Page tree
Skip to end of metadata
Go to start of metadata


Barrierefreiheit

Diese Seite enthält bei Bildern/Grafiken alternative Texte.


11.09.20

Feature Upgrade Windows 10 2004

Feature Upgrade Windows 10 1909 für LastBranch



11.09.20September-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
21.08.20Außerplanmäßiges Sicherheitsupdate KB4578013 freigegeben (Näheres bei Microsoft: dt. / en.).
14.08.20August-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).
10.07.20Juli-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).


17.01.20

Feature Upgrade Windows 10 1909 freigegeben.

Feature Upgrade Windows 10 1903 für LastBranch freigegeben.

1. Was ist WSUS?

Das LRZ bietet für Windows-Rechner des Münchner Wissenschaftsnetzs (MWN) Microsofts Windows Server Update Services (WSUS) zur Benutzung an. Dieser Dienst ermöglicht es Betreibern, Windows-Systemen im MWN auf dem aktuellen Patch-Stand zu halten. Beim WSUS des LRZ handelt es sich um einen Teil-Mirror des Windows Updateservers von Microsoft. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom WSUS des LRZ. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Benutzerinteraktion statt.

2. Vorteile der Nutzung von WSUS vom LRZ

  • Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
  • Die Belastung des GWin-Anschlusses wird reduziert. (WSUS-Server funktioniert als zentralen Verteilpunkt im MWN.)
  • Der WSUS des LRZ leitet keine Daten an Microsoft weiter.
  • Updates für Windows-Rechner können automatisiert installiert werden.
  • Rechner mit fehlenden Updates können besser identifiziert und verwaltet werden.

3. Mindestanforderungen

Das System muss eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Systeme, die über den VPN-Server des LRZ ans MWN angebunden sind. Der volle Funktionsumfang steht ab Windows 10 nur den Editionen Professional, Education und Enterprise zur Verfügung. Windows 10 Home-Versionen können über den WSUS keine Funktionsupdates mehr beziehen.

4. Welche Updates werden über WSUS angeboten?

Microsoft verteilt Updates für alle seiner Produkte über WSUS:

  • Windows-Betriebssysteme Win 7/2008 R2 bis Win 10/2016
  • Feature-Updates für Win10 für Professional, Education, Enterprise
  • MS-Produkte wie Internet Explorer, Windows Media Player usw.
  • MS-Office bis 2016 (MS-Office 2019 nicht mehr)
  • MS-Exchange (2000 und höher), SMS, ISA-Server, Forefront
  • SQL-Server (2000 und höher) und SQL Server 2000 Desktop Engine (MSDE)
  • Definition-Updates für Defender und Forefront

Zielgruppen

WSUS bietet die Möglichkeit, Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden, welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:

  • Nicht zugeordnete Computer
    Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Software-Updates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen die Administratoren selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden wollen. In diese Gruppen kommen auch alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature-Update freigegeben.
  • AlleUpdates
    Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdates, Feature Packs, Fixes, Service Packs, Tools und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows Sharepoint Services, Office, SQL Server 2000 (und höher), MSDE und Exchange 2000 (und höher). Server sollten eventuell nicht in dieser Gruppe sein. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature-Update freigegeben.
  • NoBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer, aber keine Feature-Updates für Windows 10. In dieser Gruppen sollten Systeme nur kurzfristig aufgrund von Kompatibilitätsproblemen geparkt werden.
  • LastBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature-Updates für Windows 10. Mit der Freigabe des aktuellen Feature-Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature-Update freigegeben.
  • UpgradeOS
    Rechner dieser Gruppe auch mit älteren Betriebssystemen (Windows 7, Windows 8) werden auf die aktuellste Windows 10 Version aktualisiert. Zusätzlich werden alle verfügbaren Updates installiert analog zur Zielgruppe AlleUpdates. Sie sollten Ihr System nach der Aktualisierung wieder in eine der anderen Gruppen verschieben.
  • Server
    Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer, also keine Service Packs (außer für ".NET"-Framework und Windows Sharepoint Services) oder Update-Rollups.

