Konfigurieren von Windows Update-Einstellungen für Azure Update Manager

Azure Update Manager verwendet den Windows Update-Client, um Windows-Updates herunterzuladen und zu installieren. Beim Herstellen einer Verbindung mit Windows Server Update Services (WSUS) oder Windows Update werden vom Windows Update-Client bestimmte Einstellungen verwendet. Viele dieser Einstellungen können verwaltet werden mit:

  • Editor für lokale Gruppenrichtlinien
  • Gruppenrichtlinie
  • PowerShell
  • Direktem Bearbeiten der Registrierung

Update Manager berücksichtigt viele der Einstellungen, die zum Steuern des Windows Update-Clients angegeben werden. Wenn Sie Einstellungen für die Aktivierung Windows-fremder Updates verwenden, verwaltet Update Manager diese Updates ebenfalls. Wenn Sie das Herunterladen von Updates vor der Updatebereitstellung ermöglichen, können Bereitstellungen schneller, effizienter und in der Regel innerhalb des Wartungsfensters durchgeführt werden.

Weitere Empfehlungen zum Einrichten von WSUS in Ihrem Azure-Abonnement und wie Sie Ihre virtuellen Windows-Computer auf sichere Weise auf dem neuesten Stand halten, finden Sie unter Planen Ihrer Bereitstellung für die Aktualisierung von virtuellen Windows-Computern in Azure mithilfe von WSUS.

Vorzeitiges Herunterladen von Updates

Um zu konfigurieren, dass Updates automatisch heruntergeladen werden, ohne sie automatisch zu installieren, können Sie mithilfe der Gruppenrichtlinie die Einstellung „Automatische Updates“ auf „3“ festlegen. Diese Einstellung ermöglicht das Herunterladen der erforderlichen Updates im Hintergrund und benachrichtigt Sie, dass die Updates zur Installation bereit sind. Auf diese Weise behält Update Manager die Kontrolle über die Zeitpläne, ermöglicht aber das Herunterladen von Updates außerhalb des Wartungsfensters. Dieses Verhalten verhindert Maintenance window exceeded-Fehler in Update Manager.

Sie können diese Einstellung in PowerShell aktivieren:

$WUSettings = (New-Object -com "Microsoft.Update.AutoUpdate").Settings
$WUSettings.NotificationLevel = 3
$WUSettings.Save()

Konfigurieren von Neustarteinstellungen

Die unter Konfigurieren automatischer Updates durch Bearbeiten der Registrierung und Zum Verwalten des Neustarts verwendete Registrierungsschlüssel aufgeführten Registrierungsschlüssel können den Neustart Ihrer Computer bewirken, auch wenn Sie in den Einstellungen unter Updatebereitstellung die Option Nie neu starten angegeben haben. Konfigurieren Sie diese Registrierungsschlüssel so, wie es für Ihre Umgebung am besten passt.

Aktivieren von Updates für andere Microsoft-Produkte

Standardmäßig ist der Windows Update-Client so konfiguriert, dass er nur Updates für das Windows-Betriebssystem zur Verfügung stellt. Wählen Sie in Windows Update Online nach Windows-Updates suchen aus. Es wird nach Updates für andere Microsoft-Produkte gesucht, um die Option Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows-Update ausgeführt wird zu aktivieren, um Updates für andere Microsoft-Produkte (einschließlich Sicherheitspatches für Microsoft SQL Server und andere Software von Microsoft) zu erhalten.

Verwenden Sie eine der folgenden Optionen, um die Einstellungsänderung im großen Stil durchzuführen:

  • Führen Sie für Server, die zum Patchen nach einem Update Manager-Zeitplan konfiguriert sind (wobei „PatchSettings“ für die VM auf „AutomaticByPlatform = Azure-Orchestrated“ festgelegt ist), und für alle Windows-Server, auf denen ein früheres Betriebssystem als Server 2016 ausgeführt wird, das folgende PowerShell-Skript auf dem Server aus, den Sie ändern möchten.

