Page tree
Skip to end of metadata
Go to start of metadata


--------

Aktueller Hinweis:

Am 14.01.2020 wird Microsoft voraussichtlich zum letzten mal Updates für Windows 7 und Windows Server 2008 R2 bereitstellen. Bitte aktualisieren Sie Ihre Systeme bis dahin auf ein noch unterstütztes Betriebssystem

Um die Migration zu erleichtern stellt das LRZ nun auch eine eigene Zielgruppe UpgradeOS für ein Upgrade von Clients kleiner Windows 10 bereit. 



15.05.20Mai-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
17.04.20April-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
13.03.20März-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
14.02.20Februar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
17.01.20

Feature Upgrade Windows 10 1909 freigegeben

Feature Upgrade Windows 10 1903 für LastBranch freigegeben

17.01.20Januar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).


1. Was ist WSUS?

Das LRZ bietet für Windows Rechner des Münchner Wissenschaftsnetzs (MWN) die Nutzung eines MS Windows Server Update Services (WSUS) an. Der Dienst ermöglicht Betreibern von Windows Systemen im MWN auf dem aktuellen Patch-Stand zu halten. Beim WSUS des LRZ handelt es sich um einen Teilmirror des Windows Updateservers von Microsoft. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom WSUS des LRZ. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion statt.

2. Vorteile den WSUS vom LRZ zu nutzen

  • Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
  • Reduzierung der Belastung des GWin-Anschlusses durch die Funktion des WSUS-Servers als zentralen Verteilpunkt innerhalb des MWN.
  • Der WSUS des LRZ leitet keine Daten an Microsoft weiter.
  • Updates für Windows Rechner können automatisiert installiert werden.
  • Rechner mit fehlenden Updates können besser identifiziert und verwaltet werden.

3. Mindestanforderungen

Das System muss eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Systeme, die über den VPN-Server des LRZ ans MWN angebunden sind. Der volle Funktionsumfang steht ab Windows 10 nur den Editionen Professional, Education und Enterprise zur Verfügung. Windows 10 Home-Versionen können über den WSUS keine Funktionsupdates mehr beziehen.

4. Welche Updates werden über WSUS angeboten?

Microsoft verteilt Updates für alle seiner Produkte über WSUS:

  • Windows Betriebssysteme Win 7/2008 R2 bis Win 10/2016
  • Feature Updates für Win10 für Professional, Education, Enterprise
  • MS Produkte wie Internet Explorer, Windows Media Player usw.
  • MS Office bis 2016, MS Office 2019 kann nicht mehr über den WSUS gepflegt werden
  • MS Exchange (2000 und höher), SMS, ISA-Server, Forefront
  • SQL Server (2000 und höher) und SQL Server 2000 Desktop Engine (MSDE)
  • Definitionupdates für Defender und Forefront

Zielgruppen

WSUS bietet die Möglichkeit Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden, welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:

  • Nicht zugeordnete Computer
    Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Softwareupdates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen die Administratoren selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden wollen. In diese Gruppen kommen auch alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature Update freigegeben.
  • AlleUpdates
    Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdates, Feature Packs, Fixes, Service Packs, Tools und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows Sharepoint Services, Office, SQL Server 2000 (und höher), MSDE und Exchange 2000 (und höher). Server sollten eventuell nicht in dieser Gruppe sein. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature Update freigegeben.
  • NoBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer, aber keine Feature Updates für Windows 10. In dieser Gruppen sollten Systeme nur kurzfristig aufgrund von Kompatibilitätsproblemen geparkt werden.
  • LastBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature Updates für Windows 10. Mit der Freigabe des aktuellen Feature Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature Update freigegeben.
  • UpgradeOS
    Rechner dieser Gruppe auch mit älteren Betriebssystemen (Windows 7, Windows 8) werden auf die aktuellste Windows 10 Version aktualisiert. Zusätzlich werden alle verfügbaren Updates installiert analog zur Zielgruppe AlleUpdates. Sie sollten Ihr System nach der Aktualisierung wieder in eine der anderen Gruppen verschieben.
  • Server
    Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer. Genau wie bei "Nicht zugeordnete Computer" bekommen die Clients keine Service Packs (außer für .NET Framework und Windows Sharepoint Services) oder Update-Rollups.

