Dieses Dokument beinhaltet alles, was Ihr über Smart Updates wissen müsst, um es erfolgreich bei Euch einzusetzen.
Ihr erfahrt, wie Ihr Smart Updates aktiviert, wie Ihr Gruppen anlegt und Smart Updates optimal für Eure Systeme konfiguriert.
Bitte beachte außerdem folgenden Blog-Artikel wenn es um die Nutzung von Smart Updates auf einem Hyper-V Host geht:
Anleitung - Automatische Hyper-V Reboots für Smart Updates mit Script
Grundlegendes über Smart Updates:
→ Beim Herunterfahren / Neustarten des Systems wird unser Installationsskript gestartet, welches die
Installation der Updates auf dem System veranlasst
→ Wir starten den Scan des Systems gegen die wsusscn2.cab und erhalten so alle von Microsoft als
„sicherheitsrelevant“ gekennzeichneten Windows Updates
Ab SU 1.5 (Mai 24) ändert sich dies! Updates werden dann direkt über die Windows-Update API herunterladen und die wsusscn2.cab nicht mehr benötigt.
→ Die Updates werden während dem laufenden Betrieb heruntergeladen, wobei wir dies auf einen Down
load pro Stunde begrenzen
→ Die Downloads werden über das Filedepot heruntergeladen, welches sich auf dem OCC-Connector
befindet (siehe hierzu auch: servereye Filedepot - Dokumentation). In SU 1.5(Mai 24) werden nur ThirdParty Updates über das Filedepot heruntergeladen. Windows Update nutzen die "Übermittlungsoptionen" in Windows die auch konfiguriert werden können (Einrichten einer GPO für Beschränkungen von Update-Peering / Bandbreite)
→ Das Filedepot bereinigt die Dateien nach sieben Tagen selbständig. Sollte eine Datei dann nochmal
benötigt werden, wird sie erneut heruntergeladen
→ Gescannt wird das System alle 24 Stunden, nach einem Systemneustart und nach einem fehlgeschlagenen Scan
→ Unser Kooperationspartner ist Baramundi
→ Updates können maximal 60 Tage verzögert werden
→ Bestimmte Updates können nicht ausgeschlossen werden
Folgende Software kann mit Smart Updates aktualisiert werden:
- Microsoft Windows
- Weitere Software
Eine Liste aller unterstützten Produkte findest Du hier: Welche Updates und Produkte unterstützt Smart Updates?
Smart Updates aktivieren:
Neustart über Smart Updates planen und durchführen:
Du kannst über Smart Updates den Neustart Deines Systems planen und durchführen. Du kannst über einen Haken entweder alle Systeme auswählen oder nur einzelne. Sobald Du ein System (oder mehrere) ausgewählt hast, klickst Du auf „Neustart planen“.
Als Nächstes muss der Trigger festgelegt werden, wann die Systeme neugestartet/heruntergefahren werden sollen. Es kann sich dabei auch um eine wiederholende Aufgabe handeln.
Zuletzt muss die Aufgabe noch gespeichert werden.
ACHTUNG: Unser Smart Updates Skript wird bei Server Systemen nur über einen aus dem OCC heraus geplanten Neustart/Herunterfahren getriggert. Das bedeutet, dass ein Server welcher manuell heruntergefahren bzw. neugestartet wird KEINE Smart Updates Installation durchführt.
Dies kann jedoch auf Wunsch angepasst werden: Smart Updates auf Servern immer ausführen
Bei Clients läuft die Smart Updates Installation immer durch, unabhängig davon, ob das System manuell neugestartet bzw. heruntergefahren wird oder über einen geplanten Neustart/Herunterfahren aus dem OCC heraus.
Gruppen in Smart Updates:
Gruppen im Smart Updates - Standardgruppen und eigene Gruppen
Gruppeneinstellungen festlegen:
Was auf den Maschinen installiert werden soll, musst Du nach der Aktivierung von Smart Updates in der entsprechenden Gruppe in den Update-Kategorien festlegen: Update Kategorien auswählen im Smart Updates
Anhand dieser Kategorien kannst Du dann festlegen, welche Updates in der Gruppe und wie die Maschinen diese Updates erhalten sollen.
