WSUS-Update KB3159706

Microsoft hat im Mai 2016 das WSUS-Update KB3159706 veröffentlicht. Dieses Update ermöglicht die ESD-Entschlüsselung mit WSUS auf Windows Server 2012 und 2012 R2. Dieses Update kann anstelle bzw. über das Update KB3148812 installiert werden, mit dem es Probleme gegeben hat.

Nach der Installation des Updates KB3159706 kann sich die WSUS-Konsole nicht mit WSUS verbinden, es sind manuelle Schritte notwendig.

WSUS nach der Installation von KB3159706 konfigurieren

  1. Als Administrator an WSUS01 anmelden
  2. Command Prompt (Admin) starten
  3. Folgende Befehlszeile ausführen
    "C:\Program Files\Update Services\Tools\wsusutil.exe" postinstall /servicing

    Windows 10 Feature-Upgrades-006

  4. Server Manager > Manage > Add Roles and Features
  5. Add Roles and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: WSUS01.intern.einfaches-netzwerk.at > Next
    4. Server Roles > Next
    5. Features
      1. .NET Framework 4.5 Features\WCF Services\HTTP Activation > Next
        Windows 10 Feature-Upgrades-007
    6. Confirmation > Install
    7. Results > Close
  6. WSUS01 neu starten

Jetzt kann sich die WSUS-Konsole wieder mit WSUS verbinden.
Windows 10 Feature-Upgrades-008

Hinweis: Dieses Update auszulassen bedeutet, dass das Windows 10 Anniversary Update und zukünftige Feature-Updates nicht mehr mit WSUS verteilt werden können. Windows Server 2016 besitzt diese Funktionalität schon in der RTM-Version.

WSUS für Windows 10 Feature-Upgrades

Um Windows 10 Feature-Upgrades mit WSUS verteilen zu können, muss das Update für Update for Windows Server 2012 R2 (KB3095113) am WSUS-Server installiert werden. Außerdem muss der MIME Type .esd in IIS konfiguriert werden.

Update KB3095113 installieren und IIS konfigurieren

  1. Als Administrator an WSUS01 anmelden
  2. Das Update KB3095113 herunterladen und installieren
  3. Den Server neu starten
  4. Wieder als Administrator an WSUS01 anmelden
  5. Server Manager > Tools > IIS Manager
  6. WSUS01 markieren und im Detailbereich MIME Types doppelklicken
    Windows 10 Feature-Upgrades-001
  7. Im Bereich Actions auf Add… klicken
    Windows 10 Feature-Upgrades-002
  8. Add MIME Type
    1. File name extension: .esd
    2. MIME type: application/octet-stream > OK
      Windows 10 Feature-Upgrades-003
      Windows 10 Feature-Upgrades-004
  9. IIS Manager schließen

Windows 10 Feature-Upgrades in WSUS hinzufügen

  1. Als Administrator an WSUS01 anmelden
  2. Server Manager > Tools > Windows Server Update Services
  3. Auf der linken Seite auf Options > Products and Classifications klicken
  4. Auf den Reiter Classifications wechseln
  5. Upgrades anhaken
    Windows 10 Feature-Upgrades-005
  6. Fenster mit OK schließen

Teil 29a: ConfigMgr-Benutzer und Gruppen anlegen und berechtigen

In diesem Teil lege ich die ConfigMgr-Benutzer und Gruppen an. Im Anschluss erstelle ich den System Management-Container mit dem Tool ADSI Edit und berechtige alle Benutzer und Gruppen.

Siehe: Supported Configurations for Configuration Manager

Benutzer und Gruppen anlegen

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Tools > Active Directory Users and Computers
  3. Folgende Benutzerkonten anlegen:
    1. CM_CP, ConfigMgr 2016 TP Client Push
    2. CM_DJ, ConfigMgr 2016 TP Domain Join
    3. CM_NA, ConfigMgr 2016 TP Network Access
      CM-022
  4. Folgende Gruppen anlegen
    1. Allow-gMSA-SQL
      1. Members: CM1
        CM-023
    2. ConfigMgr Administrators
      1. Members: Administrators, USER1
        CM-004
    3. ConfigMgr Servers
      1. Members: CM1
        CM-018
    4. LocalAdmins
      1. Members: CM_CP
        CM-005
    5. Die Gruppe ConfigMgr Servers zur Gruppe IIS Web Servers hinzufügen
      CM-006

Group Managed Service Account erstellen

Dieser Abschnitt setzt voraus, dass der KDS-Rootkey bereits erzeugt wurde. Siehe Active Directory Federation Services konfigurieren.

  1. PowerShell (Admin) starten
  2. Mit folgendem Befehl das Dienstkonto erstellen
    New-ADServiceAccount -Name gMSA-SQL `
        -DNSHostName cm1.intern.einfaches-netzwerk.at `
        -PrincipalallowedToRetrieveManagedPassword Allow-gMSA-SQL `
        -ServicePrincipalNames MSSQLSvc/cm1:1433,MSSQLSvc/cm1.intern.einfaches-netzwerk.at:1433
  3. CM1 neu starten und als Administrator anmelden
  4. PowerShell (Admin) starten
  5. Mit folgenden Befehlen das Dienstkonto installieren
    Add-WindowsFeature -Name RSAT-AD-Tools
    Install-ADServiceAccount -Identity gMSA-SQL

    CM-008

  6. Alle Fenster schließen

CM_DJ auf die OU Arbeitsstationen berechtigen

  1. Wieder auf DC1 in der ADUC-Konsole die OU Arbeitsstationen rechts anklicken > Delegate Control…
  2. Delegation of Control Wizard
    1. Welcome… > Next
    2. Users or Groups > Add… > CM_DJ > Next
      CM-009
      Weiterlesen