Bestpraxis PM für Server

Moderator: MVogt

Post Reply
variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Bestpraxis PM für Server

Post by variosity » 25. Jan 2019, 15:00

Hallo Zusammen,
ich stehe im Bezug auf das Serverpatchen und neu Stagen dieser gerade auf Kriegsfuss und seh wahrscheinlich den Wald vor lauter Bäumen nicht.
Ist zustand:
PM Scan läuft jeden Abend auf den Server, das Fix Paket ist scheduled auf einen bestimmten Tag im Monat wo wir ein Wartungsfenster haben.

Wenn ich nun ein neuen Server Stage installiert er alles Vollständig bis auf das Fix Paket, ich gehe davon aus da es an dem Tag nicht laufen darf.
Überfällige Job nachholen darf ich nicht, da die Produktion bei Patch/Agent Fehlern in der Nacht danach dann ja wieder laufen würden und booten.

Mich nervt es aber, das Fix manuell durchführen zu müssen, oder gar ein separaten Stagingordner zu betreiben, das der Zieltag der Server dort schon abgebildet werden muss damit ich den dann zu sortieren kann.

Hat jemand eine Idee, warum schafft Emp. es nicht beim neu aufsetzten den Paket Scheduler zu übersteuern, das Agentenzeitfenster übersteuert er ja auch?!?

GRuss und Dank
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

mrstone10
Posts: 12
Joined: 26. Jun 2008, 10:54
Contact:

Re: Bestpraxis PM für Server

Post by mrstone10 » 01. Feb 2019, 08:08

Hallo,

Wir haben das gleiche Problem. Habt ihr dafür schon eine Lösung gefunden?

Teilweise werden die benötigten Reboots nach dem dem Patchlauf nicht durchgeführt wie Stellt ihr sicher das die Neustarts durchgeführt werden?

Danke & LG
Thomas

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: Bestpraxis PM für Server

Post by variosity » 01. Feb 2019, 10:14

mrstone10 wrote: 01. Feb 2019, 08:08 Hallo,

Wir haben das gleiche Problem. Habt ihr dafür schon eine Lösung gefunden?

Teilweise werden die benötigten Reboots nach dem dem Patchlauf nicht durchgeführt wie Stellt ihr sicher das die Neustarts durchgeführt werden?

Danke & LG
Thomas
Hoi Thomas,
endlich ein Leidensgenosse, ich dachte wir wären die einzigen mit den Problemen. Das mit den Reboots kennen wir, System steht Agent Icon grau mit der Info "die installierten Updates benötigen ein Reboot" oder so ähnlich.
Unsere Lösung willst du gar nicht wissen... Wir bleiben 2 Nächte von 21:00 - morgen 04:00 und beheben alle hängenden Reboots + Patchfehlern. Das ist weder erfreulich für uns noch für die Firma und daher immer ein Dorn im Auge.
Ich würde mich über ein regen Austausch freuen, da scheinbar nicht viele WPM als Server Deployment nutzen.
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

MaMa82
Posts: 344
Joined: 10. Jun 2011, 13:56
Contact:

Re: Bestpraxis PM für Server

Post by MaMa82 » 01. Feb 2019, 10:25

Hallo!

Ja, das kann ich bestätigen - PM im Serverumfeld ist eher ein heikles und somit seltenes Unterfangen in vielen Umgebungen.
Wir nutzen selbst das PM nur für die Client-Landschaft - Server werden mittels GPO und WSUS gepatcht.

Ggfs. könnte man eine Kopie des Scan/Fix-Pakets erstellen, anpassen und die Verteilung anpassen.
Wie ist denn Euer Agent Template für die Server konfiguriert? (Suppress Reboot?)

