Install updates compliant to compatibility list

Install updates compliant to compatibility list

Postby Flocksi007 » 05.09.2019, 18:39

Good evening everyone,

I have a short question about WSUS Offline and installing updates which fit to a compatibility list.

The compatiblitity list includes Updates which were tested by colleagues to be compliant to other software products.
The list includes KB-Numbers which are "Tested successfully" and "Test failed".
But not every Update released by Microsoft was tested and written is in this list.

The problem is, if i update a new Microsoft Client with WSUS-Offline i am just allowed to install the Updates which were "Tested successfully.

Is there a way to do this with WSUS-Offline and how?

Thank you!

Best regards,
Flocksi007
Flocksi007
 
Posts: 4
Joined: 06.03.2019, 19:36

Re: Install updates compliant to compatibility list

Postby aker » 05.09.2019, 18:57

This would be the easy solution:
:arrow: viewtopic.php?f=4&t=4146
:arrow: viewtopic.php?f=4&t=7761

A second, more difficult solution, I wrote a few years ago (I don't know about the compatibility, you'd have to check it).
:arrow: viewtopic.php?f=4&t=5001
:arrow: viewtopic.php?f=4&t=5001&start=60#p16146
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3316
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Install updates compliant to compatibility list

Postby Flocksi007 » 07.09.2019, 17:10

Hi aker,

thank you for your answer.
Okay, i have the same problem like: http://forums.wsusoffline.net/viewtopic.php?f=4&t=5001.

So the next step for me is to read this 9 pages dialog :mrgreen:

A short question to dynamic and static updates.
Dynamic updates are downloaded by wsusou using the Update Catalog File?

Static Updates are Updates which are not included in the Update Catalog and can be manually added to the download/installation?

Thank you!

Best regards, Flocksi007
Flocksi007
 
Posts: 4
Joined: 06.03.2019, 19:36

Re: Install updates compliant to compatibility list

Postby aker » 07.09.2019, 18:45

You have to split wsusou into two parts:
1) the Downloader/Generator
2) the Installer

Both of them use dynamic and static updates.
The static ones are pretty easy to explain:
The downloader has a list of URLs, it should download (stored in the text files inside .\static).
The installer has two kinds of static updates.
Those, which need a kind of special treatment (such as Service Packs, IE, dotNET upgrades (e.g. 4.7.2 -> 4.8)) (behaviour is hardcoded somewhere inside .\client\cmd\DoUpdate.cmd), and those, which are just enforced to be installed (e.g. the most recent Servicing Stack [required as some other updates fail to install without it]) (a list of OS-specific KB-number list in .\client\static).
The dowloader parses wsusscn2.cab/package.xml to determine the links for the dynamic updates and downloads them into their target directory.
The installer just passes wsusscn2.cab to the Windows Update Agent to determine the dynamic updates.

To make it short:
Dynamic updates are determined from wsusscn2.cab and static ones are those, where a special treatment is required or the algorithm wsusou and Windows Update use do not match.
No update (of he static ones), which is inside the static-lists, shouldn‘t be excluded as this may cause wsusou to malcunction. Every optional one can be deselected in UpdateInstaller (or by calling DoUpdate.cmd without any parameter).
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3316
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Install updates compliant to compatibility list

Postby Flocksi007 » 08.09.2019, 08:51

Hi Aker,

I will change to german, it should be more precisely/easier for me to explain what i mean.

Wenn ich alle dynamischen und statischen Updates herunterlade, ist das erstmal kein Problem.
Bei der Installation würde ich dann gerne nur die Updates selektieren die in meiner WhiteList stehen.
Ist das mit der folgenden Vorgehensweise möglich:

1. Deaktivieren der Installation von dynamic Updates:
To avoid dynamic update ID determination during installation, set "skipdynamic=Enabled" in the [Installation] section of your UpdateInstaller.ini file.


2. Einfügen der KB-Nummern (White-List in die statische Definition für den Installer)
2. Adding updates to installation routines

Add an update to installation by inserting its knowledge base ID (KBxxxxxx or simply xxxxxx) into the matching "StaticUpdateIds-<platform>[-<architecture>].txt file (directory "...\client\static\custom"). Please don't forget a trailing <CR><LF>. For example, the updates could be stored under \Client \win \glb; there is checked with every Windows version.


Allerdings ergeben sich noch folgende Unklarheiten/Zweifel
- Wenn ich eine statische Definition für die Installation erstelle, kann ich damit Updates installieren die dynamisch heruntergeladen wurden?
- Wenn ich diese Vorgehensweise wähle, welche Updates werden neben meiner WhiteList noch installiert? Die Updates die im DoUpdate.cmd hardcoded sind und diejenigen die erzwungen werden (z.B. servicing stack)?
- Wo kann ich nachvollziehen welche Updates durch WSUSOU auf meinem Zielsystem installiert wurden? LogFile durchsuchen?

Vielen Dank!

Mit freundlichen Grüßen
Flocksi007
Flocksi007
 
Posts: 4
Joined: 06.03.2019, 19:36

Re: Install updates compliant to compatibility list

Postby aker » 09.09.2019, 11:05

Um den dynamischen Download zu erhalten, dürfen nur Änderungen innerhalb des client-Unterordners durchgeführt werden.

