config-win10 mit Windows 10 Version 1703 und aufwärts

[bademeister]

Hallo zusammen,

also das config-win10 ist ein spitzen Paket für uns, um Windows 10 auch noch vor dem domainjoin und ohne viele GPOs zu konfigurieren.

Der Test mit neuen installfiles zu Version 1703 funktioniert aber leider nicht. Ab dann liefert Windows Update immer einen Fehler mit: 0x80070426 und funktioniert nicht mehr.
Ich gehe davon aus, dass es mit den verschiedenen Windows Update Funktionen (defer_updates, etc.) vom config-win10 und dem abgekündigten Current Business Branch von Windows 10 zusammen hängt.
Dafür gibt es jetzt den Semi-Annual & Semi-Annual (Targeted). Die Idee wäre, das config-win10 hier etwas transparenter zu gestalten und mit den Begriffen von Microsoft zu definieren. Dazu vielleicht auch eine etwas detaillierte Beschreibung was die einzelnen Properties im Windows tatsächlich anstellen und auf welche Windows Version sich das bezieht.
Ich wäre hier bereit zu unterstützen und würde mich gerne einmal abstimmen, wie die nächsten Schritte an dem Paket aussehen.

Freue mich über Feedback und darauf, dass das Paket auch mit den neuen Windows 10 Versionen wieder seinen ausgezeichneten Dienst verrichtet.
Beste Grüße,
Felix

[m.radtke]

Der Test mit neuen installfiles zu Version 1703 funktioniert aber leider nicht. Ab dann liefert Windows Update immer einen Fehler mit: 0x80070426 und funktioniert nicht mehr.

wie wurden denn die Properties gesetzt? Das Paket hat so viele Stellen in denen es rein greift, dass es durchaus zu Seiteneffekten kommen kann. Hast du vielleicht auch disable_updates auf true gesetzt? Das kappt auf jeden Fall die Verbindung zu MS Servern und gibt eine Fehlermeldung aus.

Dafür gibt es jetzt den Semi-Annual & Semi-Annual (Targeted). Die Idee wäre, das config-win10 hier etwas transparenter zu gestalten und mit den Begriffen von Microsoft zu definieren. Dazu vielleicht auch eine etwas detaillierte Beschreibung was die einzelnen Properties im Windows tatsächlich anstellen und auf welche Windows Version sich das bezieht.

IM setupscript sind die Meisten Quellen der Optionen dokumentiert.
leider ändert MIcrosoft teilweise die Sachen nach Lust und Laune. Da verliere ich als Paketmaintainer manchmal auch den Überblick und lasse das Paket erst mal liegen da noch zig andere Dinge auf dem Schreibtisch rumliegen.
im Manual gibt es einen Punkt zu config-win10. Darin ist eine Beschreibung was die Properties machen. Dort ist zum Beispiel auch die Sonderlocke disable_telemetry in der Hinsicht Dokumentiert unter welcher Win10 Version das geht und nicht.

Ich wäre hier bereit zu unterstützen und würde mich gerne einmal abstimmen, wie die nächsten Schritte an dem Paket aussehen.

Gerne können wir miteinander kommunizieren. Ich bin offen für vieles

Gruß
Mathias

[bademeister]

Hallo Matthias,

besten Dank für die schnelle Antwort. Ich bin da leider nicht so vorbildlich, weil die Betreuung unseres opsi-servers von meinen eigentlich Aufgaben etwas entfernt wurde.
Folgende Properties hatte ich gesetzt:

Code: Alles auswählen

change_power_plan = ["balanced"]
config_updates = ["LocalPeerToPeer"] --> auch mit AllowPeerToPeer probiert
defer_upgrade = [true]  --> auch mit false probiert
disable_advertising_id = [true]
disable_cortana = [true]
disable_customer_experience = [true]
disable_defender = [false]
disable_fast_boot = [true]
disable_font_streaming = [false]
disable_handwrite_sharing = [true]
disable_location_sensors = [true]
disable_lock_screen = [false]
disable_mac = [true]
disable_mrt = [false]
disable_onedrive_sync = [true]
disable_sending_feedback = [true]
disable_smbv1 = [true]
disable_telemetry = [true]
disable_updates = [false] --> nie ausgeschaltet
disable_wifi_sense = [false]
flashplayer_autorun = [false]
online_search = [true]
sync_settings = [false]

Ich werde mich die Tage mal mit den Kommentaren im Skript sowie dem Manual beschäftigen.
Aktuell weiß ich, dass Microsoft hier echt einen Krampf veranstaltet was die Update Branches angeht. Erst CBB, jetzt doch wieder nicht, und und und.
Vor allem Version 1607 auf 1703 hat es da ein wenig erwischt, sowie innerhalb von 1703. (https://technet.microsoft.com/de-de/win ... -info.aspx)

Sobald ich mal ein paar Minuten Zeit finde und einen Überblick habe, melde ich mich nochmal, mit einem Vorschlag zum Paket.

Beste Grüße,
Felix

[bademeister]

Hallo zusammen,

ich war nun nochmal ein wenig tätig.
Hinweis vorweg: Alle Aussagen beziehen sich auf installfiles.1709 also Build 16299

Erkenntnis:
Die bisherigen Branches LTSB, CB und CBB wurden komplett geändert.

