Service Branch konfigurieren: Windows Update for Business versus WSUS

    Phasen der Entwicklung und Verteilung von Windows 10Upgrades für Windows 10 Pro und Enter­prise las­sen sich auf­schieben, wenn PCs in den Ver­teiler­ring Current Branch for Busi­ness wechseln. Admins können die Aktuali­sie­rungs­intervalle über Update for Business oder WSUS konfigurieren.

    Zu den wesentlichen Neuerungen von Windows 10 gehört bekanntlich, dass es nicht wie seine Vorgänger nach 3 oder 4 Jahren durch ein neues Release ersetzt, sondern dass es kontinuierlich aktualisiert werden soll ("Windows as a Service"). Windows Update kommt dabei die Aufgabe zu, neben den gewohnten Patches zur Behebung von Sicherheitslücken auch Feature-Upgrades zu verteilen.

    Aufschub neuer Versionen durch Verteilerringe

    In den meisten Unternehmen wird man Upgrades für Windows 10 nicht sofort nach ihrem Erscheinen im Current Branch installieren, sondern diese erst hinsichtlich ihrer Kompatibilität mit bestehender Hard- und Software testen wollen.

    Microsoft gewährt Kunden einen solchen Aufschub, wenn sie die Editionen Pro oder Enterprise einsetzen. Wie lange sich Feature-Upgrades zurück­stellen lassen, hängt von einem ziemlich komplizierten Zusammenspiel von Verteiler­ringen, verwendeten Tools, Intervallen zwischen den Upgrades und den Editionen von Windows 10 ab.

    Durch den Wechsel in den CBB erhalten Anwender einmalig zusätzlich 4 Monate Aufschub.

    Der wichtigste Faktor in diesem Zusammenhang sind die Verteilerringe, denen PCs angehören. Standardmäßig erhalten alle Editionen von Windows 10 das Upgrade auf ein neues Release, nachdem Microsoft dieses zum Current Branch erklärt. Ausgenommen davon ist die Enterprise Edition, wenn sie dem Long Term Service Branch (LTSB) unterliegt.

    Keine automatischen Upgrades für LTSB

    Dieser Verteilerring, der nur Updates und keine neuen Features einspielt, erfordert eine eigene, separat zu erwerbende Variante (SKU) von Windows 10 Enterprise. Ein Aufschieben von Upgrades ist hier naturgemäß nicht erforderlich. Das Einspielen neuer Versionen erfolgt bei LTSB nur über die Installations­dateien. Jedes Release unterliegt einem Support-Zeitraum von 10 Jahren, Upgrades sollen alle zwei bis drei Jahre erscheinen.

    LTSB erhält keine Features-Upgrades und Support für 10 Jahre. Neue Releases erscheinen in längeren Intervallen.

    Die Entscheidung für Windows 10 Enterprise LTSB enthebt Unternehmen somit der komplexen Aufgabe, Upgrades für das Betriebssystem zu managen. Damit entfallen auch die permanenten Kompatibilitäts­tests für die 2 oder 3 laut Microsoft geplanten Upgrades pro Jahr.

    Dafür müssen Unternehmen auch Nachteile in Kauf nehmen. Dazu gehören höhere Kosten, weil diese Edition den Abschluss einer Software Assurance erfordert. Außerdem fehlen mehrere der sonst vorinstallierten Modern Apps sowie der Edge-Browser, wobei die meisten professionellen Anwender diese nicht vermissen werden.

    Microsoft geht davon aus, dass die meisten Firmen LTSB nur auf besonders kritischen Systemen einsetzen und sich bei der Mehrzahl der Rechner für den Current Branche for Business (CBB) entscheiden. Dieser muss in den Editionen Pro und Enterprise explizit aktiviert werden.

    Windows Update for Business

    Noch vor der Freigabe von Windows 10 kündigte Microsoft einen neuen Service namens Windows Update for Business (WUfB) an. Langfristig verfolgt Microsoft damit das Ziel, eine Cloud-basierte und gleichwertige Alternative zu WSUS zu entwickeln.

    In seiner ersten Ausprägung entpuppte sich WUfB als eine überschaubare Kombination von zwei Features und richtet sich vor allem an kleinere Unternehmen, die keine WSUS und kein Tool für das Client-Management einsetzen.

    Zum einen umfasst es die so genannten Übermittlungs­opti­mierung (Windows Update Delivery Optimization), dank der andere PCs im LAN als Cache für heruntergeladene Upgrades dienen können. Sie vermeidet den unnötigen Download der mehrere GB umfassenden Installations­dateien durch jeden einzelnen Rechner über das Internet. Die Konfiguration erfolgt entweder interaktiv über die App Einstellungen oder mittels GPO.

    Durch die Aktivierung von "Updates zurückstellen" wechselt der Computer in den Current Branch for Business.

    Zum anderen dient WUfB dazu, Upgrades zurückzustellen. Auch hier gibt es eine GUI-Option in den Einstellungen, die jedoch keine weitergehende Konfiguration erlaubt. Das Aktivieren von Upgrades zurückstellen bewirkt nur, dass das System in den Current Branch for Business wechselt.

    Auf diese Weise schiebt man die Installation neuer Features einmalig um mindestens vier Monate auf. Dabei handelt es sich um den Zeitraum zwischen dem Erscheinen einer Version von Windows 10 als Current Branch und seiner Freigabe als Current Branch for Business.

    Eine weitergehende Verzögerung lässt sich nur über Gruppen­richtlinien oder MDM erreichen. Die administrativen Vorlagen von Windows 10 enthalten zu diesem Zweck eine neue Einstellung unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update => Upgrade zurückstellen.

    Upgrades lassen sich im Current Branche for Business  via GPO  bis zu acht Monate zurückstellen.

