Updates für Windows 10: Apps ignorieren WSUS, Konflikt mit WUfB
Windows 10 bietet ab der Pro Edition zusätzliche Einstellungen für Windows Update, wenn PCs direkt über das Internet aktualisiert werden. Dieses Update for Business (WUfB) kann aber WSUS oder SCCM in die Quere kommen. Store Apps gehen zudem ganz eigene Wege.
Mit einem Beitrag auf dem Windows Server Blog reagiert Microsoft auf Anfragen von Kunden, warum sich PCs unter Windows 10 trotz konfiguriertem WSUS oder SCCM direkt mit Windows Update verbinden. Dabei werden auch erhebliche Datenmengen übertragen, was gerade in Außenstellen oft unerwünscht sein dürfte.
Apps aktualisieren sich immer über den Store
Als Ursachen nennt der Autor vor allem zwei Subsysteme. Recht einfach nachvollziehbar ist dabei das Verhalten der Universal bzw. Modern Apps. Stehen dafür Updates an, dann lädt Windows 10 diese direkt vom Store herunter. Weder WSUS noch SCCM können diese bis dato für die interne Weiterverteilung zwischenspeichern. Dies gilt auch für die Apps, die zum Lieferumfang des OS gehören.
Als Gegenmaßnahme rät Microsoft vom Deaktivieren des Stores ab, weil der Hersteller für die neuen Apps ohnehin mehr Akzeptanz erreichen möchte. Das Ignorieren von WSUS ist aber sicher ein weiterer Grund, schon beim Deployment des Betriebssystems viele der App-Zugaben aus dem Image zu entfernen. Damit reduziert sich auch die Zahl der künftigen Updates.
Zusätzlich empfiehlt der Blog-Beitrag neben der Konfiguration der WSUS-GPOs auch die Gruppenrichtlinie Keine Verbindung mit Windows Update-Internetadressen herstellen zu aktivieren. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update.
Übermittlungsoptimierung anpassen
Der zweite Verursacher für unerwartete Verbindungen mit Windows Update und den Download größerer Datenmengen ist Windows Update for Business (WUfB). Unter diesem Begriff fasst Microsoft zwei Features zusammen, nämlich die Möglichkeit, OS-Upgrades zurückzustellen und die so genannte Übermittlungsoptimierung (Windows Update Delivery Optimization = WUDO).
Die Übermittlungsoptimierung kann grundsätzlich dabei helfen, Bandbreite zu sparen, wenn einzelne PCs einer Niederlassung als Cache dienen, weil sich die anderen Rechner dann nicht mit einem Microsoft-Server verbinden müssen.
Seit Windows 10 1607 ist WUDO der primäre Mechanismus für Downloads von Updates, und zwar auch von Apps. Nachdem Store Apps nicht über WSUS verteilt werden können, empfiehlt Microsoft, WUDO nicht abzuschalten, so dass der Peer-to-Peer-Mechanismus die interne Distribution übernehmen kann.
Allerdings sollte man darauf achten, dass der Cache nur andere Rechner im LAN bedient und nicht Daten an beliebige PCs im Internet überträgt. Den dafür zuständigen Download-Modus steuert man ebenfalls über Gruppenrichtlinien (siehe dazu: Windows 10 Update Delivery Optimization mit GPOs konfigurieren).
GPOs für WUfB nicht konfigurieren
Nach den bisherigen Informationen sollten die Einstellungen für das Verzögern von Upgrades unwirksam sein, sobald Unternehmen WSUS oder eine andere zentrale Lösung für das Patch-Management verwenden.
Den Ausführungen des genannten Beitrags zufolge trifft das aber wohl nicht zu. Deshalb rät er, GPOs auf alle Richtlinien für WUfB zu prüfen. Sie finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update => Windows-Updates zurückstellen.
Sie sollten nicht konfiguriert, also auch nicht deaktiviert sein. Andernfalls wird ein so genannter Dual Scan ausgelöst, der sowohl interne als auch externe Quellen auf Updates prüft.
Keine Kommentare