Die Mitgliedschaft in einer dieser Gruppen können Sie über die entsprechende Gruppenrichtlinie steuern. 

Verteilung von Windows 10 Featureupdates

Die Freigabe von Feature-Updates für Windows 10 erfolgt zeitlich verzögert zum übernächsten Ersten nach dem Release des Feature-Updates von Microsoft. Feature-Updates von Windows 10 werden nur für Targetgroups die in der nachfolgenden Tabelle verteilt.

ZielgruppeFeatureupdateFreigabe
Nicht zugeordnete ComputerVersion 190917.01.20
AlleUpdatesVersion 190917.01.20
LastBranchVersion 1903
17.01.20
NoBranchkein Upgrade-

Einschränkungen

  • Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Software-Updates (z.B. Internet Explorer) auftreten könnten, werden Windows 10 vom LRZ Windows 10 nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben. Dann werden alle verfügbaren Updates auf Ihren Rechner heruntergeladen.
  • Das LRZ unterstützt momentan nur die Sprachen Deutsch und Englisch.
  • Die Windows- und Office-Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.
  • Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.

5. Verfügbarkeit der Updates

Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern, bis Ihre Updates auf dem Rechner installationsbereit sind. Ein Update-Zyklus dauert dabei bis zu 23 Stunden.

6. Konfiguration

Die Konfiguration des Update-Verhaltens erfolgt über Gruppenrichtlinien. Diese können sowohl für eine Einzelplatzinstallation als auch zur Verwaltung von vielen Rechnern über Active Directory Services verwendet werden.

Starten des Gruppenrichtlinien-Editors

Nur zur Illustration. Beschreibung nächstes Feld.

Wählen Sie den Windows-Start, tragen Sie in das Suchfeld gpedit.msc ein. Beim Ergebnis lassen Sie über das Kontextmenü (rechte Maustaste) den Editor Als Administrator ausführen.

Konfigurieren des Windows-Updates

Unter "Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten" wählen Sie den Punkt "Windows Update". Hier finden Sie die zugehörigen Richtlinien und können das Verhalten Ihres Client-Systems anpassen.

Fenster Editor für lokale Gruppenrichtlinien. Menüleiste, Symbolleiste, Hauptfeld mit zwei Teilen. Linker Teil, Baumstruktur, ausgewählt, Windows Update. Rechter Teil, Unten die Registerkarte Erweitert und Standard, ausgewählt, Registerkarte Erweitert, Wieder Feld mit zwei Teilen. Rechter Teil, etwa 30 Richtlinien, ausgewählt, Automatische Updates konfigurieren. Linker Teil, Angaben zur ausgewählten Richtlinie, Auswahlpunkt Richtlinieneinstellung bearbeiten, darunter Anforderungen, Beschreibung usw.

Wählen Sie bei der Gruppenrichtlinie Automatische Updates konfigurieren den Punkt "Richtlinieneinstellung bearbeiten" (siehe Grafik oben). Hier können Sie definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch: wenn die Updates bereits herunter geladen sind, können diese von einem Benutzer mit administrativen Rechten vor der geplanten Installationszeit installiert werden.

Fenster Automatische Updates konfigurieren. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Auswahlliste, ausgewählt, 4 Autom. Herunterladen und laut Zeitplan installieren. Nicht ausgewählt, Während automatischer Wartung installieren. Geplanter Installationstag, Auswahlliste, ausgewählt, 0 - Täglich. Geplante Installationszeit, Auswahlliste, ausgewählt, 03,00. Sie können Updates einmal pro Woche, alle zwei Wochen oder einmal pro Monat suchen lassen. Ausgewählt, Jede Woche. Der Rest des Inhalts ist nicht sichbar. Es gibt einen Scroll-Balken. Rechter Teil, Feld Hilfe, Erklärungstext mit Scroll-Balken. Abschließend unten rechts, Schaltflächen OK, bbrechen, Übernehmen.

