Archiv der Kategorie: Gruppenrichtlinien

Gruppenrichtlinien

Teil 13c: Windows 10 Upgrade mit WSUS

Veröffentlicht am von
8

In diesem Teil werde ich das Windows 10 Upgrade mit WSUS konfigurieren. Zuerst muss das Upgrade mittels Registry-Key „erlaubt“ werden. Im Anschluss wird das Upgrade in der WSUS-Konsole approved und los geht’s. Voraussetzung sind die Kurzmitteilungen WSUS für Windows 10 Feature-Upgrades und WSUS-Update KB3159706. Empfehlenswert sind die Kapitel Teil 2: Grundlagen der Gruppenrichtlinien und Teil 6: Windows Server Update Services vorbereiten.

Gruppenrichtlinienobjekt konfigurieren

WMI Filter für Windows 7 Clients erstellen

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. intern erweitern
  4. WMI Filters rechts anklicken > New…
  5. New WMI Filter
    1. Name: Windows 7 Clients
    2. Queries > Add
      1. Namespace: root\cimv2
      2. Query: 
        SELECT * FROM Win32_ComputerSystem WHERE Version LIKE "6.1%" AND ProductType = "1"
    3. Fenster mit OK schließen
      WSUS_Upgrade-008
  6. Fenster mit Save schließen
    WSUS_Upgrade-009

Gruppenrichtlinienobjekt erstellen

  1. Group Policy Objects rechts anklicken > New
  2. New GPO
    1. Name: Allow Windows 10 Upgrade > OK
  3. Allow Windows 10 Upgrade rechts anklicken > Edit…
  4. Computer Configuration\Preferences\Windows Settings erweitern
  5. Registry rechts anklicken > New > Registry Item
    WSUS_Upgrade-032
  6. New Registry Properties
    1. Action: Update
    2. Hive: HKEY_LOCAL_MACHINE
    3. Key Path: SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\OSUpgrade
    4. Value name: AllowOSUpgrade
    5. Value type: REG_DWORD
    6. Value data: 1
      1. Base: Decimal
        WSUS_Upgrade-010
  7. Fenster mit OK schließen

Gruppenrichtlinienobjekt filtern und verknüpfen

  1. Im Detailbereich unter WMI Filtering den folgenden Filter anwenden
    1. Windows 7 Clients
      WSUS_Upgrade-011
  2. Auf den Reiter Details wechseln
  3. GPO Status: User configuration settings disabled
    WSUS_Upgrade-012
  4. Das GPO mit der OU Einfaches-Netzwerk\Arbeitsstationen verknüpfen
  5. Link Order ganz nach oben verschieben
    WSUS_Upgrade-013
  6. Fenster schließen

Das Windows 10 Upgrade in der WSUS-Konsole genehmigen

  1. Als Administrator an WSUS01 anmelden
  2. Server Manager > Tools > Windows Server Update Services
  3. WSUS01\Updates\All Updates markieren
  4. Action > New Update View…
    WSUS_Upgrade-001
  5. Folgenden Update View erstellen
    1. Classification: Upgrade
    2. Name: Upgrades > OK
      WSUS_Upgrade-002
  6. Im Detailbereich folgenden Filter anwenden
    1. Approval: Any
    2. Status: Needed > Refresh
      WSUS_Upgrade-003
  7. Das Upgrade in der Ergebnisliste rechts anklicken > Approve…
    WSUS_Upgrade-004
  8. Approve Updates
    1. Arbeitsstationen anklicken > Approved for Install > OK
      WSUS_Upgrade-005
  9. Fenster mit OK schließen
  10. Lizenzen zustimmen
  11. Approval Progress > Close
    WSUS_Upgrade-006
  12. WSUS01 markieren
  13. Das Upgrade wird heruntergeladen
    WSUS_Upgrade-007
  14. Fenster schließen

Windows 10 Upgrade mit WSUS anwenden

  1. Als USER1 an CLIENT03 anmelden
  2. Start > CMD > Als Administrator ausführen
  3. Mit folgenden Befehl die Übernahme der Gruppenrichtlinie überprüfen 
    gpresult /R /Scope:Computer /User:INTERN\USER1

