WSUS.DE - Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?)

Sprache wählen:

WSUS.DE › Windows Server Update Services › Installation und Konfiguration › Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?)

‹ Vorheriges Thema | Nächstes Thema ›

Seitenindex umschalten

Seiten: 1

Thema versenden

Normales Thema

Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) (Gelesen: 2858 mal)

Dean Winchester WSUS Junior Member Offline Beiträge: 21 Standort: Gmunden Mitglied seit: 20.04.10	Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) 01.05.10 um 09:01:53	Beitrag drucken
	Hallo Zusammen Ich richte mich erneut an die WSUS-Community. Meinen WSUS Server habe ich mittlerweile zum Laufen gebracht und obwohl mir das ein oder andere noch nicht vollständig klar ist, komme ich doch schon damit aus. Ich muss nun ein Patchkonzept erstellen, für die Server in meiner Umgebung. Es werden ausschliesslich Windows Server verwendet. Es gibt Windows 2000 Server, Windows 2003 und 2008 Server, und diese sind teilweise in Deutsch und in Englisch. (Patchen von Computer, also XP, Win7 etc. geschieht nicht über WSUS und soll auch nicht damit erfolgen!) Eine ganze Umgebung besteht - also mit Domain Controller, Active Directory, Exchange, DHCP, DNS, Fileserver usw. Ich nehme mal an, dass es hier im Forum doch den Ein oder Anderen gibt, der in einer ähnlichen Umgebung bereits ein solches Konzept erstellen musste. Meine Fragen sind eigentlich generell zum Aufbau des Konzepts. Welche Methode für die Patchung (Vollautomatisch, Halbautomatisch, Nur informieren, etc.) habt ihr verwendet und was ist in einer Umgebung mit oben angegeben Servern wichtg und zu beachten? Was empfehlt ihr? In welchen Zeitabständen sollen die Patchungen geschehne? Ein Wartungsfenster besteht, welches ein mal im Monat nach dem Patchdienstag von Microsoft an einem Wochenende (Freitagabend) ist. Sollen neue Patches gleich nach dem erscheinen bzw. am darauf Folgenden Wartungsfenster geschehen oder soll damit bis zum nächsten Wartungsfenster gewartet werden. Wie würdet ihr das entscheiden? Wie sollen die Patches getestet werden? Was muss beachtet werden und was muss Kontrolliert werden (spezielle Logs, Ereignisse etc.)? Wann soll und wie lange soll die Testphase für Patches erfolgen? Soll dies in der "live" Umgebung geschehen oder ist ein "Test"Umgebung empfehlenswert (Diese besteht aber so noch nicht und ist auch nicht geplant) Wie soll vorgegangen werden, wenn ein Patch Probleme verursacht. Weiterlaufen lassen bis zum nächsten Wartungsfenster, zu Randzeiten zurückspielen oder während des Tages, Deinstallieren des Patches, Image zurückspielen oder zu altem Snap - Shot wechseln. Wie können Patches deinstalliert werden? Gibt es die Möglichkeit vom WSUS aus oder muss dies auf der jeweiligen Maschine von Hand über die Softwareverwaltung geschehen? In was für einem Intervall sollen Patchungen geschehen? Alle Server auf einmal Patchen oder nur gewisse Server? Was für Tests sollen gemacht und protokolliert werden? Welche Patcharten (Sicherheitsupdates, empfohlenen, WSUSUpdates etc.) sollen mit welcher Methode geschehen? Ich glaube das sind so die wichtigsten Fragen die mir momentan im Kopf herumschwirren. *ACHTUNG: Alle Fragen sind zwar relativ Konkret gestellt, aber ich möchte erfahren wie ihr dabei vorgehen würdet und was ihr mir emfpiehlt, da ihr bestimmt schon länger erfahrung damit habt.* Ich bin für jede Hilfestellung dankbar und wenn euch noch etwas einfällt, was ich vergessen habe, dürft ihr dies gerne erwähnen und mir mitteilen. Falls ihr noch etwas wissen müsstet, einfach Fragen. Vielen Dank schon im Voraus und freundliche Grüsse Dean Winchester


