Updates für Windows 10: Apps ignorieren WSUS, Konflikt mit WUfB

Windows 10 bietet ab der Pro Edition zusätz­liche Einstel­lungen für Windows Update, wenn PCs direkt über das Inter­net aktua­lisiert werden. Dieses Update for Business (WUfB) kann aber WSUS oder SCCM in die Quere kommen. Store Apps gehen zudem ganz eigene Wege.

Mit einem Beitrag auf dem Windows Server Blog reagiert Microsoft auf Anfragen von Kunden, warum sich PCs unter Windows 10 trotz konfigu­riertem WSUS oder SCCM direkt mit Windows Update verbinden. Dabei werden auch erhebliche Daten­mengen übertragen, was gerade in Außenstellen oft unerwünscht sein dürfte.

Apps aktualisieren sich immer über den Store

Als Ursachen nennt der Autor vor allem zwei Subsysteme. Recht einfach nachvoll­ziehbar ist dabei das Verhalten der Universal bzw. Modern Apps. Stehen dafür Updates an, dann lädt Windows 10 diese direkt vom Store herunter. Weder WSUS noch SCCM können diese bis dato für die interne Weiter­verteilung zwischen­speichern. Dies gilt auch für die Apps, die zum Lieferumfang des OS gehören.

Als Gegenmaß­nahme rät Microsoft vom Deaktivieren des Stores ab, weil der Hersteller für die neuen Apps ohnehin mehr Akzeptanz erreichen möchte. Das Ignorieren von WSUS ist aber sicher ein weiterer Grund, schon beim Deployment des Betriebssystems viele der App-Zugaben aus dem Image zu entfernen. Damit reduziert sich auch die Zahl der künftigen Updates.

Zusätzlich empfiehlt der Blog-Beitrag neben der Konfiguration der WSUS-GPOs auch die Gruppenrichtlinie Keine Verbindung mit Windows Update-Internetadressen herstellen zu aktivieren. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update.

Übermittlungs­optimierung anpassen

Der zweite Verursacher für unerwartete Verbindungen mit Windows Update und den Download größerer Datenmengen ist Windows Update for Business (WUfB). Unter diesem Begriff fasst Microsoft zwei Features zusammen, nämlich die Möglichkeit, OS-Upgrades zurück­zustellen und die so genannte Übermittlungs­optimierung (Windows Update Delivery Optimization = WUDO).

Die Übermittlungs­optimierung kann grundsätzlich dabei helfen, Bandbreite zu sparen, wenn einzelne PCs einer Niederlassung als Cache dienen, weil sich die anderen Rechner dann nicht mit einem Microsoft-Server verbinden müssen.

Seit Windows 10 1607 ist WUDO der primäre Mechanismus für Downloads von Updates, und zwar auch von Apps. Nachdem Store Apps nicht über WSUS verteilt werden können, empfiehlt Microsoft, WUDO nicht abzuschalten, so dass der Peer-to-Peer-Mechanismus die interne Distribution übernehmen kann.

Allerdings sollte man darauf achten, dass der Cache nur andere Rechner im LAN bedient und nicht Daten an beliebige PCs im Internet überträgt. Den dafür zuständigen Download-Modus steuert man ebenfalls über Gruppen­richtlinien (siehe dazu: Windows 10 Update Delivery Optimization mit GPOs konfi­gu­rieren).

GPOs für WUfB nicht konfigurieren

Nach den bisherigen Informationen sollten die Einstellungen für das Verzögern von Upgrades unwirksam sein, sobald Unternehmen WSUS oder eine andere zentrale Lösung für das Patch-Management verwenden.

Den Ausführungen des genannten Beitrags zufolge trifft das aber wohl nicht zu. Deshalb rät er, GPOs auf alle Richtlinien für WUfB zu prüfen. Sie finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update => Windows-Updates zurückstellen.

Sie sollten nicht konfiguriert, also auch nicht deaktiviert sein. Andernfalls wird ein so genannter Dual Scan ausgelöst, der sowohl interne als auch externe Quellen auf Updates prüft.