Windows Server Update Services (WSUS) am LRZ für Microsoft-Produkte


Barrierefreiheit

Diese Seite enthält bei Bildern/Grafiken alternative Texte.


16.12.2022

Feature Upgrade Windows 10 22H2
Feature Upgrade Windows 10 21H2 für LastBranch

13.12.2024

Dezember-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

15.11.2024

November-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

11.10.2024

Oktober-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

13.09.2024

September-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

16.08.2024

August-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

12.07.2024

Juli-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

14.06.2024

Juni-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

17.05.2024

Mai-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

12.04.2024

April-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

15.03.2024

März-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

16.02.2024

Februar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

15.02.2024

Februar-MSOffice-Updates aufgrund einer Sicherheitslücke CVE-2024-21413 in Outlook außerplanmäßig freigegeben. (Näheres bei Microsoft: dt. / en.).

12.01.2024

Januar-Updates freigegeben. (Näheres bei Microsoft: dt. / en.).

1. Was ist WSUS?

Das LRZ bietet für Windows-Rechner des Münchner Wissenschaftsnetz (MWN) Microsofts Windows Server Update Services (WSUS) zur Benutzung an. Dieser Dienst ermöglicht es Betreibenden, Windows-Systemen im MWN auf dem aktuellen Patch-Stand zu halten. Beim WSUS des LRZ handelt es sich um einen Teil-Mirror des Windows Updateservers von Microsoft. Die Windows Clients holen sich bei Bedarf in einem Pull-Verfahren die Updates vom WSUS des LRZ. Eine Installation der Patches findet dann je nach Konfiguration zeitlich gesteuert oder durch Interaktion des Nutzenden statt.

2. Vorteile der Nutzung von WSUS vom LRZ

  • Es können PCs versorgt werden, die keinen Zugang zum Internet haben.
  • Die Belastung des GWin-Anschlusses wird reduziert. (WSUS-Server funktioniert als zentralen Verteilpunkt im MWN.)
  • Der WSUS des LRZ leitet keine Daten an Microsoft weiter.
  • Updates für Windows-Rechner können automatisiert installiert werden.
  • Rechner mit fehlenden Updates können besser identifiziert und verwaltet werden.

3. Mindestanforderungen

Das System muss eine IP-Adresse im Netz des MWN besitzen. WSUS funktioniert auch für Systeme, die über den VPN-Server des LRZ ans MWN angebunden sind. Der volle Funktionsumfang steht ab Windows 10 nur den Editionen Professional, Education und Enterprise zur Verfügung. Windows 10 Home-Versionen können über den WSUS keine Funktionsupdates mehr beziehen.

4. Welche Updates werden über WSUS angeboten?

Microsoft verteilt Updates für alle seiner noch im support befindlichen Produkte über WSUS:

  • Windows Client (Win 10/11) und Server Betriebssysteme (Win 2016/19/22)
  • Feature-Updates für Win10/11 für Professional, Education, Enterprise
  • MS-Produkte wie Edge, Windows Media Player usw.
  • MS-Office bis 2016 (MS-Office 2019 nicht mehr)
  • MS-Exchange, SCCM, MS SQL-Server 
  • Definition-Updates für Defender und Forefront

Zielgruppen

WSUS bietet die Möglichkeit, Zielgruppen zu definieren. Durch die Mitgliedschaft in einer dieser Zielgruppen kann gesteuert werden, welche Updates ein Client bekommt und welche nicht. Momentan hat das LRZ die folgenden Gruppen definiert:

  • Nicht zugeordnete Computer
    Rechner dieser Gruppe bekommen alle verfügbaren wichtigen Updates, Sicherheitsupdates, Fixes und Tools für die Produkte Windows, Office und MSDE. Es werden aber keine Software-Updates wie Internet Explorer oder Media Player verteilt. Das ist die empfohlene Gruppe des LRZ. Diese Gruppe ist für Workstations und Server gedacht, bei denen die Administrierenden selbst über die Verteilung von Service Packs und anderen großen Updates entscheiden wollen. In diese Gruppen kommen auch alle Rechner, die in Ihrer Konfiguration einen anderen Eintrag haben als die beiden folgenden Gruppen AlleUpdates und Server. Für Windows 10 wird das jeweils aktuelle Feature-Update mit einer zeitlichen Verzögerung von mindestens einem Monat freigegeben.

