13 Replies Latest reply on Nov 5, 2012 8:10 AM by derniwi

    Patchdauer

    mwill Apprentice
      Grüß' Euch,

      ich habe ein eigenes Skript gebaut, um Patches bei der Erstinstallation eines Clients installieren zu lassen. Nein, nicht viel Schnickschnack, prinzipiell nur

      ScanForVulnerabilities und
      InstallPatches nacheinander

      So, jetzt startet ein Client, Windows 7 x64, seine Installation und kommt genau um 10:45 Uhr um ersten ScanForVulerabilities, der auch drei Minuten später beendet ist. Bis dahin finde ich DSM 7 wunderbar.

      Aber dann beginnt er mit InstallPatches, inzwischen ist es 10:48 Uhr und beendet das Drama um 12:51 Uhr ?!?!?!

      Über zwei Stunden - ist das normal? Gut, der Client steht im Loglevel 0, aber mit Loglevel 3 spare ich mir auch nicht soviel. Die Installation eines Windows 7 mit Office und Schnickschnack dauert dann satte fünf Stunden.

      Anmerkung: Wenn ich den Virenscanner vor der Patchorgie installieren lasse, legt er nochmal eine Stunde drauf, wir haben es nicht so mit Ausnahmen...

      Wie lange dauert das bei Euch? Was tut ihr dafür/dagegen und worauf muss ich achten? Gab es bei Euch Designfehler, die sich so ausgewirkt haben?

      Gruß,
      Matthias
        • 1. Re: Patchdauer
          Frank.Scholer Master
          Hallo Matthias,

          warum integrierst du die Patches nicht schon in dein INSTALL.WIM aus dem OS Setup File Package? Das geht mit Win7 wunderbar und du sparst dir die zwei Stunden Patch-Orgie...

          Grüße Frank
          • 2. Re: Patchdauer
            derniwi Master
            Auch bei mir dauert die Installation der Microsoft-Patches deutlich länger als der gesamte Rest einer kompletten Installation. Je nach Virenscanner (zu Beginn oder am Ende) und dessen Konfiguration kann ich die Verteilung der Pakete auch nochmals dramatisch ausbremsen.

            Wie schon in anderen Threads erwähnt fehlt mir seitens Microsoft einfach ein Tool, welches Patches lädt (idealerweise schon vom WSUS) und automatisch integriert. Am Ende hätte ich dann gerne ein aktuelles Installationsverzeichnis. Wie das geht, weiß ich auch teilweise, das Erstellen einer All-In-One-Installation mit Windows 7 32 und 64 Bit sowie Server 2008 R2 habe ich bereits automatisiert. Auch das Einbinden verschiedener Sprachpakete ist nicht das Problem.

            Ich müsste mich jetzt noch in das Thema "Suche und lade mir die Updates für Windows X in y Bit vom Server" in ein Skript bekommen und in mein anderes Tool integrieren.

            Gruß
            Nils
            • 3. Re: Patchdauer
              mwill Apprentice
              Hallo Frank,

              ganz einfach, weil ich mir das wiederholte Neuschreiben des WIM sparen wollte. Das muss ich dann periodisch für W7 x64/W7 x86, Server 2008 R2 x64 englisch und Server 2008 R2 x64 Deutsch machen. Dann darf ich das Ganze wieder testen und und und...

              Wenn wir die Patches nachlaufen lassen, brauche ich mich wenig um den aktuellen Stand zu kümmern, ich lasse es einfach laufen und dann geht's auch für Vista und die XP's, die da herumschwirren.

              Aber jetzt mal ehrlich, geht es schneller wenn es im WIM integriert ist?

              Könnte man den PE Client die Patches "dynamisch" an die richtige Stelle (wo auch immer die ist) kopieren lassen und ab geht's?

              Das letzte Mal, dass ich einen Slipstream erstellt habe war unter 2000 und XP und es war eine Katastrophe, weil sich ganze Horden von Patches nicht slipstreamen ließen.

              Gruß,
              Matthias
              • 4. Re: Patchdauer
                Frank.Scholer Master
                Hallo Matthias,

                Aber jetzt mal ehrlich, geht es schneller wenn es im WIM integriert ist?


                Ja, klar. Die Installation mit integrierten Patches dauert genauso lange wie wenn ein "originales" WIM verwendet wird. Ich sag jetzt mal (pi-mal-daumen) 20-25 Minuten. Wenn man dann aber direkt danach in der Systemsteuerung nach den installierten Updates schaut, sind halt schon 100 Updates oder so installiert...

                Könnte man den PE Client die Patches "dynamisch" an die richtige Stelle (wo auch immer die ist) kopieren lassen und ab geht's?


                Nee, so geht das nicht. Was man tut ist das WIM mounten (mit DISM), die Patches da wirklich reininstallieren (auch per DISM mit "/add-package" Option) und dann wieder unmounten und dabei speichern...

                Das letzte Mal, dass ich einen Slipstream erstellt habe war unter 2000  und XP und es war eine Katastrophe, weil sich ganze Horden von Patches  nicht slipstreamen ließen.


