Welcher behandelt Windows-Updates besser?

Windows Server Update Services gibt es schon seit langer Zeit und es ist das Tool, auf das sich viele Administratoren verlassen, um Windows-Updates zu verwalten. Windows Update for Business ist eine relativ neue Technologie, die denselben Job ausführt, jedoch einen anderen Ansatz verfolgt. Passt einer besser zu Ihrer Organisation als der andere?

Microsoft hat 2005 Windows Server Update Services (WSUS) veröffentlicht, um Software Update Services (SUS) zu ersetzen. WSUS wird weiterhin voll unterstützt und viele Unternehmen verlassen sich darauf. WSUS hilft dabei, die Ordnung aufrechtzuerhalten: Anstatt dass alle Windows-Clients ins Internet gehen und die Updates herunterladen, verfügen Sie über einen oder mehrere WSUS-Server, die den Job zentralisieren und Ihnen die Kontrolle darüber geben, welche Updates für die Clients freigegeben werden sollen.

System Center Configuration Manager (SCCM) – auch als ConfigMgr bekannt und kürzlich als Microsoft Endpoint Configuration Manager umbenannt – wurde eingeführt und bot noch mehr Kontrolle über Windows-Updates. SCCM nimmt die über WSUS heruntergeladenen Updates auf und stellt sie mithilfe eines eigenen Clients mithilfe des in ConfigMgr definierten Workflows und der Regeln bereit.

WSUS hilft dabei, die Arbeit mit Windows-Patches zu automatisieren

Viele Administratoren verwendeten WSUS lange Zeit weitgehend automatisiert. Sie erlaubten entweder alle Updates bei ihrer Ankunft oder sie erlaubten die kritischen und Sicherheitsupdates sofort und hielten den Rest zum Testen zurück. Einige Administratoren informierten sich über jedes einzelne Update, stellten es in einer Testgruppe bereit und stellten es dann für die Hauptflotte bereit. Später würden sie die Patches auf ältere und empfindlichere Geräte übertragen. Dies ist ein manueller und zeitintensiver Prozess, insbesondere zu einem Zeitpunkt, an dem Microsoft mehrere Updates zu unterschiedlichen Zeiten im Monat veröffentlicht.
IT-Administratoren werden gelegentlich von fehlerhaften Microsoft-Updates auf Windows-Geräten gebissen. Diese Probleme reichen von kleinen Ärgernissen bis zum gefürchteten Bluescreen des Todes. Während wir durch die monatlichen Updates eine bessere Stabilität sehen, haben Administratoren weniger Kontrolle über den Patch-Prozess. Microsoft wechselte Ende 2016 zu einem kumulativen Update-Modell, bei dem nicht mehr ausgewählt werden konnte, welche Updates installiert werden sollen, indem mehrere Patches in einem einzigen großen Update veröffentlicht wurden.
Um den Update-Prozess weiter zu verkomplizieren, veröffentlicht Microsoft jedes Jahr zwei Feature-Updates für Windows 10 – eines im Frühjahr und eines im Herbst -, die neue Features einführen. Diese Funktionsupdates umfassen auch alle vorhergehenden Qualitätsupdates, bei denen es sich um monatliche Sicherheitsupdates und Fehlerkorrekturen handelt.

Funktionsweise von Windows Update for Business

Windows Update for Business (WUfB) sind nur einige Registrierungseinstellungen auf einem PC, um dem Client einige zusätzliche Regeln für die Verbindung zum öffentlichen Windows Update-Dienst bereitzustellen.
Sie steuern diese Registrierungseinstellungen mit einem Verwaltungstool wie Intune oder Gruppenrichtlinien oder über andere Methoden zum Ändern von Registrierungseinstellungen, einschließlich eines Skripts. Die von WUfB bereitgestellten Steuerelemente sind recht gering, dies kann jedoch für einige Administratoren ausreichen, die es vorziehen, Windows-Updates nicht regelmäßig zu verarbeiten.
WUfB ist kostenlos für die Verwaltung aller Premium-Editionen von Windows 10.

Führen Sie den Vergleich zwischen WUfB und WSUS aus

Sollten Sie beim Patchen von Windows-Computern bei WSUS bleiben – und bei Endpoint Manager für Updates, für die WSUS erforderlich ist – oder zu WUfB wechseln?
Wenn Sie versuchen, so weit wie möglich in die Cloud zu wechseln – dazu gehört auch die Verwendung von Cloud-basierten Verwaltungstools wie Intune -, haben Sie die Wahl zwischen WUfB, es sei denn, Sie möchten WSUS auf einer Azure-VM ausführen. Lassen Sie uns beide Seiten untersuchen und herausfinden, warum Sie möglicherweise an Ihrem aktuellen WSUS-Setup festhalten oder sich entscheiden möchten, zu WUfB zu springen und diese Server herunterzufahren.

Was ist in WUfB möglich?

