Windows Package Publisher: Updates von Firefox mit WSUS veröffentlichen

    Firefox über WSUS und WPP installierenDer Windows Package Publisher ist eine kosten­lose Erweiterung für die WSUS, um Produkte von Dritt­anbietern zu aktua­lisieren. Damit lässt sich somit Standard-Software wie Adobe Reader oder diverse Web-Browser auf dem neusten Stand halten. Diese Anleitung zeigt das Vor­gehen anhand von Firefox.

    Sobald man den Package Publisher (WPP) installiert und konfiguriert hat, kann man sich daran machen, Updates für Nicht-Microsoft-Produkte hochzuladen und zu verteilen (siehe dazu: Windows Package Publisher: Software von Drittanbietern mit WSUS patchen).

    Im folgenden Beispiel erstelle ich ein Update aus einer FireFox-MSI (Release 78.0). Nachdem dieses auf dem Zielrechner erfolgreich installiert worden ist, gebe ich die aktuellste Version des Browsers (Release 79.0) frei, welche die zuvor installierte Version überschreibt.

    Neues Update anlegen

    Um ein erstes Update über den WPP zu erstellen, klickt man im linken Navigations­menü mit der rechten Maustaste auf den Punkt Updates. Über den Befehl Create an update aus dem Kontextmenü gelangt man in den Wizard.

    Neues Update im Windows Package Publisher anlegen

    Über die Schaltfläche Browse öffnet man den Dialog zur Auswahl der gewünschte MSI-oder EXE-Datei. Wir entscheiden uns für die zuvor heruntergeladene Version 78 von Mozilla Firefox.

     MSI oder EXE-Installer in den WPP hochladen.

    Nach einem Klick auf Next gelangen wir zu den Update-Informationen, welche frei konfigurierbar sind.

    Der WPP gruppiert sämtliche Updates hierarchisch in der Seiten­navigation, und zwar absteigend nach Vendor Name und Product Name. Weitere Informationen kann man bei Bedarf eingeben. Dazu gehören etwa Tags, welche beispielsweise beschreiben, ob das Update einen Neustart verlangt.

    Für das hochgeladene Update kann man bei Bedarf weitere Metadaten eingeben.

    Der darauf­folgende Dialog definiert, welche Regeln prüfen sollen, ob das Update auf dem Zielsystem bereits installiert ist (unterteilt in Update- und Paketebene). Die Standard­einstellung MsiApplicationInstalled auf Paketebene reicht in den meisten Fällen bereits aus.

    Ob ein Update bereits vorhanden ist, lässt sich meistens anhand des installierten MSI-Pakets feststellen.

    Die Software erlaubt für Sonderfälle aber diverse Abfragen anhand mehrerer Kriterien, um beispielsweise anhand von Registry-Einträgen zu entscheiden, ob Updates bereits vorhanden sind.

    Abfragen anhand verschiedener Kriterien können klären, ob ein Update schon installiert ist.

    Im nächsten Schritt wird geprüft, ob das Update überhaupt installierbar ist. Hier lassen sich die gleichen Kriterien anwenden wie im Schritt zuvor. Dazu genügt zumeist ebenfalls die Standard­einstellung MsiApplicationInstallable.

    Prüfung, ob ein Update generell installiert werden kann.

    Auf das Editieren der Meta­informationen verzichten wir und führen Publish aus.

    Der WPP erstellt aus unserer MSI nun das CAB-File, signiert dieses und veröffentlicht es zum Abschluss. Die CAB-Datei und das MSI-Paket werden wie andere Updates auch in den WSUS-Files unter UpdateServicesPackages gespeichert. Nun erhalten wir Feedback, ob der Prozess erfolgreich war.

    Anzeige, ob das Publizieren des Updates erfolgreich war

    Das Update erscheint nun auch in der Seitennavigation.

    Neue Updates scheinen nach dem Publizieren in der Baumansicht des linken Fensters auf.

    Es kann jetzt über Approve für ausgewählte Computer-Gruppen in den WSUS freigegeben werden.

    Update für die Zielsysteme genehmigen

    Die der Gruppe zugehörigen Computer laden das Update nun vom WSUS-Server und installieren sie je nach GPO-Einstellung. In unserem Beispiel erhält Server02 nun Firefox zur Installation über den Windows-Update-Prozess.

    Benutzer erhalten das Firefox-Update zur Installation angeboten.

    Updates durch den WPP werden danach auch in der Update-History unter dem Punkt Other Updates aufgeführt.

    Vorhandene Software aktualisieren

    Da für Software meistens weitere Releases erscheinen, die neue Features enthalten oder Sicherheits­lücken schließen, erlaubt es der WPP, eine installierte Version auf den Zielgeräten mit einem Update zu überspielen.

    In unserem Beispiel soll Firefox 78 durch die Version 79 ersetzt werden. Dazu navigieren wir im WPP auf das zuvor erstellte Update und wählen aus dessen Kontext­menü den Befehl Create a superseding update.

    Update zum Überschreiben einer vorhandenen Version erstellen

    Wie beim initialen Anlegen eines Updates laden wir auch hier die entsprechende MSI. Die Update-Informationen werden vom vorangegangenen Update automatisch übernommen. Hier sollte man die Versions­nummern entsprechend anpassen, falls diese die Release-Nummer enthalten.

    Metadaten für das ersetzende Update eingeben

    Unter Supersedes ist das Vorgänger-Update bereits ausgewählt. Unter Prerequisites kann man außerdem als Bedingung festlegen, dass ein Update lediglich installiert werden kann, wenn einer der Vorgänger vorhanden ist. Im Fall von Firefox ist das aber nicht sinnvoll.

    Die Einstellungen zur Prüfung, ob das Update bereits eingerichtet ist und ob das Update installiert werden kann, belässt man zumeist auf dem Standard. Anschließend veröffentlichen wir das Update.

    Es wird nun ebenfalls im WPP gelistet und man kann es nun für gewählte Computer-Gruppen freigeben.

    Neues Update für die Ziel-Computer genehmigen

    Anschließend taucht es dort in der App Einstellungen auf und kann nun installiert werden.

    2 Kommentare

    Martin Feuerstein sagt:
    25. September 2020 - 8:42

    Kann mit dem MSI auch eine (oder mehrere) Transform-Datei(en) angewendet werden?
    Wie schauts um die Erkennung der Vorversion aus (afaik gibts Probleme beim Erkennen höherer Versionsnummern im dritten und vierten Block, also z. B. x.y -> x.z ok, x.x.y -> x.x.z wird nicht erkannt)?
    Gibt es eine Auswahl zwischen Update oder Deinstallieren/Neuinstallieren wie in Gruppenrichtlinien?

    Marc sagt:
    28. September 2020 - 13:39

    Danke für den Artikel. Erinnert mich ein wenig an System Center Essentials. Die haben ja auch den WSUS Mechanismus für den Publish von Paketen verwendet. Eigentlich eine schöne Sache - und so einfach... Womöglich gibts deswegen SCE nicht mehr ....