Neues Update-Schema für Windows 7/8.1/Server ab Dezember 2016

Windows UpdateMicrosoft ändert ab Dezember 2016 erneut die Logik, in der Update Rollups für Windows 7 SP1, Windows 8.1 und Windows Server 2008 R2, Windows Server 2012, sowie Windows Server 2012 R2 verteilt werden sollen.


Anzeige

Seit Oktober 2016 hat Microsoft ja ein neues Update-Modell für Microsoft Windows 7 SP1, Windows 8.1 und die korrespondierenden Windows Server-Varianten eingeführt. Ich hatte im Blog in diversen Artikeln (siehe Linkliste am Beitragsende) darüber berichtet. 

Warum einfach, wenn es auch kompliziert geht?

Ich weiß nicht, wie es euch so geht, aber die Update-Logik, die Microsoft Windows 7 SP1, Windows 8.1 und die Windows Server-Varianten mit dem Update Rollups verpasst hat, zieht einem schon gelegentlich “die Stiefel aus”. Man muss höllisch aufpassen, ob man nur Security-only Rollups oder ein Security Monthly Quality Rollup installiert. Und zu allem Überfluss gibt es noch die Preview Quality Rollups.

Drei Kreuze, dass ich nicht als Administrator für Firmenumgebungen verantwortlich bin. Denn dort wird es noch komplizierter. Denn den Administratoren wird nicht nur die Möglichkeit genommen, die Updates einzeln zu installieren – man kann auch nur ein Rollup komplett zulassen oder blockieren. 

Setzt man nicht auf Windows Update (WU), sondern auf WSUS oder SCCM, hat man zusätzlich mehrere Quellen, aus denen die Updates eventuell kommen, zu berücksichtigen. Die Strategie in Firmen (und diese fahre ich hier auch) war, nur die monatlichen Security-only Rollups zuzulassen.

In Umgebungen mit WSUS oder SCCM gab es dann aber wohl das Problem, dass das Vorhaben, nur das monatliche Security-only Rollup Update zuzulassen, in die Hose ging. Plötzlich wurden auf den Windows-Clients und auch auf den Servern das eigentlich nicht vorgesehene Security Monthly Quality Rollup installiert. Konkret war es so:

  • Wurde das Security Only Update für Oktober installiert, wurde dieses im November durch das Security Monthly Quality Rollup für November überschrieben.
  • Und das Security Only Update für November wurde im November durch das Security Monthly Quality Rollup für November überschrieben.

Update-Schema
(Quelle: Microsoft)

Die Firmen hatten also plötzlich ein “Quality Rollup” mit Telemetrie & Co., was man nicht wollte (siehe obiges Bild). Laut diesem Microsoft-Blog-Beitrag war es daher Organisationen, die WSUS oder den Configuration Manager 2007 zur Update-Verteilung einsetzen, nicht möglich, nur Security-only Rollups zu verteilen. Grund ist wohl die interne Beziehung zwischen den Rollups, die in WSUS und SCCM das Überschreiben (Supersedence) bestimmen.

Änderung der Supersedence ab Dezember 2016


Werbung

Das Team bei Microsoft hat nun die Beziehungen, welche Updates welche Pakete überschreiben dürfen (Supersedence Relationship von Updates) – nach meiner Lesart des Blog-Beitrags – so überarbeitet, dass Security Only Updates nicht mehr durch andere Rollups überschrieben (superseded) werden.

Zudem wird es dann so sein, dass bei einem installierten Monthly Quality Update keine Security-only Updates mehr bereitgestellt werden (das Quality Update enthält diese ja). Das Ganze sieht dann wie in folgendem Schema aus.

