Microsoft Patchday 2016 – Revamped

Mit Launch von Windows Server 2016 Ende September wurde der Patchday wie angekündigt für die Windows Server Edition, Windows 10 als auch für Windows 7 und 8.1 umgestellt:

Zum einen wurde das Verfahren umgestellt, zum anderen auch das Intervall.
Beim Verfahren wurde von den bisherigen Einzel-Patches auf kumulative Updates umgestellt, daß heißt jedes monolithische Update enthält alle Korrekturen der letzten Monate.

Die Intervalle bieten wie bisher jeden zweiten Dienstag im Monat Security-Updates — jeden vierten Dienstag sollen davon unabhängig Quality-Updates erscheinen. Wie beschrieben enthalten alle Rollup-Pakete ebenfalls die bisherigen Updates unabhängig von der Patch-Klassifizierung.
Die erste und dritte Woche kann für out-of-band Updates genutzt werden, hier wird der jeweilige Dienstag als regulärer Slot eingeführt.

Das bedeutet, man benötigt auf einem frisch installiertem System lediglich ein aktuelles Rollup-Paket und ist damit auf dem neuesten Stand.

Folgende Tabelle zeigt den geänderten Rhythmus:
Patchday 2016 - © 2016 N.Own

Wenn zukünftig von Update „12B“ gesprochen wird, ist damit der bekannte Patchday am zweiten Dienstag eines Monats gemeint, die Zahl 12 verweist auf den Monat Dezember eines Jahres.
Das Update 12D wäre ein Quality-Patch in der vierten Woche im Monat Dezember.

Das bedeutet zusammengefasst:

  • Patchday Updates & Hotfixes sind zukünftig kumulativ
  • Trennung von Security- und Quality-Updates
  • Anpassung für Out-Of-Band-Updates (OOB)
  • Einführung von 4 Slots je Monat
  • Keine „private hotfixes“ mehr (Quick Fix Engineering – QFE)

Bleibt abzuwarten, ob sich das neue Verfahren mit den geänderten Modalitäten in der Praxis bewährt.

Stay tuned,
N.Own

Windows Updates – GDR & LDR

Für Windows Updates gibt es eine Unterscheidung bei der sogenannten „Service Branch“ hinsichtlich der allgemeinen Verfügbarkeit (General Distribution Release – GDR) und einer eingeschränkten Verteilung (Limited Distribution Release – LDR).
GDR Updates sind in der Regel security updates sowie reguläre updates wie feature packs oder rollups. LDR updates finden Verbreitung unter den Hotfixes und Quick Fix Engineering (QFE) updates und sind zugeschnitten auf ein bestimmtes Kundenszenario, diese sind weniger ausgiebig getestet und sollten auch nur in bestimmten Fällen installiert werden.
Diese Art von Updates ist mit folgendem Passus in den jeweiligen KB Artikeln markiert:

„Dieser Hotfix soll nur der Behebung des Problems dienen, das in diesem Artikel beschrieben wird. Verwenden Sie diesen Hotfix nur auf Systemen, bei denen dieses spezielle Problem auftritt.“

„A supported hotfix is available from Microsoft. However, this hotfix is intended to correct only the problem that is described in this article. Apply this hotfix only to systems that are experiencing this specific problem.“

Dieser Hinweis sollte ernst genommen werden, der Hotfix sollte dann nicht auf bloßen Verdacht eingespielt werden – außer der Fehlerfall tritt in der Umgebung auf, man wurde vom Support darauf hingewiesen ihn einzuspielen oder der Hotfix ist gelistet in einem KB Artikel mit dem Titel „Empfohlene Updates für…“ (Recommended Hotfixes).
Service Pack Dateien gehören beispielsweise generell immer der General Distribution Release an.

Doch was bedeutet die Service Branch?
Typischerweise erhält man GDR Updates über den Windows Update Kanal, LDR Updates erhält man in der Regel vom Microsoft Support oder über den Download eines KB Artikels zu einem Fehlerfall.
Hinweis dazu: GDR Dateien können sich in einem LDR Hotfix befinden, aber nicht umgekehrt.