• LTSB -> fällt weg (Korrektur: wird LTSC - Danke @thomas.besser)
• CB (Current Branch) -> wird Semi-Annual (Targeted) bzw. Halbjähriger Kanal (Zielgruppe)
• CBB (Current Branch for Business) -> wird Semi-Annual bzw. Halbjähriger Kanal -> Meine Empfehlung für opsi-Installationen, da Probleme mit dem client-agent gelöst werden können, bevor die Updates rein kommen

Wenn ich eine rohe Windows 10 Install via opsi (win10-x64 4.0.7.1-10) durchführe und KEIN config-win10 laufen lasse sehen die Update-Einstellungen wie folgt aus:
Bild 1
Genauso wie es sein soll, bei einer Roh-Installation.

Eine Windows 10 Installation (zur Sicherheit habe ich komplett neu installiert auf dem gleichen Client) mit anschließender Ausführung von config-win10 mit folgenden Einstellungen:

Code: Alles auswählen

change_power_plan = ["balanced"]
config_updates = ["LocalPeerToPeer"]
defer_upgrade = [true]  --> auch mit false probiert
disable_advertising_id = [true]
disable_cortana = [true]
disable_customer_experience = [true]
disable_defender = [false]
disable_fast_boot = [true]
disable_font_streaming = [false]
disable_handwrite_sharing = [true]
disable_location_sensors = [true]
disable_lock_screen = [false]
disable_mac = [true]
disable_mrt = [false]
disable_onedrive_sync = [true]
disable_sending_feedback = [true]
disable_smbv1 = [true]
disable_telemetry = [true]
disable_updates = [false]
disable_wifi_sense = [false]
flashplayer_autorun = [false]
online_search = [true]
sync_settings = [false]

Liefert folgendes Bild in den Windows Update Einstellungen:
Bild 2

Hier sollte meiner Meinung nach jedoch ein ähnliches Bild wie oben sein und lediglich der Semi-Annual Channel (ohne Targeted) ausgewählt sein.
Der Link in den config-win10 Kommentaren sagt jedoch:

Gegenüber den Vorgängern von Windows 10 hat der Anwender faktisch keine Wahl mehr, welche Updates installiert werden, was mitunter – auch wegen ständiger Probleme von Updates – für Frust sorgt.

Das Verhalten scheint also "normal" zu sein für Windows.

Eine letzte Information, über die ich bei meinen Recherchen noch gestoßen bin und die für uns als Enterprise User von Interesse sein könnte:

Ironically, one Group Policy option available only in Enterprise and Education editions causes these settings to be completely ignored. If Allow Telemetry is set to 0 (that is, set to the lowest possible level), then Windows Update for Business settings have no effect.

Ich gehe davon aus, dass der Registry-Eingriff "disable_telemetry" gleichbedeutend mit der GPO ist und somit hier ebenfalls Probleme macht. Ein Test hierzu ist noch ausstehend (melde ich gleich nach).

Fazit: Mit den 1709 installfiles scheint es also kein Problem mit config-win10 mehr zu geben. Lediglich Windows 10 ist hier etwas crazy.

Feature-Wunsch: Wir nutzen bei uns auch Office etc. und würden uns freuen über config-win10 auch den Haken "Updates für andere Microsoft-Produkte bereitstellen, wenn ein Windows-Update ausgeführt wird" setzen zu können.

Sorry for long post potato:

Viele Grüße,
Felix

UPDATE:
Hab jetzt eine Neuinstallation mit gleichem config-win10 Properties wie oben ausgeführt. Einzige Änderung: disable_telemetry=false
Hier das Bild 3

Fazit: Trotz defer_upgrad=true ist nicht der Semi Annual, sondern der Semi Annual (Targeted) Channel gewählt. Die Telemetry scheint allerdings wie im Zitat oben erwähnt, einen Konflikt mit den Update Einstellungen auszulösen (Microsoft bringt hier hoffentlich irgendwann einen Fix).

[thomas.besser]

Hinweis vorweg: Alle Aussagen beziehen sich auf installfiles.1709 also Build 16299

Erkenntnis:
Die bisherigen Branches LTSB, CB und CBB wurden komplett geändert.

• LTSB -> fällt weg
• CB (Current Branch) -> wird Semi-Annual (Targeted) bzw. Halbjähriger Kanal (Zielgruppe)
• CBB (Current Branch for Business) -> wird Semi-Annual bzw. Halbjähriger Kanal -> Meine Empfehlung für opsi-Installationen, da Probleme mit dem client-agent gelöst werden können, bevor die Updates rein kommen

Woher hast du die Information, dass "LTSB" wegfällt?

Eine Meldung auf Heise diese Woche sagt da etwas anderes: https://www.heise.de/newsticker/meldung ... 59484.html

Demnach wird das zukünftig nicht mehr "LTSB" sondern "LTSC" heissen.

Gruß
Thomas

[bademeister]

Sorry, da war meine Fantasie etwas zu schnell.
LTSB fällt wohl nicht weg. Hatte ich nur so interpretiert auf Basis dieses Posts: https://docs.microsoft.com/de-de/window ... igure-wufb

Interessant ist, dass sich Sicherheit und Business wohl nicht so verträgt bei Microsoft.

Damit Windows Update for Business-Richtlinien berücksichtigt werden, muss die Telemetriestufe des Geräts auf 1 (einfach) oder höher festgelegt werden. Wenn sie auf 0 (Sicherheit) festgelegt ist, haben Windows Update for Business-Richtlinien keine Wirkung.