Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft

Aufbau Patchmanagement

Mitglied: quin83

quin83 (Level 1) - Jetzt verbinden

03.01.2015 um 16:32 Uhr, 1817 Aufrufe, 6 Kommentare

Hallo zusammen,

ich plane gerade den Aufbau einer neuen Umgebung, um Software und MS Patches auf ca. 600 Win7 Systemen auszurollen.

Primär geht es darum, die Windows Systeme regelmäßig und sauber zu patchen.
Es soll jedoch auch möglich sein, Software-Pakete zu verteilen.

Die MS Updates sollen dabei jedoch nicht automatisch installiert werden.
Stattdessen soll es in unregelmäßigen Abständen einen Patchday geben.
An diesem Tag erscheint auf allen Systemen ein Fenster, welches bestätigt werden muss, damit alle ausstehenden Updates installieren.
Im Idealfall werden die Pakte bereits zuvor von dem System heruntergeladen und liegen bereits lokal vor.
Ziel ist natürlich, nicht ständig die Windows Updates in SCCM neu paketieren zu müssen.

Ich hatte hierfür an eine 2012er Umgebung mit SCCM und WSUS gedacht.
Der WSUS hält die Updates und gibt nur die gewünschten Patches frei.
Der SCCM könnte sich dann um die Software-Pakete kümmern.
Am Patchday startet ein SCCM Paket, welches die Frage stellt und dann über wuauclt.exe die Windows Updates startet.

Da ich mit WSUS und SCCM 2012 nicht wirklich fit bin, muss ich mich erst noch in das Thema einarbeiten.
Meine Frage ist nun, ob diese Überlegung Sinn macht, oder ob es bessere Methoden gibt.

Danke.
Mitglied: jsysde
03.01.2015 um 16:59 Uhr
Moin.
Zitat von quin83:
Im Idealfall werden die Pakte bereits zuvor von dem System heruntergeladen und liegen bereits lokal vor.
Ziel ist natürlich, nicht ständig die Windows Updates in SCCM neu paketieren zu müssen.

Wieso neu paketieren?
Ob du nun in der SCCM-Console die Updates freigibst oder in der WSUS-Console ist doch gehüpft wie gesprungen.

Per SCCM kannst du wesentlich intelligenter steuern, wann welche Rechner welche Pakete bekommen und noch dazu, ob diese "required" oder "available" sind - du bist also mit SCCM schon auf dem richtigen Weg, zumal da ja noch deutlich mehr mit geht....

Cheers,
jsysde

P.S.:
Wie viele Standorte hast du denn?
Bitte warten ..
Mitglied: quin83
03.01.2015 um 17:52 Uhr
Hi,

Wieso neu paketieren?
Weil Microsoft Updates der letzte Crap sind. Besonders in letzter Zeit.
Siehe z.B. http://www.heise.de/security/meldung/Microsoft-Neues-Zertifikats-Update ...
Man kann also entweder die Sicherheitslücke offen lassen, oder man bastelt ein Paket, das mit den Bugs in den Updates klar kommt.

Ob du nun in der SCCM-Console die Updates freigibst oder in der WSUS-Console ist doch gehüpft wie gesprungen.
Richtig, wo die Updates freigegeben werden, ist eigentlich egal.
Ich brauche nur eine Lösung, welche diese User-Interaktion ermöglicht, damit die Updates nur am Patchday und nur "unter Aufsicht" installieren.

Per SCCM kannst du wesentlich intelligenter steuern, wann welche Rechner welche Pakete bekommen und noch dazu, ob diese
"required" oder "available" sind - du bist also mit SCCM schon auf dem richtigen Weg, zumal da ja noch
deutlich mehr mit geht....
Also dass WSUS allein nicht ausreicht, ist mir klar. SCCM ist definitiv gesetzt.