In der Richtlinie "Internen Pfad für den Microsoft Updatedienst angeben" definieren Sie den Pfad zu den LRZ-WSUS-Servern. Tragen Sie "https://sus.lrz.de" in beide Zellen ein.

Fenster Internen Pfad für den Microsoft Updatedienst angeben. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Interner Updatedienst zum Ermitteln von Updates, Eingabefeld, https,--sus.lrz.de . Intranetserver für die Statistik, Eingabefeld mit gleichem Text, https,--sus.lrz.de . Alternativen Downloadserver festlegen, Eingabefeld leer. Nicht ausgewählt, Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist. Rechter Teil, Feld Hilfe, Erklärungstext mit Scroll-Balken. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

Zielzuordnung

In der Richtlinie "Clientseitige Zielzuordnung" hinterlegen Sie die entsprechende Zielgruppe. Verwenden Sie den entsprechenden Zielgruppennamen, um die standardmäßigen Einstellungen der LRZ-WSUS-Patch-Verteilung zu verwenden. 

In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit eine bestimmte Wartezeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen die Wartezeit nach dem Systemstart auf 5 Minuten zu setzen.

Fenster Zeitplan für geplante Installation neu erstellen. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Wartezeit nach Systemstart (Minuten), Eingabefeld mit Scrollpfeilen, 5. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

Wenn der Status der Richtlinie "Kein automatischen Neustart für geplante Installationen durchführen, wenn Benutzer angemeldet ist" auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt ein Benutzer angemeldet ist. Stattdessen wird der Benutzer aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die von angemeldeten Benutzern durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen. Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.

Fenster Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Feld leer. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

Durch das Feature Dual Scan vergleicht der Client in regelmäsigen Abständen seinen Update-Stand mit dem der Microsoft Update-Server. Sie können das Feature deaktivieren in dem Sie die GPO  "Keine Verbindungen mit Windows Update-Internetadressen herstellen" konfigurieren.

Fenster Keine Verbindung mit Windows Update-Internetadressen herstellen. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Feld leer. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.


Mit Windows 10 1607 hat Microsoft angefangen ein hybrides Modell für die Windows Updates einzühren bei dem der Client auch Updates bei Microsoft vorbei am WSUS ziehen kann. Das Feature wird von Microsoft immer wieder anepaßt. Aktuell kann das Verhalten über die folgende GPO unterbunden werden.

Fenster Keine Richtlinien für Updaterückstellungen zulassen, die durch Windows Update überprüft wird. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Feld leer. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

7. Update-Vorgang

Automatische Installation

Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administratoren werden vor der Installation von Updates benachrichtigt und können die Updates wie unter Manuelle Installation erklärt installieren. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.  

Manuelle Installation

Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste rechts unten benachrichtigt. Normale Benutzer werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.

Durch Doppelklick auf das Icon in der Taskleiste oder über "Einstellungen - Updates und Sicherheit" startet das Verwaltungsmenü für Windows Update.

Fenster Einstellungen. Linke Seite, Startseite, Sucheingabefeld leer. Update und Sicherheit, Ausgewählt, erster Punkt Windows Update. Rechte Seite, Windows Update. Updatestatus. Ihr Gerät ist auf dem neuesten Stand. Letzte Überprüfung, Gerstern, 09,48. Schaltfläche Nach Updates suchen. Diese ist auszuwählen. Letzter Hinweis für diese Grafik, Weitere wählbare Punkte sind, Suchen Sie online nach Updates von Microsoft Update, Updateverlauf, Nutzungszeit ändern, Neustartoptionen, Erweiterte Optionen, Weitere Infomationen, Hilfe anfordern, Feedback senden.
  

Wählen Sie "Nach Updates suchen". Im Erfolgsfall werden diese gleich heruntergeladen und installiert.