NWC Services Blog
Enterprise Deployment von Internet Explorer 11
Viele Unternehmen scheuen das Update des Internet Explorer 8 auf eine neue Version, da viele (speziell unternehmensinterne) Websites genau auf die Version 8 zugeschnitten sind und damit ein erheblicher Aufwand beim Update des Browsers zu erwarten ist.
Mit Einführung des Enterprise Mode mit Internet Explorer 11 und der Verfügbarkeit des IE 11 auf Windows 7 hat Microsoft nun auf diese Problematik reagiert. Der Enterprise Mode gestattet es der zentralen IT, eine Liste von Websites zu pflegen, für die der Internet Explorer automatisch in einen IE 8 Kompatibilitätsmodus schaltet.
Parallel dazu wird der User in die Lage versetzt, auch eigenständig für vereinzelte Webseiten den Enterprise Mode zu aktivieren. Eine detaillierte Erläuterung über den EM kann der Website http://blogs.technet.com/b/stephanus/archive/2014/04/09/ie11-enterprise-mode-for-internet-explorer.aspx entnommen werden. Nichtsdestotrotz verursacht der IE 11 für eine erfolgreiche Verteilung im Unternehmen einige Tätigkeiten und sowohl beim Deployment als auch bei der Konfiguration erheblichen Aufwand.
Folgend ist exemplarisch erläutert, welche einzelnen Schritte bei der Einführung des IE 11 durchgeführt werden müssen:
- Definition der Zielplattformen
Für den IE 11 werden unterschiedliche Binaries für Windows 7 x86, Windows 7 x64 und Windows Server 2008 R2 angeboten. Zudem muss für jede Sprache ein passendes MUI Pack installiert werden. - Feststellen des Patch Level
Der IE 11 erfordert einige Patche für die Ausführung des Setups und 1 IE Patch nach der Installation um den Enterprise Mode zu aktivieren. - Wahl der Konfigurationsmethode
Der IE 11 kann über GPOs, GPPs, die Registry/DSM/Powershell, das IEAK, ein UEM Tool oder im "worst case" mit einer Mischung aus allem konfiguriert werden. Grundsätzlich ist die einheitliche Konfiguration mit den aktuellen für IE 11 bereitgestellten ADMX Files zu empfehlen. Diese finden sich nach der Installation des IE 11 in den lokalen PolicyDefinitions. Auf GPPs sollte vollständig verzichtet werden. Sollen auch Clients verwaltet werden, die nicht Mitglied einer Domain sind, liegt die Konfiguration via IEAK nahe. Ein guter Vergleich der verschiedenen Konfigurationsmöglichkeiten findet sich unter http://www.windowspro.de/wolfgang-sommergut/zentrale-ie-konfiguration-internet-explorer-wartung-vs-gpo-vs-ieak.
Erstellen des DSM Paketes
Das DSM Paket muss sowohl die Voraussetzungen, als auch den Internet Explorer installieren. Als selbstverständlich ist die Implementierung einer Reparatur und einer Uninstall Routine zu betrachten. Auch ist zu empfehlen, nur mit Einwilligung eines u.U. angemeldeten Benutzers das Setup zu starten. Der Ablauf im Paket lässt sich grob wie folgt darstellen:
- Angemeldeten Benutzer fragen
- Ggf. folgende Patche installieren:
Windows6.1-KB2729094-v2-x64.msu
Windows6.1-KB2731771-x64.msu
Windows6.1-KB2533623-x64.msu
Windows6.1-KB2670838-x64.msu
Windows6.1-KB2786081-x64.msu
Windows6.1-KB2834140-v2-x64.msu
Windows6.1-KB2888049-x64.msu
Windows6.1-KB2882822-x64.msu - Den IE 11 als CAB Datei mit Hilfe von dism.exe integrieren
- Deaktivieren der Auto-Update Funktion des IE 11
- Die Pakete IE-Hyphenation-en.msu und IE-Spelling-en.msu installieren
- Ggfs. den Patch IE11-Windows6.1-KB2929437-x64.msu installieren
- Installation der MUI Pakete
Sollten MUI Pakete nicht pauschal auf jeden Client verteilt werden, wird für jedes MUI Paket zur Minimierung der Staging-Menge ein eigenes Paket erstellt und so zugewiesen, dass nur Policyinstanzen errechnet werden, wenn die entsprechende Sprache auch wirklich benötigt wird. - Client neustarten oder auf Neustart durch den Benutzer warten