	IP gespeichert Permalink für diesen Artikel

DESoft WSUS Experte Offline I Love WSUS!<br /> Beiträge: 702 Standort: Magdeburg Mitglied seit: 24.07.08	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #1 - 02.05.10 um 13:28:43	Beitrag drucken
	Hallo Dean, Dean Winchester schrieb on 01.05.10 um 09:01:53: Ich nehme mal an, dass es hier im Forum doch den Ein oder Anderen gibt, der in einer ähnlichen Umgebung bereits ein solches Konzept erstellen musste. Richtig und auch falsch ... es gibt unmengen unterschiedlicher Infrastrukturen. Da gibt es keine universelle Lösung. Die muss man mit Kreativität und dem Blick fürs Wesentliche schon selbst erarbeiten. Dean Winchester schrieb on 01.05.10 um 09:01:53: Patchen von Computer, also XP, Win7 etc. geschieht nicht über WSUS und soll auch nicht damit erfolgen! Warum das nicht ??? Für ein paar Server allein ist WSUS fast unwirtschaftlich. Als erstes solltes Du Deine Infrastruktur erkunden, Standorte und Netzwerke, Systeme und ihre Besonderheiten. Wenn hochsensible Dinger dabei sind muss getestet werden. Wenn das sehr speziell ist, muss sogar von qualifizierten Fachpersonal getestet werden => sprich ausgewählte Spezialisten testen an ihrem Lifesystem. Wir haben z.Bsp. SW ... da muss ich nochmal studieren, um das halbwegs zu bedienen. Da weis ich noch nicht mal ob und wann das Verhalten der Anwendungen "normal" ist. Hier ein kleiner Einblick in EINE mögliche Realisierung: Bei uns z. Bsp. gibt es einen WSUS-Loader, der bunkert über Nacht alles was angefordert wird und informiert über neue Updates. Am WSUS-Master wird genehmigt ... erst für die Testung ... dann für alle (keine Stichtagsgenehmigungen). In jedem Standort haben wir verteilte WSUS-Replika die Wünsche der Systeme in den Standorten abfackeln (Anlaufpunkte für die Masse und ständige Überprüfung durch örtlich zuständige Admins für vor-Ort-Fehlerbehandlung). Gesteuert wird alles über GPO's im AD. Systeme die nicht in AD integriert sind (Altlasten auf dem Weg in den Schrott) wurden per Script oder Reg-Datei konfiguriert. Updates werden nach Eingang sofort getestet und nach Unschädlichkeit ausgerollt (Zyklus max. 2 Tage) - KEINE automtische Genehmigung über Regeln. Die Masse arbeitet aber automatisch je nach Zweck, Verwendung und Verfügbarkeit - idR. ohne Zutun der Systembenutzer. Server werden manuell von zuständigen Admins aktualisiert. Die Abhängigkeiten bzgl. Reihenfolge etc. sind diesen bekannt. Wenn es nicht klappt ... gibt es was vor mir auf die Mütz. Hmm ... ich schreib doch wohl jetzt nicht etwa Deine Bachie-Arbeit ??? Gruß Dani


	IP gespeichert Permalink für diesen Artikel

UMeadow WSUS Spezialist Offline I Love WSUS! Beiträge: 1381 Standort: Berlin Mitglied seit: 22.01.08 Geschlecht:	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #2 - 03.05.10 um 11:55:04	Beitrag drucken
	DESoft schrieb on 02.05.10 um 13:28:43: Hmm ... ich schreib doch wohl jetzt nicht etwa Deine Bachie-Arbeit ??? Machst Du doch gerne Dean Winchester schrieb on 01.05.10 um 09:01:53: Es gibt Windows 2000 Server Vorab gleich mal, dafür wirst Du demnächst keine Updates mehr erhalten. Dean Winchester schrieb on 01.05.10 um 09:01:53: Welche Methode für die Patchung (Vollautomatisch, Halbautomatisch, Nur informieren, etc.) habt ihr verwendet und was ist in einer Umgebung mit oben angegeben Servern wichtg und zu beachten? Welche Methode Du nutzt hängt ganz von Deiner Infratruktur ab, so wie Dani geschrieben hat. Generell benutzen wir für die Server keine automatischen Updates. Die Updates werden getestet und dann zeitnah zum Wartungsfenster installiert. Der fällige Neustart wird dann im Wartungsfenster durchgeführt. Für die Clienst werden kritische Updates automatisch installiert, alle anderen Updates werden getestet und dann zur Installation freigegeben. Gesteuert wird Alles per GPO. Ansonsten kann ich mich nur Dani anschliessen. Und vorhandene White Paper von MS studieren.


