Auch wenn Windows 10 über eine komplett neue Steuerung der Updates verfügt, wird die Installation von Windows-Updates auch in der neuen Version des Betriebssystems in vielen Firmen über die Windows Server Update Services (WSUS) durchgeführt. Die verschiedenen Update-Funktionen von Windows 10 lassen sich darüber hinaus über Gruppenrichtlinien steuern. Dazu ist es notwendig, dass die aktuellsten ADMX-Dateien für Windows 10 und Windows Server 2016 für Version 1607 in der Domäne eingebunden sind.
Die generelle Anbindung von Clientcomputern an WSUS entspricht beim Einsatz vom Windows 10 und Windows Server 2016 noch den Möglichkeiten in den Vorgängerversionen. Administratoren können mit Windows 10 und Windows Server 2016 aber auch neue Funktionen beim Verteilen von Windows-10-Updates nutzen sowie größere Aktualisierungen und auch Upgrades wie das Anniversary Update (Version 1607) verteilen. Dazu müssen einige Vorbereitungen getroffen werden. Wichtig sind in diesem Fall auch das Zusammenspiel zwischen den Gruppenrichtlinien und dem Windows Server Update Service. Idealerweise setzen Unternehmen hier auf Windows Server 2016. Updates für Windows 10 lassen sich aber auch über WSUS in Windows Server 2012 R2 verteilen. Die Gruppenrichtlinieneinstellungen für Windows 10 sind ebenfalls in Windows Server 2012 R2 verfügbar. Aber auch hier müssen die ADMX-Dateien dazu eingebunden werden.
Damit Windows 10-Upgrades über WSUS bereitgestellt werden können, muss in den Optionen des Servers bei „Produkte und Klassifizierungen“ auch die Option „Upgrades“ auf der Registerkarte Klassifizierungen aktiviert sein. Die Einstellung dazu kann entweder bei der Installation oder später in den Optionen des Servers erfolgen.
Auf der Registerkarte Produkte sollten wiederum die verschiedenen Windows 10-Optionen aktiviert werden, um Updates für Windows 10 zu verteilen. Wichtig ist hier auch die Option „Windows 10 Anniversary Update and Later Servicing Drivers“. Muss eine der Optionen angepasst werden, dann ist auch eine erneute Synchronisierung notwendig, da erst dann alle Updates heruntergeladen und in den Server integriert werden. Sobald alle Windows 10-Optionen aktiviert sind, und der Server synchronisiert ist, stehen die Windows 10-Updates bereit und lassen sich genehmigen. Diese können in WSUS eingebunden werden, um verteilt zu werden. Setzen Unternehmen allerdings nicht auf Windows Server 2016, sondern noch auf Windows Server 2012 R2 sind Nacharbeiten notwendig. Auf diese gehen wir nachfolgend ebenfalls ein.
Bei der Verteilung von Updates besteht zum Beispiel auch die Möglichkeit, mit Computergruppen zu arbeiten. Damit kann man zum Beispiel größere Aktualisierungen wie das Anniversary Update gruppenweise verteilen. Die Gruppen sind auch in Windows Server 2012 R2 verfügbar. Grundsätzlich ist es durchaus sinnvoll, größere Updates für Windows 10 gruppenweise im Netzwerk zu verteilen.
Damit die Windows-10-Clients Updates vom WSUS-Server installieren, müssen diese so konfiguriert sein, dass sie keine Patches aus dem Internet herunterladen. Das hat sich in Windows 10 im Vergleich zu den Vorgängern nicht verändert. WSUS verteilt die Patches nicht automatisch an die Clients, sondern lädt die Aktualisierungen nur aus dem Internet herunter und stellt diese bereit, sobald die Administratoren die Installation genehmigt. Die Clients holen die Patches selbst vom WSUS-Server und installieren diese automatisch, abhängig von den lokalen Einstellungen beziehungsweise den Einstellungen in den Gruppenrichtlinien.
Die Konfiguration der automatischen Updates in den Gruppenrichtlinien nehmen Administratoren unter Computerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Windows Update vor.
Arbeitsstationen lassen sich so konfigurieren, dass diese automatisch Aktualisierungen vom WSUS herunterladen und installieren. Die erste Option ist „Internen Pfad für den Microsoft Updatedienst angeben“. Diese Option sollte aktiviert werden. Da WSUS eine Webapplikation ist, muss der Servernamen mit einer HTTP-Adresse angegeben werden: http://<Servername>:<Port>. WSUS lässt sich auch mit HTTPS nutzen. Dazu muss der Server entsprechend konfiguriert sein. Im rechten Bereich ist der Port für die HTTP/HTTPS-Verbindung zu sehen. Alternativ finden Administratoren den Port auch in der Konsole im unteren Bereich.
