none
Update über WSUS RRS feed

  • Frage

  • Hallo,

    ich habe in einer Testumgebung einen Windows 10 Pro Client und einen WSUS (Server 2012R2).

    Laut Aussage von Microsoft sind mit der Windows 10 Pro Version Updates maximal 8 Monate zurückstellbar.

    Wie verhält sich das ganze Szenario mit einem WSUS. Angenommen mein WSUS hat sämtliche Updates gesammelt und ich entscheide mich erst nach den 8 Monaten ein Update zu genehmigen.

    Wird mein Windows 10 Client das Update problemlos installieren können?

    Ich hoffe mir kann dazu jemand helfen oder hat vielleicht schon Erfahrung mit WSUS und Windows 10.

    Nico

    Dienstag, 15. Dezember 2015 12:41

Antworten

  • Der Support bezieht sich auf das Veröffentlichungsdatum, nicht auf den Installationszeitpunkt. Und wenn ein CBB aus dem Support ist, bekommt er auch keine (aktuellen) Patches mehr. Ob man dann 2 Jahre später einen 2,5 Jahre alten Patch für einen 3 Jahre alten CBB über WSUS installieren kann oder nicht, dürfte eine akademische Frage sein, hat aber weniger mit Clientmanagement oder Security zu tun. Das gleiche gilt, wenn man die Clients einfach gar nicht updated.

    Aber auf die Frage: Man hat CBB+0 installiert und entscheidet nun zuzuwarten. Es wird vier Monate später der CBB+1 veröffentlicht (CBB+0 hat noch Support). Dann wird weitere 4 Monate später der CBB+2 veröffentlicht - und jetzt sollte man tätig werden, denn der CBB+0 bekommt fortan keine Updates mehr. Klar kann man nun den CBB+1 installieren, allerdings hat dieser dann ebenfalls nur noch (mind.) 4 Monate, denn es gibt ja bereits CBB+2 und es kommt dann der CBB+3... kurzum: 8 Monate.

    Der Unterschied zum LTSB: Da bekommt man 10 Jahre lang UPDATES (aber nie ein UPGRADE).

    lg
    Georg

    Wenn das hilfreich war oder gar die Antwort, bitte auch als "Antwort markieren". Das ist die Motivation Unterstützung in diesen Foren zu geben, danke!

    • Als Antwort markiert Nico Vo Dienstag, 15. Dezember 2015 14:57
    Dienstag, 15. Dezember 2015 14:04
  • Wenn ich mich entschließe weiterhin keine CBB einzuspielen, hab ich dann übern WSUS die Möglichkeit Sicherheitsrelevante Updates einzuspielen. Oder wird dann das CBB am Client vorausgesetzt?

    Das wird nicht funktionieren, weil der Patch/Update eine Mindestanforderung voraussetzt (eben den unterstützten CBB, z.B. "1511" oder "1603" oder "1607") und wenn das nicht gegeben ist, bekommt der Client das Update nicht installiert. Deswegen ist die theoretische Möglichkeit es ins unendliche zu verzögern in der Praxis keine Option.

    Dürfte ich Dich nur bitten die Antworten in diesem Thread auch "als Antwort zu markieren", das ist für viele der braven Antworter und Poster nämlcih die Motivation sich hier zu beteiligen. Danke!

    lg
    georg

    • Als Antwort markiert Nico Vo Dienstag, 15. Dezember 2015 14:47
    Dienstag, 15. Dezember 2015 14:42

Alle Antworten

  • Am 15.12.2015 schrieb Nico Vo:
    Hi,

    ich habe in einer Testumgebung einen Windows 10 Pro Client und einen WSUS (Server 2012R2).

    Laut Aussage von Microsoft sind mit der Windows 10 Pro Version Updates maximal 8 Monate zurückstellbar.

    Da handelt es sich aber um UPGRADES.

