Anbindung an WSUS überprüfen

Um zu überprüfen, ob ein Rechner erfolgreich an WSUS angebunden wurde und die Einstellungen in den Gruppenrichtlinien funktionieren, reicht das Ausführen von »rsop.msc« als Administrator auf dem Rechner. Die Einstellungen für die Gruppenrichtlinien werden im Fenster angezeigt. Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche des WSUS erscheinen. Auf den einzelnen Rechnern können Sie in der Eingabeaufforderung durch Eingabe des Befehls »wuauclt /detectnow« eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch nicht angebunden, geben Sie in der Befehlszeile »gpupdate /force« und dann »Wuauclt.exe /reportnow /detectnow« ein. Sobald ein Windows-10-Rechner an WSUS angebunden ist, erscheint der Link "Suchen Sie online nach Updates von Microsoft Update" in der lokalen Verwaltung der Updates. Dieser Link erscheint ohne die Anbindung an WSUS nicht, da hier die Installation von Updates ohnehin über das Internet erfolgt.

In der WSUS-Konsole lassen sich auch mehrere Updates auf einmal markieren und über das Kontextmenü genehmigen. Hier wählen Sie auch die Windows-10-Gruppe aus. Über den Menüpunkt "Alle Updates" stehen auch Windows-10-Upgrades zur Verfügung – also die Möglichkeit, Funktionsupdates auf Windows-10-Rechnern durchzuführen. Bei manchen Aktualisierungen wie dem Windows-10-Release 1607 müssen Sie die Lizenzbedingungen einmal zentral bestätigen. Sobald Updates für Windows 10 zur Verfügung stehen, beginnen die Windows-10-Rechner mit der Suche danach und installieren diese gemäß der konfigurierten Richtlinien. Bis die Installation durchläuft, kann es natürlich einige Minuten dauern. Mit einem Doppelklick auf einen Rechner in der Computergruppe von Windows 10 erscheinen Informationen zu diesem. Hier sehen Sie, ob Updates nicht installiert werden konnten.

Bild 2: In den Gruppenrichtlinien bestimmen Sie das Verhalten der Clients bei der Aktualisierung.

Gruppenrichtlinien für Windows 10 konfigurieren

Haben Sie die neuen ADMX-Dateien für Windows 10 1607 auf den DCs eingespielt, können Sie die Anpassungen für Windows 10 vornehmen. Der Menüpunkt "Übermittlungsoptimierung" im Bereich "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten" spielt hier eine besondere Rolle. Vor allem den Downloadmodus und die Bandbreiten sollten Sie hier anpassen, damit Windows-10-Rechner die Updates effizient herunterladen können und nicht zu viel Bandbreite verbrauchen.

Sinnvoll kann die Option "Umgehen" beim "Downloadmodus" sein. Das gilt auch für Windows-10-Rechner, die nicht an WSUS angebunden sind. Durch das Aktivieren der Option "Umgehen" wird der neue Downloadmodus übergangen und weiterhin die BITS-Technologie verwendet. Das behebt auch Download-Probleme bei Windows 10 ohne den Einsatz von WSUS und verhindert, dass Windows-10-Rechner bei Aktualisierungen die komplette Bandbreite des Netzwerks und der Internet-Leitung beanspruchen. Die Werte bei "Maximale Downloadbandbreite", "Max. Upload-bandbreite" und "Minimaler Hintergrund-QoS-Wert" sollten Sie aber ebenfalls überprüfen und anpassen.

Um den WSUS-Server zu schonen, können Windows-Rechner Updates auch untereinander weiterreichen. So haben Sie die Möglichkeit zu steuern, dass Windows-10-Rechner Aktualisierungen an andere Rechner am gleichen Active-Directory-Standort verteilen. Auf Wunsch lassen sich hierfür eigene Gruppen erstellen, zum Beispiel für kleine Büros. Zwischen diesen Gruppen tauschen Windows-10-Rechner bei entsprechender Konfiguration die Updates ohne WSUS aus. Dazu später mehr.

Die Steuerung von Updates hat Microsoft in Windows 10 komplett geändert. In den Editionen Pro und Enterprise von Windows 10 können Sie die Installation von Updates per Gruppenrichtlinien

zurückstellen. Davon betroffen sind vor allem neue Funktionen und normale Aktualisierungen, jedoch keine Sicherheits-Patches. Die Einstellung dazu finden Sie über "Computerkonfiguration / Richtlinien / Administrative Vorlagen / Windows-Komponenten / Windows Update / Upgrade zurückstellen". Auch diese Optionen stehen erst zur Verfügung, wenn Sie die neuen Gruppenrichtlinienvorlagen von Windows 10 installiert haben.

Über den Bereich "Windows-Update / Windows-Updates zurückstellen" können Sie per Richtlinie festlegen, dass Windows 10 Updates mit neuen Funktionen bis zu 180 Tage verzögert installiert. Hierfür setzen Sie den Wert "Beim Empfang von Funktionsupdates auswählen" auf "Current Branch for Business" und beispielsweise 180 Tage. Das ist auch der maximale Zeitraum der Verzögerung.

Die Einstellung "Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren" lässt sich für Windows 10 so festlegen, dass Computer innerhalb der festgelegten Zeiten nicht neu starten. Über die Einstellung "Computereinstellungen / Administrative Vorlagen / Windows-Komponenten / Windows Update" und der Auswahl von "Keine Treiber in Windows-Updates einschließen" verhindern Sie ferner, dass Windows 10 und Server 2016 Treiber über Windows-Updates installieren.