1 2 Previous Next 19 Replies Latest reply on Aug 6, 2018 2:20 PM by SitzRieSe

    Patchmanagement über Mobiles Internet deak.

    CGR Specialist
      Gibt es eine Möglichkeit den Patchmanagement über Mobiles Internet zu deaktivieren und zugleich das Installieren von Software zu ermöglichen?
        • 1. Re: Patchmanagement über Mobiles Internet deak.
          _Mel_ Master
          an der policy gibt's ein setting wann heruntergeladen werden darf - darüber kann man z.B. einstellen, daß in einer remote site kein download stattfinden darf.

          Kann man aber wahrscheinlich nicht an den patchregeln vorgeben (ggf Feature Request machen), müßte man also immer nachträglich ändern
          • 2. Re: Patchmanagement über Mobiles Internet deak.
            SitzRieSe Expert
            In der aktuellen Version kann man auch an Templates Distributionsziele definieren worüber du dann steuern kannst das die Patch Pakete nicht auf das DMZ Depot geschoben werden. In dem Fall kann der Client schlichtweg das Paket nicht herunterladen und logischerweise nicht installieren.

            Andere Lösung... Du erstellst dir eine dynamische Gruppe mit dem Filter "letzte bekannte Site". Dort gibst du die ID deiner DMZ Site an.

            Nun rutschen alle Clients in diese Gruppe wenn Sie sich über die DMZ Site verbinden, dann kannst du dort zum Beispiel eine Deny Policy von den Execution Packages erstellen.
            Über den Weg werden die Clients dann definitiv keine Updates versuchen zu installieren.

            Gruß

            Alex
            1 of 1 people found this helpful
            • 3. Re: Patchmanagement über Mobiles Internet deak.
              NicoS1 Master
              Bringt für zwar aktuell nichts, aber ich hatte in einem Termin mit Andreas Fuchs mal mitgegeben, ob man das Thema "Metered Connection" bzw. dessen Berücksichtigung in DSM mit einbauen könnte, dass man steuern kann was über eine Metered Connection passieren darf und was nicht.

              So kann man die Windows Boardmittel benutzen um zu steuern was Datentraffic verursachen darf, und was nicht.
              Ich hoffe mal Ivanti macht was draus

              Bei uns ist es beispielsweise so, dass wir kein DMZ Depot haben und die Clients Grundsätzlich per VPN rein kommen, die wieder rum auf unserem Master Server landen. Und so hab ich derzeit keine Unterscheidungsmöglichkeit ob das ein User ist der daheim an seinem DSL Anschluss sitzt, oder per Mobile Internet mit Trafficlimit arbeitet.
              • 4. Re: Patchmanagement über Mobiles Internet deak.
                SitzRieSe Expert

                Bringt für zwar aktuell nichts, aber ich hatte in einem Termin mit Andreas Fuchs mal mitgegeben, ob man das Thema "Metered Connection" bzw. dessen Berücksichtigung in DSM mit einbauen könnte, dass man steuern kann was über eine Metered Connection passieren darf und was nicht.

                So kann man die Windows Boardmittel benutzen um zu steuern was Datentraffic verursachen darf, und was nicht.
                Ich hoffe mal Ivanti macht was draus

                Bei uns ist es beispielsweise so, dass wir kein DMZ Depot haben und die Clients Grundsätzlich per VPN rein kommen, die wieder rum auf unserem Master Server landen. Und so hab ich derzeit keine Unterscheidungsmöglichkeit ob das ein User ist der daheim an seinem DSL Anschluss sitzt, oder per Mobile Internet mit Trafficlimit arbeitet.



                Ja das stimmt ich würde mir da auch gern mehr Möglichkeiten wünschen, aber mit ein wenig Kreativität geht Einiges.

                Im VPN Fall ist das in der Regel ein anderes Netz, dann kannst du dir dafür einfach eine Site mit FakeDepot, also Verweis auf dein Master Depot erstellen und hast so wieder eine Unterscheidungsmöglichkeit durch die Sitezuordnung ohne das du ein zusätzliches Depot aufbauen musst.

                Wir haben dann auf der "DMZ Gruppe" ein Skript welches den User fragt ob er die Installation jetzt durchführen möchte oder nicht. Kommt der User wieder in die Firma wird er nicht gefragt und die Installation nachgeholt.

