ConfigMgr 2012 - Wie können Updates automatisch für Computer verfügbar gemacht werden, ohne dass diese installiert werden müssen?

Ich verwende System Center Configuration Manager 2012 mit der Funktion "Software Update Point". In dieser Umgebung muss das Patchen jedoch streng manuell erfolgen, da Serverneustarts von verschiedenen Personen genehmigt und geplant werden müssen. Daher muss ich das SUP von ConfigMgr so verwenden, als würde ich einen einfachen WSUS-Server mit automatischer Genehmigung, jedoch mit manueller Installation verwenden.

Ich habe einige Regeln für die automatische Bereitstellung erstellt, um wichtige Updates automatisch herunterzuladen und bereitzustellen und um ein Installationsangebot von "so bald wie möglich" zu erhalten. Aber dann habe ich diese Regeln auch so konfiguriert, dass sie nach Ablauf der Frist nichts mehr tun und auch bei Bedarf keine Systemneustarts durchführen:

Außerdem habe ich die Gerätesammlungen konfiguriert, wo diese Regeln bereitstellen Updates zu nicht jede gültige maintencance Fenster.

Ich habe jedoch das Gegenteil von dem, was ich erwartet hatte: Sobald die neuen Updates von den ADRs verarbeitet werden, werden sie vom Software Center automatisch auf allen Systemen installiert und die Computer werden anschließend neu gestartet.

Warum passiert dies? Verstehe ich etwas falsch oder verhält sich ConfigMgr 2012 nicht so, wie es sollte?

Ich weiß, dass diese Frage etwas alt ist, aber hier werden einige Unwahrheiten gepostet. An der Funktionsweise von SCCM 2012 ist nichts auszusetzen. Das Problem ist ein Missverständnis darüber, wie Software und Updates bereitgestellt werden. Es ist nicht fair, Microsoft zu zitieren, wenn sie sagen, dass es sich "von Natur aus" verhält und dass Sie nichts anderes tun können, als eine Frist weit in die Zukunft zu setzen. Dies ist eigentlich beabsichtigt, aber basiert auf Ihrem Design. Sie haben keine Wartungsfenster festgelegt, daher gelten die Updates natürlich, sobald die Frist abgelaufen ist. Das macht es standardmäßig. Bei dieser Art von Design müssen Sie Ihre Frist weit in die Zukunft festlegen, um zu verhindern, dass die Installation beginnt. Dies ist jedoch NICHT der einzige Weg, um das zu tun, was Sie wollen, und es ist auch nicht der einfachste.

Wussten Sie, dass Sie das Standardverhalten von SCCM "Alles geht, sofern nicht anders angegeben" umkehren können?

Erstellen Sie dazu eine neue Sammlung (mit dem Namen "Sinnvoll bereitstellen") und fügen Sie die Sammlung "Alle Systeme" in die Mitgliedschaft ein. Rufen Sie dann Eigenschaften darauf ab, und legen Sie ein Wartungsfenster mit einem beliebigen Datum des Inkrafttretens in der Vergangenheit fest, z. B. am 01.01.2013 von 12:00 bis 00:05 Uhr, und setzen Sie den Wiederholungsplan auf Keine. Sie erhalten eine Warnung, dass die Wiederholung nicht festgelegt wurde, klicken Sie jedoch trotzdem auf OK. Ab diesem Zeitpunkt ist auf jedem Gerät in Ihrer SCCM-Umgebung automatisch ein abgelaufenes Wartungsfenster festgelegt. Ohne ein neues Wartungsfenster oder durch Aktivieren des Kontrollkästchens zum Überschreiben des Wartungsfensters bei der Bereitstellung kann nichts mehr installiert werden. Dies ist das Gegenteil des vorherigen Verhaltens, da jetzt keine Installationen oder Updates mehr ausgeführt werden, bis dies ausdrücklich mitgeteilt wird.

