Windows Server Update Services (WSUS) am LRZ für Microsoft-Produkte
Barrierefreiheit
Diese Seite enthält bei Bildern/Grafiken alternative Texte.
16.12.2022 | Feature Upgrade Windows 10 22H2 |
13.12.2024 | Dezember-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
15.11.2024 | November-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
11.10.2024 | Oktober-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
13.09.2024 | September-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
16.08.2024 | August-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
12.07.2024 | Juli-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
14.06.2024 | Juni-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
17.05.2024 | Mai-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
12.04.2024 | April-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
15.03.2024 | März-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
16.02.2024 | Februar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
15.02.2024 | Februar-MSOffice-Updates aufgrund einer Sicherheitslücke CVE-2024-21413 in Outlook außerplanmäßig freigegeben. (Näheres bei Microsoft: dt. / en.). |
12.01.2024 | Januar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.). |
1. Was ist WSUS?
Das LRZ bietet für Windows-Rechner des Münchner Wissenschaftsnetz (MWN) Microsofts Windows Server Update Services (WSUS) zur Benutzung an. Dieser Dienst ermöglicht es Betreibenden, Windows-Systemen im MWN auf dem aktuellen Patch-Stand zu halten. Beim WSUS des LRZ handelt es sich um einen Teil-Mirror des Windows Updateservers von Microsoft. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom WSUS des LRZ. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Interaktion des Nutzenden statt.
2. Vorteile der Nutzung von WSUS vom LRZ
- Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
- Die Belastung des GWin-Anschlusses wird reduziert. (WSUS-Server funktioniert als zentralen Verteilpunkt im MWN.)
- Der WSUS des LRZ leitet keine Daten an Microsoft weiter.
- Updates für Windows-Rechner können automatisiert installiert werden.
- Rechner mit fehlenden Updates können besser identifiziert und verwaltet werden.
3. Mindestanforderungen
Das System muss eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Systeme, die über den VPN-Server des LRZ ans MWN angebunden sind. Der volle Funktionsumfang steht ab Windows 10 nur den Editionen Professional, Education und Enterprise zur Verfügung. Windows 10 Home-Versionen können über den WSUS keine Funktionsupdates mehr beziehen.
4. Welche Updates werden über WSUS angeboten?
Microsoft verteilt Updates für alle seiner noch im support befindlichen Produkte über WSUS:
- Windows Client (Win 10/11) und Server Betriebssysteme (Win 2016/19/22)
- Feature-Updates für Win10/11 für Professional, Education, Enterprise
- MS-Produkte wie Edge, Windows Media Player usw.
- MS-Office bis 2016 (MS-Office 2019 nicht mehr)
- MS-Exchange, SCCM, MS SQL-Server
- Definition-Updates für Defender und Forefront
Zielgruppen
WSUS bietet die Möglichkeit, Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden, welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:
- Nicht zugeordnete Computer
Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Software-Updates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen die Administrierenden selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden wollen. In diese Gruppen kommen auch alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server. Für Windows 10 wird das jeweils aktuelle Feature-Update mit einer zeitlichen Verzögerung von mindestens einem Monat freigegeben. - AlleUpdates
Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates. Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdates, Feature Packs, Fixes, Service Packs, Tools und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows SharePoint Services, Office, MS SQL Server und MS Exchange. Server sollten eventuell nicht in dieser Gruppe sein. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature-Update freigegeben. - NoBranch
Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer, aber keine Feature-Updates für Windows 10. In dieser Gruppen sollten Systeme nur kurzfristig aufgrund von Kompatibilitätsproblemen geparkt werden. - LastBranch
Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature-Updates für Windows 10. Mit der Freigabe des aktuellen Feature-Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature-Update freigegeben. - LastBranchWin11
Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature-Updates für Windows 11. Mit der Freigabe des aktuellen Feature-Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature-Update freigegeben. - H2Branch
Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das aktuelle Feature-Updates für Windows 10 der zweiten Jahreshälfte (Herbstupdate). Die Freigabe erfolgt zeitlich parallel zu den anderen Zielgruppen. - H2BranchWin11
Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das aktuelle Feature-Updates für Windows 11 der zweiten Jahreshälfte (Herbstupdate). Die Freigabe erfolgt zeitlich parallel zu den anderen Zielgruppen. - Server
Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer, also keine Service Packs (außer für ".NET"-Framework und Windows SharePoint Services) oder Update-Rollups.
Die Mitgliedschaft in einer dieser Gruppen können Sie über die entsprechende Gruppenrichtlinie steuern.
Verteilung von Windows 10/11 Featureupdates
Die Freigabe von Feature-Updates für Windows 10 erfolgt zeitlich verzögert zum übernächsten Ersten nach dem Release des Feature-Updates von Microsoft. Feature-Updates von Windows 10 werden nur für Target Groups die in der nachfolgenden Tabelle verteilt.