Um zu überprüfen, ob ein Windows 10-Rechner an WSUS erfolgreich angebunden wurde und die Einstellungen in den Gruppenrichtlinien funktionieren, reicht das Ausführen von rsop.msc als Administrator auf dem Rechner. Die Einstellungen für die Gruppenrichtlinien müssen jetzt angezeigt werden. Nach der Konfiguration der Gruppenrichtlinie kann es einige Zeit dauern, bis die Arbeitsstationen und Server mit WSUS verbunden sind und in der Administrationsoberfläche des WSUS erscheinen. Auf den einzelnen Rechnern können Administratoren in der Eingabeaufforderung durch Eingabe des Befehls wuauclt /detectnow eine sofortige Verbindung zum WSUS erzwingen. Ist der Client noch immer nicht angebunden, sollte in der Befehlszeile gpupdate /force und dann Wuauclt.exe /reportnow /detectnow eingegeben werden.
Sobald ein Windows 10-Rechner an WSUS angebunden ist, erscheint der Link „Suchen Sie online nach Updates von Microsoft Update“ in der lokalen Verwaltung der Updates. Dieser Link erscheint ohne die Anbindung an WSUS nicht, da hier die Installation von Updates ohnehin über das Internet erfolgt.
Unternehmen, die bereits auf Windows 10 setzen und das Anniversary Update nutzen wollen, können dieses, aber auch die Nachfolger Redstone 1 und Redstone 2 mit WSUS im Netzwerk verteilen. Dabei kann problemlos auf WSUS in Windows Server 2012/2012 R2 gesetzt werden, oder die aktualisierte Version von Windows Server 2016. Allerdings muss das das Microsoft Update für die Entschlüsselung von ESD-Dateien auf dem WSUS-Server installiert werden, wenn Windows Server 2012 R2 eingesetzt wird. Dieses Update bringt allerdings einige Probleme mit sich, die Microsoft in der Knowledgebase behandelt. Die Probleme bestehen meistens daraus, dass sich die WSUS-Konsole nicht mehr mit dem Server verbinden kann, sobald das Update installiert ist. Meistens hilft es in der Befehlszeile den folgenden Befehl auszuführen:
C:\Program Files\Update Services\Tools\wsusutil.exe“ postinstall /servicing
Außerdem muss über den Server-Manager das Feature “HTTP Activation“ installiert werden. Dieses ist bei den .NET Framework 4.5-Features zu finden. Auch, wenn das Update Probleme bereitet, sollten es Administratoren installieren, da ansonsten das Anniversary Update und dessen Nachfolger nicht im Netzwerk verteilt werden können. Die genaue Anleitung zur Fehlerbehebung ist im KB-Beitrag KB3159706 zu finden. Auf im KB-Artikel KB3095113 sind Aktualisierungen für Windows Server 2012 R2 zu finden. Dieses Update ist zur Verteilung von Updates für Windows 10 über WSUS in Windows Server 2012 R2 notwendig.
Die wichtigsten Einstellungen für Windows 10-Updates sind in den Richtlinien über Computereinstellungen\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung zu finden. Hier wird festgelegt, wie sich das Betriebssystem beim Herunterladen von Updates verhalten soll. Diese Option steht aber auch in Windows Server 2016 erst dann zur Verfügung, wenn die ADMX-Dateien für die aktuelle Windows 10-Version auf dem Domänencontroller vorhanden sind. Erst wenn alle Vorlagen für Gruppenrichtlinien vorhanden sind, lässt sich Windows 10 ideal an WSUS betreiben.
Bei Computereinstellungen\Administrative Vorlagen\Windows-Komponenten\Übermittlungsoptimierung\Downloadmodus lässt sich festlegen, ob und wie der neue Verteilungsmodus für Windows-Updates in Windows 10 verwendet werden soll. Durch Aktivieren der Option „Umgehen“, wird der neue Modus übergangen und weiterhin die BITS-Technologie verwendet. Das behebt auch Download-Probleme bei Windows 10 ohne den Einsatz von WSUS und verhindert, dass Windows 10-Rechner bei Aktualisierungen die komplette Bandbreite des Netzwerks und der Internetleitung benötigen. Die Werte bei „Maximale Downloadbandbreite“, „Max. Uploadbandbreite“ und „Minimaler Hintergrund-QoS-Wert“ sollten aber ebenfalls überprüft und angepasst werden.
Wichtig sind hier aber weitere Einstellungen in Bezug auf WSUS. Denn hier kann gesteuert werden, dass Windows 10-Rechner Updates an andere Rechner am gleichen Active Directory-Standort verteilen kann. Das entlastet WAN-Leitungen und den WSUS-Server. Auf Wunsch lassen sich aber auch eigene Gruppen erstellen, zum Beispiel für kleine Büros. Zwischen diesen Gruppen tauschen Windows 10-Rechner bei entsprechender Konfiguration die Updates auch ohne WSUS aus.
