systembastler
Goto Top

Windows 10 und WSUS Produkte - Update Wahnsinn

Hallo zusammen,

ich möchte in der WSUS Console die Produkte für Windows 10 richtig konfigurieren. Es geht auch hierbei um einen sinnvollen Beitrag für alle WSUS Admins, nicht nur für meine Konfiguration im Netzwerk.

Aktuell lese ich sehr viel im Netz, aber durch die unterschiedlichen Upgrades und Versionen sind viele Beiträge nicht mehr aktuell. Vielleicht können wir hier zusammen sauber dokumentieren und somit Hilfestellung leisten.

Mit der Bitte die Beschreibung des Produktes zu ergänzen. Danach stelle ich das noch Stand X final hier rein.

Aktuell sind diese Produkte nur für W10 auf meinem WSUS Server 2016 1607 (Build 14393.2189) zur Auswahl. Wahnsinn!

  • Windows 10 and later drivers > allgemein für Win10 ?
  • Windows 10 and later upgrade & Servicing Drivers > allgemein für Win10 ?
  • Windows 10 Anniversary Update and Later Servicing Drivers > für Version 1607
  • Windows 10 Anniversary Update and Later Upgrade & Servicing Drivers > für Version 1607
  • Windows 10 Creators Update and Later Servicing Drivers > für Version 1703
  • Windows 10 Creators Update and Later Servicing Drivers > für Version 1703 (sehe ich doppelt in der WSUS Console?)
  • Windows 10 Creators Update and Later Servicing Drivers & Servicing Drivers > für Version 1703
  • Windows 10 Dynamic Update > Updates für Setup von build zu build
  • Windows 10 Fall Creators Update and Later Servicing Drivers > für Version 1709
  • Windows 10 Fall Creators Update and Later Servicing Drivers > für Version 1709 (sehe ich doppelt in der WSUS Console?)
  • Windows 10 Fall Creators Update and Later Servicing Drivers & Servicing Drivers > für Version 1709
  • Windows 10 Fall Creators Update and Later Servicing Drivers & Servicing Drivers > für Version 1709 (sehe ich doppelt in der WSUS Console?)
wsus-console
  • Windows 10 Feature on Demand > Funktion um Programme und Funktionen vom WSUS zu ziehen, z. B. .NET 3.5
  • Windows 10 GDR-DU FOD > GDR = General Distribution Release, DU=Dynamic Update, FOD - Features on Demand. Feature packages that can be added at any time, such as handwriting recognition or .NET Framework.
  • Windows 10 GDR-DU LP > GDR = General Distribution Release, DU=Dynamic Update, LP = Language Packs, korrekte Sprache für Dynamic Update laden nehme ich an
  • Windows 10 GDR-DU > GDR = General Distribution Release, DU=Dynamic Update, Updates für Dynamic Updates?
  • Windows 10 Language Interface Packs > Windows Language Interface Pack (LIP) > zusätzliche Sprachen per WSUS verteilen?
  • Windows 10 Language Packs > vollumfängliche Sprachunterstützung, bin nicht sicher ?
  • Windows 10 LTSB > LTSB = Long Term Servicing Branch, um dem Updatewahnsinn Einhalt zu gebieten. Feste Zusage für 10 Jahre für das Win10 OS und minimalem Update Aufwand
  • Windows 10 S and Later Servicing Drivers > Windows S ist eine Light-Version von Windows 10, die also auf bestimmte Grundfunktionen reduziert ist. Früher war sie unter dem Namen Windows 10 Cloud bekannt, Microsoft hat sie nun in Windows 10 S umbenannt. pendant zu Chrome OS.
  • Windows 10 S Version 1709 and Later Servicing Drivers for testing > sagt der Name schon
  • Windows 10 S Version 1709 and Later Upgrade & Servicing Drivers for testing > sagt der Name schon
  • Windows 10 S Version 1803 and Later Servicing Drivers for testing > sagt der Name schon
  • Windows 10 S Version 1803 and Later Upgrade & Servicing Drivers for testing > sagt der Name schon
  • Windows 10 > Standard Patches für alle Win10 builds nehme ich an
wsus-console2
Meine Frage zielt eigentlich daraufhin ab zu verstehen wie WSUS Win10 mit Updates, Upgrades versorgt. Ich sehe hier noch kein System. Mal wird ein Upgrade z.B auf Win10 1709 per Feature download gemacht, mal nicht. Ich möchte selbst entscheiden wann wir auf eine neue Version per Inplace Upgrade gehen.

