Migration von WSUS 3.0 zu WSUS 4.0
Entgegen vieler Annahmen ist die Windows Server Updates Services (WSUS) Version abhängig vom zugrundeliegenden Betriebssystem. So wird auf einem Windows Server 2008 (R2) WSUS 3.0 installiert, während Windows Server 2012(R2) WSUS 4.0 unterstützt. Aus diesem Grund wird beim Upgrade von WSUS 3.0 zu 4.0 eine neue Windows Server 2012 (R2) Version benötigt. Der wohl einfachste Weg zu migrieren ist, den neuen Windows Server mit der WSUS Rolle in die Domäne aufzunehmen, alle Einstellungen manuell neu zu konfigurieren und den alten Server abschalten. Da eine Umgebung aber recht groß und nicht so einfach neu konfigurierbar sein muss, ist es wünschenswert, dass die Einstellungen und Daten des alten Servers auf den neuen WSUS-Server übertragen werden können. Diese Migration läuft in folgenden fünf Schritten ab, welche wir uns in diesem Beitrag näher ansehen werden:
Migrieren der WSUS Update Binaries
Migrieren der WSUS Server Sicherheitsgruppen
Sichern und Wiedereinspielen der WSUS-Datenbank
Ändern der WSUS Server Identität
Anpassen der Sicherheitsrichtlinien
1. Migrieren der WSUS Update Binaries
Die WSUS Update Binaries liegen standardmäßig im Ordner UpdateServicesPackages und können mit einem Mittel der Wahl (z.B. Robocopy oder XCopy) kopiert werden. Hier verwenden wir zum Kopieren die Windows Server Migration Tools.
Das Feature Windows Server Migration Tools muss zuerst auf beiden Servern installiert werden.
Öffnen Sie es anschließend auf beiden Servern via Start – Administrative Tools – Windows Server Migration Tools – Windows Server Migration Tools (als Administrator)
Führen Sie in dieser Shell auf dem Zielserver den Befehl
Receive-SmigServerData
aus, woraufhin der Server nach einem Passwort fragt. Geben Sie hier ein beliebiges Passwort ein, welches Sie sich merken müssen, da man es auf dem Quellserver noch einmal benötigt.
Führen Sie in der Shell auf dem Quellserver den Befehl
Send-SmigServerData –ComputerName $Zielserver –SourcePath $Quellpfad –DestinationPath $Zielpfad –Include All –Force –Recurse
aus und geben Sie erneut das Verschlüsselungspasswort aus Schritt 3 ein. Hier sollte $Quellpfad den Pfad zum Ordner WSUS\UpdateServicesPackages des Quellservers und $Zielpfad selbiges für den Zielserver beinhalten.
Führen Sie Schritt 4 auch für den Ordner WSUS\WsusContent aus.
Sollten Fragen zum Kopieren der Binaries entstehen, gibt es unter [1] weitere Informationen. Ein weiterer Vorgang zum Kopieren der Datenbank wurde von einem Kollegen unter [2] behandelt.
2. Migrieren der WSUS Server Sicherheitsgruppen
In diesem Schritt können wir wieder auf die Windows Server Migration Tools zurückgreifen. Stellen Sie vorher sicher, dass der Zielserver die Namen der Gruppen auflösen kann.
Exportieren Sie zuerst die Einstellungen des Quellservers mit dem Befehl
Export-SmigServerSettings –User -Group –Path $Exportpfad –Verbose
Der User Parameter kann als einer der folgenden Werte spezifiziert werden:
- Enabled: Exportiert nur die aktivierten lokalen Benutzer
- Disabled: Exportiert nur die deaktivierten lokalen Benutzer
- All: Exportiert aktivierte und deaktivierte lokale Benutzer
In $Exportpfad sollte der Pfad angegeben werden, wohin die Einstellungen exportiert werden sollen. Auch hier verlangt der Server anschließend ein Verschlüsselungspasswort.
Importieren Sie nach Schritt 1 auf dem Zielserver die Gruppen mit dem Befehl
Import-SmigServerSettings –User -Group –Path $Exportpfad –Verbose
und geben Sie anschließend das Verschlüsselungspasswort aus Schritt 1 an.
