OS Installation - Windows Patch betankung

Moderator: jknoth

Post Reply
Kay
Posts: 18
Joined: 20. Apr 2010, 11:52
Contact:

OS Installation - Windows Patch betankung

Post by Kay » 29. Jul 2011, 09:17

Moin Moin,

ich möchte bei Euch gerne nachfragen, wie Ihr frisch installierte Workstations auf den aktuellen Patchlevel hebt.

Leider installiert Empirum ja nicht alle anstehenden Patches, sondern immer nur einen Teil und wartet dann auf einen Neustart.
So dauert es natürlich einige Installationszyklen, bis der aktuelle Patchlevel erreicht ist.

Ich würde nun aber gerne bei der OS Installation auch gleich den aktuellen Patchlevel erreichen, und den Benutzer der neuen oder frischen Maschine nicht jede Woche mit 40 Updates nerven, bis irgendwann alles drauf ist.

Wie macht Ihr das?

LG aus Bremen
Kay

lennu
Posts: 581
Joined: 01. Aug 2005, 16:20
Location: Bonn
Contact:

Re: OS Installation - Windows Patch betankung

Post by lennu » 29. Jul 2011, 10:22

Hallo,

Empirum macht in meinen Augen nicht viel falsch, da es Patches gibt, die erst erforderlich werden, wenn andere Patches installiert sind. Andere Patches wiederum dürfen nur alleine installiert werden. Wenn Du einen Rechner von Hand aktualisierst, wirst Du nicht weniger Aufrufe brauchen.

Meines Erachtens gibt es zwei Möglichkeiten:
1. Patches in die OS-Installation integrieren, was aber von Matrix42 offiziell nicht supportet ist (wenn ich mich recht erinnere)
2. Rechner nach Installation unangemeldet stehen lassen, dann werden die Patches im Abfragezyklus (wir arbeiten mit dem Legacy Agent, der nach 15 Minuten ohne Anmeldung loslegt) installiert und der Rechner im Bedarfsfall automatisch neu gestartet.

Wir arbeiten (noch) nach Variante 2, wobei wir den Rechner aufgrund unserer übersichtlichen Firmengröße (ca. 375 PCs) nicht vor Ort installieren, sondern bei uns in der IT und dann am Folgetag am Bestimmungsort aufstellen.

Grüße,
Lennu
Lennart Freyberg
Sysadmin
Deutsche Steinzeug Cremer & Breuer AG

felix
Posts: 16
Joined: 20. Jan 2010, 15:03
Location: Braunschweig
Contact:

Re: OS Installation - Windows Patch betankung

Post by felix » 01. Aug 2011, 16:33

Wir nutzen für die Neuinstallation von Windows XP SP3 WSUS Offline Update.

In der Batch Datei erfolgt der Aufruf via
net use u: \\%EmpirumServer%\wsusoffline /PERSISTENT:NO
u:\client\cmd\DoUpdate.cmd /nobackup

Anschließend werden 86 Updates in einem Rutsch installiert.

Felix

Kay
Posts: 18
Joined: 20. Apr 2010, 11:52
Contact:

Re: OS Installation - Windows Patch betankung

Post by Kay » 05. Aug 2011, 09:21

Hallo,

vielen Dank für Eure Antworten

Das WSUS Oflline Update klingt sehr interresant. Höre ich gerade das erste mal :)
Ich werde mich da mal schlau Googeln.

Habt Ihr die DoUpdate.cmd selbst geschrieben, oder ist die dabei?

LG
Kay

felix
Posts: 16
Joined: 20. Jan 2010, 15:03
Location: Braunschweig
Contact:

Re: OS Installation - Windows Patch betankung

Post by felix » 05. Aug 2011, 09:45

Kay wrote:Hallo,

vielen Dank für Eure Antworten

Das WSUS Oflline Update klingt sehr interresant. Höre ich gerade das erste mal :)
Ich werde mich da mal schlau Googeln.

Habt Ihr die DoUpdate.cmd selbst geschrieben, oder ist die dabei?

LG
Kay
Hallo Kai,

hier findest Du das Programm: http://www.wsusoffline.net/
Lege auf dem Depotserver eine Freigabe namens wsusoffline an. Bei uns hat die Sicherheitsgruppe "Jeder" Lesezugriff auf diesen Ordner.
Anschließend entpackst Du den Inhalt aus dem Download von wsusoffline in den Ordner und startest UpdateGenerator.exe. Wähle das OS, Officepaket, IE, .NET Framework etc. zur Synchronisation aus und klicke auf Start.
Jetzt gehst du eine Tasse Kaffee trinken. :D
Die Datei von wsusoffline rufst Du wie im ersten Posting aus der Batchdatei auf, welche nach der OS Installation von Empirum gestartet wird und ist bereits an Board.

