{"id":317,"date":"2019-01-19T22:27:12","date_gmt":"2019-01-19T21:27:12","guid":{"rendered":"https:\/\/pascal-korz.de\/blog\/?p=317"},"modified":"2020-08-15T20:51:28","modified_gmt":"2020-08-15T18:51:28","slug":"sccm-windows-updates-und-upgrades","status":"publish","type":"post","link":"https:\/\/pascal-korz.de\/blog\/2019\/01\/19\/sccm-windows-updates-und-upgrades\/","title":{"rendered":"SCCM: Windows-Updates und -Upgrades"},"content":{"rendered":"

Microsoft System Center Configuration Manager (SCCM, ein typischer Microsoft-Produktname, irgendwann \u00fcberschreiten sie noch die maximale Zeichenanzahl von NTFS-Dateipfaden) ist ein m\u00e4chtiges Werkzeug (fast so m\u00e4chtig wie Ansible). Wer SCCM einmal einsetzt, wird damit sehr wahrscheinlich auch die Windows-Updates, mindestens die der Clients abwickeln wollen. Updates werden dann auf dem sogenannten Softwareupdatepunkt, den es zun\u00e4chst einzurichten gilt, von den Microsoft-Update-Servern oder optional von einem eigenen Server mit installierten Windows Server Update Services (WSUS, ein weiteres Beispiel) heruntergeladen und dann nach eigenem Gutd\u00fcnken an die mit SCCM verwalteten Systeme verteilt. Anleitungen zur Installation und Konfiguration des Softwareupdatepunktes findet man schnell, darum m\u00f6chte ich hier st\u00e4rker auf die Entscheidungen<\/strong>, die SCCM-Administratoren treffen m\u00fcssen, auf M\u00f6glichkeiten der \u00dcberwachung<\/strong> und typische Fehlerursachen<\/strong> eingehen.<\/p>\n

Welche Update-Produktgruppen brauche ich?<\/strong><\/p>\n

Bevor Updates verteilt werden k\u00f6nnen, muss der Softwareupdatepunkt sich erst einmal mit dem Update-Katalog synchronisieren; anderenfalls bleibt die Liste aller Software-Updates leer, weil der Softwareupdatepunkt noch keine kennt. F\u00fcr Betriebssystemaktualisierungen bietet sich zum Beispiel das Produkt „Windows 10“ an. Die Produkte mit spezifischeren Namen beziehen entweder auch die Windows-Treiber mit ein (und bl\u00e4hen die SCCM-SQL-Datenbank stark auf) oder sind f\u00fcr bestimmte Windows-Versionen gedacht.<\/p>\n

Welche Update-Klassifizierungen brauche ich?<\/strong><\/p>\n

Updates, kritische Updates, Sicherheitsupdates sind f\u00fcr den Anfang nicht schlecht. Definitionsupdates sind Aktualisierungen f\u00fcr den Windows Defender. Und Upgrades w\u00e4hlt man an, wenn man Featureupdates (Upgrades) auf neuere Windows-Versionen bereitstellen m\u00f6chte.<\/p>\n

Was sind automatische Bereitstellungsregeln, und wozu brauche ich sie?<\/strong><\/p>\n

Mit den ADR (Automatic Deployment Rules) lassen sich nach festzulegenden Kriterien ausgew\u00e4hlte Updates (Sprache, Produkt, Titel, etc.) in regelm\u00e4\u00dfigen Abst\u00e4nden (jeden Tag, jede Woche, jeden letzten Freitag im Monat, etc.) herunterladen und f\u00fcr eine bestimmte Sammlung nach einem bestimmten Zeitplan (sofort verf\u00fcgbar, sp\u00e4testens zu installieren bis, etc.) bereitstellen. ADR sind f\u00fcr regelm\u00e4\u00dfige, fehlerbereinigende Windows-Updates sinnvoll.<\/p>\n

Was spricht f\u00fcr jeweils neue Softwareupdategruppen, was f\u00fcr das Wiederverwenden von Softwareupdategruppen?<\/strong><\/p>\n

Eine automatische Bereitstellungsregel kann Updates entweder in einer neuen Softwareupdategruppe oder immer in der gleichen speichern. Wenn die Updates in der bestehenden Softwareupdategruppe gespeichert werden, werden die bisher dort gruppierten Updates durch die f\u00fcr die angegebenen Kriterien gefundenen Updates ersetzt. Wenn es kein zeitliches Kriterium gibt und die anderen Kriterien (Produkte, Klassifizierungen, etc.) gleich bleiben, wird diese Gruppe nat\u00fcrlich immer gr\u00f6\u00dfer. Sucht die automatische Bereitstellungsregel nur nach Updates, die in den letzten sechs Monaten ver\u00f6ffentlicht wurden, werden kontinuierlich Updates aus der Gruppe entfernt und neue hinzugef\u00fcgt. So k\u00f6nen sich veraltete und nicht mehr ben\u00f6tigte Updates gar nicht erst ansammeln. Wenn allerdings irgendwann ein Client auf einem viel \u00e4lteren Update-Stand auftaucht und diese Updates noch nicht installiert hat, m\u00fcssen sie unter Umst\u00e4nden erneut heruntergeladen werden. Jedes Mal automatisch neu angelegte Softwareupdategruppen hingegen bilden immer genau die Updates ab, die zum Zeitpunkt der Ausf\u00fchrung den Kriterien entsprachen, und alte Updates werden folglich nicht automatisch entfernt \u2013 andererseits ist es trivial, nach einer Weile einfach die ganze Gruppe zu l\u00f6schen, wenn man sie nicht mehr braucht. Diese Gruppen sind am Zeitstempel der Regelausf\u00fchrung in ihrem Namen zu erkennen. Bequemer ist sicher das Weiterverwenden der gleichen Softwareupdategruppe, doch besonders dann sollte man ein Auge auf die Deadline der Bereitstellung und den Ausf\u00fchrungsintervall der automatischen Bereitstellungsregel haben, damit alle Clients die bereitgestellten Updates installieren, bevor die Updates wieder aus der Gruppe entfernt werden,<\/p>\n

Wie verteile ich Featureupdates (Windows-Upgrades)?<\/strong><\/p>\n

Microsoft ver\u00f6ffentlicht neue Windows-Versionen nun vorzugsweise halbj\u00e4hrlich mit dem Anspruch, m\u00f6glichst wenig Arbeit f\u00fcr Anwender und Administratoren zu schaffen, und daher in Form eines Windows-Updates. Das Prinzip bleibt aber das gleiche wie bei einem Upgrade, weil es ein Upgrade bleibt: Es wird ein komplettes Windows-Installationsmedium heruntergeladen und bis zum irgendwann f\u00e4lligen Neustart im Hintergrund installiert. Weil es von SCCM allerdings wie ein Update behandelt wird, verteilt man es rein technisch gesehen auch genauso wie jedes andere Update. Microsoft geht so weit, die Upgrade-Installation optional zu automatisieren, was zu der Frage f\u00fchrt:<\/p>\n

Was sind Windows-10-Wartungspl\u00e4ne, und wozu brauche ich sie?<\/strong><\/p>\n

Genau f\u00fcr diese Automatisierung von Windows-10-Upgrades sind Wartungspl\u00e4ne gedacht. Genau wie automatische Bereitstellungsregeln erm\u00f6glichen sie den automatischen Download und die automatische Bereitstellung, in diesem Fall von Windows-10-Upgrades. Grunds\u00e4tzlich gilt es zu beachten, den richtigen „Update“-Kanal zu auszuw\u00e4hlen: Der halbj\u00e4hrliche Kanal (gezielt), \u00fcbrigens wieder ein sehr aussagekr\u00e4ftiger Name von Microsoft, richtet sich an Gruppen, die man gleich nach der Ver\u00f6ffentlichung der Upgrades damit begl\u00fccken m\u00f6chte, also in der Regel erst einmal die Administratoen oder Testgruppen. Der halbj\u00e4hrliche Kanal (nicht gezielt) wird ein halbes Jahr sp\u00e4ter mit dem Upgrade versorgt. Entscheiden sich die Administratoren also nach ihren Erfahrungen im gezielten Kanal gegen das Ausrollen des Upgrades in der Organisation, bleibt ihnen gen\u00fcgend Zeit, den Wartungsplan zu deaktivieren. Wenn man davon ausgeht, dass jede Organisation ein Upgrade erst einmal testet, stellt sich allerdings die Frage, warum man das Upgrade, wenn nach der Testphase nichts dagegen spricht, nicht einfach ganz herk\u00f6mmlich ausw\u00e4hlt, herunterl\u00e4dt und bereitstellt. Das ist n\u00e4mlich wie bei jedem anderen Update ganz einfach m\u00f6glich.<\/p>\n

