Exkurs: Update Zyklus: Wie kommt das Update von Microsoft auf den ACMP Client?

Last modified by Sabrina V. on 2024/12/16 12:51

Ausgangsposition

Bevor ein Update auf einem ACMP Client installiert werden kann, muss dieses von Microsoft bezogen und bereitgestellt werden. Das Update durchläuft hierdurch einige Stationen, die meistens vollautomatisiert im Hintergrund gesteuert wurden und von dem der Benutzer in der Regel selbst kaum etwas mitbekommt, außer er greift aktiv in das Geschehen ein oder ändert bestehende Abläufe (z.B. Konfigurationen).

Anhand eines konkreten Updates soll exemplarisch aufgezeigt werden, wie das Update von Microsoft bezogen wird und welche Schritte im ACMP erforderlich sind, damit es an einen Client verteilt und anschließend installiert werden kann. Damit soll auch zeitlich aufgezeigt werden, wie viel Zeit zwischen der Veröffentlichung eines Updates über die Bereitstellung und die Verteilung vergehen kann. Beginnen wir mit einer allgemeinen Übersicht, wie der Update-Releasezyklus bei Microsoft ist.

Update-Releasezyklus von Microsoft

Microsoft veröffentlicht seine Updates immer nach einem bestimmten Zyklus. So erscheint planmäßig an jedem zweiten Dienstag im Monat gegen 10:00 Uhr pazifischer Zeit (PST/PDT) ein neues Security Update. Diese Veröffentlichungen sind kumulativ und enthalten alle vorherigen Updates, was zur Sicherheit Ihrer Geräte beiträgt und dabei hilft, diese produktiv zu halten. Die Updates werden über verschiedene Kanäle zur Verfügung gestellt (z.B. Windows Server Update Services oder den Microsoft Update-Katalog), worüber diese auch bezogen werden können. Auf den einzelnen Versionsinformationsseiten werden die entsprechenden Releases der vergangenen Versionen gelistet:

Hinweis  Note:  

Es gibt noch weitere Typen von Updatereleases, die bereitgestellt werden können, auf die aber an dieser Stelle nicht weiter eingegangen werden.

Beispiel und Voraussetzungen für die Verteilung eines Updates

Das Update KB5037771 (Betriebssystembuilds 22621.3593 und 22631.3593) erscheint bei Microsoft am 14. Mai 2024 (zweiter Dienstag im Monat) und beinhaltet unter anderem einige Problemlösungen sowie Verbesserungen für Ihr Windows 11, Version 23H2. Es fällt unter

  • Produkt: Windows 11
  • Klassifizierung: Security Updates,

welche Sie beide, für das nachfolgende Szenario, ausgewählt haben. Für den Test- und Freigabeprozess haben Sie folgende Einstellungen festgelegt:

  • Kein Ring: Überspringe diesen Ring und verschiebe Updates direkt in den nächsten Ring, nach Erreichen des Verteilungsstatus Synchronisation.
  • Testring 1: Updates automatisch in Testring 2 verschieben, 10 Tage nachdem das Update in diesem Ring war.
  • Testring 2: Updates automatisch in Freigabering verschieben, 5 Tage nachdem das Update in diesem Ring war.
67_Einstellungen_Test- und Freigabeprozess Konfiguration_Anwendungsbeispiel_966.png

Konfigurationen für das Anwendungsbeispiel

Zusätzlich haben Sie die Einstellung On Demand – nur herunterladen, wenn mindestens ein Client das Update benötigt ausgewählt (System > Einstellungen > Windows Update Management > Optionen > Update-Download-Optionen). Mit dieser Option wird erst bei einer Rückmeldung seitens des Clients der Download der Setup-Dateien angestoßen.

Hinweis  Note:  

Diese Option wird generell empfohlen, da der Speicherplatzbedarf andernfalls enorm hoch ist, da sämtliche Setup-Dateien in Ihr File Repository heruntergeladen werden, auch wenn sie von keinem Client installiert oder benötigt werden.

Bevor das Update an einen Client verteilt und dann auch installiert werden kann, müssen mehrere Arbeitsschritte zuerst abgearbeitet werden, die meistens, vollautomatisch im Hintergrund ablaufen:

1. Das von Microsoft veröffentlichte Update (14. Mai 2024) muss zunächst über die geplanten Serveraufgaben Windows Update Management Metadaten herunterladen (System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Windows Update Management) bezogen werden. Je nach gewählter Startbedingung werden die Metainformationen über die Windows Updates täglich heruntergeladen (Standard Startbedingung: Starte täglich).