    Das bloße Aktivieren dieser Einstellung ohne jede weitere Konfiguration bewirkt den Wechsel der betroffenen Rechner in den Current Branch for Business. Diese Maßnahme hat somit den gleichen Effekt wie das Anhaken von Upgrades zurückstellen in der App Einstellungen.

    Darüber hinaus erlauben die Gruppen­richtlinien einen zusätzlichen Aufschub von bis zu 8 Monaten, so dass ein Feature-Upgrade beim Einsatz von WUfB spätestens 12 Monate nach seinem Erscheinen im Current Branch installiert wird. Der in Wochen konfigurierbare Zeitraum bezieht sich auf Security-Updates und wirkt sich nicht auf Upgrades aus.

    Weitere GPO-Einstellungen seit Build 14316

    Der Build 14316, der als Grundlage für die Jubiläumsausgabe 1607 (Codename Redstone) dient, führt neue Einstellungen ein, um die Installation von Upgrades zu kontrollieren. Im Wesentlichen ergeben sich aber daraus keine neuen Möglichkeiten für das Management von Feature-Upgrades. Vielmehr dröselt Microsoft die Optionen, welche bisher in einer Einstellung zusammengefasst waren, in mehrere auf.

    Windows Update for Business erhält mehrere neue Einstellungen für Gruppenrichtlinien.

    Diese finden sich in einem eigenen Ordner mit der Bezeichnung Defer Windows Upgrades. Er enthält eigene Richtlinien für den Wechsel in den Current Branch for Business (Receive Feature Updates when they are declared Business Ready), für den Aufschub von Upgrades (Select when Feature Updates are received) und für Updates (Select when Quality Updates are received).

    Die beiden letzten sehen die Festlegung von Zeiträumen in Tagen vor, um Updates zu hintan zu stellen. Für Feature-Upgrades liegt dieser Wert derzeit bei maximal 180 Tagen, was gegenüber den bisher möglichen 8 Monaten ein Rückschritt wäre.

    Upgrades steuern über Patch-Management (WSUS)

    Setzt ein Unternehmen WSUS oder eine entsprechende Patch-Management-Lösung von einem Drittanbieter ein, dann kann man auf die oben beschriebene Konfiguration von Upgrades verzichten. Die Einstellungen von WUfB bleiben in einer solchen Umgebung nämlich ohne Wirkung.

    Update: Seit Windows 10 1607 bewirkt die Konfiguration der Gruppen­richtlinien für das Zurückstellen von Feature-Updates den so genannten Dual Scan, wenn der Client gleichzeitig seine Updates über WSUS bezieht.

    Bevor man jedoch Upgrades über die Windows Server Update Services verteilt, sollte man unter Server 2012 (R2) den Hotfix KB3095113 einspielen. WSUS 4.0 benötigt diesen Patch, um den neuen Content File Type Upgrade zu verarbeiten. Andernfalls kann die WSUS-Datenbank in Unordnung geraten und sie muss dann manuell bereinigt werden.

    In WSUS können Administratoren selbst bestimmen, wann Upgrades verteilt werden sollen und diese nach Belieben zurückhalten. Neue Windows-10-Releases werden daher nicht wie in WUfB nach Ablauf einer bestimmten Frist automatisch installiert.

    Support für maximal 2 CBB-Releases

    Vielmehr setzt Microsoft hier den Hebel über den Support-Zeitraum an. Dieser dauert für CBB mindestens 8 Monate, wenn Microsoft die geplanten Intervalle von drei Releases pro Jahr einhält. Ansonsten ist die Regel maßgeblich, wonach der Hersteller immer Support für die letzten zwei CBB-Releases bietet. Sobald ein drittes erscheint, dann entfällt der Support für die vorletzte Version.

    Erscheint CBB + 2, dann erlischt der Support für das vorletzte CBB-Release.

    Ein konkretes Beispiel soll dies veranschaulichen: Im November 2015 erschien Windows 10 1511, und zwar als Current Branch. Nachdem es mit einer Verzögerung von 5 Monaten im April 2016 zum CBB avancierte, rückt bald darauf das nächste Release in den Current Branch auf (voraussichtlich die Version 1607). Erscheint im November 2016 die Version 1611 im Current Branch, dann rückt 1607 in den CBB-Verteilerring nach. Microsoft würde nun weiterhin Patches für 1511 und 1607 bereitstellen.

    Kommt nun im Frühjahr 2017 die Version 1703 als Current Branch, dann wandert 1611 in den CBB. Da nur zwei CBB-Releases parallel Support erhalten, beschränkt sich dieser nun auf 1607 und 1611. Windows 10 1511 erhielte dann keine Updates mehr.

    In diesem Beispiel hält Microsoft den 4-Monate-Takt für Upgrades zwischen diesen Releases nicht ein, so dass sich der CBB-Lebenszyklus für 1511 auf 11 Monate beläuft (und ab der CB-Freigabe insgesamt auf 17 Monate).

    Überspringen von Upgrades

    Bei der Berechnung des Support-Zeitraums ist Vorsicht geboten. Die häufig zitierte Formel 4 + 8 für den Aufschub eines Upgrades gilt nur dann, wenn man sich im Current Branch befindet. Von dort ausgehend hat man einmalig den zusätzlichen Puffer von 4 Monaten, wenn man auf CBB wechselt.

    Legen sich Unternehmen jedoch ganz auf den CBB fest, dann bleiben ihnen mindestens 8 Monate oder höchstens die Zeit bis zum Erscheinen des übernächsten Releases. Nutzt man diese Frist einigermaßen aus, dann kann man auch Upgrades überspringen. In diesem Fall sollte man mit dem Testen der neuesten Version rechtzeitig beginnen, möglicherweise schon während sie als Insider Preview verfügbar ist.

    Keine Kommentare