8
Frage zu MS Patchverteilung über WSUS Server, der erst eine Testumgebung und zeitversetzt die Live System aktualisiert
Hallo,
habe mir ein kleines Projekt ausgedacht und brauche mal Eure Hilfe.
Da ja Micrsoft jetzt auch für Windows 7 und Windows Server 2008 R2 nur noch Patch Pakete am Patchday ausgibt, ist ja das Risiko ziemlich groß das MS mal wieder fehlerhafte Patches rausgibt und dadurch die ganze IT Landschaft in der Firma lahmgelegt werden kann.
Sicherheitspatches kann man ja auch einzeln herunterladen und manuell installieren, aber da ist der Sinn des WSUS Server den ich nutze aufgehoben.
Jetzt habe ich 2 VMs erstellt eine für Win7 und eine Windows Server 2008 R2 für eine Patch Testumgebung.
Die Patches werden von einem WSUS Server versorgt, der sowohl die Testumgebung als auch die EDV in der Liveumgebung mit Patches versorgt.
Wie kann ich jetzt die GPOs anpassen das die Testumgebung zuerst nach der Patchfreigabe die Patches bekommt und die Liveumgebung ca. 3 bis 4 Tage nach erfolgreicher installation in der Testumgebung die Patches bekommt.
Habe jetzt je 2 GPOs geschrieben WSUS Clients TEST und WSUS Clients Live das selbe bei den Servern.
Aber wenn ich das jetzt aktivieren würde, würde sowohl die Testumgebung und das Live System die Patches bekommen wasich aber nicht möchte.
Über Hilfe und Anregungen bin ich erfreut.
Kalma
habe mir ein kleines Projekt ausgedacht und brauche mal Eure Hilfe.
Da ja Micrsoft jetzt auch für Windows 7 und Windows Server 2008 R2 nur noch Patch Pakete am Patchday ausgibt, ist ja das Risiko ziemlich groß das MS mal wieder fehlerhafte Patches rausgibt und dadurch die ganze IT Landschaft in der Firma lahmgelegt werden kann.
Sicherheitspatches kann man ja auch einzeln herunterladen und manuell installieren, aber da ist der Sinn des WSUS Server den ich nutze aufgehoben.
Jetzt habe ich 2 VMs erstellt eine für Win7 und eine Windows Server 2008 R2 für eine Patch Testumgebung.
Die Patches werden von einem WSUS Server versorgt, der sowohl die Testumgebung als auch die EDV in der Liveumgebung mit Patches versorgt.
Wie kann ich jetzt die GPOs anpassen das die Testumgebung zuerst nach der Patchfreigabe die Patches bekommt und die Liveumgebung ca. 3 bis 4 Tage nach erfolgreicher installation in der Testumgebung die Patches bekommt.
Habe jetzt je 2 GPOs geschrieben WSUS Clients TEST und WSUS Clients Live das selbe bei den Servern.
Aber wenn ich das jetzt aktivieren würde, würde sowohl die Testumgebung und das Live System die Patches bekommen wasich aber nicht möchte.
Über Hilfe und Anregungen bin ich erfreut.
Kalma
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 320431
Url: https://administrator.de/contentid/320431
Printed on: May 6, 2024 at 12:05 o'clock
8 Comments
Latest comment
Hallo,
keine automatische Genemigung und die Testumgebung zuerst genemigen, fertig.
Ansonsten kann man auch noch einstellen das die Installation NICHT automatisch erfolgt, dann musst Du die aber durch Scripte etc selber anstoßen.
Gruß
Chonta
keine automatische Genemigung und die Testumgebung zuerst genemigen, fertig.
Ansonsten kann man auch noch einstellen das die Installation NICHT automatisch erfolgt, dann musst Du die aber durch Scripte etc selber anstoßen.
Gruß
Chonta
Hi,
wie Chonta schreibt, bloß genauer:
Im WSUS 2 WSUS-Gruppen anlegen. z.B. "Testumgebung" und "Produktivumgebung".
Dann die Test- und Produktiv-Computer im AD separieren, entweder über verschiedene OU oder über Gruppenmitgliedschaft.
