Empirum - Patch Management 18.0 PM-Log in­kor­rekt

Moderator: MVogt

Post Reply
AKießling
Posts: 41
Joined: 13. Feb 2018, 12:20
Contact:

Empirum - Patch Management 18.0 PM-Log in­kor­rekt

Post by AKießling » 26. Jul 2018, 16:38

Hallo zusammen,

ich bin gerade dabei die letzten Anpassungen an unserem neuen Empirum v18 Server abzuschließen.

Die OS-Installation (Windows 10) inkl. Treiberintegration über ein WinPE funktionieren hierbei bisher ganz gut. Nachdem der Client bei der Installation der Domäne beigetreten ist wird anschließend auch der Empirum Agent und im Anschluss daran alle zugewiesenen Softwarepakete installiert.

Mir ist hierbei aufgefallen, dass nachdem die Pakete vom Server auf den Client heruntergeladen wurden, er als erstes mit dem Mx42 Patch Management Scan Paket beginnt, was erst einmal auf Failure geht, warum auch immer, obwohl dies nicht als erstes in der Reihenfolge drankommen dürfte. Habe hierzu noch keine aussagekräftigen Log-Dateien gefunden, was hier fehlschlägt. Meine Vermutung liegt auf der fehlenden .net Framework 4.6 Installation auf dem Client, die erst mit dem entsprechenden Paket durchgeführt wird.

Kann ich das irgendwo fest definieren - ich habe zwar Registergruppen für meine Pakete erstellt, worin das Patch-Management von der Reihenfolge her ganz am Ende (98_Final) eingeordnet ist, aber dies wird nach der OS-Installation ignoriert.

https://picload.org/view/dlaagrrr/register.jpg.html

Nachdem all unsere anderen Standard-Pakete - Office 2016, E-Mail-Programm, etc. - erfolgreich durchgelaufen sind wird das Scan-Paket erneut angestoßen & läuft dann erfolgreich durch.

Kann die Reihenfolge der Pakete allgemein definiert werden? Ich bin davon ausgegangen, dass er hierbei die Reihenfolge nimmt wie Pakete in den Registergruppen zugeordnet sind?
__

Mir ist auch noch aufgefallen, dass mir das Patch-Management Scan-Paket die installierten Patches auf den Clients im PM-Log nicht korrekt anzeigt, obwohl laut dem Updateverlauf unter Windows alle Windows-, Office- und Applikations-Updates korrekt installiert sind.

Das könnte bei einigen Clients auch daran liegen, dass nachdem die OS-Installation, sowie alle Standard-Pakete erfolgreich durchgelaufen sind, das Patch Management alle vorhandenen Updates für den Client herunterlädt und anschließend installiert; Tritt bei der Patch-Installation ein Fehler mit einem Patch auf, was er mir auch im Error-Log - Während der Installation von Patches ist ein Fehler aufgetreten - hinterlegt, dann lädt er im zweiten Scan- & Fix-Anlauf nochmal alle Updates, auch wenn diese evtl. bereits installiert sind, herunter und installiert anschließend aber nur noch die fehlenden.

Doch leider werden dadurch keinerlei erfolgreich installierte Updates mehr im PM-Log als Success markiert.

Läuft das Pacht-Management auf einem Client, nach der OS-Installation, ohne Fehler durch, dann werden auch alle installierten Updates im PM-Log als Install - Success angezeigt.
Die hier grün umrahmten Updates sind zwei Tage nach der Client-Grundinstallation installiert worden und werden auch ordnungsgemäß als Install - Success angezeigt, wie es ja sein soll. Die anderen Patches vom Vortag bzw. von der Grundinstallation bleiben weiterhin mit Download - Success hinterlegt.

https://picload.org/view/dlaagria/pm-log.jpg.html

Mir scheint, als ob hier das Scan-Paket die bereits installierten Patches nicht sauber scannt und als installiert erkennt.

In der lastScanResult.xml unter C:\Windows\EmpirumAgent\PatchManagement\Repository\Endpoint auf diesem Client werden die installierten Updates auch aufgelistet und haben jeweils ein InstallDate, sowie den Status="Installed" hinterlegt.
Auch wenn das Patch Management Scan-Paket am nächsten Tag den Client erneut scannt werden die bisher installierten Updates weiter im PM-Log als Download - Success angezeigt.

Habt ihr hierzu eine Idee / Lösung, wie dieses Verhalten zu erklären ist?

Vielen Dank schon mal!

Freundliche Grüße

André
Empirum 22.0.1.6711 + WinPE v1.8.16; SQL Server 2019; Windows Server 2016 Datacenter

MaMa82
Posts: 344
Joined: 10. Jun 2011, 13:56
Contact:

Re: Empirum - Patch Management 18.0 PM-Log in­kor­rekt

Post by MaMa82 » 31. Jul 2018, 07:13

Guten Morgen André!

Einen Teil Deiner Beobachtungen kann ich bestätigen.

Wir setzen UEM / Empirum 18.0 ein und haben urplötzlich, von einer Woche auf die nächste, ähnliche Phänomene.
Ich kann mir daher zum Beispiel vorstellen, dass das beschriebene Verhalten in Teilen mit einem Patch-Katalog Update zusammenhängen könnte.

