Beschreibung:

Neben der Verteilung von Apps kann mit Managed Deploy auch das Durchführen von Updates des Windows Betriebssystems gesteuert werden, und zwar nach den gleichen Grundsätzen wie bei der App-Verteilung (einfach, übersichtlich, flexibel, automatisch). Mit wenigen Klicks kannst Du festlegen, dass beliebige Systeme ausstehende Windows Updates automatisch ermitteln, herunterladen und installieren. Dabei konzentrieren wir uns auf eine fixe Liste der wichtigsten Windows Update Kategorien. Für jedes System wird dann in Managed Deploy angezeigt, ob Windows Updates automatisiert durchgeführt werden, wie der aktuelle Gesamtstatus in Bezug auf die Windows Updates ist und bei Bedarf können auch die einzelnen durchgeführten und die noch ausstehenden Schritte in Bezug auf die Windows Updates angezeigt werden. Dieser Artikel beschreibt die komplette Funktionalität.

INHALTSVERZEICHNIS

• Spezifizieren der Windows Updates
  • Einstellungen in der App-Sammlung
  • Ermitteln der Windows Update Einstellung pro System
  • Durchführung der Windows Updates
• Anzeigen und Rückmeldungen
  • Anzeige, ob Windows Updates durchgeführt werden
  • Windows Updates Logs
    • Gesamtstatus
    • Detaillierte Logs
• Ablaufdiagramm

Achtung: Diese Funktionalität kann auch in Verbindung mit Windows Server Betriebssystemen genutzt werden. Beachte, dass manche Windows Updates einen Neustart des Systems benötigen. Nutze Windows Updates mittels Managed Deploy deshalb mit Bedacht bei Servern, um ungeplante Nichtverfügbarkeiten zu vermeiden!

Spezifizieren der Windows Updates

Zur einfachen Einstellung, welche Systeme Windows Updates durchführen sollen, nutzen wir die gleiche Mechanik wie bei den App-Verteilungen: An einer beliebigen App-Sammlung kann die Funktionalität „Windows Updates“ aktiviert werden. Wenn diese App-Sammlung einer Systemgruppe zugeordnet ist, so werden die Windows Updates für die zugehörigen Systeme der Systemgruppe aktiviert und fortan periodisch durchgeführt.

Einstellungen in der App-Sammlung

Auf der Registerkarte Details einer App-Sammlung befindet sich die Einstellung Windows Updates. Diese bietet drei Auswahlmöglichkeiten: Keine Auswahl, Ja, Nein. Nutze diese Einstellung wie folgt:

• Keine Auswahl: Da App-Sammlungen sowohl für das Spezifizieren von App-Verteilungen als auch für das Durchführen von Windows Updates genutzt werden, ist es auch möglich, dass die gleiche App-Sammlung für beide Zwecke genutzt wird – dort, wo dies sinnvoll ist. Es ist aber ebenso möglich, dass App-Sammlungen nur für einen der beiden Zwecke genutzt werden: Falls keine Apps verteilt werden sollen, so kannst Du einfach keine Apps der App-Sammlung zuordnen (die Registerkarte Apps der App-Sammlung zeigt dann keine Apps an). Und falls diese App-Sammlung nicht dazu genutzt werden soll, um Windows Updates zu definieren, dann benutze Keine Auswahl. Das ist die Standardeinstellung für eine neuangelegte App-Sammlung.
• Ja: Windows Updates sollen durch Managed Deploy durchgeführt werden.
• Nein: Windows Updates sollen explizit nicht durchgeführt werden. Mit dieser Einstellung (und der entsprechenden Priorität der App-Sammlungen, siehe weiter unten) kann sichergestellt werden, dass kritische Systeme (z. B. Server) nicht durch Managed Deploy ein Windows Updates bekommen. 

Achtung: Genau wie bei der Verteilung der Apps gilt auch für die Windows Updates: Eine App-Sammlung wird nur dann beachtet, wenn sie aktiv ist (Feld Status in den Details der App-Sammlung). Um diesen Umstand möglichst klar zu visualisieren, wird der Wert des Feldes Windows Updates überall auf der Bedienoberfläche grau und kursiv dargestellt, wenn die App-Sammlung inaktiv ist. Dies verdeutlicht, dass in diesem Fall diese Einstellung keine Relevanz hat.