Danke für die Mithilfe
Systembastler

Content-ID: 372871

Url: https://administrator.de/contentid/372871

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

departure69
Lösung departure69 03.05.2018 aktualisiert um 12:18:32 Uhr
Goto Top
Hallo.

Ich bin zwar mit unserem WSUS hier nicht so "modern" wie Du, Du hast ja unter W2K16 schon einen WSUS 5, ich bin hier noch mit einem WSUS 3.0 SP2 unter W2K8R2 unterwegs, aber W10-Clients haben wir auch, und diese werden auch vom WSUS versorgt.

Bezüglich Produkten und Klassifizierungen:

Ich habe tatsächlich nur einen einzigen Haken für Windows 10 gesetzt, nämlich den simplen Eintrag "Windows 10"! Damit kommen alle "wichtigen" und alle Sicherheitsupdates für Windows 10, gleichgültig, welcher Build!

Language- und Language-Interface Packs sind unnötig, sofern Du ausschließlich deutsche/deutschsprachige Versionen von Windows 10 im Einsatz hast.

Ob Du die LSD-Version ("LTSB" face-wink) im Einsatz hast, wirst Du selber wissen.

Alle Einträge, die das Wort "Drivers" tragen, sind bei mir ebenfalls nicht angehakt, ich bin nichtmal sicher, welche Treiber (bzw. welche Art von Treibern) speziell für Windows 10 das sein sollen. Und bezüglich Treibern über WSUS sollte man ohnehin vorsichtig sein, ich habe mal leidvoll erfahren müssen, was passieren kann, wenn bei den Klassifizierungen im WSUS "Treiber" angehakt sind. Da kommen dann Unmengen von Treibern für alle ausgewählten Windows-Produkte, die dennoch häufig veraltet sind, und der WSUS wurde so träge, daß er kaum noch Arbeiten konnte. Die Treiber sauber wieder loszuwerden, habe ich damals nicht hingekriegt (heute wüßte ich, wie), Ergebnis war, daß der WSUS neu aufgesetzt werden mußte, diesmal natürlich ohne Treiber.

Bloß zu Deinem "Spezialproblem", nämlich, die großen, halbjährlichen Inplace-Upgrades über die Produkte und Klassifizierungen im WSUS zu steuern, kann ich nichts sagen, das Problem besteht bei uns nicht, weil unser "alter" WSUS 3.0 diese nicht bereitstellt. Ich installiere die immer manuell aus der entpackten ISO in einer Netzwerkfreigabe. Vielleicht meldet sich noch jemand anderes dazu. Ich kann mir allerdings vorstellen, daß diese Steuerung (der großen Inplace-Upgrades) eher über GPOs gehandelt werden muß, und nicht über die Produkte und Klassifizierungen des WSUS (der WSUS ist ja nur der "Bereitsteller", an dem die Clients nuckeln).


Viele Grüße

von

departure69
Systembastler
Systembastler 03.05.2018 um 13:23:34 Uhr
Goto Top
Danke für das Feedback, das hört sich vernüftiug an. Ich werde jetzt tatsächlich mal nur den Haken bei Windows10 setzen. Ich hatte gedacht wegen einigen Surface im Unternehmen macht es Sinn auch die Treiber mitzunehmen. Aber das wird beim Upgrade von ISO dann erst mitgemacht.
departure69
departure69 03.05.2018 um 14:40:35 Uhr
Goto Top
Möglich, daß bei den ganzen Treiber-Häkchen zu Windows 10 speziell auch alles aus der Surface-Familie bedacht wird, immerhin gibt's ja für die neueren Surfaces, so ab SP3 Pro, immer auch noch Firmware-Updates und spezielle Treiber - nur für die Surfaces - auf dem herkömmlichen Windows-Update-Weg. Dein Gedanke ist da vielleicht gar nicht so falsch, daß diese da mitdrinstecken könnten.

Aber: Wir wissen es nicht.

