>> Anwendungen über WSUS bereitstellen – Teil 1 <<
Nun werden wir die erste kleine Anwendung über den LUP bereitstellen und auf dem WSUS sichtbar machen. Dazu den LUP starten und über das Menü Werkzeuge > Update erstellen
Ich möchte Java 7.0, Update 9 für die Clients bereitstellen. Wie alle wissen, wird vom Hersteller nur eine EXE zur Verfügung gestellt. Damit man die nötige MSI bekommt, muss man die Installation auf einem Client nur starten, aber nicht weiter ausführen. Hier findet man die Pfade, die die Installationsdateien entpackt enthalten. Mit dieser Anwendung zeige ich gleich eine Besonderheit, auf die zu achten ist. Wir geben den Pfad zur MSI an und auch zusätzlich den Pfad zum Ordner. Damit die Anwendung einwandfrei installiert wird, muss auch der Inhalt des Verzeichnisses mit in das CAB File gepackt werden, welches am Ende dieses Wizard erzeugt wird.
Über Browsen wird das MSI File hinzugefügt, über Dateien hinzufügen wählen wir die restlichen Dateien aus und bestätigen die Auswahl. So sieht das dann im LUP aus.
Abbildung Update Erstellen
Im nächsten Schritt muss der Hersteller und das Produkt angegeben werden.
Die hier gemachten Angaben erscheinen auch so im LUP und im WSUS. Also mit Bedacht Angaben machen. So kann man später im linken Teil Java 7 anklicken und sieht im rechten Teil alle Updates dazu. Später können nur die Angaben rechts im Fenster gelöscht werden, den Linken Teil, Produktname und Hersteller, muss man in der SUSDB manuell löschen.
Abbildung Update Erstellen Hersteller
Nun kommt ein nicht unwichtiger Teil, das filtern auf die Clients. Über Regel hinzufügen wird das Update auf Clients >= Windows XP eingeschränkt. Wichtig ist dabei im unteren Bereich die Auswahl Workstation bzw. Arbeitsplatz. Vielen Dank an Norbert Fehlauer für diesen Tipp. 😉
Abbildungen Update Erstellen Regel
Regel hinzufügen und alles nochmal kontrollieren. Im darauffolgenden Dialog das gleiche nochmal wiederholen. Jetzt noch mit ENTER bis zum Schluss, zuletzt wird das Update signiert und Published. Bekommen Sie hier beim Signieren eine Fehlermeldung, ist vermutlich das Zertifikat noch nicht angekommen. Weiter oben habe beschrieben, wohin es importiert werden muss, diesen beiden Speicherorte kann man manuell überprüfen, ob das Zertifikat per GPO schon angekommen ist.
Abbildung Update Veröffentlichen
Abbildung Update Veröffentlichen
Abbildung Update Veröffentlichen
So sieht das Update oder die Anwendung im LUP aus.
Abbildung LUP Ansicht
Wir können den LUP schließen, das SQL Server Management Studio ist dran. Denn das Update oder die Anwendung ist im WSUS noch nicht zu sehen. Natürlich könnte man den LUP benutzen um den Status der Anwendungen zu kontrollieren. Für die Updates nehme ich die WSUS Konsole, weshalb also auf etwas Bewährtes verzichten. So habe ich weiterhin alles auf einer Konsole im Blick. Damit die Anwendung im WSUS zu sehen ist, müssen wir ein kleines Update Script auf dem SQL Server laufen lassen. Wer mit der Windows Internal Database arbeitet, das ist der SQL Server den der WSUS von Haus aus mitbringt, muss sich, wie in diesem Bild zu sehen ist, anmelden.
Hier die Copy + Paste Zeile: \\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query
Abbildung SSMS Ansicht Login
Auf Neue Abfrage klicken und diesen Text hinein kopieren:
SET QUOTED_IDENTIFIER ON
GO
USE SUSDB;
UPDATE [SUSDB].[dbo].[tbUpdate] SET [IsLocallyPublished] = 0 WHERE [IsLocallyPublished] <> 0
Abbildung Run Query
Alle Updates die von Microsoft synchronisiert werden, sind in der Tabelle tbUpdate aufgeführt. Das Attribut IsLocallyPublished steht auf False für die MS Updates. Alle anderen Updates bekommen über die API automatisch den Wert True(<>0). Und genau darauf baut die WSUS.MSC auf, es werden nur die Updates angezeigt, die IsLocallyPublished auf False(0) konfiguriert haben. Auf Ausführen klicken und die Meldung ganz unten beachten.