Dies ist sehr leistungsfähig, aber die Einschränkung besteht darin, dass Sie jetzt die vollständige manuelle Kontrolle darüber haben, wann Installationen ausgeführt werden können und wann Neustarts stattfinden können - genau wie Sie es wollten. Jetzt haben diese Kontrollkästchen eine Bedeutung. Wenn Sie beispielsweise über Regeln für die automatische Bereitstellung verfügen, z. B. Endpoint Protection-Definitionen, müssen Sie sicherstellen, dass diese außerhalb von Wartungsfenstern installiert werden können, es sei denn, Sie möchten sich jeden Tag bei Servern anmelden, um sie anzuwenden. Sie haben die Möglichkeit, Neustarts zu unterdrücken, auch wenn eine Installation außerhalb von Wartungsfenstern ausgeführt werden darf. Ein Vorteil ist, dass Sie einfach alles bereitstellen und einfach "So bald wie möglich" verwenden können, wenn Sie Zuweisungen und Fristen für manuelle Installationen auswählen. Wenn Sie sich mit der Einrichtung von Wartungsfenstern auskennen, können Sie Patches einmal bereitstellen. Planen Sie jedoch die eigentliche Installation und den Neustart, indem Sie andere Sammlungen mit neuen Wartungsfenstern verwenden. Denken Sie daran, dass Wartungsfenster in allen Sammlungen kumulativ sind. Entwerfen Sie Ihre Umgebung daher entsprechend.

Haben Sie versucht, die Frist auf eine lächerlich lange Zeit in der Zukunft festzulegen?

So verarbeite ich Werbung auf meinen Servern in SCCM 2008. Ich setze die Frist für 1 Jahr ab dem Datum, an dem ich die Werbung auf den Servern ausrichte. Schön und praktisch, denn wenn das Patch-Fenster herumrollt, sind alle Updates vorhanden und warten darauf, installiert zu werden, werden aber nicht ohne manuelles Eingreifen gestartet. Außerdem erfordert meinerseits weniger Aufwand, als in den Einstellungen herumzuspielen, in denen Sie versuchen, wie erwartet an die Arbeit zu gehen.

Warum nicht einfach Ihre Bereitstellung "verfügbar" und nicht "erforderlich" machen? Auf diese Weise werden die Updates im Software Center angezeigt, aber nicht automatisch installiert.

Wartungsfenster gelten auch für den Client und nicht für die Sammlung.

"Ein weiteres Problem ist, dass die Wartungsfenster der anderen Sammlungen effektiv ignoriert werden, wenn ein Computer Mitglied mehrerer Sammlungen ist, auf die Bereitstellungen ausgerichtet sind, und für eine dieser Sammlungen kein Wartungsfenster definiert ist."

Tatsächlich ist das Wartungsfenster des KUNDEN die Summe aller Wartungsfenster, die auf ihn angewendet werden. Wenn Sie also ein einstündiges Wartungsfenster durch Mitgliedschaft in einer Sammlung angewendet haben und der Client auch Mitglied einer Sammlung ist, für die KEIN Wartungsfenster definiert ist, beträgt Ihr effektives Wartungsfenster eine Stunde.

Unter der Annahme, dass sich SCCM 2012 wie SCCM 2007 verhält, bedeutet das Fehlen eines Wartungsfensters, dass die Computer in dieser Sammlung Updates installieren, wann immer sie dies wünschen (zum oder nach dem Stichtag), wie Sie festgestellt haben.

Persönlich habe ich Sammlungen, die auf der Mitgliedschaft in einer AD-Sicherheitsgruppe basieren. Server, die beispielsweise Mitglieder der Tuesday MaintenanceGruppe sind, werden Mitglieder der Tuesday MaintenanceSammlung und werden (überraschend) an einem Dienstagabend aktualisiert.

Server, die nicht wöchentlich neu gestartet werden können, werden in einer Sammlung gespeichert, auf die keine Update-Bereitstellungen ausgerichtet sind. Daher werden keine Updates heruntergeladen oder angewendet, außer Definitions-Updates.