Und nur auf diesen Verdacht hin (vermutlich) ganze Treiber-Pakete im WSUS mitzuschleppen, lohnt m. E. nicht. Dann lieber bei den paar Geräten (oder wieviele sind "einige"?) alle Vierteljahr mal auf's herkömmliche Online-Update direkt am Gerät geklickt, dann kommen die, falls es neue Firmware-Updates oder spezielle Treiber gibt, eben auf diesem Weg herein.

Viele Grüße

von

departure69
Systembastler
Systembastler 04.05.2018 aktualisiert um 11:50:32 Uhr
Goto Top
Zitat von @departure69:

Möglich, daß bei den ganzen Treiber-Häkchen zu Windows 10 speziell auch alles aus der Surface-Familie bedacht wird, immerhin gibt's ja für die neueren Surfaces, so ab SP3 Pro, immer auch noch Firmware-Updates und spezielle Treiber - nur für die Surfaces - auf dem herkömmlichen Windows-Update-Weg. Dein Gedanke ist da vielleicht gar nicht so falsch, daß diese da mitdrinstecken könnten.

Aber: Wir wissen es nicht.

Und nur auf diesen Verdacht hin (vermutlich) ganze Treiber-Pakete im WSUS mitzuschleppen, lohnt m. E. nicht. Dann lieber bei den paar Geräten (oder wieviele sind "einige"?) alle Vierteljahr mal auf's herkömmliche Online-Update direkt am Gerät geklickt, dann kommen die, falls es neue Firmware-Updates oder spezielle Treiber gibt, eben auf diesem Weg herein.

Viele Grüße

von

departure69
Ja, so machen wir es in der Regel auch. Es gibt ja von den Hersteller viele Treiber Update Tools die man zyklisch in Wartungsfenstern laufen lassen kann.

Haken ist jetzt nur bei Windows 10 drin und ich teste gerade die Update Funktionalität bei neu installierten Standard Geräten. Sieht soweit ganz gut aus. Es wird auch das Funktionsupdate 1709 für ältere Builds angeboten. D.h. das ist dann tatsächlich enthalten, obwohl ich keine Upgrade Funktionalität eingehakt habe. Naja, dann frage ich mich tatsächlich wofür die andere Produktauswahl gut ist.

Grüße
Systembastler
departure69
Lösung departure69 04.05.2018 um 12:32:00 Uhr
Goto Top
Es wird auch das Funktionsupdate 1709 für ältere Builds angeboten. D.h. das ist dann tatsächlich enthalten, obwohl ich keine Upgrade Funktionalität eingehakt habe. Naja, dann frage ich mich tatsächlich wofür die andere Produktauswahl gut ist.

Tja, das wird dann wohl schon "von Haus aus" in dem einzigen Haken "Windows 10" mit drinstecken. Gerade die WSUSse 4 und 5 (also aus 2012/R2 und 2016) zeichnen sich ja unter anderem dadurch aus, daß sie genau dies können, nämlich, die großen Inplace-Upgrades bereit zu stellen. Mein 3.0 SP2 aus W2K8R2 kann das, wie gesagt, noch nicht.

Wie man die großen Inplace-Upgrades auf einzelnen Rechnern - lokal - bis zu 365 Tage zurückstellt, wirst Du Dir vermutlich schon angelesen haben.

Ansonsten:

https://www.windows-faq.de/2017/04/24/windows-10-installation-von-featur ...

https://docs.microsoft.com/de-de/windows/deployment/update/waas-wufb-gro ...

Wobei ich den ganzen "Current-Branch"-Krempel bzw. die ganzen Modelle dazu bis heute nicht richtig verstehe, vor allen Dingen auch, weil sich sowohl an der Vorgehensweise als auch an den Bezeichnungen ständig was ändert.

Falls Du das irgendwie damit (mit den Informationen in den beiden Links) in den Griff kriegst, wärst Du danach wieder Herr im Haus und könntest wieder bestimmen und lenken, wer, was, wo, wann und wie die großen Inplace-Upgardes bekommt oder nicht.


Viele Grüße

von

departure69
Systembastler
Systembastler 04.05.2018 um 16:52:08 Uhr
Goto Top
Zitat von @departure69:

Es wird auch das Funktionsupdate 1709 für ältere Builds angeboten. D.h. das ist dann tatsächlich enthalten, obwohl ich keine Upgrade Funktionalität eingehakt habe. Naja, dann frage ich mich tatsächlich wofür die andere Produktauswahl gut ist.

