Page tree
Skip to end of metadata
Go to start of metadata


15.05.19Aufgrund einer von Microsoft dokumentierten schwerwiegenden Sicherheitslücke CVE-2019-0708 in den Betriebssystemen Windows XP,7 und Windows Server 2003/2008 R2 wurden die entsprechenden Monatsupdates für diese Betriebssystemversionen vorzeitig freigegeben. Es handelt sich um KB4499164, KB4499175, KB4499149, KB4499180, KB4500331.
12.04.19

April-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

Aufgrund massiver Probleme mit verschiedenen Antivirenlösungen mit den April-Sicherheitsupdates für Windows 7/8/8.1 und Server 2008 R2/2012/2012 R2 wurden diese Sicherheitsupdates bis auf weiteres zurückgestellt. Betroffen sind die Updates KB4493446, KB4493448, KB4493450, KB4493451, 4493458, KB4493467, 4493471, KB4493472, 4493730, 

Weiter Informationen zu den Problemen und einen Link zu Sophos mit einer Reparaturanleitung finden Sie auf unseren Seiten Aktuelle LRZ-Informationen

Update: Seit dem 7.05.2019 wird über den Sophos-Server des LRZ die überarbeitete Version 10.8.2.363 verteilt, die das Problem nun umgeht.

15.0.3.19März-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
15.02.19

Februar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

Probleme in KMS-Aktivierung vom Januar von Microsoft behoben. Updates freigegeben.

11.01.19

Januar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

KB4480960 und KB4480970 aufgrund von Problemen bei der KMS-Aktivierung zurückgehalten. Ursache ist das Update KB971033, welches mit dieser Anleitung entfernt werden kann.

11.01.19

Feature Upgrade Windows 10 1809 freigegeben

Feature Upgrade Windows 10 1803 für LastBranch freigegeben

27.12.18Verteilung der problematischen Upates KB4483229 für den IE vom 19.12. wurde gestoppt.
27.12.18

Kritisches Sicherheitsupdate KB4483229 freigegeben.

Update: Microsoft hat eine Reihe von Known Issues für das Update veröffentlicht.

14.12.18

Aufgrund von weiteren Problemen mit dem Windows 10 1809 wird das Upgrade voraussichtlich mit dem Patchday im Januar freigegeben.

14.12.18

Dezember-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).


16.11.18November-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).


1. Was ist WSUS?

Das LRZ bietet für Windows Rechner des Münchner Wissenschaftsnetzs (MWN) die Nutzung eines MS Windows Server Update Services (WSUS) an. Der Dienst ermöglicht Betreibern von Windows Systemen im MWN auf dem aktuellen Patch-Stand zu halten. Beim WSUS des LRZ handelt es sich um einen Teilmirror des Windows Updateservers von Microsoft. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom WSUS des LRZ. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion statt.

2. Vorteile den WSUS vom LRZ zu nutzen

  • Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
  • Reduzierung der Belastung des GWin-Anschlusses durch die Funktion des WSUS-Servers als zentralen Verteilpunkt innerhalb des MWN.
  • Der WSUS des LRZ leitet keine Daten an Microsoft weiter.
  • Updates für Windows Rechner können automatisiert installiert werden.
  • Rechner mit fehlenden Updates können besser identifiziert und verwaltet werden.

3. Mindestanforderungen

Das System muss eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Systeme, die über den VPN-Server des LRZ ans MWN angebunden sind. Der volle Funktionsumfang steht ab Windows 10 nur den Editionen Professional, Education und Enterprise zur Verfügung. Windows 10 Home-Versionen können über den WSUS keine Funktionsupdates mehr beziehen.

4. Welche Updates werden über WSUS angeboten?

Microsoft verteilt Updates für alle seiner Produkte über WSUS:

  • Windows Betriebssysteme Win 7/2008 R2 bis Win 10/2016
  • Feature Updates für Win10 für Professional, Education, Enterprise
  • MS Produkte wie Internet Explorer, Windows Media Player usw.
  • MS Office bis 2016, MS Office 2019 kann nicht mehr über den WSUS gepflegt werden
  • MS Exchange (2000 und höher), SMS, ISA-Server, Forefront
  • SQL Server (2000 und höher) und SQL Server 2000 Desktop Engine (MSDE)
  • Definitionupdates für Defender und Forefront

Zielgruppen

WSUS bietet die Möglichkeit Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden, welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:

  • Nicht zugeordnete Computer
    Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Softwareupdates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen die Administratoren selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden wollen. In diese Gruppen kommen auch alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature Update freigegeben.
  • AlleUpdates
    Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdates, Feature Packs, Fixes, Service Packs, Tools und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows Sharepoint Services, Office, SQL Server 2000 (und höher), MSDE und Exchange 2000 (und höher). Server sollten eventuell nicht in dieser Gruppe sein. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature Update freigegeben.
  • NoBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer, aber keine Feature Updates für Windows 10. In dieser Gruppen sollten Systeme nur kurzfristig aufgrund von Kompatibilitätsproblemen geparkt werden.
  • LastBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature Updates für Windows 10. Mit der Freigabe des aktuellen Feature Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature Update freigegeben.
  • Server
    Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer. Genau wie bei "Nicht zugeordnete Computer" bekommen die Clients keine Service Packs (außer für .NET Framework und Windows Sharepoint Services) oder Update-Rollups.