Wenn ich diese kritischen Server aktualisieren kann, füge ich sie nur vorübergehend einer AD-Sicherheitsgruppe hinzu, auf die eine Sammlung mit einem geeigneten Wartungsfenster abzielt, oder erstelle im Voraus einen neuen.

Sie sind sich nicht sicher, ob dieser Ansatz das ist, wonach Sie suchen, geben Ihnen aber möglicherweise einige Ideen.

Sie scheinen die falsche Antwort ausgewählt zu haben. Die Kontrollkästchen, die Sie in Ihrer Grafik eingekreist haben, gelten eindeutig nur für Maschinen, für die ein Wartungsfenster definiert ist. Dies steht eindeutig in der Textzeile über den Kontrollkästchen. Wenn in SCCM kein Wartungsfenster zugewiesen ist, wird davon ausgegangen, dass es in Ordnung ist, diesen Server jederzeit zu warten. Was durchaus Sinn macht. Wenn Sie möchten, dass diese Kontrollkästchen auf Ihre Bereitstellungen angewendet werden, müssen Sie ein Wartungsfenster festlegen. Wenn Sie in der Vergangenheit eine festgelegt und keine Wiederholung angegeben haben, ist das Wartungsfenster für alle Elemente in dieser Sammlung abgelaufen, und es wird nie wieder ein Wartungsfenster dafür geben. In diesem Szenario können sie jetzt nur installiert werden, wenn Sie dies manuell tun.

Vorsichtsmaßnahme: Dies gilt nur, wenn sich diese Maschinen nicht in anderen Sammlungen mit wiederkehrenden Wartungsfenstern befinden. In diesem Szenario wird dieses Wartungsfenster ignoriert, da es abgelaufen ist, und das andere wird beobachtet, da sie kumulativ sind.

Scheint mir ziemlich direkt zu sein. Und ja, das Verhalten ist beabsichtigt. Sie haben gerade Ihre Bereitstellung falsch gestaltet. :) :)

Ihr Fehler war die Annahme, dass es NIEMALS in Ordnung ist, diese Patches zu installieren, da kein Wartungsfenster definiert ist, wenn genau das Gegenteil der Fall ist. Der Grund dafür ist, dass Benutzer in der Lage sein müssen, Patches und Software zu installieren und Änderungen an Systemen vorzunehmen, unabhängig davon, ob ein Wartungsfenster definiert ist oder nicht. (Denken Sie an hochneustolerante Computer wie Workstations.) Bei diesen Systemen ist der zusätzliche Schritt zum Definieren von Wartungsfenstern umständlich und kann aufgrund von Überschneidungen von Richtlinien usw. zu Problemen bei der Softwareverteilung usw. führen. Auf diese Weise können Sie die Anzahl beibehalten von Wartungsfenstern auf ein Minimum und daher einfach zu verwalten und vorherzusagen, wie sich das Verhalten für Ihre Bereitstellung auswirken wird.

Wie Sie es in Ihrem Image festgelegt haben. Wenn Sie in der Vergangenheit ein Wartungsfenster ohne Wiederholung festgelegt hätten, hätten Sie genau das Verhalten, das Sie wollten. :) :)

All dies wird gesagt. Wenn Sie nun die verschiedenen Gruppenrichtlinieneinstellungen, die automatische Updates regeln, in den Mix einfügen, kann dies sehr verwirrend sein. Microsoft könnte die Benutzeroberfläche für Softwareupdates erheblich vereinfachen oder den vorhandenen Einstellungen einige Erklärungen hinzufügen. Das gilt auch für SCCM 2007.

