fritzo
Goto Top

Hotfixes verteilen

Suche ein kostengünstiges Script oder Tool zum Verteilen von Hotfixes

Hi,

ich suche nach einer kostenlosen / -günstigen Möglichkeit, Patches und Hotfixes in einer Windows 2003 Server - Domäne auf unsere Server zu verteilen.

Folgende Anforderungen:
-keine Installation von Agenten / Diensten
-gezielte Installation von bestimmten Patches auf Servergruppen
-Möglichkeit, den Installations- und Rebootzeitpunkt zu steuern

Nicht jeder Server kriegt jeden Patch, sondern Webserver kriegen zB MS05-011 und MS05-012 und Terminalserver erhalten die beiden und aber auch noch MS05-014 und MS05-015 usw. - ich habe die Server bereits in Gruppen eingeteilt und die Patches liegen in einzelnen Ordnern für jede Servergruppe bereit.

SUS, WUS scheiden aus, da wir die Verteilungen ad hoc vornehmen wollen; SMS 2003 ist zwar im Einsatz, aber für unsere neue Domäne unter Windows 2003 Server noch nicht freigegeben. Ich bin dazu gezwungen, eine kleine Lösung zu verwenden, die ohne viel Aufwand funktioniert.

Es kann ruhig scriptbasiert sein, Installationen über den Task Scheduler wären ok (wahrscheinlich muß ich das eh über Taskscheduler anstarten, da die meisten in den frühen Morgenstunden gepatcht und gebootet werden sollen).

Das ganze muß nur halbwegs so automatisiert ablaufen, daß man sich nicht an jedem Server anmelden muß, sondern die Verteilung zentral von einer Workstation aus anstoßen kann.

Wäre sehr genial, wenn ich ein paar Ideen und Anregungen dazu von Euch kriegen könnte. Ich habe zwar selber schon einiges ausprobiert und etliche Scripts geschrieben, aber die richtige Killerapplikation war bis jetzt noch nicht dabei. Was verwendet Ihr, um Eure Patches und Hotfixes zu verteilen? Hat jemand einen guten Tipp für mich?

Danke im voraus

Grüße,
fritzo

Content-Key: 7466

Url: https://administrator.de/contentid/7466

Ausgedruckt am: 29.03.2024 um 04:03 Uhr

Mitglied: meinereiner
meinereiner 27.02.2005 um 19:44:43 Uhr
Goto Top
Hmm, also so ein grober Ansatz der mir einfallen würde.

Hotfixes lassen sich ja unattend und ohnr reboot installieren...

Die Hotfixes hast du in Ordner unterteilt. Mach dir doch einen User TS-Patches. Den berechtigst du auf dem Ordner mit den Patches für die TS. Einen User SQL-Ptatches, den du auf dem Ordner für die SQL-Server berechtigist...usw.

Dann machst du dir einen geplanten Task, der ein xcopy auf alle Ordner machst. Als ausführenden user nimmst du dir auf dem TS Server den User TS-Patches. Somit kommen die passenden Patches auf die passenden Server

So hast du die Patches passend auf den Server liegen.
Danach brauchst du nur noch ein script, das ausliest welche Patches im lokalen Ordner liegen und sie dann installierst.
Das Scripts dazu denke ich mal besser nicht an. Das kannst du sicher viel besser und das Buch ist zwar bestellt aber noch nicht da. face-wink
Mitglied: fritzo
fritzo 27.02.2005 um 23:17:02 Uhr
Goto Top
Hi,

so, ich hör jetzt erstmal auf mit Testen; vier Stunden Gefrickel ohne richtiges Ergebnis *grr*

Ich hatte die Patches passend auf einem Fileserver hinterlegt und mir für je eine Servergruppe ein Script erstellt. Dann passend pro Gruppe ein simples Shellscript , das jeweils in den Ordnern liegt mit folgendem Inhalt
kb887333deux86ger.exe /quiet /norestart
kb.....exe /quiet /norestart
kb.....exe /quiet /norestart
shutdown blabla....

