Um Windows 10 oder dessen Updates in Unternehmensumgebungen zu verteilen, gibt es i.d.R. genaue Richtlinien zur Freigabe. Aber wie viel Standardisierung und Genehmigungsketten braucht es in der Praxis?
Anzeige
Das ist eine spannende Frage, die sich sicher der eine oder andere Administrator und IT-Verantwortliche stellt.
Ein Fall aus der Praxis
Vor ein paar Tagen bin ich über einen Tweet des Microsoft Mitarbeiters Michael Niehaus gestolpert, der auf ein Problem hinweist.
Deploying a feature update to Windows is 100 times more risky than initiating a global thermonuclear war? https://t.co/xluhTcdaNN
— Michael Niehaus (@mniehaus) 26. Juni 2018
Wie viel formale Kontrolle ist bei der Bereitstellung von Windows 10 Funktionsupdates oder Updates in Unternehmensumgebungen erforderlich bzw. sinnvoll. Niehaus verweist auf den Blog-Beitrag Implementing the Right Inertia in your Windows 10 Deployment Process: Defaulting to Progress vs. Stasis, wo Microsoft Mitarbeiter Chris Jackson aus dem Nähkästchen plaudert. Bei einem Kunden ist er auf eine Kette von formalen Freigaben gestoßen, die alle getätigt sein müssen, bevor ein Update ausgerollt werden darf. Hier die beteiligten Instanzen:
- Freigabe von der IT-Abteilung
- Freigabe von der Security-Abteilung
- Freigabe vom Endbenutzer-Support
- Freigabe von jedem der mehr als 500 App-Entwickler
- Freigabe des anpassten Installationsabbilds von der betreffenden Abteilung
- Freigabe des ConfigMgr-Teams
Jackson schreibt, dass in diesem Unternehmen so um die 600 Personen eine formale Freigabe erteilen müssen, bevor ein neues Update ausgerollt wird.
Lächerlich oder Praxis?
Man mag das lächerlich finden – aber in einer großen Organisation mit vielen 10.000 Windows 10-Installationen wird das nicht anders gehen. Nicht auszudenken, wenn da die Hälfte der Belegschaft vor nicht mehr bootenden Systemen steht. Und wenn eine wichtige Anwendung plötzlich im Unternehmen nicht mehr funktioniert, weil ein Update diese brickt oder Microsoft mal wieder intern in Windows 10 alles umgestellt hat, ist das auch nicht lustig. Dass der Endbenutzer-Support, der den Mist ausbaden muss, auch ein Wort mitzureden hat, halte ich für selbstverständlich.
An dieser Stelle kommen wir an den Punkt, wo man schlicht das Modell von Microsoft hinterfragen muss. Postulieren wir doch einfach mal, dass größere Organisationen diese formalen Freigaben benötigen, um im Tagesgeschäft 'Windows 10' ihren Leuten die IT-Infrastruktur am Laufen zu halten. Dann bleibt nur der Schluss übrig, dass Microsoft sich mit seinen 'Ideen' gewaltig neben den Stuhl setzt und an der Praxis vorbei agiert.
Microsofts Sicht der Dinge
Im Blog-Beitrag argumentiert der Mitarbeiter, dass erfolgreichere Kunden ihre Systeme so gestalten, dass sie einen Mechanismus bieten, der auf Agilität setzt, anstatt kontinuierlich Kontrolle auszuüben. Das soll stark mit der Herausforderung korrelieren, die vielen Kunden beklagen: Dass es zu viel Aufwand erfordere, um auf dem Laufenden zu bleiben. Aus diesem Ansatz heraus schlägt Microsoft folgende Vorgehensweise vor:
Anzeige
- Initiale Validierung durchführen: Bevor die ersten Implementierungen freigegeben werden, sollten Kunden eine Handvoll wichtiger Szenarien validieren. Dies soll sicherzustellen, dass diese Szenarien nicht beeinträchtigt werden.
- Verteilung in Ringen ausführen: Nachdem die Validierung abgeschlossen ist, sollen Kunden die Windows 10-Updates in Ringen ausrollen. Gibt es irgendwo Probleme, kann das Rollout unterbrochen werden.