ACHTUNG: Es ist möglich, dass sich eine Maschine in mehreren Gruppen befindet. Hier greift die Regel, wer zuerst kommt, mahlt zuerst. Es greift also die Gruppenregelung, die zuerst eintritt. Dies bezieht sich beispielsweise auf die Verzögerung.
Die Übersicht der Einstellungen beinhaltet nicht nur die Festlegung der Update-Kategorien, sondern auch die Verzögerung der Installation, des Installationszeitraums, Neustarthinweises, etc.
Die Verzögerung bezieht sich immer auf das Datum der Veröffentlichung eines Updates. Du legst damit fest, ob Du ein Update direkt (0 Tage Verzögerung) oder erst später installieren möchtest.
Beachte: Du kannst ein Update maximal 60 Tage verzögern. Danach installiert Microsoft ausstehende Updates, ob Du möchtest oder nicht!
Mit dem Installationszeitfenster legst Du fest, wie viel Zeit Du einem Update gewährst, damit es installiert werden kann, bevor der Sensor in den Alarmzustand geht. Damit ein Update installiert werden kann, muss das System in diesem Zeitfenster auch neugestartet/heruntergefahren werden.
Beide Zeiträume ergeben insgesamt maximal 60 Tage. Je kleiner Du die Verzögerung setzt, desto mehr Tage hast Du für das Installationszeitfenster zur Verfügung. Sind beide Zeiträume abgelaufen und das Update konnte nicht erfolgreich installiert werden, geht der Sensor in den Alarm und die Kachel „Kategorie“ wird orange.
Neustarthinweis:
Grundsätzlich kann man den Neustarthinweis aktivieren oder deaktivieren (Wie kann ich das Neustart Popup/die Neustart Warnung ausschalten?). Dieser Hinweis taucht auf dem jeweiligen System auf und informiert, dass Updates ausstehen und das System neugestartet/heruntergefahren werden sollte. Über die Auswahl kannst Du entweder „jetzt neustarten“ oder Dich „später erinnern“ lassen.
Auch den Neustarthinweis kannst Du verzögern. Die maximale Verzögerung des Hinweises richtet sich nach dem Installationszeitfenster. Mindestens einen Tag vor Ablauf des Installationszeitfensters wird der Neustarthinweis angezeigt, sofern dies aktiviert ist.
In diesem Fenster kannst Du nicht nur die Verzögerung, sondern auch die Wiederholung des Neustarthinweises festlegen. Je nach Einstellung kann es jedoch unter Umständen dazu führen, dass sich Dein Kunde schnell genervt fühlen könnte, da das Fenster ihn „zuspammt“.
Beachte: Sobald der Neustart Hinweis zum ersten Mal auf dem Client aufpoppt, kann man im Shutdown Prozess die anstehende Smart Updates Installation nicht mehr abbrechen. Der Button "Ohne Updates fortfahren" ist ab dann nicht mehr vorhanden!
Maximale Tage ohne Scan:
Der Zeitraum kann zwischen zwei und sechs Tagen gesetzt werden. Gescannt wird das System alle 24 Stunden, als auch nach einem Neustart des Systems. Schlägt ein Scan fehl, wird dieser kurze Zeit später erneut wiederholt.