Update-Schema
(Quelle: Microsoft)

Am 13. Dezember 2016 veröffentlicht Microsoft für die bisherigen Security-only Updates ein weiteres Update, welches aber nur Metadaten zur Anpassung des obigen Mechanismus enthält. Was Microsoft sich und seinen Firmenkunden davon verspricht? Es soll dann folgendes möglich sein:

  • Security-only Updates lassen sich jederzeit selektiv installieren
  • Man kann periodisch Security Monthly Quality Rollup und auch Security-only Updates ab da installieren

Zudem soll das Monitoring von Software-Updates per SCCM oder WSUS vereinfacht werden. Um Nachfragen vorzubeugen: Das betrifft keine Privatanwender, sondern nur Firmenumgebungen, in denen WSUS oder SCCM zur Update-Verteilung eingesetzt werden. Details entnehmt ihr dem Microsoft Blog-Beitrag – und Wolfang Sommerguth hat hier auch noch ein paar Worte zum Thema verloren.

Hatte ich schon gesagt, dass ich drei Kreuze mache, kein Admin in Firmenumgebung zu sein? Ach ja, und so mancher wird sich nach den alten Update-Einzelpaket-Installationsorgien zurücksehen. Aber früher war eh alles besser Zwinkerndes Smiley. Jedenfalls wird ab Dienstag, den 13. Dezember 2016 (hoffentlich ist das kein schlechtes Omen) alles besser. Oder was meint ihr?

Ähnliche Artikel:
Insides zum Windows Service Modell
Patchday-Infos: Was ab Oktober für Windows 7/8.1 kommt
Oktober-Patchday: Einstieg in Windows 7/8.1 Rollup-Updates


Anzeige

Dieser Beitrag wurde unter Update, Windows 7, Windows 8.1, Windows Server abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

21 Kommentare zu Neues Update-Schema für Windows 7/8.1/Server ab Dezember 2016

  1. deo sagt:

    Das WU bleibt so lange deaktiviert, bis ich Bescheid weiß. ;-)

  2. sandy sagt:

    Vielen Dank für den Hinweis! Für Privatanwender bleibt also alles so, wie es seit Oktober ist, oder habe ich das falsch verstanden?

  3. HW sagt:

    Oh Gott! Bahnhof?!

  4. Peter sagt:

    Was mich interessieren würde:
    Wie kann man bei Verwendung von WSUS only, die Preview Updates NICHT installieren. So wie ich das sehe, geht das nicht.
    Geht wohl nur wenn man die Updates generell manuell genehmigt, was Mist ist.
    Das ist wirklich ein Problem. Unsere Server rebooten durch diese völlig irre Updateverteilung inzwischen 3x pro Monat.

    • JohnRipper sagt:

      Preview Updates hat doch mit der Problematik hier gar nichts zu tun. Preview Updates werden gesondert veröffentlicht und können abgelehnt werden.

      Auf einem produktiven System Preview Updates zu installieren ist ja auch vollkommener Quatsch.

      Und wieso sollte die manuelle Genehmigung Mist sein? Gerade dafür habe ich doch WSUS, ansonsten kann ich auch gleich die Updates von WU beziehen lassen.

      • Peter sagt:

        Das ist deswegen Mist, weil ich dann jeden Monat manuell Updates zur Installation zulassen muss.
        Einen WSUS hat man eben genau um nicht alle Computer die Updates aus dem Netz direkt laden zu lassen (Bandbreite).
        Damit ich zusätzlichen Aufwand monatlich habe, um die Updates zu genehmigen habe ich WSUS nicht.
        War bis vor 2 Monaten auch nur in Ausnahmefällen notwendig, und wenn dann nur um ein einzelnes Update zu blocken.

        • Stefan sagt:

          es ist richtig, dass ein WSUS Server zentral für alle Clients Updates bereit stellt, damit eben nicht jeder Client sich die Updates separat über das Internet zieht.

          ABER: man sollte die Updates auf keinen Fall automatisch genehmigen lassen. Wenn, dann auch nur auf eine Pilotgruppe, und eine Woche später dann auf die restlichen Clients. Alles andere ist nicht zu empfehlen. Insofern ist das auch ein wenig mit Aufwand verbunden, aber einmal im Monat kann man da wohl auch mal ein paar Minuten investieren.