Danach hab ich dann ein vbscript genommen und das sollte mir eigentlich auf den Servern jeweils einen Taskjob erstellen, der das Shellscript lokal auf dem Server ausführt und die Patches installiert. Nur klappt es bei dem einen Server und bei dem anderen nicht.. Kennung war ein Domänenadmin-Account und die Pfade waren auch richtig.

Hotfixes lassen sich ja unattend und ohnr
reboot installieren...

Yup, so hatte ich es auch vor, halt mit /quiet und /norestart.
Das mit den verschiedenen Usern ist eine gute Idee, werde ich auch mal versuchen. Ich hatte eine andere, und zwar das Arbeiten mit lokalen Variablen wie %Serverart% und dann halt in dieser Variablen enthalten verschiedene Werte wie "webserver" oder "terminalserver". Das könnte man dann als Argument für den Pfad auf dem Fileshare verwenden:
\\server\installshare\%Serverart%\patch.cmd

Dann machst du dir einen geplanten Task, der
ein xcopy auf alle Ordner machst.

Xcopy wäre ok, aber ich kann die Patches auch einfach vom Share aus ausführen, denke ich. Damit spare ich mir das Kopieren.

Danach brauchst du nur noch ein script, das
ausliest welche Patches im lokalen Ordner
liegen und sie dann installierst.

hm... eigentlich gar nicht so schlecht. Das müßte ich aber dann auch turnusmäßig ausführen oder jeweils per Taskjob antriggern (und das ist der Punkt der momentan nicht klappen will). Vielleicht mache ich es so, daß ich einen Job schedule, der jede Woche einen bestimmten Ordner nach Patches durchsucht und diese automatisch installiert. Jeden Montag dann halt einen Reboot. Aber das mit pending installations ist immer so eine Sache, auch mit qchain. Am liebsten wäre es mir halt, wenn man in einer Webseite eine bestimmte Gruppe von Servern zusammenstellen könnte, dann die zu installierenden Hotfixes ankreuzt und den Installations- und Rebootzeitpunkt festgelegt und dann go. Aber wahrscheinlich gibts sowas nur zu kaufen oder ich lege mir ne zweite Festplatte für meinen Kopp zu, schreibe das selbst, verkaufe das anschließend und setze mich in Südfrankreich zur Ruhe *grins

Das kannst du sicher viel besser und das
*lach* scheinbar haben mich meine guten Geister momentan verlassen face-wink

Buch ist zwar bestellt aber noch nicht da.
Bin gespannt auf Deine ersten Scripts! face-wink

Viele Grüße,
fritzo
Mitglied: meinereiner
meinereiner 27.02.2005 um 23:52:53 Uhr
Goto Top
hm... eigentlich gar nicht so schlecht. Das
müßte ich aber dann auch
turnusmäßig ausführen oder
jeweils per Taskjob antriggern (und das ist

Nee Idee... nicht schön, aber müsste gehen...

Lass täglich eine Batch patch.bat ausführen. Zu normalen Zeiten ist das ein dummy, wenn du aber wirklich Patches installieren willst ersetzt du diese Datei durch eine Batch welche die Hotixes ersetzt. Den Tag kannst du so remote festlegen. Die Zeit wäre fix.
Das Gleiche machst du für den Reboot.


Wenn du weisst wo Windows die geplanten Tasks ablegt könntest du dem OS auch den Task passend unterschieben.


wäre es mir halt, wenn man in einer
Webseite eine bestimmte Gruppe von Servern
zusammenstellen könnte, dann die zu
installierenden Hotfixes ankreuzt und den
Installations- und Rebootzeitpunkt

Also richtig programmieren ist bei mir für 2010 vorgesehen.
Vielleicht.. face-wink


zu, schreibe das selbst, verkaufe das
anschließend und setze mich in
Südfrankreich zur Ruhe *grins

Hmm, ich fürchte bis dahin hat MS den WUS dann doch fertig.


Bin gespannt auf Deine ersten Scripts! face-wink

so in etwa??

