Delivery Optimization (Übermittlungsoptimierung) zusammen mit WSUS nutzen

    Aktivitätsmonitor für die ÜbermittlungsoptimierungDie Übermittlungs­optimierung dient der effi­zien­ten Ver­teilung von Updates im Netzwerk, wobei sie durch Caching von herunter­geladenen Dateien Band­breite spart. Im Zusammen­spiel mit WSUS kann sie vor allem in Unter­nehmen mit mehreren Stand­orten nützlich sein, wenn man sie ent­sprechend konfiguriert.

    Die Delivery Optimization (DO) wurde ursprünglich als Komponente von Windows Update for Business (WUfB) vorgestellt, arbeitet aber auch mit den Windows Server Update Services (WSUS) zusammen.

    Die Delivery Optimization arbeitet mit WSUS und Windows Update for Business zusammen.

    Dabei kontaktieren Clients zuerst den WSUS-Server, um nachzusehen, ob neue Updates vorliegen. Anschließend prüfen sie, ob sie zwischen­gespeicherte Dateien von anderen PCs (Peers) beziehen können. Ist das nicht der Fall, dann erst lädt Windows 10 die Updates von WSUS herunter.

    DO standardmäßig in allen Editionen aktiviert

    Die DO ist nicht bloß eine zusätzliche Option, die man freischalten kann, um WSUS zu entlasten. Vielmehr ist sie standard­mäßig auf allen Editionen von Windows 10 bereits aktiviert. In der Enterprise Edition beschränkt es sich aber auf das Caching von Update-Dateien im LAN, während die Consumer-Varianten auch Rechner über das Internet einbinden.

    Die Übermittlungsoptimierung ist in allen Editionen von Windows 10 per Voreinstellung aktiviert.

    Selbst wenn Anwender für das Zwischen­speichern von Update-Dateien bereits BranchCache einsetzen, dann nutzt Windows 10 stattdessen die Übermittlungs­optimierung, wenn diese nicht explizit abgeschaltet wurde (dafür dient der Wert Überbrückung (100) in der unten angesprochenen GPO-Einstellung Downloadmodus).

    Support für Office und Windows Server

    Seit Windows 10 1709 verarbeitet die DO neben Feature- und Qualitäts-Updates für Windows, Treibern, sowie Dateien aus dem Store auch Click-to-Run-Updates für Office. Mit dem Release 2004 kam die Unterstützung für herkömmliche Office-Updates und MSIX hinzu.

    Die DO lässt sich auch für Windows Server nutzen, ist dort aber standardmäßig deaktiviert.

    Grundsätzlich können auch Windows Server ihre Updates von PCs im Netzwerk beziehen, standard­mäßig ist dies Übermittlungs­optimierung dort jedoch abgeschaltet. Seit der Version 1709 gibt es dieses Feature auch für Server Core.

    Steuerung über Cloud-Service

    Voraussetzung für die Übermittlungs­optimierung ist, dass die Rechner mit dem Internet verbunden sind, weil die Orchestrierung der Caches über einen Cloud-Service erfolgt.

    Hinzu kommt per Voreinstellung eine minimale Hardware-Anforderung von 4GB RAM und 32GB Speicherplatz auf dem System­laufwerk. Diese Werte sowie den Speicherort für den Cache lassen sich über Gruppen­richtlinien anpassen.

    Die Anforderung an die Hardware der Peer-Caches lässt sich über ein GPO anpassen.

    Peers in Gruppen organisieren

    Damit sich die Clients gegenseitig die Updates effizient zuspielen können, ist es wichtig, sie passend zur Netzwerk­topologie in Gruppen zusammen­zufassen. Bei der erwähnten Option, Inhalte nur von PCs im lokalen Netzwerk herunter­zuladen, packt die DO einfach alle Rechner in eine Gruppe, die über die gleiche öffentliche IP (sprich: gleiche Firewall) an das Internet angebunden sind.

    Wenn die solchermaßen gruppierten Clients jedoch über mehrere Standorte verteilt und über ein langsames Netzwerk verbunden sind, dann wird man eher das Gegenteil des gewünschten Ergebnisses erreichen. Obendrein geht dann der Transfer der Cache-Inhalte zu Lasten anderer Anwendungen.

    Aus diesem Grund bietet die Gruppen­richtlinie Downloadmodus unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Übermittlungs­optimierung weitere Einstellungen, um Windows-PCs in Gruppen einzu­sortieren.

    Der Downloadmodus ist die zentrale Einstellung für die Übermittlungsoptimierung.

    Microsoft empfiehlt in der Update Baseline die Verwendung von Gruppe (2). Dabei erfolgt das Peering standard­mäßig zwischen Geräten derselben Active Directory-Site, oder falls nicht vorhanden, in derselben Domäne.

    Wenn die Domänen-basierte Gruppe zu groß wäre oder AD-Sites nicht an der Netzwerk­topologie ausgerichtet sind, dann bieten sich alternative Möglichkeiten, Peers zusammen­zufassen.

