Da Microsoft in letzter Zeit häufig Änderungen in Bezug auf die halbjährlichen Feature-Updates (Funktionsupdates) vorgenommen hat, ist es nicht einfach den Durchblick zu behalten.
Deshalb möchte ich in mit diesem Beitrag einige Punkte klarstellen:
1. Begriffsklärung/Allgemeines
Microsoft hat die Update Channels umbenannt. Bisher gab es “Current Branch (CB)” und “Current Branch for Business (CBB)”. Daraus wurde der semi annual channel.
CB –> semi annual channel (targeted)
CBB –> semi annuel channel
Im targeted channel stehen die Feature-Updates sofort nach dem Release zur Verfügung – wie der Name bereits vermuten lässt, ungefähr alle sechs Monate. Beim semi annual channel ohne targeted werden die Updates erst nach circa vier Monaten zur Installation angeboten. Auf die Möglichkeiten zur Einflussnahme gehe ich in Punkt 2 ein.
Benutzer der Windows 10 home Edition sind zwangsläufig auf dem “targeted” channel und bekommen die Updates stets sofort.
2. Feature-Updates aufschieben
Der Installationszeitpunkt lässt sich am bequemsten mittels Gruppenrichtlinie beeinflussen. Hierfür gibt es GPOs im Bereich “Windows Update for business”. Auf einem deutschen System zu finden unter:
Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update\Windows Update für Unternehmen
-> “Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen”
Feature-Updates können bis zu 365 Tagen aufgeschoben werden. Die kumulativen Updates maximal 30 Tage.
2.1 VORSICHT Falle: Dual Scan Client
Wenn gleichzeitig zur oben genannten GPO, z.B. für WSUS, die Richtlinie “Internen Pfad für den Microsoft Updatedienst angeben” konfiguriert ist, wird der Dual Scan Client aktiviert, welcher mit Version 1607 eingeführt wurde. Dieser Sucht fortan automatisch oder bei einem Klick auf “Suchen Sie online nach Updates von Microsoft Update.” Dadurch kann es passieren, dass Clients ungewollt bzw. zu früh Feature-Updates erhalten. Details gibt’s im Technet Blog.
Mit der Installation des Updates KB4034658, oder generell Updates nach dem 18. Juli 2017, wird auf dem Windows Client eine Gruppenrichtlinie installiert, die dieses Verhalten verhindert. Auf deutsch trägt sie den sperrigen Namen: “Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird” (Computerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Windows Update)
Mit Hilfe dieser Richtlinie lassen sich die Feature-Updates wie gewünscht aufschieben, ohne Gefahr einer ungewollten Installation.
3. Feature-Updates mit WSUS verteilen
An dieser Stelle möchte ich bezüglich der Voraussetzungen gerne ein Dokument von Microsoft zitieren.
Es trägt den Namen: Bereitstellen von Windows10-Updates mit Windows Server Update Services (WSUS) Hier finden sich sehr viele nützliche Informationen. Unter anderem auch die notwendigen Voraussetzungen.
“Damit WSUS Windows10-Featureupdates verwalten und bereitstellen kann, benötigen Sie WSUS4.0, das in den Betriebssystemen Windows Server2012 R2 und Windows Server2012 verfügbar ist. Neben WSUS 4.0 müssen Sie auch die Patches KB3095113 und KB3159706 auf dem WSUS-Server installieren.”
Damit WSUS die Feature-Updates bereitstellt, sind nur diese beiden Einstellungen unter dem Punkt Produkte und Klassifizierungen nötig.
- Produkte: Windows 10
- Klassifizierungen: Upgrades
4. Feature-Updates verhindern
Die einfachste Art, Feature-Updates von Clients fernzuhalten ist, diese nicht über WSUS bereitzustellen. Also diese nicht zur Installation freizugeben oder die “Upgrades” erst gar nicht von Microsoft herunterzuladen.
Hierbei ist aber wie oben beschrieben zu beachten, dass die beiden folgenden GPOs auf nicht konfiguriert eingestellt sind:
- “Beim Empfang von Funktionsupdates auswählen” oder mit neuerem Namen “Zeitpunkt für den Empfang von Vorabversionen und Funktionsupdates auswählen”
- “Beim Empfang von Qualitätsupdates auswählen”
Grundsätzlich sollten die Feature-Updates nicht zu lange zurückgehalten werden, da jede Windows-Version nur 18 Monate lang mit Patches versorgt wird.
5. Windows 10 LTSB (Long-Term Servicing Branch)
Für alle, denen die vielen Updates/Upgrades zu viel des Guten sind, gibt es noch die LTSB-Variante. Nachfolgend die wichtigsten Infos in Kürze.
- gibt es nur mit Volumenlizenzvertrag
- es gibt keine Feature-Updates für diese Version
- fünf Jahre lang gibt es Patches auch für unkritische Bugs
- 10 Jahre lang Patches für sicherheitsrelevante Bugs
- neue LTSB-Version alle zwei bis drei Jahre
- Hardware-Support wird nur für die Geräte garantiert, die zum Releasezeitpunkt am Markt sind
@Michael: Ich verwende DesktopCentral von ManageEngine für das Patchmanagement. Funktioniert super.
@Simon
Danke für die Info. Genau das mache ich zur Zeit… Ist halt bei einigen hundert PCs aber nicht so lustig :-).
Ich werde mir da mal was mittels Script und Tasks überlegen.
Oder hat da schon jemand was?
Schönes Wochenende an alle
Grüße
Michael
@Michael
Kleiner Tipp: größere Updates für das Wochenende planen und die Kisten per WoL starten und neustarten lassen. :)
Hallo David,
Erstmal danke für den super Artikel.
Kurze eine Frage:
Unterscheiden sich die Feature-Updates über WSUS von jenen, die ich über den „normalen“ Weg herunterlade und installiere? Größe, Installationsdauer…..
Ich glaube für jeden von uns ist es fast eine Zumutung diese großen Dinger zu installieren und den Benutzer zu erklären, warum er am nächsten Tag seeeeeehr lange warten muss :-).
Danke für die Hilfe
Beste Grüße
Michael
Hallo Michael,
freut mich, dass Dir der Artikel gefällt.
Soweit ich weiß, sind die Feature-Updates über WSUS identisch.
Gruß, David