12
SUS-Konzept aufgegangen, Fragen bleiben offen...
Hallo Zusammen,
ich habe es geschaft, in meiner Firma ein komplettes SUS-Konzept zu integrieren, welches ohne größere Probleme funktionierte. Ich habe ebenfalls den bekannten "Client-Status-Monitor" integriert. Auf einem w2k-server lief er einwandfrei, auf einer xp-prof. workstation funktionierte er nicht. Liegt wohl am IIS und den unterschiedlichen Diensten (IIS auf XP / IIS auf dem Server).
Nun habe ich eine Testumgebung zur Prüfung der Updates, die dann weiter verteilt werden können.
Die AU-Software läuft doch als Dienst, oder nicht?
Wenn nun bsp. eine Service-Pack Installation ansteht, die einen Neustart benötigt, sollte doch danach weitere Installationen getätigt werden, auch ohne das eine Useranmeldung stattfindet, oder?
Die GPO's sind doch Computerspezifisch und wenn das als Dienst läuft, kann es doch nicht sein, dass erst zu einem erneuten Zeitpunkt weitere Updates installiert werden?
Um euer Wissen würd ich bitten
flobo
ich habe es geschaft, in meiner Firma ein komplettes SUS-Konzept zu integrieren, welches ohne größere Probleme funktionierte. Ich habe ebenfalls den bekannten "Client-Status-Monitor" integriert. Auf einem w2k-server lief er einwandfrei, auf einer xp-prof. workstation funktionierte er nicht. Liegt wohl am IIS und den unterschiedlichen Diensten (IIS auf XP / IIS auf dem Server).
Nun habe ich eine Testumgebung zur Prüfung der Updates, die dann weiter verteilt werden können.
Die AU-Software läuft doch als Dienst, oder nicht?
Wenn nun bsp. eine Service-Pack Installation ansteht, die einen Neustart benötigt, sollte doch danach weitere Installationen getätigt werden, auch ohne das eine Useranmeldung stattfindet, oder?
Die GPO's sind doch Computerspezifisch und wenn das als Dienst läuft, kann es doch nicht sein, dass erst zu einem erneuten Zeitpunkt weitere Updates installiert werden?
Um euer Wissen würd ich bitten
flobo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7959
Url: https://administrator.de/contentid/7959
Printed on: April 24, 2024 at 09:04 o'clock
12 Comments
Latest comment
Soweit mir bekannt ist, werden abhängige Updates nacheinander installiert. Die Installation erfolgt aber nur, wenn ein Benutzer angemeldet ist, auch wenn der Update als Dienst läuft.
Die Installation hängt aber auch davon ab, ob der angemeldete Benutzer Adminrechte hat oder nicht und wie Du die Policy konfiguriert hast. Es gibt einen Punkt, der besagt, dass auch User ohne Adminrechte die Installation der Updates starten dürfen (sofern Du keine feste Zeit mit Auto-Installation konfiguriert hast).
Aber sollte z.B. ein Patch ein ServicePack davor benötigen, so wird erst das SP installiert, dann ein Reboot verlangt (diesen kannst Du ja auch über die Policy steuern, ob und wann und durch wen der Reboot erfolgen darf) und dann der Patch installiert.
Hast Du mir nen Link für den "Client-Status-Monitor"?
Die Installation hängt aber auch davon ab, ob der angemeldete Benutzer Adminrechte hat oder nicht und wie Du die Policy konfiguriert hast. Es gibt einen Punkt, der besagt, dass auch User ohne Adminrechte die Installation der Updates starten dürfen (sofern Du keine feste Zeit mit Auto-Installation konfiguriert hast).
Aber sollte z.B. ein Patch ein ServicePack davor benötigen, so wird erst das SP installiert, dann ein Reboot verlangt (diesen kannst Du ja auch über die Policy steuern, ob und wann und durch wen der Reboot erfolgen darf) und dann der Patch installiert.
Hast Du mir nen Link für den "Client-Status-Monitor"?
Hallo JEUTIX !
Eine interessante Variante beschreibst Du da bezüglich der " NUTZER " und angemeldet.
Frage: Wie soll und geht das von statten bei mehreren hunderten von USER´n ?
Was machen die während dieser Zeit ? " Pause " . hi ???
Nein ganz im Gegenteil, der Nutzer ist weder als solcher angemeldet, noch hat er irgendwelche Adminrechte, jedenfalls bei mir / uns bei mehr als 1700 Netzwerkarbeitsplätzen.
Lediglich der Rechner muss sich im Betriebszustand befinden, also eingeschaltet bleiben, Nutzer abgemeldet.
Dann werden während der Nacht die neuen oder erfoderlichen Updates etc. gefahren, gilt übrignes auch für die täglichen Virenupdates.
Der Nutzer bekommt von alledem überhaupt nichts mit. Die Rechner werden dann gesteuert heruntergefahren oder es gibt die Anweisung an die Nutzer den Rechner am nächsten Morgen einmal zu rebooten - das System nimmt dann selbstätig die vorgegebenen Veränderung wahr.
Ansonsten, stimme ich mit Dir völlig überein.
Lieben Gruss
Wolfgang
Administrator w.w.
Eine interessante Variante beschreibst Du da bezüglich der " NUTZER " und angemeldet.
Frage: Wie soll und geht das von statten bei mehreren hunderten von USER´n ?
Was machen die während dieser Zeit ? " Pause " . hi ???
Nein ganz im Gegenteil, der Nutzer ist weder als solcher angemeldet, noch hat er irgendwelche Adminrechte, jedenfalls bei mir / uns bei mehr als 1700 Netzwerkarbeitsplätzen.
Lediglich der Rechner muss sich im Betriebszustand befinden, also eingeschaltet bleiben, Nutzer abgemeldet.
Dann werden während der Nacht die neuen oder erfoderlichen Updates etc. gefahren, gilt übrignes auch für die täglichen Virenupdates.
Der Nutzer bekommt von alledem überhaupt nichts mit. Die Rechner werden dann gesteuert heruntergefahren oder es gibt die Anweisung an die Nutzer den Rechner am nächsten Morgen einmal zu rebooten - das System nimmt dann selbstätig die vorgegebenen Veränderung wahr.
Ansonsten, stimme ich mit Dir völlig überein.
Lieben Gruss
Wolfgang
Administrator w.w.
Hi jeutix,
also meine Frage ist vielmehr, ob ist möglich ist, kann ja sein, dass ich was falsch gemacht habe, ob auch ohne erneute Anbmeldung nach einem Reboot weiter gepatcht werden kann.
Ich habe meine Einstellungen folgendermaßen gewählt:
- Fester Installationszeitpunkt
- Update wird immer installiert
- Rechner wird automatisch rebootet
Ich frage mich nur, ob es möglich oder eben nicht möglich ist, dass der PC von alleine sich komplett auf den neusten Stand bringt oder er nach einem reboot immer wieder auf den von mir festgesetzten Installationszeitpunkt wartet.
Hier der Link: http://www.gruppenrichtlinien.de/index.html?/HowTo/SUS_Server.htm
dort findest du für w2k-server: http://www.gruppenrichtlinien.de/tools/suslogviewer_iis5.zip
und für w2k3-server: http://www.gruppenrichtlinien.de/tools/suslogviewer_iis6.zip
Diese Files sind schon nachbearbeitet worden, etwas Layouttechnisch aufbereitet.
Falls Du Fragen oder Probleme damit haben solltest meld dich.
Bei Gelegenheit werde ich mal ein SUS-Pack Zusammenstellen, habe ich den letzten Wochen nichts anderes mehr gemacht und tolle Tools entdeckt!
also meine Frage ist vielmehr, ob ist möglich ist, kann ja sein, dass ich was falsch gemacht habe, ob auch ohne erneute Anbmeldung nach einem Reboot weiter gepatcht werden kann.
Ich habe meine Einstellungen folgendermaßen gewählt:
- Fester Installationszeitpunkt
- Update wird immer installiert
- Rechner wird automatisch rebootet
Ich frage mich nur, ob es möglich oder eben nicht möglich ist, dass der PC von alleine sich komplett auf den neusten Stand bringt oder er nach einem reboot immer wieder auf den von mir festgesetzten Installationszeitpunkt wartet.
Hier der Link: http://www.gruppenrichtlinien.de/index.html?/HowTo/SUS_Server.htm
dort findest du für w2k-server: http://www.gruppenrichtlinien.de/tools/suslogviewer_iis5.zip
und für w2k3-server: http://www.gruppenrichtlinien.de/tools/suslogviewer_iis6.zip
Diese Files sind schon nachbearbeitet worden, etwas Layouttechnisch aufbereitet.
Falls Du Fragen oder Probleme damit haben solltest meld dich.
Bei Gelegenheit werde ich mal ein SUS-Pack Zusammenstellen, habe ich den letzten Wochen nichts anderes mehr gemacht und tolle Tools entdeckt!
Hallo Wolfgang,
kannst Du mir dann auf meinen letzten Beitrag, meine Frage beantworten?
Nach einem Neustart des Systems (nach erfolgreicher Installation eines SP's), der Anmedlebildschirm erscheint und sich nachts logischerweise niemand anmeldet, wird dann im Hintergrund direkt weiter installiert, oder wartet das System auf den nächsten Festgelegten Installationszeitpunkt 24h später?
flobo
kannst Du mir dann auf meinen letzten Beitrag, meine Frage beantworten?
Nach einem Neustart des Systems (nach erfolgreicher Installation eines SP's), der Anmedlebildschirm erscheint und sich nachts logischerweise niemand anmeldet, wird dann im Hintergrund direkt weiter installiert, oder wartet das System auf den nächsten Festgelegten Installationszeitpunkt 24h später?
flobo
@flobo
Hm, da meine Annahme ja nicht richtig war, kann ich Dir zu den Folge-Updates nichts sagen. Ich weiss nur, dass Standardmässig innerhalt 22 Stunden der SUS-Server kontaktiert wird. Dies kannst Du aber in der Policy auch abändern.
Bzgl. dem Link vielen Dank. Die Seite kenne ich auch. Meinst Du mit dem "Client-Status-Monitor" das NWsusutil? Dann hab ich das schon
Hm, da meine Annahme ja nicht richtig war, kann ich Dir zu den Folge-Updates nichts sagen. Ich weiss nur, dass Standardmässig innerhalt 22 Stunden der SUS-Server kontaktiert wird. Dies kannst Du aber in der Policy auch abändern.
Bzgl. dem Link vielen Dank. Die Seite kenne ich auch. Meinst Du mit dem "Client-Status-Monitor" das NWsusutil? Dann hab ich das schon
Nein, ich meine den Link zu dem SUSLogViewer!
Damit kannst du ersehen, welche IP-Adressen sich updates gezogen haben. (Siehe Link oben)
Damit kannst du ersehen, welche IP-Adressen sich updates gezogen haben. (Siehe Link oben)
Ok danke!
Habs integriert und funktioniert bestens.
Habe noch eine Frage dazu: Wenn ich mir einen Client anschauen, dann habe ich ja die versch. Punkte (Client-ID, Activity etc.).
Wenn nun bei "Item" "None" steht, heisst das, er hat für diesen Client kein Update installiert bzw. es war keines verfügbar. Richtig?
Und wenn dort z.B. "winxp.windowsxp.ver platform win32 nt.5.1.x86.de.ver nt workstation..2600.1.0.com microsoft.q823718 msrc1589 mdac v2" steht, heisst das dann, dass er den Q823718 installiert hat?
Habe noch eine Frage dazu: Wenn ich mir einen Client anschauen, dann habe ich ja die versch. Punkte (Client-ID, Activity etc.).
Wenn nun bei "Item" "None" steht, heisst das, er hat für diesen Client kein Update installiert bzw. es war keines verfügbar. Richtig?
Und wenn dort z.B. "winxp.windowsxp.ver platform win32 nt.5.1.x86.de.ver nt workstation..2600.1.0.com microsoft.q823718 msrc1589 mdac v2" steht, heisst das dann, dass er den Q823718 installiert hat?
Jap, korrekt!
Es ist teilweise sehr unübersichtlich, wenn viele Updates installiert werden müssen, aber wenn Du alle PC's auf nem aktuellen Stand hast und dann nur immer ein Update hinzukommt ist das schon erstmal eine nette Übersicht!
Parallel würde ich aber wenigstens zu Testzwecken die log-files des Clients auswerten. Da kannst Du ja direkt vergleichen, was reell am PC passiert ist.
Liegt an der Workstation z.b. unter c:\winnt und heißt Windows Update.log oder WindowsUpdate.log
Nur so nebenbei, solltest Du diese log Datei löschen, dann legt er sich sich NICHT wieder neu an! Clearen ist aber ok!
Es ist teilweise sehr unübersichtlich, wenn viele Updates installiert werden müssen, aber wenn Du alle PC's auf nem aktuellen Stand hast und dann nur immer ein Update hinzukommt ist das schon erstmal eine nette Übersicht!
Parallel würde ich aber wenigstens zu Testzwecken die log-files des Clients auswerten. Da kannst Du ja direkt vergleichen, was reell am PC passiert ist.
Liegt an der Workstation z.b. unter c:\winnt und heißt Windows Update.log oder WindowsUpdate.log
Nur so nebenbei, solltest Du diese log Datei löschen, dann legt er sich sich NICHT wieder neu an! Clearen ist aber ok!
Die Log lokal kannte ich.
Aber danke für den Tip mit dem clearen!
Aber danke für den Tip mit dem clearen!
Hallo Flobo,
also grundsätzlich ist es so, das J E D E S ServicePack einen REBOOT erfordert und dies auch automatisch durchführt , da im ServicePack mit installiert.
Also: ServicePack eingespielt, Rechner rebootet. Danach folgen dann die Patches, auch hier ist es wieder sehr unterschiedlich, da sollte man sich die Patches vorher ansehen, ob nach jedem Patch ein Reboot erforderlich ist. Ansonsten kannst Du auch mehrere Patches nacheinander ablaufen lassen und dann einen Reboot durchführen und danach dann weitere Patches oder Updates, auch wiederum einzeln durchführen und jeweils rebooten oder eben einige zusammenfassen und dann rebooten.
Für diese Vorgänge gibt es auch ein Tool , beispielsweise von Microsoft, leider kann ich Dir jetzt auf die Schnelle nicht den Namen dafür benennen - schau doch einfach mal hinein.
Ansonsten schaue ich bei mir noch einmal nach, wird jedoch heute nichts mehr, da ich gleich zu einer IT-Sicherheitstagung muss und es danach wohl spät werden wird; dann bin ich jedoch schon PRIVAT, sprich: Zuhause.
Mfg
wolfgang
also grundsätzlich ist es so, das J E D E S ServicePack einen REBOOT erfordert und dies auch automatisch durchführt , da im ServicePack mit installiert.
Also: ServicePack eingespielt, Rechner rebootet. Danach folgen dann die Patches, auch hier ist es wieder sehr unterschiedlich, da sollte man sich die Patches vorher ansehen, ob nach jedem Patch ein Reboot erforderlich ist. Ansonsten kannst Du auch mehrere Patches nacheinander ablaufen lassen und dann einen Reboot durchführen und danach dann weitere Patches oder Updates, auch wiederum einzeln durchführen und jeweils rebooten oder eben einige zusammenfassen und dann rebooten.
Für diese Vorgänge gibt es auch ein Tool , beispielsweise von Microsoft, leider kann ich Dir jetzt auf die Schnelle nicht den Namen dafür benennen - schau doch einfach mal hinein.
Ansonsten schaue ich bei mir noch einmal nach, wird jedoch heute nichts mehr, da ich gleich zu einer IT-Sicherheitstagung muss und es danach wohl spät werden wird; dann bin ich jedoch schon PRIVAT, sprich: Zuhause.
Mfg
wolfgang
Hallo nochmal Wolfgang,
habe das schon kapiert was du meinst!
Aber nochmalig meine Frage (ein Beispiel):
Ich habe einen PC mit Win2k Prof SP2 der nun neu in die GPO einbezogen wird.
Als erstes installier sich dann nachts das neue SP4, reboot ist erforderlich, der PC startet neu...
Was passiert dann? Installiert sich dann im Anschluss des Reboots auch der Rest? Oder wartet der PC dann wieder bis zum nächsten Installationstermin?
D.h. braucht ein PC mit der o.g. Spezifikation dann mehrere Tage, ist er komplett save ist? oder macht der das hintereinader weg?
P.S. noch was ganz anderes: ich habe gerade eben bemerkt, dass meine win2k prof. clients sich gar kein IE6 SP1 ziehen! Manuell über MS und AU wird es als fehlend dargestellt, habe im SUS auch gar keins entdeckt. Wie kann das sein? Gehört doch zur Kategorie Systemkritische Updates?
flobo
habe das schon kapiert was du meinst!
Aber nochmalig meine Frage (ein Beispiel):
Ich habe einen PC mit Win2k Prof SP2 der nun neu in die GPO einbezogen wird.
Als erstes installier sich dann nachts das neue SP4, reboot ist erforderlich, der PC startet neu...
Was passiert dann? Installiert sich dann im Anschluss des Reboots auch der Rest? Oder wartet der PC dann wieder bis zum nächsten Installationstermin?
D.h. braucht ein PC mit der o.g. Spezifikation dann mehrere Tage, ist er komplett save ist? oder macht der das hintereinader weg?
P.S. noch was ganz anderes: ich habe gerade eben bemerkt, dass meine win2k prof. clients sich gar kein IE6 SP1 ziehen! Manuell über MS und AU wird es als fehlend dargestellt, habe im SUS auch gar keins entdeckt. Wie kann das sein? Gehört doch zur Kategorie Systemkritische Updates?
flobo
