Sikov - stock.adobe.com

WUfB oder WSUS: Für wen eignet sich welches Update Tool?

Welcher Administrator hat sie nicht schon verflucht: Windows-Updates. Inzwischen haben IT-Profis die Wahl zwischen zwei Update-Services von Microsoft. Wir erklären den Unterschied.

Windows Server Update Services gibt es schon lange und es ist das Tool, auf das sich viele Administratoren bei der Verwaltung von Windows-Updates verlassen. Windows Update for Business ist ein Angebot, das mit dem Release 1511 veröffentlicht wurde. Es erfüllt die gleiche Aufgabe, verfolgt aber einen anderen Ansatz. Je nachdem, wie Ihre IT-Infrastruktur aussieht, könnte das eine oder das andere Werkzeug für Ihre Umgebung besser geeignet sein.

Microsoft veröffentlichte Windows Server Update Services (WSUS) im Jahr 2005, um Software Update Services (SUS) abzulösen. WSUS wird immer noch vollständig unterstützt und ist in vielen Unternehmen im Einsatz. Es hilft Administratoren dabei, Aktualisierungen strukturiert anzugehen: Nicht alle Windows-Clients verbinden sich jeweils mit dem Internet, um die Updates herunterzuladen, sondern WSUS-Server übernehmen diese Aufgabe zentral und verteilen die Updates an diejenigen Clients, für die der Administrator sie freigegeben hat.

System Center Configuration Manager (SCCM), der kürzlich im Microsoft Endpoint Configuration Manager aufgegangen ist, fügte einige Funktionen hinzu und bietet noch mehr Kontrolle über Windows Updates. SCCM nimmt die über WSUS heruntergeladenen Updates auf und verwendet seinen eigenen Client, um sie anhand zuvor festgelegter Workflows und Regeln bereitzustellen.

Windows Patches mit WSUS automatisieren

Mit WSUS gibt es zwei mögliche Vorgehensweisen. Administratoren lassen entweder alle Updates zu, sobald sie eintreffen, oder sie genehmigen die kritischen und Sicherheitsaktualisierungen sofort und halten den Rest zum Testen zurück. Einige Admins prüfen jedes einzelne Update, verteilen es auf eine Testgruppe und rollen es dann auf die Hauptgruppe aus. In einem letzten Schritt können sie die Patches auf ältere und empfindlichere Geräte aufspielen. Dies ist ein manueller und zeitaufwändiger Prozess, besonders heute, weil mit den Jahren die Frequenz der Aktualisierungen gestiegen ist.

IT-Administratoren werden gelegentlich von fehlerhaften Updates auf Windows-Geräten heimgesucht. Diese Probleme reichen von kleinen Bugs bis hin zum gefürchteten Blue Screen of Death. Zwar hat sich die Stabilität mit den monatlichen Aktualisierungen verbessert; Administratoren haben jedoch weniger Kontrolle über den Patch-Prozess. Microsoft wechselte Ende 2016 zu einem kumulativen Update-Modell, so dass Admins die Aktualisierung entweder ganz oder gar nicht durchführen können.

Um den Prozess weiter zu verkomplizieren, veröffentlicht Microsoft jedes Jahr zwei Feature-Updates für Windows 10 – eines im Frühjahr und eines im Herbst – die neue Funktionen einführen. Diese Feature-Updates beinhalten auch alle vorangegangenen Qualitäts-Updates, also die monatlichen Sicherheitsupdates und Fehlerkorrekturen.

So funktioniert Windows Update für Unternehmen

Windows Update for Business (WUfB, Windows Update für Unternehmen) ist ein Set von Richtlinien, über die Admins zusätzliche Regeln für die Verbindung des Client zum öffentlichen Windows-Update-Dienst festlegen.

Administratoren greifen auf diese Einstellungen mit einem Verwaltungs-Tool, zum Beispiel Intune oder Gruppenrichtlinien zu, oder sie verwenden Skripte. Die Steuerelemente, die WUfB bietet, sind eher begrenzt, doch sie reichen bereits aus, um Grundlagen zu schaffen, die es Admins erlauben, sich nicht ständig um Windows Updates zu kümmern.

WUfB ist kostenlos für die Verwaltung aller Premium-Editionen von Windows 10 verfügbar.

Die Unterschiede zwischen WSUS und WUfB

Sollten Sie, wenn es um das Patchen von Windows-Computern geht, bei WSUS und Endpoint Configuration Manager bleiben oder sollten Sie zu WUfB wechseln?

Möchten Sie Ihre Infrastruktur sukzessive in die Cloud verlegen und auf Cloud-basierte Verwaltungs-Tools wie Intune setzen, dann ist WUfB die bessere Wahl. Sie können zwar auch in Azure WSUS nutzen, benötigen dafür jedoch eine eigene virtuelle Maschine.