  5. Werbung

  6. Toni Pajung sagt:

    Danke für den Beitrag!
    Sehr interessant und gut beschrieben!

  7. StefanP sagt:

    Seit dieser – vorsichtig ausgedrückt – unseligen Regelung wurde unser WSUS so umkonfiguriert, dass alle Updates manuell genehmigt werden müssen. Ich (wir) wollten erstmal sehen, was in den nächsten Monaten so alles passiert.

    Die Security Only Rollups sind genehmigt, die Quality Rollups sind abgelehnt.
    Damit sollte das oben beschriebene Problem doch gar nicht zum Tragen kommen können. Oder habe ich etwas übersehen?

  8. Trillian sagt:

    Moin @ All

    Thx für die Infos Herr Born! Da ich keine Kristallkugel auf meinem Schreibtisch zu stehen habe, kann ich leider nicht wirklich abschätzen ob mit der erneuten Umstellung des Updatevorganges seitens Microsoft nun alles besser wird. Aufgrund der in der Vergangenheit gemachten Erfahrungen bin ich geneigt eher vom Gegenteil auszugehen…
    Obwohl via WU bis dato eh nur die Rollups veröffentlicht wurden, werde ich mit der Einspielung des neuesten Security Only Rollups erst mal warten und schauen wie das Feedback der Community dazu ist…

  9. Ach hübsch, ich hab mich mit den ganzen Updates bisher noch nicht so richtig beschäftigen können, zu einem war ich die letzten Monate Krank und zum anderen hat sich die Firma letzte Woche einen süßen kleinen Trojaner angelacht der sich die Letzten Tage über alle SQL Datenbanken hergemacht hat.
    Zum großen Glück hatte ich ja mit all möglichen Backups auf diesen Tag hin vorgesorgt wodurch sich der Schaden in grenzen gehalten hat, dadurch das ich gleich alles Neu gemacht hab, läuft jetzt alles nach 76 Stunden wieder.
    Die Security Updates sind nun wieder bis zum Oktober alle eingespielt und den ganzen rest habe ich erst mal auf Manuell eingestellt, damit werde ich mich beschäftigen wenn ich wieder halbwegs fit bin.

  10. Thürk Maschke sagt:

    Danke für den Artikel, Herr Born:)

    Ansonsten:

    Schade, dass “Weiland*In” Loriot und Evelyn Hamann bereits im Humoristen-Himmel sind (bestimmt Wolke 7 oder 8):
    Ich stelle mir die beiden gerade in einem “Microsoft-Update-Scetch” vor:

    The “MS-Security-monthly-quality-preview-rollup-Windows-Horror-Show”;-)

    “Bitte sagen Sie jetzt nichts, Fräulein Cortana”…

    Schöne Arbeitswoche allen:)

  11. Hansi sagt:

    Also so wie ich das verstehe, passiert das nur mit dem WSUS? Hoffentlich. Ich habe in den letzten beiden Monaten die Security Only Updates manuell installiert. Langsam macht Windows einfach keinen Spaß mehr. Nächstes Jahr wird man eventuell Berichte über erste PTBS-Störungen von Windows-Admins in der Öffentlichkeit sehen, weil dieser ganze Schwachsinn einfach unerträglich geworden ist, dafür kann auch kein Admin die Verantwortung übernehmen. Die Leute wollen doch einfach nur ein System, das läuft, praktisch kein Mensch braucht die Telemetrie und den sonstigen Mist, MS will die Leute aber auf Windows 10-Funktionalität prügeln, auch die, die eben nicht auf Windows 10 upgraden wollen, MS wird das durchziehen, koste es was es wolle.

