{"id":255383,"date":"2021-07-04T01:42:12","date_gmt":"2021-07-03T23:42:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255383"},"modified":"2021-07-04T02:20:07","modified_gmt":"2021-07-04T00:20:07","slug":"windows-10-der-wsus-und-das-ssulcu-erkennungs-chaos","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/04\/windows-10-der-wsus-und-das-ssulcu-erkennungs-chaos\/","title":{"rendered":"Windows 10, der WSUS und das SSU+LCU-Erkennungs-Chaos"},"content":{"rendered":"

\"Windows\"[English<\/a>]Hier im Blog hatte ich mich ja bereits \u00fcber Probleme in Verbindung mit dem Juni 2021-Updates f\u00fcr Windows 10 ausgelassen. Dieses macht Probleme, wenn ein fr\u00fcheres Update fehlt. Ein Blog-Leser hat mich dann per Mail darauf aufmerksam gemacht, dass es in Windows 10 sowie in den Server-Pendants seit Monaten ein gravierendes Problem in der Erkennung der in WSUS verf\u00fcgbaren kombinierten SSU- und LCU-Pakete gebe. Ich stelle die Informationen daher in diesem Blog-Beitrag zur Information und Diskussion ein.<\/p>\n

<\/p>\n

Die Klippen bei Windows 10-Updates<\/h2>\n

\"\"Ich hatte bereits im Blog-Beitrag Windows 10 SSU: Klippen, Bugs und neue Version KB5003974 (15.6.2021)<\/a> darauf hingewiesen, dass Administratoren von Windows 10 Version 2004, 20H2 sowie 21H1, die kumulative Updates selektiv installieren, aufpassen und die Installationsvoraussetzungen einhalten m\u00fcssen. Voraussetzung zur Installation der Juni 2021-Updates ist ein installiertes Update KB5003173 vom 11. Mai 2021.<\/p>\n

Das Ganze h\u00e4ngt damit zusammen, dass Microsoft die Servicing Stack Updates (SSU) f\u00fcr Windows 10 Version 2004, 20H2 sowie 21H1 in\u00a0 die kumulativen Updates (Latest Cumulative Update, LCU) integriert hat. Das LCU soll zwar kumulativ sein, fehlt aber ein SSU, geht die Installation des kumulativen Updates schief.<\/p>\n

Im WSUS knallt es<\/h2>\n

Normalerweise ist das kein Problem, werden halt die geforderten Updates vom 11. Mai 2021 installiert und gut ist? Mitnichten, denn als Microsoft sp\u00e4ter diesen Sachverhalt best\u00e4tigt hat, siehe mein Blog-Beitrag Windows 10: Microsoft best\u00e4tigt Probleme mit Juni 2021 Sicherheitsupdate<\/a>, kommt ein Problem ans Tageslicht. Wird das zur Installation vorausgesetzte Update vom 11. Mai 2021 in einer Verwaltungsumgebung wie WSUS (und vermutlich auch in SCCM\/ConfigMgr) als abgelaufen (expired) gekennzeichnet, steht es nicht mehr zur Installation zur Verf\u00fcgung.<\/p>\n

Erster Hinweis auf ein tiefergehendes Problem<\/h2>\n

Zum Blog-Beitrag Windows 10: Microsoft best\u00e4tigt Probleme mit Juni 2021<\/a> hat sich dann noch ein anonymer Benutzer mit nachfolgendem Kommentar zu Wort gemeldet:<\/p>\n

Dann h\u00e4tte MS das Mai Patch einfach mal nicht als \u201esuperseded\" (durch das Juni Patch) markieren sollten.<\/p>\n

Auch gibt es das mMn gr\u00f6\u00dfere Problem, dass bei Upgrades von 1909 auf 20H2 per WSUS, der Patchlevel bei manchen Systemen auf November 2020 h\u00e4ngen bleibt (WSUS verteilt beim 20H2 Upgrade leider immer noch nur die Nov.2020 Patch Version).<\/p>\n

Danach meinen einige Systeme sie h\u00e4tten das Mai und Juni Patch schon installiert (taucht im QFE auf) und WSUS meldet es als installiert und nicht ben\u00f6tigt. Effektiv sind diese Systeme aber immer noch auf dem Stand von Nov 2020.<\/p>\n

Wenn man diese betroffenen System extern bei MS suchen l\u00e4sst werden die Mai und Juni Patches erneut gefunden und dann sauber installiert. Welche System betroffen sind scheint zuf\u00e4llig.<\/p><\/blockquote>\n

Der erste Satz mit dem Hinweis auf die \"superseded\" Updates h\u00e4tte das oben beschriebene Problem, dass ein Update fehlt, theoretisch beheben k\u00f6nnen. Aber im Nachfolgetext kommt der Hinweis, dass es ein tiefergehendes Problem mit der Erkennung des Patchlevel in Windows 10 gebe, sofern ein Upgrade von der Version 1909 auf die 20H2 erfolgt und der WSUS beteiligt ist.<\/p>\n

2. Leserr\u00fcckmeldung zum Erkennungsproblem<\/h2>\n

Kommen wir nun zur Information von Blog-Leser Markus D\u00e4hlmann, der mir per E-Mail den nachfolgenden Sachverhalt zukommen lie\u00df (an dieser Stelle mein Dank f\u00fcr den Hinweis).<\/p>\n

Hallo Herr Born,<\/p>\n

erg\u00e4nzend\u00a0 zu Ihren diversen Blog-Artikeln \u00fcber die neuerlichen Missst\u00e4nde mit den kombinierten SSU+LCU Updates in den neueren Windows 10-Versionen, und konkret Bezug nehmend auf diesen Kommentar<\/a> (ist ja im vorhergehenden Abschnitt herausgezogen) m\u00f6chte ich gerne eine Beobachtung mit Ihnen teilen, die ich bereits vor einigen Wochen in der Microsoft Techcommunity geschildert<\/a> habe, allerdings ohne sonderliche Beachtung.<\/p><\/blockquote>\n

