{"id":227589,"date":"2020-01-29T00:09:00","date_gmt":"2020-01-28T23:09:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=227589"},"modified":"2020-01-28T22:18:26","modified_gmt":"2020-01-28T21:18:26","slug":"windows-10-v1709-forced-upgrade-auf-v1909-bei-wsus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/01\/29\/windows-10-v1709-forced-upgrade-auf-v1909-bei-wsus\/","title":{"rendered":"Windows 10 V1709: Forced Upgrade auf V1909 bei WSUS?"},"content":{"rendered":"

[English<\/a>]Spannende Frage, die ich hier im Blog zur Diskussion stellen m\u00f6chte. Es gibt eine Beobachtung, dass Windows 10 im Enterprise-Umfeld gewaltsam von Version 1709 auf 1909 aktualisiert wird, wenn bei WSUS f\u00fcr Enterprise-Clients einige Tage nicht erreichbar sei. <\/p>\n

<\/p>\n

\"\"Blog-Leser Markus H. hat mich gestern mit der Frage konfrontiert und seine pers\u00f6nlichen Beobachtungen auf einem Test-Client dokumentiert. Dazu muss man sagen, dass Markus irgendwo, gelesen hatte, dass das Zwangsupgrade f\u00fcr Windows 10 Version 1709 angelaufen sei. Windows 10 Enterprise f\u00e4llt ja am 14. April 2020 aus dem Support. <\/p>\n

\"Windows
(Windows 10: End of Life-Daten) <\/p>\n

Windows 10 V1709 Enterprise bekommt Upgrade<\/h2>\n<\/p>\n

Markus beschreibt in seiner E-Mail eine sehr krude Beobachtung, die er auf seinem Test-Windows 10 Enterprise-Client, der auf Version 1709 lauft, gemacht hat:<\/p>\n

\n

W10 1709 \/ Forced install auf 1909 \/ f\u00fcr Enterprise User falls WSUS f\u00fcr einige Tage nicht erreichbar?<\/p>\n

Erhalten Sie aktuell Meldungen, dass auch f\u00fcr Firmen bei WSUS der Updateprozess auf 1909 \u201egeforced\" wird?
Ich hatte einen Artikel dazu gelesen, dass dies nun von MS f\u00fcr Privat-Installationen aktiviert wurde. <\/p>\n

A) <\/b>Heute Morgen wurde ich mit dem folgenden Hinweisfenster an dem Test-Client begr\u00fc\u00dft:<\/b><\/p>\n<\/blockquote>\n

\"Funktionsupdate
(Funktionsupdate f\u00fcr Windows 10 V1709 Enterprise) <\/p>\n

Markus erhielt also auf seiner Windows 10 V1709 Enterprise die Erinnerung, dass ein Funktionsupdate bereit steht. Aber die Update-Verteilung wird per WSUS verteilt. Hier der betreffende Screenshot des Windows Update-Fensters. <\/p>\n

\"Windows<\/a> <\/p>\n

Man sieht das eingetroffene Funktionsupdate und dass Windows auf dessen Installation wartet. Windows Update wird aber \u00fcber Konfigurationsrichtlinien verwaltet \u2013 die Update-Verteilung erfolgt per WSUS. Markus schreibt dazu: <\/p>\n

\n

Obwohl dies [das Funktionsupdate] explizit bei uns im WSUS deaktiviert wurde und auch (eigentlich von mir so nicht freigegeben wurde), was mich besonders f\u00fcr unser Patchmanagement als Verantwortlicher \u00fcberrascht. <\/p>\n

Der einzige Unterschied zu den sonstigen Clients ist, dass ich versuchte, den Client auf einen neuen WSUS-Server einer Au\u00dfenstelle zu forcieren. <\/p>\n

Microsoft als \u201eAlternative URL\" wurde von uns nicht \u00fcber die WSUS-Parameter, bzw. der Registry des Clients angegeben.<\/p>\n<\/blockquote>\n

Markus hat folgenden Screenshot der WSUS-Einstellungen mitgeschickt und schreibt dazu: Wie Sie sehen, sind auf dem WSUS keine Feature-Updates zum Download freigegeben.<\/em> <\/p>\n

\"WSUS-Vorgaben:<\/p>\n

Weiterhin wurden mir die beiden nachfolgend gezeigten Screenshots mit Registrierungseinstellungen zugeschickt. Als Update-Server ist WSUS vorgegeben.<\/p>\n

