Best-Practice für Installation von Windows-Updates?
Verfasst: 08 Jan 2026, 14:13
Hi!
Ich bastel mir gerade ein OPSI Paket für die Installation von (kumulativen) Updates für Windows 11 (also z. B. windows11.0-kb5071417-x64_......msu)
Mein aktueller Plan ist folgender - eventuell ist dieser aber auch totaler Müll.
Unter "CLIENT_DATA\updates" liegen die zu installierenden .msu (oder auch .cab) Dateien.
Über ein PowerShell Skript werden die Pakete, aufsteigend nach der KB-Nummer, per wusa.exe bzw. dism.exe installiert.
Das Powershell Skript alleine funktioniert eigentlich ganz gut.
- Es wird kontrolliert, ob eine KB-Nummer bereits installiert ist.
- Wenn nein, werden die MSU Dateien problemlos installiert.
- Steht ein Neustart an (Component Based Servicing\RebootPending, WindowsUpdate\Auto Update\RebootRequired) wird das Skript nicht ausgeführt.
- Für einige ExitCodes von wusa und dism mache ich eine Unterscheidung zwischen SUCCESS und ERROR.
Was aber natürlich sein kann ist, dass nach einem Update der Rechner neu gestartet werden muss. Bzw. wenn unter updates mehr als eine msu liegt kann es ja sein, dass nach der ersten Installation ein Reboot gemacht werden müsste, bevor die zweite Datei installiert werden kann/sollte.
Eigentlich müsste ich hier eine Art Staging etablieren. Also dass nach einem Neustart das OPSI-Skript noch einmal durchläuft, ohne das bis dahin der Status auf dem Server auf failed steht. Bei einem nötigen Neustart kann ja erst danach entschieden werden, ob das Update sauber installiert wurde.
Und es kann natürlich auch sein, dass ich den Neustart später manuell durchführen möchte. Weil eventuell noch ein Programm läuft, welches per Hand herunter gefahren werden muss usw. Dafür habe ich einen "prevent_reboot" Parameter in dem OPSI-Paket vorgesehen.
Habe auch noch nicht wirklich viele Erfahrungen mit OPSI Skripten und war bisher immer froh, wenn der Setupdetector alles für mich gebastelt hat.
Daher stehe ich gerade noch ein wenig auf dem Schlauch, was hier gute Vorgehensweisen wären. Aktuell würde ich aus dem opsiscript einfach das PS-Skript aufrufen und je nach Exitcode den Status auf Installed oder Error setzen. Aber das fühlt sich nicht gut an.
Hat jemand hier mehr Erfahrungen mit selbst gebauten Update-Paketen?
Vielen lieben Dank
Thorsten
Ich bastel mir gerade ein OPSI Paket für die Installation von (kumulativen) Updates für Windows 11 (also z. B. windows11.0-kb5071417-x64_......msu)
Mein aktueller Plan ist folgender - eventuell ist dieser aber auch totaler Müll.
Unter "CLIENT_DATA\updates" liegen die zu installierenden .msu (oder auch .cab) Dateien.
Über ein PowerShell Skript werden die Pakete, aufsteigend nach der KB-Nummer, per wusa.exe bzw. dism.exe installiert.
Das Powershell Skript alleine funktioniert eigentlich ganz gut.
- Es wird kontrolliert, ob eine KB-Nummer bereits installiert ist.
- Wenn nein, werden die MSU Dateien problemlos installiert.
- Steht ein Neustart an (Component Based Servicing\RebootPending, WindowsUpdate\Auto Update\RebootRequired) wird das Skript nicht ausgeführt.
- Für einige ExitCodes von wusa und dism mache ich eine Unterscheidung zwischen SUCCESS und ERROR.
Was aber natürlich sein kann ist, dass nach einem Update der Rechner neu gestartet werden muss. Bzw. wenn unter updates mehr als eine msu liegt kann es ja sein, dass nach der ersten Installation ein Reboot gemacht werden müsste, bevor die zweite Datei installiert werden kann/sollte.
Eigentlich müsste ich hier eine Art Staging etablieren. Also dass nach einem Neustart das OPSI-Skript noch einmal durchläuft, ohne das bis dahin der Status auf dem Server auf failed steht. Bei einem nötigen Neustart kann ja erst danach entschieden werden, ob das Update sauber installiert wurde.
Und es kann natürlich auch sein, dass ich den Neustart später manuell durchführen möchte. Weil eventuell noch ein Programm läuft, welches per Hand herunter gefahren werden muss usw. Dafür habe ich einen "prevent_reboot" Parameter in dem OPSI-Paket vorgesehen.
Habe auch noch nicht wirklich viele Erfahrungen mit OPSI Skripten und war bisher immer froh, wenn der Setupdetector alles für mich gebastelt hat.
Daher stehe ich gerade noch ein wenig auf dem Schlauch, was hier gute Vorgehensweisen wären. Aktuell würde ich aus dem opsiscript einfach das PS-Skript aufrufen und je nach Exitcode den Status auf Installed oder Error setzen. Aber das fühlt sich nicht gut an.
Hat jemand hier mehr Erfahrungen mit selbst gebauten Update-Paketen?
Vielen lieben Dank
Thorsten