Auf keinen Fall sollten vor dem Neustart Installationen laufen, die einen installierten IE voraussetzen. - Diese Schritte werden für jede weitere Zielplattform wiederholt
Nach der Paketierung des IE 11 muss auch die Konfiguration durchgeführt werden. Folgende Schritte sind hierfür notwendig:
- Einspielen der ADMX Dateien für IE 11 (idealerweise Test-AD)
- Testen des IE 8 mit neuen ADMX files
- Speziell bei Unternehmen, die lange kein Internet Explorer Update durchgeführt haben, bietet es sich an, neue GPOs zu erstellen, die nur für den IE 11 ziehen. Dabei müssen die bestehenden GPOs möglichst nur für den "alten" Internet Explorer anziehen. Umgesetzt wird dies mit Hilfe zweier WMI Filter die wie folgt definiert werden können:
IE 11
SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version>"10.0"
IE OLD
SELECT path,filename,extension,version FROM CIM_DataFile WHERE path="\\Program Files\\Internet Explorer\\" AND filename="iexplore" AND extension="exe" AND version<"11.0" - Bei der Definition der neuen GPOs sollte jede einzelne Einstellung genau betrachtet und der Grund für die Konfiguration der Einstellung dokumentiert werden. Die Definition der Group Policies sollte feststehen, bevor diese erste Testuser für die Validierung der zu nutzenden Internet- / Intranet Seiten den IE 11 erhalten.
- Sollte es Workgroup Clients geben, müssen die GPOs ggsf. "nachgebaut" werden (Powershell / DSM / UEM).
- Nun wird der IE11 an definierte Testbenutzer verteilt. Diese Testbenutzer bekommen konkrete Testaufgaben an die Hand (z.B. führen sie einen vollständigen Bestellvorgang bei Zulieferer xy mit dem IE 11 aus). Ggfs. sollte der IE 11 auf gesonderten Testsystemen zur Verfügung gestellt werden. Mitglieder dieser Testusergruppe sollten sein:
- Administratoren die mit Admin-Weboberflächen arbeiten
- Betreuer des Intranet
- Betreuer des Internet Auftritt
- Nutzer von Portalen von Partnerunternehmen (Einkäufer, etc.)
- VIP User
- ...
- Die Liste der IE 8 Webseiten (EnterpriseMode) wird aufgrund des Feedback aus den Testgruppen gepflegt. Dies geschieht mittels einer XML, die im besten Fall auf einem öffentlichen Webserver liegt. Die XML kann mit dem MS Sitelist Manager gepflegt werden (http://www.microsoft.com/en-us/download/details.aspx?id=42501). Der Enterprise Mode funktioniert sowohl bei Domain Members, als auch bei Workgroup Clients, bei denen der EM via Registry Settings konfiguriert wurde. Die zurückgemeldeten Webseiten werden in einer weiteren Excel-Liste dokumentiert und mit einem Status versehen.
- Nach erfolgreichem Test aller Webseiten wird mit dem (gestaffelten) Rollout des IE 11 begonnen.
Es empfiehlt sich, alle im Rahmen des Rollouts erstellte Dokumentation aufzubewahren. Speziell die Liste der Webseiten und Ansprechpartner im Unternehmen, kann beim nächsten IE Update wiederverwendet werden.
Auch wenn Microsoft mit dem IE 11 einen schnellen, modernen Browser mit interessanten Möglichkeiten der Abwärtskompatibilität bietet, wird aus diesem Ablaufplan schnell ersichtlich, dass der Rollout des Internet Explorers im Unternehmen keine Aufgabe für ein paar Tage ist, sondern ggf. ein Projekt über mehrere Wochen oder Monate Laufzeit werden kann.
Sowohl bei der technischen Bereitstellung des Internet Explorer 11 (durch vorgefertigte Pakete und Best Practices), als auch bei der organisatorischen Planung des Rollouts unterstützen wir Sie gerne durch unser erfahrenes Berater-Team.
Den IE 11 als CAB Datei mit Hilfe von dism.exe integrieren
When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.
Kommentare