7 Replies Latest reply on May 5, 2010 4:23 AM by tsauter

    verschiedene Warungspläne

    tsauter Apprentice
      Hallo,

      wir haben in unserer Enteo Struktur verschiedene Ordner angelegt in die unsere System einsortiert sind.

      Bisher ist im enteo die Installation von Patches auf Server deaktiviert. Ich würde jetzt aber ganz gerne dieses für einen speziellen Order (Company->Server->Terminalserver) ändern, so dass auf allen Servern in dieser OU automatisch die Patches installiert werden.

      Ich habe schon etwas unter Manage Infrastructur mit den Site herumgespielt, allerdings will er dann immer ein Depot anlegen usw. Und wie kann ich dann die Server dieser Size zuordnen. Anhang von IP-Kreisen geht es nicht, da die Server verschieden stehen. Aussderm sind ja eh schon alle Server in einer OU zusammen gefasst.

      Vielen Dank für Eure Hilfe,

      Thorsten
        • 1. Re: verschiedene Warungspläne
          Frank.Scholer Master
          Hallo Thorsten,

          Bisher ist im enteo die Installation von Patches auf Server deaktiviert. Ich würde jetzt aber ganz gerne dieses für einen speziellen Order (Company->Server->Terminalserver) ändern, so dass auf allen Servern in dieser OU automatisch die Patches installiert werden.


          Hier musst du unterscheiden zwischen der Einstellung, ob Patches auf Servern überhaupt installiert werden sollen (und ob die automatische Installation auf Servern generell erlaubt ist) -> das findet in "Manage Infrastructure" statt und ist ne Site-Einstellung. In "Manage Computer & Benutzer" definierst du, wo Patch-Pakete zugewiesen werden... grundsätzlich also zwei verschiedene Baustellen, wobei der erste Teil (also der in "Manage Infrastructure") eine zwingende aber nicht hinreichende Voraussetzung darstellt... ;-)

          Ich habe schon etwas unter Manage Infrastructur mit den Site  herumgespielt, allerdings will er dann immer ein Depot anlegen usw.


          Das gehört so - jede Site hat zwingend min. ein Depot (ehemals NetInstall Server in NI 5.x). Allerdings kann man guten Gewissens dort nochmals ein bereits vorhandenes Depot angeben (und muss nicht extra nochmal nen Server "hinstellen"). Es findet dadurch auch keine doppelte Datenhaltung oder ähnliches statt. Eventuell sollte man aber die Distributionseinstellungen optimieren (unnötige Distributions-Threads ausschalten).

          Und wie kann ich dann die Server dieser Size zuordnen. Anhang von IP-Kreisen geht es nicht, da die Server verschieden stehen. Aussderm sind ja eh schon alle Server in einer OU zusammen gefasst


          Du musst ein Kriterium finden, anhand dessen sich die Server der Site zuordnen und der anderen nicht. Dass die Server bereits in einer OU zusammengefasst sind, ist an dieser Stelle unerheblich - die Infrastruktur und der Aufbau des Organisationsverzeichnisses (ODS) haben überhaupt nichts miteinander zu tun (was - nebenbei bemerkt - auch gut so ist, auch wenn's bei euch vielleicht jetzt anders geschickter wäre).

          Als Kriterium bieten sich z.B. der IP_NAME an (ich würde vermuten, ihr habt für alle eure Rechner ein Namenskonzept, anhand dessen man einfach Clients und Server unterscheiden kann), wenn's der IP-Adressbereich nicht sein kann, oder du arbeitest z.B. über Variablen (seien es jetzt Umgebungsvariablen oder benutzerdefinierte aus NetInstall, die ja z.B. auch aus Registry-Werten kommen können)...

          HTH, Gruß Frank
          • 2. Re: verschiedene Warungspläne
            Klaus Salger Expert
            Hallo Thorsten,

            ich denke, hier wäre zunächst mal zu klären, welche Computer Du in welcher Weise unterschiedlich behandeln willst.
            Wie Frank schon sagte sind die Sites in der ICDB und die OUs und Gruppen in der eMDB 2 verschiedene paar Stiefel. Das Targeting läuft ganz unabhängig von der Site-Struktur über OUs und vor allem Gruppen. Unterschiedliche Sites brauche ich nur wenn 1. unterschiedliche Depots verwendet werden sollen, z.B. weil die Computer in verschiedenen geographischen Lokationen stehen oder 2. unterschiedliche Parameter in der ICDB gebraucht werden. Alle ICDB-Parameter gelten ja für alle Mitglieder der Site, wenn ich für Server andere Parameter als für Clients brauche, dann brauche ich eben mehrere Sites.