    WSUS_Upgrade-015

  4. Die Richtlinie wurde übernommen
  5. Start > Regedit
  6. Den Registry-Key überprüfen
    WSUS_Upgrade-014
  7. Der Registry-Key wurde erstellt
  8. Systemsteuerung\System und Sicherheit\Windows Update
  9. Nach Updates suchen
    WSUS_Upgrade-016
  10. Auf Erste Schritte klicken
    WSUS_Upgrade-017
    WSUS_Upgrade-018
  11. Im Logfile des IIS am WSUS01-Server kann man den Download der esd-Datei beobachten
    WSUS_Upgrade-019
  12. Das Setup von Windows 10 erstellt den versteckten lokalen Ordner C:\$Windows.~BT
    WSUS_Upgrade-020
  13. Im Odner C:\$Windows.~BT\Sources\Panther befinden sich die Dateien setupact.txt und setuperr.txt, welche für die Problembehandlung wichtig sein können
    WSUS_Upgrade-021
  14. Windows Update > Annehmen > Jetzt neu starten
    WSUS_Upgrade-023
    WSUS_Upgrade-024 class=“alignnone size-full wp-image-8200″ src=“https://www.einfaches-netzwerk.at/blog/wp-content/uploads/2016/07/WSUS_Upgrade-025.png“ alt=“WSUS_Upgrade-025″ width=“1024″ height=“768″ />
  15. Der Rechner wird neu gestartet
    WSUS_Upgrade-026
  16. Die Dateien werden kopiert
    WSUS_Upgrade-027
  17. Features und Treiber werden installiert
    WSUS_Upgrade-028
  18. Einstellungen werden konfiguriert
    WSUS_Upgrade-029
  19. Weiter
    WSUS_Upgrade-030
  20. Anmelden
    WSUS_Upgrade-031
  21. Fertig
    WSUS_Upgrade-033

Funktioniert auch. Mir persönlich gefällt die Variante mit MDT um vieles besser, weil einfach mehr Möglichkeiten zur Verfügung stehen.

Teil 13: Windows 10 Upgrade vorbereiten

Veröffentlicht am von
Antworten

In diesem Teil werde ich das Windows 10 Upgrade vorbereiten. Den Anfang macht eine Gruppenrichtlinieneinstellung zum Deaktivieren der Microsoft-Anwenderfeatures. Im Anschluss bereite ich die Gerätetreiber für ein HP EliteBook 840 G3 vor, bevor ich diese in meinen OSD Prod Share importiere. Als Grundlage werden die Artikel der Kapitel Gruppenrichtlinien und ADK / MDT / Operating System Deployment benötigt.

Gruppenrichtlinie zum Deaktivieren der Microsoft-Anwenderfeatures konfigurieren

Damit die Windows 10 In-Box Apps nach der Installation nicht aus dem Internet nachinstalliert werden, deaktiviere ich die Microsoft-Anwenderfeatures.

  1. Als Administrator an DC01 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Forest\Domains\intern.einfaches-netzwerk.at\Group Policy Objects erweitern
  4. Standard Client Settings mit Edit… öffnen
    Upgrade-028
  5. Computer Configuration\Policies\Administrative Templates\Windows Components\Cloud Content erweitern
  6. Im Detailbreich die Einstellung Turn off Microsoft consumer experiences mit Edit öffnen
  7. Enabled aktivieren > OK
    Upgrade-029
  8. Alle Fenster schließen
  9. Von DC01 abmelden

Gerätetreiber vorbereiten

  1. Als Administrator an MDT01 anmelden
  2. Gerätetreiber wie im Teil Exkurs – Treiber mit dem HP SoftPaq Download Manager herunterladen beschrieben herunterladen
  3. Die Treiber, welche sich mittels inf-Datei installieren lassen, nach D:\Sourcen\Out-of-Box Drivers\Windows 10 x64\HP EliteBook 840 G3 kopieren
    Upgrade-006
  4. Die Treiber, welche mittels Setup installiert werden müssen, nach D:\Sourcen\Applications\HP\HP EliteBook 840 G3 kopieren
    Upgrade-005
  5. Folgende AutoIt-Scripte erstellen und kompilieren
    1. Conexant HD Audio Driver 
      #cs ------------------------------------------------------------

 AutoIt Version: 3.3.14.1
 Author:         Dietmar's Blog | Noch so ein IT-Blog
 Script Function: Install Software.

#ce ------------------------------------------------------------

; Script Start - Add your code below here

Opt("TrayIconHide", 1)
RunWait("Setup.exe -s -l:C:\Windows\Temp\CNXTHDASup.log")
    2. HP Hotkey Support 
      #cs ------------------------------------------------------------

 AutoIt Version: 3.3.14.1
 Author:         Dietmar's Blog | Noch so ein IT-Blog
 Script Function: Install Software.

#ce ------------------------------------------------------------

; Script Start - Add your code below here

Opt("TrayIconHide", 1)
RunWait("setup.exe /s /v""/qn /lv C:\Windows\Temp\Hotkey_setup.log REBOOT=ReallySuppress""")
    3. HP lt4120 Snapdragon X5 LTE 
      #cs ------------------------------------------------------------

 AutoIt Version: 3.3.14.1
 Author:         Dietmar's Blog | Noch so ein IT-Blog
 Script Function: Install Software.