Viel Spaß beim Updaten....

Felix

Phadda
Posts: 654
Joined: 18. Jun 2009, 14:53
Contact:

Re: OS Installation - Windows Patch betankung

Post by Phadda » 05. Aug 2011, 09:55

Patches werden bei Neuinstallation vom Client OS automatisch via PMv2 installiert. Es passieren etliche Reboots incl Abnahme, das dann eh automatisch diese mitinstalliert werden.

Kay
Posts: 18
Joined: 20. Apr 2010, 11:52
Contact:

Re: OS Installation - Windows Patch betankung

Post by Kay » 05. Aug 2011, 11:46

Hey Felix,

danke Dir :)
Das System zieht gerade die Updates.

@Phadda: Das Problem ist, das der Advanced Agent mit PMv2 bei uns nur die Updates bis zum ersten Neustart installiert und dann mit der Bitte um Reboot stehen bleibt.


Ich gebe Euch nochmal Feedback, wenn wir das komplett umgesetzt haben.

LG und ein schönes WE :)

Kay

Phadda
Posts: 654
Joined: 18. Jun 2009, 14:53
Contact:

Re: OS Installation - Windows Patch betankung

Post by Phadda » 05. Aug 2011, 12:02

Evtl bringt der Thread was
http://www.matrix42.de/forum/viewtopic.php?f=3&t=10318 (Patchmanagment mit /S0 und ohne Reboot=2 -->Meldung)

Kay
Posts: 18
Joined: 20. Apr 2010, 11:52
Contact:

Re: OS Installation - Windows Patch betankung

Post by Kay » 31. Aug 2011, 11:11

Moin Moin,

dank des Tipps von Felix haben wir nun eine Initialinstallation, welche nach max. 3 Stunden (bei langsamen PCs) tuto kompletto fertig ist.

Wir rufen den WSUS Offline gleich mehrmals auf, so das auch Mediaplayer, TerminalserverClient und .Net installiert / geupdated werden. Wichtig war hier, das WSUS Offline per CALL aufgerufen wird, da sonst Empirum nicht auf die Updates wartet.

Danach installieren wir den Virenschutz und danach die zugewiesene Software via Depot.exe.

Bei der Software installation mussten wir darauf achten, das der Agent zuletzt installiert wird (Reihenfolge in Konfiguration / Software Management), da sonst der Agent anfängt zu pollen und sich installationen überschneiden.

Bei der Softwareinstallation startet auch das Empirum Patchmanagement, und installiert nochmal ca. 30 Updates.
Diese Zeit habe ich noch für eine Defragmentierung genutzt, die zu diesem Zeitpunkt dann parallel läuft.

Danach rufe ich WSUS Offline nochmal auf, da wahrscheinlich MS Office installiert wurde und dies ja auch noch gepatched werden muss.

Dann startet der Rechner neu und ist fertig :D

Ich poste hier mal unsere EmpirumAgent.bat:

Code: Select all


@ECHO OFF
Cls
Color 1F
Echo.
Echo.
Echo ####################################################
Echo #               Post-Installation                  #
Echo ####################################################
Echo.
Echo.

REM Send message: Operating System installed successfully!
Call \\%EmpirumServer%\Configurator$\User\Setup.exe \\%EmpirumServer%\Configurator$\Packages\matrix42\OS-Message\Install\Setup.inf /S0

Echo Keyboard and mouse are blocked:      please wait...
Echo.

Start /MIN CMD /C \\%EmpirumServer%\Configurator$\User\BlockInput.exe

REM --------------------------------------------------------------------------------------------------------------------------------------------------
REM WIndows Updates via WSUS Offline
Echo Installiere Windows Updates: bitte warten...
Echo.

net use x: \\%EmpirumServer%\wsusoffline$ /PERSISTENT:NO
Call x:\client\cmd\DoUpdate.cmd /nobackup /updatetsc

Call x:\client\cmd\DoUpdate.cmd /nobackup /updatewmp

Call x:\client\cmd\DoUpdate.cmd /nobackup /instdotnet35

Call x:\client\cmd\DoUpdate.cmd /nobackup

REM --------------------------------------------------------------------------------------------------------------------------------------------------


Echo Installiere Kaspersky: bitte warten...
Echo.

