OS Installation - Windows Patch betankung
Moderator: jknoth
OS Installation - Windows Patch betankung
Moin Moin,
ich möchte bei Euch gerne nachfragen, wie Ihr frisch installierte Workstations auf den aktuellen Patchlevel hebt.
Leider installiert Empirum ja nicht alle anstehenden Patches, sondern immer nur einen Teil und wartet dann auf einen Neustart.
So dauert es natürlich einige Installationszyklen, bis der aktuelle Patchlevel erreicht ist.
Ich würde nun aber gerne bei der OS Installation auch gleich den aktuellen Patchlevel erreichen, und den Benutzer der neuen oder frischen Maschine nicht jede Woche mit 40 Updates nerven, bis irgendwann alles drauf ist.
Wie macht Ihr das?
LG aus Bremen
Kay
ich möchte bei Euch gerne nachfragen, wie Ihr frisch installierte Workstations auf den aktuellen Patchlevel hebt.
Leider installiert Empirum ja nicht alle anstehenden Patches, sondern immer nur einen Teil und wartet dann auf einen Neustart.
So dauert es natürlich einige Installationszyklen, bis der aktuelle Patchlevel erreicht ist.
Ich würde nun aber gerne bei der OS Installation auch gleich den aktuellen Patchlevel erreichen, und den Benutzer der neuen oder frischen Maschine nicht jede Woche mit 40 Updates nerven, bis irgendwann alles drauf ist.
Wie macht Ihr das?
LG aus Bremen
Kay
Re: OS Installation - Windows Patch betankung
Hallo,
Empirum macht in meinen Augen nicht viel falsch, da es Patches gibt, die erst erforderlich werden, wenn andere Patches installiert sind. Andere Patches wiederum dürfen nur alleine installiert werden. Wenn Du einen Rechner von Hand aktualisierst, wirst Du nicht weniger Aufrufe brauchen.
Meines Erachtens gibt es zwei Möglichkeiten:
1. Patches in die OS-Installation integrieren, was aber von Matrix42 offiziell nicht supportet ist (wenn ich mich recht erinnere)
2. Rechner nach Installation unangemeldet stehen lassen, dann werden die Patches im Abfragezyklus (wir arbeiten mit dem Legacy Agent, der nach 15 Minuten ohne Anmeldung loslegt) installiert und der Rechner im Bedarfsfall automatisch neu gestartet.
Wir arbeiten (noch) nach Variante 2, wobei wir den Rechner aufgrund unserer übersichtlichen Firmengröße (ca. 375 PCs) nicht vor Ort installieren, sondern bei uns in der IT und dann am Folgetag am Bestimmungsort aufstellen.
Grüße,
Lennu
Empirum macht in meinen Augen nicht viel falsch, da es Patches gibt, die erst erforderlich werden, wenn andere Patches installiert sind. Andere Patches wiederum dürfen nur alleine installiert werden. Wenn Du einen Rechner von Hand aktualisierst, wirst Du nicht weniger Aufrufe brauchen.
Meines Erachtens gibt es zwei Möglichkeiten:
1. Patches in die OS-Installation integrieren, was aber von Matrix42 offiziell nicht supportet ist (wenn ich mich recht erinnere)
2. Rechner nach Installation unangemeldet stehen lassen, dann werden die Patches im Abfragezyklus (wir arbeiten mit dem Legacy Agent, der nach 15 Minuten ohne Anmeldung loslegt) installiert und der Rechner im Bedarfsfall automatisch neu gestartet.
Wir arbeiten (noch) nach Variante 2, wobei wir den Rechner aufgrund unserer übersichtlichen Firmengröße (ca. 375 PCs) nicht vor Ort installieren, sondern bei uns in der IT und dann am Folgetag am Bestimmungsort aufstellen.
Grüße,
Lennu
Lennart Freyberg
Sysadmin
Deutsche Steinzeug Cremer & Breuer AG
Sysadmin
Deutsche Steinzeug Cremer & Breuer AG
Re: OS Installation - Windows Patch betankung
Wir nutzen für die Neuinstallation von Windows XP SP3 WSUS Offline Update.