Klingt in der Theorie gut und in sehr großen Organisationen wird man auch nicht um die stufenweise Verteilung herum kommen.
Allerding beweist uns Microsoft tagtäglich, dass die Validierung und das Verteilen in Ringen eher schlecht als recht klappt. Stichwort ist einerseits das Windows Insider Preview-Programm, wo Leute im Fast Ring regelmäßig ins Messer laufen gelassen werden – und das, obwohl Microsoft intern mehrere Ringe definiert hat.
Und wenn der Ansatz mit den Ringen und der Agilität funktionieren würde, dürften eigentlich kaum Probleme mit Updates auftauchen – das Zeugs wurde ja bei Microsoft intern getestet. Mein (zugegebenermaßen gefühlter) Eindruck ist leider, dass da einfach zu viel durchrutscht.
Wie schaut das wirklich aus?
Microsoft hat zwar Recht, dass man mit einem gestuften Rollout das Risiko minimieren kann. Aber der Umstand, dass das Microsoft Updates öfters wegen Fehlern zurückziehen und nachbessern muss, wobei es zig Tausende Systeme trifft, verdeutlicht das Problem. Microsoft sitzt so etwas meist aus – eine interne IT bekommt bei so was ziemlich Feuer unterm Hintern. Und noch eine Gefahr steht unausgesprochen im Raum: Habe ich nur einen Schuss vor der großen Katastrophe frei, werde ich testen, testen und nochmals testen. Bei 'Agilität' im Rollout führt das irgendwann zu einer Laisser-faire-Haltung. Die Tests werden weniger intensiv durchgeführt, da das alles Geld kostet: 'wird schon gut gehen, und wenn es ein Problem gibt, betrifft es nur wenige Maschinen'.
Wie wird das bei Euch in den Unternehmen gehandhabt? Gibt es nur wenige Stellen oder niemanden, der eine Freigabe für Updates erteilt? Wie wird das Ganze von Admins im Unternehmensumfeld gesehen? Eure Meinung/Erfahrung ist gefragt.
2015
Ich arbeite als Admin in einer kleinen Verwaltung (ca. 80 Arbeitsplätze internes LAN). Wir befassen uns gerade mit der Migration auf Windows 10 und genau dieses Szenario bereitet mir Kopfzerbrechen. Bei uns würde die Freigabe definitiv nur über unsere kleine EDV-Abteilung laufen.
Bis vor einigen Jahren konnten wir MS Updates recht unbedenklich installieren und hatten ganz selten Probleme. Das ist seit der geänderten Updatepoliktik von Microsoft (insbesondere auch Rollup-Updates für Win7) anders.
Wahrscheinlich würde eine Freigabe von Funktions- und Sicherheitsupdates bei uns schneller gehen, allerdings zeigen sich viele Fehler erst nach einigen Tagen (Wochen?) Betrieb mit der aktuellen Version. Was aber, wenn die Freigabe und Installation zügig erfolgt, in der Folge aber doch ein Problem auftritt, das dann einen Großteil der Geräte lahmlegt?
Beim Einsatz der regulären Windows 10 Version (z.B. Pro) müsste man ja zwangsläufig nach 18 Monaten ein Funktionsupdate einspielen, da diese nur so lange Support bekommen.
Alternativ bestünde ja die Möglichkeit der Nutzung der LTSB-Variante. Hat damit jemand vielleicht Erfahrungen?
Noch schwieriger finde ich die Situation für Außenstellen, die über keine Domäne und WSUS verfügen. Dort werden die Funktionsupdates einfach nach Bereitstellung durch Microsoft installiert. Dort wird es sicherlich vermehrt zu Fehlern kommen, weil dann nach den Updates das ein oder andere nicht mehr funktioniert. Von der Ausfallzeit durch die ungeplante Installation des Funktionsupdates einmal abgesehen.
Kannst du eigentlich alles über WSUS und ein paar GPOs auch mit Win10 Pro lösen.