                Das kann man nicht mehr vergleichen... ein Unterschied wie Tag und Nacht

                HTH, Grüße Frank
                • 5. Re: Patchdauer
                  mwill Apprentice
                  Hallo an Alle,

                  also Frank, gut, ich kann mir vorstellen, dass alle was-weiß-ich-drei-Monate-oder-so für die wichtigesten OS (W7x64 und Server 2008R2eng/deu) zu machen.

                  Bin aber genauso genervt von den fehlenden Möglichkeiten, die Updates zu laden. Wir haben einen dollen WSUS und natürlich DSM. In beiden Systemen liegen die ganzen Patches schon vor, aber ich muss sie dann wieder irgendwo her bekommen und dann gibt's die Superseeded Patches und und und...

                  Kann man das aus einem Referenzsystem ableiten, z.B. ich installiere ein Windows 7 x64, Patche es komplett mit DSM und hole mir die Patches dann von der Platte???

                  In einer idealen Welt würde MS die Patches wie ein anderer am Markt alle drei Monate zu einem Paket zusammenfassen...aber das bekommen wir nicht. In unserem DSM stapeln sich mittlerweile 7141 Objekte im Patchordner. Wie soll ich denn da noch überblicken, was ich brauche und was nicht??

                  Gruß,
                  Matthias
                  • 6. Re: Patchdauer
                    derniwi Master
                    Ja, genau das gleich Problem. Die Patches sind da, sie werden regelmäßig automatisch auf den aktuellen Stand gebracht (das macht der WSUS), da muss man sich nur um wenig kümmern.

                    Der Vorteil der Interrgation in die install.wim liegt genau bei der Verteilung: man spart dort eben die Zeit, die man für die Integration in die WIM braucht, bei allen neu zu installierenden Rechnern. Microsoft bietet zwar ein paar Möglichkeiten, aber leider bietet der WSUS kein Export der aktuellen Updates nach System noch eine automatische Integration in eine install.wim.

                    Beides wäre hier hilfreich, denn eigentlich weiß ja niemand besser als MS, was MS macht, oder?  :-)

                    In der DSM Konsole kann man zwar die Spalten "Client-Rollout Datum" und "Compliance Datum" hinzufügen, allerdings spiegelt das Compliance-Datum nicht genau die Dauer der Installation wieder. Aber so ungefähr 15 Minuten dauert hier das erste Einspielen der Microsoft-Updates. Wobei ich noch erwähne, dass ich die ersten Updates direkt nach der Installation einspielen lasse und das je nach Paket nochmals wiederholen lasse (z.B. beim Einspielen von .NET, Office...). Somit kann ich nicht genau sagen, wie lange das Einspielen von MS-Updates insgesamt dauert, aber 20 Minuten sind es locker.
                    • 7. Re: Patchdauer
                      info@offlimits-it.com Expert
                      Also ein Tool um die Patches aus dem WSUS zu exportieren findet du unter wsus.de das heißt get WSUS Content
                      • 8. Re: Patchdauer
                        Klaus Salger Expert
                        Hallo Matthias,

                        zu dem Thema gab's vor ein paar Monaten schon mal eine recht ausführliche Diskussion - schau mal hier: https://community.ivanti.com/message/250699#250699.
                        Wenn Du nach einem automatischen Ablauf für die Integration der Patches (und anderer Komponenten) suchst, dann wäre evtl. die Installation einer VM per DSM und anschließender Capture eines WIMs interessant für Dich - das geht bis auf die Kopie des neu erstellten WIM-Files und erneute Distribution der OS Inst Source-Pakets vollautomatisch - läuft alles per DSM.

                        Ciao
                          Klaus
                        • 9. Re: Patchdauer
                          Andy74 Expert
                          Naja, die Frage ist ja wirklich, warum das per DSM so unsagbar lange dauert, da es per WSUS deutlich schneller läuft.


                          Das war auch der Grund, warum wir in ENTEO 5.8x Zeiten zum Patchmanagement via WSUS gewechselt sind.

                          Während der Betriebssysteminstallation installieren wir die Patches per "WUInstall.exe" direkt vom WSUS in einem Rutsch auf den Client. Das geht gefühlt 3x so schnell wie per ENTEO.

                          ..... wie es sich zeitlich nun unter DSM verhält, kann ich nicht sagen, haben wir noch nicht getestet. Aber offensichtlich hat sich da nicht so arg viel geändert.
                          • 10. Re: Patchdauer
                            mwill Apprentice
                            Hallo,

                            ich habe nun länger mit dem Support und anderen Leuten bei FrontRange gesprochen. Es ist so, dass ein konfigurierter WSUS das Patchmanagement von DSM stört.

                            Korrigiert mich, wenn ich falsch liege, aber DSM triggert die Windows Updates an und leitet den Windows Update Dienst vom Internet resp. WSUS in Richtung DSM Depot um. Wenn ein WSUS eingerichtet und dementsprechend definiert ist, dann funktioniert diese Umleitung nicht und DSM lädt dann die Updates vom WSUS statt vom Depot.