Das Download-Verhalten legt fest, wie Dein System seine Updates erhält. Wählst Du „Filedepot, falls nicht möglich direkter Download“, wird für die Updates das Filedepot (auf dem OCC-Connector) genutzt. Wenn diese Verbindung nicht verfügbar ist, wird das System den direkten Download nutzen und die Updates selbst herunterladen. Nutzt Du die Funktion „ausschließlich Filedepot“, wird, wenn keine Verbindung zum OCC-Connector besteht, auch nichts heruntergeladen und installiert. Ausschließlich der „direkte Download“ lädt sich die Updates für das System selbst, unabhängig von seinem OCC-Connector. (Achtung: Ab Smart Updates 1.5 betrifft dies nur ThirdParty Patches, für Windows Updates sollten die Übermittlungsoptionen genutzt werden, siehe: Einrichten einer GPO für Beschränkungen von Update-Peering / Bandbreite)
Im unteren Bereich der Einstellungen findest Du die verschiedenen Kategorien von Updates. Hierbei handelt es sich sowohl um Windows Updates, als auch um Third-Party Produkte. Über „alle auswählen“ kannst Du alle Kategorien auswählen.
Sollte die Software zu einer Kategorie noch nicht installiert sein, Du diese aber mit ausgewählt haben, wird diese nicht aktualisiert. Wenn die Software im Nachgang installiert wird, rutscht sie automatisch in den Updatezyklus rein und wird in Zukunft aktualisiert.
Wenn Du Deine Auswahl für die Kategorien getroffen hast, einfach auf „Speichern“ klicken. Alle Maschinen aus einer Gruppe, die Du gerade bearbeitest, werden die Updates aus den Kategorien erhalten, die Du ausgewählt hast.
Gruppeneinstellungen übernehmen:
Du hast Gruppen fertig definiert und möchtest diese jetzt beispielsweise auch auf andere Kunden übertragen. Dafür legst Du, anhand eines Tags, eine neue Gruppe bei dem gewünschten Kunden an. Wenn die Gruppe angelegt ist, wählst Du in den Einstellungen der Gruppe den Punkt „Einstellungen übernehmen“. Jetzt nimmst Du die Gruppe, von der die Einstellungen übernommen werden sollen. Das funktioniert auch kundenübergreifend.
Installationshinweis auf dem System:
Wird ein System heruntergefahren oder neugestartet, erscheint auf dem System ein Hinweis, dass aktuell Updates installiert werden.
Die Kacheln im Smart Updates:
Jede dieser vier Kacheln kann aufgeklappt werden, um weitere Informationen zu erhalten. Im besten Fall sind die Kacheln Grün, bzw. die letzte Kachel Blau:
Die Kacheln können aufgeklappt werden und man erhält Auskunft über den aktuellen Stand; letzter erfolgreicher Scan, letzte erfolgreiche Installation und was beim nächsten Herunterfahren passiert.
Ab Smart Updates 1.5 (Mai 24) sind die Scan-Tasks für ThirdParty und Windows aufgetrennt. Damit lässt sich bei Problemen auch genauer unterscheiden , welche Komponente betroffen ist.
Kachel „Nächstes Herunterfahren“:
Option 1 - Installation bereit:
Der Hinweis „Installation bereit“ bedeutet für Dich, dass mit dem Beenden, Neustart oder Herunterfahren des Systems, Updates installiert werden.
Option 2 - Keine Installation:
Der Hinweis „Keine Installation“ bedeutet, dass entweder keine Updates gefunden wurden, oder aktuell ein Scan läuft und daher keine Installationen durchgeführt werden können.
Eine Kachel ist Orange, was ist zu tun?
Kachel „Scan“:
Je nach Gruppeneinstellungen ist der letzte erfolgreiche Scan zu lange her und die Kachel geht daher in den Alarm.
Kachel „Installation“:
Es wird eine Liste mit den Patches angezeigt, die durch Smart Updates nicht installiert werden konnten. Smart Updates versucht, ein Update 10 Mal zu installieren. Schlägt dies fehl, wird der Versuch abgebrochen und es muss manuell nachinstalliert werden.
Kachel „Kategorie“:
Klappst Du die Kachel „Kategorie“ auf, werden Dir gekennzeichnete Updates in Orange angezeigt. Diese sind laut Verzögerung in den Gruppeneinstellungen bereits überfällig. Dabei wird aufgelistet, welches Update abgelaufen ist. Das System benötigt, um diese Updates zu installieren, einen Neustart/Herunterfahren.