    Wie verhält sich das ganze Szenario mit einem WSUS. Angenommen mein WSUS hat sämtliche Updates gesammelt und ich entscheide mich erst nach den 8 Monaten ein Update zu genehmigen.

    Da genehmigt man die UPGRADES dann einfach erst 8Monate später? ;)

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 15. Dezember 2015 13:03
  • Hi,

    die UPGRADES kommen aber auch ganz normal als UPDATE im WSUS rein.

    Verstehe ich das also richtig ich kann auch die UPGRADES nach belieben genehmigen/einspielen?

    Dann kann ich also somit die 8 Monate die Microsoft angibt umgehen?

    Danke schon mal

    Nico


    • Bearbeitet Nico Vo Dienstag, 15. Dezember 2015 13:13
    Dienstag, 15. Dezember 2015 13:10
  • Wenn in deiner Domäne es so eingestellt ist, dass Updates NUR vom WSUS kommen und du im WSUS die Updates nicht genehmigst, wie sollen die dann auf dem Client ankommen?

    Ergo: Was du nicht genehmigst wird auch nicht installiert.

    Dienstag, 15. Dezember 2015 13:18
  • Ja, auch UPGRADES und UPDATES kommen über WSUS und können nach eigenen Vorstellungen ausgerollt werden. Zu beachten ist: UPDATES bekommt man nur, wenn der entsprechende CBB (=das UPGRADE) noch im Support ist. Verzögert man das Einspielen also über diesen Zeitpunkt hinaus (wenn das zweite CBB-UPGRADE veröffentlicht wurde, daraus ergeben sich die mindestens 8 Monate), dann gibt's keine Sicherheitsupdates mehr,...

    Ich finde diesen Artikel recht brauchbar, der erklärt das recht schön:

    Windows 10 servicing options for updates and upgrades
    https://technet.microsoft.com/en-us/library/mt598226(v=vs.85).aspx

    lg
    Georg

    Wenn das hilfreich war oder gar die Antwort, bitte auch als "Antwort markieren". Das ist die Motivation Unterstützung in diesen Foren zu geben, danke!

    Dienstag, 15. Dezember 2015 13:18
  • Am 15.12.2015 schrieb Nico Vo:
    Hi,

    die UPGRADES kommen aber auch ganz normal als UPDATE im WSUS rein.

    Nein, sie sind Teil der Kategorie Upgrades.

    Verstehe ich das also richtig ich kann auch die UPGRADES nach belieben genehmigen/einspielen?

    Ja, so wie mit jedem WSUS Update/UPgrade/Tool/Servicepack usw. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 15. Dezember 2015 13:22
  • danke schon mal für die Infos.

    Soweit ist mir das klar das was ich nicht genehmige auch nicht installiert wird.

    Kann man das erste CBB-UPGRADE nicht auch übern WSUS installieren auch wenn bereits ein zweites CBB-Upgrade veröffentlicht wurde. Denn im WSUS habe ich doch alle CBB-Upgrades.

    Bsp. es befinden sich zwei CBB-Upgrades im WSUS. Somit sind die 8 Monate für das erste CBB-Upgrade abgelaufen. Jetzt kann ich doch das erste CBB-Upgrade genehmigen und sobald das auf den Clients installiert ist kann ich das zweite CBB-Upgrade genehmigen.

    Wenn dem so wäre, dann wär doch die Aussage seitens Microsoft nicht korrekt, dass Updates/Upgrades in der Pro Version maximal 8 Monate zurückstellbar sind. Wenn ich es mit einem WSUS "umgehen" kann.

    Wozu brauche ich dann den Long Term Service Branch den es nur in der Enterprise Version gibt?

    lg

    Nico



    • Bearbeitet Nico Vo Dienstag, 15. Dezember 2015 13:44
    Dienstag, 15. Dezember 2015 13:29
  • Der Support bezieht sich auf das Veröffentlichungsdatum, nicht auf den Installationszeitpunkt. Und wenn ein CBB aus dem Support ist, bekommt er auch keine (aktuellen) Patches mehr. Ob man dann 2 Jahre später einen 2,5 Jahre alten Patch für einen 3 Jahre alten CBB über WSUS installieren kann oder nicht, dürfte eine akademische Frage sein, hat aber weniger mit Clientmanagement oder Security zu tun. Das gleiche gilt, wenn man die Clients einfach gar nicht updated.