Dann 2 GO schreiben. Eine nur für die Test- und eine nur für die Produktiv-Umgebung wirken lassen. In diesen GPO gibts Du die WSUS-Konfigurationen mit. In der einen weist Du die Computer der WSUS-Gruppe "Testumgebung" zu und in der anderen der WSUS-Gruppe "Produktivumgebung".
Jetzt kannst Du im WSUS die Updates zuerst nur für die Gruppe "Testumgebung" genehmigen. Wenn ein Update bestätigt wurde, dann genehmigst Du es auch für "Produktivumgebung".
Wenn Du das mit den o.g. GPO's umgesetzt hast, dann solltest Du noch kontrollieren, dass a) die Computer die jeweils geltenden Einstellungen übernommen haben und b) dass der WSUS das auch kapiert hat, sprich die Computer bei sich in den betreffenden WSUS-Gruppen anzeigt.
E.
wie Chonta schreibt, bloß genauer:
Im WSUS 2 WSUS-Gruppen anlegen. z.B. "Testumgebung" und "Produktivumgebung".
Dann die Test- und Produktiv-Computer im AD separieren, entweder über verschiedene OU oder über Gruppenmitgliedschaft.
Dann 2 GO schreiben. Eine nur für die Test- und eine nur für die Produktiv-Umgebung wirken lassen. In diesen GPO gibts Du die WSUS-Konfigurationen mit. In der einen weist Du die Computer der WSUS-Gruppe "Testumgebung" zu und in der anderen der WSUS-Gruppe "Produktivumgebung".
Jetzt kannst Du im WSUS die Updates zuerst nur für die Gruppe "Testumgebung" genehmigen. Wenn ein Update bestätigt wurde, dann genehmigst Du es auch für "Produktivumgebung".
Wenn Du das mit den o.g. GPO's umgesetzt hast, dann solltest Du noch kontrollieren, dass a) die Computer die jeweils geltenden Einstellungen übernommen haben und b) dass der WSUS das auch kapiert hat, sprich die Computer bei sich in den betreffenden WSUS-Gruppen anzeigt.
E.
Hallo @Kalma73,
du könntest beide Umgebungen über 1 WSUS laufen lassen.
Test-Umgebung und Produktions-Umgebung packst du in verschiedene Gruppen.
Patches für die Test-Umgebung kannst du mit Auto-Genehmigung direkt durchwinken.
Du kannst noch eine 2. Auto-Genehmigung-Regel einfügen, mit der die Produktions-Umgebung eine Tage später auch die Patches erhält.
Schau dir einfach mal die Gruppierungsmöglichkeiten sowie die Auto-Genehmigung-Funktion im WSUS an.
Gruß,
@Snowman25
du könntest beide Umgebungen über 1 WSUS laufen lassen.
Test-Umgebung und Produktions-Umgebung packst du in verschiedene Gruppen.
Patches für die Test-Umgebung kannst du mit Auto-Genehmigung direkt durchwinken.
Du kannst noch eine 2. Auto-Genehmigung-Regel einfügen, mit der die Produktions-Umgebung eine Tage später auch die Patches erhält.
Schau dir einfach mal die Gruppierungsmöglichkeiten sowie die Auto-Genehmigung-Funktion im WSUS an.
Gruß,
@Snowman25
Hi.
Ein paar Gedanken und Erfahrungen dazu.
Wir patchen seit über 10 Jahren mit WSUS und ein einziger Patch war jemals nachweislich Schuld an einem Effekt, den wir hatten... von Tausenden Patches. Seit mehreren Jahren haben wir das Testen komplett eingestellt. Wir haben damit ncht die geringsten Sorgen, da wir ein umfangreiches Imagingkonzept haben.
Die neue Marschroute mit Sammelpatches erhöht kein Risiko - du wirst kein Argument dafür finden, das sich nicht widerlegen lässt, es sei denn, du hattest zuvor unkomplett gepatcht und siehst dich jetzt gezwungen, mehr Patches zu installieren als zuvor.
Zu Testen generell: wie sieht dein Testkonzept aus? Welche Bestandteile willst Du auf Funktion überwachen und wie? Versuch einfach mal, das zu beschreiben - das Konzept wird kaum zu halten sein, wenn man es analysiert. Da solltest Du lieber ein Imagingkonzept entwerfen.