  • AlleUpdates
    Rechner dieser Gruppe bekommen alle von Microsoft freigegebenen Updates.  Das heißt alle verfügbaren wichtigen Updates, Sicherheitsupdates, Feature Packs, Fixes, Service Packs, Tools und Softwareupdates (Internet Explorer, Media Player usw.) für die Produkte Windows, Windows SharePoint Services, Office, MS SQL Server und MS Exchange. Server sollten eventuell nicht in dieser Gruppe sein. Für Windows 10 wird jeweils mit einer zeitlichen Verzögerung von mindestens einem Monat das aktuelle Feature-Update freigegeben.

  • NoBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer, aber keine Feature-Updates für Windows 10. In dieser Gruppen sollten Systeme nur kurzfristig aufgrund von Kompatibilitätsproblemen geparkt werden.

  • LastBranch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature-Updates für Windows 10. Mit der Freigabe des aktuellen Feature-Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature-Update freigegeben.

  • LastBranchWin11
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das vorletzte Feature-Updates für Windows 11. Mit der Freigabe des aktuellen Feature-Updates in den anderen Zielgruppen wird für diese Zielgruppe vorhergehende Feature-Update freigegeben.
  • H2Branch
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das aktuelle Feature-Updates für Windows 10 der zweiten Jahreshälfte (Herbstupdate). Die Freigabe erfolgt zeitlich parallel zu den anderen Zielgruppen.


  • H2BranchWin11
    Rechner dieser Gruppe bekommen alle Updates analog zu der Gruppe Nicht zugeordnete Computer und das aktuelle Feature-Updates für Windows 11 der zweiten Jahreshälfte (Herbstupdate). Die Freigabe erfolgt zeitlich parallel zu den anderen Zielgruppen.
  • Server
    Rechner dieser Gruppe bekommen die selben Updates wie Nicht zugeordnete Computer, also keine Service Packs (außer für ".NET"-Framework und Windows SharePoint Services) oder Update-Rollups.

Die Mitgliedschaft in einer dieser Gruppen können Sie über die entsprechende Gruppenrichtlinie steuern. 

Verteilung von Windows 10/11 Featureupdates

Die Freigabe von Feature-Updates für Windows 10 erfolgt zeitlich verzögert zum übernächsten Ersten nach dem Release des Feature-Updates von Microsoft. Feature-Updates von Windows 10 werden nur für Target Groups die in der nachfolgenden Tabelle verteilt.

ZielgruppeFeatureupdateFreigabe
Nicht zugeordnete ComputerVersion 22H216.12.2022
AlleUpdatesVersion 22H216.12.2022
H2Branch, H2BranchWin11Version 22H216.12.2022
LastBranch, LastBranchWin11Version 21H2
16.12.2022
NoBranchkein Upgrade-

Einschränkungen

  • Aufgrund der möglichen Probleme, die bei der Installation von Service Packs, Rollups, Treibern, Feature Packs und Software-Updates (z.B. Internet Explorer) auftreten könnten, werden diese vom LRZ nicht über WSUS verteilt. Sie können Ihren Rechner aber in die Gruppe AlleUpdates verschieben. Dann werden alle verfügbaren Updates auf Ihren Rechner heruntergeladen.
  • Das LRZ unterstützt momentan nur die Sprachen Deutsch und Englisch.
  • Die Windows- und Office-Updates werden vom LRZ einer allgemeinen Prüfung unterzogen und danach frei gegeben. Die Zeitspanne zwischen der Veröffentlichung der Patches von Microsoft und der Freigabe durch das LRZ kann bis zu drei Arbeitstage betragen.
  • Wir übernehmen keinerlei Garantien für die Funktionstüchtigkeit der Patches und die Verträglichkeit mit Ihrem System. Bei Komplikationen mit Patches auf Ihrem System übernehmen wir keinerlei Haftung.

5. Verfügbarkeit der Updates

Die Freigabe der Updates erfolgt zeitlich verzögert zum eigentlichen Patchday jeweils am darauffolgenden Freitagmorgen. Die Verzögerung bietet Microsoft die Möglichkeit, eventuelle Fehler bei den Updates zu bereinigen. Out of Band Updates werden nach Abwägung der schwere der Sicherheitslücke auch zwischen den monatlichen Pathdays freigegeben, wenn dies erforderlich.