    PCs anhand einer ID zusammenfassen

    Eine davon findet sich in der Einstellung Gruppen-ID. Dabei weist man allen Rechnern, die als Peers für das Caching und Verteilen von Updates kooperieren sollen, die gleiche ID zu. Diese hat die Form einer GUID, welche man mit PowerShell erzeugen kann.

    Rechner lassen sich über eine gemeinsame ID zu Gruppen für die DO zusammenfassen.

    Idealerweise befinden sich die betreffenden Rechner dafür in den gleichen organi­satorischen Einheiten, so dass man sie mit derselben ID versieht, indem man das GPO mit diesen OUs verknüpft. Für eine zusätzliche Eingrenzung der Clients könnte man WMI-Filter verwenden.

    Eignet sich die GPO-Verknüpfung nicht, um die gewünschten PCs für die DO anzusprechen, dann bietet Quelle für Gruppen-IDs auswählen weitere Optionen. Diese Einstellung überlagert die genannte Gruppen-ID.

    Alternative Methoden, um Rechner für die Übermittlungsoptimierung in Gruppen zu organisieren.

    Zu den zusätzlichen Kriterien gehört dort neben dem gemeinsamen DNS-Suffix vor allem die Zuteilung einer GUID über die DHCP-Option 234. Sie bietet sich besonders dann an, wenn sich auf diesem Weg bestimmte Subnets gezielt erreichen lassen.

    VPN-Management

    Eine ähnliche Problematik ergibt sich, wenn Benutzer über ein VPN an das Firmennetz angeschlossen sind. Auch in diesem Fall handelt es sich oft um relativ langsame Verbindungen, so dass es nicht wünschens­wert ist, dass solche Remote-PCs als Update-Cache für die Rechner im LAN dienen.

    Die Delivery Optimization versucht selbständig herauszufinden, ob ein Rechner via VPN angebunden ist, indem es den Typ des Netz­adapters prüft und zudem schaut, ob dessen Beschreibung bestimmte Schlüsselwörter wie "VPN" oder "secure" enthält.

    In diesem Fall deaktiviert die DO alle Peer-to-Peer-Aktivitäten. Möchte man dieses Standard­verhalten ändern, dann kann man dies mit der Einstellung Peercaching aktivieren, während das Gerät über ein VPN verbunden ist tun.

    Bandbreitenkontrolle

    Die Gruppen­richtlinien bieten darüber hinaus zahlreiche Einstellungen unabhängig vom Typ der Verbindung, um die Belastung des Netzwerks durch die Kommunikation zwischen den Peers zu kontrollieren.

    Eine Reihe von Einstellungen hilft dabei, die Überlastung des Netzwerks durch die DO zu vermeiden.

    Sie reichen von maximalen Download-Bandbreiten (in Prozent oder seit Windows 10 2004 auch absolut) im Vorder- und Hintergrund über monatliche Obergrenzen in GB bis zur Festlegung von Geschäftszeiten, in denen sich das übertragene Volumen limitieren lässt.

    DO überwachen und Aktivitäten auswerten

    Hat man die Delivery Optimization entsprechend den eigenen Anforderungen und Gegebenheiten konfiguriert, dann wird man wissen wollen, ob sich dieses Feature auch so verhält wie geplant. Dazu kann man auf einzelnen Rechnern in der App Einstellungen unter Update und Sicherheit => Übermittlungs­optimierung den Aktivitätsmonitor starten.

    Wesentlich mehr Informationen erhält man mit PowerShell, das eine ganze Reihe von Cmdlets für diesen Zweck bietet, wie man mit

    Get-Command -Verb Get -Noun *Delivery*

    unschwer herausfinden kann. Mit der Version 2004 sind Get-DeliveryOptimization­Status und Get-DeliveryOptimization­LogAnalysis neu dazuge­kommen. Das erste erlaubt einen Einblick in Peer-to-Peer-Aktivitäten wie IP-Adressen oder gesendete und empfangene Bytes.

    Auswertung der DO-Aktivitäten mit Hilfe von PowerShell

    Das zweite liefert eine Zusammen­fassung der DO-Logs, darunter die Zahl der herunter­geladenen Dateien, Downloads von anderen PCs im Netz und der Effizienz insgesamt. Der Schalter ListConnections informiert über die Peer-to-Peer-Verbindungen.

    Für die Problemanalyse kann man zudem mit Enable-DeliveryOptimization­VerboseLogs eine detaillierte Aufzeichnung starten.

    Fazit

    Entsprechend konfiguriert, kann die Delivery Optimization die WSUS-Infrastruktur entlasten und dabei helfen, die Zahl ihrer Server zu reduzieren und komplexe Topologien aus Upstream- und Downstream-Server zu verschlanken.

    Im Unterschied zu BranchCache ist dieses Feature in allen Editionen von Windows 10 enthalten und kann bei Bedarf auch für Windows Server genutzt werden. Eine zusätzliche Aufwertung hat es durch die Unterstützung für Office-Updates erfahren.

    Während es sich über die GUI nur rudimentär konfigurieren lässt, stehen für verwaltete Umgebungen mittler­weile zahlreiche Gruppen­richtlinien zur Ver­fügung, mit denen Admins besonders den Ressourcen­verbrauch im Netzwerk und auf den Clients kontrollieren kann.

    Keine Kommentare