WUfB verfügt über vier Haupteinstellungen in Gruppenrichtlinien. Schauen wir uns die einzelnen Einstellungen genauer an und erläutern, was sie zur Steuerung der Bereitstellung von Updates bieten. Weitere Informationen zum Arbeiten mit WUfB und Gruppenrichtlinien finden Sie unter Microsoft Dokumentation.

Wählen Sie aus, wann Vorschau-Builds und Feature-Updates empfangen werden sollen

Diese Einstellungen wählen eine von vier Aktualisierungsringe für die Windows 10-Clients::

  • Vorschau Build – Schnell. Diese Einstellung bietet Builds mit den neuesten Funktionen, die der Öffentlichkeit noch nicht zur Verfügung stehen, mit der Option, Fehler zu melden und Verbesserungen an Microsoft anzufordern.
  • Vorschau Build – Langsam. Diese Einstellung liefert Builds mit den neuesten Funktionen langsamer als der Fast-Ring und enthält Korrekturen für Probleme in früheren Builds.
  • Vorschau. Diese Einstellung liefert offizielle Windows-Builds, bevor sie öffentlich verfügbar sind.
  • Halbjährlicher Kanal. Diese Einstellung gibt Windows-Builds frei, wenn sie der Öffentlichkeit zugänglich sind.
Einrichtung der Windows-Bereitschaftsstufe
Bei Vorschau-Builds und wichtigen Windows-Versionen haben Sie die Möglichkeit, die Bereitstellung zu verschieben oder eine Verzögerung für den Client einzurichten.

Sie haben die Möglichkeit, ein Feature-Update um bis zu ein Jahr zu verschieben. Diese Vorgehensweise kann Ihrem Unternehmen dabei helfen, Probleme mit dem Build zu vermeiden, indem es nicht auf dem neuesten Stand ist und andere Unternehmen Fehler finden und an Microsoft melden lässt. Wenn Sie das Veröffentlichungsdatum für Ihre Kunden um mehrere Tage verschieben, ist dies möglicherweise genau das, was Sie benötigen, um unnötige Fehlerbehebungsarbeiten zu vermeiden, bis Microsoft Korrekturen einführt.
Mit einer anderen Option können Sie die Bereitstellung von Vorschau-Builds anhalten. Sie geben ein Datum ein und 35 Tage lang installieren keine Clients Vorschau-Builds oder Feature-Updates. Dies kann nützlich sein, wenn ein fehlerhaftes Update veröffentlicht wurde und Sie es einfrieren möchten. Bis die 35 Tage abgelaufen sind, sollte Microsoft die Dinge geklärt haben und Clients können versuchen, die Installation erneut durchzuführen, es sei denn, Sie haben das Datum geändert.

Wählen Sie aus, wann Clients Qualitätsupdates erhalten

Genau wie bei der vorherigen Option, jedoch im Zusammenhang mit Qualitätsupdates, bietet dieser Abschnitt die Option, die Clients bis zu 30 Tage lang vom Erhalt eines Qualitätsupdates abzuhalten, bevor die Clients das Update herunterladen und installieren. Sie können auch ein Startdatum festlegen, um die Lieferung von Qualitätsupdates für 35 Tage oder bis zum Löschen des Startdatums anzuhalten.

Optionen für Windows-Qualitätsupdates
Dieser Abschnitt bietet eine weitere Option zum Verzögern oder Aufschieben, jedoch für Windows-Qualitätsupdates.

Verwalten von Vorschau-Builds

In diesem Menü können Sie Vorschau-Builds mit einigen detaillierteren Steuerelementen deaktivieren oder aktivieren.

Windows 10 Preview Build Management
In diesem Abschnitt wird der Zugriff auf Windows 10-Vorschau-Builds angepasst.

Sie können Benutzer daran hindern, das zu betreten Windows Insider-Programm Wenn Sie Vorschau-Builds deaktivieren auswählen.
Sie können Vorschau-Builds deaktivieren, wenn Microsoft einen öffentlichen Build veröffentlicht. Dies ist eine gute Möglichkeit, sich von einem bereits zulässigen Vorschau-Build zurückzuziehen. Einige Benutzer lassen dies möglicherweise ganz aus oder erlauben es bestimmten IT-Mitarbeitern, die möglicherweise zu Testzwecken einen frühen Zugriff auf Windows 10-Vorschau-Builds benötigen.
Mit der Option Aktiviert können Benutzer Vorschau-Builds auf ihren Computern installieren.

Wählen Sie die Version des Zielfeature-Updates aus

In diesem Abschnitt wählen Sie ein Ziel für die Feature-Update-Version aus, z. B. 1909, 2004 oder 2010 – auch als 20H2 bezeichnet -, um den Client-Computer auf eine neuere, größere Windows 10-Version zu aktualisieren. Wenn Sie diese Übermittlung steuern müssen, können Sie eine Zielversion eingeben. Dies ist die einzige Version von Windows 10, die installiert wird. Dies bedeutet, wenn der Client auf 1903 ist und die WUfB-Feature-Update-Einstellung 1909 ist, erhält der Client keine neueren Versionen, wenn diese über Windows-Updates verfügbar sind.