	IP gespeichert Permalink für diesen Artikel

Dean Winchester WSUS Junior Member Offline Beiträge: 21 Standort: Gmunden Mitglied seit: 20.04.10	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #3 - 05.05.10 um 08:51:08	Beitrag drucken
	Danke ihr Beiden ^-^ @Dani: Keine Angst, hast Du nicht. ^-^ Jetz mal noch eine dumme frage von mir. Wie genaut testet ihr denn die Updates? Also Ereignislogs kurz anschauen, Dienste kontrollieren, und was noch? Irgendwie fehlt mir beim Testen noch der Druchblick. Die Whitepaper von MS habe ich natürlich schon studiert und eine Vorstellung, wie das ganze aussehen sollte habe ich ausch schon, aber eben, das Testen macht mir noch Schwirigkeiten. Nochmals Danke und freundliche Grüsse Dean


	IP gespeichert Permalink für diesen Artikel

UMeadow WSUS Spezialist Offline I Love WSUS! Beiträge: 1381 Standort: Berlin Mitglied seit: 22.01.08 Geschlecht:	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #4 - 05.05.10 um 11:55:55	Beitrag drucken
	Dean Winchester schrieb on 05.05.10 um 08:51:08: Wie genaut testet ihr denn die Updates? Nach den Kriterien: funktioniert die Installation funktioniert der Client hinterher wie erwartet gibt es Rückwirkungen auf andere Programme gibt es irgendwelche Hinweise auf Probleme im Internet -) Probleme im Ereignislog Aber das alles natürlich abhängig vom Update, bei einem kritischem Update muss man sich überlegen wie lange und ob man überhaupt zögern kann dieses Update einzuspielen. Ein Update wie den IE8 sollte und muss man ausgiebiger Testen.


	IP gespeichert Permalink für diesen Artikel

Dean Winchester WSUS Junior Member Offline Beiträge: 21 Standort: Gmunden Mitglied seit: 20.04.10	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #5 - 10.05.10 um 13:08:38	Beitrag drucken
	Danke für die Antwort ^-^ Ich stosse wieder an eine weiter Frage. Bei der Klassifizierung kann man ja zwischen mehreren wählen. Also: Sicherheitsupdates, Definitionsupdates, Service Packs, Feature Packs, Tools, Treiber, Update-Rollups, Updates und wichtige Updates. Ich würde hier nur Sicherheitsupdates, Definitionsupdates und wichtige Updates wählen. Die Anderen kommen aus meiner Sicht nicht in Frage. Unschlüssig bin ich mir aber bei den normalen Updates, also die Updates. Würdet ihr diese mit einbeziehen? Es geht in diesem Schritt hauptsächlich um das anzeigen und runterladen der Updates. Als nächste Frage stellt sich mir, ob es sich emfpiehtl, beispielsweise für Sicherheitsupdates oder Definitionsupdates regeln zu erstellen, die eine Automatische Genehmigung zur Folge haben oder nicht. Wie würdet ihr das machen? Und wie sieht es aus beim Updaten des WSUS. Standartmässig ist ja drin, das die Updates automatisch genehmigt werden. Ist das empfehlenswert und wieso? Eine weitere Frage habe ich noch, denn ich habe es nicht herausfinden könne. Die Updates für den WSUS Selbst, wie werden die installiert? Muss ich den WSUS selbst auch als Client hinzufügen, damit die Updates verteilt werden? Danke scho mal und freundlichen Gruss Dean


