Entweder WSUS oder Microsoft Store

In Unternehmen wird in der Regel eine Update- oder Patch-Managementlösung eingesetzt, um die Aktualisierungen kontrolliert verteilen zu können und den Status im Blick zu haben. Als Bordmittel von Windows Server kommt dabei gerne WSUS zum Einsatz, zudem  setzt so manche Dritt-Anbieterlösung ebenfalls auf diese Rolle.

Mit Windows 8 führte Microsoft den Store ein, um auf den Wegen von Apple zu wandeln und darüber Software bzw. Apps anbieten zu können. Leider hat man sich in Redmond dazu entschlossen, das der App-Store und die Windows Updates mehr oder weniger den gleichen Weg nehmen und das führt leider zu ungewollten Schwierigkeiten.

Verwendet man WSUS können keine Apps oder deren Aktualisierungen aus dem Microsoft Store bezogen werden, der Download scheitert mit dem Code 0x8024500C. Ein Stück weit kann Dual Scan das Thema adressieren, allerdings schafft dies weiteres Ungemach, siehe z.B.

Windows Update und WSUS: Probleme durch Dual Scan

Windows: Den WSUS temporär umgehen

Es gilt daher leider der Satz “Entweder WSUS oder Microsoft Store”. Hat man nun Systeme im Unternehmen die zwingend eine App aus dem Store benötigen gibt es nur wenige Möglichkeiten:

Die betroffene App und ihre Abhängigkeiten auf anderen Wegen beziehen und verteilen (siehe z.B. Itechtics – 2 Ways To Download And Install Appx/AppxBundle Files From Microsoft Store [Offline Installation] ) oder die betroffenen Systeme vom WSUS ausnehmen. Letzteres ist der am häufigsten anzutreffende Workaround, den man mit den Gruppenrichtlinien umsetzen kann.

Die relevanten Richtlinien unter “Computerkonfiguration – Administrative Vorlagen – Windows-Komponenten – Windows Update” lauten:

  • Internen Pfad für den Microsoft Updatedienst angeben – Auf “Deaktiviert” setzen.
  • Keine Richtlinie für Updaterückstellungen zulassen, durch die Windows Update überprüft wird – Auf “Deaktiviert” setzen.

Dieses neue Gruppenrichtlinienobjekt kann entweder auf eine eigens angelegte OU, die die entsprechenden Systeme enthält, angewendet werden oder man legt eine Gruppe an die die Systeme enthält und nutzt die Sicherheitsfilterung. Ersteres ist der (imho) einfachere Weg. Ggf. muss man die Reihenfolge der GPOs noch anpassen, damit die richtigen Einstellungen ankommen.

Nachdem die Einstellungen gesetzt, die Richtlinie übernommen und mindestens einmal der Windows Update-Dienst oder das System neu gestartet wurden funktioniert der Download im Microsoft Store (wieder).

Quellen

ESC.de – Windows Update Richtlinien und Dual Scan

WindowsPro – Dual Scan: Windows Update for Business und WSUS parallel nutzen

2 Kommentare

  1. devslashzero

    Super, da bin ich über Google bei dir fündig geworden. Hatte eben das Problem mit einem Gerät, das sowohl Privat als auch in der Domain benutzt wird. 🙂

    Viele Grüße,
    devslashzero ehem. DJ Andy Miles (lang ist das her 😉 )

  2. Andy

    Ja siehste mal, hättest du doch gleich mal (bei mir) rein geschaut. Kennst den Blog ja schon ein paar Jährchen.

    Und selbstverfreilich weiß ich noch, wer du bist.
    Legst du noch auf?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