#ce ------------------------------------------------------------

; Script Start - Add your code below here

Opt("TrayIconHide", 1)
RunWait("setup.exe silent")
    4. HP Wireless Button 
      #cs ------------------------------------------------------------

 AutoIt Version: 3.3.14.1
 Author:         Dietmar's Blog | Noch so ein IT-Blog
 Script Function: Install Software.

#ce ------------------------------------------------------------

; Script Start - Add your code below here

Opt("TrayIconHide", 1)
RunWait("setup.exe /s /v""/qn REBOOT=ReallySuppress""")
    5. Intel Bluetooth 
      #cs ------------------------------------------------------------

 AutoIt Version: 3.3.14.1
 Author:         Dietmar's Blog | Noch so ein IT-Blog
 Script Function: Install Software.

#ce ------------------------------------------------------------

; Script Start - Add your code below here

Opt("TrayIconHide", 1)
RunWait("Setup.exe /quiet /norestart")

Script zum Deinstallieren der Windows 10 In-Box Apps kopieren

In der Kurzmitteilung Entfernen der Windows 10 In-Box Apps habe ich das Entfernen der unerwünschten Windows 10 Apps beschrieben. Im folgenden werde ich das Script einfach in den OSD Prod Share kopieren.

  1. Als Administrator an MDT01 anmelden
  2. Folgende Dateien von D:\OSDBuild\Scripts nach D:\OSDProd\Scripts kopieren
    1. RemoveApps.ps1
    2. RemoveApps.xml

Damit sind alle erforderlichen Dateien verfügbar. Im nächsten Teil konfiguriere ich den OSD Prod Share und erstelle die Task Sequence für mein Windows 10 Upgrade.

Teil 6b: Windows Server Update Services konfigurieren

Veröffentlicht am von
Antworten

Nach der Installation muss ich die Windows Server Update Services konfigurieren. Den Anfang mache ich mit der Verwendung von SSL. Damit wird sichergestellt, dass sich die Clients zum konfigurierten Server verbinden und die Kommunikation verschlüsselt ist. Danach erstelle ich Computergruppen und Automatic Approval Rules. Die Zuweisung der Clients und Server zu den Gruppen und die Verwendung des internen WSUS erfolgt mittels Gruppenrichtlinien.

DNS-Alias für wsus.intern.einfaches-netzwerk.at erstellen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > DNS
  3. DC1\Forward Lookup Zones\intern.einfaches-netzwerk.at rechts anklicken > New Alias (CNAME)…
    WSUS_CONFIG-001
  4. New Resource Record
    1. Alias name: wsus
    2. Fully qualified domain name: wsus.intern.einfaches-netzwerk.at.
    3. Fully qualified domain name for target host: WSUS1.intern.einfaches-netzwerk.at > OK
      WSUS_CONFIG-002
  5. Alle Fenster schließen

WSUS_CONFIG-003

Web Server-Zertifikat anfordern

  1. Als Administrator an WSUS1 anmelden
  2. MMC (Admin) starten
  3. Das Snap-in Certificates für Computer account importieren
  4. Certificates erweitern
  5. Personal rechts anklicken > All Tasks > Request New Certificate…
    WSUS_CONFIG-004
  6. Certificate Enrollment
    1. Before You Begin > Next
    2. Select Certificate Enrollment Policy > Next
    3. Request Certificate
      1. CUSTOM – Web Server Certificate anhaken > More Information is required… anklicken
        WSUS_CONFIG-005
    4. Certificate Properties
      1. Reiter Subject
        1. Alternative name:
          1. Type: DNS
          2. Value: wsus1.intern.einfaches-netzwerk.at
          3. Value: wsus.intern.einfaches-netzwerk.at
            WSUS_CONFIG-006
      2. Reiter General
        1. Friendly name: WSUS Web Server Certificate
        2. Description: HD, 04.08.2015 > OK
          WSUS_CONFIG-007
    5. Enroll
      WSUS_CONFIG-008
    6. Finish
      WSUS_CONFIG-009
    7. Alle Fenster schließen
      WSUS_CONFIG-010