            Wie Deine Anforderungen aussehen ist mir jetzt aber noch nicht klar.
            Wenn Workstations und Server in der gleichen Lokation wären und die ICDB-Parameter identisch sind, dann spricht nichts dagegen, Workstations und Server der gleichen Site zuzuordnen.
            Wenn sich die Parameter von Workstations und Servern unterscheiden (z.B. bzgl. Patch Management oder Service Accounts), dann braucht's mindestens 2 Sites.
            Wenn sich auch unter den verschiedenen Servern, z.B. Standard und Terminal Servern, die ICDB-Parameter unterscheiden sollen, dann müssen auch die unterschiedlichen Server in unterschiedliche Sites. Wenn das aber nicht der Fall ist, dann macht es keinen Sinn die verschiedenen Server mehr oder weniger mühsam in unterschiedliche Sites zu verfrachten.
            Die Entscheidung, ob überhaupt Patches oder andere Pakete installiert werden sollen fällt ja nicht in der ICDB, sondern in der eMDB. Da können also ruhig alle Server in der gleichen Site sein.
            Am besten erklärst Du einfach nochmal kurz, was Du erreichen willst. Und am besten auch gleich, was das mit Wartungsplänen zu tun hat.

            Und noch eine Ergänzung am Rande: Die Zuweisung von Paketen auf OUs halte ich im Regelfall für nicht empfehlenswert. Das liegt einfach daran, dass ein Computer nur in genau einer OU ist, aber problemlos parallel in vielen verschiedenen Gruppen. Gruppen, egal ob statisch oder dynamisch, sind damit erheblich flexibler.

            Ciao
              Klaus
            • 3. Re: verschiedene Warungspläne
              tsauter Apprentice
              Hallo,

              danke für die Antworten. Ich versuche das ganze etwas besser zu erklären.

              = Infrastruktur=
              - ich habe zwei Sites, die sich nur duch das Depot unterscheiden, da zwischen den Standorten nur eine 2MBit-Leitung liegt. Sonst sind die Einstellungen (Zeiten, Intervalle, Accounts, ...) identisch

              = Computer & OUs=
              ich habe folgenden Baum aufgebaut:

              - Company
              -Server

              - Terminalserver

              - Clients

              - Abteilungen


              Ziel des ganzen ist es jetzt einfach die Clients (auch in Unter-OUs) automatisch zu patchen. Das funktioniert bereits.
              Und zusätzlich möchte ich gerne die Server in der OU Terminalserver automatisch patchen. Aber eben nicht _alle_ Server, die sich in der OU-Server oder einen anderen OU befinden.

              "Patch auf Servern installieren" ist (noch) auf Nein gesetzt.

              Meine Idee ist jetzt folgende. Die Konfiguration von oben aktiveren. Aber wo lege ich dann fest auf welche OUs die Patches installiert werden sollen.

              Ich hoffe das ist jetzt besser erklärt.

              Vielen Dank.

              Thorsten
              • 4. Re: verschiedene Warungspläne
                Klaus Salger Expert
                Hallo Thorsten,

                OK, so wie das aussieht, hat das also zunächst nichts mit den Sites zu tun, sondern ist ein reines Zuweisungsthema.

                Da gibt es jetzt mehrere Möglichkeiten, wie man was manuell oder automatisch machen kann.
                Im Patch Management kann man ja konfigurieren, dass für die Patches automatisch Policies erstellt werden sollen, auf welches Objekt diese Policies gesetzt werden sollen und ob sie aktiv sein sollen.
                Ich nehme an, da hast Du momentan die Client-OU eingetragen, richtig?

                An der Stelle könnte man nun einfach zusätzlich auch die Terminalserver-OU eintragen. Das würde ich aber nicht empfehlen. Das würde zwar funktionieren aber Du hättest keine Kontrolle darüber, welche Patches ausgerollt werden und welche nicht. Außerdem würden alle Patches vollkommen ungetestet raus gehen.

                Ich würde eine Pilotgruppe (statische Computergruppe) mit Clients und Servern machen, auf der die Patchpolicies automatisch erzeugt werden. Die Policies würde ich nicht automatisch aktivieren.