3. Sichern und Wiedereinspielen der WSUS-Datenbank
Die Datenbank des alten WSUS Servers kann über Windows Internal Database oder eine Vollversion eines SQL Servers gesichert werden. Mit Hilfe von SQL Server Management Studio kann ein Backup der Datenbank des alten WSUS 3.0 Server erstellt werden und anschließend im neuen 4.0 Server wiederhergestellt werden. Da SQL in diesem Beitrag nicht thematisiert werden soll, sei an dieser Stelle auf die detaillierte Anleitung des TechNets [3] unter "Backup WSUS database on the source server and restore it to the destination server" verwiesen.
4. Ändern der WSUS Server Identität
Die WSUS Server Identität kann mit Hilfe der PowerShell geändert werden. Dies ist nötig, damit es zwischen Server und Clients nicht zu Problemen kommt, da es während der Migration zwei WSUS Server mit vermeintlich gleicher Identität gibt.
Öffnen Sie eine administrative PowerShell auf dem Zielserver.
Führen Sie in dieser folgendes Skript aus:
[Reflection.Assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$updateServer = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$config = $updateServer.GetConfiguration()
$config.ServerId = [System.Guid]::NewGuid()
$config.Save()
Zum Schluss muss noch ein neuer Verschlüsselungsschlüssel erstellt werden. Dies wird von StartServer.exe durchgeführt, welches sich im Ordner %ProgramFiles%\Update Service\Setup\ befindet und mit dem Befehl
.\StartServer.exe /Installmode=1
ausgeführt werden kann.
5. Anpassen der Sicherheitsrichtlinien
Im letzten Schritt müssen noch die Sicherheitseinstellungen auf dem Zielserver denen des Quellservers angepasst werden.
SMTP Server Einstellungen
Sollten Sie einen Proxy oder einen E-Mail Benachrichtigungsdienst zu einem SMTP Server haben, müssen diese manuell konfiguriert werden. Zum ersten finden Sie unter [4] eine Anleitung. Für eine E-Mail-Benachrichtigung findet sich unter [5] eine Anleitung.
Zertifikat
Um Pakete zu signieren und das Vertrauen zwischen Server und Client zu gewährleisten, muss noch das selbst-signierte Zertifikat des WSUS-Servers installiert werden. Sollte ein neues selbst-signiertes Zertifikat von Nöten sein, sollte das neue Verhalten von Windows Server 2012R2 beachtet werden, welches unter [6] beschrieben wird.
Firewall
Sollten sich Firewalls zwischen Internet und WSUS Server oder WSUS Server und Client befinden, müssen auch deren Sicherheitsregeln angepasst werden.
Abschließend sollte überprüft werden, ob der neu eingerichtete WSUS Server funktionstüchtig ist. Sollte dies der Fall sein, kann man den alten WSUS 3.0 aus der Domäne nehmen.
[1] https://technet.microsoft.com/en-us/library/ee822836(v=ws.10).aspx
[2] https://www.escde.net/blog/wsus-daten-und-updates-bei-in-place-upgrade-sichern-und-wiederherstellen
[3] https://technet.microsoft.com/en-us/library/564c2301-ce36-4333-ad52-5a2869a95cb
[4] https://technet.microsoft.com/de-de/library/cc708541(v=ws.10).aspx
[5] https://technet.microsoft.com/de-de/library/cc708608(v=ws.10).aspx
[6] https://blogs.technet.microsoft.com/wsus/2013/08/15/wsus-no-longer-issues-self-signed-certificates/
- ASP.NET 1
- Active Directory 41
- Administration Tools 1
- Allgemein 60
- Backup 4
- ChatBots 5
- Configuration Manager 3
- DNS 1
- Data Protection Manager 1
- Deployment 24
- Endpoint Protection 1
- Exchange Server 62
- Gruppenrichtlinien 4
- Hyper-V 18
- Intune 1
- Konferenz 1
- Künstliche Intelligenz 7
- Linux 3
- Microsoft Office 11
- Microsoft Teams 1
- Office 365 11
- Office Web App Server 1
- Powershell 21
- Remote Desktop Server 1
- Remote Server 1
- SQL Server 8
- Sharepoint Server 12
- Sicherheit 1
- System Center 10
- Training 1
- Verschlüsselung 2
- Virtual Machine Manager 1
- Visual Studio 1
- WSUS 7
- Windows 10 12
- Windows 8 9
- Windows Azure 4
- Windows Client 1
- Windows Server 24
- Windows Server 2012 7
- Windows Server 2012R2 15
- Windows Server 2016 7
- Windows Server 2019 2
- Windows Server 2022 1
- Zertifikate 4