Updates für OS trennen

Updates für OS trennen

Postby husetech » 14.08.2017, 14:27

Hallo Zusammen,

beim letztmaligen nutzen der WSUSOffline Software habe ich ein Problem festgestellt.
Und zwar wollte ich Updates für einen Windows 7 Client bereitstellen, hierbei werden gleichzeitig auch Windows Server 2008 Updates geladen.
Neben den Windows 7 Updates waren mehrere Updates für Windows Server 2008 (R2) dabei welche mir in Bezug auf die Software Global Protect von PaloAlto zum Verhängnis wurden.
Ich rede von ca. 15 Updates die im Endeffekt nicht für Windows 7 gedacht waren, dennoch runtergeladen wurden.

Meine Frage wäre nun, ob man die Updates noch granularer laden kann. Dementsprechend wenn ich einen Windows 7 Client habe, möchte ich nur Windows 7 Updates.
Wäre das Sinnvoll? Was mein Ihr?

Grüße
husetech
husetech
 
Posts: 4
Joined: 14.08.2017, 14:20

Re: Updates für OS trennen

Postby Dalai » 14.08.2017, 14:44

husetech wrote:Ich rede von ca. 15 Updates die im Endeffekt nicht für Windows 7 gedacht waren, dennoch runtergeladen wurden.

Wärst du so nett und stellst diese Liste hier rein? Ich glaub, sonst reden wir um den heißen Brei. Außerdem: Wurden die Updates denn nur geladen oder auch installiert?

Grüße
Dalai
Dalai
 
Posts: 363
Joined: 12.07.2016, 21:00

Re: Updates für OS trennen

Postby husetech » 14.08.2017, 14:52

Sehr gerne.
Nachdem ich die Updates mittel WSUSOflline geladen hatte, habe ich sie in ein Windows 7 Image (.iso) eingebunden um bei der Installation direkt auf dem neusten Stand zu sein.
Windows hat diese Updates installiert, nachdem diese manuell deinstalliert hatte konnte man sie nicht mehr erneut installieren.

Die Liste:
KB2393802 - Windows 7 Update from 2011
KB2525835 - Update for Windows Server 2008
KB2534111 - hotfix for "computername cannot contain only numbers" error
KB2643719 - Update for Windows Server 2008 R2
KB2656356 - .Net 3.5.1 Securityupdate from 2011
KB2706045 - Windows 7 Securityupdate for JScript/VBScript from 2012
KB2716513 - Securityupdate for FTP server module in IIS (2012)
KB2719033 - belongs to KB2716513
KB2758857 - Securityupdate from 2012 to fix a critical RCE vulnerability
KB2765809 - Securityupdate for Windows Server 2008
KB3018238 - Securityupdate from 2014 to fix a critical RCE vulnetability in SChannel
KB3068457 - Securityupdate for Windows Server 2008
KB3075220 - RDP Securityupdate from 2015
KB3076895 - Securityupdate for XML core services from 2015
KB3124275 - Securityupdate for IE 11 from 2016
KB3133043 - Securityupdate for NPS RADIUS DoS vulnerability in Server 2008/2012
KB3148851 - Timezone changes for Russia
KB3153731 - DST Setting change for Chile, Haiti, Marocco
KB3169658 - Securityupdate for Windows Server 2008
KB3177723 - Egypt cancels DST update
KB3182203 - Timezone change for Novosibirsk
KB3203884 - West bank and Gaza move DST end
KB4012864 - DST changes for northern cypress, mongolia

EDIT: Nicht alle Updates sind Server Updates, dennoch sind alle gelisteten Updates nicht für Windows 7 64bit gedacht.

Falls jemand an den Hintergründen interessiert ist, verweise ich mal auf meinen Beitrag im PaloAlto Forum:
https://live.paloaltonetworks.com/t5/General-Topics/Global-Protect-4-0-2-19-only-connects-with-Windows-Administrator/td-p/170681
husetech
 
Posts: 4
Joined: 14.08.2017, 14:20

Re: Updates für OS trennen

Postby Dalai » 14.08.2017, 17:32

husetech wrote:Nachdem ich die Updates mittel WSUSOflline geladen hatte, habe ich sie in ein Windows 7 Image (.iso) eingebunden um bei der Installation direkt auf dem neusten Stand zu sein.