Die Mitgliedschaft in einer dieser Gruppen können Sie über die entsprechende Gruppenrichtlinie steuern. 


Verteilung von Windows 10 Featureupdates

Die Freigabe von Featureupdates für Windows 10 erfolgt zeitlich verzögert zum übernächsten Ersten nach dem Release des Featureupdates von Microsoft. Windows 10 Featureupdates werden nur für Targetgroups die in der nachfolgenden Tabelle verteilt.

ZielgruppeFeatureupdateFreigabe
Nicht zugeordnete ComputerVersion 190917.01.20
AlleUpdatesVersion 190917.01.20
LastBranchVersion 1903
17.01.20
NoBranchkein Upgrade-


Einschränkungen

  • Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Softwareupdates (z.B. Internet Explorer) auftreten könnten, werden standardmäßig diese vom LRZ nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben, dann werden alle verfügbaren Updates heruntergeladen auf Ihren Rechner.
  • Das LRZ unterstützt momentan nur die Sprachen Deutsch und Englisch.
  • Die Windows und Office Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.
  • Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.

5. Verfügbarkeit der Updates

Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern bis Ihre Updates auf dem Rechner Installationsbericht sind. Ein Update-Zyklus dauert dabei bis zu 23 Stunden.

6. Konfiguration

Die Konfiguration des Updateverhaltens erfolgt über Gruppenrichtlinien. Die Gruppenrichtlinien können sowohl für eine Einzelplatzinstallation als auch zur Verwaltung von vielen Rechnern über Active Directory Services verwendet werden.

Starten des Gruppenrichtlinien-Editors

Starten Sie den Gruppenrichtlinien-Editor über Start - Ausführen - gpedit.msc.

Konfigurieren des Windows Update

Unter "Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten" finden Sie den Punkt "Windows Update". Hier finden Sie die Richtlinien für den Windows Update Dienst und Sie können das Verhalten Ihres Clientsystems anpassen.

Öffnen Sie die Gruppenrichtlinie Automatische Updates konfigurieren. Hier haben Sie die Möglichkeit zu definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch, wenn die Updates bereits herunter geladen sind, dass diese von einem Benutzer mit administrativen Rechten vor der geplanten Installationszeit installiert werden können.

In der Richtlinie Internen Pfad für den Microsoft Updatedienst angeben definieren Sie den Pfad zu den LRZ-WSUS-Servern. Tragen Sie "https://sus.lrz.de" in beide Zellen ein.

Zielzuordnung

In der Richtlinie Clientseitige Zielzuordnung hinterlegen Sie die entsprechende Zielgruppe. Verwenden Sie "WSUS" als Zielgruppenname um die standardmäßige LRZ WSUS Patchverteilung Einstellungen zu verwenden. 

In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit eine bestimmte Wartezeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen die Wartezeit nach dem Systemstart auf 5 Minuten zu setzen.

Wenn der Status der Richtlinie "Kein automatischen Neustart für geplante Installationen durchführen, wenn Benutzer angemeldet ist" auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt ein Benutzer angemeldet ist. Stattdessen wird der Benutzer aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die von angemeldeten Benutzern durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen. Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.

Durch das Feature Dual Scan vergleicht der Client in regelmäsigen Abständen seinen Update-Stand mit dem der Microsoft Update-Server. Sie können das Feature deaktivieren in dem Sie die GPO  "Keine Verbindungen mit Windows Update-Internetadressen herstellen" konfigurieren.



Mit Windows 10 1607 hat Microsoft angefangen ein hybrides Modell für die Windows Updates einzühren bei dem der Client auch Updates bei Microsoft vorbei am WSUS ziehen kann. Das Feature wird von Microsoft immer wieder anepaßt. Aktuell kann das Verhalten über die folgende GPO unterbunden werden.

7. Update Vorgang

Automatische Installation

Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administratoren werden vor der Installation von Updates benachrichtigt und können die Updates wie unter Manuelle Installation erklärt installieren. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.  

Manuelle Installation

Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste rechts unten benachrichtigt. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.

Durch Doppelklick auf das Icon in der Taskleiste oder über "Einstellungen - Updates und Sicherheit" startet das Verwaltungsmenü für Windows Update.


  

Mit Klick auf " Nach Updates suchen " startet die Suche nach Updates, falls Updates gefunden werden werden diese gleich heruntergeladen und installiert.