| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| de:services:it_security:wsus:start [2025/03/28 10:33] – [Konfiguration] | de:services:it_security:wsus:start [2025/03/28 11:41] (aktuell) – [Windows 11] |
|---|
| |
| WSUS-Clients kontaktieren den Server, sofern nicht anders konfiguriert, alle vier Stunden, um nach neuen Updates zu suchen. Zusätzlich gibt es eine zufällige Verzögerung von bis zu 30 Minuten, um zu verhindern, dass zu viele Clients gleichzeitig den Server anfragen. Daher kann es einige Stunden dauern, bis Updates nach der Freigabe im Ring tatsächlich von einem Client heruntergeladen und installiert werden. Zudem verschiebt sich der Zeitpunkt des Update-Releases durch Microsoft je nach Winter- oder Sommerzeit um eine Stunde. Wir empfehlen daher, insbesondere bei automatischen Server-Neustarts zum Abschluss der Installation, einen großzügigen Zeitpuffer von 6 Stunden einzuplanen. | WSUS-Clients kontaktieren den Server, sofern nicht anders konfiguriert, alle vier Stunden, um nach neuen Updates zu suchen. Zusätzlich gibt es eine zufällige Verzögerung von bis zu 30 Minuten, um zu verhindern, dass zu viele Clients gleichzeitig den Server anfragen. Daher kann es einige Stunden dauern, bis Updates nach der Freigabe im Ring tatsächlich von einem Client heruntergeladen und installiert werden. Zudem verschiebt sich der Zeitpunkt des Update-Releases durch Microsoft je nach Winter- oder Sommerzeit um eine Stunde. Wir empfehlen daher, insbesondere bei automatischen Server-Neustarts zum Abschluss der Installation, einen großzügigen Zeitpuffer von 6 Stunden einzuplanen. |
| | |
| | ===== Support-Ende von Windows 10 ===== |
| | Microsoft hat angekündigt, den Mainstream-Support für Windows 10 am 14.10.2025 zu beenden. Nach diesem Stichtag werden die monatlichen Sicherheitsupdates nur noch für Windows 11 und einzelne Windows 10 Systeme mit speziellen Enterprise LTSC (Long Term Servicing Channel) oder ESU (Extended Security Updates) Lizenzen angeboten. |
| | |
| | :!: **Um sicherzustellen, dass keine ungepatchten Systeme im Netzwerk und Active Directory verbleiben, werden wir ab dem 14.10.2025 das In-Place-Upgrade auf Windows 11 über die WSUS-Server der GWDG verteilen. Alle kompatiblen Windows 10 Computer, die den WSUS-Service nutzen, werden dann automatisch auf Windows 11 upgraden. Für Computer im Active Directory wird der Neustart zur Installation erzwungen.** |
| | |
| | Wir haben zu dem Thema eine eigene [[https://docs.gwdg.de/doku.php?id=de:services:it_security:windows11:start|Info-Seite]] eingerichtet. |
| | |
| ===== Windows 11 ===== | ===== Windows 11 ===== |
| | Da Microsoft die Funktionsupdates für Windows 11 mit den In-Place-Upgrades von Windows 10 auf 11 [[https://docs.gwdg.de/doku.php?id=de:services:it_security:windows11:start#warum_muessen_windows_10_clients_in_zukunft_in_eine_andere_wsus-zielgruppe|kombiniert hat]], können wir diese Funktionsupdates bis zum Support-Ende von Windows 10 nicht in den regulären Ring-Zielgruppen verteilen. Wir haben deshalb eine separate WSUS-Zielgruppe **Win11** eingerichtet, die vorübergehend genutzt werden kann. Windows 10 und Windows 11 Clients in dieser Zielgruppe werden auf Windows 11 24h4 aktualisiert. |
| | |
| | Im Active Directory haben wir zwei separate Gruppenrichtlinien eingerichtet: |
| |
| **Funktionsupdates**: Alle Zielgruppen befinden sich auf der finalen Windows 10 Version 22h2. Für Windows 11 veröffentlicht Microsoft Funktionsupdates jedoch nur noch gebundelt mit einem In-Place-Upgrade von Windows 10 auf 11. Um Ihre Clients nicht ungewünscht zu upgraden, können wir die Funktionsupdates für Windows 11 somit zur Zeit nur in einer separaten Zielgruppe **Win11** freigeben. Bitte achten Sie darauf, dass die ursprüngliche Release-Version von Windows 11, 21h2, nur bis zum 10.10.2024 unterstützt wird und kümmern Sie sich rechtzeitig um ein Upgrade der betroffenen Clients. | * **GWD WSUS Client In-Place-Upgrade to Win11**: Aktualisiert Windows 10 und Windows 11 Clients auf Windows 11 24h2 |
| | * **GWD WSUS Client Ring-2 [Win11 FU]**: Aktualisiert nur Windows 11 Clients auf Version 24h2 |
| |
| **In-Place-Upgrade**: Der Mainstream-Support für Windows 10 endet am 14.10.2025. Wir empfehlen, das In-Place-Upgrade bereits jetzt auf so vielen Clients wie möglich durchzuführen und den Ersatz für inkompatible Computer zu planen. Bis zum Ende des Mainstream-Supports bieten wie das In-Place-Upgrade über WSUS als Opt-In-Lösung an - ordnen Sie dafür einfach Ihre Windows 10 Clients in die Zielgruppe **Win11** ein. Die monatlichen Sicherheitsupdates für Windows 11 erhalten Sie anschließend auch in den regulären Ring-Zielgruppen. | |
| |
| ===== Weitere Informationen ===== | ===== Weitere Informationen ===== |
| |
| **Alte Zielgruppen**: Alle Computer, die zuvor mit den Zielgruppen "ServerAll" und "ServerAll-FU" konfiguriert waren, wurden in "Ring-2" eingeordnet. Bitte verwenden Sie diese Zielgruppen nicht mehr. | **Alte Zielgruppen**: Alle Computer, die zuvor mit den Zielgruppen "gwdg", "ServerAll" und "ServerAll-FU" konfiguriert waren, wurden in "Ring-2" eingeordnet. Bitte verwenden Sie diese Zielgruppen nicht mehr. |
| |
| **Neue Server-Adresse**: Im Zuge der Umstellung auf die neue WSUS-Umgebung hat sich die IP-Adresse des Servers auf ''134.76.16.243'' geändert. Bitte prüfen Sie bei Update-Problemen die Erreichbarkeit dieser Adresse über Port 8531 und 8530. | **Neue Server-Adresse**: Im Zuge der Umstellung auf die neue WSUS-Umgebung hat sich die IP-Adresse des Servers auf ''134.76.16.243'' geändert. Bitte prüfen Sie bei Update-Problemen die Erreichbarkeit dieser Adresse über Port 8531 und 8530. |
| |
| **Ports**: WSUS nutzt Port 8531 (HTTPS) um die Meta-Daten der Updates verschlüsselt zu übertragen. Der tatsächliche Update-Content wird signiert über Port 8530 (HTTP) heruntergeladen. Bitte achten Sie darauf, dass Ihre Clients den WSUS-Server über beide Ports kontaktieren können. Die früher genutzten Ports 443 und 80 werden nicht länger unterstützt. | **Ports**: WSUS nutzt Port 8531 (HTTPS) um die Meta-Daten der Updates verschlüsselt zu übertragen. Der Update-Content wird signiert über Port 8530 (HTTP) heruntergeladen. Bitte achten Sie darauf, dass Ihre Clients den WSUS-Server über beide Ports erreichen können. Die früher genutzten Ports 443 und 80 werden nicht länger unterstützt. |