Siehe dazu:
http://blogs.msdn.com/(…)difference-between-general-distribution-and-limited-distribution-releases.aspx
http://blogs.technet.com/b/mrsnrub/archive/2009/05/14/gdr-qfe-ldr-wth.aspx

Wichtig ist, dass man sich der Service Branch eines Updates bewusst ist.
Wie erkennt man welcher Service Branch die Dateien meines Systems angehören?
https://blogs.technet.microsoft.com/(…)gdr-oder-ldr-hotfix-version-qfe/

Mit Windows 8.1 respektive Windows Server 2012 R2 hat sich das Blatt gewendet, es gibt nur noch eine einheitliche Branch für alle Updates.
Das ist eine positive Entwicklung, da man sich nun bei der Verwendung eines Hotfixes keine Gedanken mehr machen muss auf einer Installation mit GDR Service Branch Dateien über ein Update eine LDR Service Branch Hotfix einzuspielen.
Da mit dem Alter einer Windows Server Installation immer mehr Updates und ggf. auch Hotfixes auf einem System landen, sollte man darauf achten, was man auf einem Windows Server 2008 R2 oder älter einspielt – vor allem, wenn es sich um kritische Systeme wie Failover Cluster handelt.
Wie beschrieben durchlaufen GDR Updates einen wesentlich härteren Testparcours als LDR Updates.

Stay tuned,
N.Own

November 2014 Update Rollup

Heute ist ein kumulatives Update für Windows 8.1 und Windows Server 2012 R2 erschienen. Es enthält alle Hotfixes und Updates seit dem April Update, d.h. es reicht, wenn man das April und dieses November Update einspielt, um seine Systeme auf einem aktuellen Stand zu haben.
Nachdem auf MSDN und TechNet ein ISO zur Verfügung steht inkl. dem April Update, hat man derzeit bestenfalls nur ein Update nachzuziehen.
Das August und September Update ist damit obsolet, da bereits in diesem neu erschienenen Update enthalten.

» http://support.microsoft.com/kb/3000850/en-us (~700 MB)

Eine ausführliche Liste an fixes findet man im oben genannten KB Artikel.

Diese beiden Updates (April & November) sind nun ebenfalls in dem Recommended Updates für Failover Cluster gelistet:

» http://support.microsoft.com/kb/2920151/en-us

Es ist also dringend empfohlen diese Updates einzuspielen.

Stay tuned,
N.Own

Empfohlene Hotfixe für 2008 R2 SP1, 2012 & 2012 R2 Cluster

Folgende KB Artikel sollte man regelmäßig überprüfen nach aktuellen, empfohlenen Hotfixes für Windows Server Failover Cluster:

Recommended hotfixes and updates for Windows Server 2012 R2-based failover clusters:
» http://support.microsoft.com/kb/2920151/en-us
Recommended hotfixes and updates for Windows Server 2012-based failover clusters:» http://support.microsoft.com/kb/2784261/en-us
Recommended hotfixes and updates for Windows Server 2008 R2 SP1 Failover Clusters: » http://support.microsoft.com/kb/2545685/en-us

Für Windows Server 2003 und Windows Server 2008 und 2008 R2 beschreibt Microsoft in folgendem KB Artikel wie Hotfixe und Updates auf einen Cluster auszubringen sind:
How to update Windows Server failover clusters: » http://support.microsoft.com/kb/174799/en-us

Ab Windows Server 2012 empfiehlt sich folgender TechNet Artikel, der die Funktion „Node Drain“ beschreibt: » http://blogs.msdn.com/b/clustering/archive/2012/04/03/10290554.aspx
Ein automatisierter Prozess ist ebenfalls möglich – Cluster Aware Updating (CAU)
» http://technet.microsoft.com/library/hh831694.aspx

Für Hyper-V gibt es ebenfalls empfohlene Hotfixe, je nach Betriebssystemversion:

· Windows Server 2008: » http://technet.microsoft.com/en-us/library/(…)
· Windows Server 2008 R2: » http://social.technet.microsoft.com/wiki(…)2008-r2
· Windows Server 2012: » http://social.technet.microsoft.com/wiki(…)2012
· Windows Server 2012 R2: » http://social.technet.microsoft.com/wiki(…)2012-r2

Stay tuned,
N.Own

Windows Server 2012 R2 – April, August & September Update

Wer heute einen Windows Server 2012 R2 aufsetzt oder betreibt, sollte sicherstellen, dass er die kumulativen Updates » KB2919355 und » KB2975719 sowie » KB2984006 installiert.

Microsoft spricht im Zusammenhang mit dem April Update von „Windows Server 2012 Update“ und „Windows 8.1 Update“, im Zusammenhang mit dem August und September Update von „Windows Server 2012 R2 update rollup“ bzw. „Windows 8.1 update rollup“ und stellt den Erscheinungsmonat voran.
Das August Update KB2975719 und auch das September Update KB2984006 setzen das April Update KB2919355 voraus.