Tja, das wird dann wohl schon "von Haus aus" in dem einzigen Haken "Windows 10" mit drinstecken. Gerade die WSUSse 4 und 5 (also aus 2012/R2 und 2016) zeichnen sich ja unter anderem dadurch aus, daß sie genau dies können, nämlich, die großen Inplace-Upgrades bereit zu stellen. Mein 3.0 SP2 aus W2K8R2 kann das, wie gesagt, noch nicht.

Wie man die großen Inplace-Upgrades auf einzelnen Rechnern - lokal - bis zu 365 Tage zurückstellt, wirst Du Dir vermutlich schon angelesen haben.

Ansonsten:

https://www.windows-faq.de/2017/04/24/windows-10-installation-von-featur ...

https://docs.microsoft.com/de-de/windows/deployment/update/waas-wufb-gro ...

Wobei ich den ganzen "Current-Branch"-Krempel bzw. die ganzen Modelle dazu bis heute nicht richtig verstehe, vor allen Dingen auch, weil sich sowohl an der Vorgehensweise als auch an den Bezeichnungen ständig was ändert.

Falls Du das irgendwie damit (mit den Informationen in den beiden Links) in den Griff kriegst, wärst Du danach wieder Herr im Haus und könntest wieder bestimmen und lenken, wer, was, wo, wann und wie die großen Inplace-Upgardes bekommt oder nicht.


Viele Grüße

von

departure69

Danke, das schaue ich mir auf jeden Fall nächste Woche noch an. Bin schon um einiges weiter, weil ich mich jetzt intensiv damit auseinander setze. Der Haken bei Windows 10 reicht allemal. Die Updates für alle Builds werden sauber verteilt. Habe das mit den Versionen1607, 1703 und 1709 getestet.

Ich habe die Inplace Upgrades noch nicht zurückgestellt, aber das werde ich definitiv jetzt mal per GPO setzen.

Ich dachte eigentlich, wenn ich die Funktionsupdates im WSUS ablehne, dann wird das schon reichen. Lustigerweise wurde das Funktionsupdate 1803 aber auf einer Kiste angeboten und direkt über die Win10 Update Funktion verarbeitet.

Nach dem Neustart war aber trotzdem noch die Version 1709 drauf? Jetzt habe ich 1803 direkt von der ISO auf dem Rechner angestossen. Das Inplace Upgrade lief jetzt ziemlich schnell durch. Wahrscheinlich wurden da schon über das Win Update Einstellungen und Dateien verteilt, die später dann für 1803 gebraucht werden.

Grüße
Systembastler
Systembastler
Systembastler 04.05.2018 um 17:17:05 Uhr
Goto Top
Zitat von @departure69:

Wobei ich den ganzen "Current-Branch"-Krempel bzw. die ganzen Modelle dazu bis heute nicht richtig verstehe, vor allen Dingen auch, weil sich sowohl an der Vorgehensweise als auch an den Bezeichnungen ständig was ändert.


Current Branch gibts nicht mehr, das heißt jetzt Semi-Annual Channel: Aufgrund von Namensänderungen werden in einigen unserer Produkte möglicherweise immer noch ältere Begriffe wie CB, CBB mit LTSB angezeigt.In den folgenden Einstellungen bezieht sich CB auf Semi-Annual Channel (Targeted), während sich CBB auf Semi-Annual Channel bezieht.

Ich habe die Update GPO jetzt angepasst:

win10-upgrades-zurückstellen

Ich denke mit Semi-Annual Channel (Targeted) sollte die breite Öffentlichkeit gemeint sein. Jetzt werde ich das mal beobachten. Microsoft macht es uns leider nicht einfach.

Grüße
Systembastler
Tigger90
Tigger90 25.05.2018 um 09:19:38 Uhr
Goto Top
Guten Morgen,

ich hänge mich hier mal mit dran, finde das soweit ganz interessant.