In der Batch Datei erfolgt der Aufruf via
net use u: \\%EmpirumServer%\wsusoffline /PERSISTENT:NO
u:\client\cmd\DoUpdate.cmd /nobackup
Anschließend werden 86 Updates in einem Rutsch installiert.
Felix
In der Batch Datei erfolgt der Aufruf via
net use u: \\%EmpirumServer%\wsusoffline /PERSISTENT:NO
u:\client\cmd\DoUpdate.cmd /nobackup
Anschließend werden 86 Updates in einem Rutsch installiert.
Felix
Re: OS Installation - Windows Patch betankung
Hallo,
vielen Dank für Eure Antworten
Das WSUS Oflline Update klingt sehr interresant. Höre ich gerade das erste mal
Ich werde mich da mal schlau Googeln.
Habt Ihr die DoUpdate.cmd selbst geschrieben, oder ist die dabei?
LG
Kay
vielen Dank für Eure Antworten
Das WSUS Oflline Update klingt sehr interresant. Höre ich gerade das erste mal
Ich werde mich da mal schlau Googeln.
Habt Ihr die DoUpdate.cmd selbst geschrieben, oder ist die dabei?
LG
Kay
Re: OS Installation - Windows Patch betankung
Hallo Kai,Kay wrote:Hallo,
vielen Dank für Eure Antworten
Das WSUS Oflline Update klingt sehr interresant. Höre ich gerade das erste mal
Ich werde mich da mal schlau Googeln.
Habt Ihr die DoUpdate.cmd selbst geschrieben, oder ist die dabei?
LG
Kay
hier findest Du das Programm: http://www.wsusoffline.net/
Lege auf dem Depotserver eine Freigabe namens wsusoffline an. Bei uns hat die Sicherheitsgruppe "Jeder" Lesezugriff auf diesen Ordner.
Anschließend entpackst Du den Inhalt aus dem Download von wsusoffline in den Ordner und startest UpdateGenerator.exe. Wähle das OS, Officepaket, IE, .NET Framework etc. zur Synchronisation aus und klicke auf Start.
Jetzt gehst du eine Tasse Kaffee trinken.
Die Datei von wsusoffline rufst Du wie im ersten Posting aus der Batchdatei auf, welche nach der OS Installation von Empirum gestartet wird und ist bereits an Board.
Viel Spaß beim Updaten....
Felix
Re: OS Installation - Windows Patch betankung
Patches werden bei Neuinstallation vom Client OS automatisch via PMv2 installiert. Es passieren etliche Reboots incl Abnahme, das dann eh automatisch diese mitinstalliert werden.
Re: OS Installation - Windows Patch betankung
Hey Felix,
danke Dir
Das System zieht gerade die Updates.
@Phadda: Das Problem ist, das der Advanced Agent mit PMv2 bei uns nur die Updates bis zum ersten Neustart installiert und dann mit der Bitte um Reboot stehen bleibt.
Ich gebe Euch nochmal Feedback, wenn wir das komplett umgesetzt haben.
LG und ein schönes WE
Kay
danke Dir
Das System zieht gerade die Updates.
@Phadda: Das Problem ist, das der Advanced Agent mit PMv2 bei uns nur die Updates bis zum ersten Neustart installiert und dann mit der Bitte um Reboot stehen bleibt.
Ich gebe Euch nochmal Feedback, wenn wir das komplett umgesetzt haben.
LG und ein schönes WE
Kay
Re: OS Installation - Windows Patch betankung
Evtl bringt der Thread was
http://www.matrix42.de/forum/viewtopic.php?f=3&t=10318 (Patchmanagment mit /S0 und ohne Reboot=2 -->Meldung)
http://www.matrix42.de/forum/viewtopic.php?f=3&t=10318 (Patchmanagment mit /S0 und ohne Reboot=2 -->Meldung)
Re: OS Installation - Windows Patch betankung
Moin Moin,
dank des Tipps von Felix haben wir nun eine Initialinstallation, welche nach max. 3 Stunden (bei langsamen PCs) tuto kompletto fertig ist.