Es handelt sich um den gleichen Hinweis, den ich als Kommentar eines anonymen Lesers oben herausgezogen habe. Hier die Hinweise von Markus:<\/p>\n

Es geht darum, dass die Erkennungs-Logik der in WSUS verf\u00fcgbaren kombinierten SSU+LCU-Pakete schon seit Monaten einen gravierenden Fehler aufweist, von dem es mich wundert, dass ich davon au\u00dfer in oben verlinktem Kommentar noch nirgendwo etwas gelesen habe.<\/p>\n

Die kombinierten SSU+LCU-Pakete b\u00fcndeln ja intern lediglich das SSU und das LCU zu einem Paket. Die beiden Updates lassen sich extrahieren und auch manuell einzeln installieren, so wie es in Offline Servicing-Szenarien (Custom ISO\/WIM erstellen) laut MS sogar zwingend erforderlich ist (Stichwort: Neuer Edge nicht vorhanden, wenn dies nicht befolgt wird).<\/p>\n

Nun habe ich folgende Beobachtung gemacht: Extrahiert und installiert man nur das SSU aus einem kombinierten kumulativen Update, erkennt WSUS im Anschluss das komplette Paket als bereits installiert\/nicht mehr anwendbar.<\/p>\n

Ab dem kumulativen Update vom Mai wurde dies sogar noch undurchsichtiger: Das Update wird durchaus von den Clients als ben\u00f6tigt erkannt, \"installiert\" sich dann allerdings innerhalb von wenigen Sekunden und verlangt keinen Neustart. F\u00fchrt man diesen durch, erkennt man in den Windows Einstellungen, dass sich die Build-Nummer nicht erh\u00f6ht hat.<\/p>\n

Das allein ist eigentlich schon schlimm genug, wenngleich man berechtigterweise behaupten kann, dass dies ein ziemlich obskurer administrativer Spezialfall ist. Ich bin allerdings durch ein viel allt\u00e4glicheres Szenario \u00fcberhaupt auf das Problem aufmerksam geworden:<\/p>\n

Seit Windows 10 2004 bietet Windows Setup die M\u00f6glichkeit, das Verhalten von \"Dynamic Update\" bei einem Feature Upgrade granularer zu steuern (siehe diesen Microsoft-Artikel<\/a>). So ist es z.B. m\u00f6glich, alle verf\u00fcgbaren Dynamic Updates (Setup Updates, SafeOS Updates, Treiberupdates) zuzulassen, das neueste kumulative Update allerdings auszulassen.<\/p>\n

Gerade in einer gemanagten Umgebung m\u00f6chte ich nicht, dass bei einem Feature Upgrade das neueste LCU bandbreitenlastig direkt von MS geladen wird, obwohl ich in WSUS bisher nur das LCU des Vormonats freigegeben habe (Wir erinnern uns: Ab 1809 k\u00f6nnen Dynamic Updates nicht mehr von WSUS geladen werden, sondern kommen immer von MS direkt).<\/p>\n

Der Knackpunkt ist, dass in einem solchen \"\/DynamicUpdate NoLCU\"-Szenario dennoch das brandaktuelle SSU geladen und installiert wird – womit die oben geschilderte Problematik greift. Das hei\u00dft, wenn ich meine Rechner \u00fcber das WSUS-Upgradepaket, welches zuletzt im Dezember 2020 aktualisiert wurde, unter Verwendung einer setupconfig.ini<\/em> mit \"DynamicUpdate=NoLCU\" auf 20H2 aktualisiere, bleiben diese nach dem Upgradevorgang auf dem LCU-Stand von Ende 2020 (!) stecken, bis Microsoft ein neueres kumulatives Update released hat und dieses in WSUS freigegeben wurde – aus IT-Sicherheitssicht eine Katastrophe.<\/p>\n

Noch einmal betonen m\u00f6chte ich, dass diese Problematik nur in WSUS-Umgebungen greift. Ger\u00e4te, die direkt von Microsoft updaten, finden und installieren das neueste LCU auch mit bereits vorinstalliertem SSU-Teil problemlos.<\/p><\/blockquote>\n

Er schreibt, dass das Ganze reproduzierbar in folgender Umgebung getestet wurde:<\/p>\n

Upgradepfad: 1809 -> 20H2
\nWSUS: 2012R2<\/p><\/blockquote>\n

Markus meinte dazu, dass ich die Leserschaft auf dieses nicht leicht zu erkennende Problem aufmerksam machen k\u00f6nnte, was ich hiermit gemacht habe. Nochmals danke an Markus f\u00fcr den Hinweis, vielleicht hilft es den WSUS-Administratoren weiter.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nWindows 10 SSU: Klippen, Bugs und neue Version KB5003974 (15.6.2021)<\/a>
\nWindows 10: Microsoft best\u00e4tigt Probleme mit Juni 2021 Sicherheitsupdate<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Hier im Blog hatte ich mich ja bereits \u00fcber Probleme in Verbindung mit dem Juni 2021-Updates f\u00fcr Windows 10 ausgelassen. Dieses macht Probleme, wenn ein fr\u00fcheres Update fehlt. Ein Blog-Leser hat mich dann per Mail darauf aufmerksam gemacht, dass es … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3694],"tags":[24,4378,881],"class_list":["post-255383","post","type-post","status-publish","format-standard","hentry","category-windows-10","tag-problem","tag-windows-10","tag-wsus"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255383","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255383"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255383\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255383"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255383"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255383"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}