Mir ging es genau so wie dir, ich kam mit den Auswahlmöglichkeiten nicht zurecht und war unentschlossen was wichtig ist was nicht. Aktuell ist unser Windows Server 2012R2 folgend konfiguriert:

Windows 10 and later drivers
Windows 10 and later upgrade & servicing drivers
Windows 10 Creators Update and Later Servicing Drivers
Windows 10 Creators Update and Later Upgrade & Servicing Drivers
Windows 10

ich hab die Konfiguration ehrlich gesagt aus dem Bauch heraus getroffen, wenn ihr allerdings sagt das der Haken bei Windows 10 ausreicht, dann werde ich das auch mal testen.

Unter Klassifizierungen habe ich folgendes konfiguriert:

Definitionsupdates
Service packs
Sicherheitsupdates
Update-Rollups
Updates
Upgrades
Wichtige Updates

Ähnlich wie du habe ich mir eine Testgruppe gebaut auf der ich die Updates ausrolle. Was ich bisher beobachten konnte das der WSUS und Client Windows 10 noch nicht richtig zusammenarbeiten. Freigegeben habe ich Sicherheitsupdates, kumulative etc. für Windows 10 1709, sowie das In-Place bzw. Funktionsupdate Windows 10 1803. Auffällig ist das der Win10 Client die Updates zwar sieht, er sie auch versucht abzurufen, aber der Prozess dauert gefühlt ewig. Er lädt Updates teilweise 100% herunter bleibt dann stehen und es tut sich nichts mehrere Stunden lang, dann nach Neustart lädt er Sie erneut runter und tut sich nichts. Vor 2 Tagen Updates freigegeben und heute wurden Sie auf dem Client installiert.

Mein Problem allerdings aktuell: Wie oben beschrieben das Funktionsupdate/In-Place Upgrade 1803 freigegeben, jedoch bleibt das Update am Client dauerthaft auf 0% stehen und lädt es seit 2 Tagen einfach nicht herunter, alle anderen Updates wurden heruntergeladen und soweit ohne Probleme installiert, bis eben auf das In-Place upgrade. Im WSUS selbst steht bei dem Client "updates mit fehlern" 1 Update, ich nehme an das ist das Funktionsupdate 1803. Auch nach dem bereinigen des caches, neu reporten und registrieren am WSUS selbst habe ich keine Änderung.

Vielleicht gibt es im laufe dieses Threads hier dazu Erfahrungen/Lösungen..

Habt ihr schon ein In-Place Upgrade über den WSUS erfolgreich abgeschlossen ?

Hat das evtl. was mit den GPO's zutun? Das neue 1803 Template haben wir soweit eingepflegt und es dürfte eigentlich auch keine GPO dieses verhalten verusachen (außer ich habe etwas übersehen).
Systembastler
Systembastler 22.02.2019 aktualisiert um 15:26:04 Uhr
Goto Top
Mein Problem allerdings aktuell: Wie oben beschrieben das Funktionsupdate/In-Place Upgrade 1803 freigegeben, jedoch bleibt das Update am Client dauerthaft auf 0% stehen und lädt es seit 2 Tagen einfach nicht herunter, alle anderen Updates wurden heruntergeladen und soweit ohne Probleme installiert, bis eben auf das In-Place upgrade. Im WSUS selbst steht bei dem Client "updates mit fehlern" 1 Update, ich nehme an das ist das Funktionsupdate 1803. Auch nach dem bereinigen des caches, neu reporten und registrieren am WSUS selbst habe ich keine Änderung.

Vielleicht gibt es im laufe dieses Threads hier dazu Erfahrungen/Lösungen..

Habt ihr schon ein In-Place Upgrade über den WSUS erfolgreich abgeschlossen ?

Hat das evtl. was mit den GPO's zutun? Das neue 1803 Template haben wir soweit eingepflegt und es dürfte eigentlich auch keine GPO dieses verhalten verusachen (außer ich habe etwas übersehen).

Ich konnte erfolgreich Upgrades von 1709 auf 1803 und später 1809 verteilen. Dafür musste ich einer GPO das Upgrade (Funktionsupdate) freigeben:

Im WSUS müssen dann natürlich vorher die Upgrades heruntergeladen und auch genehmigt werden: Win10 Pro 1809 x64 = Funktionsupdate für Windows 10 (Anwender-Editionen), Version 1809, de-de x64

gpo-freigabe-win10

Grüße
Systembastler
gpo-freigabe-win10-wsus