Verwenden von Gruppenrichtlinien zum Bereitstellen eines Rollbacks für bekanntes Problem

In diesem Artikel wird beschrieben, wie Sie Gruppenrichtlinien so konfigurieren, dass eine Richtliniendefinition für das Rollback bekannter Fehler (Known Issue Rollback, KIR) verwendet wird, die eine KIR auf verwalteten Geräten aktiviert.

Gilt für:   Windows Server 2019, Version 1809 und höher; Windows 10, Version 1809 und höher

Zusammenfassung

Microsoft hat eine neue Windows-Wartungstechnologie mit dem Namen KIR für Windows Server 2019 und Windows 10, Versionen 1809 und höher, entwickelt. Für die unterstützten Versionen von Windows rollt eine KIR eine bestimmte Änderung zurück, die als Teil einer nicht sicherheitsrelevanten Windows Update-Version angewendet wurde. Alle anderen Änderungen, die als Teil dieser Version vorgenommen wurden, bleiben erhalten. Wenn bei Verwendung dieser Technologie ein Windows-Update eine Regression oder ein anderes Problem verursacht, müssen Sie nicht das gesamte Update deinstallieren und das System zur letzten bekannten guten Konfiguration zurückgeben. Sie können nur die Änderung, die das Problem verursacht hat, zurückrollen. Dieses Rollback ist temporär. Nachdem Microsoft ein neues Update veröffentlicht hat, das das Problem behebt, ist das Rollback nicht mehr erforderlich.

Wichtig

KiRs gelten nur für Nichtsicherheitsupdates. Dies liegt daran, dass das Rollback einer Korrektur für ein Nichtsicherheitsupdate keine potenzielle Sicherheitslücke erstellt.

Microsoft verwaltet den Kir-Bereitstellungsprozess für Nicht-Enterprise-Geräte. Für Unternehmensgeräte stellt Microsoft MSI-Dateien für die KIR-Richtliniendefinition zur Verfügung. Unternehmen können dann Gruppenrichtlinien verwenden, um KIRs in Azure Active Directory-Hybriddomänen (Azure AD) oder Active Directory Domain Services (AD DS) zu bereitstellen.

Hinweis

Sie müssen die betroffenen Computer neu starten, um diese Gruppenrichtlinienänderung anzuwenden.

Der PROZESS

Wenn Microsoft feststellt, dass ein nicht sicherheitsrelevantes Update ein kritisches Regressions- oder ähnliches Problem hat, generiert Microsoft eine KIR. Microsoft kündigt die KIR im Windows Health Dashboard an und fügt die Informationen den folgenden Speicherorten hinzu:

Für Nicht-Unternehmenskunden wendet der Windows Update-Prozess die KIR automatisch an. Es ist keine Benutzeraktion erforderlich.

Für Unternehmenskunden stellt Microsoft eine Richtliniendefinitions-MSI-Datei zur Verfügung. Unternehmenskunden können die KIR mithilfe der Unternehmensgruppenrichtlinieninfrastruktur an verwaltete Systeme weitervermehren.

Um ein Beispiel für eine KIR-MSI-Datei zu sehen, laden Sie Windows 10 (2004 & 20H2) Bekanntes Problem rollback 031321 01.msi.

Eine KIR-Richtliniendefinition hat eine begrenzte Lebensdauer (mindestens ein paar Monate). Nachdem Microsoft ein geändertes Update veröffentlicht hat, um das ursprüngliche Problem zu beheben, ist die KIR nicht mehr erforderlich. Die Richtliniendefinition kann dann aus der Gruppenrichtlinieninfrastruktur entfernt werden.

Verwenden von Gruppenrichtlinien zum Anwenden einer KIR auf ein einzelnes Gerät

Führen Sie die folgenden Schritte aus, um gruppenrichtlinien zum Anwenden einer KIR auf ein einzelnes Gerät zu verwenden:

  1. Laden Sie die MSI-Datei für die KIR-Richtliniendefinition auf das Gerät herunter.

    Wichtig

    Stellen Sie sicher, dass das betriebssystem, das im Dateinamen .msi aufgeführt ist, mit dem Betriebssystem des Geräts, das Sie aktualisieren möchten, entspricht.

  2. Führen Sie die MSI-Datei auf dem Gerät aus. Mit dieser Aktion wird die KIR-Richtliniendefinition in der Administrativen Vorlage installiert.
  3. Öffnen Sie den Editor für lokale Gruppenrichtlinien. Wählen Sie dazu Start aus, und geben Sie dann gpedit.msc ein.
  4. Wählen Sie Lokale Computerrichtlinie > Computerkonfiguration > Administrative Vorlagen KB Problem > ####### XXX Rollback > Windows 10, Version YYMM.

    Hinweis

    In diesem Schritt ist ####### die KB-Artikelnummer des Updates, das das Problem verursacht hat. XXX ist die Problemnummer, und YYMM ist die Windows 10-Versionsnummer.

  5. Klicken Sie mit der rechten Maustaste auf die Richtlinie, und wählen Sie dann Deaktiviert > > bearbeiten OK aus.
  6. Starten Sie das Gerät neu.

Weitere Informationen zur Verwendung des Editors für lokale Gruppenrichtlinien finden Sie unter Arbeiten mit den Richtlinieneinstellungen für administrative Vorlagen mithilfe des Editors für lokale Gruppenrichtlinien.