In dem KB Artikel für das August und September Update sind die Neuerungen beschrieben – siehe Abschnitt „Improvements in this update“ respektive „Issues that this update fixes“, für das April Update sind die Neuerungen in dem folgenden Artikel beschrieben:
» http://technet.microsoft.com/en-us/library/dn645472.aspx

Die Updates beinhalten alle bis dahin erschienenen Sicherheitsupdates, aber auch die in den weiterführenden Links beschriebenen Neuerungen und Hotfixe.
Zur Zeit steht über MSDN eine Windows Server 2012 R2 Version mit inkludiertem April Update als Download zur Verfügung.

Stay tuned,
N.Own

Empfohlene Hotfixes – 2008 R2 Cluster

Für Windows Server 2008 R2 gibt es nun auch einen KB Artikel der empfohlenen Hotfixe für Windows Server Failover Clustering. Microsoft empfiehlt diese Hotfixe ggf. zu installieren.

» Recommended hotfixes for 2008 R2-based server clusters

Eine generelle Empfehlung gibt es momentan nicht, bei Einsatz eines Print Clusters sollte man aber das Stability Update KB 976571 installieren.

Empfohlene Hotfixe für Windows Server 2008:
» https://www.cluadmin.de/index.php?p=137
Für Windows Server 2003 SP2:
» https://www.cluadmin.de/index.php?p=297

Stay tuned,
N.Own

Hotfix und Service Pack Installation

Wie patcht man einen Cluster oder wie installiert man ein Service Pack auf einem Cluster? In der Regel geht man genauso vor, wie auf einem Single Server. Man sollte allerdings darauf achten, zuerst den passiven Node zu patchen und ggf. zu booten. Vor der Installation eines Hotfix oder eines Service Packs auf dem aktiven Node sind die Ressourcen auf den passiven, bereits aktualisierten, Node zu verschieben.

Generell sollte man folgende Hotfixe unterscheiden:
» Security Patche (mit und ohne Reboot)
» Service Packs
» Exchange Hotfixe

Security Patche mit Reboot können wie bei einem alleinstehenden Server via WSUS verteilt werden, ein Reboot über die entsprechende GPO ist kein Problem, solange ein Zeitversatz für die Nodes eingerechnet wird. Idealerweise booten die DCs und die einzelnen Nodes zu unterschiedlichen Zeiten. Das betrifft auch Security Patche ohne Reboot.
Genauso wie bei Single Servern sollte man Patche immer in einer Testumgebung bzw. Testservern vorab installieren, um Imkompabilitäten und Probleme mit Treibern, Anti-Viren-Software oder weiterer Drittanbietersoftware auszuschließen.

Um ein Service Pack auf einem Cluster zu installieren, sollte man den Knoten anhalten, bevor man das Setup aufruft (Pause Node). Das Prozedere ist im folgenden KB Artikel detailliert beschrieben:

» http://support.microsoft.com/kb/174799/en-us

Die Service Pack Installation ist wie bei einem Patch abwechselnd möglich, man verfährt hier wie bei einem Rolling Upgrade. Sollte eine Installation tatsächlich nicht klappen, hat man bei einem Cluster noch den aktiven Node und kann ohne Downtime mittels eines Restores des passiven, defekten Nodes wieder zum ursprünglichen Stand zurückkehren.

Eine Besonderheit stellen Exchange 2003 Hotfixe und Service Packs dar, diese können i.d.R. nicht installiert werden, solange der Cluster Service noch läuft.
Man geht zur Installation ähnlich vor wie bei einem regulären Cluster, abgesehen davon, daß vor einem Aufruf des Setups der Cluster Dienst auf dem passiven Node gestoppt wird. Eine Downtime ist dafür ebenso nicht nötig. Im folgenden KB Artikel sind die einzelnen Schritte ausführlich beschrieben (Sektion ‚Clustered server‘):

» http://support.microsoft.com/kb/328839/en-us

Solange man die KB Artikel beherzigt und die Punkte Schritt für Schritt abarbeitet, geht einem die Installation von Service Packs oder Exchange Hotfixes auf einem Cluster recht einfach von der Hand.

Der Vorteil eines Clustersystems ist die Gewissheit zu jedem Zeitpunkt noch einen aktiven, funktionierenden Node online zu haben und der Wegfall des Zeitdrucks, den eine Downtime auf einem Single Server mit sich bringt.

Stay tuned,
N.Own