Migration von WSUS 3.0 zu WSUS 4.0

Entgegen vieler Annahmen ist die Windows Server Updates Services (WSUS) Version abhängig vom zugrundeliegenden Betriebssystem. So wird auf einem Windows Server 2008 (R2) WSUS 3.0 installiert, während Windows Server 2012(R2) WSUS 4.0 unterstützt. Aus diesem Grund wird beim Upgrade von WSUS 3.0 zu 4.0 eine neue Windows Server 2012 (R2) Version benötigt. Der wohl einfachste Weg zu migrieren ist, den neuen Windows Server mit der WSUS Rolle in die Domäne aufzunehmen, alle Einstellungen manuell neu zu konfigurieren und den alten Server abschalten. Da eine Umgebung aber recht groß und nicht so einfach neu konfigurierbar sein muss, ist es wünschenswert, dass die Einstellungen und Daten des alten Servers auf den neuen WSUS-Server übertragen werden können. Diese Migration läuft in folgenden fünf Schritten ab, welche wir uns in diesem Beitrag näher ansehen werden:

  1. Migrieren der WSUS Update Binaries

  2. Migrieren der WSUS Server Sicherheitsgruppen

  3. Sichern und Wiedereinspielen der WSUS-Datenbank

  4. Ändern der WSUS Server Identität

  5. Anpassen der Sicherheitsrichtlinien

1. Migrieren der WSUS Update Binaries

Die WSUS Update Binaries liegen standardmäßig im Ordner UpdateServicesPackages und können mit einem Mittel der Wahl (z.B. Robocopy oder XCopy) kopiert werden. Hier verwenden wir zum Kopieren die Windows Server Migration Tools.

  • Das Feature Windows Server Migration Tools muss zuerst auf beiden Servern installiert werden.

  • Öffnen Sie es anschließend auf beiden Servern via Start – Administrative Tools – Windows Server Migration Tools – Windows Server Migration Tools (als Administrator)

  • Führen Sie in dieser Shell auf dem Zielserver den Befehl

Receive-SmigServerData

aus, woraufhin der Server nach einem Passwort fragt. Geben Sie hier ein beliebiges Passwort ein, welches Sie sich merken müssen, da man es auf dem Quellserver noch einmal benötigt.

  • Führen Sie in der Shell auf dem Quellserver den Befehl

Send-SmigServerData –ComputerName $Zielserver –SourcePath $Quellpfad –DestinationPath $Zielpfad –Include All –Force –Recurse

aus und geben Sie erneut das Verschlüsselungspasswort aus Schritt 3 ein. Hier sollte $Quellpfad den Pfad zum Ordner WSUS\UpdateServicesPackages des Quellservers und $Zielpfad selbiges für den Zielserver beinhalten.

  • Führen Sie Schritt 4 auch für den Ordner WSUS\WsusContent aus.

Sollten Fragen zum Kopieren der Binaries entstehen, gibt es unter [1] weitere Informationen. Ein weiterer Vorgang zum Kopieren der Datenbank wurde von einem Kollegen unter [2] behandelt.

2. Migrieren der WSUS Server Sicherheitsgruppen

In diesem Schritt können wir wieder auf die Windows Server Migration Tools zurückgreifen. Stellen Sie vorher sicher, dass der Zielserver die Namen der Gruppen auflösen kann.

  • Exportieren Sie zuerst die Einstellungen des Quellservers mit dem Befehl

Export-SmigServerSettings –User -Group –Path $Exportpfad –Verbose

Der User Parameter kann als einer der folgenden Werte spezifiziert werden:
Enabled: Exportiert nur die aktivierten lokalen Benutzer
Disabled: Exportiert nur die deaktivierten lokalen Benutzer
All: Exportiert aktivierte und deaktivierte lokale Benutzer
In $Exportpfad sollte der Pfad angegeben werden, wohin die Einstellungen exportiert werden sollen. Auch hier verlangt der Server anschließend ein Verschlüsselungspasswort.