Abbildung Result Query
Das Query muss immer dann ausgeführt werden, wenn über den LUP eine neue Anwendung im WSUS bereitgestellt wird. Wenn ihr also mehrere Anwendungen bereitstellen wollt, tut dies zuerst, führt dann das Query einmal aus. Solange die Updates/Anwendungen im LUP oder im WSUS noch nicht freigegeben werden, passiert überhaupt nichts.
Es gibt auch die Möglichkeit, das Script mit Hilfe von sqlcmd auf der Commandline auszuführen, dazu muss das o.g. Update Query im Dateisystem gespeichert sein. Der Aufruf kann so aussehen, alles in einer Zeile:
sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <scriptLocation>\IsLocallyPuplished.sql [ENTER]
Abbildung Result Query Commandline
Natürlich kann man die Zeile auch mit Hilfe einer Batchdatei ausführen lassen. Achtung! Immer mit Rechtsklick > Ausführen als Administrator starten!
Wenn man die Express Version oder die große Version vom SQL Server für den WSUS benutzt, kann man das Update der Tabelle tbUbdate natürlich auch mit Hilfe eines Triggers erledigen. Dazu in einem anderen Artikel mehr.
Das SQL Server Management Studio brauchen wir jetzt nicht mehr, die Abfrage kann man natürlich speichern, zukünftig braucht man dann nur noch über Datei > öffnen das Query aufrufen und starten.
Wir starten die WSUS Konsole und erstellen uns zuerst eine neue Update Ansicht. Rechtsklick auf Updates > neue Updateansicht. Wir wählen Updates sind für ein bestimmtes Produkt > klicken, im unteren Teil des Fensters auf beliebiges Produkt, wählen im nächsten Fenster alle Produkte ab, aktivieren nur Java, bestätigen durch Klick auf OK, geben im Schritt 5 einen Namen für die Ansicht ein und bestätigen dies auch mit OK. Achtung! Dieser Schritt muss für jede Anwendung unterschiedlicher Hersteller wiederholt werden! Auch hier gilt, zuerst alle Anwendungen im LUP erstellen, dann hier die Updateansicht konfigurieren.
Abbildung Update Ansicht Anwendungen
In der neu erstellten Ansicht den Status auf Alle umstellen und auf Aktualisieren klicken, schon ist die noch nicht genehmigte Anwendung im WSUS sichtbar.
Abbildung Update Ansicht Anwendungen
Im nächsten Bild ist schon deutlich zu sehen, es gibt einen Client der das Update anfordert, ein zweiter, in diesem Fall der DC01, fordert das Update nicht an. Ist ja auch korrekt, wir haben extra eine Regel nur für Clients erstellt.
Abbildung Update Ansicht Anwendungen
Der Rest ist wie bei allen anderen Updates, Rechtsklick > genehmigen > Gruppe auswählen und bestätigen. Damit die Anwendung anschließend in der Ansicht zu sehen ist, muss natürlich von Nicht genehmigt auf Genehmigt umgestellt werden.
Abbildung Update Ansicht Anwendungen
Durch einen Rechtsklick auf das Pane kann man sich zusätzliche Spalten einblenden lassen, oder auch nicht benötigte Spalten in der WSUS Konsole ausblenden lassen.
Die Anwendung ist zur Installation genehmigt, jetzt müssen wir nur noch warten bis sich die Clients das Paket downloaden und installieren. Natürlich testen wir das zuerst an einem virtuellen Client aus, nichts wäre schlimmer als wenn die Installation der Anwendung den Betrieb lahmlegt.
Ein Benutzer bekommt von der Installation der Updates/Anwendungen durch den WSUS normalerweise nichts mit. Das wäre in unserem Fall jetzt nicht so toll. Wir wollen etwas sehen, deshalb melden wir uns mit einem Benutzerkonto an, das nicht im Wirkungsbereich des WSUS GPO liegt. In einer Administrativen Commandline können wir den Client mit wuauclt /detectnow und wuauclt /reportnow auffordern, sich außerplanmäßig beim WSUS zu melden.
Abbildung Installation Update
Vor der Installation bitte unbedingt gpupdate ausführen und kontrollieren ob das GPO mit den Zertifikaten auch wirklich angekommen ist.
Abbildung Installation Update
Die Installation hat einwandfrei funktioniert.
Abbildung Installation Update
Viel Erfolg beim ausrollen weiterer Anwendungen!
>> Anwendungen über WSUS bereitstellen – Teil 3 <<
Winfried Sonntag