Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Patch Management

Frage Hardware Server-Hardware

Mitglied: sysinfo

sysinfo (Level 1) - Jetzt verbinden

03.06.2014 um 17:43 Uhr, 6024 Aufrufe, 9 Kommentare, 3 Danke

Hallo,

mich würde interresieren wie ihr das mit dem Patch-Management macht. Ich such in erster Linie nicht ein tolles Tool das die Updates/Patches automatisch installiert. Mich würde mehr interresieren wie ihr das mit dem überprüfen/testen macht. Wir haben schon so ziemlich viele Server redundant ausgelegt oder entsprechende Test-Umgebungen aufgesetzt. Aber leider geht das nicht überall. OK mit genug Geld geht das sicherlich auch
Wie macht ihr das? Habt ihr Checklisten und testet das in der nicht produktiven Zeit sio gut es eben geht. Snapshots sind bei virtuellen Servern zum Teil eine Lösung aber eben nicht überall. Manchmal werden eben zu viele Daten verändert als das man mal eben zurück könnte. Installiert ihr die Patche gleich nach dem sie von MS freigegeben wurden oder wartet ihr z.B. eine Woche?
Mich würden auch Checklisten interresieren. So könnten wir ja die Checkliste erstellen

Toll wäre auch so etwas wie die aktuellen Patches von MS automatisch auslesen und in eine Check- ToDo-Liste eintragen.

Gruß

Stephan
Mitglied: VGem-e
03.06.2014, aktualisiert um 18:50 Uhr
Hallo,

ich setze den WSUS von MS ein, der so eingestellt ist, dass alle Clients automatisch mit den Updates versorgt werden; mangels Zeit hoffe ich einfach, dass unsere Behördensoftware danach noch fehlerfrei funktioniert. Glücklicherweise musste ich in der Vergangenheit nur 1 MS-Update manuell wieder deinstallieren.


Für die Windows Server hatte der Anbieter vor vielen Jahren nach internen Tests dann an die Behörden das OK für die MS-Updates mitgeteilt.
Infolge der vielen eingesetzten Server-Betriebssysteme wird von dort aus inzwischen sogar empfohlen, auch die Windows-Server mit den monatlichen Updates sofort zum Updatetermin zu versorgen.
Ich prüfe jedoch für die Server anhand der div. Onlineseiten kurzfristig nach dem monatlichen Patchday nach, ob dort irgend welche Hinweise auf problematische MS-Update zu finden sind. Falls nein, gebe ich im WSUS die Server-Updates zur Installation frei.

Gruß,
VGem-e
Bitte warten ..
Mitglied: wisebeer
03.06.2014 um 18:52 Uhr
hallo stephan,

ich fürchte für eine qualifizierte antwort musst du dein setting näher beschreiben, sonst kann man dir hier schwer helfen. ich nutze in meinem netz (3 win2012r2 server und ca. 100 win7 clients) für die microsoft patches ganz einfach die wsus-rolle des servers. 3rd-party-patches wie etwas flash oder java lassen sich mit dem open-source tool "wsus package publisher" (https://wsuspackagepublisher.codeplex.com/) sehr einfach einspielen, es gibt auch sehr nützliche anleitungen, die sowohl installation und konfiguration erklären, als auch konkrete hilfestellung ür das patchen häufig verwendeter software bieten. das leidige thema des msi selber bastelns bleibt - sofern du ein geld für fertig kataloge wie etwa shavlik ausgeben willst - immer erhalten, aber auch hier gibt es unzählige anleitungen. wenn man mal kapiert hat, was zu tun ist und die einzelnen programme ein paar mal gepatcht hat, gehts aber recht flott!

lg martin
Bitte warten ..
Mitglied: jsysde
03.06.2014, aktualisiert um 19:25 Uhr
N'Abend.

Zum Verteilen/Verwalten nutzen wir SCCM, aber das rentiert erst bei entsprechender Anzahl Benutzer und entsprechender Lizensierung. Für "kleinere" Umgebungen machst du mit dem WSUS sicherlich nichts falsch (wobei ja auch der SCCM nen WSUS benötigt, lediglich die Verteilung der Updates läuft dann eben anders).

Was das Ausrollen der Updates betrifft:
Wir haben ein paar Server "auserkoren", die zuerst mit Updates versorgt werden, allerdings meist erst drei, vier Tage nach deren Erscheinen und ein wenig google-Recherche (üble Bugs sprechen sich recht schnell rum). Bei den Clients müssen wir Admins als Versuchskaninchen herhalten.
Bei Update Rollups und Cumulative Updates bin ich etwas konservativer und lasse die erst mal etwas "reifen" - auch hier lassen sich üble Bugs recht schnell im Internet recherchieren.

Ausnahme sind wirklich kritische Patches (Zero-Day und so), die kommen gern mal direkt "unters Volk", wobei das ja meist die Clients betrifft und seltener die Server.

Cheers,
jsysde

Tante Edith fällt grad noch ein:
Obiger Text bezieht sich natürlich nur auf Windows-Patches; Patches für andere Software wie Flash Player, Adobe Reader & Co. verteilen wir ebenfalls per SCCM (das ist einer unbezahlbaren Vorteile, keine MSI-Pakete nötig), aber für das Gros der Software klappt das auch per WSUS Package Publisher und/oder per GPO-Rollout.
Bitte warten ..
Mitglied: Dobby
03.06.2014 um 19:47 Uhr
Hallo,

WSUS und wenn sie von MS freigegeben worden sind ist das eine,
aber erst einmal Augen und Ohren offen halten was das
Hintergrundrauschen im Netz über das eine oder andere Update bringt.