Der springende Punkt bei WUfB ist es, dass Administratoren recht granular Benutzer- und Gerätegruppen einstellen können sowie Fristen für das Ausrollen von Updates für diese. Das funktioniert einfacher als bei WSUS und automatisiert Teile des Testprozesses. In der Praxis picken sie sich dann einzelne Pilotnutzer aus verschiedenen Benutzergruppen heraus, die verschiedene Anwendungen und Nutzungsverhalten aufweisen, um möglichst alle Probleme vorher abfangen zu können.

Was ist mit WUfB möglich?

WUfB hat vier Haupteinstellungen in den Gruppenrichtlinien. Im Folgenden gehen wir die verfügbaren Funktionen durch und erklären, wie sie sich auf die Verteilung von Aktualisierungen auswirken. Weitere Details zur Arbeit mit WUfB und Gruppenrichtlinien finden Sie in der Dokumentation von Microsoft.

Bestimmen Sie, wann Preview-Builds und Funktions-Updates empfangen werden

Zum einen können Sie eines von vier Windows-Bereitschaftsniveaus für die Windows 10 Clients auswählen:

Vorabversion - Fast. Diese Einstellung liefert Builds mit den neuesten Funktionen, die noch nicht für die Öffentlichkeit verfügbar sind und meldet eventuelle Fehler an Microsoft.

Vorabversion - Slow. Diese Einstellung liefert Builds mit den neuesten Funktionen in einer langsameren Geschwindigkeit als das Bereitschaftsniveau Vorabversion-Fast und enthält Korrekturen für Probleme in früheren Builds.

Versionsvorschau. Mit dieser Einstellung werden offizielle Windows-Builds bereitgestellt, kurz bevor sie öffentlich verfügbar sind.

Halbjährlicher Kanal. Diese Einstellung liefert Windows-Builds, wenn sie öffentlich verfügbar sind.

Sie haben die Möglichkeit, ein Feature-Update für bis zu ein Jahr aufzuschieben. Diese Praxis kann Ihrem Unternehmen helfen, Probleme mit der neuen Version zu vermeiden, die in der Zwischenzeit entdeckt und behoben wurden (Abbildung 1)

Abbildung 1: Mit diesen Gruppenrichtlinien können Sie festlegen, mit wie viel Verzögerung Clients welche Windows-Version erhalten sollen.
Abbildung 1: Mit diesen Gruppenrichtlinien können Sie festlegen, mit wie viel Verzögerung Clients welche Windows-Version erhalten sollen.

Eine weitere Option erlaubt es Ihnen, die Bereitstellung von Vorabversionen zu pausieren. Sie geben ein Datum ein und für 35 Tage ab diesem Datum werden keine Clients Preview Builds oder Feature Updates installiert. Das kann praktisch sein, wenn Sie schon wissen, dass das kommende Update fehlerhaft ist und Sie den Ausrollprozess einfrieren möchten. Nach Ablauf der 35 Tage sollte Microsoft die Probleme behoben haben und die Clients können erneut versuchen, die Installation durchzuführen, sofern Sie das Datum nicht geändert haben.

Festlegen, wann Clients Qualitäts-Updates erhalten

Auch die Installation eines Qualitäts-Updates können Sie mit WUfB auf bestimmten Clients für bis zu 30 Tage zurückzustellen (Abbildung 2). Sie können dafür ein Startdatum festlegen, so dass die Bereitstellung von Qualitäts-Updates für 35 Tage oder bis zum Löschen des Startdatums ausgesetzt ist.

Abbildung 2: In diesem Fenster können Sie das Verteilen von Qualitäts-Updates verzögern.
Abbildung 2: In diesem Fenster können Sie das Verteilen von Qualitäts-Updates verzögern.

Preview-Builds verwalten

In den Gruppenrichtlinien haben Sie außerdem die Möglichkeit, Vorabversionen mit ein paar weiteren Steuerelementen zu deaktivieren oder zu aktivieren.

Abbildung 3: Sie können zusätzliche Einstellungen für das Beziehen von Vorabversionen einstellen.
Abbildung 3: Sie können zusätzliche Einstellungen für das Beziehen von Vorabversionen einstellen.

Sie können Benutzer davon abhalten, eigenmächtig am Windows-Insider-Programm teilzunehmen, wenn Sie die Option Vorabversionen deaktivieren auswählen.

Sie können festlegen, dass Preview-Builds deaktiviert werden, wenn Microsoft einen offiziellen Build bereitstellt. Dies ist eine schöne Möglichkeit, von einer bereits erlaubten Vorabversion zu einer veröffentlichten Version zurück zu wechseln. Manche Benutzer lassen diese Option ganz aus oder erlauben sie für bestimmte IT-Mitarbeiter, die zu Testzwecken einen frühen Zugriff auf Windows 10 Preview Builds benötigen.

Die Option Aktiviert gibt Benutzern das Recht, Vorabversionen auf ihren Rechnern zu installieren (Abbildung 3).