\"Policy-Setting<\/a><\/p>\n

Und hier der Eintrag aus der Registrierung, der Feature-Updates eigentlich explizit ausschlie\u00dfen soll.<\/p>\n

\"Policy-Einstellungen<\/p>\n

Ich pers\u00f6nlich w\u00e4re jetzt davon ausgegangen, dass der Client mit Windows 10 Version 1709 Enterprise, trotz Supportende, weiterhin auf dieser Version bleibt. Ich hatte aber im Artikel Windows 10 Enterprise V1709 versucht Upgrade auf V1803<\/a> schon mal eine \u00e4hnliche Beobachtung vom Sommer 2019 dokumentiert. Markus schreibt zur aktuellen Situation: <\/p>\n

\n

Ist es m\u00f6glich, dass sich der WSUS-Client, wenn er einige Zeit den WSUS-Server intern nicht erreicht, geforced auf die Microsoft-Updates wechselt und dort das 1909 zieht? Dies w\u00e4re eine Einstellung, die erst seit kurzem aktiv w\u00e4re. <\/p>\n

Falls ja, h\u00e4tte dies Auswirkungen auf unsere gesamtes Patchmanagement, da mehrere unserer Mitarbeiter\/Clients auf Baustellen sind, wo einige Zeit kein WSUS-Server von dieser Lokation erreichbar ist. <\/p>\n

Diesen Testclient habe ich vor ca. 8 Tagen auf den Downstream-Server via Regedit zugewiesen. Da der Client dort allerdings nicht erscheint, besteht evtl. eine neue Firewall-Regel zwischen den Lokationen. <\/p>\n

Dass hier Microsoft einen gezwungenen Download von den MS Windows Update Servern erzwingt, scheint mir aktuell die einzige Erkl\u00e4rung.<\/p>\n<\/blockquote>\n

Falls keiner von euch eine logische Erkl\u00e4rung f\u00fcr die obige Beobachtung hat, w\u00fcrde ich der Analyse von Markus beipflichten. <\/p>\n

WSUS-Hinweise von Produktions-Clients<\/h2>\n

In einem erg\u00e4nzenden Text gibt Markus noch bekannt, dass er auf seinen Windows 10-Clients, die produktiv genutzt werden und am WSUS zur Update-Verwaltung h\u00e4ngen, unterschiedliche Informationen k\u00e4men: <\/p>\n

\n

B)  Zus\u00e4tzlich erreichen uns nun von unseren Produktiven-Clients unterschiedliche Informationen zu den WSUS-Hinweisen bei der Suche nach Updates:<\/b> <\/p>\n

Beide nun folgenden Screenshots sind von Clients im gleichen Deployment-Ring (Produktiv)<\/p>\n<\/blockquote>\n

\"Windows <\/p>\n

Markus hat mir noch den Screenshot f\u00fcr einen zweiten Client geschickt und schreibt dazu: <\/p>\n

\n

Eine neue Warnung, obwohl hier der gleiche Patch-Stand von November zu dem o. g. Client besteht! <\/p>\n

Wir hatten einige Probleme mit Updates mit unseren internen Anwendungen, welche wir seit 3 Tagen beheben konnten.<\/p>\n<\/blockquote>\n

\"Windows <\/p>\n

Markus hat mir noch die Windows-Update-Log-Datei geschickt, wo man sieht, wie sich sich der Client die Updates nach mehreren Verbindungsfehlern zum WSUS wohl zu Microsoft Windows Update wechselt und dort die Updates zieht. Die Datei ist sehr umfangreich, weshalb ich die hier nicht einstelle. Frage: Kann sich jemand einen Reim darauf machen oder das Verhalten best\u00e4tigen?<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Spannende Frage, die ich hier im Blog zur Diskussion stellen m\u00f6chte. Es gibt eine Beobachtung, dass Windows 10 im Enterprise-Umfeld gewaltsam von Version 1709 auf 1909 aktualisiert wird, wenn bei WSUS f\u00fcr Enterprise-Clients einige Tage nicht erreichbar sei.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185,3694],"tags":[63,4378,881],"class_list":["post-227589","post","type-post","status-publish","format-standard","hentry","category-update","category-windows-10","tag-upgrade","tag-windows-10","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227589","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=227589"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/227589\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=227589"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=227589"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=227589"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}