Wie viele Standorte hast du denn?
4
Bitte warten ..
Mitglied: jsysde
03.01.2015 um 18:29 Uhr
N'Abend.
Zitat von quin83:
Weil Microsoft Updates der letzte Crap sind. Besonders in letzter Zeit.
Und was hat das mit SCCM zu tun?
Ich lasse die Updates seit einiger Zeit auch erst mal mind. eine Woche "reifen" und beobachte die üblichen Quellen im Netz, ob Probleme damit auftreten/bekannt sind. Davon abgesehen sollte man alles, was man über Software XYZ an seine Clients ausrollt, vorher in einer Testumgebung testen (das können ja durchaus VMs sein oder ein, zwei ausgewählte Kollegenrechner).

Update Rollups für Exchange oder Service Packs für SQL installiere ich sowieso immer "per Hand", da würde ich mich auf keine wie auch immer geartete automatische Verteilung verlassen (wollen). Für meine Clients hingegen bin ich mehr als dankbar, wenn die Updates einfach nur an einer Stelle genehmigt und ausgerollt werden müssen und die Installation als solche dann eben automatisiert durchgeführt wird. Letztlich entscheide _ich!_, welche Updates ich da ausrolle....

Ich brauche nur eine Lösung, welche diese User-Interaktion ermöglicht, damit die Updates nur am Patchday und nur
"unter Aufsicht" installieren.
Das klappt per SCCM ganz hervorragend - wobei ich das bei 600 Rechnern als nicht machbar bezeichnen würde, hier _muss!_ eine automatisierte Lösung her => weiterer Punkt _für!_ SCCM.

Bei vier Standorten solltest du auf ne CAS verzichten und nur ne Primary Site einrichten mit DPs an den Remotestandorten.

Cheers,
jsysde
Bitte warten ..
Mitglied: killtec
05.01.2015 um 15:52 Uhr
Hi,
für Software außerhalb Windows Updates wäre evtl. noch Dell KACE etwas.

Gruß
Bitte warten ..
Mitglied: quin83
07.01.2015 um 23:09 Uhr
Hallo,

> Ich brauche nur eine Lösung, welche diese User-Interaktion ermöglicht, damit die Updates nur am Patchday und nur
> "unter Aufsicht" installieren.
Das klappt per SCCM ganz hervorragend - [...]
Ich habe mir zu SCCM 2012 einige Dinge anschaut.
Allerdings konnte ich bisher keine Möglichkeit finden, die Updates nur nach vorheriger Freigabe durch den User auszurollen.
Übersehe ich was?

Ich habe mir z.B. folgendes Video angeschaut, welches das Deployment zeigt:
https://www.youtube.com/watch?v=4XmN189nbMc&t=4m24s

Dort gibt es viele Optionen, um ein Update automatisch zu installieren. Man kann auch Wartungsfenster & Co definieren.
Das ist aber eben genau nicht die Anforderung. Ohne Erlaubnis des Anwenders, soll keine Änderung erfolgen.
Gibt es eine Möglichkeit, den Anwender um Erlaubnis fragen, bevor irgend ein Update installiert wird?

Bei vier Standorten solltest du auf ne CAS verzichten und nur ne Primary Site einrichten mit DPs an den Remotestandorten.
So wie ich SCCM verstehe, verweist ein Distribution Point ja lediglich auf ein Netzwerk-Share, welches die Updates enthält.
Wenn das so stimmt stellt sich mir die Frage, ob man an jedem Standort einen Distribution Point braucht.
Ich hätte dicke Filer an jedem Standort, welche eigentlich deutlich besser mit dem Netzwerk-Traffic klar kommen, als ein einzelner Server.
Die Überlegung wäre, nur einen zentralen Distribution Point zu verwenden und die Clients zu den Filern zu schicken.
Oder spricht da was dagegen?
Bitte warten ..
Mitglied: jsysde
08.01.2015 um 08:43 Uhr
Moin.
Zitat von quin83:
Allerdings konnte ich bisher keine Möglichkeit finden, die Updates nur nach vorheriger Freigabe durch den User auszurollen.
Übersehe ich was?
Gibt es eine Möglichkeit, den Anwender um Erlaubnis fragen, bevor irgend ein Update installiert wird?
Klar - Deployment auf "Available" statt auf "Required" stellen.
Aber wie ich schon geschrieben habe, halte ich das für keine gute Idee/kein praktikables Szenario - ich kenne jedenfalls keinen User, der freiwillig Updates installieren würde, daher habe ich als Admin gern den Finger am Abzug und lege eben fest, wann die Updates installiert werden.