Da es sich um ein passives Verfahren handelt und der Client sich die Updates vom Server holt, kann es etwas dauern, bis Ihre Updates auf dem Rechner installationsbereit sind. Ein Update-Zyklus eines Clientsystems dauert dabei bis zu 23 Stunden. 

6. Konfiguration

Die Konfiguration des Update-Verhaltens erfolgt über Gruppenrichtlinien. Diese können sowohl für eine Einzelplatzinstallation als auch zur Verwaltung von vielen Rechnern über Active Directory Services verwendet werden.

Starten des Gruppenrichtlinien-Editors

Nur zur Illustration. Beschreibung nächstes Feld.

Wählen Sie den Windows-Start, tragen Sie in das Suchfeld gpedit.msc ein. Beim Ergebnis lassen Sie über das Kontextmenü (rechte Maustaste) den Editor Als Administrator ausführen.

Konfigurieren des Windows-Updates

Unter "Computerkonfiguration → Administrative Vorlagen → Windows-Komponenten" wählen Sie den Punkt "Windows Update". Hier finden Sie die zugehörigen Richtlinien und können das Verhalten Ihres Client-Systems anpassen.

Fenster Editor für lokale Gruppenrichtlinien. Menüleiste, Symbolleiste, Hauptfeld mit zwei Teilen. Linker Teil, Baumstruktur, ausgewählt, Windows Update. Rechter Teil, Unten die Registerkarte Erweitert und Standard, ausgewählt, Registerkarte Erweitert, Wieder Feld mit zwei Teilen. Rechter Teil, etwa 30 Richtlinien, ausgewählt, Automatische Updates konfigurieren. Linker Teil, Angaben zur ausgewählten Richtlinie, Auswahlpunkt Richtlinieneinstellung bearbeiten, darunter Anforderungen, Beschreibung usw.

Wählen Sie bei der Gruppenrichtlinie Automatische Updates konfigurieren den Punkt "Richtlinieneinstellung bearbeiten" (siehe Grafik oben). Hier können Sie definieren, ob Sie die Installation selbst durchführen wollen (Punkt 2 und 3) oder ob die Installation automatisch zu einer bestimmten Uhrzeit statt finden soll (Punkt 4). Wir empfehlen für Einzelplatzrechner den Punkt 3. Für größere Umgebungen ist der Punkt 4 besser geeignet. Für Punkt 4 gilt aber auch: wenn die Updates bereits herunter geladen sind, können diese von einem Nutzenden mit administrativen Rechten vor der geplanten Installationszeit installiert werden.

Fenster Automatische Updates konfigurieren. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Auswahlliste, ausgewählt, 4 Autom. Herunterladen und laut Zeitplan installieren. Nicht ausgewählt, Während automatischer Wartung installieren. Geplanter Installationstag, Auswahlliste, ausgewählt, 0 - Täglich. Geplante Installationszeit, Auswahlliste, ausgewählt, 03,00. Sie können Updates einmal pro Woche, alle zwei Wochen oder einmal pro Monat suchen lassen. Ausgewählt, Jede Woche. Der Rest des Inhalts ist nicht sichbar. Es gibt einen Verschiebebalken. Rechter Teil, Feld Hilfe, Erklärungstext mit Verschiebebalken. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

In der Richtlinie "Internen Pfad für den Microsoft Updatedienst angeben" definieren Sie den Pfad zu den LRZ-WSUS-Servern. Tragen Sie "https://sus.lrz.de" in beide Zellen ein.

Fenster Internen Pfad für den Microsoft Updatedienst angeben. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Interner Updatedienst zum Ermitteln von Updates, Eingabefeld, https,--sus.lrz.de . Intranetserver für die Statistik, Eingabefeld mit gleichem Text, https,--sus.lrz.de . Alternativen Downloadserver festlegen, Eingabefeld leer. Nicht ausgewählt, Dateien ohne URL in den Metadaten herunterladen, wenn ein alternativer Downloadserver festgelegt ist. Rechter Teil, Feld Hilfe, Erklärungstext mit Verschiebebalken. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

Zielzuordnung

In der Richtlinie "Clientseitige Zielzuordnung" hinterlegen Sie die entsprechende Zielgruppe. Verwenden Sie den entsprechenden Zielgruppennamen, um die standardmäßigen Einstellungen der LRZ-WSUS-Patch-Verteilung zu verwenden. 