  • Importieren Sie nach Schritt 1 auf dem Zielserver die Gruppen mit dem Befehl

Import-SmigServerSettings –User -Group –Path $Exportpfad –Verbose

und geben Sie anschließend das Verschlüsselungspasswort aus Schritt 1 an.

3. Sichern und Wiedereinspielen der WSUS-Datenbank

Die Datenbank des alten WSUS Servers kann über Windows Internal Database oder eine Vollversion eines SQL Servers gesichert werden. Mit Hilfe von SQL Server Management Studio kann ein Backup der Datenbank des alten WSUS 3.0 Server erstellt werden und anschließend im neuen 4.0 Server wiederhergestellt werden. Da SQL in diesem Beitrag nicht thematisiert werden soll, sei an dieser Stelle auf die detaillierte Anleitung des TechNets [3] unter "Backup WSUS database on the source server and restore it to the destination server" verwiesen.

4. Ändern der WSUS Server Identität

Die WSUS Server Identität kann mit Hilfe der PowerShell geändert werden. Dies ist nötig, damit es zwischen Server und Clients nicht zu Problemen kommt, da es während der Migration zwei WSUS Server mit vermeintlich gleicher Identität gibt.
 

  • Öffnen Sie eine administrative PowerShell auf dem Zielserver.

Führen Sie in dieser folgendes Skript aus:

[Reflection.Assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$updateServer = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$config = $updateServer.GetConfiguration()
$config.ServerId = [System.Guid]::NewGuid()
$config.Save()

Zum Schluss muss noch ein neuer Verschlüsselungsschlüssel erstellt werden. Dies wird von StartServer.exe durchgeführt, welches sich im Ordner %ProgramFiles%\Update Service\Setup\ befindet und mit dem Befehl

.\StartServer.exe /Installmode=1

ausgeführt werden kann.

5. Anpassen der Sicherheitsrichtlinien

Im letzten Schritt müssen noch die Sicherheitseinstellungen auf dem Zielserver denen des Quellservers angepasst werden.

  • SMTP Server Einstellungen

Sollten Sie einen Proxy oder einen E-Mail Benachrichtigungsdienst zu einem SMTP Server haben, müssen diese manuell konfiguriert werden. Zum ersten finden Sie unter [4] eine Anleitung. Für eine E-Mail-Benachrichtigung findet sich unter [5] eine Anleitung.

  • Zertifikat

Um Pakete zu signieren und das Vertrauen zwischen Server und Client zu gewährleisten, muss noch das selbst-signierte Zertifikat des WSUS-Servers installiert werden. Sollte ein neues selbst-signiertes Zertifikat von Nöten sein, sollte das neue Verhalten von Windows Server 2012R2 beachtet werden, welches unter [6] beschrieben wird.

  • Firewall

Sollten sich Firewalls zwischen Internet und WSUS Server oder WSUS Server und Client befinden, müssen auch deren Sicherheitsregeln angepasst werden.

Abschließend sollte überprüft werden, ob der neu eingerichtete WSUS Server funktionstüchtig ist. Sollte dies der Fall sein, kann man den alten WSUS 3.0 aus der Domäne nehmen.

[1] https://technet.microsoft.com/en-us/library/ee822836(v=ws.10).aspx
[2] https://www.escde.net/blog/wsus-daten-und-updates-bei-in-place-upgrade-sichern-und-wiederherstellen
[3] https://technet.microsoft.com/en-us/library/564c2301-ce36-4333-ad52-5a2869a95cb
[4] https://technet.microsoft.com/de-de/library/cc708541(v=ws.10).aspx
[5] https://technet.microsoft.com/de-de/library/cc708608(v=ws.10).aspx
[6] https://blogs.technet.microsoft.com/wsus/2013/08/15/wsus-no-longer-issues-self-signed-certificates/