Jans Cloud

Microsoft Edge per WSUS patchen

Kurz notiert: Damit der Microsoft Edge per WSUS gepatched wird sollte folgende Policy aus der „msedgeupdate.admx“ gesetzt werden:

Damit werden die Edge Chromium eigenen Update Routinen deaktiviert und die Updates lediglich vom WSUS bezogen und je nach Konfiguration zeitnah nach der Genehmigung bzw. im vorgesehenen Patch-Fenster installiert. Wer die häufig erscheinenden MS Edge Updates nicht reihenweise händisch am WSUS freigeben möchte und mit einer automatischen Genehmigung arbeitet, der könnte die o.g. Policy auch folgendermaßen einrichten:

In dieser Konfiguration würden ebenfalls die Edge eigenen Update Routinen nach Updates suchen und diese entsprechend automatisiert (am WSUS vorbei) installieren. Praktischerweise reported der Client seinen Status dann dennoch an den WSUS, sodass früher oder später auch ein grüner Haken am Client ist. Ob das Update hier vom WSUS oder von Microsoft direkt ausgeliefert wird, ist im Grunde reine Glücksache wer das Update zuerst „meldet“ und welche Update-Routine (WSUS oder Edge) zuerst angefragt wird.

Die gesuchte Lösung noch nicht gefunden oder benötigen Sie Hilfe bei anderen Themen aus meinem Blog? Nehmen Sie gerne Kontakt mit mir bzw. meinem Unternehmen Jan Mischo IT auf. Ich freue mich auf Ihre Anfrage: https://janmischo.it/kontakt/


+49 2801 7004300

info@janmischo.it

Beitrag veröffentlicht

in

, ,

von

Jan Mischo

Schlagwörter:

, , ,

Kommentare

9 Antworten zu „Microsoft Edge per WSUS patchen“

  1. Edge Chromium per WSUS verteilen – Jans Cloud

    […] der WSUS (Windows Server Update Service) – wie bereits beschrieben – zum Patchen des Edge Browsers auf den Clients genutzt wird, kann der WSUS jetzt ebenfalls den Edge Chromium verteilen bzw. eher […]

    Antworten
  2. TJ.Hooker

    Erst mal DANKE für den Blog-Eintrag!

    Ich habe die o.g. GPO gesetzt, am Ende führt das zu einem Registry-Eintrag am Client unter HKLM\Software\Policies\Microsoft\EdgeUpdate.

    Updates werden wie hier beschrieben am WSUS angezeigt und nach Genehmigung durch den Client heruntergeladen.

    Leider funktioniert im Anschluss die Installation des Updates am Client nicht. Das klappt erst, wenn ich den o.g. Reg.-Key lösche (musste ich auch schon machen, um die Edge-Enterprise-MSI überhaupt erstmalig installieren zu können).

    Das ist m.E. ein „die Katze beißt sich in den Schwanz“-Problem, denn wenn ich den Key (dauerhaft) lösche, holt der Edge sich seine Updates direkt von MS, was ich bei ~250 PCs im LAN nicht möchte.

    Gibt es dazu evtl. eine Idee oder gar eine Lösung?

    Antworten
    1. Jan Mischo

      Moin,

      bitte. 🙂 An welcher Stelle (Windows Update Client oder Edge interner Updater) versuchst du das Update zu installieren?
      Wenn die Policy auf „Updates disabled“ konfiguriert ist, kann das Update nur noch per WSUS und WU Client kommen. Der WU Client sollte dir (und dem WSUS) dann aber auch einen Fehler melden. „Notfalls“ auch mal in den Logs gucken: Get-WindowsUpdateLog

      Viele Grüße
      Jan

      Antworten
  3. TJ.Hooker

    Die Policy steht auf „Update disabled“, daher kommt das Update über den WSUS. Bei dem Versuch des WU-Clients, das vom WSUS heruntergeladene Update zu installieren, läuft das Ganze dann aber in einen Fehler (jetzt an mehreren APCs getestet; Fehler aus dem Ereignisprotokoll s. unten).

    Identisches Fehlerbild hatte ich auch schon, als ich die Edge-Chromium-Enterprise-MSI auf dem Client erstmalig installieren wollte. Auch das funktionierte nur, nachdem ich „HKLM\Software\Policies\Microsoft\EdgeUpdate“ gelöscht hatte.
    Und genau so verhält es sich jetzt eben auch mit dem Update.

    *******************************************************************

    Product: Microsoft Edge — Error 1722. There is a problem with this Windows Installer package. A program run as part of the setup did not finish as expected. Contact your support personnel or package vendor. Action DoInstall, location: C:\Windows\Installer\MSI96A1.tmp, command: /silent /install „appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft Edge&needsAdmin=True&usagestats=0&ap=stable-arch_x64“ /installsource enterprisemsi /appargs „appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&installerdata=%7B%22distribution%22%3A%7B%22msi%22%3Atrue%2C%22system_level%22%3Atrue%2C%22verbose_logging%22%3Atrue%2C%22msi_product_id%22%3A%22B0A973DA-20EB-3CC8-AA49-9A27C459B7D3%22%2C%22allow_downgrade%22%3Afalse%2C%22do_not_create_desktop_shortcut%22%3Afalse%2C%22do_not_create_taskbar_shortcut%22%3Afalse%7D%7D“

    Antworten
    1. Jan Mischo

      Hi,

      wenn das mit identischem Fehler auch bei einer Neuinstallation passiert, würde ich mal versuchen per „msiexec“ das Edge MSI (msiexec.exe /i ) zu installieren und im Log suchen. Wenn sich da nichts brauchbares findet:

      1. blanken Testclient schnappen
      2. in eine eigene, neue OU packen
      3. GPO Vererbung deaktivieren
      4. neues GPO erstellen, nur die Edge Update Policy konfigurieren und verlinken
      5. Testen / ggfs. wieder per „msiexec“ und Logging

      Gruß
      Jan

      Antworten
      1. TJ.Hooker

        Fehler gefunden:
        Ich hatte – peinlicherweise – unter

        „Computerkonfiguration\Richtlinien\Administrative Vorlagen\ Microsoft Edge-Update\Anwendungen“

        den Punkt

        „Standardeinstellung für Installation zulassen“

        auf „Deaktiviert“ stehen….

        Zu meiner Entschuldigung kann ich anführen, dass ich irgendwo gelesen hatte, das so setzen zu müssen, um den Edge-Self-Updater abzuschalten.

        Antworten
        1. Jan Mischo

          Hehe, danke für die Rückmeldung! Kenne solche „Probleme“ selber ganz gut. 😀

          Antworten
  4. IceBeer

    Hallo,
    gibt es auch eine Möglichkeit, dass der Edge mit seiner internen Update Routine den WSUS befragt und nicht zwingend ins Internet muss?
    Quasi so wie es der Defender kann/macht,.
    Oder kann der Edge echt nur entweder oder?

    Gruß IceBeer

    Antworten
    1. Jan Mischo

      Hi IceBeer,

      AFAIK geht nur entweder oder. Was würdest du für ein Szenario mit der internen Routine und WSUS erschlagen wollen?

      Gruß
      Jan

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..