--
Zur Frage: ich verstehe leider nicht einmal, wo du überhaupt ein Problem haben könntest. Man kann Gruppen definieren und für diese Regeln - alles kinderleicht verglichen mit einem Testkonzept.
Ein paar Gedanken und Erfahrungen dazu.
Wir patchen seit über 10 Jahren mit WSUS und ein einziger Patch war jemals nachweislich Schuld an einem Effekt, den wir hatten... von Tausenden Patches. Seit mehreren Jahren haben wir das Testen komplett eingestellt. Wir haben damit ncht die geringsten Sorgen, da wir ein umfangreiches Imagingkonzept haben.
Die neue Marschroute mit Sammelpatches erhöht kein Risiko - du wirst kein Argument dafür finden, das sich nicht widerlegen lässt, es sei denn, du hattest zuvor unkomplett gepatcht und siehst dich jetzt gezwungen, mehr Patches zu installieren als zuvor.
Zu Testen generell: wie sieht dein Testkonzept aus? Welche Bestandteile willst Du auf Funktion überwachen und wie? Versuch einfach mal, das zu beschreiben - das Konzept wird kaum zu halten sein, wenn man es analysiert. Da solltest Du lieber ein Imagingkonzept entwerfen.
--
Zur Frage: ich verstehe leider nicht einmal, wo du überhaupt ein Problem haben könntest. Man kann Gruppen definieren und für diese Regeln - alles kinderleicht verglichen mit einem Testkonzept.
Servus,
sehe ich ähnlich wie "DerWoWusste"
Wir patchen auch per WSUS seit gefühlt einer Ewigkeit und hatten noch nie Probleme mit einem Patch.
Bei uns gibt es im WSUS auch 2 Gruppen (Test & Produktiv) in der Testumgebung werden alle Security Patches automatisch genehmigt.
Zeitversetzt um eine Woche werden dann die Security Patches in der Produktivgruppe genehmigt.
Alle anderen Update werden wöchentlich in der Testgruppe manuell genehmigt und auch wiederum eine Woche später in der Produktgruppe
genehmigt.
Hält sich vom Aufwand her im Rahmen und hat so noch nie Probleme gemacht.
Allerdings setzen wir den WSUS nur für Clients ein, Server werden manuell während eines definierten Wartungsfensters gepatched.
@ DerWoWusste
Winkt ihr die Updates auf die Server auch direkt durch ? Wenn ja, wie handhabt Ihr Wartungsfenster und den evtl. stattfinden Reboot eines Servers ?
Gruß
eazy-isi
sehe ich ähnlich wie "DerWoWusste"
Wir patchen auch per WSUS seit gefühlt einer Ewigkeit und hatten noch nie Probleme mit einem Patch.
Bei uns gibt es im WSUS auch 2 Gruppen (Test & Produktiv) in der Testumgebung werden alle Security Patches automatisch genehmigt.
Zeitversetzt um eine Woche werden dann die Security Patches in der Produktivgruppe genehmigt.
Alle anderen Update werden wöchentlich in der Testgruppe manuell genehmigt und auch wiederum eine Woche später in der Produktgruppe
genehmigt.
Hält sich vom Aufwand her im Rahmen und hat so noch nie Probleme gemacht.
Allerdings setzen wir den WSUS nur für Clients ein, Server werden manuell während eines definierten Wartungsfensters gepatched.
@ DerWoWusste
Winkt ihr die Updates auf die Server auch direkt durch ? Wenn ja, wie handhabt Ihr Wartungsfenster und den evtl. stattfinden Reboot eines Servers ?
Gruß
eazy-isi
Auch Server automatisch in der Nacht seit vielen Jahren. Reboot automatisch. Entschlüsselung geskriptet und/oder per TPM.
Hallo,
@eazy-isi
genau das ist auch meine Idee.
Aber wie kann ich das konfigurieren.
Habe keine Optionen wie: auto genehmigen, zeitversetzt ausführen in den GPOs oder im WSUS gefunden.
Wo und wie kann ich das konfigurieren?
Kalma
@eazy-isi
genau das ist auch meine Idee.
Aber wie kann ich das konfigurieren.
Habe keine Optionen wie: auto genehmigen, zeitversetzt ausführen in den GPOs oder im WSUS gefunden.
Wo und wie kann ich das konfigurieren?
Kalma
Hier:
