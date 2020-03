WSUS (Windows Server Update Service) ist die Software der Wahl für das automatische Updaten von Windows-Systemen – jedenfalls wenn es nach Microsoft geht. IT-Administratoren klagen jedoch über die vielen Unzulänglichkeiten bei solchen Prozessen. Der Softwarehersteller Aagon will helfen, dieses Problem mit der Komponente Cawum seiner Client-Management-Lösung zu bewältigen.

Windows-Systeme müssen stets auf dem aktuellen Stand sein – heutige Beispiele zeigen eindrucksvoll, wie gefährlich es ist, veraltete Systeme ohne Patches und Updates zu betreiben. Das deutsche Unternehmen Aagon aus Soest, das mit seiner Software ACMP im Umfeld von Client-Management-Software tätig ist, hat diese Lösung nun um eine weitere, sehr interessante Komponente erweitert: Unter dem eher ungewöhnlichen Namen Cawum, der für „Complete Aagon Windows Update Management“ steht, bietet das Unternehmen eine Lösung für die Windows Updates an. Mit folgenden Vorteilen kann die Software dabei punkten:

Administratoren können mit ihr den Windows Server Update Service WSUS komplett ablösen,

eine Automatisierung ist mit Hilfe von drei konfigurierbaren Freigaberingen möglich,

es sind keine WSUS-Server in den einzelnen Niederlassungen mehr notwendig, dafür kommen jeweils File-Repositories vor Ort zum Einsatz,

dabei ist es für die Administratoren möglich, sehr fein granuliert festzulegen, welche Patches in welchen Sprachen auf welchen der File Repositories synchronisiert werden, und die IT-Mannschaft kann tagesaktuelle Updates für die eigene IT durchführen.

All diese Features sollen im täglichen Betrieb nicht nur dabei helfen, die WSUS-Probleme aus dem IT-Betrieb zu verbannen, sie können vielmehr auch dazu beitragen, Zeit und Bandbreite einzusparen. Die Lösung braucht zum Einsatz als „Grundgerüst“ nur das Inventarisierungsmodul, womit dann auch die ACMP-Oberfläche bereitsteht. Auch für die Automatisierung der Update-Aufgaben sind die Komponenten ACMP Desktop Automation in diesem Fall nicht nötig.

Blick auf den praktischen Einsatz und die Methode

Für Test kam eine von Aagon zur Verfügung gestellte virtuelle Maschine zum Einsatz. Dabei handelte es sich um eine bereits vorkonfigurierte Umgebung, die unter anderem mit einem Domänen-Controller und allen benötigten Teilen wie etwa derDatenbank SQL Server Express ausgestattet war. In dieser Umgebung konnten wir uns die verschiedenen Funktionen näher anschauen und auch eigene Tests durchführen. Die Konsole der Lösung war in dieser Umgebung auf einem Windows Server 2016 in der Standardversion installiert.

Bei der Installation hilft ein Assistent durch die ersten Schritte. Dabei kann der Nutzer gleich auch die benötigte Datenbank anlegen oder eine bereits vorhandene Installation beispielsweise des SQL-Servers nutzen. Mit dem Assistenten kann der Administrator auch bereits bei der Installation entscheiden, welche Update-Informationen heruntergeladen werden.

Nachdem die ersten Schritte durchlaufen sind, kann der Nutzer direkt aus der Konsole heraus die Agenten auf die zu betreuenden Systeme ausbringen. Diese Agenten dienen im Rahmen des ACMP-Programmpakets vielen Zwecken, beispielsweise der Inventarisierung. Sie kommen jetzt auch für die Verwaltung der Updates zum Einsatz.