    $ServiceManager = (New-Object -com "Microsoft.Update.ServiceManager")
    $ServiceManager.Services
    $ServiceID = "7971f918-a847-4430-9279-4a52d1efe18d"
    $ServiceManager.AddService2($ServiceId,7,"")
    
  • Für Server, auf denen Server 2016 oder höher ausgeführt wird und die kein geplantes Patching über Update Manager verwenden (wobei „PatchSettings“ für die VM auf „AutomaticByOS = Azure-Orchestrated“ festgelegt ist), können Sie dies über Gruppenrichtlinien steuern, indem Sie die neuesten administrativen Vorlagendateien für Gruppenrichtlinien herunterladen und verwenden.

Konfigurieren eines Windows-Servers für Microsoft-Updates

Der Windows Update-Client auf Windows-Servern kann Patches aus einem der folgenden von Microsoft gehosteten Patchrepositorys abrufen:

  • Windows Update: hostet Patches für Betriebssysteme.
  • Microsoft Update: hostet Patches für Betriebssysteme und andere Microsoft-Patches. Beispiel: MS Office, SQL Server usw.

Hinweis

Für die Anwendung von Patches können Sie den Updateclient zum Zeitpunkt der Installation oder später mithilfe der Gruppenrichtlinie oder durch direktes Bearbeiten der Registrierung auswählen. Um die Microsoft-Patches zu erhalten, die nicht für das Betriebssystem gelten, oder um nur die Betriebssystempatches zu installieren, empfehlen wir Ihnen, das Patchrepository zu ändern, da es sich um eine Betriebssystemeinstellung handelt und nicht um eine Option, die Sie in Azure Update Manager konfigurieren können.

Bearbeiten der Registrierung

Wenn das geplante Patchen auf Ihrem Computer mit Azure Update Manager konfiguriert ist, ist die automatische Aktualisierung auf dem Client deaktiviert. Informationen zum Bearbeiten der Registrierung und zum Konfigurieren der Einstellung finden Sie unter Erstanbieter-Updates für Windows.

Patchen mithilfe der Gruppenrichtlinie in Azure Update Manager

Wenn Ihr Computer mithilfe von Azure Update Manager gepatcht wird und automatische Updates auf dem Client aktiviert sind, können Sie die Gruppenrichtlinie verwenden, um vollständige Kontrolle zu erhalten. Führen Sie die folgenden Schritte aus, um das Patchen mithilfe einer Gruppenrichtlinie auszuführen:

  1. Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Update>Endbenutzerumgebung verwalten.

  2. Wählen Sie Automatische Updates konfigurieren aus.

  3. Aktivieren oder deaktivieren Sie die Option Updates für andere Microsoft-Produkte installieren.

    Screenshot: Aktivieren bzw. Deaktivieren der Option zum Installieren von Updates für andere Microsoft-Produkte

Windows Server 2022:

  1. Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Windows Update>Automatische Updates konfigurieren.

  2. Wählen Sie Automatische Updates konfigurieren aus.

  3. Aktivieren oder deaktivieren Sie die Option Updates für andere Microsoft-Produkte installieren.

    Screenshot: Aktivieren bzw. Deaktivieren der Option zum Installieren von Updates für andere Microsoft-Produkte in Windows Server 2022

Festlegen von WSUS-Konfigurationseinstellungen

Update Manager unterstützt WSUS-Einstellungen. Sie können entsprechend den Anweisungen in Internen Pfad für den Microsoft Updatedienst angeben Quellen für die Suche nach und das Herunterladen von Updates angeben. Standardmäßig ist der Windows Update-Client so konfiguriert, dass Updates von Windows Update heruntergeladen werden. Wenn Sie einen WSUS-Server als Quelle für Ihre Computer angeben, schlägt die Update-Bereitstellung fehl, wenn die Updates in WSUS nicht genehmigt sind.

Um Computer auf den internen Updatedienst zu beschränken, aktivieren Sie Keine Verbindungen mit Windows Update-Internetadressen herstellen.

Nächste Schritte

Konfigurieren Sie eine Updatebereitstellung, indem Sie die Anweisungen in Updates bereitstellen befolgen.