Wir rufen den WSUS Offline gleich mehrmals auf, so das auch Mediaplayer, TerminalserverClient und .Net installiert / geupdated werden. Wichtig war hier, das WSUS Offline per CALL aufgerufen wird, da sonst Empirum nicht auf die Updates wartet.
Danach installieren wir den Virenschutz und danach die zugewiesene Software via Depot.exe.
Bei der Software installation mussten wir darauf achten, das der Agent zuletzt installiert wird (Reihenfolge in Konfiguration / Software Management), da sonst der Agent anfängt zu pollen und sich installationen überschneiden.
Bei der Softwareinstallation startet auch das Empirum Patchmanagement, und installiert nochmal ca. 30 Updates.
Diese Zeit habe ich noch für eine Defragmentierung genutzt, die zu diesem Zeitpunkt dann parallel läuft.
Danach rufe ich WSUS Offline nochmal auf, da wahrscheinlich MS Office installiert wurde und dies ja auch noch gepatched werden muss.
Dann startet der Rechner neu und ist fertig
Ich poste hier mal unsere EmpirumAgent.bat:
LG
Kay
dank des Tipps von Felix haben wir nun eine Initialinstallation, welche nach max. 3 Stunden (bei langsamen PCs) tuto kompletto fertig ist.
Wir rufen den WSUS Offline gleich mehrmals auf, so das auch Mediaplayer, TerminalserverClient und .Net installiert / geupdated werden. Wichtig war hier, das WSUS Offline per CALL aufgerufen wird, da sonst Empirum nicht auf die Updates wartet.
Danach installieren wir den Virenschutz und danach die zugewiesene Software via Depot.exe.
Bei der Software installation mussten wir darauf achten, das der Agent zuletzt installiert wird (Reihenfolge in Konfiguration / Software Management), da sonst der Agent anfängt zu pollen und sich installationen überschneiden.
Bei der Softwareinstallation startet auch das Empirum Patchmanagement, und installiert nochmal ca. 30 Updates.
Diese Zeit habe ich noch für eine Defragmentierung genutzt, die zu diesem Zeitpunkt dann parallel läuft.
Danach rufe ich WSUS Offline nochmal auf, da wahrscheinlich MS Office installiert wurde und dies ja auch noch gepatched werden muss.
Dann startet der Rechner neu und ist fertig
Ich poste hier mal unsere EmpirumAgent.bat:
Code: Select all
@ECHO OFF
Cls
Color 1F
Echo.
Echo.
Echo ####################################################
Echo # Post-Installation #
Echo ####################################################
Echo.
Echo.
REM Send message: Operating System installed successfully!
Call \\%EmpirumServer%\Configurator$\User\Setup.exe \\%EmpirumServer%\Configurator$\Packages\matrix42\OS-Message\Install\Setup.inf /S0
Echo Keyboard and mouse are blocked: please wait...
Echo.
Start /MIN CMD /C \\%EmpirumServer%\Configurator$\User\BlockInput.exe
REM --------------------------------------------------------------------------------------------------------------------------------------------------
REM WIndows Updates via WSUS Offline
Echo Installiere Windows Updates: bitte warten...
Echo.
net use x: \\%EmpirumServer%\wsusoffline$ /PERSISTENT:NO
Call x:\client\cmd\DoUpdate.cmd /nobackup /updatetsc
Call x:\client\cmd\DoUpdate.cmd /nobackup /updatewmp
Call x:\client\cmd\DoUpdate.cmd /nobackup /instdotnet35
Call x:\client\cmd\DoUpdate.cmd /nobackup
REM --------------------------------------------------------------------------------------------------------------------------------------------------
Echo Installiere Kaspersky: bitte warten...
Echo.
call mkdir "%SystemDrive%\Install\Netagent\exec"
call mkdir "%SystemDrive%\Install\WKS\exec"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\NetAgent\*.*" "%SystemDrive%\Install\NetAgent\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\NetAgent\exec\*.*" "%SystemDrive%\Install\NetAgent\exec\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\WKS\*.*" "%SystemDrive%\Install\WKS\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\WKS\exec\*.*" "%SystemDrive%\Install\WKS\exec\"
call MSIEXEC /i "%SystemDrive%\Install\NetAgent\exec\Kaspersky Network Agent.msi" /qb-!
call MSIEXEC /i "%SystemDrive%\Install\WKS\Kavwks.de.msi" /passive /norestart /qb-!
