Heute noch eine kurze Frage, ob Administratoren das bestätigen können. Die zur Verwaltung von Updates genutzten Microsoft-Tools WSUS und SCCM scheinen bereits seit zwei Monaten nicht mehr alle Updates zu erhalten.
Anzeige
Es gab hier im Blog ja immer wieder mal Kommentare von Administratoren, dass bestimmte Updates, die ich hier in Beiträgen dokumentierte, nicht beim WSUS ankamen. Oder auf WSUS freigegebene Updates werden von den Clients nicht erkannt. Selbst beim Versuch, Updates in WSUS zu importieren, sieht sich mancher Administrator diversen Hürden ausgesetzt (siehe Lösung: Updates in WSUS importieren).
Beobachtungen von Susan Bradley
Susan Bradley, selbst Administratorin und MVP-Kollegin, hat auf AskWoody diesen Kurzbeitrag eingestellt, in der sie das Problem thematisiert. Das Problem ist WSUS (Windows Server Update Services), welches in vielen Unternehmensumgebungen eingesetzt wird, um Clients gezielt mit Updates zu versorgen. Größere Unternehmen nutzen den SCCM (System Center Configuration Manager) für diesen Zweck.
Susan Bradley schreibt, dass viele Administratoren in letzter Zeit etwas Ungewöhnliches bemerkt haben. Die Updates, die Microsoft (z.B. in der Windows 10 and Windows Server update history) veröffentlicht hat, tauchen nicht immer auf der Seite Description of Software Update Services and Windows Server Update Services changes in content for 2018 auf.
Die zweite Liste gibt eigentlich alle Änderungen an, die sich für Umgebungen mit Windows Server Update Services (WSUS) oder System Center Configuration Manager (SCCM) ergeben.
Anzeige
Beispiele für die Diskrepanzen
Im Mai 2018 wurden die Updates KB4103714 (Windows 10 Version 1709) und KB4103722 (Windows 10 Version 1703) veröffentlicht. Beide tauchen aber, laut Bradley nicht für WSUS auf, und sie stellt die Frage 'warum'? Bei den beiden genannten Updates handelt es sich nicht um Sicherheitsupdates, sondern es werden ausschließlich Bug-Fixes ausgerollt. Jemand hält, nach Meinung von Bradley, bei Microsoft diese Updates offensichtlich nicht für wichtig genug, um sie an WSUS- oder SCCM-Umgebungen auszuliefern.
Update-Hürden für Administratoren?
Will ein Administrator diese Updates installieren, muss er diese manuell aus dem Microsoft Update Katalog in WSUS importieren, und für die Clients bereitstellen. Dabei muss der Administrator sicherstellen, dass auf den Maschinen die erforderlichen Servicing-Stack-Update vor der Installation des eigentlichen Updates installiert sind.
Update KB4103722 für Windows 10 Version 1703 benötigt zwingend das Servicing Stack Update (SSU) KB4132649. Bei Update KB4103714 für Windows 10 Version 1709 ist das Servicing Stack Update (SSU) KB4132650 erforderlich. Es ist also ein Abgleich auf den Clients erforderlich und der Administrator muss beide auf WSUS für die Clients freigeben. Glücklicherweise ist das Betriebssystem intelligent genug, nach der Genehmigung auf WSUS, auf dem Client zuerst die SSU und dann das kumulative Update (CU) zu installieren.
Komischerweise taucht das zweite Update KB4100403, welches im Mai 2018 für Windows 10 V1803 veröffentlicht wurde, in WSUS auf.
Problem: Seeker-Updates?
Bei Askwoody gibt es eine Diskussion um dieses Thema. Ein Benutzer weist darauf hin, dass manche Updates nur gefunden werden, wenn explizit eine Update-Suche angestoßen wird. Der Betreffende spricht von 'Seeker-Updates, die nicht automatisch ausgerollt werden und weist auf etwas hin, was mir auch schon aufgefallen ist. Seit etwa März 2018 taucht in den Beschreibungen der Updates häufiger der Hinweis 'Starten Sie die Update-Suche', um neue Updates, die Probleme korrigieren sollen, zu installieren. Laut dem Kommentar hier ersetzten diese Updates frühere Updates, die manuell aus dem Katalog heruntergeladen werden mussten.
Irgend jemand wird sich bei Microsoft schon was bei gedacht haben? Oder ist das kein Problem für euch Administratoren bzw. trifft nicht zu?
Ähnliche Artikel:
Lösung: Updates in WSUS importieren
Windows 10 Probleme: WSUS und Store in V1803
WSUS: Hunderte Updates plötzlich abgelaufen?
Microsoft erklärt das WSUS-Problem in Windows 10 V1607 (Fehler 0x8024401c)Windows Server 2016 und die langsame Update-Installation
Update KB3050267 blockiert Office 2013 Updates per SCCM 2012 R2 CU4
Windows 10: (WSUS-Test)Updates KB4078126 und KB4078127
Anzeige
Wir können diese Vorgehensweise von Microsoft bestätigen.
Wichtig sind doch die monatlichen Sicherheitsupdates ! Alle dazwischenliegenden
Updates sind meist Fehlerbehebungen, die nur bestimmte Bereiche betreffen.
Durch die kumulativen Updates am Patchday werden diese dann mitinstalliert.
Vor allem beim Einsatz der "alten" W10 Versionen 1703 und 1709 spart man
damit Arbeitszeit und ClientsAusfälle.
Administratoren informieren sich in der Regel über alle zur Verfügung stehenden Updates und können abwägen, ob sie Inhalte für so wichtig halten, um diese manuell anzustoßen oder in WSUS zu importieren.
Das kann ich bestätigen! In der Firma habe ich auf meinem Schreibtisch noch ein win10 Notebook welches noch nicht vom wsus versorgt wird. Dieser zeigt mir weiß fehlende Updates an.
Es ist tatsächlich so, dass offensichtlich nur die am Patchday freigegebenen Updates auch am WSUS landen.
Böse Zungen könnten behaupten, dass danach kommende Updates zum Betatest an die Anwender verteilt werden, damit diese dann "ready" für den nächsten Patch-Tuesday sind.
@Hape:
Ein Import von was auch immer ist unter Server 2016 mit WSUS auch nur mit Hindernissen zu schaffen.
Mir ist auch noch aufgefallten, dass seit 31.05.2018 die SUSDB sprungartig auf die dreifache größe angewachsen ist und das ohne dass etwas passiert wäre.