Tags: Migration, Patch-Management, Windows 10
Zu den Neuerungen von Windows 10 gehört ein Peer-to-Peer-Mechanismus zur Verteilung von Updates. Die so genannte Übermittlungsoptimierung (Windows Update Delivery Optimization, WUDO) nutzt Workstations als Cache, aus dem sich andere Rechner im Netz bedienen können. Das Feature lässt sich am besten über GPOs konfigurieren.
Windows as a Service, wie Microsoft die kontinuierlichen Upgrades des Betriebssystems nennt, erfordert zwei bis drei Mal pro Jahr einen kompletten Download der vollständigen Installationsdateien auf jeden Rechner. Daneben stehen weiterhin die regelmäßigen Patches an, so dass insgesamt erheblicher Traffic durch Windows Update erzeugt wird.
Einsatz in Zweigniederlassungen
Innerhalb eines Standorts oder einer Hauptniederlassung stellt dies gewöhnlich kein Problem dar, zumal man dort die Situation durch die Verwendung von WSUS oder einer ähnlichen Lösung entschärfen kann. Anders sieht es dagegen in Zweigstellen oder kleinen Firmen aus, die nur über ein WAN angebunden sind oder wo kein eigener WSUS-Server zur Verfügung steht.
Hier ist es nicht wünschenswert, dass alle Rechner ihre Updates einzeln von Microsoft Update oder von einem WSUS in der Hauptniederlassung beziehen. Daher kann unter Windows 10 ein PC nun dank WUDO als Cache für die anderen Computer einspringen, sobald er die vollständigen Update-Dateien heruntergeladen hat.
BranchCache Light
Für dieses Szenario bietet Microsoft in der Enterprise Edition bereits seit Windows 7 ein Feature namens BranchCache, das ebenfalls Rechner im Netzwerk als Zwischenspeicher nutzt. Im Unterschied zu WUDO lässt es sich feiner abgestuft konfigurieren und bietet mit dem Hosted Cache Mode auch eine Topologie, wo ein Windows Server die Clients mit Updates versorgt.
Ein weiterer Unterschied zwischen Delivery Optimization und BranchCache besteht darin, dass Letzteres ein reines Enterprise-Feature ist und heruntergeladene Dateien nur innerhalb des Firmen-LAN verteilt.
Dagegen kann WUDO x-beliebige Rechner über das Internet als Zwischenspeicher nutzen. Dabei zapft der neue Mechanismus zur Verteilung von Updates mehrere Quellen parallel an, so dass es die Installationsdateien scheibchenweise von mehreren PCs abholt und zusammenfügt.
Großzügige Vorgabewerte
Die Übermittlungsoptimierung ist in allen Editionen mit Ausnahme von Enterprise per Voreinstellung aktiviert, und zwar mit der Option, Updates auch über das Internet an andere PCs zu senden und von diesen zu empfangen.
Diese Vorgabe brachte Microsoft gleich zwei Vorwürfe ein, nämlich es "klaue" Bandbreite und Updates aus unbekannter Quelle seien nicht vertrauenswürdig. Letzteren entkräftet Microsoft mit dem Hinweis, dass alle heruntergeladenen Dateien verschlüsselt und signiert seien, so dass eine Manipulation ausgeschlossen werden kann (siehe dazu die FAQ des Herstellers).
Bei der Übertragung von zwischengespeicherten Inhalten verzichtet Microsoft auf die Nutzung von Netzwerken, die als getaktet markiert sind. Daher sollten normalerweise keine zusätzlichen Kosten durch den Download über Mobilfunknetze entstehen, vorausgesetzt, diese sind für das Betriebssystem als solche erkennbar.
Delivery Optimization über GUI konfigurieren
Möchte man es nicht bei den großzügigen Voreinstellungen belassen, dann kann man die Windows Update Delivery Optimization über die App Einstellungen interaktiv anpassen. Der zuständige Dialog findet sich unter Update und Sicherheit => Erweiterte Optionen => Übermittlung von Updates auswählen. Hier kann man das Feature entweder vollständig abschalten oder auf das lokale Netzwerk einschränken.
Mehr Möglichkeiten zur Konfiguration von WUDO bieten die Gruppenrichtlinien. Nachdem man ein entsprechendes Template anfangs noch separat installieren musste, gehört es nun zum Lieferumfang von Windows 10. Verwaltet man die GPOs von Windows 7 oder 8.1 aus, dann sollte man erst die aktuellen Vorlagen herunterladen und installieren.
Gruppierung von PCs für Übermittlungsoptimierung
Alle Einstellungen für die Update Delivery Optimization finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Delivery Optimization (das Template wurde bis dato nicht übersetzt).
Das Pendant zur WUDO-Konfiguration über die GUI ist die Einstellung Download Mode. Sie bietet aber vier Optionen:
- None: Das Feature wird deaktiviert
- Group: Sendet und empfängt Updates von/zu Rechnern im LAN, die der gleichen Domäne angehören
- LAN: Nur PCs im gleichen NAT-Netzwerk können als Cache fungieren
- Internet: Auch Computer außerhalb des Firmennetzes dienen als Quelle und Ziel für Updates
In manchen Fällen, etwa wenn Rechner einer Zweigniederlassung nicht der gleichen Domäne oder demselben NAT-Netzwerk angehören, dann können die obigen Optionen möglicherweise nicht ausreichen.
Daher lassen sich PCs alternativ zu Gruppen zusammenschließen, indem man ihnen über die Einstellung Group ID die gleiche GUID zuweist (siehe dazu Zufallszahlen, temporäre Dateinamen und GUIDs erzeugen in PowerShell).
Schließlich existieren noch 3 weitere Einstellungen, mit deren Hilfe man die Lebensdauer der Dateien im Cache sowie ihren Platz- und Bandbreitenverbrauch beschränken kann. Ihre Verwendung ist selbsterklärend.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft verlängert Support für Windows 10, Patches für Windows 7 bis 2023
- Updates für Windows 10: Microsoft gibt Firmen 8 Monate Zeit zur Installation
- Windows Autopatch: Weitere WSUS-Alternative aus der Cloud
- WSUS aus der Cloud: Microsoft kündigt Windows Update for Business Deployment Service an
- Update-Status von Windows überwachen mit dem kostenlosen Microsoft Update Compliance
1 Kommentar
Mit den neuen admx-Vorlagen (https://www.microsoft.com/en-us/download/details.aspx?id=53430) liegt mittlerweile eine Übersetzung der GPO vor. Die Richtlinie ist zu finden unter: Computerrichtlinien | Administrative Vorlagen | Windows Komponenten | Übermittlungsoptimierung