Echo Installiere Software: bitte warten...
Echo Running software installation: please wait...
Echo.
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
REM Standard Einstellung ohne Tokens
REM Standard settings without tokens
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I /B /F /S /Q /T2 /X10 /Z0
REM Standard Einstellung ohne Tokens mit maschinenspezifischer DDC-Datei
REM Standard settings without tokens with machine specific DDC-file
"\\%EmpirumServer%\Configurator$\User\SWDepot.exe" /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /B /F /S /Q /T2 /X10 /Z0
REM Standard Einstellung ohne Tokens mit maschinen- und benutzerspezifischer DDC-Datei
REM Standard settings without tokens with machine- and userspecific DDC-file
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /B /F /S /Q /T2 /Z0
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
REM Einstellung mit Tokens
REM Settings with tokens
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I /B /F /K30 /Q /S /T2 /X10 /Z0
REM Einstellung mit Tokens und maschinenspezifischer DDC-Datei
REM Settings with tokens and machine specific DDC-File
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /B /F /K30 /Q /S /T2 /X10 /Z0
REM Einstellung mit Tokens und maschinen- und benutzerspezifischer DDC-Datei
REM Settings with tokens and machine- and userspecific DDC-file
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /B /F /K30 /Q /S /T2 /Z0
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Echo Defragmentiere: bitte warten...
Echo.
call mkdir "%SystemDrive%\Install\DF\lang"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\DEFRAG\*.*" "%SystemDrive%\Install\DF\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\DEFRAG\lang\*.*" "%SystemDrive%\Install\DF\lang\"
call "%systemdrive%\Install\DF\df.exe" C:
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
REG ADD HKLM\SOFTWARE\MATRIX42\AGENT /v OsInstallMode /t REG_DWORD /d 1 /f
Echo Running Empirum Agent installation: please wait...
Echo.
Set EmpirumAgentTemplate=1
Set EmpirumAgentNoStart=1
Call "\\%EmpirumServer%\Configurator$\User\Setup.exe" "\\%EmpirumServer%\Configurator$\Packages\matrix42\EmpirumAgent\14.0\Install\Setup.inf" /S1
REM --------------------------------------------------------------------------------------------------------------------------------------------------
REM WIndows Updates via WSUS Offline
Echo Installiere Office Updates: bitte warten...
Echo.
net use x: \\%EmpirumServer%\wsusoffline$ /PERSISTENT:NO
Call x:\client\cmd\DoUpdate.cmd /nobackup
REM --------------------------------------------------------------------------------------------------------------------------------------------------
Echo Running computer inventory: please wait...
Echo.
IF "%PROCESSOR_ARCHITECTURE%"=="AMD64" GOTO 64BIT
Call \\%EmpirumServer%\Configurator$\Packages\matrix42\Inventory\14.0\Windows\System\Empirum\EmpInventory.exe /C:\\%EmpirumServer%\Configurator$\User\EmpInvScan_WINDOWS.xml /O:\\%EmpirumServer%\EmpInv$\#DomainName#.%ComputerName%_%SysTime%.xml /E /V2 /M /T /ZIP
goto END
:64BIT
Call \\%EmpirumServer%\Configurator$\Packages\matrix42\Inventory\14.0\Windows\System\Empirum\x64\EmpInventory.exe /C:\\%EmpirumServer%\Configurator$\User\EmpInvScan_WINDOWS.xml /O:\\%EmpirumServer%\EmpInv$\#DomainName#.%ComputerName%_%SysTime%.xml /E /V2 /M /T /ZIP
goto END
:END
\\%EmpirumServer%\Configurator$\User\KillSWD.exe "BlockInput"
Echo Reboot computer: please wait...