    Aber auf die Frage: Man hat CBB+0 installiert und entscheidet nun zuzuwarten. Es wird vier Monate später der CBB+1 veröffentlicht (CBB+0 hat noch Support). Dann wird weitere 4 Monate später der CBB+2 veröffentlicht - und jetzt sollte man tätig werden, denn der CBB+0 bekommt fortan keine Updates mehr. Klar kann man nun den CBB+1 installieren, allerdings hat dieser dann ebenfalls nur noch (mind.) 4 Monate, denn es gibt ja bereits CBB+2 und es kommt dann der CBB+3... kurzum: 8 Monate.

    Der Unterschied zum LTSB: Da bekommt man 10 Jahre lang UPDATES (aber nie ein UPGRADE).

    lg
    Georg

    Wenn das hilfreich war oder gar die Antwort, bitte auch als "Antwort markieren". Das ist die Motivation Unterstützung in diesen Foren zu geben, danke!

    • Als Antwort markiert Nico Vo Dienstag, 15. Dezember 2015 14:57
    Dienstag, 15. Dezember 2015 14:04
  • Ok soweit macht das ja alles Sinn.

    Dann habe ich aber gleich eine weitere Frage dazu.

    Wenn ich mich entschließe weiterhin keine CBB einzuspielen, hab ich dann übern WSUS die Möglichkeit Sicherheitsrelevante Updates einzuspielen. Oder wird dann das CBB am Client vorausgesetzt?

    lg

    Nico

    Dienstag, 15. Dezember 2015 14:21
  • Wenn ich mich entschließe weiterhin keine CBB einzuspielen, hab ich dann übern WSUS die Möglichkeit Sicherheitsrelevante Updates einzuspielen. Oder wird dann das CBB am Client vorausgesetzt?

    Das wird nicht funktionieren, weil der Patch/Update eine Mindestanforderung voraussetzt (eben den unterstützten CBB, z.B. "1511" oder "1603" oder "1607") und wenn das nicht gegeben ist, bekommt der Client das Update nicht installiert. Deswegen ist die theoretische Möglichkeit es ins unendliche zu verzögern in der Praxis keine Option.

    Dürfte ich Dich nur bitten die Antworten in diesem Thread auch "als Antwort zu markieren", das ist für viele der braven Antworter und Poster nämlcih die Motivation sich hier zu beteiligen. Danke!

    lg
    georg

    • Als Antwort markiert Nico Vo Dienstag, 15. Dezember 2015 14:47
    Dienstag, 15. Dezember 2015 14:42
  • OK, vielen dank für die Infos.

    Das ergibt schon alles Sinn und das kann ich auch nachvollziehen. Eins wäre aber noch was mir unklar ist. In der Enterprise Version ist ja genau das Möglich. (Sicherheitsupdates einspielen ohne CBBs einzuspielen)

    Wie funktioniert das?

    Gibt es zwei "Versionen" des Sicherheitsupdates. Eines welches nur für die Enterprise Version ist und somit kein CBB voraussetzt und eine zweite "Version" die auf der Pro Version installiert und die CBB als Installationsvoraussetzung mit sich führt?

    lg

    Nico

    Dienstag, 15. Dezember 2015 14:53
  • Technisch wäre auch ein LTSB nur eine weitere Variante der Voraussetzungen für einen Patch. Also z.B. gültig für 1511 und 1603 Home/Pro/Enterprise, LTSB Juli 2015, ... wobei das aber nicht für jeden Patch gilt, denn der LTSB Version fehlen ja derzeit schon einige Dinge und zukünftig natürlich noch viel mehr, weil ja keine Upgrades,... Deswegen werden da auch die Patches nicht in allen Fällen für LTSB zur Verfügung stehen bzw. gebraucht werden. Geht natürlich umgekehrt auch: Patches, die nur für LTSB gelten. Kurzum: kommt auf den Patch an ;)

    Das ganze System ist ja letztlich darauf aufgebaut, Patches und Upgrades in hoher Qualität zur Verfügung zu stellen und gleichzeitig sicherzustellen, dass die Testmatrix eingeschränkt und verwaltbar ist.

