert sich in folgende Schritte (ab Doppelklick auf FAUSUS.EXE):

1. Prüfsummencheck des Setups (siehe Abbildung 1)
2. Eintrag der Setupinformationen in die Registry (siehe Abbildung 2 und Abbildung 5)
3. Überprüfung der Systemvoraussetzungen
4. Anhalten des Windows-Update-Dienstes (siehe Abbildung 2 und Abbildung 3)
5. Konfiguration des SUS-Clients
6. Starten des Windows-Update-Dienstes (siehe Abbildung 2 und Abbildung 4)

Abbildung 1: Prüfsummencheck des Setups


Abbildung 2: Setup-Fortschrittsanzeige

Abbildung 3: Stoppen des Update Dienstes
Bild in der Originalgröße (Bei eingeschalteten JavaScript als Popup).

Abbildung 4: Starten des Update Dienstes
Bild in der Originalgröße (Bei eingeschalteten JavaScript als Popup).

Abbildung 5: Setup-Informationen in der Registry
Bild in der Originalgröße (Bei eingeschalteten JavaScript als Popup).

Die folgenden Setupinformationen können bei einem evtl. nötigen Troubleshooting verwendet werden:

• finished: 0 = Setup wurde nicht regulär beendet (Fehler), 1 = Setup wurde regulär beendet
• OSlang: 0407 = deutsch, 0409 = englisch (andere Sprachen werden nicht unterstützt)
• RunCount: Zähler für wiederholte Aufrufe
• RunDate(String): Zeitstempel des letzten Setupaufrufs
• SetupDate(String): Zeitstempel des Setups FAUSUS.EXE
• SetupVersion: Version des Setups FAUSUS.EXE

Die SUS-Server-Infrastruktur am RRZE

Das RRZE betreibt zwei SUS-Server zur Verteilung von Hotfixes und Patches an der FAU. Der erste SUS-Server holt aktuelle Patches direkt von Microsoft und verteilt diese an dedizierte Test-PCs. Werden nach der Installation der Patches an den Test-PCs keine Probleme fesgestellt, so werden diese Patches an den zweiten SUS-Server und damit für die gesamte FAU freigegeben.

zum Seitenanfang

Download

• FAUSUS.EXE (Version 1.1 - 02./2004)

zum Seitenanfang

Mailinglisten

Siehe hierzu die Liste der Mailverteiler und Maillisten.

Das RRZE hat eine Mailingliste windowsupdate@rrze.uni-erlangen.de eingerichtet, über die das RRZE Kurzhinweise zu den aktuellen Patches innerhalb der Universität bekannt gibt.
Hierbei handelt es sich um eine Mailingliste, die ausschließlich an Universitätsangehörige gerichtet ist und deshalb nur mit einer gültigen Universitäts-E-Mail-Adresse genutzt werden kann (E-Mail-Adresse muss auf uni-erlangen.de enden).
Um diese Mailingliste nutzen zu können, müssen Sie sich mit bei dieser Mailingliste mit Ihrer Universitäts-Adresse anmelden:
Anmeldung über majordomo@rrze.uni-erlangen.de:
Mail an: majordomo@rrze.uni-erlangen.de
Subject:
Body: subscribe windowsupdate-rrze

zum Seitenanfang

Weiterführende Links

1. IT-Sicherheitsforum des RRZE (11.06.2004)
2. SUS-Homepage (Microsoft) (11.06.2004)
3. Software Update Services Deployment White Paper (Microsoft) (11.06.2004)
4. Microsoft Software Update Services: Frequently Asked Questions
5. Microsoft Knowledge Base Article - 326693: How to Force Automatic Updates 2.2 to Perform a Detection Cycle (11.06.2004)

zum Seitenanfang

Autor: Gerd Hofmann
Letzte Änderung: 14. Mai 2007, Ansprechpartner, Historie