Zieleinstellung für Windows 10-Feature-Update
In diesem Abschnitt legen Sie die Zielversion für Windows 10-Feature-Updates fest.

In diesen Einstellungen können Sie verschiedene Richtlinien für verschiedene PCs konfigurieren, z. B. Pilot-PCs einrichten, die zuerst Updates erhalten, um der Kanarienvogel in der Kohlenmine zu sein, und alle durch ein Update verursachten Probleme abfangen. Sie können auch steuern, wann PCs auf das nächste Feature-Update aktualisiert werden, und eine weitere Pilotgruppe erstellen, bevor Sie mit Upgrades auf andere Clients fortfahren.

WUfB vs. WSUS: Unterschied zum Update-Prozess

Windows 10 verfügt über eine Funktion namens Bereitstellungsoptimierung Dadurch können PCs im lokalen Netzwerk Updates austauschen. Früher gab es ein starkes Argument für WSUS, das alle Updates einmal herunterlädt und dann lokal verteilt, wodurch viel Internetbandbreite gespart wird. Die Lieferoptimierung nähert sich dieser Funktion an, wenn Sie WUfB verwenden. Wie gut diese Funktion auf jedem PC funktioniert, können Sie im Abschnitt Aktivitätsüberwachung der Bereitstellungsoptimierung überprüfen, in dem Statistiken zum Teilen und Empfangen von Updates über das Internet im Vergleich zu PCs im lokalen Netzwerk angezeigt werden.
Eine weitere Funktion, die Microsoft über Windows-Updates hat, ist Schutz hält. Wenn Microsoft ein Problem mit einem neuen Feature-Update feststellt, wird die Bereitstellung des Feature-Updates angehalten, bis das Problem behoben werden kann. Für WUfB-Kunden ist dies nahtlos. WSUS-Kunden müssen sich jedoch dieser offenen Probleme bewusst sein und die Entscheidung treffen, das Update bereitzustellen oder zu verhindern. Microsoft kennt diese Probleme häufig, bevor Sie dies tun. Es liegt also an Ihnen, ob Sie diese Kontrollebene wünschen oder ob Microsoft damit umgehen soll.

Für einige Organisationen könnte sich WSUS durchsetzen

WSUS hat ein paar Tricks, die WUfB nicht hat. Zum Beispiel ist es relativ einfach, ein Update so zu deinstallieren, dass es deinstalliert wird, wenn die Version dies unterstützt, wodurch es einfach ist, ein problematisches Update zu entfernen. Dies ist in WUfB nicht möglich. Stattdessen müssen Sie PowerShell verwenden, um das fehlerhafte Update zu entfernen, und es dann in Ihrer gesamten Flotte auslösen.
WSUS verhindert auch, dass Computer über das Internet eine Verbindung zu Microsoft herstellen, um Updates zu erhalten. Bei einer bandbreitensensitiven Site erhalten Sie mehr Zuverlässigkeit, indem Sie einen einzigen Downloadpfad für Aktualisierungen nach einem von Ihnen konfigurierten Zeitplan verwenden, um Unterbrechungen zu vermeiden.
Wenn Sie ein Administrator sind, der noch jedes Update im Detail durchgehen und veröffentlichen möchte oder muss, wenn Sie bereit sind, ist WSUS genau das Richtige für Sie. Mit WUfB ist Ihre Kontrolle begrenzt. Sie können Updates zurückhalten, aber nicht sofort stoppen, wie Sie es mit WSUS können.
Diese Kontrollebene hat ihren Preis, wenn Sie einen Server oder sogar mehrere Server-Workloads benötigen, auf denen WSUS ausgeführt wird, was Ihren Verwaltungsaufwand erhöht, während WUfB eine Reihe von Einstellungen darstellt.
In dieser Übung zwischen WUfB und WSUS gibt es keine richtige oder falsche Wahl, da jedes Patch-Management-Tool einem anderen Zweck dient. WUfB ist eng mit den Bereitstellungsoptionen von Office 365-Updates und ihren Ringen abgestimmt. Wenn Sie diese Technologie bereits verwenden oder sich diese ansehen, ist das, was WUfB bietet, für Sie nicht neu. Mit einigen Registrierungseinstellungen können sogar WSUS und WUfB gleichzeitig ausgeführt werden. Wenn Sie WUfB einige Monate lang in einer Pilotgruppe ausprobieren möchten, ist es einfach, es mit sehr wenig Arbeit einzurichten.
WUfB bietet eine niedrigere Touch-Management-Option, die ohne Ressourcenbedarf und kostenlos ist. Sie können festlegen, dass Aktualisierungen so langsam ausgeführt werden, wie Sie möchten. WSUS wird weiterhin eine bessere Kontrolle über die Bereitstellung und Verwaltung von Updates bieten – und für diejenigen, die Endpoint Manager weiterhin verwenden möchten, ist dies eine Notwendigkeit.

Similar Posts

Leave a Reply