Hinweis  Note:  

Der Job läuft in Intervallen, es wird kein konkreter Zeitpunkt genannt, wann der Scanner durchlaufen soll, außer es wird über ein definiertes Zeitfenster eingestellt. Es kann also sein, dass der Job-Scan bereits für den Tag gelaufen ist und erst am darauffolgenden Tag wieder startet.
Alternativ kann der Scan auch über den Button Jetzt starten manuell angestoßen werden.

In diesem ersten Schritt wird ACMP das erste Mal über das neue Update informiert, da es von Microsoft direkt die neuen Informationen erhält.

2.Nachdem die Serveraufgabe erfolgreich durchgelaufen ist, überprüft der Windows Updates Scanner (Client Management > Agentenplaner > Windows Updates Scanner), ob es im System Clients gibt, die das Update als „benötigt“ gemeldet haben. Der Windows Update Scanner muss auf den Clients gestartet werden. Mit den hier enthaltenen Metadateninformationen wird an den Server zurückgemeldet, was an neuen Updates benötigt wird („Ja, benötigen sie“ oder „Nein, kein Bedarf“). Der Agent erhält die Infos und leitet diese an den Server weiter.

Tipp: Die Informationen, ob ein Client ein Update als benötigt gemeldet hat, können Sie auch im Grid des Tabs Updates im Plugin Windows Update Management ablesen.

3. Melden ein oder mehrere Clients das Update als benötigt, wird es über Windows Update Management Setup herunterladen (System > Einstellungen > ACMP Server > Geplante Serveraufgaben > Windows Update Management) heruntergeladen. Auch hier hängt der Zeitpunkt des Downloads von der konfigurierten Startbedingung ab. Sollten keine Änderungen daran vorgenommen worden sein, lautet die Bedingung Starte täglich. Ansonsten kann auch hier der Scan manuell gestartet werden.

Hinweis  Note:  

Beachten Sie auch hier, dass der Scanner mit der Startbedingung „Starte täglich“ in Intervallen läuft und der Job ggf. erst auch am nächsten Tag ausgeführt wird.

4. Das Update wird nun heruntergeladen und freigegeben und laut den Einstellungen des Test- und Freigabeprozess in den Testring 1 verschoben. Laut der Konfiguration des Testrings bleibt das Update dort zehn Tage liegen, ehe es in den Testring 2 verschoben wird. Nach fünf weiteren Tagen im Testring 2, wird es in den Freigabering verschoben.

5. Sobald Sie die Metadaten haben, können Sie bereits mit diesen Angaben eine Collection innerhalb der Windows Update Collection erstellen und die Updates statisch mit der ausgewählten Collection verknüpfen.

6. Hinterlegen Sie die Windows Update Collection in einem Container, damit diese dynamisch die Updates erhalten, so wie Sie sie den Containern zugewiesen haben. Anhand der Containerverteilung können Sie explizit entscheiden, welcher Client zu welchem Zeitpunkt ein Update erhalten darf. Beachten Sie, dass Sie für die korrekte Ausführung Einstellungen festlegen müssen.

Dadurch, dass Sie nicht in den Mechanismus weiter eingegriffen haben, würde eine produktive Verteilung erfolgen.

67_CAWUM_Test- und Freigabeprozess Beispiel Ablauf Update_700.png

Kalenderansicht über das Schema zur Verteilung im Test- und Freigabeprozess

Zusammenfassung und Stichpunkte zum Ablauf:

  • Das Windows Update Management lädt die Metadaten herunter
  • Der Windows Update Scanner überprüft, ob Clients das Update als benötigt gemeldet haben
  • Falls als benötigt gemeldet: Setup-Dateien werden heruntergeladen und in den konfigurierten Test- und Freigabeprozess gelegt, wo es die verschiedenen Ringe durchläuft, bis es im Freigabering angekommen ist
  • Update kann in einer Windows Update Collection verknüpft werden, die dann in einen Container hinterlegt wird
© Aagon GmbH 2024
Besuchen Sie unsere neue Aagon-Community