Welches Featureupdate ist das richtige f\u00fcr Windows 10 Pro?<\/strong><\/p>\n

Es gibt separate Featureupdates f\u00fcr Anwendereditionen und Businesseditionen mit der gleichen KB-Nummer. Bei Windows Home oder Enterprise ist die Einordnung klar, aber Windows 10 Pro gibt es sowohl als OEM- oder Retail- als auch als f\u00fcr Volumenlizenzinstallationen gedachte Version. Auf Windows-10-Pro-Rechnern aus dem Handel l\u00e4sst sich also das Featureupdate f\u00fcr die Anwendereditionen installieren, auf Windows-10-Pro-Rechnern, die von der Organisation mit einem Installationsmedium aus dem Volumenlizenzportal „betankt“ wurden, hingegen das Featureupdate f\u00fcr Businesseditionen. Die Verwirrung ist nat\u00fcrlich ungl\u00fccklich, zeigt aber einmal mehr Microsofts schlechtes H\u00e4ndchen f\u00fcr Produktnamen.<\/p>\n

Wieso werden bereitgestellte Updates nicht installiert, obwohl die Deadline erreicht ist?<\/strong><\/p>\n

Die Deadline ist nicht so kompromisslos, wie das Wort vermuten l\u00e4sst: Sie wirkt erst im ersten Wartungsfenster nach dem angesetzten Installationsdatum. Wenn die Bereitstellung nicht konfiguriert ist, Wartungsfenster zu ignorieren, aber kein Wartungsfenster f\u00fcr den betreffenden Client verf\u00fcgbar ist, werden Updates auch nicht installiert. Falls ein Wartungsfenster gesetzt ist, aber die erwartete Installationszeit des Updates f\u00fcr das Wartungsfenster zu lange ist, wird das Update ebenfalls nicht installiert.<\/p>\n

Warum schl\u00e4gt ein Update im Softwarecenter nach einer Stunde Installationszeit fehl?<\/strong><\/p>\n

Wenn eine Update-Installation nach einer gewissen Zeit pl\u00f6tzlich abbricht, k\u00f6nnte f\u00fcr die Bereitstellung des Updates eine zu niedrige maximale Installationszeit angegeben worden sein, oft 60 oder 120 Minuten. Auf langsamen Rechnern reicht diese Zeit nicht aus. Eine Erh\u00f6hung der maximalen Installationszeit und eine gewisse Wartezeit, bis der Configuration Manager Client diese Ver\u00e4nderungen bemerkt hat, k\u00f6nnen dieses Problem l\u00f6sen. Eine andere Ursache k\u00f6nnte unzureichender Speicherplatz auf der Systempartition sein, wenn zwar der Download, aber nicht die Installation des Updates gelang. Nat\u00fcrlich lohnt sich zur Vergewisserung ein Blick auf den kryptischen Fehlercode, den das Softwarecenter ausspuckt.<\/p>\n

Wie erfahre ich, f\u00fcr welchen Fehler ein Fehlercode im Softwarecenter steht?<\/strong><\/p>\n

Im Installationsverzeichnis des Configuration Manager findet sich im Unterordner tools<\/code> das Programm cmtrace<\/code>. Dabei handelt es sich um einen einfachen, aber n\u00fctzlichen Logfile-Viewer, der die damit ge\u00f6ffnete Textdatei in Echtzeit aktualisiert. Etwas versteckt bietet es aber die Option, Beschreibungen f\u00fcr SCCM-Fehlercodes zu liefern (Tools – Error Lookup\u2026).<\/p>\n

Wo sehe ich den Status der Softwareupdate-Synchronisation?<\/strong><\/p>\n

Mit cmtrace<\/code> \u00f6ffnet man im Installationsverzeichnis des Configuration Manager im Unterordner Logs<\/code> die Log-Datei wsyncmgr.log<\/code>. Hier wird die Synchronisation jedes einzelnen gefundenen Updates und zwischendurch auch der Gesamtfortschritt in Anzahl und in Prozent protokolliert.<\/p>\n","protected":false},"excerpt":{"rendered":"

Microsoft System Center Configuration Manager (SCCM, ein typischer Microsoft-Produktname, irgendwann \u00fcberschreiten sie noch die maximale Zeichenanzahl von NTFS-Dateipfaden) ist ein m\u00e4chtiges Werkzeug (fast so m\u00e4chtig wie Ansible). Wer SCCM einmal einsetzt, wird damit sehr wahrscheinlich auch die Windows-Updates, mindestens die der Clients abwickeln wollen. Updates werden dann auf dem sogenannten Softwareupdatepunkt, den es zun\u00e4chst einzurichten… SCCM: Windows-Updates und -Upgrades<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":6,"featured_media":318,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,3],"tags":[],"class_list":["post-317","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sccm","category-windows","entry"],"_links":{"self":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/comments?post=317"}],"version-history":[{"count":5,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/317\/revisions"}],"predecessor-version":[{"id":364,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/posts\/317\/revisions\/364"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media\/318"}],"wp:attachment":[{"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/media?parent=317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/categories?post=317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pascal-korz.de\/blog\/wp-json\/wp\/v2\/tags?post=317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}