    Vor Windows 10: Ein kompletter Wildwuchs, weil fast jede Clientinstallation anders ist (manche spielen nur kritische Updates ein, ander dürften würfeln ob ein optionales Update eingespielt wird, usw...). Ergebnis: In Wahrheit nicht "testbar", weil zu viele verschiedene Systeme. Führt zu Frust. Und Bluescreens. (Um das mal pointiert zu formulieren).

    Mit Windows 10: Überschaubare Anzahl an gleichzeitig unterstützten Systemen: zwei CBBs und 3-4 LTSB.

    Die LTSB werden viel seltener veröffentlicht (ich habe keine öffentliche Information zu sharen, wann da der nächste kommt), nehmen wir für das Beispiel an, dass es alle 3-4 Jahre so weit ist (jeweils mit 10 Jahren Support).

    Dienstag, 15. Dezember 2015 15:21
  • Am 15.12.2015 schrieb GeoBind [MSFT]:
    Hi,

    Vor Windows 10: Ein kompletter Wildwuchs, weil fast jede Clientinstallation anders ist (manche spielen nur kritische Updates ein, ander dürften würfeln ob ein optionales Update eingespielt wird, usw...). Ergebnis: In Wahrheit nicht "testbar", weil zu viele verschiedene Systeme. Führt zu Frust. Und Bluescreens. (Um das mal pointiert zu formulieren).

    Naja ob das wirklich weniger wird? Denn es ist doch davon auszugehen, dass auch zwischen den CBBs eine quasi "beliebige" Anzahl an Patches erscheinen werden, die eine ähnliche Vielfalt generieren wird. (Oder ich habs nicht verstanden)
    Das Ziel nur noch mit einer geringen Anzahl an unterstützter Basen zu agieren ist zwar schön, aber derzeit ist da auch Seitens MS wenig bis keine sinnvolle Informationspolitik. Und das Anfangs immer wieder von MS propagierte Windows Update for Business ist zumindest nach meinem bisherigen Kenntnisstand ein Rückschritt, denn ein Fortschritt. Und ob man das in der Form überhaupt braucht, wenn man einen WSUS im Einsatz hat (siehe Beginn dieses Threads). Wird sich hoffentlich irgendwann mal wieder in definierten Bahnen bewegen, die auch Leute verstehen, die nicht bei MS arbeiten. ;)

    Mit Windows 10: Überschaubare Anzahl an gleichzeitig unterstützten Systemen: zwei CBBs und 3-4 LTSB.

    Naja das Prinzip wird bei Anwendungsservern wie bspw. Exchange bereits genutzt. Ist zwar schön, führt aber nicht zwangsläufig dazu, dass man bei Kunden nur "moderne" und unterstützte Umgebungen vorfindet. Im Gegenteil, da gibts dann die logische Frage: Was passiert eigentlich, wenn es ein Problem gibt, und man kann oder darf nicht auf das aktuelle CBB wechseln? Gibts dann keinen Support von MS? ;)

    Die LTSB werden viel seltener veröffentlicht (ich habe keine öffentliche Information zu sharen, wann da der nächste kommt), nehmen wir für das Beispiel an, dass es alle 3-4 Jahre so weit ist (jeweils mit 10 Jahren Support).

    LTSB entspricht also quasi dem bisherigen Veröffentlichungszyklus der Windowsversionen.