Wählen Sie die Zielversion des Feature-Updates aus

Zuletzt wählen Sie ein Ziel für die Feature-Update-Version, zum Beispiel 1909, 2004 oder 2010 – auch bekannt als 20H2 – um den Client-Computer auf eine neuere, wichtige Windows-10-Version zu aktualisieren. Wenn Sie diese Auslieferung steuern müssen, können Sie eine Zielversion eingeben, die die einzige Version von Windows 10 ist, die installiert wird. Das bedeutet, wenn der Client auf 1903 ist und die WUfB-Feature-Update-Einstellung 1909 ist, dann erhält der Client keine neueren Versionen, wenn diese über Windows Updates verfügbar sind (Abbildung 4).

Abbildung 4: Geben Sie an, was die angepeilte Zielversion ist.
Abbildung 4: Geben Sie an, was die angepeilte Zielversion ist.

Von diesen Einstellungen aus können Sie verschiedene Richtlinien für verschiedene PCs konfigurieren und zum Beispiel Pilot-PCs einrichten, die zuerst Updates erhalten, um als Vorkoster zu dienen und alle Probleme abzufangen, die durch ein Update eingeführt werden. Sie können auch steuern, wann PCs auf das nächste Feature Update aktualisiert werden und eine weitere Pilotgruppe bilden, bevor Sie mit Aktualisierungen für andere Clients fortfahren.

WUfB versus WSUS: Unterschiede beim Update-Prozess

Früher war es ein starkes Argument für WSUS, dass es alle Updates zentral auf einen Server herunterlädt und dann lokal verteilt. Das spart gegenüber der nicht-verwalteten Variante, bei der jeder Client selbst das Update herunterlädt eine Menge Internet-Bandbreite.

Mittlerweile hat jedoch Windows 10 eine Funktion namens Übermittlungsoptimierung, mit der PCs im lokalen Netzwerk-Updates untereinander verteilen. Dadurch lässt sich auch bei ausschließlicher Verwendung von WUfB regeln, dass nicht jeder einzelne Computer sich mit dem Internet verbindet. Der Aktivitätsmonitor enthält Statistiken für die Verteilung und den Empfang von Updates über das Internet im Vergleich zu PCs im lokalen Netzwerk. Das ermöglicht es Admins, den Prozess zu überwachen.

Eine weitere Funktion, die Microsoft über Windows Updates zur Verfügung stellt, sind SafeGuard Holds. Wenn Microsoft ein Problem mit einem neuen Feature-Update feststellt, wird die Bereitstellung des Feature-Updates so lange blockiert, bis das Problem behoben ist. Für WUfB-Benutzer ist dies nahtlos integriert. WSUS-Kunden müssen sich selbst zeitnah über Update-Probleme informieren und entscheiden, was sie tun möchten.

Für einige Unternehmen könnte WSUS die bessere Wahl sein

WSUS beherrscht ein paar Tricks, die in WUfB nicht durchführbar sind. Zum Beispiel ist es relativ einfach, ein störendes Update zu entfernen. Dies ist bei WUfB nicht möglich; stattdessen müssen Sie PowerShell verwenden, um das störende Update zu entfernen.

WSUS verhindert auch, dass Computer über das Internet eine Verbindung zu Microsoft herstellen, um Updates zu erhalten. Für einen bandbreitenempfindlichen Standort bietet dies mehr Zuverlässigkeit, indem ein einziger Download-Pfad für Updates nach einem von Ihnen konfigurierten Zeitplan verwendet wird, um Unterbrechungen zu vermeiden. Das ist besonders für Home-Office-Szenarien eine sinnvolle Umstellung.

Wenn Sie ein Administrator sind, der jedes Update im Detail durchgehen und freigeben möchte oder muss, ist WSUS genau das Richtige für Sie. Mit WUfB haben Sie nur eine begrenzte Kontrolle; Sie können Updates zwar zurückhalten, aber nicht wie mit WSUS komplett stoppen.

Dieses Maß an Kontrolle hat seinen Preis: Sie benötigen einen Server auf dem WSUS läuft, was den Verwaltungsaufwand erhöht, während WUfB bereits in Windows-10-Netzwerke integriert ist.

WUfB ist eng an die Bereitstellungsoptionen von Microsoft-365-Updates und deren Ringe angelehnt, so dass sich viele Administratoren schnell zurechtfinden werden. Es spricht auch nichts dagegen, WSUS und WUfB zusammen zu verwenden. Wenn Sie WUfB in einer Pilotgruppe für ein paar Monate ausprobieren wollen, ist es einfach und mit wenig Aufwand einzurichten.

WUfB bietet eine schlanke Verwaltungsoption, die keine Ressourcen erfordert und keine Kosten verursacht. Sie können Updates so schnell oder so langsam ausrollen, wie Sie möchten. Mit WSUS haben Sie immer noch mehr Kontrolle – aber eben auch mehr Arbeit.

Erfahren Sie mehr über Desktop-Management

ComputerWeekly.de
Close