Zielgruppe | Featureupdate | Freigabe |
---|---|---|
Nicht zugeordnete Computer | Version 22H2 | 16.12.2022 |
AlleUpdates | Version 22H2 | 16.12.2022 |
H2Branch, H2BranchWin11 | Version 22H2 | 16.12.2022 |
LastBranch, LastBranchWin11 | Version 21H2 | 16.12.2022 |
NoBranch | kein Upgrade | - |
Einschränkungen
- Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Software-Updates (z.B. Internet Explorer) auftreten könnten, werden diese vom LRZ nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben. Dann werden alle verfügbaren Updates auf Ihren Rechner heruntergeladen.
- Das LRZ unterstützt momentan nur die Sprachen Deutsch und Englisch.
- Die Windows- und Office-Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.
- Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.
5. Verfügbarkeit der Updates
Die Freigabe der Updates erfolgt zeitlich verzögert zum eigentlichen Patchday jeweils am darauffolgenden Freitagmorgen. Die Verzögerung bietet Microsoft die Möglichkeit, eventuelle Fehler bei den Updates zu bereinigen. Out of Band Updates werden nach Abwägung der schwere der Sicherheitslücke auch zwischen den monatlichen Pathdays freigegeben, wenn dies erforderlich.
Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern, bis Ihre Updates auf dem Rechner installationsbereit sind. Ein Update-Zyklus eines Clientsystems dauert dabei bis zu 23 Stunden.
6. Konfiguration
Die Konfiguration des Update-Verhaltens erfolgt über Gruppenrichtlinien. Diese können sowohl für eine Einzelplatzinstallation als auch zur Verwaltung von vielen Rechnern über Active Directory Services verwendet werden.
Starten des Gruppenrichtlinien-Editors
Wählen Sie den Windows-Start, tragen Sie in das Suchfeld gpedit.msc ein. Beim Ergebnis lassen Sie über das Kontextmenü (rechte Maustaste) den Editor Als Administrator ausführen. |
Konfigurieren des Windows-Updates
Unter "Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten" wählen Sie den Punkt "Windows Update". Hier finden Sie die zugehörigen Richtlinien und können das Verhalten Ihres Client-Systems anpassen.
Wählen Sie bei der Gruppenrichtlinie Automatische Updates konfigurieren den Punkt "Richtlinieneinstellung bearbeiten" (siehe Grafik oben). Hier können Sie definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch: wenn die Updates bereits herunter geladen sind, können diese von einem Nutzenden mit administrativen Rechten vor der geplanten Installationszeit installiert werden.
In der Richtlinie "Internen Pfad für den Microsoft Updatedienst angeben" definieren Sie den Pfad zu den LRZ-WSUS-Servern. Tragen Sie "https://sus.lrz.de" in beide Zellen ein.
Zielzuordnung
In der Richtlinie "Clientseitige Zielzuordnung" hinterlegen Sie die entsprechende Zielgruppe. Verwenden Sie den entsprechenden Zielgruppennamen, um die standardmäßigen Einstellungen der LRZ-WSUS-Patch-Verteilung zu verwenden.
In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit, eine bestimmte Wartezeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen, die Wartezeit nach dem Systemstart auf 5 Minuten zu setzen.
Wenn der Status der Richtlinie "Kein automatischen Neustart für geplante Installationen durchführen, wenn Benutzer angemeldet ist" auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt jemand angemeldet ist. Stattdessen wird der Nutzende aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die vom angemeldeten Nutzenden durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen.
Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.
Durch das Feature Dual Scan vergleicht der Client in regelmäsigen Abständen seinen Update-Stand mit dem der Microsoft Update-Server. Sie können das Feature deaktivieren, in dem Sie die GPO "Keine Verbindungen mit Windows Update-Internetadressen herstellen" konfigurieren.
Mit Windows 10 1607 hat Microsoft angefangen, ein hybrides Modell für die Windows Updates einzühren, bei dem der Client auch Updates bei Microsoft ziehen kann, die am WSUS vorbeigehen. Das Feature wird von Microsoft immer wieder anepasst. Aktuell kann das Verhalten über die folgende GPO unterbunden werden.
7. Update-Vorgang
Automatische Installation
Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administrierende werden vor der Installation von Updates benachrichtigt und können die Updates installieren wie unter "Manuelle Installation" erklärt. Normale Nutzende werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.
Manuelle Installation
Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste rechts unten benachrichtigt. Normale Nutzende werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.
Durch Doppelklick auf das Icon in der Taskleiste oder über "Einstellungen - Updates und Sicherheit" startet das Verwaltungsmenü für Windows Update.
Wählen Sie "Nach Updates suchen". Im Erfolgsfall werden diese gleich heruntergeladen und installiert.