In der Richtlinie Zeitplan für geplante Installationen neu erstellen haben Sie die Möglichkeit, eine bestimmte Wartezeit nach dem Systemstart zu definieren, bevor eine zuvor verpasste geplante Installation ausgeführt wird. Wir empfehlen, die Wartezeit nach dem Systemstart auf 5 Minuten zu setzen.

Fenster Zeitplan für geplante Installation neu erstellen. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Wartezeit nach Systemstart (Minuten), Eingabefeld mit Pfeilen zum Erhöhen und Verringern, 5. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

Wenn der Status der Richtlinie "Kein automatischen Neustart für geplante Installationen durchführen, wenn Benutzer angemeldet ist" auf "Aktiviert" gesetzt ist, wird der Computer nicht automatisch nach einer geplanten Installation neu gestartet, falls zu diesem Zeitpunkt jemand angemeldet ist. Stattdessen wird der Nutzende aufgefordert, den Computer neu zu starten. Wir empfehlen Ihnen diese Richtlinie zu aktivieren, damit die vom angemeldeten Nutzenden durchgeführten Änderungen an geöffneten Dateien nicht verloren gehen.

Hinweis: Der Computer muss neu gestartet werden, damit die Updates angewendet werden.

Fenster Keinen automatischen Neustart für geplante Installationen automatischer Updates durchführen, wenn Benutzer angemeldet sind. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Feld leer. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

Durch das Feature Dual Scan vergleicht der Client in regelmäsigen Abständen seinen Update-Stand mit dem der Microsoft Update-Server. Sie können das Feature deaktivieren, in dem Sie die GPO  "Keine Verbindungen mit Windows Update-Internetadressen herstellen" konfigurieren.

Fenster Keine Verbindung mit Windows Update-Internetadressen herstellen. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Feld leer. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

 

Mit Windows 10 1607 hat Microsoft angefangen, ein hybrides Modell für die Windows Updates einzühren, bei dem der Client auch Updates bei Microsoft ziehen kann, die am WSUS vorbeigehen. Das Feature wird von Microsoft immer wieder anepasst. Aktuell kann das Verhalten über die folgende GPO unterbunden werden.

Fenster Keine Richtlinien für Updaterückstellungen zulassen, die durch Windows Update überprüft wird. Schaltflächen Vorherige Einstellung, Nächste Einstellung. 3 Radiobuttons, senkrecht, Nicht konfiguriert, ausgewählt ist Aktiviert, Deaktiviert. Rechts daneben, Kommentar, Eingabefeld leer. Darunter zwei Teile. Linker Teil, Feld Optionen, Feld leer. Rechter Teil, Feld Hilfe, Erklärungstext. Abschließend unten rechts, Schaltflächen OK, Abbrechen, Übernehmen.

7. Update-Vorgang

Automatische Installation

Sollten Sie eine automatische Installation gewählt haben, wird Ihr Rechner zu der definierten Zeit mit der Installation beginnen. Administrierende werden vor der Installation von Updates benachrichtigt und können die Updates installieren wie unter "Manuelle Installation" erklärt. Normale Nutzende werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.  

Manuelle Installation

Bei einer manuellen Installation werden Administratoren bei der Verfügbarkeit von Updates in der Taskleiste entweder über einen Ballon oder durch ein zusätzliches Icon in der Taskleiste rechts unten benachrichtigt. Normale Nutzende werden nicht benachrichtigt und haben keine Kontrolle über die Installation von Updates.

Durch Doppelklick auf das Icon in der Taskleiste oder über "Einstellungen - Updates und Sicherheit" startet das Verwaltungsmenü für Windows Update.

Fenster Einstellungen. Linke Seite, Startseite, Sucheingabefeld leer. Update und Sicherheit, Ausgewählt, erster Punkt Windows Update. Rechte Seite, Windows Update. Updatestatus. Ihr Gerät ist auf dem neuesten Stand. Letzte Überprüfung, Gerstern, 09,48. Schaltfläche Nach Updates suchen. Diese ist auszuwählen. Letzter Hinweis für diese Grafik, Weitere wählbare Punkte sind, Suchen Sie online nach Updates von Microsoft Update, Updateverlauf, Nutzungszeit ändern, Neustartoptionen, Erweiterte Optionen, Weitere Infomationen, Hilfe anfordern, Feedback senden.
  

Wählen Sie "Nach Updates suchen". Im Erfolgsfall werden diese gleich heruntergeladen und installiert.