	IP gespeichert Permalink für diesen Artikel

Sunny Microsoft MVP Offline Beiträge: 15136 Mitglied seit: 11.02.07 Geschlecht:	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #6 - 10.05.10 um 16:31:01	Beitrag drucken
	Dean Winchester schrieb on 10.05.10 um 13:08:38: Ich stosse wieder an eine weiter Frage. Bei der Klassifizierung kann man ja zwischen mehreren wählen. Also: Sicherheitsupdates, Definitionsupdates, Service Packs, Feature Packs, Tools, Treiber, Update-Rollups, Updates und wichtige Updates. Ich würde hier nur Sicherheitsupdates, Definitionsupdates und wichtige Updates wählen. Die Anderen kommen aus meiner Sicht nicht in Frage. Unschlüssig bin ich mir aber bei den normalen Updates, also die Updates. Bis auf SPs und Treiber würde ich erstmal alles anhaken. KB943729 brauchst Du beispielsweise in einer Windows Domain, wenn Du die Group Policy Preferences von >VISTA auch auf XP-Clients nutzen möchtest. KB943729 ist in den Feature Packs zu finden. SPs gebe nicht frei, da ich die bisher immer via GPO im AD ausgerollt hatte. Dean Winchester schrieb on 10.05.10 um 13:08:38: Würdet ihr diese mit einbeziehen? Es geht in diesem Schritt hauptsächlich um das anzeigen und runterladen der Updates. Um welches anzeigen denn? Dean Winchester schrieb on 10.05.10 um 13:08:38: Als nächste Frage stellt sich mir, ob es sich emfpiehtl, beispielsweise für Sicherheitsupdates oder Definitionsupdates regeln zu erstellen, die eine Automatische Genehmigung zur Folge haben oder nicht. Wie würdet ihr das machen? Ähm, ich hab so den Eindruck, Du lässt uns deine Abschlußaufgabe erstellen. Nein, darauf hab ich keine Lust. Dean Winchester schrieb on 10.05.10 um 13:08:38: Und wie sieht es aus beim Updaten des WSUS. Standartmässig ist ja drin, das die Updates automatisch genehmigt werden. Ist das empfehlenswert und wieso? Hast Du dir die WSUS-Updates mal anzeigen lassen? Nein, denn ansonsten würdest Du nicht so eine Frage stellen. Dean Winchester schrieb on 10.05.10 um 13:08:38: Eine weitere Frage habe ich noch, denn ich habe es nicht herausfinden könne. Die Updates für den WSUS Selbst, wie werden die installiert? Muss ich den WSUS selbst auch als Client hinzufügen, damit die Updates verteilt werden? Du suchst gar nicht, Du fragst einfach nur hier. Nein, die Faulheit unterstütz ich nicht mehr.