IF NOT "%XOS%"=="WinVista" Exit
Kay
Re: OS Installation - Windows Patch betankung
Auch wenn es ein altes Thema ist, muss man ja kein neues aufmachen wenn hier das meiste schon besprochen ist. Die WSUS Offline Geschichte finde ich gut. Ich hätte dazu noch einmal eine Frage, erkennt der PMv2 - Client dann die installierten Patches und tut nur noch die fehlenden drauf, oder büglet er alles (auch schon installierte) nochmal neu drüber ? Dann müsste ich nämlich die Patchklassen aufräumen das die schon installierten nicht mehr in den Klassen sind.
Kurz Info würde mich freuen.
Gruß
Sascha
Kurz Info würde mich freuen.
Gruß
Sascha
Re: OS Installation - Windows Patch betankung
Hallo Sascha,
das PM2 macht an dieser Stelle nichts anderes als WSUS, Windows Update, WSUS Offline und wie sie alle heissen: Microsoft stellt XML-Dateien zur Verfügung, die zu jedem Patch zu überprüfende Punkte beinhalten (Regkeys, Dateiversionen, Dateigrößen, etc.). Wenn dort kein Fehler enthalten ist (sowohl in der XML-Datei als auch im Überprüfungsprogramm), wird ein Patch auch nur einmal installiert. Insofern brauchst nichts an den Klassen zu ändern...
Grüße,
Lennu
das PM2 macht an dieser Stelle nichts anderes als WSUS, Windows Update, WSUS Offline und wie sie alle heissen: Microsoft stellt XML-Dateien zur Verfügung, die zu jedem Patch zu überprüfende Punkte beinhalten (Regkeys, Dateiversionen, Dateigrößen, etc.). Wenn dort kein Fehler enthalten ist (sowohl in der XML-Datei als auch im Überprüfungsprogramm), wird ein Patch auch nur einmal installiert. Insofern brauchst nichts an den Klassen zu ändern...
Grüße,
Lennu
Lennart Freyberg
Sysadmin
Deutsche Steinzeug Cremer & Breuer AG
Sysadmin
Deutsche Steinzeug Cremer & Breuer AG
Re: OS Installation - Windows Patch betankung
Vielen Dank für die Antwort. Ich habe hier alle Klassen zugewiesen, und er instlliert aktuell seit 3 Stunden Updates und ist immer noch nicht fertig Da muss ich mir über die Klassen nochmal Gedanken.
Re: OS Installation - Windows Patch betankung
Hast Zeitdruck oder was spricht gegen die Dauer? Wegen ein Manntag machen wir und nicht ins Hemd, dann dauerts halt so lange, ist doch latte, hauptsache sind welche drauf und im Log siehst dann auch wenigstens welche wirklich installiert sind, in einem Rutsch
Re: OS Installation - Windows Patch betankung
Das Problem was ich habe ist, wenn der PC an seinem Anwenderstandort neu installiert werden muss, sitzt der Anwender 4 Stunden davor und medlet sich nicht an, weil das Fenster zu sehen ist. Mir fehlt auch noch die Erfahrung was passiert wenn er sich dennoch abmeldet und der PMv2 Client der Meinung ist er müsse jetzt neustarten (patchbedingt). Fragt er dann ab oder zerschiesst er alle Word / Excel Dokumente und startet gnadenlos neu ?
Gruß
Sascha
Gruß
Sascha
Re: OS Installation - Windows Patch betankung
Dann gib doch einfach die Info raus, das erst wenn DU das OK gibts zu dem Client, sich jemand anmelden darf. Wer trotzdem sich unbedingt vorher anmelden muss, riskiert eine Neuinstallation und das will doch keiner
Sobald das PM ein Reboot benötigt bzw die MS Patches, dann kommt ein normales PopUp von Empirum das ein Neustart benötigt wird und mit Ja/Nein entsprechend der Userinteraktion durchgeführt werden kann oder nicht. Bei "Ja" wird natürlich rigeros alles geschlossen
Sobald das PM ein Reboot benötigt bzw die MS Patches, dann kommt ein normales PopUp von Empirum das ein Neustart benötigt wird und mit Ja/Nein entsprechend der Userinteraktion durchgeführt werden kann oder nicht. Bei "Ja" wird natürlich rigeros alles geschlossen
Who is online
Users browsing this forum: No registered users and 6 guests