Im Punkt Update-Management findet der Nutzer drei Einstellmöglichkeiten. Dabei geht es zunächst darum, ob die Updates „on Demand“ oder generell immer heruntergeladen werden sollen. Laut Auskunft der Spezialisten von Aagon entscheiden sich die meisten Kunden dafür, hier die vorgegebene Auswahl „on Demand“ zu nutzen, da dann die Installationsdateien nur dann heruntergeladen werden, wenn mindestens ein Client vorhanden ist, der dieses Update benötigt. Die nächste Einstellung stellt bereits einen großen Vorteil im Vergleich zu WSUS dar: Sie erlaubt es dem Administrator zu spezifizieren, nach wie vielen Tagen die Annahme von Updates, die auf den Systemen nicht nötig sind, automatisch abgelehnt wird und diese danach gelöscht werden. So können die unter WSUS berüchtigten „Datengräber“ nicht benötigter Pakete überhaupt nicht erst entstehen.

Auch die nächste Option ist sehr nützlich: Mit ihrer Hilfe lässt sich sicherstellen, dass EULAs von Updates auch ungelesen akzeptiert durchgehen. Dabei weist das Programm auch darauf hin, dass eine derartige Einstellung in einigen Ländern dem geltenden Recht widersprechen kann. Schließlich kann der Administrator dann noch die Adresse des Update-Servers auswählen. Dies wird in den meisten Fällen die Adresse des Microsoft-Servers sein, aber auch ein bereits im Unternehmensnetzwerk vorhandener WSUS-Server ist möglich.

Für die Verteilung der Updates stehen drei Verteilringe zur Verfügung, die sich sehr gut und flexibel konfigurieren lassen. Sie sind beispielsweise so konfigurierbar, dass die Updates automatisch von einem Ring in den nächsten rutschen. Dies lässt sich selbstverständlich auch so konfigurieren, dass der Wechsel manuell stattfindet, beispielsweise, um einen Ring zu überspringen. Diesen Mechanismus ergänzen die sogenannten Container. Dies sind Gruppen, in denen Rechner nach Kriterien der IT zusammengefasst und den entsprechenden Verteilerringen zugewiesen sind. Über Filter lassen sich die Container mit Systemen auffüllen. Dabei können jene Merkmale, die die ACMP-Agenten erfasst haben, dazu dienen, die entsprechenden Filterungen vorzunehmen und die Systeme einzuordnen.

Die Lösung bietet noch weitere Möglichkeiten, die Platz für einen künftigen weiteren Test lassen. Wer die Software jedoch zunächst selbst unter die Lupe nehmen will, kann eine kostenlose Version von ACMP herunterladen und dabei ohne Einschränkungen auch die Möglichkeiten des Cawum-Moduls ausgiebig durchtesten. Die Testversion kann 15 Client-Systeme betreuen.

Fazit: Sinnvolle Ergänzung

Waren unsere Erfahrungen mit der AMCP-Software für das Client-Management schon bisher sehr positiv, so setzt sich dieser Eindruck bei der neuen Komponente für die Windows-Updates nahtlos fort. Was uns dabei besonders gut gefallen hat: Nutzer müssen nur das „Grundgerüst“ von ACMP – die Inventarisierung – besitzen und können dann das neue Modul einsetzen. Wie bei dieser Software üblich, lässt sich jedes neue Modul einfach durch eine Registrierung freigeschalten. Die übersichtlich aufgebaute Oberfläche erleichtert den Einstieg auch mit Hilfe immer zugänglicher erläuternder Informationen zur jeweiligen Thematik. Nach unserer Einschätzung sind es unter anderem auch die Möglichkeiten zum Ausbringen von Patches unter Einsatz sogenannter Container und mit Hilfe von einfach zu verwaltenden Verteilerringen, die IT-Mitarbeiter sowohl vom Konzept her als auch in der Praxis überzeugen. Zwar können sie fast alle diese Tätigkeiten prinzipiell auch mit WSUS ausführen – aber mit Cawum erreichen sie unter anderem einen deutlich höheren Grad der Automatisierung als mit der Microsoft-Lösung.

ACMP Cawum lizenziert der Hersteller pro Client. Bis zum 1. Juni 2020 gilt noch ein vergünstigter Einführungspreis, sodass Unternehmen 100 Client-Lizenzen für insgesamt 691,50 Euro plus Wartung erwerben können. Danach soll dieser Preis laut Angaben von Aagon um 50 Prozent steigen. Damit wird dann der (gestaffelte) Preis pro Rechner knapp über zehn Euro liegen.