Wenn du auf den Clients den "Dual Scan" von Windows Update deaktivierst (mit GPOs) lädt Win10 schon mal nur jene Updates (und Funktionsupdates) runter die du am WSUS freigibst. So haben wir zumindest in unserer Firma (~ 200 Clients) die 18 Monats "frißt" erfolgreich abwürgen können.
Und wegen den externen Clients:
Wir haben bei uns hierfür extra einen zweiten WSUS in unsere DMZ gestellt, welcher von drausen erreichbar ist. (Ein Replik Server)
Dieser stellt aber nicht die Updates sondern nur die genehmigungen bereit.
Wenn nun also externe Clients nach updates suchen fragen diese bei dem WSUS an, bekommen die freigegebenen Updates und laden diese aber dann von MS Servern herunter. (So wird unsere WAN Leitung nicht belastet)
Trotzdem ist das ganze Update Thema seit Win10 ein einziger krampf. Jedes mal check was/wo/wie geändert wurde und nicht funktioniert. Nervt ziehmlich -.-
Ich habe die Standorte via VPN zusammengeschlossen sodass kein zweiter WSUS erforderlich ist.
Aber auch ich lade die Windows Updates von den MS Servern. Nur die eigenen Updates (via WPP) kommen vom WSUS direkt. Auf Grund der Größe, ist das aber mit kleineren Leitungen bzw. der Leitung am Hauptstandort kein Problem.
Ich arbeitete als Systemadmin in einem Mittelgroßen Unternehmen in der Maschinenbaubranche mit ungefähr 150 Clients. In meiner Ausbildung habe ich die ersten Windows 10 Rechner in das System eingeführt (das war Anfang 2016) und mit diesen Rechnern hatte ich wesentlich mehr Stress als mit unseren Windows 7 Maschinen: Mal gingen PDF Drucker nicht, dann wurde unsere Antiviren-Lösung (McAfee EPO) von Windows als "böse" eingstuft oder auch mal Druckertreiber für die OCE-300 Plotter nicht richtig erkannt.
Ach ja: Der Internetexplorer funktionierte Anfangs (1511 / 1607) nur im Intranet, der Edge gar nicht. 1511 und 1607 haben mir meine GPOs zerschossen (wir haben Pro eingesetzt) und bei 1709 wollte sich auf einmal die Software unsere TK-Anlage (eine Alcatel OmniPCX Enterprise) nicht mehr mit der TK-Anlage verbinden, weil das Update anscheinend die Metrik der Netzwerkschnittstellen verändert hat.
Wir sind aktuell bei uns noch am nachsehen, wie wir es genau machen, aktuell gebe ich die Funktionsupdates erst frei, nach dem Microsoft mindestens zwei Monatspatches rausgehauen hat, sonst gibt es wütende Anrufe von den Kollegen. Die aktuelle Version teste meine IT-Kollegen und ich selber und dann verteilen wir die, meistens sind die zwei Monate auch rum.
Aus wieviel Personen besteht eure IT-Abteilung?
Zu LTSC (früher LTSB) hat sich Günter hier: https://www.borncity.com/blog/2018/06/12/schnapsidee-windows-10-ltsc-und-andere-v1607-basteleien/ ausgelassen.
Sehe das an sich ähnlich wie M.Thier, neben der Kernverwaltung komme ich mit Schulen und anderen Außenstellen auf knapp 300 Windows-Geräte, die meisten Standorte sind per VPN verbunden. Finde nur neben der "richtigen Arbeit" (also dass, wo die Nutzer auch sehen können, dass wir arbeiten) und dem Aufbau der standortgekoppelten Infrakstruktur nicht die Zeit für die Vorbereitung von Windows 10 (wollte eigentlich schon nach 1709 anfangen). Hab ne 1,80×1,20 Tafel im Büro hängen, die ist aktuell mit Stichpunkten vollgeschrieben mit Zeugs, was ich bei Windows 10 anpassen muss, bevor ich über den Rollout nachdenken kann (wobei die Deployment-Werkzeuge glücklicherweise ähnlich geblieben sind, um mit nur einem Knöpfchen 100 PCs zu installieren).