                Das hat den Vorteil, dass man die Policies leicht zur Verfügung hat und diese mit wenigen Mausklicks aktivieren kann, trotzdem aber regeln kann, wann was überhaupt installiert werden soll. Das ist z.B. bei den Internet Explorer Updates oder Servicepacks ja durchaus eine Überlegung wert.
                Die aktivierten Policies führen dann zu einer entsprechenden Installation der Mitglieder der Pilotgruppe – nicht auf allen, weil es ja vorkommen kann, dass auch mal ein fauler Patch dabei ist, nach dessen Installation irgendetwas nicht mehr funktioniert.

                Wenn der Pilotrollout erfolgreich durchgelaufen ist, kann man die Target-Liste der neuen Patchpolicies erweitern und die passenden OUs mit aufnehmen. Terminalserver oder Clients oder beide. Wenn ein Patch Probleme gemacht hat, dann wird dessen Target-Liste eben nicht erweitert.

                Vorteil dieses Verfahrens: volle Kontrolle des Rollout-Prozesses.

                Nachteil: einige manuelle Arbeiten – wenn kein Administrator die Patches aktiviert bzw. die Targetliste anpasst, dann werden auch keine Patches ausgerollt.

                Meine Empfehlung wäre, das Ganze zunächst auf einem Testsystem durchzuspielen und auch nochmal zu prüfen, ob die Patch Managment-Einstellungen in der ICDB für Clients und Server passen – wenn nicht müsstest Du eben eine extra Server Site einrichten.

                Außerdem ist bei dem ganzen Verfahren auch noch zu klären, wann der Catalog installiert werden soll bzw. der Scan erfolgen soll. Ohne Vulnerabilities gibt’s keine Patch-Installation.

                An der Stelle hat sich kürzlich mal was geändert, das genau Verhalten hängt also an dem bei dir verwendeten enteo-Build. Beim aktuellen Build werden die Catalog-Policies nicht mehr automatisch als Jobs auf Managed Computer & Users erzeugt, sondern per Software Policy da zugewiesen, wo bereits eine entsprechende Policy vorhanden ist. An der Stelle wird sich auch mit dem kommenden Update noch etwas ändern.

                Ciao
                  Klaus
                • 5. Re: verschiedene Warungspläne
                  tsauter Apprentice
                  Hallo,

                  ok. Vielen Dank für die Tips. Ich denke ich habe das Prinzip jetzt verstanden. Allerdings habe ich jetzt ein neues Problem. Bisher waren alle Patches auf der obersten Ebene meine Struktur zugewiesen, da ich eh alle Clients patchen wollte.

                  Allerdings muss ich das jetzt ja ändern und nur noch auf spezielle OUs ("Clients" und "Terminalserver") ändern. Habe ich auch gemacht, allerdings werden so wie es aussieht nur neue Patches auf die geänderten OUs zugewiesen. Die alten Patches bleiben auf der obersten Ebene.

                  Kann ich das irgendwie änden, d.h. die alten Patches erneut zuweisen. Ich vermute wenn ich alle zuweisungen lösche, dann werden die Patches erneut zugewiesen. Allerdings werden die Patches dann ja auch auf allen Clients neu installiert. Oder?

                  Gibt da einen Trick?

                  Vielen Dank
                  Thorsten
                  • 6. Re: verschiedene Warungspläne
                    Klaus Salger Expert
                    Hallo Thorsten,

                    ja, das kann man ändern, ist allerdings etwas mühsam.

                    Du kannst in jede einzelne Patch-Policy gehen und die Targetliste erweitern auf die neue OU oder Gruppe. Dann kannst du das alte Target entfernen.
                    Das Endergebnis ist, dass die identische Policy nun nur noch auf der neuen OU liegt.
                    Bevor du das machst musst du aber sicher stellen, dass es wirklich keine Targets außerhalb der neuen OU gibt, die würden ja sonst danach die Policy nicht mehr sehen und die Instanzen würden out-of-scope gehen.

                    Allgemein gilt hier auch: vorher testen. Ideal: auf einem Testsystem. Wenn Du keins hast, die Situation mal mit Testclients, Testgruppen usw. nachstellen.

                    Ciao
                      Klaus
                    • 7. Re: verschiedene Warungspläne
                      tsauter Apprentice
                      Mist. Das dachte ich mir.
                      Das sind ja locker 200/300 Patches.

                      Trotzdem danke für die Hilfe!