    Bye
    Norbert


    Dilbert's words of wisdom #19:
    Am I getting smart with you? How would you know?
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 15. Dezember 2015 16:31
  • Du stellst die richtigen Fragen ;)

    Naja ob das wirklich weniger wird? Denn es ist doch davon auszugehen, dass auch zwischen den CBBs eine quasi "beliebige" Anzahl an Patches erscheinen werden, die eine ähnliche Vielfalt generieren wird. (Oder ich habs nicht verstanden)

    Doch, schon richtig verstanden. Nur ist dieser Wildwuchs zeitlich begrenzt (CBB Support Ablauf) und wird quasi spätestens alle 8 Monate wieder "repariert", zudem gibt es ja die kumulativen Updates,...

    Und das Anfangs immer wieder von MS propagierte Windows Update for Business ist zumindest nach meinem bisherigen Kenntnisstand ein Rückschritt, denn ein Fortschritt.

    Wie meinst Du das? Windows Update for Business sind letztlich nur zwei Policies und wird dann verwendet, wenn ich direkt auf Windows Update gehe und vielleicht (optional) zusätzlich eigene Deploymentringe definieren will. So etwas wäre früher gar nicht gegangen (ohne WSUS). Wenn ich WSUS verwende, dann brauche ich das natürlich nicht. Aber denk an kleinere Installationen, wo die Wartung des WSUS nicht in Frage kommt - hier kann man dann recht einfach ein paar Tage auf Updates oder Monate bei Upgrades definieren.

    Was passiert eigentlich, wenn es ein Problem gibt, und man kann oder darf nicht auf das aktuelle CBB wechseln? Gibts dann keinen Support von MS? ;)

    Tatsächlich gibt es dann keine Updates mehr und ja, ein Supportcase kann wohl darauf hinauslaufen, dass man das System erst einmal in einen supporteten Status wird bringen müssen. Das ist aber an sich nicht unbedingt neu oder Windows 10-unique. Die Frage kommt auch oft von Kunden, der Hintergrund für die Frage ist aber oft die emotionale Angst aufgrund möglicher Probleme bei Upgrades. Private Anmerkung: Persönlich würde ich mich mehr vor dem Patchday fürchten, als vor einer neuen Version. Begründung: eine Upgrade ist einige Monate in der Preview und dann im Current Branch, dann erst im CBB. Da sollte das gröbste wirklich draußen sein. Diese lange Testphase ist einem Securitypatch oft nicht vergönnt,...

    Gehen wir also davon aus, dass man nicht KANN (weil eine Software nicht läuft). Der Softwarehersteller, der Windows 10 unterstützt (das muss schon die Grundvoraussetzung sein), wird sein Produkt gegen die Insider Preview testen. Dann wohl auch gegen den Current Branch. Hat er dann immer noch keinen Fix, warnt er hoffentlich Kunden, dass es etwas länger dauert,...und der Kunde hat weitere ~4 Monate bis zum nächsten CBB. Wir sprechen also hier von einer Vorlaufzeit von rund 10 Monaten für einen Patch einer Software, die prinzipiell bereits auf Windows 10 lauffähig war.

    Beim ich DARF nicht: Das müsste man jetzt noch genauer spezifizieren. DARF ich nicht, weil interne Regeln es so vorgeben? Oder weil z.B. eine bestimmte Software (Bsp: Kraftwerkssteuerung, medizinische Software) nur auf einer bestimmten Version laufen darf? Dann wären das eventuell Gründe für einen LTSB.

    LTSB entspricht also quasi dem bisherigen Veröffentlichungszyklus der Windowsversionen.

    Ja. Inklusive dem alten Upgrademodell, inkl. den (zu) großen Sprüngen zwischen Versionen, usw...  

    Dienstag, 15. Dezember 2015 19:32
  • Am 15.12.2015 schrieb GeoBind [MSFT]:
    Guten Morgen,

    Du stellst die richtigen Fragen ;)

    Ja, wär doch sonst öde.