WSUS für die Verwendung von SSL konfigurieren

  1. Server Manager > Tools > IIS Manager
  2. WSUS1\Sites\WSUS Administration erweitern
  3. Auf der rechten Seite auf Bindings… klicken
    WSUS_CONFIG-017
  4. https markieren > Edit…
  5. Edit Site Binding
    1. SSL certificate: WSUS Web Server Certificate > OK > Close
      WSUS_CONFIG-012
  6. Auf der linken Seite unter WSUS Administration ApiRemoting30 markieren
  7. Im mittleren Bereich SSL Settings doppelklicken
    WSUS_CONFIG-013
  8. SSL Settings
    1. Require SSL aktivieren > Apply
      WSUS_CONFIG-014
  9. Für folgende Sites unter WSUS Administration wiederholen:
    1. ClientWebService
    2. DssAuthWebService
    3. ServerSyncWebService
    4. SimpleAuthWebService
  10. Alle Fenster schließen
  11. Command Prompt (Admin) starten
  12. Mit folgendem Befehl SSL für WSUS aktivieren 
    "C:\Program Files\Update Services\Tools\WsusUtil.exe" configureSSL wsus1.intern.einfaches-netzwerk.at

    WSUS_CONFIG-015

  13. Server Manager > Tools > Windows Server Update Services
    WSUS_CONFIG-016

Computergruppen in WSUS konfigurieren

  1. In der Update Services-Konsole auf der linken Seite auf Computers klicken
  2. All Computers rechts anklicken > Add Computer Group…
    WSUS_CONFIG-018
  3. Add Computer Group
    1. Name: Einfaches-Netzwerk > Add
      WSUS_CONFIG-019
  4. Folgende Gruppen zur Gruppe Einfaches-Netzwerk hinzufügen
    1. Arbeitsstationen
    2. Server
      WSUS_CONFIG-020
  5. Auf der linken Seite auf Options klicken
  6. Im mittleren Bereich auf Computers klicken
    WSUS_CONFIG-021
  7. Computers
    1. Use Group Policy or registry settings on computers > OK
      WSUS_CONFIG-022

Automatic Approvals in WSUS konfigurieren

  1. In der Update Services-Konsole auf der linken Seite auf Options klicken
  2. Im mittleren Bereich auf Automatic Approvals klicken
    WSUS_CONFIG-023
  3. Automatic Approvals
    1. Default Automatic Approval Rule markieren > Edit…
      WSUS_CONFIG-024
    2. Edit Rule
      1. Step 1: Select properties
        1. When an update is in a specific classification
        2. When an update is in a specific product
      2. Step 2: Edit the properties
        1. When an update is in Critical Updates, Definition Updates, Feature Packs, Security Updates, Update Rollups,  Updates
        2. When an update is in Office 2013, Silverlight, Windows 10, Windows 7, Windows 8.1
        3. Approve the update for Unassigned Computers, Arbeitsstationen
      3. Step 3: Specify a name: Einfaches-Netzwerk Client Automatic Approval Rule
        WSUS_CONFIG-026
    3. Eine weitere Regel erstellen
      1. Name: Einfaches-Netzwerk Server Automatic Approval Rule
      2. Classification: Critical Updates, Security Updates
      3. Product: Windows Server 2012 R2
      4. Approve for: Server
        WSUS_CONFIG-027
    4. Fenster mit OK schließen
  4. Auf der linken Seite Synchronizations markieren
  5. Auf der rechten Seite auf Synchronize Now klicken
    WSUS_CONFIG-028WSUS_CONFIG-029

Gruppenrichtlinien für die Verwendung von WSUS für Clients und Server konfigurieren

Grundlagen für Gruppenrichtlinien siehe Teil 2ff.

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Group Policy Management
  3. Das GPO CUSTOM – Client Standard Settings zum Bearbeiten öffnen
  4. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update erweitern
  5. Folgende Einstellungen konfigurieren
    1. Configure Automatic Updates > Enabled
      1. Configure automatic updating: 4 – Autodownload and schedule the install
        WSUS_CONFIG-030
    2. Enable client-side targeting > Enabled
      1. Target group name for this computer: Arbeitsstationen
        WSUS_CONFIG-032
    3. Specify intranet Microsoft update service location > Enabled
      1. Set intranet update service for detecting updates: https://wsus.intern.einfaches-netzwerk.at:8531
      2. Set the intranet statistics server: https://wsus.intern.einfaches-netzwerk.at:8531
        WSUS_CONFIG-031
  6. Fenster schließen
    WSUS_CONFIG-033
  7. Das GPO CUSTOM – Server Standard Settings zum Bearbeiten öffnen
  8. Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update erweitern
  9. Folgende Einstellungen konfigurieren
    1. Configure Automatic Updates > Enabled
      1. Configure automatic updating: 3 – Auto download and notify for install
    2. Enable client-side targeting > Enabled
      1. Target group name for this computer: Server
    3. Specify intranet Microsoft update service location > Enabled
      1. Set intranet update service for detecting updates: https://wsus.intern.einfaches-netzwerk.at:8531
      2. Set the intranet statistics server: https://wsus.intern.einfaches-netzwerk.at:8531
  10. Fenster schließen
    WSUS_CONFIG-034

Weitere Informationen