8 Replies Latest reply on Oct 24, 2014 1:40 AM by Ratzratz

    Patch-Installationsreihenfolge

    Ratzratz Expert
      Hallo Zusammen,

      unter Infrastruktur->Patch Management-Einstellungen gibt es ja die Möglichkeit einzustellen, ob Patche vor oder nach den Applikationspaketen installiert werden sollen.

      Bei uns ist die Einstellung auf "Vor den Application Packages".

      Das ist auch gut so, denn die Patche sollten schon vor den ganzen Applikationen installiert werden.

      Ich hätte jedoch gerne, dass die Treiberpakete, inbes. Chipsatz- und Netzwerk-Treiber, noch vor den Patchen installiert werden.

      D.h. ich hätte es gerne so:
      1.) Treiber
      2.) Patch-Installation durch APM
      3.) Applikationen (Office, AR, FF etc.)

      Leider laufen die Treiberpakete offensichtlich auch unter der Rubrik "Application Packages", so dass die Treiber erst nach den Patchen installiert werden, was mir nicht gefällt.

      Gibt es eine Möglichkeit, obige Reihenfolge einzustellen?

      Gruß
      Matthias
        • 1. Re: Patch-Installationsreihenfolge
          _Mel_ Master
          wenn du die option "Maintain installation order"/"Installationsreihenfolge beibehalten" verwendest, dann müßte die installationsrecihenfolge an der policy des patch management execution package ziehen
          • 2. Re: Patch-Installationsreihenfolge
            Ratzratz Expert
            Das Advanced Patch Management Execution Package hat die Installationsreihenfolge-Wert 4000. Da die ganzen Patch in der Patch Library den Installationsreihenfolge-Wert 0 haben, werden die immer ganz am Anfang installiert.
            Die Treiber-Pakete haben zwar auch Installationsreihenfolge-Wert 0, werden vom DSM aber dennoch erst nach den Patchen ausgerollt.
            • 3. Re: Patch-Installationsreihenfolge
              _Mel_ Master
              der wert am paket ist nur der default auf den die policy initial gesetzt wird.
              und der wert an der policy entscheidet beim neuberechnen der reihenfolge (und nur dann) darüber welcher wert an die policyinstanz kommt.
              und der wert an der policyinstanz ist der nach dem sich der client richtet.
              • 4. Re: Patch-Installationsreihenfolge
                Ratzratz Expert
                Wenn ich das richtig verstanden habe, kann ich während der Neuinstallation eines Computers nur über "Beibehalten der Installationsreihenfolge" steuern, dass die Patche erst nach den Treibern kommen. Dann müsste ich die Patche aber alle manuell zuweisen, damit die nach den Treibern installiert werden, da sie ja auch den Installationsreihenfolge-Wert 0 haben.
                • 5. Re: Patch-Installationsreihenfolge
                  Frank.Scholer Master
                  Hallo,

                  eigentlich sollten doch die Treiber schon im Rahmen der OS Installation integriert werden. Zumindest wenn du wirklich mit PNP-Paketen arbeitest (und ggfs. darin nicht mit silent Setups arbeitest).

                  Nur weiß ja DSM nicht, ob die Treiberinstallation im Rahmen des OS Setups geklappt hat und macht das dann nachträglich nochmal. In aller Regel sollte dort aber nicht mehr passieren, als dass der DSM-Client prüft, ob die Treiberfiles alle auf dem aktuellen Stand sind und falls ja, die Policy-Instanz auf grün setzen...

                  Womöglich hast du gar kein "Problem"...?

                  HTH, Grüße Frank
                  • 6. Re: Patch-Installationsreihenfolge
                    Ratzratz Expert
                    Hallo Frank,

                    meine Treiberpakete sehen so aus:

                    1.) Netzwerk- und Massenspeichertreiber (SATA etc.) sind ohne silent-Setup. Das eScript enthält nur den Befehl "InstallPnpDevices" und sonst nichts.

                    2.) Alle anderen Treiber (Grafik, Audio etc.) haben als ersten Befehl "InstallPnpDevices". Danach kommt aber noch das entsprechende silent-Setup (z.B. setup.exe /s), da es oft vorkommt, dass die Treiberintegration per "Treiberinstallation->Auswahl von Plug & Play-Geräten, die auf diesem Computer installiert sind" nicht alle Dateien erfasst, die zum Treiber gehören.

                    Das spielt bei meinem Problem aber keine Rolle.

                    Ich habe jetzt die Patch-Installationsreihenfolge auf "Nach den Application Packages" umgestellt.
                    Jetzt kommen die Patche zwar erst nach den Applikationen, was mir aber immer noch lieber ist, als dass die Patche noch vor den Treibern kommen.

                    Die Installationsreihenfolge bei Neuinstallation eines Computers ist jetzt also:
                    1.) Treiber
                    2.) Applikationen (Office, AR, FF etc.)
                    3.) Patch-Installation durch APM

                    Ich denke, besser bekommt man das mit meinen derzeitigen Konfigurationsmöglichkeiten nicht hin (unter DSM 2013.2).

                    Wie ist das eigentlich unter DSM 2014.1?
                    Gibt es da unter Patch-Installationsreihenfolge evtl. mehr Möglichkeiten?

                    Gruß
                    Matthias
                    • 7. Re: Patch-Installationsreihenfolge
                      Frank.Scholer Master
                      Moin Matthias,

                      Ich denke, besser bekommt man das mit meinen derzeitigen Konfigurationsmöglichkeiten nicht hin (unter DSM 2013.2).


                      Ich finde ja, dass das auch genau so gehört - weil ja über's APM nicht nur das OS sondern eben auch die Apps gepatcht werden. Dazu müssen sie aber natürlich auch erstmal drauf sein. Um während der Installationszeit nicht allzu verwundbar zu sein, gibt's ja die Möglichkeit, Patches in das Installationsimage zu integrieren (offline oder online)...

                      Wie ist das eigentlich unter DSM 2014.1? Gibt es da unter Patch-Installationsreihenfolge evtl. mehr Möglichkeiten?


                      Das APM hat zwar unter 2014.1 nochmal massiv an Möglichkeiten bei der Rollout-Steuerung zugelegt (wirklich richtig coole neue Features und Möglichkeiten ;-), allerdings gibt es bei deinem konkreten "Problem" m.E. keine Neuerungen...

                      HTH, Grüße Frank
                      • 8. Re: Patch-Installationsreihenfolge
                        Ratzratz Expert
                        Hallo Frank,

                        an den Aspekt, dass die Applikationen erstmal drauf sein müssen bevor sie gepatcht werden können, habe ich gar nicht gedacht.
                        Somit ist die Einstellung "Nach den Application Packages" eigentlich ganz gut.

                        Gruß und Danke
                        Matthias