Es wird schlimmer. Nach meiner Erfahrung mit der fortlaufenden Bereitstellung von Patches, um die Einhaltung der Vorschriften durchzusetzen, kann dies ein echtes Problem sein. Hier ist der Grund. Richtlinien werden Kunden im Allgemeinen aufgrund der Sammlung zugewiesen, in der sie sich befinden. Sammlungen werden regelmäßig aktualisiert, jedoch nicht alle gleichzeitig. Stellen Sie sich nun das Szenario vor, in dem Sie den Client auf einem Server installieren und wissen, dass für die Clientinstallation kein Neustart erforderlich ist.

Der Server befindet sich schließlich in einer Sammlung mit einem Wartungsfenster und einer Sammlung mit einer laufenden Bereitstellung kritischer Patches. Es kommt jedoch nur so vor, dass die Zeitachse, die sich zufällig entfaltet, die Sammlung mit der Bereitstellung zuerst aktualisiert wird und dann der Client das Intervall für den Bewertungszyklus für das Abrufen von Richtlinien erreicht, bevor die Sammlung mit dem ihm zugewiesenen Wartungsfenster aktualisiert wird . Das Ergebnis kann sein, dass der Server Patches anwendet und zu einem unangemessenen Zeitpunkt neu startet.

Leider können wir der Sammlung "Alle Systeme" kein Wartungsfenster zuweisen, um ein Standardwartungsfenster zu erstellen. Ein Teil meiner Lösung für dieses bisher konzipierte Problem besteht darin, die Sammlung "Alle Systeme" mit einer Sammlung zu spiegeln, die sie als eingeschlossene Sammlung enthält, Updates für diese Sammlung sehr häufig festzulegen und dieser ein Wartungsfenster zuzuweisen. Und während wir möglicherweise weiterhin wichtige Patches für Desktops bereitstellen möchten, möchten wir diese möglicherweise für Server ablaufen lassen oder sie nach unserem Hauptwartungsschub zumindest von Erforderlich auf Verfügbar ändern.

Ich mag auch die Idee, in der Vergangenheit ein einmaliges Wartungsfenster anzuwenden.

Es scheint, dass dies ein bekannter Fehler in SCCM ist . Ich kann jedoch keine MS-Dokumentation finden, aber zumindest weiß der OP, dass das Problem nicht in seinem Setup liegt.

Ich bin gerade dabei, Server zum ersten Mal mit SCCM zu aktualisieren.

Unter der Annahme, dass sich SCCM 2012 wie SCCM 2007 verhält, bedeutet das Fehlen eines Wartungsfensters, dass die Computer in dieser Sammlung Updates installieren, wann immer sie dies wünschen (zum oder nach dem Stichtag), wie Sie festgestellt haben.

Auch ich habe festgestellt, dass dies der Fall ist. Sie müssen Wartungsfenster zuweisen, sonst werden die Updates angewendet, wann immer sie möchten.

Was Server-Updates betrifft, habe ich Updates bereitgestellt, die für Server verfügbar sind , mich dann aber angemeldet und manuell angewendet (nachdem ich einen Snapshot des Computers erstellt habe, wenn es sich um eine VM handelt).

Was jedoch schön wäre, ist die Schaltfläche "Alle Updates während des nächsten Wartungsfensters installieren, ggf. neu starten", damit ich diesen Vorgang tagsüber starten und dann früh aufstehen und sicherstellen kann, dass ich den Snapshot nicht zurücksetzen muss.

Viele verwirrende Halbwahrheitsantworten hier. Diese Einstellungen, die Sie eingekreist haben, gelten nur, wenn auf eine Maschine ein Wartungsfenster angewendet wurde. Wenn Sie möchten, dass Ihre Systeme niemals neu gestartet werden, es sei denn, Sie initiieren sie, sollten Sie ein Wartungsfenster entweder weit in der Zukunft oder weit in der Vergangenheit erstellen.

Ohne Wartungsfenster ermöglicht SCCM einem System einen Neustart nach der Installation von Updates. Die Möglichkeit, dieses Verhalten zu blockieren, finden Sie unter SCCM-Clienteinstellungen unter Administration -> Clienteinstellungen.