PS: Wieso manuelles Ausführen des Fix Pakets?
Grüße MaMa82


PS: EDV steht nicht für "Elektronische Datenverarbeitung", sondern vielmehr für "ENDE DER VERNUNFT"! :roll:

MaMa82
Posts: 344
Joined: 10. Jun 2011, 13:56
Contact:

Re: Bestpraxis PM für Server

Post by MaMa82 » 01. Feb 2019, 10:33

Wenn es um Neuinstallationen geht, könnte man auch über eigene Lösungen die WIM-files zyklisch, automatisch patchen lassen.
Grüße MaMa82


PS: EDV steht nicht für "Elektronische Datenverarbeitung", sondern vielmehr für "ENDE DER VERNUNFT"! :roll:

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: Bestpraxis PM für Server

Post by variosity » 01. Feb 2019, 10:44

MaMa82 wrote: 01. Feb 2019, 10:25 Hallo!

Ja, das kann ich bestätigen - PM im Serverumfeld ist eher ein heikles und somit seltenes Unterfangen in vielen Umgebungen.
Wir nutzen selbst das PM nur für die Client-Landschaft - Server werden mittels GPO und WSUS gepatcht.

Ggfs. könnte man eine Kopie des Scan/Fix-Pakets erstellen, anpassen und die Verteilung anpassen.
Wie ist denn Euer Agent Template für die Server konfiguriert? (Suppress Reboot?)

PS: Wieso manuelles Ausführen des Fix Pakets?
Natürlich ist der Reboot nicht unterdrückt, ein grossteil der Server bootet ja auch mit gleichem Template.

manuelles Ausführen des Fix nur beim Stagen wenn man das Fix Paket scheduled hat auf z.B. einmalig am 4.Do im Monat ab 21Uhr. Dann läuft es auch bei einem der neu aufgesetzt wird auch nur am 4.Do. um 21Uhr.
Wie beschrieben ist die Option überfällige Jobs nachholen für Server ist bei uns nicht zulässig, da wir uns strickt an die Wartungsfenster halten müssen.
Ein zusätzlicher Staging Ordner mit einem anderen Fix und danach wieder neu Zuweisen ist nicht Ziel einer Automatisierung. Da wir x verschiedene Zeitfenster haben ist auch ein automatisiertes Script zum neu zuweisen nicht möglich.

Es ist genau so schrecklich, wie ein Agent mit 3. Do. 23-01Uhr definieren und er Patcht dann schon von Mi. auf Do. nicht Do. auf Fr.! Für den Agent ist es Do. und 0-1Uhr darf er was machen. Eigentlich müsste es sein 3. Do. 23-00 und Fr.00-01Uhr, aber das geht auch nicht, da die Nacht 4. Do. nicht immer auf den 4.Fr. ist. Besser wäre Aktivität des Agenten von 3.Do. 23Uhr für X Std. Aktiv setzten zu können.
Habe es schon als Idee eingereicht, aber das Clients scheinbar überall immer alles machen dürfen und nie diese Einschränkungen haben wird dort auch nichts passieren. Server sind und bleiben ein Minderheit.

GPO und WSUS ist bei uns kein Thema da wir 3rd. Party jeden Monat updaten müssen und das über x Kunden und Server. Da werden wir mit Rollout Planung Koordinierung und Wartungsfenster nie fertig.

Wir werden dieses Jahr nicht um ein Poc und Evaluierung anderer Möglichkeiten drum rum kommen.
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

mrstone10
Posts: 12
Joined: 26. Jun 2008, 10:54
Contact:

Re: Bestpraxis PM für Server

Post by mrstone10 » 01. Feb 2019, 10:46

Ja, da geht es um die Neuinstallation. Die Anpassung der WIM ist natürlich der letzte Ausweg aber die Arbeit sollte eigentlich Empirum für uns erledigen.

Der Reboot wird derzeit im Agent Template nicht unterdrückt aber auch nicht erzwungen. Falls ein Admin Software während der Produktion installiert damit der Server nicht sofort durchstartet.