Öhm, das ist etwas völlig anderes, was zudem nichts mit WSUS Offline zu tun hat. Die Integration von Updates in ein Installationsmedium ist eine völlig andere Baustelle. Zudem glaube ich in Erinnerung zu haben, dass DISM (IIRC das Tool, mit dem die Updates ins WIM integriert werden) nicht sicherstellt, dass das Update überhaupt zum Ziel passt; es wird einfach reingebaut. Will sagen: Beim Integrieren von Updates muss man selbst dafür sorgen, dass nur passende Updates integriert werden.

Wenn WSUS Offline normal ausgeführt wird, wird der WUA (Windows Update Agent) gefragt, welche Updates fehlen. Also bestimmt dieser darüber, welche Updates passen, und der kann auch sicherstellen, dass unpassende Updates erst gar nicht in Betracht gezogen werden.

PS: Dein Link verlangt einen Login, so dass da Nicht-Mitglieder nicht lesen können.

Grüße
Dalai
Dalai
 
Posts: 363
Joined: 12.07.2016, 21:00

Re: Updates für OS trennen

Postby aker » 14.08.2017, 21:03

Ich bin mir sicher, dass wir ein paar von den DST-Updates ausschließen können (hinsichtlich superseded & nicht ganz sauberen Eintragungen in der package.xml).
Jedoch macht MS nur auf ziemlich tiefer Ebene Eintragungen, die zwischen Windows 7 und Server 2008 R2 unterscheiden (ist ja letztendlich auch beides der NT 6.1-Kernel).

Hinsichtlich DISM:
DISM prüft, ob ein Update für den entsprechenden Kernel geeignet ist, und installiert dann die als zu aktualisierenden Pakete. Es macht keine genaue Update-Suche, wie WUA dies tun würde (wsusou's UpdateInstaller).
Auch hat DISM Probleme mit damit, Abhängigkeiten und vor allem auch Neustart-Erfordernisse umzusetzen. Dies muss der Benutzer-Sicher stellen. DISM spielt nur den Vermittler für das CBS-System. Updates wie der aktuelle ServicingStack (erfordert Neustart) und Updates mit Abhängigkeiten untereinander (WMF) lassen sich nicht sauber mittels DISM integrieren Das ist aber leider ein Bug im System & müsste durch MS behoben werden.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 2765
Joined: 02.03.2011, 15:32

Re: Updates für OS trennen

Postby husetech » 15.08.2017, 06:39

Beim Integrieren von Updates muss man selbst dafür sorgen, dass nur passende Updates integriert werden.


Achso, jetzt verstehe ich das. Ich dachte die Überprüfung nimmt bereits WSUSOffline vor, da man mit Kontrollkästchen auswählen kann welche Updates man herunterladen möchte.
Aber gut, weiß ich nun bescheid :).
Kennt ihr einen Weg mit dem ich meine heruntergeladenen Updates massenweise überprüfen kann? Ich möchte das nächste mal sicherstellen, dass alle meine Updates auch für mein System sind.

Danke im Voraus!
husetech
 
Posts: 4
Joined: 14.08.2017, 14:20

Re: Updates für OS trennen

Postby aker » 15.08.2017, 08:45

wsusou's UpdateInstaller prüft die Updates, das ist korrekt; DISM tut dies aber nicht.

Massenweise prüfen: nicht wirklich möglich.
Vorschlag: Installation einer Test-VM mit dem UpdateInstaller & Integration der Updates, die in wsusou's Protokoll stehen (C:\Windows\wsusofflineupdate.log).
Wichtig hierbei: wsusou ohne jegliche Extras starten. Die ganzen Sonderfunktionen (IE11 usw.) beherrscht DISM nicht.

Viele Grüße
Wer Rechtschreibfehler findet, darf sie behalten oder an den Meistbietenden versteigern. / Everybody finding a misspelling is allowed to sell it.
aker
aker
 
Posts: 2765
Joined: 02.03.2011, 15:32

Re: Updates für OS trennen

Postby husetech » 15.08.2017, 08:55

Besten Dank!
husetech
 
Posts: 4
Joined: 14.08.2017, 14:20


Return to Anregungen / Suggestions

Who is online

Users browsing this forum: No registered users and 3 guests