Ermitteln der Windows Update Einstellung pro System

Ebenso, wie verschiedene App-Sammlungen für ein System bezüglich der App-Verteilung in Konflikt stehen können, kann das auch bei den Windows Updates passieren (weil entweder mehrere App-Sammlungen der gleichen Systemgruppe zugeordnet sind oder das System in unterschiedlichen Systemgruppen enthalten ist, welche jeweils unterschiedliche App-Sammlungen zugeordnet haben). Auch hier wird automatisch für jedes System ermittelt, welche App-Sammlung diejenige ist, welche letztlich angibt, ob Windows Updates durchgeführt werden oder nicht. Und ebenso wie bei der App-Verteilung spielt dabei die Priorität der App-Sammlung, welche vom Managed Deploy Superuser bestimmt werden kann (siehe auch App-Sammlung: Priorisierung), eine entscheidende Rolle. Im Detail werden folgende App-Sammlungen betrachtet:

• App-Sammlung ist dem System über eine Systemgruppe zugeordnet.
• App-Sammlung ist aktiv.
• App-Sammlung ist für Windows Updates relevant, d. h. die App-Sammlung hat bei Windows Updates nicht Keine Auswahl spezifiziert.

Von allen App-Sammlungen, die diesen Kriterien entsprechen, wird diejenige mit der höchsten Priorität (entspricht der kleinsten Prioritätszahl) bestimmt. Das, was diese App-Sammlung unter Windows Updates eingestellt hat, wird dann für dieses System angewandt. 

Anders ausgedrückt: Es wird für jedes System die App-Sammlung bestimmt, welche dem System zugeordnet ist, für Windows Updates relevant ist und die höchste Priorität hat. Diese App-Sammlung bestimmt, ob auf dem System Windows Updates durchgeführt werden (bei Einstellung Ja) oder nicht (bei Einstellung Nein).

Durchführung der Windows Updates

Für alle von Managed Deploy verwalteten Systeme gilt der folgende Zyklus bezüglich Windows Updates:

1. Das System fragt periodisch bei Managed Deploy nach, ob es Windows Updates durchführen soll. Standardmäßig geschieht das alle 24 Stunden. Dieser Wert kann pro System in der lokalen Managed Deploy Konfigurationsdatei (siehe Wie kann ich das Verhalten des Managed Deploy Clients konfigurieren?) mit dem Konfigurationsparameter HoursBetweenOSUpdateRuns bei Bedarf angepasst werden.
2. Falls es die Antwort bekommt, dass es Windows Updates durchführen soll, so überprüft es (mit Hilfe der Windows Update Agent (WUA) API), ob es für die folgenden Windows Update Kategorien (im Folgenden Patch-Kategorien genannt) neue Patches gibt:
   • Sicherheitsupdates
   • Update Rollups
   • Microsoft
   • Service Packs
   • Feature Packs
   • Tools
   • Aktualisierungen
   • Definitionsaktualisierungen
   • Kritische Aktualisierungen
3. Ist dies der Fall, so durchläuft jeder identifizierte Patch die folgenden Stufen:
   1. Status Ausstehend: Patch wurde als als ein durchzuführendes Windows Update identifiziert.
   2. Herunterladen des Patches. Ist dies erfolgreich, so bekommt der Patch den Status Heruntergeladen, sonst den Status Download fehlgeschlagen.
   3. Installieren des Patches. Ist dies erfolgreich, so bekommt der Patch den Status Installiert, sonst den Status Installation fehlgeschlagen.
   4. Status Neustart erforderlich. Dieser Status wird angezeigt, falls nach der Installation noch ein Neustart durchgeführt werden muss.