Echo Sind sie sicher das sie ihr Platte formatieren wollen?
Echo Ja/nein
pause
Echo Ihre Platte wurde erfolgreich formatiert

face-big-smile

Viele Grüße
meinereiner
Mitglied: meinereiner
meinereiner 28.02.2005 um 00:00:36 Uhr
Goto Top
in %Systemroot%\Tasks liegen sie.

Wenn ich da einen Job von einem anderen PC reinkopiere taucht er auch gleich unter geplante Tasks auf.
Mitglied: fritzo
fritzo 01.03.2005 um 00:30:15 Uhr
Goto Top
Hi,

ich habe heute meine bisher erstellten Scripts mal von vbscript auf Batch umgestellt und dabei gemerkt, daß jetzt alles funktioniert, bis auf die Erstellung des Taskjobs unter Windows 2000 Server.

Im Script checke ich, ob der Scheduler läuft und starte ihn ggfs., verbinde mich mit einem Share, kopiere diverse Tools von diesem Share, falls diese lokal nicht verfügbar sind und triggere dann zuguterletzt ein entsprechendes weiteres Installationsscript speziell für das System an. Soweit so gut.

Unter Windows Server 2003 funktioniert die Erstellung wunderbar, dank des Tools "schtasks.exe". Leider funktioniert dieses Tool und damit auch mein Script unter Windows 2000 nicht, ich erhalte eine eindeutige Fehlermeldung "Auf dem Zielsystem muß Windows XP oder höher ausgeführt werden". Damit war der Rest des Scripts erstmal hinfällig und ich habe nach einer Alternative für "schtasks.exe" gesucht.

Danach habe ich mir das "AT"-Command unter Windows 2000 angesehen, finde aber hier keine vollständigen Möglichkeiten für die Erstellung eines Jobs, zB den zu benutzenden Account für den Job anzugeben.. (das war der Punkt, wo ich fast in meinen Moni gebissen hätte, da ich gedacht habe, daß es kein Problem sei ;) Jetzt meine

FRAGE:
Gibt es evtl. unter Windows 2000 ein anderes Tool außer dem nicht vollständigen "at", mit dem man remote und ohne die GUI zu benutzen, Taskjobs inklusive Credentials etc. generieren kann? Oder existiert evtl. ein Umweg über die Registry oder ein 3rdParty-Tool? (kann doch nicht sein, daß das nicht möglich sein soll, unter Unix gibt es cronjobs seit Äonen..)

Dankeschön nochmal im voraus!

Viele Grüße,
fritzo
Mitglied: meinereiner
meinereiner 01.03.2005 um 00:38:43 Uhr
Goto Top
Mitglied: fritzo
fritzo 01.03.2005 um 02:05:00 Uhr
Goto Top
face-wink

Also wenn das klappt, gehen auf jeden Fall einige Deiner Bierchen beim Chattertreffen auf mich! Sehr genial ;o)=

Viele Grüße, dickes Dankeschön und gute Nacht,
fritzo
Mitglied: meinereiner
meinereiner 01.03.2005 um 10:19:23 Uhr
Goto Top
Also wenn das klappt, gehen auf jeden Fall

Ich geb zu, ausprobiert habe ich es nicht....

einige Deiner Bierchen beim Chattertreffen
auf mich! Sehr genial ;o)=

Einige????
Du weisst schon, ein Bier fängt hier in Bayern bei einem halben Liter an.. face-wink


ich hoffe es klappt..

Viele Grüsse
meinereiner
Mitglied: fritzo
fritzo 01.03.2005 um 21:08:01 Uhr
Goto Top
Hiho,

Ich geb zu, ausprobiert habe ich es
nicht....

aber ich - und es klappt super face-wink

die Scripts rannten heute durch und ich habe fünf W2K-Testsysteme ohne Probleme mit Hotfixes bestückt. Morgen kann ich dann (wenn Script endgültig fertig, siehe unten) ohne Streß ausrollen und außerdem sind die nächsten Patchaktionen ab jetzt supereinfach. Ich schmeisse einfach die neuen Hotfixes in zwei Ordner, gebe die zu patchenden Systeme in ein Textfile ein und starte das Script, fertig. Wenn das Shelllscript komplett ist, publishe ich es hier als HowTo.