call mkdir "%SystemDrive%\Install\Netagent\exec"
call mkdir "%SystemDrive%\Install\WKS\exec"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\NetAgent\*.*"  "%SystemDrive%\Install\NetAgent\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\NetAgent\exec\*.*"  "%SystemDrive%\Install\NetAgent\exec\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\WKS\*.*"  "%SystemDrive%\Install\WKS\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\KAV_Silent\%EmpirumServer%\WKS\exec\*.*"  "%SystemDrive%\Install\WKS\exec\"


call MSIEXEC /i "%SystemDrive%\Install\NetAgent\exec\Kaspersky Network Agent.msi" /qb-!
call MSIEXEC /i "%SystemDrive%\Install\WKS\Kavwks.de.msi" /passive /norestart /qb-!



Echo Installiere Software: bitte warten...
Echo Running software installation: please wait...
Echo.

REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
REM Standard Einstellung ohne Tokens
REM Standard settings without tokens
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I /B /F /S /Q /T2 /X10 /Z0

REM Standard Einstellung ohne Tokens mit maschinenspezifischer DDC-Datei
REM Standard settings without tokens with machine specific DDC-file
"\\%EmpirumServer%\Configurator$\User\SWDepot.exe" /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /B /F /S /Q /T2 /X10 /Z0


REM Standard Einstellung ohne Tokens mit maschinen- und benutzerspezifischer DDC-Datei
REM Standard settings without tokens with machine- and userspecific DDC-file
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /B /F /S /Q /T2 /Z0

REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

REM Einstellung mit Tokens
REM Settings with tokens
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I /B /F /K30 /Q /S /T2 /X10 /Z0

REM Einstellung mit Tokens und maschinenspezifischer DDC-Datei
REM Settings with tokens and machine specific DDC-File
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /B /F /K30 /Q /S /T2 /X10 /Z0

REM Einstellung mit Tokens und maschinen- und benutzerspezifischer DDC-Datei
REM Settings with tokens and machine- and userspecific DDC-file
REM \\%EmpirumServer%\Configurator$\User\SWDepot.exe /I\\%EmpirumServer%\Values$\MachineValues\%%DomainName%%\%ComputerName%.ddc /I\\%EmpirumServer%\Values$\UserValues\%UserDomain%\%UserName%.ddc /B /F /K30 /Q /S /T2 /Z0
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------



REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Echo Defragmentiere: bitte warten...
Echo.

call mkdir "%SystemDrive%\Install\DF\lang"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\DEFRAG\*.*"  "%SystemDrive%\Install\DF\"
call xcopy "\\%EmpirumServer%\Configurator$\Packages\DEFRAG\lang\*.*"  "%SystemDrive%\Install\DF\lang\"

call "%systemdrive%\Install\DF\df.exe" C:
REM ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------



REG ADD HKLM\SOFTWARE\MATRIX42\AGENT /v OsInstallMode /t REG_DWORD /d 1 /f

Echo Running Empirum Agent installation:  please wait...
Echo.
Set EmpirumAgentTemplate=1
Set EmpirumAgentNoStart=1
Call "\\%EmpirumServer%\Configurator$\User\Setup.exe" "\\%EmpirumServer%\Configurator$\Packages\matrix42\EmpirumAgent\14.0\Install\Setup.inf" /S1

REM --------------------------------------------------------------------------------------------------------------------------------------------------
REM WIndows Updates via WSUS Offline
Echo Installiere Office Updates: bitte warten...
Echo.

net use x: \\%EmpirumServer%\wsusoffline$ /PERSISTENT:NO
Call x:\client\cmd\DoUpdate.cmd /nobackup

REM --------------------------------------------------------------------------------------------------------------------------------------------------


Echo Running computer inventory:          please wait...
Echo.
IF "%PROCESSOR_ARCHITECTURE%"=="AMD64" GOTO 64BIT

Call \\%EmpirumServer%\Configurator$\Packages\matrix42\Inventory\14.0\Windows\System\Empirum\EmpInventory.exe /C:\\%EmpirumServer%\Configurator$\User\EmpInvScan_WINDOWS.xml /O:\\%EmpirumServer%\EmpInv$\#DomainName#.%ComputerName%_%SysTime%.xml /E /V2 /M /T /ZIP
goto END

:64BIT
Call \\%EmpirumServer%\Configurator$\Packages\matrix42\Inventory\14.0\Windows\System\Empirum\x64\EmpInventory.exe /C:\\%EmpirumServer%\Configurator$\User\EmpInvScan_WINDOWS.xml /O:\\%EmpirumServer%\EmpInv$\#DomainName#.%ComputerName%_%SysTime%.xml /E /V2 /M /T /ZIP
goto END

:END



\\%EmpirumServer%\Configurator$\User\KillSWD.exe "BlockInput"

Echo Reboot computer:                     please wait...