Anzeigen und Rückmeldungen

Anzeige, ob Windows Updates durchgeführt werden

Wie weiter oben beschrieben, wird anhand der Einstellungen der zugeordneten App-Sammlungen pro System ermittelt, ob für dieses System Windows Updates durchgeführt werden sollen oder nicht. Dies wird für jedes System an folgenden Stellen angezeigt:

• Die Registerkarte Details enthält das Feld Windows Updates. Dieses zeigt entweder den Wert Inaktiv, falls keine Windows Updates durchgeführt werden; sonst zeigt es den aktuellen Windows Updates Gesamtstatus (siehe weiter unten) an. Ein Klick auf den Gesamtstatus verzweigt auf die Anzeige der detaillierten Windows Updates Logs.
• Alle tabellarischen Darstellungen von Systemen enthalten die Spalte Windows Updates, welche die gleiche Informationen enthält und die gleiche Funktionalität wie das gleichnamige Feld auf der Details-Registerkarte hat.

Windows Updates Logs

Gesamtstatus

Der Gesamtstatus zeigt den kritischsten Zustand aller Patches im aktuellen Zyklus, d. h. den kritischsten Status aller zuletzt für Updates durchgeführten Aktionen.

Reihenfolge (kritischster Status zuerst):

1. Download fehlgeschlagen 
2. Installation fehlgeschlagen 
3. Ausstehend 
4. Heruntergeladen 
5. Installiert 
6. Neustart erforderlich 
7. Aktuell

Der Gesamtstatus wird für ein System auf der Registerkarte Details im Feld Windows Updates und auf der Registerkarte Windows Updates im Kopf angezeigt; ebenso in jeder tabellarischen Ansicht von Systemen.

Detaillierte Logs

Detaillierte Informationen zu den für Windows Updates durchgeführten Schritten findet man pro System auf der Registerkarte Windows Updates. Diese Registerkarte existiert aber nur bei Systemen, die auch wirklich Windows Update durchführen. Mit anderen Worten: Falls das System keine Windows Updates durchführt (Feld Windows Updates zeigt den Wert Inaktiv), so wird die Registerkarte Windows Updates nicht angezeigt. Es werden dabei 2 Darstellungen angeboten, die man in der rechten oberen Ecke auswählen kann: 

• Letzter Update Zyklus: Zeigt alle Patches des aktuellen Zyklus inklusive Anzeige des Gesamtstatus im Kopf (Standardansicht). Für den aktuellen Zyklus wird zur besseren Orientierung in Klammern der Zeitpunkt der letzten Kommunikation im Zyklus angegeben.
• Historie: Zeigt alle abgespeicherten Patches. Alte Patchinformationen werden nach 30 Tagen gelöscht.

Zu jedem Patch wird dabei u. a. der Status der letzten Aktion, die für den jeweiligen Patch durchgeführt wurde, dargestellt. Durch Klick auf diesen Status gelangt man zu einer Detaildarstellung des Patches: Im oberen Bereich werden Details zum Patch selbst angezeigt. Darunter wird die Status Historie angezeigt. Das sind alle bisherigen von Managed Deploy für diesen Patch durchgeführten Schritte inklusive des zugehörigen Status, in tabellarischer Form.

Beachte: Da Managed Deploy mit der WUA API eine systemeigene Funktionalität zum Durchführen der Downloads und der Installationen nutzt, können diese auch unabhängig von Managed Deploy durchgeführt werden. Auch eine Mischung der Schritte ist möglich (manche Schritte werden durch Managed Deploy getriggert, andere Schritte durch andere Funktionalitäten). In den Logs von Managed Deploy werden aber nur die Schritte angezeigt, die auch von Managed Deploy selbst angestoßen wurden. Somit können auch anscheinend unvollständige Patch-Zyklen in den Windows Update Logs angezeigt werden, bei denen aber dennoch nichts mehr zu tun ist, weil andere Schritte außerhalb von Managed Deploy durchgeführt wurden. Um diesem Umstand Rechnung zu tragen, reflektiert der Windows Update Gesamtstatus immer das, was aktuell noch zu tun ist. Er kann also auch dann grün sein, weil nichts mehr zu tun ist, auch wenn die letzten notwendigen Schritte nicht von Managed Deploy durchgeführt wurden und dementsprechend auch nicht in den Logs erscheinen.

Ablaufdiagramm

Für die, denen ein Bild mehr als 1.432 Worte sagt ...