    Meiner Meinung nach geht es darum, ein Samaritan-System aufzubauen, mit dem jeder Windows-Nutzer jederzeit weltweit getrackt, ausspioniert und im Notfall auch angegriffen werden kann, für die National Security natürlich. Bisher glaubt einem das noch keiner, es würde mich aber nicht wundern, wenn MS in ein, zwei Jahren anfängt, die (schwach) anonymisierten Daten aller Windows- und MSOffice-Nutzer weltweit zu verkaufen, an Banken, Versicherungen, Behörden, Geheimdienste etc. Gegen Aufpreis kann man alle Rechner nach selbst definierter Malware (wie bösen Konstruktionsplänen) durchsuchen lassen. Lesender Zugriff auf 1 Milliarde Rechner, für nur 5 Milliarden Dollar pro Jahr, für die Billigheimer nur die Metadaten für 1 Milliarde pro Jahr, für den Premium-Level-Access (Malware) 15 Milliarden Dollar pro Jahr, Leute, das sind Spottpreise, Wirtschaftspione und Datenminer aller Länder, greift zu. Wer hat noch nicht, wer will nochmal?

  12. Norbert Braun sagt:

    Seit gestern läuft der wuauserv Process auf meinem Win 7 Pro Rechner ununterbrochen (benötigt dabei 50% cpu-Leistung) ein Update wird nicht gefunden.

  13. Norbert Braun sagt:

    habe manuell das Update KB3207752 (Win 7 32-Bit) installiert danach wurden weitere Updates automatisch gefunden.
    Alles scheint wieder zu funktionieren.

  14. Volker sagt:

    Ich bin Administrator einer Firmenumgebung mit WSUS und habe im Oktober und November den Fehler gemacht sowohl die “Monatlichen Sicherheitsqualitätsrollups” als auch die “Monatlichen Sicherheitsqualitätsupdates” zu genehmigen. Asche auf mein Haupt, aber die Verwirrung war einfach perfekt. Ich habe nun das Problem, dass einige Clients garkeine Updates mehr installieren wollen.
    Hier mal ein Auszug aus der WindowsUpdate.log eines Clients:
    2016-12-21 14:13:38:793 1136 a28 Agent * Found 0 updates and 82 categories in search; evaluated appl. rules of 601 out of 1466 deployed entities
    2016-12-21 14:13:38:794 1136 a28 Agent Reporting status event with 6 installable, 132 installed, 0 installed pending, 0 failed and 0 downloaded updates
    2016-12-21 14:13:38:794 1136 a28 Agent *********
    2016-12-21 14:13:38:794 1136 a28 Agent ** END ** Agent: Finding updates [CallerId = Windows Update Command Line Id = 12]
    2016-12-21 14:13:38:794 1136 a28 Agent *************
    2016-12-21 14:13:38:794 1136 a28 IdleTmr WU operation (CSearchCall::Init ID 12, operation # 190) stopped; does use network; is not at background priority
    2016-12-21 14:13:38:794 1136 a28 IdleTmr Decremented idle timer priority operation counter to 1
    2016-12-21 14:13:38:794 1136 1278 AU >>## RESUMED ## AU: Search for updates [CallId = {1C4EB336-0D5C-4D92-8E6C-6B1C43952C0F} ServiceId = {3DA21691-E39D-4DA6-8A4B-B43877BCB1B7}]
    2016-12-21 14:13:38:794 1136 1278 AU # 0 updates detected

    6 Updates sind aber definitiv erforderlich und auch das November Sicherheitsqualitätsupdate steht auf “genehmigt/installieren”. Es tut sich aber nichts mehr.
    Meine konkrete Frage, die mir vielleicht hier jemand beantworten kann, ist, ob es vielleicht dadurch verhindert wird, dass vormals der mitterweile abgelehnte Sicherheitsqualitätsrollup von Oktober installiert wurde und nun versucht wird das Sicherheitsqualitätsupdate von November zu installieren (Abhängigkeiten)?
    Ich bin derzeit völlig ratlos…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.