Nun zum Installer-Teil:
Die statisch definierten Updates sind im Ordner .\client\static hinterlegt.
Sie umfassen i.d.R. den Servicing Stack und bei älteren Systemen ohne SHA2-Kompatibilität ein entsprechendes Update.
Die jeweiligen Dateien in .\client\static enthalten neben der KB-Nummer mit wenigen Ausnahmen jedoch auch einen Kommentar, welches Update sich hinter der Nummer verbirgt.
.\client\static\StaticUpdateIds-wupre-w61.txt wrote:kb4490628,March 2019 Servicing stack update for Windows 7 SP1 and Windows Server 2008 R2 SP1
kb4474419,March 2019 SHA-2 code signing support update for Windows 7 and Windows Server 2008 R2
kb3172605,July 2016 update rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
kb2552343,Time-out error occurs when you install a Windows Update package that contains drivers on a computer that is running Windows 7 or Windows Server 2008 R2


In der DoUpdate.cmd sind folgende Update-Typen statisch definiert, da sie eine besondere Behandlung erfordern
- Service Packs (dies beinhaltet auch die Update Rollups 2014-04 und 2014-11 für Windows 8.1)
- Internet Explorer (also der IE-selbst, nicht die Updates für den IE)
- [#] C++ Runtimes (sofern installiert)
- [#] .NET Framework (auch hier bezieht sich das nur auf die Installation der Frameworks und nicht deren Updates)
- [#] Silverlight
- vertrauenswürdige Zertifikate (herausgegeben von MS)
- [#] Remote Desktop Client (betrifft nur Windows 7)
- [#] Windows Defender- / MSSE-Definitionen (sofern installiert)
[#] bedeutet, dass diese Funktion über den UpdateInstaller aktiviert bzw. deaktiviert werden kann.

Die WhiteList kann dann über .\client\static\custom\ (z.B. "StaticUpdateIds-w63.txt" für Windows 8.1 oder "StaticUpdateIds-w100-18362-x64.txt" für ein 64-bit Windows 10 1903) geführt werden.
Da Download und Installer voneinander unabhängig arbeiten, ist es vollkommen egal, wie ein Update heruntergeladen wurde. Der Installer prüft lediglich, ob das genannte Update in seiner Repo enthalten ist.

wsusou legt bei der Installation eine Log-Datei an, welche unter C:\Windows\wsusofflineupdate.log einsehbar ist.

Ich hoffe, alle Fragen beantwortet zu haben. Sollte ich eine überlesen haben oder sich weitere Fragen ergeben, beantworte ich diese gerne.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3316
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi

Re: Install updates compliant to compatibility list

Postby Flocksi007 » 09.09.2019, 16:15

Alles klar, vielen Dank für die ausführlichen Informationen, die im Post vorher gestellten Fragen sind beantwortet! :)

Meine Checkliste:
- "skipdynamic=Enabled" unter "[Installation]" in der UpdateInstaller.ini setzen
- "StaticUpdateIds-w100-x64.txt" (= meine WhiteList, FYI: Ich möchte Windows Server 2016 installieren) liegt unter .\client\static\custom
- in "ExcludeList.txt" im Verzeichnis "client\exclude\custom" die KB-Nummern eintragen die als "Test failed" markiert wurden (ist zwar doppelt gemoppelt und bezieht sich nur auf die dynamischen Updates, sollte aber noch einmal zusätzlich sicherstellen, dass diese Updates nicht installiert werden)

Wenn ich diese Einstellungen treffe, sollten nur die folgende Updates installiert werden...?
- Updates deren KB-Nummer sich in der "StaticUpdateIds-w100-x64.txt" befindet und die in das Repo für w100 heruntergeladen wurden (unabhängig ob als dynamisch oder statischer Download)
- die unter .\client\static bereits durch WSUSOU standardmäßig eingetragenen static-Updates
- Weiterhin alle von dir genannten Punkte:
- Service Packs (dies beinhaltet auch die Update Rollups 2014-04 und 2014-11 für Windows 8.1)
- Internet Explorer (also der IE-selbst, nicht die Updates für den IE)
- [#] C++ Runtimes (sofern installiert)
- [#] .NET Framework (auch hier bezieht sich das nur auf die Installation der Frameworks und nicht deren Updates)
- [#] Silverlight
- vertrauenswürdige Zertifikate (herausgegeben von MS)
- [#] Remote Desktop Client (betrifft nur Windows 7)
- [#] Windows Defender- / MSSE-Definitionen (sofern installiert)


Hab ich das soweit richtig zusammengefasst/verstanden? :)

Rücklesen von installierten Updates:
Gibt es eine Möglichkeiten die auf einem Rechner installierten Updates auszulesen? Ich würde diese dann gerne noch einmal gegenchecken und prüfen ob eventuell Updates installiert wurden die mit "Test failed" gekennzeichnet wurden. Teilweise sind die einzelnen KBs ja wieder in einem kumulativen Update enthalten.

Vielen Dank!

Grüße Flocksi007
Flocksi007
 
Posts: 4
Joined: 06.03.2019, 19:36

Re: Install updates compliant to compatibility list

Postby WSUSUpdateAdmin » 09.09.2019, 16:33

Moin!

Flocksi007 wrote:Gibt es eine Möglichkeiten die auf einem Rechner installierten Updates auszulesen?

Ja, ListInstalledUpdateIds.vbs erzeugt %TEMP%\InstalledUpdateIds.txt.
Ansonsten natürlich über die GUI.

GTW
WSUSUpdateAdmin
Administrator
 
Posts: 2211
Joined: 07.07.2009, 14:38

Re: Install updates compliant to compatibility list

Postby aker » 09.09.2019, 17:22

Für Windows 10 und Server 2016 und neuer würde ich empfehlen, den Build in den Dateinamen aufzunehmen.
Für Server 2016 ist das „14393“.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 3316
Joined: 02.03.2011, 15:32
Location: %SystemRoot%\System32\Boot\winload.efi


Return to Installation / Updating

Who is online

Users browsing this forum: Google [Bot] and 11 guests