Deinstallation per Windows Server Update Services (WSUS) installierter Patches
Über die Windows Server Update Services lassen sich Patches nicht nur installieren, sondern auch wieder entfernen. So gelingt die Deinstallation.
Microsofts wichtigstes Werkzeug zur Bereitstellung von Updates im Unternehmensnetzwerk ist der Windows Server Update Service (WSUS), der zu den Bordmitteln aller aktuellen Windows-Server-Versionen gehört. Viele Windows-Administratoren wissen allerdings nicht, dass WSUS auch fehlerhafte Patches von Client-Computern entfernen kann. Vorausgesetzt natürlich, dass WSUS auch dazu verwendet wurde, die Updates zu installieren.
Wenn Sie noch nie bemerkt haben, dass es in WSUS die Schaltfläche Entfernen gibt, liegt das unter Umständen auch daran, dass der Prozess zur Deinstallation von WSUS-Patches etwas unlogisch und unübersichtlich implementiert wurde. Bevor Sie einen Patch entfernen, müssen Sie diesen zuerst zur Deinstallation freigeben.
Dafür öffnen Sie die WSUS-Konsole und erweitern den Updates-Container. Wählen Sie im Fenster das Update aus, welches Sie entfernen möchten. Dieses suchen Sie an der gleichen Stelle wie Aktualisierungen, die installiert werden sollen.
Klicken Sie nach der Auswahl mit der rechten Maustaste auf den Patch, dann können Sie diesen zur Deinstallation freigeben. Dazu wählen Sie die Option Zulassen aus dem Kontextmenü des Patches. Dies führt dazu, dass WSUS das Dialogfeld Updates genehmigen anzeigt.
So genehmigen Sie normalerweise Patches für die Installation über WSUS. Danach klicken Sie mit der rechten Maustaste auf die Computergruppe, von der Sie den Patch entfernen wollen, und wählen dann die Option zum Entfernen aus dem angezeigten Dialogfeld.
Abbildung 1: Updates geben Sie an der gleichen Stelle in der WSUS-Konsole zum Entfernen frei, an der sie auch zur Installation freigegeben werden.
Bevor ich das weitere Vorgehen beschreibe, noch eine wichtige Sache: Wie Sie in Abbildung 1 sehen, ist die Option zur Deinstallation von Patches manchmal ausgegraut und kann dann nicht ausgewählt werden.
Der Grund liegt ganz einfach darin, dass manche Patches nach der Installation nicht mehr deinstalliert werden können. Daran kann dann auch WSUS nichts ändern. Es gibt aber einen Workaround, wie dies trotzdem funktioniert, den ich weiter unten beschreibe.
Beschleunigung der Deinstallation
Wenn Sie sich für das Entfernen eines Patches entscheiden, werden Sie sicher auch wollen, dass der Patch möglichst schnell entfernt wird, da er höchst wahrscheinlich zu Problemen führt, wie vor kurzem erst bei einigen Updates zu Windows 8.1 zu beobachten war.
Glücklicherweise bietet Windows Server Update Service einen Weg, diesen Prozess zu beschleunigen. Diese Funktion lässt sich auch in aktuellen Serverversionen wie Windows Server 2012 R2 durchführen.
Weitere Artikel zum Thema:
WSUS-Updates per PowerShell installieren
Schwächen in WSUS, die Sie kennen sollten
WSUS-Bug verursacht Probleme mit Windows 8.1 Update
Mitarbeiter vor gefährlichen Patches und Updates schützen
Linux-Server-Update mit Spacewalk
Wenn Sie sich Abbildung 1 noch einmal ansehen, werden Sie eine Deadline-Option im Kontextmenü bemerken. Wenn dieser Patch die automatisierte Entfernung unterstützt, könnte die Option Deadline hilfreich sein, den Zeitpunkt der Deinstallation besser zu steuern. Allerdings lässt sich dieser auch nur dann nutzen, wenn der Patch auch deinstalliert werden kann. Hier legen Sie fest, wie schnell der Patch entfernt werden sollte.
Wenn Sie auf die Option Deadline klicken, können Sie also festlegen, wann die Deinstallation erfolgen soll. Sie können verschiedene Zeiten auswählen oder selbst eine Frist eingeben. Wenn Sie wollen, dass der Patch schnell entfernt wird, sollten Sie eine benutzerdefinierte Frist erstellen und ein Datum verwenden, das in der Vergangenheit liegt. Das veranlasst WSUS dazu, den Patch so schnell wie möglich zu deinstallieren, sobald sich ein Client mit dem Server verbindet.