Ich muß nur noch einige wenige Punkte einfügen:
-automatische Erkennung des OS (ist schon als einzelnes Script fertig und muß als Modul nur noch ins Script eingefügt werden)
-die Weiterleitung an den jeweiligen Ordner per Variable "\\server\patches_%op_system%\"
(Variable ist dann zB "w2k" oder "w2k3" und damit der Pfad "\\server\patches_w2k\" oder halt "\\server\patches_w2k3\" (auch schon als einzelnes Modul fertig)
-Check nach dem Reboot auf Vorhandensein der Patches; sicherheitshalber
-Verlagern der Einstellungen in ein conf-File, das ich dann include

Du weisst schon, ein Bier fängt hier in
Bayern bei einem halben Liter an.. face-wink

Denn wird das ganz bestimmt seeehr lustig ;o) Ist eigentlich schon was in dieser Richtung geplant? Ich fände das sehr genial.

Viele Grüße,
fritzo
Mitglied: meinereiner
meinereiner 01.03.2005 um 21:14:53 Uhr
Goto Top
Hallo,


aber ich - und es klappt super face-wink

Schön face-smile , war schon gespannt ob es geklappt hat!!

Patchaktionen ab jetzt supereinfach. Ich
..
conf-File, das ich dann include

auf gut deutsch, du bist fast fertig...


Denn wird das ganz bestimmt seeehr lustig
;o) Ist eigentlich schon was in dieser
Richtung geplant? Ich fände das sehr
genial.

Nöö, nicht das ich wüsste. Ich glaube wir liegen auch alle gut über Deutschland verteilt.

Hmm, Troisdorf liegt doch nicht so weit weg von Bergeim (Erft) ???


Viele Grüße,

meinereiner
Mitglied: fritzo
fritzo 01.03.2005 um 21:38:24 Uhr
Goto Top
Hi,

auf gut deutsch, du bist fast fertig...

nen halben Manntag wirds mich schon noch kosten aber dann geht es direkt ans Rollout.

Nöö, nicht das ich wüsste.
Ich glaube wir liegen auch alle gut
über Deutschland verteilt.

Yup. Aber so wie ich das von Usertreffen aus anderen Foren kenne, ist das kein Problem.

Hmm, Troisdorf liegt doch nicht so weit weg
von Bergeim (Erft) ???

knappe 55 km, aber wohnst Du jetzt in Bayern oder in NRW? Rembrandt? face-wink

Greetings,
fritzo
Mitglied: meinereiner
meinereiner 01.03.2005 um 21:47:52 Uhr
Goto Top
Yup. Aber so wie ich das von Usertreffen aus
anderen Foren kenne, ist das kein Problem.


Na, ich lass mich mal überraschen ob und wenn dann wo.. Lust hätte ich auch!


knappe 55 km, aber wohnst Du jetzt in Bayern
oder in NRW? Rembrandt? face-wink

Jetzt wohne ich in Kempten (Bayern), aber ich bin in Bergheim aufgewachsen und meine Eltern wohnen immer noch dort.


Viele Grüße

meinereiner
Mitglied: Egbert
Egbert 17.03.2005 um 22:59:22 Uhr
Goto Top
Hallo Fritzo,

wie wärs denn mit PolicyMaker Software Update?

Gruß
Egbert
Mitglied: fritzo
fritzo 18.03.2005 um 00:33:29 Uhr
Goto Top
wie wärs denn mit PolicyMaker Software Update?

Hi egbert, das habe ich mir eben schon gezogen; scheint recht gut zu sein. Ich werde das mal in einer Testdomäne installieren und gucken. Ansonsten habe ich unsere Scripts jetzt aber auch soweit, daß sich alles ohne viel Aufwand installieren lässt - die meiste Zeit geht nun nur noch mit Dokumentation und Absprachen drauf, wann man welchen Server denn booten kann ;) (ich trenne das nächste Mal zwischen Installation und Reboot, dann bleiben die Patches halt eine Zeit lang auf pending und gut ist). Danke für die Infos!

Grüße
fritzo