Das stützt sich zum Teil auf die Suche im Netz selber,
die einschlägigen Seiten die man regelmäßig besucht und einige Newsticker
auf denen so etwas sofort kommt wenn einmal etwas zu bemängeln ist.
Karenzzeit ist auch so 4 Tage bis zu einer Woche noch Veröffentlichung.

Gruß
Dobby
Bitte warten ..
Mitglied: Dani
03.06.2014 um 21:08 Uhr
Guten Abend Stephan,
kritische Services haben wir 1:1 in der Testumgebung. Meist lässt die Lizenzvereinbarung zu, die Software im Lab zu installieren ohne Mehrkosten. Ansonsten wird die Lizenz nochmals gekauft. Schließlich kann ein Produktionsausfall teuer werden.

Windows Updates werden manuell zeitnah im Testlab eingespielt und danach wird eine geplante Task mit einem Skript gestartet. Das verschiedene Tests in den nächsten 48 Stunden durchführt. Einfach zu schauen, ob Dienste / Anwendungen spinnen oder defekt sind.

Die Anwedersoftware wird in Absprache der Fachabteilungen zuerst im Testlab hochgezogen. 3-4 Wochen getestet und nachgebessert und wenn alles "okay" ist, wirds produktiv eingespielt.

Bei den Clients wird jedes Wochenende Software nachts verteilt. Wir haben 85% alle Arbeitsplätze virtualisiert. Sollte am Montagmorgen etwas größeres sein, wird der Snapshot von letzte Woche eingespielt. Dauert keine 10 Minuten und weiter geht's.

Wir nutzen ebenfalls SCCM. Große Kanone für großes Netzwerk.


Grüße,
Dani
Bitte warten ..
Mitglied: DerWoWusste
03.06.2014, aktualisiert um 21:53 Uhr
Hi.

Nutze WSUS seit der allerersten Stunde (Windows 2000). Noch nie hat ein Test einen Fehler herbeigeführt..., obwohl die Testmaschinen Maschinen aus dem Produktivnetzwerk sind mit gleicher Softwareausstattung. Tests vor 2 Jahren endgültig eingestellt, brachten mir persönlich rein gar nichts (und seitdem auch noch nicht ein Problem gehabt). Unser Backupkonzept ist dermaßen ausgewogen, dass es eigentlich alles schnell abfangen kann, bei unserer Firmengröße zumindest.
Das wäre dann auch mein Tipp an Dich: fang damit an, den Aufwand für Tests einzuschätzen. Wenn der überschaubar scheint, dann erst überlege Dir, was Du wirklich an Vorteilen haben könntest mit Tests. Nächster Schritt: spiele den "was-wäre-wenn-Fall" durch - wie sähe Dein Konzept aus, wenn ein Update tatsächlich mal etwas zerstört, evtl. gar großflächig.
Bitte warten ..
Mitglied: nikoatit
04.06.2014, aktualisiert um 09:45 Uhr
Moin,

wir haben eine SAMBA/Linux Domäne, aber Windows Clients.
Daher setzen wir auf OPSI, welches genau die Anforderungen erfüllt (von Linux nach Windows verteilen).
Bei der Firma UIB haben wir außerdem einen Service-Vertrag für Windows Updates.
Dadurch bekommen wir immer schnell nach Release automatisch ein Paket mit neusten Windows-Updates direkt in unser OPSI gepumpt.
OPSI selbst ist OpenSource und man kann darüber eigentlich alles verteilen und auch sein Lizenzmanagement (kostenpflichtiges Addon) betreiben.
Ach und unsere Clients werden auch darüber aufgesetzt
Der Windows-Update vertrag kostet auch jährlich, aber die Preise sind mehr als Fair.

Gruß
Bitte warten ..
Mitglied: sysinfo
06.06.2014 um 09:42 Uhr
Hallo,

vielen dank für die Antworten. Leider sind fast alle auf die technischen Möglichkeiten der Verteilung eingegangen. Mich hätte aber viel mehr interresiert wie ihr die Updates überprüft. Trotzdem möchte ich mich für die Nachrichten bedanken und werde wohl noch etwas nach diesem Thema suchen. Ich hatte nur nicht so viel darüber gefunden.

Gruß

Stephan
Bitte warten ..
Mitglied: DerWoWusste
06.06.2014 um 11:15 Uhr
Du hast von mir Vorschläge erhalten, geh ruhig darauf ein, wenn Du Rückfragen hast. Niermand wird Dir abnehmen können, die Wichtigkeit von Tests selber zu beurteilen und Testkonzepte zu entwerfen, da nur Du Deine Netze und Anwendungen kennst.

Tests sollten durchgeführt werden, wenn der Aufwand gerechtfertigt ist. Aus meiner Erfahrung kann ich nur sagen: es geht sehr selten etwas schief, deshalb ist der Testaufwand oft zu hoch und für meinen Geschmack somit schwer zu rechtfertigen. Bei "hochkritischen Anwendungen" (z.B. von Kunden genutzte Webserver, bei denen jede Minute Ausfallzeit mächtig Geld kostet), hat man eh Redundanz/ein Backupkonzept. DIese Redundanzserver sollte man nicht gleichzeitig patchen - soviel sollte klar sein.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Sicherheitsgrundlagen
Patch-Management Katalog wie Shavlik (1)

Frage von tombola22 zum Thema Sicherheitsgrundlagen ...

Windows Server
Fehlermeldung "DotNet Memory Management Global " (5)

Frage von xXEddiXx zum Thema Windows Server ...

LAN, WAN, Wireless
WLAN Management Verteilung (5)

Frage von eyetSolutions zum Thema LAN, WAN, Wireless ...

SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

Heiß diskutierte Inhalte
DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (10)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (9)

Frage von 1410640014 zum Thema Backup ...