Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Aufbau Patchmanagement

Frage Microsoft

Mitglied: quin83

quin83 (Level 1) - Jetzt verbinden

03.01.2015 um 16:32 Uhr, 1671 Aufrufe, 6 Kommentare

Hallo zusammen,

ich plane gerade den Aufbau einer neuen Umgebung, um Software und MS Patches auf ca. 600 Win7 Systemen auszurollen.

Primär geht es darum, die Windows Systeme regelmäßig und sauber zu patchen.
Es soll jedoch auch möglich sein, Software-Pakete zu verteilen.

Die MS Updates sollen dabei jedoch nicht automatisch installiert werden.
Stattdessen soll es in unregelmäßigen Abständen einen Patchday geben.
An diesem Tag erscheint auf allen Systemen ein Fenster, welches bestätigt werden muss, damit alle ausstehenden Updates installieren.
Im Idealfall werden die Pakte bereits zuvor von dem System heruntergeladen und liegen bereits lokal vor.
Ziel ist natürlich, nicht ständig die Windows Updates in SCCM neu paketieren zu müssen.

Ich hatte hierfür an eine 2012er Umgebung mit SCCM und WSUS gedacht.
Der WSUS hält die Updates und gibt nur die gewünschten Patches frei.
Der SCCM könnte sich dann um die Software-Pakete kümmern.
Am Patchday startet ein SCCM Paket, welches die Frage stellt und dann über wuauclt.exe die Windows Updates startet.

Da ich mit WSUS und SCCM 2012 nicht wirklich fit bin, muss ich mich erst noch in das Thema einarbeiten.
Meine Frage ist nun, ob diese Überlegung Sinn macht, oder ob es bessere Methoden gibt.

Danke.
Mitglied: jsysde
03.01.2015 um 16:59 Uhr
Moin.
Zitat von quin83:
Im Idealfall werden die Pakte bereits zuvor von dem System heruntergeladen und liegen bereits lokal vor.
Ziel ist natürlich, nicht ständig die Windows Updates in SCCM neu paketieren zu müssen.

Wieso neu paketieren?
Ob du nun in der SCCM-Console die Updates freigibst oder in der WSUS-Console ist doch gehüpft wie gesprungen.

Per SCCM kannst du wesentlich intelligenter steuern, wann welche Rechner welche Pakete bekommen und noch dazu, ob diese "required" oder "available" sind - du bist also mit SCCM schon auf dem richtigen Weg, zumal da ja noch deutlich mehr mit geht....

Cheers,
jsysde

P.S.:
Wie viele Standorte hast du denn?
Bitte warten ..
Mitglied: quin83
03.01.2015 um 17:52 Uhr
Hi,

Wieso neu paketieren?
Weil Microsoft Updates der letzte Crap sind. Besonders in letzter Zeit.
Siehe z.B. http://www.heise.de/security/meldung/Microsoft-Neues-Zertifikats-Update ...
Man kann also entweder die Sicherheitslücke offen lassen, oder man bastelt ein Paket, das mit den Bugs in den Updates klar kommt.

Ob du nun in der SCCM-Console die Updates freigibst oder in der WSUS-Console ist doch gehüpft wie gesprungen.
Richtig, wo die Updates freigegeben werden, ist eigentlich egal.
Ich brauche nur eine Lösung, welche diese User-Interaktion ermöglicht, damit die Updates nur am Patchday und nur "unter Aufsicht" installieren.

Per SCCM kannst du wesentlich intelligenter steuern, wann welche Rechner welche Pakete bekommen und noch dazu, ob diese
"required" oder "available" sind - du bist also mit SCCM schon auf dem richtigen Weg, zumal da ja noch
deutlich mehr mit geht....
Also dass WSUS allein nicht ausreicht, ist mir klar. SCCM ist definitiv gesetzt.

Wie viele Standorte hast du denn?
4
Bitte warten ..
Mitglied: jsysde
03.01.2015 um 18:29 Uhr
N'Abend.
Zitat von quin83:
Weil Microsoft Updates der letzte Crap sind. Besonders in letzter Zeit.
Und was hat das mit SCCM zu tun?
Ich lasse die Updates seit einiger Zeit auch erst mal mind. eine Woche "reifen" und beobachte die üblichen Quellen im Netz, ob Probleme damit auftreten/bekannt sind. Davon abgesehen sollte man alles, was man über Software XYZ an seine Clients ausrollt, vorher in einer Testumgebung testen (das können ja durchaus VMs sein oder ein, zwei ausgewählte Kollegenrechner).

Update Rollups für Exchange oder Service Packs für SQL installiere ich sowieso immer "per Hand", da würde ich mich auf keine wie auch immer geartete automatische Verteilung verlassen (wollen). Für meine Clients hingegen bin ich mehr als dankbar, wenn die Updates einfach nur an einer Stelle genehmigt und ausgerollt werden müssen und die Installation als solche dann eben automatisiert durchgeführt wird. Letztlich entscheide _ich!_, welche Updates ich da ausrolle....

Ich brauche nur eine Lösung, welche diese User-Interaktion ermöglicht, damit die Updates nur am Patchday und nur
"unter Aufsicht" installieren.
Das klappt per SCCM ganz hervorragend - wobei ich das bei 600 Rechnern als nicht machbar bezeichnen würde, hier _muss!_ eine automatisierte Lösung her => weiterer Punkt _für!_ SCCM.