                            Man kann die Zeit, die DSM zum Patchen benötigt sehr gut reduzieren, wenn man in der Policy resp. der Registry den Key:

                            HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\UseWUServer=dword:0x00000000


                            setzt und dann nach Neustart des Windows update Dienstes das Patchmanagment von DSM laufen lässt. Ich konnte die Zeit damit deutlich reduzieren.


                            Gruß,
                            Matthias
                            • 11. Re: Patchdauer
                              Andy74 Expert
                              Also wir hatten in ENTEO 5.8x Zeiten eben diesen Wert per GPO gesetzt und damit den WSUS auf den Clients deaktiviert.

                              Hat zumindest in ENTEO 5.8x Zeiten bei uns keinen merklichen Zeitvorteil gebracht.
                              • 12. Re: Patchdauer
                                bretzeli Expert

                                Hallo Matthias,

                                warum integrierst du die Patches nicht schon in dein INSTALL.WIM aus dem OS Setup File Package? Das geht mit Win7 wunderbar und du sparst dir die zwei Stunden Patch-Orgie...

                                Grüße Frank




                                Hallo Frank,

                                So so Slipstreamen wie früher...

                                Weil der WSUS-Agent zusammen mit dem WSUS-Server eine unglaubliche Intelligenz hat.

                                Patchen zu viel Zeit:

                                Wir hören dies immer von Endkunden welche das Staging der Clients nicht im Griff haben ODER Termin von neuen Employee (New Entry) verpennen.

                                Bei einem Re-Setup in einem Notfall (Ransomware) wäre es ein Fall den man ansehen muss. Ist ja ein ein Thema das ajour ganz aktuell ist. Was passiert wenn eine Ransomware eine client Flotte runter nimmt und wie schnell kann man diese wieder re-installieren pro Standort?

                                Vom WSUS Verlauf her:

                                1) Der WSUS-Agent meldet den Status
                                2) Der WSUS-Server berechnet anhand des Client Inventory PLUS seiner Datenbank aus welche Patche der client in welcher REIHENFOLGE erhalten soll. Gemäss meiner Erfahrung liegen da der springende Punkt und die Quizfrage.

                                Habe noch kein Patch Management gesehen, dass nicht die XML-Logik von MS braucht.
                                Man kann diese Struktur ja auch als XML downloaden (Der C't Offline Updater macht ja sowas).

                                Bin mir aber sicher, dass man zwangsläufig so am Ende eines OS-Zyklus in Eine Sackgasse läuft. Ich habe hier im Forum mal nach Slipstream gesucht und genau die Personen welche dies befürwortet haben sind 2-3 Jahre später bei WIN7 in Probleme gelaufen.

                                12-15 Hotfixe nach dem WIM sind in Ordnung aber alles andere sehe ich als eine falsche Strategie an. Man kann ja extrem notwendige Patche wie Certs-Updates noch mitschieben damit dann gewissen Sachen wie VPN-clients nicht stocken.

                                Lumension wurde ja in Enteo integriert. Soll doch bitte mal jemand von Frontrange dazu Stellung nehmen?


                                https://www.sans.org/reading-room/whitepapers/auditing/patched-not-35912
                                „3.4. It is advantageous to be able to deploy new systems, especially workstations, into the environment in short order. Typically, an organization will drop a gold or base image onto a physical or virtual system, deploy patches, and have it up and running in short Likely, this gold image will have the latest OS Service Pack but does it have all the other Service Packs? If not, are those Service Packs deployed prior to putting it into service? If they are, it could take multiple recursive patch deployments to bring the system into compliance with current patches. If not, the installed software could already be unsupported. The team that is responsible for routine patch deployments is going to struggle if new systems requiring multiple patch deployments are continually introduced to the environment.”

                                https://community.ivanti.com/message/250113#250113
                                • 13. Re: Patchdauer
                                  SitzRieSe Expert
                                  Hi,

                                  also der Thread hier ist ja schon verdammt alt und der Post von Frank auch schon ein paar Jährchen her. Nichtsdestotrotz.... Du hast ja meinen Thread zum Thema Slipstream schon rausgesucht... Ich mache das jetzt seit dem (also 4 Jahre) ganz grob nach der Anleitung von NicoS: https://community.ivanti.com/message/220603#220603 für Windows 7 und Windows 8.1 und habe keinerlei Probleme mit diesem Verfahren oder konnte irgendwelche Bugs feststellen. Slipstream mit einer manuellen Installation funktioniert einwandfrei.

                                  Man kann sich selber halt Schnitzer einbauen, aber das liegt dann eher daran wie sauber man arbeitet.

                                  Ohne Slipstream bin ich bei einem Win 7 mit Sp1 bei locker 6-7 Stunden Installationszeit. Ich weiß jetzt nicht genau wie du das mit dem Staging meinst, aber das Problem ist definitiv nicht das herunterladen vom DSM Server zum Client, sondern das Zeug braucht für die Installation so lange!

                                  Gruß

                                  Alex