IF NOT "%XOS%"=="WinVista" Exit

LG
Kay

strumm
Posts: 74
Joined: 22. May 2012, 11:38
Contact:

Re: OS Installation - Windows Patch betankung

Post by strumm » 24. May 2012, 14:02

Auch wenn es ein altes Thema ist, muss man ja kein neues aufmachen wenn hier das meiste schon besprochen ist. Die WSUS Offline Geschichte finde ich gut. Ich hätte dazu noch einmal eine Frage, erkennt der PMv2 - Client dann die installierten Patches und tut nur noch die fehlenden drauf, oder büglet er alles (auch schon installierte) nochmal neu drüber ? Dann müsste ich nämlich die Patchklassen aufräumen das die schon installierten nicht mehr in den Klassen sind.

Kurz Info würde mich freuen.

Gruß
Sascha

lennu
Posts: 581
Joined: 01. Aug 2005, 16:20
Location: Bonn
Contact:

Re: OS Installation - Windows Patch betankung

Post by lennu » 24. May 2012, 14:18

Hallo Sascha,

das PM2 macht an dieser Stelle nichts anderes als WSUS, Windows Update, WSUS Offline und wie sie alle heissen: Microsoft stellt XML-Dateien zur Verfügung, die zu jedem Patch zu überprüfende Punkte beinhalten (Regkeys, Dateiversionen, Dateigrößen, etc.). Wenn dort kein Fehler enthalten ist (sowohl in der XML-Datei als auch im Überprüfungsprogramm), wird ein Patch auch nur einmal installiert. Insofern brauchst nichts an den Klassen zu ändern...

Grüße,
Lennu
Lennart Freyberg
Sysadmin
Deutsche Steinzeug Cremer & Breuer AG

strumm
Posts: 74
Joined: 22. May 2012, 11:38
Contact:

Re: OS Installation - Windows Patch betankung

Post by strumm » 24. May 2012, 15:08

Vielen Dank für die Antwort. Ich habe hier alle Klassen zugewiesen, und er instlliert aktuell seit 3 Stunden Updates und ist immer noch nicht fertig :| Da muss ich mir über die Klassen nochmal Gedanken.

Phadda
Posts: 654
Joined: 18. Jun 2009, 14:53
Contact:

Re: OS Installation - Windows Patch betankung

Post by Phadda » 24. May 2012, 15:27

Hast Zeitdruck oder was spricht gegen die Dauer? Wegen ein Manntag machen wir und nicht ins Hemd, dann dauerts halt so lange, ist doch latte, hauptsache sind welche drauf und im Log siehst dann auch wenigstens welche wirklich installiert sind, in einem Rutsch :)

strumm
Posts: 74
Joined: 22. May 2012, 11:38
Contact:

Re: OS Installation - Windows Patch betankung

Post by strumm » 24. May 2012, 15:31

Das Problem was ich habe ist, wenn der PC an seinem Anwenderstandort neu installiert werden muss, sitzt der Anwender 4 Stunden davor und medlet sich nicht an, weil das Fenster zu sehen ist. Mir fehlt auch noch die Erfahrung was passiert wenn er sich dennoch abmeldet und der PMv2 Client der Meinung ist er müsse jetzt neustarten (patchbedingt). Fragt er dann ab oder zerschiesst er alle Word / Excel Dokumente und startet gnadenlos neu ?

Gruß
Sascha

Phadda
Posts: 654
Joined: 18. Jun 2009, 14:53
Contact:

Re: OS Installation - Windows Patch betankung

Post by Phadda » 25. May 2012, 07:40

Dann gib doch einfach die Info raus, das erst wenn DU das OK gibts zu dem Client, sich jemand anmelden darf. Wer trotzdem sich unbedingt vorher anmelden muss, riskiert eine Neuinstallation und das will doch keiner ;-)
Sobald das PM ein Reboot benötigt bzw die MS Patches, dann kommt ein normales PopUp von Empirum das ein Neustart benötigt wird und mit Ja/Nein entsprechend der Userinteraktion durchgeführt werden kann oder nicht. Bei "Ja" wird natürlich rigeros alles geschlossen ;-)

Post Reply

Return to “OS Installer”

Who is online

Users browsing this forum: No registered users and 6 guests