Bei vier Standorten solltest du auf ne CAS verzichten und nur ne Primary Site einrichten mit DPs an den Remotestandorten.

Cheers,
jsysde
Bitte warten ..
Mitglied: killtec
05.01.2015 um 15:52 Uhr
Hi,
für Software außerhalb Windows Updates wäre evtl. noch Dell KACE etwas.

Gruß
Bitte warten ..
Mitglied: quin83
07.01.2015 um 23:09 Uhr
Hallo,

> Ich brauche nur eine Lösung, welche diese User-Interaktion ermöglicht, damit die Updates nur am Patchday und nur
> "unter Aufsicht" installieren.
Das klappt per SCCM ganz hervorragend - [...]
Ich habe mir zu SCCM 2012 einige Dinge anschaut.
Allerdings konnte ich bisher keine Möglichkeit finden, die Updates nur nach vorheriger Freigabe durch den User auszurollen.
Übersehe ich was?

Ich habe mir z.B. folgendes Video angeschaut, welches das Deployment zeigt:
https://www.youtube.com/watch?v=4XmN189nbMc&t=4m24s

Dort gibt es viele Optionen, um ein Update automatisch zu installieren. Man kann auch Wartungsfenster & Co definieren.
Das ist aber eben genau nicht die Anforderung. Ohne Erlaubnis des Anwenders, soll keine Änderung erfolgen.
Gibt es eine Möglichkeit, den Anwender um Erlaubnis fragen, bevor irgend ein Update installiert wird?

Bei vier Standorten solltest du auf ne CAS verzichten und nur ne Primary Site einrichten mit DPs an den Remotestandorten.
So wie ich SCCM verstehe, verweist ein Distribution Point ja lediglich auf ein Netzwerk-Share, welches die Updates enthält.
Wenn das so stimmt stellt sich mir die Frage, ob man an jedem Standort einen Distribution Point braucht.
Ich hätte dicke Filer an jedem Standort, welche eigentlich deutlich besser mit dem Netzwerk-Traffic klar kommen, als ein einzelner Server.
Die Überlegung wäre, nur einen zentralen Distribution Point zu verwenden und die Clients zu den Filern zu schicken.
Oder spricht da was dagegen?
Bitte warten ..
Mitglied: jsysde
08.01.2015 um 08:43 Uhr
Moin.
Zitat von quin83:
Allerdings konnte ich bisher keine Möglichkeit finden, die Updates nur nach vorheriger Freigabe durch den User auszurollen.
Übersehe ich was?
Gibt es eine Möglichkeit, den Anwender um Erlaubnis fragen, bevor irgend ein Update installiert wird?
Klar - Deployment auf "Available" statt auf "Required" stellen.
Aber wie ich schon geschrieben habe, halte ich das für keine gute Idee/kein praktikables Szenario - ich kenne jedenfalls keinen User, der freiwillig Updates installieren würde, daher habe ich als Admin gern den Finger am Abzug und lege eben fest, wann die Updates installiert werden.

Zumal auch die Möglichkeit, den User selbst entscheiden zu lassen, wann ein Update installiert wird, dir das Testen der Updates nicht erspart - ein kaputtes Updates ist ein kaputtes Update, ob es nun automatisiert installiert wird oder der User die Installation anstossen muss. Daher halte ich dein Vorhaben, die Update-Installation den Usern zu überlassen, nach wie vor wie reichlich sinnfrei und nicht praktikabel.

So wie ich SCCM verstehe, verweist ein Distribution Point ja lediglich auf ein Netzwerk-Share, welches die Updates enthält.
Nö, ein DP kann auch gleichzeitig PXE bereitstellen, was gerade für das Deployment an Remotestandorten ein Segen ist.

Wenn das so stimmt stellt sich mir die Frage, ob man an jedem Standort einen Distribution Point braucht.
Ja, weil der SCCM-Client die Software/Updates nur dann lokal findet, wenn der Server, auf dem selbige abgelegt ist, auch in der Hierarchie bekannt ist.

Ich hätte dicke Filer an jedem Standort, welche eigentlich deutlich besser mit dem Netzwerk-Traffic klar kommen, als ein
einzelner Server. Die Überlegung wäre, nur einen zentralen Distribution Point zu verwenden und die Clients zu den Filern zu schicken.
Oder spricht da was dagegen?
Ja, siehe oben - du brauchst nen Server pro Standort, das kann ruhig ne VM sein und die braucht auch nicht wirklich viel Bumms (abhängig von der Anzahl der Clients vor Ort), selbst ne ATOM-CPU hat ausreichend Leistung, um per Gigabit-LAN ein paar Daten auszuliefern.

Cheers,
jsysde
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows Netzwerk
Direct Access mit VPN aufbau (4)

Frage von geocast zum Thema Windows Netzwerk ...

Netzwerkgrundlagen
gelöst Aufbau mittlerer bis großer Netzwerke (5)

Frage von MasterPhil zum Thema Netzwerkgrundlagen ...

Netzwerkgrundlagen
gelöst Ordentlicher Aufbau für kleines Büro (22)

Frage von TobiSaar zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...