Verwenden von Gruppenrichtlinien zum Anwenden einer KIR auf Geräte in einer Azure AD- oder AD DS-Hybriddomäne

Führen Sie die folgenden Schritte aus, um eine KIR-Richtliniendefinition auf Geräte anzuwenden, die zu einer Azure AD- oder AD DS-Hybriddomäne gehören:

  1. Herunterladen und Installieren der KIR-MSI-Dateien
  2. Erstellen eines Gruppenrichtlinienobjekts (GPO).
  3. Erstellen und Konfigurieren eines WMI-Filters, der das Gruppenrichtlinienobjekt an wendet.
  4. Verknüpfen Sie das Gruppenrichtlinienobjekt und den WMI-Filter.
  5. Konfigurieren des Gruppenrichtlinienobjekts.
  6. Überwachen Sie die GPO-Ergebnisse.

1. Herunterladen und Installieren der KIR-MSI-Dateien

  1. Überprüfen Sie die Informationen zur KIR-Version oder die Liste der bekannten Probleme, um zu ermitteln, welche Betriebssystemversionen Sie aktualisieren müssen.
  2. Laden Sie die MSI-Dateien der KIR-Richtliniendefinition herunter, die Sie zum Aktualisieren auf den Computer benötigen, den Sie zum Verwalten von Gruppenrichtlinien für Ihre Domäne verwenden.
  3. Führen Sie die MSI-Dateien aus. Mit dieser Aktion wird die KIR-Richtliniendefinition in der Administrativen Vorlage installiert.

2. Erstellen eines Gruppenrichtlinienobjekts

  1. Öffnen Sie die Gruppenrichtlinienverwaltungskonsole, und wählen Sie dann Gesamtstruktur: Domänenname > Domänen aus.
  2. Klicken Sie mit der rechten Maustaste auf Ihren Domänennamen, und wählen Sie dann Gruppenrichtlinienobjekt in dieser Domäne erstellen aus, und verknüpfen Sie es hier.
  3. Geben Sie den Namen des neuen Gruppenrichtlinienobjekts ein (z. B. KIR Issue XXX), und wählen Sie dann OK aus.

Weitere Informationen zum Erstellen von Gruppenrichtlinienobjekten finden Sie unter Create a Group Policy Object.

3. Erstellen und Konfigurieren eines WMI-Filters, der das Gruppenrichtlinienobjekt angewendet

  1. Klicken Sie mit der rechten Maustaste auf WMI-Filter, und wählen Sie dann Neu aus.

  2. Geben Sie einen Namen für den neuen WMI-Filter ein.

  3. Geben Sie eine Beschreibung Ihres WMI-Filters ein, z. B. Filter auf alle Windows 10, Version 2004-Geräte.

  4. Klicken Sie auf Hinzufügen.

  5. Geben Sie in Abfrage die folgende Abfragezeichenfolge ein:

    SELECT version.producttype from Win32_OperatingSystem WHERE Version = <VersionNumber>
    

    Wichtig

    Stellt in dieser Zeichenfolge die Windows-Version dar, auf die das <VersionNumber> Gruppenrichtlinienobjekt angewendet werden soll. Die Versionsnummer muss das folgende Format verwenden (schließen Sie die Klammern aus, wenn Sie die Zahl in der Zeichenfolge verwenden):

    10.0.xxxxx

    dabei ist xxxxx eine fünfstellige Zahl. Derzeit unterstützen KIRs die folgenden Versionen:

    Version Buildnummer
    Windows 10, Version 20H2 10.0.19042
    Windows 10, Version 2004 10.0.19041
    Windows 10, Version 1909 10.0.18363
    Windows 10, Version 1903 10.0.18362
    Windows 10, Version 1809 10.0.17763

    Eine aktuelle Liste der Windows-Versionen und Buildnummern finden Sie unter Windows 10 - Release information.

    Wichtig

    Die Buildnummern, die auf der Windows 10-Versionsinformationsseite aufgeführt sind, enthalten nicht das Präfix 10.0. Um eine Buildnummer in der Abfrage zu verwenden, müssen Sie das Präfix 10.0 hinzufügen.

Weitere Informationen zum Erstellen von WMI-Filtern finden Sie unter Create WMI Filters for the GPO.

  1. Wählen Sie das zuvor erstellte Gruppenrichtlinienobjekt aus,öffnen Sie das Menü WMI-Filter, und wählen Sie dann den gerade erstellten WMI-Filter aus.
  2. Wählen Sie Ja aus, um den Filter zu akzeptieren.

5. Konfigurieren des Gruppenrichtlinienobjekts

Bearbeiten Ihres Gruppenrichtlinienobjekts zur Verwendung der KIR-Aktivierungsrichtlinie

  1. Klicken Sie mit der rechten Maustaste auf das gruppenrichtlinienobjekt, das Sie zuvor erstellthaben, und wählen Sie dann Bearbeiten aus.
  2. Wählen Sie im > GPOName _ > _ Computerkonfiguration > Administrative Vorlagen > **  KB*#######* Problem XXX Rollback** > Windows 10, Version YYMM.
  3. Klicken Sie mit der rechten Maustaste auf die Richtlinie, und wählen Sie dann Deaktiviert > > bearbeiten OK aus.

Weitere Informationen zum Bearbeiten von Gruppenrichtlinienobjekten finden Sie unter Bearbeiten eines Gruppenrichtlinienobjekts aus der GPMC.

6. Überwachen der GPO-Ergebnisse

In der Standardkonfiguration der Gruppenrichtlinie sollten verwaltete Geräte die neue Richtlinie innerhalb von 90 bis 120 Minuten anwenden. Um diesen Prozess zu beschleunigen, können Sie auf betroffenen Geräten ausführen, gpupdate um manuell nach aktualisierten Richtlinien zu suchen.

Stellen Sie sicher, dass jedes betroffene Gerät neu gestartet wird, nachdem es die Richtlinie angewendet hat.

Wichtig

Die Behebung, mit der das Problem eingeführt wurde, wird deaktiviert, nachdem das Gerät die Richtlinie angewendet und dann neu gestartet hat.

Weitere Informationen