Windows 10 Update Delivery Optimization mit GPOs konfigurieren

Zu den Neuerungen von Windows 10 gehört ein Peer-to-Peer-Mechanismus zur Verteilung von Updates. Die so genannte Übermittlungs­opti­mierung (Windows Update Delivery Optimization, WUDO) nutzt Workstations als Cache, aus dem sich andere Rechner im Netz bedienen können. Das Feature lässt sich am besten über GPOs konfigurieren.

Windows as a Service, wie Microsoft die kontinuierlichen Upgrades des Betriebssystems nennt, erfordert zwei bis drei Mal pro Jahr einen kompletten Download der vollständigen Installations­dateien auf jeden Rechner. Daneben stehen weiterhin die regelmäßigen Patches an, so dass insgesamt erheblicher Traffic durch Windows Update erzeugt wird.

Einsatz in Zweigniederlassungen

Innerhalb eines Standorts oder einer Hauptniederlassung stellt dies gewöhnlich kein Problem dar, zumal man dort die Situation durch die Verwendung von WSUS oder einer ähnlichen Lösung entschärfen kann. Anders sieht es dagegen in Zweigstellen oder kleinen Firmen aus, die nur über ein WAN angebunden sind oder wo kein eigener WSUS-Server zur Verfügung steht.

Hier ist es nicht wünschenswert, dass alle Rechner ihre Updates einzeln von Microsoft Update oder von einem WSUS in der Hauptniederlassung beziehen. Daher kann unter Windows 10 ein PC nun dank WUDO als Cache für die anderen Computer einspringen, sobald er die vollständigen Update-Dateien herunter­geladen hat.

BranchCache Light

Für dieses Szenario bietet Microsoft in der Enterprise Edition bereits seit Windows 7 ein Feature namens BranchCache, das ebenfalls Rechner im Netzwerk als Zwischenspeicher nutzt. Im Unterschied zu WUDO lässt es sich feiner abgestuft konfigurieren und bietet mit dem Hosted Cache Mode auch eine Topologie, wo ein Windows Server die Clients mit Updates versorgt.

Ein weiterer Unterschied zwischen Delivery Optimization und BranchCache besteht darin, dass Letzteres ein reines Enterprise-Feature ist und herunter­geladene Dateien nur innerhalb des Firmen-LAN verteilt.

Dagegen kann WUDO x-beliebige Rechner über das Internet als Zwischen­speicher nutzen. Dabei zapft der neue Mechanismus zur Verteilung von Updates mehrere Quellen parallel an, so dass es die Installations­dateien scheibchen­weise von mehreren PCs abholt und zusammenfügt.

Großzügige Vorgabewerte

Die Übermittlungs­optimierung ist in allen Editionen mit Ausnahme von Enterprise per Voreinstellung aktiviert, und zwar mit der Option, Updates auch über das Internet an andere PCs zu senden und von diesen zu empfangen.

Diese Vorgabe brachte Microsoft gleich zwei Vorwürfe ein, nämlich es "klaue" Bandbreite und Updates aus unbekannter Quelle seien nicht vertrauenswürdig. Letzteren entkräftet Microsoft mit dem Hinweis, dass alle heruntergeladenen Dateien verschlüsselt und signiert seien, so dass eine Manipulation ausgeschlossen werden kann (siehe dazu die FAQ des Herstellers).

Bei der Übertragung von zwischen­gespeicherten Inhalten verzichtet Microsoft auf die Nutzung von Netzwerken, die als getaktet markiert sind. Daher sollten normalerweise keine zusätzlichen Kosten durch den Download über Mobilfunknetze entstehen, vorausgesetzt, diese sind für das Betriebssystem als solche erkennbar.

Delivery Optimization über GUI konfigurieren

Möchte man es nicht bei den großzügigen Voreinstellungen belassen, dann kann man die Windows Update Delivery Optimization über die App Einstellungen interaktiv anpassen. Der zuständige Dialog findet sich unter Update und Sicherheit => Erweiterte Optionen => Übermittlung von Updates auswählen. Hier kann man das Feature entweder vollständig abschalten oder auf das lokale Netzwerk einschränken.

Mehr Möglichkeiten zur Konfiguration von WUDO bieten die Gruppen­richtlinien. Nachdem man ein entsprechendes Template anfangs noch separat installieren musste, gehört es nun zum Lieferumfang von Windows 10. Verwaltet man die GPOs von Windows 7 oder 8.1 aus, dann sollte man erst die aktuellen Vorlagen herunterladen und installieren.

Gruppierung von PCs für Übermittlungsoptimierung

Alle Einstellungen für die Update Delivery Optimization finden sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Delivery Optimization (das Template wurde bis dato nicht übersetzt).

Das Pendant zur WUDO-Konfiguration über die GUI ist die Einstellung Download Mode. Sie bietet aber vier Optionen:

• None: Das Feature wird deaktiviert
• Group: Sendet und empfängt Updates von/zu Rechnern im LAN, die der gleichen Domäne angehören
• LAN: Nur PCs im gleichen NAT-Netzwerk können als Cache fungieren
• Internet: Auch Computer außerhalb des Firmennetzes dienen als Quelle und Ziel für Updates

In manchen Fällen, etwa wenn Rechner einer Zweigniederlassung nicht der gleichen Domäne oder demselben NAT-Netzwerk angehören, dann können die obigen Optionen möglicherweise nicht ausreichen.

Daher lassen sich PCs alternativ zu Gruppen zusammenschließen, indem man ihnen über die Einstellung Group ID die gleiche GUID zuweist (siehe dazu Zufallszahlen, temporäre Dateinamen und GUIDs erzeugen in PowerShell).

Schließlich existieren noch 3 weitere Einstellungen, mit deren Hilfe man die Lebensdauer der Dateien im Cache sowie ihren Platz- und Bandbreiten­verbrauch beschränken kann. Ihre Verwendung ist selbsterklärend.