Manuelle Deinstallation eines Patches ohne WSUS
Wenn Sie zur Deinstallation eines Patches WSUS nicht verwenden können, lassen sich die meisten Patches auch manuell von Severn oder Arbeitsstationen entfernen. Die genaue Methode zur Deinstallation eines unerwünschten Patches unterscheidet sich allerdings je nach Betriebssystem. Sie haben aber auch die Möglichkeit, neben der grafischen Oberfläche auch die Befehlszeile oder die PowerShell zum Entfernen zu verwenden.
Abbildung 2: So verwalten Sie installierte Updates.
Sie können also auch ohne WSUS manuell einen unerwünschten Patch von einem Server deinstallieren. In Windows Server 2008 R2/2012/2012 R2 sind die Vorgehensweisen recht identisch: Öffnen Sie die Systemsteuerung und klicken Sie auf Programm deinstallieren.
Klicken Sie danach auf Installierte Updates anzeigen. Sie sehen jetzt eine Auswahl der Updates, die Sie deinstallieren können. Markieren Sie das entsprechende Update und klicken Sie dann auf Deinstallieren. Abbildung 2 zeigt die entsprechende Oberfläche.
Wenn Sie sich entscheiden, einen Patch auf diese Weise zu deinstallieren, sollten Sie WSUS oder jede andere Update-Lösung, die Sie möglicherweise verwenden, entsprechend konfigurieren. Sie müssen nämlich sicherstellen, dass diese Lösung den entsprechenden Patch nicht einfach erneut installiert.
System-Rollback
Wie ich bereits erwähnt habe, können manche Updates per WSUS nach der Installation nicht mehr deinstalliert werden. Wenn Sie einen solchen Patch von einem Server oder einer Arbeitsstation zwingend entfernen müssen, werden Sie wahrscheinlich ein Backup wiederherstellen müssen.
Für Arbeitsstationen haben Sie aber andere Möglichkeiten, die Ihnen in Windows 7 und Windows 8/8.1 zur Verfügung stehen. Dazu verwenden Sie den Computerschutz und Wiederherstellungspunkte des Rechners. Allerdings muss hier auch ein Systempunkt zur Verfügung stehen. Konfiguration und Verwendung sind in Windows 7/8/8.1 identisch.
Abbildung 3: System Protection (Computerschutz) in den Systemeigenschaften
Computerschutz ist eine Windows-Option, die einen Computer durch ein System-Rollback in einen früheren Zustand versetzen kann. Zur Verfügung steht diese aber nur auf Arbeitsstationen, nicht auf Servern. Alle Änderungen, die nach dem Systemwiederherstellungspunkt vorgenommen wurden, gehen damit natürlich ebenfalls verloren.
Normalerweise erstellt Windows automatisch einen solchen Systemwiederherstellungspunkt, wenn ein Update installiert wird. Sie können diese Funktion verwenden, indem Sie mit der rechten Maustaste auf den Menüpunkt Computer (Windows 7) oder Dieser PC (Windows 8) klicken und dann den Befehl Eigenschaften aus dem Kontextmenü aufrufen. Dieser zeigt zunächst die Systemeigenschaften. Jetzt klicken Sie einfach auf den Link Computerschutz um diese Funktion zu verwenden, wie in Abbildung 3 gezeigt.
Die Computerschutz-Funktion ermöglicht es Ihnen, einen PC mit Windows 7/8/8.1 in einen früheren Systemzustand zurückzusetzen. Jetzt können Sie einfach auf die Schaltfläche Systemwiederherstellung klicken und den Systemwiederherstellungs-Assistenten verwenden, um einen Wiederherstellungspunkt auszuwählen, wie in Abbildung 4 dargestellt.
Abbildung 4: Über Wiederherstellungspunkte der Systemwiederherstellung können Sie Ihr System wiederherstellen.
Wählen Sie hier den Wiederherstellungspunkt, den Sie verwenden wollen. Achten Sie aber darauf, dass alle Änderungen ab diesem Moment zurückgesetzt werden – nicht nur die Installation des Patches.
Fazit
Wie Sie sehen, gibt es verschiedene Optionen zur Deinstallation fehlerhafter oder unerwünschter Patches. Trotzdem ist es besser, Patches erst gründlich zu testen, bevor Sie sie installieren. Das ist in jedem Fall besser als zu versuchen, fehlerhaft Patches später wieder zu entfernen.
Über den Autor:
Brien M. Posey, MCSE, hat bereits acht Microsoft MVP-Auszeichnungen für Exchange Server, Windows Server und Internet Information Server (IIS) erhalten. Posey hat als CIO für eine landesweite Krankenhauskette gearbeitet und war für das Department of Information Management in Fort Knox zuständig. Sie finden weitere Informationen zu seiner Person auf seiner Website unterbrienposey.com.
Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!