Die Mitgliedschaft in einer dieser Gruppen können Sie über die entsprechende Gruppenrichtlinie steuern. 


Verteilung von Windows 10 Featureupdates

Die Freigabe von Featureupdates für Windows 10 erfolgt zeitlich verzögert zum übernächsten Ersten nach dem Release des Featureupdates von Microsoft. Windows 10 Featureupdates werden nur für Targetgroups die in der nachfolgenden Tabelle verteilt.

ZielgruppeFeatureupdateFreigabe
Nicht zugeordnete ComputerVersion 180911.01.19
AlleUpdatesVersion 180911.01.19
LastBranchVersion 1803
11.01.19


Einschränkungen

  • Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Softwareupdates (z.B. Internet Explorer) auftreten könnten, werden standardmäßig diese vom LRZ nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben, dann werden alle verfügbaren Updates heruntergeladen auf Ihren Rechner.
  • Das LRZ unterstützt momentan nur die Sprachen Deutsch und Englisch.
  • Die Windows und Office Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.
  • Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.

5. Verfügbarkeit der Updates

Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern bis Ihre Updates auf dem Rechner Installationsbericht sind. Ein Update-Zyklus dauert dabei bis zu 23 Stunden.

6. Konfiguration

Die Konfiguration des Updateverhaltens erfolgt über Gruppenrichtlinien. Die Gruppenrichtlinien können sowohl für eine Einzelplatzinstallation als auch zur Verwaltung von vielen Rechnern über Active Directory Services verwendet werden.

Starten des Gruppenrichtlinien-Editors

Starten Sie den Gruppenrichtlinien-Editor über Start - Ausführen - gpedit.msc.

Konfigurieren des Windows Update

Unter "Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten" finden Sie den Punkt "Windows Update". Hier finden Sie die Richtlinien für den Windows Update Dienst und Sie können das Verhalten Ihres Clientsystems anpassen.

Öffnen Sie die Gruppenrichtlinie Automatische Updates konfigurieren. Hier haben Sie die Möglichkeit zu definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch, wenn die Updates bereits herunter geladen sind, dass diese von einem Benutzer mit administrativen Rechten vor der geplanten Installationszeit installiert werden können.

In der Richtlinie Internen Pfad für den Microsoft Updatedienst angeben definieren Sie den Pfad zu den LRZ-WSUS-Servern. Tragen Sie "https://sus.lrz.de" in beide Zellen ein.

Zielzuordnung

In der Richtlinie Clientseitige Zielzuordnung hinterlegen Sie die entsprechende Zielgruppe. Verwenden Sie "WSUS" als Zielgruppenname um die standardmäßige LRZ WSUS Patchverteilung Einstellungen zu verwenden. 

In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit eine bestimmte Wartezeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen die Wartezeit nach dem Systemstart auf 5 Minuten zu setzen.

Wenn der Status der Richtlinie "Kein automatischen Neustart für geplante Installationen durchführen, wenn Benutzer angemeldet ist" auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt ein Benutzer angemeldet ist. Stattdessen wird der Benutzer aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die von angemeldeten Benutzern durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen. Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.

Durch das Feature Dual Scan vergleicht der Client in regelmäsigen Abständen seinen Update-Stand mit dem der Microsoft Update-Server. Sie können das Feature deaktivieren in dem Sie die GPO  "Keine Verbindungen mit Windows Update-Internetadressen herstellen" konfigurieren.



7. Update Vorgang

Automatische Installation

Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administratoren werden vor der Installation von Updates benachrichtigt und können die Updates wie unter Manuelle Installation erklärt installieren. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.  

Manuelle Installation

Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste rechts unten benachrichtigt. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.

Durch Doppelklick auf das Icon in der Taskleiste oder über "Einstellungen - Updates und Sicherheit" startet das Verwaltungsmenü für Windows Update.


  

Mit Klick auf " Nach Updates suchen " startet die Suche nach Updates, falls Updates gefunden werden werden diese gleich heruntergeladen und installiert.