    Doch, schon richtig verstanden. Nur ist dieser Wildwuchs zeitlich begrenzt (CBB Support Ablauf) und wird quasi spätestens alle 8 Monate wieder "repariert", zudem gibt es ja die kumulativen Updates,...

    Na dein Wort in ... ;)

    Und das Anfangs immer wieder von MS propagierte Windows Update for Business ist zumindest nach meinem bisherigen Kenntnisstand ein Rückschritt, denn ein Fortschritt.

    Wie meinst Du das? Windows Update for Business sind letztlich nur zwei Policies und wird dann verwendet, wenn ich direkt auf Windows Update gehe und vielleicht (optional) zusätzlich eigene Deploymentringe definieren will. So etwas wäre früher gar nicht gegangen (ohne WSUS). Wenn ich WSUS verwende, dann brauche ich das natürlich nicht. Aber denk an kleinere Installationen, wo die Wartung des WSUS nicht in Frage kommt - hier kann man dann recht einfach ein paar Tage auf Updates oder Monate bei Upgrades definieren.

    Naja kleinere Installationen bei denen sich ein WSUS nicht lohnt, da lohnt sich WUFB (wieso dann eigentlich Business?) auch nicht wirklich. Und darum dann so ein Buhai?

    Gehen wir also davon aus, dass man nicht KANN (weil eine Software nicht läuft). Der Softwarehersteller, der Windows 10 unterstützt (das muss schon die Grundvoraussetzung sein), wird sein Produkt gegen die Insider Preview testen. Dann wohl auch gegen den Current Branch. Hat er dann immer noch keinen Fix, warnt er hoffentlich Kunden, dass es etwas länger dauert,...und der Kunde hat weitere ~4 Monate bis zum nächsten CBB. Wir sprechen also hier von einer Vorlaufzeit von rund 10 Monaten für einen Patch einer Software, die prinzipiell bereits auf Windows 10 lauffähig war.

    Ähm, ja wir sprechen hier von "Software" und "Softwareherstellern". Ganz ehrlich, getestete Software in Firmen? Ich kenn da genügend Kram, da kann man froh sein, dass sie überhaupt läuft auf halbwegs modernen Systemen. Und nein, leider gibts nicht für alles und jedes eine Alternative und Hersteller ohne Alternative lassen sich auch schwer unter "Druck" setzen. ;) Ja das ist sehr undifferenziert aber, das sind die ersten Gedanken, die man auch bei Kunden jedesmal wieder hört. Und der Aufwand das gegenzuprüfen wird eben nicht selten unterschätzt oder durch Hersteller auf den Kunden umgeschichtet.

    Beim ich DARF nicht: Das müsste man jetzt noch genauer spezifizieren. DARF ich nicht, weil interne Regeln es so vorgeben? Oder weil z.B. eine bestimmte Software (Bsp: Kraftwerkssteuerung, medizinische Software) nur auf einer bestimmten Version laufen darf? Dann wären das eventuell Gründe für einen LTSB.

    OK, heißt, wenn solche Anforderungen existieren, dann kommt man um LTSB nicht drum herum, oder die Kunden fahren die nächsten 10 Jahre Windows 7-8.1. ;)

    Ja. Inklusive dem alten Upgrademodell, inkl. den (zu) großen Sprüngen zwischen Versionen, usw...

    OK, danke. Mich würde trotzdem mal interessieren, warum es LTSB nur als Enterprise Edition gibt. Das wäre für MS doch überhaupt kein "Stress" gewesen, den User bei der Installation einer Pro Version entscheiden zu lassen, ob er CB, CBB oder LTSB fahren will. Oder überseh ich hier was und vermute zu Unrecht, dass Schlimmste? ;)

    Bye
    Norbert


    Dilbert's words of wisdom #10:
    I don't have an attitude problem. You have a perception problem.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Mittwoch, 16. Dezember 2015 09:39