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: Bestpraxis PM für Server

Post by variosity » 01. Feb 2019, 10:48

MaMa82 wrote: 01. Feb 2019, 10:33 Wenn es um Neuinstallationen geht, könnte man auch über eigene Lösungen die WIM-files zyklisch, automatisch patchen lassen.
im Prinzip eine Gute Idee, aber jedes System wir vor der Übergabe an den Appl. Verantwortlichen auch Schwachstellen geprüft. Vorher gibt es keine OS-RDY Abnahme.
Ausserdem ist bei uns der Testprozess nach den Wim Patchen erheblich, da wir jedes Feature nachinstallieren können müssen. Server 2012R2 hat bis Dato immer noch die Anwandlung nach dem WIM Patchen nie mehr .Net 3.5 Feature nachinstallieren zu können, egal aus welchen Sourcen.
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

MaMa82
Posts: 344
Joined: 10. Jun 2011, 13:56
Contact:

Re: Bestpraxis PM für Server

Post by MaMa82 » 01. Feb 2019, 10:58

Ich muss nochmals ganz unbedarft nachfragen - was verstehst du unter einem "zusätzlichen Staging Ordner"?
Grüße MaMa82


PS: EDV steht nicht für "Elektronische Datenverarbeitung", sondern vielmehr für "ENDE DER VERNUNFT"! :roll:

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: Bestpraxis PM für Server

Post by variosity » 01. Feb 2019, 12:52

MaMa82 wrote: 01. Feb 2019, 10:58 Ich muss nochmals ganz unbedarft nachfragen - was verstehst du unter einem "zusätzlichen Staging Ordner"?
Also wir haben die Server 1x in einer Configurations Gruppe. Dort gibt es SW die für alle Server Standard sind inc. das Scan Paket welches jeden Abend ab 21Uhr einmal läuft.

Dann gibt es ein Zuweisungsgruppe PM, das gibt es pro Wartungsfenster je mit einem zeitgesteuertem Fix Paket Bsp. 3. Do. ab 21Uhr.

Beim neu installieren läuft das Fix Paket aber erst am 3. Do. um 21Uhr und nicht dirket beim Stagen.

Also muss es eine 2. Zuweisungsgruppe geben mit einem Fix Paket welches kein Scheduler hat, danach muss ich es in die Richtige Zuweisungsgruppe verschieben, damit es in der Produktion Patchzyklus kommt. Dafür muss ich aber immer wieder die Bestellung öffnen und schauen wann der richtige Zeitpunkt ist.

Ja man könnte das Fix auch in die Konfiggruppe packen, aber erfahrungsgemäss wird es dort ber der tiefe der Strukturen vergessen.
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

marc.schneider
Posts: 224
Joined: 29. Mar 2010, 12:26
Location: Magdeburg
Contact:

Re: Bestpraxis PM für Server

Post by marc.schneider » 04. Feb 2019, 14:16

Hallo variosity,

ich würde das Fix-Paket (ohne weitere Verteilungseigenschaften) einfach der Servergruppe zuweisen. Dann läuft DIESES Paket auf jeden Fall einmal bei der Installation und erhält danach ein "ready" und läuft nie wieder.
Über eine andere Gruppe solltest Du aber problemlos ein "zeitgesteuertes" Fix-Paket zusätzlich zuweisen können.

Viel Erfolg
Marc
--
Ärztekammer Sachsen-Anhalt
39120 Magdeburg
http://www.aeksa.de
--

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: Bestpraxis PM für Server

Post by variosity » 04. Feb 2019, 14:50

marc.schneider wrote: 04. Feb 2019, 14:16 Hallo variosity,

ich würde das Fix-Paket (ohne weitere Verteilungseigenschaften) einfach der Servergruppe zuweisen. Dann läuft DIESES Paket auf jeden Fall einmal bei der Installation und erhält danach ein "ready" und läuft nie wieder.
Über eine andere Gruppe solltest Du aber problemlos ein "zeitgesteuertes" Fix-Paket zusätzlich zuweisen können.

Viel Erfolg
Marc
Das werde ich mal testen, nicht das es dann vom Scan Paket an getriggert wird. Danke für den Tipp
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

AKießling
Posts: 41
Joined: 13. Feb 2018, 12:20
Contact:

Re: Bestpraxis PM für Server

Post by AKießling » 05. Feb 2019, 12:29

mrstone10 wrote: 01. Feb 2019, 08:08 Hallo,

Wir haben das gleiche Problem. Habt ihr dafür schon eine Lösung gefunden?

