Tags: Nano Server, Windows Server 2016, Patch-Management
Das Service-Modell für Windows Server 2016 sieht regelmäßige kumulative Updates vor. Wenn man für neue Nano-Server ein individuelles WIM als Basis nutzt oder mehrere Nano-Instanzen in virtuellen Maschinen ausführt, dann kann man diese offline aktualisieren. DISM integriert Packages aber auch in ein Live-System.
Der Nano Server geht auch beim Patch-Management eigene Wege, so dass die von einer Vollinstallation bekannten Mechanismen nur teilweise greifen. Zwar kann man die superschlanke Variante etwa zur Zusammenarbeit mit WSUS bewegen, muss die Updates dann aber dort via PowerShell selbst abrufen.
Online- und Offline-Patching
Angesichts dieses halbautomatischen Verfahrens wird man oft ein Patchen in Erwägung ziehen, bei dem man das Package manuell bereitstellt, aber den Vorgang etwa durch Scripts automatisiert. Das bietet sich in erster Linie bei ausgeschalteten VMs oder angepassten WIM-Dateien an.
Grundsätzlich gibt es vier verschiedene Szenarien, unter denen sich kumulative Updates für Nano Server einspielen lassen. Beim
- Erstellen eines neuen Images
- Aktualisieren eines vorhandenen Abbilds
- Update einer ausgeschalteten virtuellen Maschine
- Patchen eines Live-Systems
CU herunterladen und entpacken
Egal ob man einen Nano Server online oder offline bearbeitet, im ersten Schritt braucht man immer das Update-Paket. Dieses kann man über Microsoft Update Catalog beziehen, wo man nach "Windows Server 2016" sucht. Separate kumulative Updates für Nano Server gibt es nämlich nicht.
Nach dem Download der .msu-Datei muss man die darin enthaltene .cab-Datei extrahieren, welche die gleiche KB-Nummer im Namen trägt wie die MSU. Dies kann man mit Hilfe des Expand-Utilities machen, das zum Lieferumfang von Windows gehört. Komfortabler geht es aber mit 7-zip.
Neue WIM oder VHD aktualisieren
Die erste Konstellation in der obigen Liste ergibt sich immer dann, wenn die Installationsmedien nicht auf dem neuesten Patch-Level sind, was eigentlich die Regel sein dürfte. Die Tools, mit denen man ein neues (angepasstes) WIM oder ein virtuellen Laufwerk erzeugt, sehen daher auch gleich die Integration von Updates vor.
Dabei handelt es sich zum einen um den PowerShell-Befehl New-NanoServerImage, der für diesen Zweck den Parameter ServicingPackages akzeptiert. Zur genauen Verwendung des Cmdlets siehe meine Anleitung VM oder Hardware: Nano Server 2016 installieren.
Zum anderen steht mit dem Nano Server Image Builder eine GUI zur Verfügung, die eine Integration von Patches zusätzlich vereinfacht. Der Wizard bietet nach der Basiskonfiguration noch erweiterte Optionen an, wo man die CAB-Datei angeben kann.
Mit beiden Varianten kann man sicherstellen, dass ein neuer Nano Server gleich beim ersten Booten alle wichtigen Updates installiert hat.
Bestehende WIM oder VHD patchen
Verwendet man angepasste WIM-Abbilder, beispielsweise mit vorinstallierten Rollen, um neue Nano Server zu erzeugen, dann sollten diese natürlich immer auf dem neuesten Stand sein. Als Tool der Wahl empfiehlt sich hier DISM, wobei man alternativ auch die Cmdlets des DISM-Moduls für PowerShell verwenden kann.
Möchte man Nano Server auf diese Weise offline auf einem älteren Windows aktualisieren, dann muss man dort eine neue Version von DISM installieren, indem man etwa unter Windows 8.1 das ADK für Windows 10 einrichtet. Anschließend sollte man darauf achten, dass das Verzeichnis für die neue Ausführung im Pfad vor c:\windows\system32 steht, weil sonst die alte Version von DISM zum Zug kommt.
Das folgende Beispiel demonstriert das Vorgehen anhand einer VHDX, wäre aber bei einer WIM-Datei grundsätzlich gleich. Ein Unterschied könnte jedoch darin bestehen, dass ein WIM mehrere Images enthalten kann und man über den Parameter Index angeben muss, welches man aktualisieren möchte. Bei einer VHD(X) ist dieser Wert immer 1.
dism /mount-image /ImageFile:.\nano.vhdx /Index:1 /MountDir:mount
dism /Image:mount /Add-Package /PackagePath:"%cd%\Windows10.0-KB4016635-x64.cab"
dism /unmount-image /MountDir:mount /commit
Der erste Befehl mountet das virtuelle Laufwerk nano.vhdx im Unterverzeichnis mount des aktuellen Ordners. Der nächste Aufruf spielt das Paket Windows10.0-KB4016635-x64.cab aus dem aktuellen Verzeichnis (dafür steht die Umgebungsvariable %cd%) in die VHDX ein. Schließlich vollzieht das letzte Kommando die Änderungen und hängt das Laufwerk wieder aus.
Kumulatives Update für laufenden Nano Server
Möchte man ein Live-System mit einem kumulativen Update versehen, dann baut man im ersten Schritt eine Remote-Session mit PowerShell auf dem Nano Server auf (siehe dazu auch: Windows Nano Server remote verwalten). Der Befehl könnte etwa so aussehen:
$s = New-PSSession -ComputerName nano -Credential contoso\admin
Anschließend kopiert man das Update-Package mit Hilfe von Copy-Item und seines neuen Parameters ToSession über die eben erzeugte Session auf den Nano Server:
Copy-Item -ToSession $s -Path .\Windows10.0-KB4016635-x64.cab -Destination C:\CUs
Nun stellt man eine interaktive Sitzung mit dem Nano Server her:
Enter-PSSession $s
Schließlich führt man dort DISM aus, um das kumulative Update aufzuspielen:
dism.exe /Online /Add-Package /PackagePath:c:\CUs\Windows10.0-KB4016635-x64.cab
Nach Abschluss dieses Vorgangs wird man den Server neu starten müssen, dafür eignet sich das Cmdlet Restart-Computer.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Juli-Update KB4338814 für Windows Server verursacht Probleme mit Exchange
- Update für Windows Server 2016: Reduzierter Nano Server, RDMA in VMs, Dedup für ReFS, PowerShell 6
- Defender in Windows Server 2016 installieren und konfigurieren
- Neu in Windows Server: Linux-Subsystem, SMB für Container, Insider Program
- Nano Server über Windows Update oder WSUS aktualisieren
Weitere Links