	IP gespeichert Permalink für diesen Artikel

Dean Winchester WSUS Junior Member Offline Beiträge: 21 Standort: Gmunden Mitglied seit: 20.04.10	Re: Erstellen eines Patchkonzeptes (Vorgehen, Testing, Was beachten?) Antwort #7 - 11.05.10 um 09:21:26	Beitrag drucken
	Sunny schrieb on 10.05.10 um 16:31:01: Dean Winchester schrieb am Gestern um 13:08:38: Ich stosse wieder an eine weiter Frage. Bei der Klassifizierung kann man ja zwischen mehreren wählen. Also: Sicherheitsupdates, Definitionsupdates, Service Packs, Feature Packs, Tools, Treiber, Update-Rollups, Updates und wichtige Updates. Ich würde hier nur Sicherheitsupdates, Definitionsupdates und wichtige Updates wählen. Die Anderen kommen aus meiner Sicht nicht in Frage. Unschlüssig bin ich mir aber bei den normalen Updates, also die Updates. Bis auf SPs und Treiber würde ich erstmal alles anhaken. KB943729 brauchst Du beispielsweise in einer Windows Domain, wenn Du die Group Policy Preferences von >VISTA auch auf XP-Clients nutzen möchtest. KB943729 ist in den Feature Packs zu finden. SPs gebe nicht frei, da ich die bisher immer via GPO im AD ausgerollt hatte. Hmm... OK. Das habe ich natürlich bisher von einer andere Seite angesehen. Das ich ja lediglich Server im Einsatz habe, werde ich aber lieber blso bei den Sicherheits-, Definitions- und den wichtigen Updates bleiben. Damit kann die Aktualität und Sicherheit bis zu einem gewissen Grad garantiert werden und ich glaube, dass das auch genügen wird. Aber danke für deine Meinung. Sunny schrieb on 10.05.10 um 16:31:01: Dean Winchester schrieb am Gestern um 13:08:38: Würdet ihr diese mit einbeziehen? Es geht in diesem Schritt hauptsächlich um das anzeigen und runterladen der Updates. Um welches anzeigen denn? Bei den AUOptions habe ich den Wert 3 gesetzt, vorher 2, aber ich habe mich nochmals genauer erkundigt und nach einem Test muss ich zugeben, das der Wert 3 effektiver ist als 2. Somit werden die genehmigten Updates auf die Server geladen, aber nicht installiert und als Sysadmin kann ich dann noch immer sagen, das gewisse Updates nicht mitinstalliert werden. Sunny schrieb on 10.05.10 um 16:31:01: Dean Winchester schrieb am Gestern um 13:08:38: Als nächste Frage stellt sich mir, ob es sich emfpiehtl, beispielsweise für Sicherheitsupdates oder Definitionsupdates regeln zu erstellen, die eine Automatische Genehmigung zur Folge haben oder nicht. Wie würdet ihr das machen? Ähm, ich hab so den Eindruck, Du lässt uns deine Abschlußaufgabe erstellen. Nein, darauf hab ich keine Lust. Dean Winchester schrieb am Gestern um 13:08:38: Und wie sieht es aus beim Updaten des WSUS. Standartmässig ist ja drin, das die Updates automatisch genehmigt werden. Ist das empfehlenswert und wieso? Hast Du dir die WSUS-Updates mal anzeigen lassen? Nein, denn ansonsten würdest Du nicht so eine Frage stellen. Dean Winchester schrieb am Gestern um 13:08:38: Eine weitere Frage habe ich noch, denn ich habe es nicht herausfinden könne. Die Updates für den WSUS Selbst, wie werden die installiert? Muss ich den WSUS selbst auch als Client hinzufügen, damit die Updates verteilt werden? Du suchst gar nicht, Du fragst einfach nur hier. Nein, die Faulheit unterstütz ich nicht mehr. Nein Sunny, so ist das wirklich nicht. Ihr erstell mir hier nichts... ich brauche nur empfehlungen wie es andere machen, und ich dachte die würde ich halt hier am besten bekommen. Das bedeutet aber noch lange nicht, das ich eure Empfehlungen umsetzen möchte. Es nimmt mich einfach nur wunder wie es auch gelöst werden kann. Und klar habe ich mir dien WSUS-Updates angesehen und diese sind ja auch genehmigt, aber die Meldung oberhalb der Updatebeschreibung verwirrt mich einfach total. Siehe Bild im Anhang. Und zu deiner letzten Aussage. Klar suche ich zuerst das Forum durch, dann Frage ich mal bei Google nach. Aber ich habe nichts gefunden, deshalb Frage ich auch. Wenn Du mir nicht Helfen möchtest, kann ich nicht daran verändern, das ist nunmal so. Aber ich möchte nur, dass Du verstehst, dass ich hier nichts "abschreiben" möchte, sonder mir nur Empfehlunge hole, um nicht bloss auf meinen Gedanke sitzen zu bleiben, da diese ja unter Umständen falsch sein könnten. Nun denn, Danke für deine Antwort und freundliche Grüss Dean


	IP gespeichert Permalink für diesen Artikel

Seitenindex umschalten

Seiten: 1

Thema versenden

‹ Vorheriges Thema | Nächstes Thema ›

Bookmarks:

Google

Google+

Yahoo

« Übersicht ‹ Forum oben

oben

Nutzungsbedingungen | Datenschutz
Kontakt | RSS | Feedback | Impressum
Facebook | News einsenden

WSUS.DE » Powered by YaBB 2.6.11!
YaBB Forum Software © 2000-2024. Alle Rechte vorbehalten.

Valid XHTML

Valid CSS

Powered by Perl

Source Forge