Teilweise werden die benötigten Reboots nach dem dem Patchlauf nicht durchgeführt wie Stellt ihr sicher das die Neustarts durchgeführt werden?

Danke & LG
Thomas
Moin zusammen,

da wir seit einigen Tagen auch das Problem haben, dass auf unseren RDS-Servern das PM nach dem Durchlauf keinen Reboot durchführt, würde es mich mal interessieren, ob jemand hierfür einen Lösung hat?

Ansonsten müssten wir uns hierfür vorerst eine Lösung "scripten", dass die Server neu gestartet werden, weil diese sonst im Wartungsmodus verweilen.

Danke
Empirum 22.0.1.6711 + WinPE v1.8.16; SQL Server 2019; Windows Server 2016 Datacenter

variosity
Posts: 107
Joined: 27. Nov 2008, 11:45
Location: CH-7000 Chur
Contact:

Re: Bestpraxis PM für Server

Post by variosity » 05. Feb 2019, 15:10

AKießling wrote: 05. Feb 2019, 12:29
mrstone10 wrote: 01. Feb 2019, 08:08 Hallo,

Wir haben das gleiche Problem. Habt ihr dafür schon eine Lösung gefunden?

Teilweise werden die benötigten Reboots nach dem dem Patchlauf nicht durchgeführt wie Stellt ihr sicher das die Neustarts durchgeführt werden?

Danke & LG
Thomas
Moin zusammen,

da wir seit einigen Tagen auch das Problem haben, dass auf unseren RDS-Servern das PM nach dem Durchlauf keinen Reboot durchführt, würde es mich mal interessieren, ob jemand hierfür einen Lösung hat?

Ansonsten müssten wir uns hierfür vorerst eine Lösung "scripten", dass die Server neu gestartet werden, weil diese sonst im Wartungsmodus verweilen.

Danke
Hast du im Agenttemplate den erzwungenen Neustart in X Minuten aktiviert? Ich bin damit noch nicht zum testen gekommen.
Gruss und Dank
Heiko
WPM v21.0.3 UEM 2108.1.2 SFR

Bank on IT - inventx
IT-Partner für führende Finanz- und Versicherungsdienstleister

AKießling
Posts: 41
Joined: 13. Feb 2018, 12:20
Contact:

Re: Bestpraxis PM für Server

Post by AKießling » 05. Feb 2019, 19:38

Kann ich morgen nochmal prüfen, aber ich bin mir sicher, dass das bei unserem AgentSrv-Template aktiviert ist, weil die Neustarts bisher immer ordnungsgemäß funktioniert haben; nur seit einigen Tagen nicht mehr.

Kann euch morgen mal ein Update geben, weil einige Server heute Nachts PM-Updates bekommen sollten..

Update 08.02.:
Wir hatten heute wieder zwei RDS-Server, die im Status Reboot Pending für das Fix-Paket standen & somit auch im Wartungsmodus verweilt sind, weil kein Neustart durch das PM durchgeführt wurde; wie sonst eigtl. üblich..
Wenn ich das heute richtig gesehen habe, waren in diesem PM-Lauf, auch die gleichen Windows-Srv Updates inbegriffen, wie vor 2 Wochen in meiner Testgruppe, in der die Neustarts auch nicht ausgelöst wurden..

Ich hab jetzt über geplante Aufgaben (Aufgabenplanung) einen Neustart eingestellt, der ca. 1Std. nach den PM-Zeiten (Agentenzeiten) durchgeführt wird.. Unschön, aber besser als das der entsprechende Server bzw. die Server am nächsten Tag nicht für Anmeldungen bereit stehen.

Vielleicht kann sich ja jemand von Matrix42 zu dieser Problematik mal melden.
Haben zwar nicht das Empirum Update 2 (18.0.2) installiert, aber es gibt ja einige hier, die das bereits installiert haben & auch die genannten Probleme haben..
Empirum 22.0.1.6711 + WinPE v1.8.16; SQL Server 2019; Windows Server 2016 Datacenter

Post Reply

Return to “Patch Management”

Who is online

Users browsing this forum: No registered users and 2 guests