Die Einstellung zum Zurückstellen von Updates ist über „Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows Update\Windows-Updates zurückstellen“ zu finden. Die Einstellungen ermöglichen die verzögerte Installation von Windows-Updates auf Firmen-Rechnern.
Windows 10-Rechner können Updates für andere Windows 10-Rechner im Netzwerk/Internet bereitstellen (Peer-To-Peer). Der Vorteil dabei ist, dass in Niederlassungen nicht jeder Rechner seine Updates aus Windows Update oder von einem WSUS-Server herunterladen muss, sondern von anderen Rechnern im gleichen Netzwerk beziehen kann. Die Einstellungen dazu sind über „Einstellungen\Update und Sicherheit\Windows Update\Erweiterte Optionen\Übermittlung von Updates auswählen“ zu finden. Über den Pfad zur Konfiguration von Updates über Gruppenrichtlinien, können Administratoren auch diese Einstellungen festlegen.
Über den Menüpunkt Computer sind in der WSUS-Verwaltungskonsole bei Nicht zugewiesene Computer alle angebundenen Rechner zu sehen. Hier sollte für Windows 10-Computer eine eigene Computergruppe angelegt werden. Das Anlegen und Zuweisen zu dieser Gruppe erfolgt jeweils über das Kontextmenü. So können Sie Updates für manche Computer freigeben und für andere nicht. Administratoren können die Computergruppen auch über Gruppenrichtlinien zuweisen und in Updateregeln berücksichtigen.
Computergruppen werden in der WSUS-Konsole im Bereich Computer gesteuert. Hier sind alle Computergruppen zu sehen, die in WSUS angelegt wurden. Über das Kontextmenü von Alle Computer lassen sich neue Gruppen anlegen. Administratoren können Computer manuell in die Gruppen verschieben oder über Gruppenrichtlinien. Wenn alle Computer zugewiesen sind, kann im Assistenten zum Genehmigen von Patches festgelegt werden, auf welchen Computergruppen die Updates installiert werden sollen. Beim Genehmigen von Updates können auch Computergruppen berücksichtigt werden. Das spielt für große Updates wie das Anniversary Update eine wichtige Rolle, da auf diesem Weg eine Verteilung größerer Updates über die Computergruppen erfolgen kann.
Innerhalb der Gruppen ist im Kontextmenü der einzelnen Computer sofort zu sehen, ob Patches installiert werden müssen. Um die Einstellungen über Gruppenrichtlinien zu steuern, werden die Optionen bei Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Windows-Update verwendet. Über die Einstellung Clientseitige Zuordnung aktivieren können Administratoren festlegen, zu welcher Computergruppe ein Computer zugeordnet werden soll, wenn er an WSUS angebunden wird. Zusätzlich wird noch die Option „Gruppenrichtlinie oder Registrierungseinstellung auf Computern verwenden“ im Bereich Optionen\Computer in der WSUS-Verwaltungskonsole verwendet.
Sobald alle Einstellungen korrekt vorgenommen wurden, und der WSUS-Server synchronisiert sowie die Clientrechner an WSUS angebunden sind, lassen sich nicht nur herkömmliche Updates für Windows 10 im Netzwerk verteilen, sondern auch große Funktionsupdates, wie das Anniversary Update (Version 1607). Dieses ist bei den Patches in der WSUS-Konsole zum Beispiel über „Funktionsupdate für Windows 10 Pro, version 1607, de-de“ zu finden. Die Genehmigung zur Installation der Updates entspricht dem Freigeben von herkömmlichen Updates. Beim erstmaligen Freigeben von solchen Updates müssen Administratoren einmalig die Lizenzbedingungen bestätigen. Danach wird die Aktualisierung automatisch im Netzwerk an die Arbeitsstationen verteilt, für welche das Update freigegeben wurde.
Im Rahmen der Zuweisung der Updates, können beim Genehmigen dann gleich die Computergruppen ausgewählt werden, für die das Anniversary Update verteilt werden soll.
Ab 24 Stunden nach der Freigabe von Patches können Administratoren in den Berichten zum WSUS überprüfen, ob die Updates auf den Computern bereitgestellt wurden. Wollen Administratoren mit Berichten arbeiten, muss auf dem Server das Tool „Microsoft Report Viewer Redistributable 2012“ installiert sein. Zusätzlich müssen auf dem Server noch die CLR-Types für SQL Server 2012 installiert werden. Um Updateberichte anzuzeigen, wird folgendermaßen vorgegangen:
WSUS spielt auch in Windows 10 noch eine wesentliche Rolle, auch zusammen mit Windows Server 2016. Zusammen mit den neuen Update-Funktionen in Windows 10 und den damit verbundenen Einstellungsmöglichkeiten über Gruppenrichtlinien, können Unternehmen mit WSUS, quasi mit Bordmitteln in Windows Server 2012 R2/2016 eine effiziente Update-Infrastruktur für Windows-Netzwerke zur Verfügung stellen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…