Windows-10-Updates per WSUS

Hausapotheke

Dank WSUS erhalten auch Windows-10-Rechner ihre Updates problemlos über das Netzwerk. Damit Windows 10 aber optimal mit Neuerungen versorgt wird, sind in WSUS ebenso einige Einstellungen notwendig wie neue Gruppenrichtlinienvorlagen und eine Anpassung von GPOs.
Während die IT-Budgets in kleineren Unternehmen oft überschaubar ausfallen, sind die Anforderungen dieselben wie in großen Firmen. Die April-Ausgabe widmet ... (mehr)

WSUS installieren Sie in Windows Server 2016 als Serverrolle. Damit Windows-10-Updates installiert werden können, einschließlich Upgrades wie das Anniversary Update (Redstone 1, Win­dows 10 Version 1607), müssen Sie noch einige Einstellungen in der WSUS-Verwaltung vornehmen. Außerdem müssen Sie die neuen Gruppenrichtlinienvorlagen (ADMX) für Windows 10 Version 1607 [1] im Netzwerk einbinden. Diese stehen für Windows Server 2012 R2 und 2016 zur Verfügung. Die neuen ADMX-Dateien bieten wesentlich mehr Einstellungsmöglichkeiten als die Standard-Optionen in Windows Server 2016.

Besonders wichtig ist, dass der WSUS-Server selbst auf dem aktuellsten Update-Stand ist, da die Installationsdateien von Windows-10-Updates ansonsten nicht funktionieren. Vor allem die Entschlüsselung von ESD-Dateien auf dem WSUS-Server mit Windows Server 2012/R2 bereitet Probleme. Microsoft behandelt das Thema in der Knowledgebase [2]. Für Windows Server 2012 R2 spielt außerdem das Update KB3095113 [3] eine wichtige Rolle. Installieren Sie daher die nötigen Updates auf den Servern. Windows Server 2016 macht normalerweise weniger Zicken beim Verteilen von Windows-10-Updates als seine Vorgänger.

Die WSUS-Probleme von Windows Server 2012 R2 bestehen bei der Verteilung von Windows-10-Updates und Aktualisierungen meistens darin, dass sich die WSUS-Konsole nicht mehr mit dem Server verbinden kann, sobald bestimmte Updates installiert sind. Meistens hilft es, in der Befehlszeile den folgenden Befehl auszuführen:

> C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing

Außerdem müssen Sie über den Server-Manager das Feature "HTTP Activation" installieren – zu finden Sie den .NET-Framework-4.5-Features. Auch wenn das Feature Probleme bereitet, sollten Sie es installieren, da ansonsten das Anniversary Update und dessen Nachfolger nicht im Netzwerk verteilt werden können.

WSUS einrichten und Gruppenrichtlinien konfigurieren

Windows 10 wird generell genauso an WSUS angebunden wie Windows 7 bis 8.1. Die Standardeinstellungen setzen Sie daher genauso wie bei den Vorgängerversionen. Zusätzlich stehen für Windows 10 weitere Optionen zur Verfügung, die Sie zusammen mit WSUS einsetzen sollten. Damit Sie die neuen Funktionen verwenden können, sind die angesprochenen neuen Gruppenrichtlinienvorlagen notwendig. Diese kopieren Sie auf die Domaincontroller (DC) oder auf den lokalen Rechner, über den Sie die Gruppenrichtlinien verwalten. Danach arbeiten WSUS und Windows 10 deutlich besser zusammen.

Damit sich die neuen ADMX-Dateien in das Verzeichnis "C:\Windows\PolicyDefinitions" auf den DC und den Server, auf dem die Richtlinie bearbeitet wird, kopieren lassen, müssen Sie den Besitzer des Verzeichnisses und die Berechtigungen anpassen. Achten Sie auch darauf, die ADML-Dateien in das entsprechende Unterverzeichnis der Sprache zu kopieren, also zum Beispiel "de-de".

Nun stehen Ihnen die neuen Funktionen zur Steuerung von Updates aus Windows 10 1607 zur Verfügung, auch in Windows Server 2016. Sie erkennen das daran, dass Sie auf Servern mit Windows Server 2012 R2/2016 den Menüpunkt "Übermittlungsoptimierung" im Bereich "Computerkonfiguration / Richtlinien/ Administrative Vorlagen / Windows-Komponenten" finden.