Zumal auch die Möglichkeit, den User selbst entscheiden zu lassen, wann ein Update installiert wird, dir das Testen der Updates nicht erspart - ein kaputtes Updates ist ein kaputtes Update, ob es nun automatisiert installiert wird oder der User die Installation anstossen muss. Daher halte ich dein Vorhaben, die Update-Installation den Usern zu überlassen, nach wie vor wie reichlich sinnfrei und nicht praktikabel.

So wie ich SCCM verstehe, verweist ein Distribution Point ja lediglich auf ein Netzwerk-Share, welches die Updates enthält.
Nö, ein DP kann auch gleichzeitig PXE bereitstellen, was gerade für das Deployment an Remotestandorten ein Segen ist.

Wenn das so stimmt stellt sich mir die Frage, ob man an jedem Standort einen Distribution Point braucht.
Ja, weil der SCCM-Client die Software/Updates nur dann lokal findet, wenn der Server, auf dem selbige abgelegt ist, auch in der Hierarchie bekannt ist.

Ich hätte dicke Filer an jedem Standort, welche eigentlich deutlich besser mit dem Netzwerk-Traffic klar kommen, als ein
einzelner Server. Die Überlegung wäre, nur einen zentralen Distribution Point zu verwenden und die Clients zu den Filern zu schicken.
Oder spricht da was dagegen?
Ja, siehe oben - du brauchst nen Server pro Standort, das kann ruhig ne VM sein und die braucht auch nicht wirklich viel Bumms (abhängig von der Anzahl der Clients vor Ort), selbst ne ATOM-CPU hat ausreichend Leistung, um per Gigabit-LAN ein paar Daten auszuliefern.

Cheers,
jsysde
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen
VPN aufbauen
Frage von bernd00Netzwerkgrundlagen4 Kommentare

Hi Leute, Ich hab ein kleines Vorhaben. ich möchte ein VPN aufbauen zwischen mehreren Standorten. Ich habe im Internet ...

Router & Routing
Aufbau Heimnetzwerk
gelöst Frage von nycromRouter & Routing9 Kommentare

Hallo liebes Board, ich habe mein Heimnetzwerk endlich fertiggestellt und mache mir Sorgen über die Sicherheit. Derzeit ist der ...

Netzwerke
Sinnvoller Aufbau?
gelöst Frage von flobberNetzwerke14 Kommentare

Schönen guten Tag! Ich habe ein Kleinunternehmen mit lediglich zwei Arbeitsplätzen. Heute sind beide PCs, einer der Hauptarbeitsplatz auf ...

LAN, WAN, Wireless
WLan mit über 20 SSIDs:VLans aufbauen
Frage von AranhaLAN, WAN, Wireless7 Kommentare

Hallo zusammen. Ich habe ein Haus mit ca. 20 Wohneinheiten mit WLan zu versorgen. Hinzukommt ein gemeinschafts-WLan und ein ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 14 StundenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 1 TagTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 1 TagSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 1 TagSicherheit9 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Sicherheit
Meltdown und Spectre: Die machen uns alle was vor
Information von FrankSicherheit25 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Netzwerke
Packet loss bei "InternetLeitungsvollauslastung"
gelöst Frage von Freak-On-SiliconNetzwerke17 Kommentare

Servus; Ja der Titel klingt komisch, is aber so. Wenn die Internetleitung voll ausgelastet ist, hab ich extreme packet ...

Ubuntu
Ubuntu - Starter für nicht vertrauenswürdige Anwendungen
Frage von adm2015Ubuntu17 Kommentare

Hallo zusammen, Ich verwende derzeit die Ubuntu Versionen 17.10 bzw. im Test 18.04. Ich habe mehrere .desktop Dateien in ...

Windows 10
Automatische daten kopieren, USB zu USB unter Win10 im Hintergrund
Frage von DerEisigeWindows 1016 Kommentare

Hallo Leute, ich bin auf der Suche nach einem Skript, dass von einem USB Stick automatisch nach dem einstecken ...