IMHO ist das frühe Ausführen des PM-Scan Pakets nach der OS-Installation mit dem Flag "Infrastructure" zu erklären.
Im Allgemeinen sollte die Reihenfolge der Register und der Pakete in diesen auch die Installationsreihenfolge bestimmen.
Nur anscheinend hier nicht - oder es handelt sich wirklich um einen Bug.

Auch wir stellen fest, dass der erste Scan nach der Betriebssysteminstallation mit einem unerklärlichen Fehler quittiert wird (.Net würde ich ausschließen, da dies ja bei der Agent-Installation mitkommt.)
Desweiteren werden beim ersten Fixing gefühlt nur eine bis zwei Hände voll Patches installiert), obwohl Office und sonstige Software zu diesem Zeitpunkt bereits installiert sind. Lustigerweise werden aber noch mindestens 60 Patches als "missing" geführt.
Erst nach dem Reboot und erneutem Fix-Paket-Anlauf (wird ja nach dem Reboot immer geprüft, ob noch was fehlt), werden die restlichen Patches sauber erkannt und auch installiert.

Als wir die v18 in Betrieb genommen haben, war das definitiv nicht so - es wurde alles in einem Ritt erkannt und gepatcht. Ich vermute daher ganz stark eine Änderung im Patch-Katalog, denn das ist die einzige Änderung seither. :?: :!:
Grüße MaMa82


PS: EDV steht nicht für "Elektronische Datenverarbeitung", sondern vielmehr für "ENDE DER VERNUNFT"! :roll:

AKießling
Posts: 41
Joined: 13. Feb 2018, 12:20
Contact:

Re: Empirum - Patch Management 18.0 PM-Log in­kor­rekt

Post by AKießling » 01. Aug 2018, 09:31

Moin MaMa82,

also ich habe gestern das 18.0 Update 1 bei uns im System installiert, um zu schauen, ob sich damit was gebessert hat.

https://marketplace.matrix42.com/detail ... -update-1/

Auf dem ersten Client, welchen ich mit den neuen PreOS Packages - DiskPartitioning 3.3, DriverIntegration 2.4 & WindowsInstallation 3.5 - installiert habe sah es im ersten Moment so aus, also ob sich an der Reihenfolge was geändert hat, da er diesmal mit dem Empirum Inventory 18.0 angefangen hat, aber anschließend sofort wieder das PM-Scan Paket nachgeschoben hat, was auch wieder auf Failure lief.

Die Thematik, dass nur ein Teil meiner freigegeben Patches installiert wird, hatte ich bis vor ein einigen Tagen bzw. zwei Wochen auch noch, doch nachdem ich alle Patches, welche über die Eigenschaften des Clients als "missing" aufgeführt waren, noch freigegeben habe, werden diese jetzt auch immer sofort heruntergeladen und installiert.

Das Problem dabei ist eben leider, das von den 80-90 Patches immer mindestens einer, beim ersten Anlauf, fehl schlägt und dadurch mein komplettes PM-Log "versaut" wird.

Deswegen hätte ich gerne mal getestestet, ob wenn der Client zwischendurch bei der Patch-Installation, einmal neu starten und schon die ersten Windows-Updates konfigurieren würde, der Fehler bestehen bleibt oder die bis dahin installierten / konfigurierten Patches sauber als Install - Success gelistet werden.

Denn die allerersten Clients, welche nach der (Erst-)Konfiguration von Empirum 18 betankt wurden, hatten dieses Verhalten noch nicht.

Ich habe zu diesem mittlerweile ein Ticket bei Matrix42 aufgemacht, welches an unseren Empirum Dienstleister weitergeleitet wurde, die sich bereits telefonisch mit mir in Verbindung gesetzt haben & meinten sie würden sich die Problematik Ende der Woche / Anfang nächster Woche bei uns einmal ansehen.
Empirum 22.0.1.6711 + WinPE v1.8.16; SQL Server 2019; Windows Server 2016 Datacenter

MaMa82
Posts: 344
Joined: 10. Jun 2011, 13:56
Contact:

Re: Empirum - Patch Management 18.0 PM-Log in­kor­rekt

Post by MaMa82 » 01. Aug 2018, 10:09

Guten Morgen! :lol:

Die Fehlermeldungen hinsichtlich einzelner Patches kann ich auch in Teilen nachvollziehen. Allerdings werden alle Meldungen, bis auf eine, nach dem erwähnten Reboot korrekt gesetzt (successfull). Nur ein Patch stellt sich da gerade etwas quer.
Ansonsten passt am Ende des etwas kuriosen Patch-Vorgangs auf alle Fälle die Auswertung des letzten Scan-Durchlaufs = alle freigegebenen Patches sind installiert.

PS:
Wir nutzen die Auto-Freigabe-Funktion. ;)
Grüße MaMa82


PS: EDV steht nicht für "Elektronische Datenverarbeitung", sondern vielmehr für "ENDE DER VERNUNFT"! :roll:

Post Reply

Return to “Patch Management”

Who is online

Users browsing this forum: No registered users and 2 guests