Beschreibung:
Da Smart Updates viele mögliche Einstellungen hat, wollen wir Dir in diesem Dokument einen ersten Überblick bieten, welche Einstellungen Du für welche Gruppe vornehmen kannst, damit Smart Updates problemlos läuft.
INHALTSVERZEICHNIS
- Gruppen anlegen und Kategorien der Gruppen
- Verzögerung der Updates und das Installationszeitfenster
- Planung der Neustarts und Installation der Updates
- Neustart Hinweis
- Downloadverhalten
- Zu beachten
Gruppen anlegen und Kategorien der Gruppen
Im nachfolgenden KB-Artikel wird beschrieben, wie Du Gruppen in Smart Updates erstellen kannst:
Gruppen im Smart Updates - Standardgruppen und eigene Gruppen: Server-Eye (freshdesk.com)
Empfehlung:
Wir empfehlen, die Microsoft Updates und die Drittanbieter Updates in unterschiedliche Gruppen aufzuteilen, um die Verzögerungen unterschiedlich einstellen zu können. Dies ist wichtig, da zum einen bei vielen Drittanbieter Updates die Updatefrequenz sehr hoch ist, bis hin zu täglichen Updates. Zum Anderen ist es nötig, bei problematischen Microsoft Patches Handlungsspielraum zu haben, um diese auszusetzen.
Da die Gruppen "Workstation" und "Server" standardmäßig vorhanden sind und die Sensorhubs dort immer enthalten sind, empfehlen wir, in diesen beiden Gruppen die Update-Einstellungen für die Microsoft Updates und Microsoft Produkte vorzunehmen.
Die Drittanbieter Updates können dann in einer zusätzlichen Gruppe verwaltet werden.
Dazu werden zwei gefilterte Ansichten gebaut ("ThirdParty Clients" und "ThirdParty Server").
In ThirdParty Clients kommen alle Maschinen mit dem Tag "PC" und in ThirdParty Server alle mit dem Tag "Server".
→ Dokumentation - Gefilterte Ansichten
Entsprechend werden diese gefilterten Ansichten als Gruppen in Smart Updates hinzugefügt.
Somit kommen nun alle neu erstellten Maschinen durch die automatischen Tags auch in die entsprechende ThirdParty Gruppe.
Gruppen im Smart Updates - Standardgruppen und eigene Gruppen: Server-Eye (freshdesk.com)
Verzögerung der Updates und das Installationszeitfenster
Verteilung der Kategorien: In den Gruppen "Workstation" und "Server" sollen als Kategorien lediglich die "Microsoft Produkte" und "Microsoft Windows" aktiviert sein. In den Third-Party Gruppen sollen alle Drittanbieter-Updates ausgewählt werden. Dabei setzen wir bei den Windows Updates und bei den Drittanbieter-Updates auf unterschiedliche Verzögerungen.
Einstellungen:
| Gruppe | Updateverzögerung | Installationszeitfenster |
| Workstation | 7 | 30 |
| Server | 14 | 30 |
| ThirdParty Clients | 0 | 30 |
| ThirdParty Server | 0 | 30 |
Updateverzögerung
Durch die Updateverzögerung kann man auf problematische Microsoft Updates reagieren. So kann man gegebenenfalls die Verzögerungen rechtzeitig auf 30 Tage hochstellen und die Windows Updates bis zum nächsten Patchday komplett aussetzen. Folgendes Skript kann dabei helfen: Smart Updates Gruppeneinstellungen in Masse definieren
Kritische Sicherheitsupdates können in einem solchen Fall dann über unser PowerShell-Skript aus unserem Online PowerShell Repository gezielt installiert werden.
Für die Gruppe "ThirdParty Clients" und "ThirdParty Server" empfehlen wir, aufgrund der hohen Updatefrequenz, die Verzögerung auf 0 Tage einzustellen.
Installationszeitfenster
Für das Installationszeitfenster wird empfohlen bei Workstations den Wert auf 14 und bei Server auf 30 zu setzen.
Dies ist aber immer davon abhängig, wie oft die Maschinen neu gestartet werden, um die Updates auszuführen.
Dabei sollten die Maschinen innerhalb des Zeitfensters mindestens zwei Neustarts durchführen können.
Planung der Neustarts und Installation der Updates
Die Planung der Neustarts ist immer vom jeweiligen Kunden abhängig. Wir empfehlen aber ganz klar, die Clients täglich neu zu starten und die ausstehenden Patches zu installieren. Die regelmäßige Installation der Patches in kurzen Zeitintervallen führt zu einer signifikanten Reduzierung von Alarmen bei Smart Updates.
Wir empfehlen, die Server mindestens einmal in der Woche neu zu starten.
Server haben somit mehrere Installationsversuche (aufgrund des eingestellten Installationszeitfensters), in denen die Updates installiert werden können.
Beachte: Neustarts für Server müssen entweder direkt über die Smart Updates Erweiterung geplant werden (vorzugsweise), oder über den OCC-Automation-Planer (restart-system.ps1 und/ oder shutdown-system.ps1).
Bei einem manuellen Server Neustart wird unser Smart Updates Skript nicht angetriggert, es wird hier also keine Installation durchgeführt.
Falls Ihr jedoch möchtet, dass die Smart Updates Installation auf Servern auch durchgeführt wird, wenn der Server manuell neu gestartet wird, müssen folgende Anpassungen gemacht werden:
Smart Updates auf Servern immer ausführen
Neustart Hinweis
Bei den Clients empfiehlt es sich den Neustart Hinweis zu aktivieren, bei den Servern kann dies aus bleiben.
Unsere Empfehlung: Erstmaliges Auftreten des Pop-Ups 10 Tage vor dem Ende des Installationszeitfensters mit einer Wiederholung von 24h.
Downloadverhalten
Das Downloadverhalten empfehlen wir auf "Nutze Filedepot, falls nicht möglich direkter Download" einzustellen.
Sollte ein Gerät eine getaktete Verbindung nutzen, empfiehlt es sich, das Download Verhalten auf "ausschließlich Filedepot" einzustellen.
Zu beachten
Neustarts sollten optimalerweise über die Smart Updates Erweiterung geplant werden, wie bereits in Punkt 3 erwähnt. Die Aufgaben können so besser in der Aufgabenplanung unterschieden werden. Außerdem ist dadurch in der Ansicht direkt zu sehen, wann der nächste Neustart erfolgen soll:
Smart Updates ist außerdem nicht für Kunden geeignet, deren Server sich nur einmal im Quartal neu starten lassen, da sich der Patchdownload Ordner (C:\ProgramData\ServerEye3\patchdownload) auf den Systemen automatisch alle 60 Tage bereinigt.