Aktivieren Sie anschließend in den WSUS-Optionen in der Verwaltungskonsole auf der Registerkarte "Klassifizierungen" bei "Produkte und Klassifizierungen" den Menüpunkt "Upgrades". Nur dann lassen sich Updates wie die Windows-10-Version 1607 per WSUS verteilen. Nach Änderungen in diesen Einstellungen ist eine neue Synchronisierung notwendig. In den Optionen von WSUS sollten Sie außerdem auf der Registerkarte "Produkte" bei "Produkte und Klassifizierungen" die verschiedenen Menüpunkte für Windows 10 aktivieren. Besonders wichtig für die Verteilung des Anniversary Updates ist die Einstellung "Windows 10 Anniversary Update and Later Servicing Drivers", aber auch die anderen Windows-10-Optionen spielen eine Rolle.

Nachdem sich WSUS synchronisiert hat, erscheinen die verschiedenen Windows-10-Updates im Bereich "Alle Updates" der Konsole. Hier ist auch das Anniversary Update zu finden. Bei der Genehmigung des Anniversary Updates müssen Sie noch die obligatorischen Lizenzbedingungen bestätigen, wenn auch nur einmalig. Danach kann das Update verteilt werden. Ähnlich funktioniert das auch für die nächsten größeren Updates für Windows 10.

Bild 1: In der WSUS-Konsole lassen sich auch Einstellungen für den Download von Windows-10-Updates vornehmen. Dazu gehört die Auswahl, für welche Produkte Updates gezogen werden.

Rechner gruppieren

Für Windows-10-Updates kann es sinnvoll sein, verschiedene Computergruppen in WSUS anzulegen und die Rechner per GPO hinzuzufügen. Dadurch lassen sich große Updates wie das Anniversary Update besser verteilen und das Netzwerk schonen. So findet der Rollout von Updates nach und nach statt und nicht auf allen Rechnern gleichzeitig. Über den Menüpunkt "Computer" sehen Sie in der WSUS-Konsole bei "Nicht zugewiesene Computer" alle angebundenen Rechner. Hier sollten Sie für Windows-10-Computer eine eigene Computergruppe anlegen. Das Anlegen und Zuweisen zu dieser Gruppe erfolgt jeweils über das Kontextmenü. Sobald Sie die Gruppe erstellt und die Gruppenrichtlinien so gesetzt haben, dass auch Windows-10-Rechner die Updates aus WSUS erhalten, können Windows-10-Updates über den Bereich der Updates genehmigt werden. Wichtig ist eine vorherige Synchronisierung.

Sind alle Computer zugewiesen, legen Sie im Assistenten zum Genehmigen von Patches fest, auf welchen Computergruppen die Updates installiert werden sollen. Innerhalb der Gruppen erkennen Sie im Kontextmenü der einzelnen Computer sofort, ob Patches zu installieren sind. Um die Einstellungen über Gruppenrichtlinien zu steuern, verwenden Sie die Optionen unter "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows-Update". Über die Einstellung "Clientseitige Zuordnung aktivieren" legen Sie fest, zu welcher Computergruppe ein Computer zugeordnet werden soll, wenn er an WSUS angebunden wird. Zusätzlich verwenden Sie noch die Option "Gruppenrichtlinie oder Registrierungseinstellung auf Computern verwenden" im Bereich "Optionen / Computer" in der WSUS-Verwaltungskonsole. Per WSUS lassen sich übrigens auch die Definitions-Updates für Win-dows Defender auf Arbeitsstationen und Servern verteilen. Hier ist es wichtig, Windows-Defender-Updates für Windows 10 und Windows Server 2016 freizugeben.

Wollen Sie die Berichte in WSUS nutzen, muss auf dem Server das Tool "Microsoft Report Viewer Redistributable 2012" [4] installiert sein. Zusätzlich sind auf dem Server noch die CLR-Types für SQL Server 2012 [5] nötig. Um Updateberichte anzuzeigen, klicken Sie in der WSUS-Verwaltungskonsole im linken Fenster auf "Berichte" und die Option "Updatestatus-Zusammenfassung". Die Liste, die Sie daraufhin erhalten, filtern Sie anhand Ihrer gewünschten Kriterien. Klicken Sie anschließend in der Symbolleiste des Fensters auf "Bericht erstellen". Die Reports können Sie dann beispielsweise als Excel-Tabelle oder PDF-Datei speichern oder drucken. Klicken Sie dazu in der Symbolleiste auf das Speichern-Symbol.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019