                Gruß

                Alex
                • 5. Re: Patchmanagement über Mobiles Internet deak.
                  CGR Specialist

                  Hmm das ganze mit den 2 Depots ist bei uns leider nicht umsetzbar da die User die per mobilen Internet und sslvpn ins Netz gehen im selben ip Bereich landen wie die die einfach im internen WLan arbeiten. Gibt es evtl. eine Abfrage wo ich einfach alle mit SSLVPN aussortiere?

                  • 6. Re: Patchmanagement über Mobiles Internet deak.
                    FrankScholer Master

                    Hallo,

                     

                    du könntest die Informationen aus dem KB-Artikel hier versuchen, aber wenn es sich bei den Sites wirklich um ein Netzwerk-Segment handelt, dann wird immer der LAN-Site der Vorrang gegeben. Vermutlich hilft das also nicht wirklich (wollte es der Vollständigkeit aber genannt haben).

                     

                    Es gibt dazu seit letztem Herbst auch den RM 254715 in der Entwicklung, damit man über die Reg-Keys aus dem KB-Artikel wirklich Clients z.B. in eine Remote-Site "zwingen" kann (was Stand heute noch nicht passiert). Eventuell kannst du mal nachfragen, wie der Stand zu dem Thema gerade ist...

                     

                    Grüße Frank

                    • 7. Re: Patchmanagement über Mobiles Internet deak.
                      Mike92 Rookie

                      Also ich hab das ganz einfach gelöst, indem ich im Advanced Patch Management Execution Package an erster Stelle abfrage, ob eine aktive Mobilfunk Verbindung vorhanden ist.

                       

                      Set('_PS-Params','-NoLog -ExecutionPolicy bypass -Command')

                      Set('_PS-Command','"& { If ((Get-WmiObject Win32_NetworkAdapter | Where-Object {$_.AdapterTypeId -eq 9}).NetConnectionStatus -eq 2) { exit 1 } }"')

                      RunAsEx('%WINSYSDIR%\WindowsPowerShell\v1.0\powershell.exe','%_PS-Params% %_PS-Command%','','','1','_Errorlevel',raUseSisAccount+WaitForExecution+raHideWindow+UndoneContinueParentScript)/TS

                      If not %_Errorlevel%='0'

                      ExitProcEx(Undone,'Active mobile broadband connection detected, aborting patch installation!')

                      1 of 1 people found this helpful
                      • 8. Re: Patchmanagement über Mobiles Internet deak.
                        CGR Specialist

                        Interessanter Ansatz, da muss ich aber nochmal meine alten Powershell Grundlagen raus holen. Wenn ich dein Skript einfach kopiere denkt er immer das das Mobile Internet Aktiv ist obwohl es deaktiviert ist....

                         

                        06:53:36.148 2        ---->Starting installation of "PatchLink Execution Package - Install (Version 7.3.2.3651)Chris Test"

                        06:53:36.161 2        -> Set('_PS-Params','-NoLog -ExecutionPolicy bypass -Command')

                        06:53:36.163 2        -> Set('_PS-Command','"& { If ((Get-WmiObject Win32_NetworkAdapter | Where-Object {$_.AdapterTypeId -eq 9}).NetConnectionStatus -eq 2) { exit 1 } }"')

                        06:53:36.166 2        -> RunAsEx('C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe','-NoLog -ExecutionPolicy bypass -Command "& { If ((Get-WmiObject Win32_NetworkAdapter | Where-Object {$_.AdapterTypeId -eq 9}).NetConnectionStatus -eq 2) { exit 1 } }"','',*****,'1','_Errorlevel',raUseSisAccount+WaitForExecution...

                        06:53:36.169 2         Not passing cmd to service (Local admin or not allowed to call service)

                        06:53:36.296 2         xniTools: Created process with process id 13276

                        06:53:36.296 1         xniTools: Waiting for process 1 minutes...

                        06:53:37.482 1         xniTools: Process termitated with exit code 0

                        06:53:37.484 1        Evaluating condition "not __Errorlevel_='0'"

                        06:53:37.485 2        Condition FALSE  -> skipping IF part

                        06:53:37.488 2        -> ExitProcEx(Undone,'Active mobile broadband connection detected, aborting patch installation!')

                         

                         

                        Update:

                        Kann ja ned klappen mit dem Adaptertype...

                        • 9. Re: Patchmanagement über Mobiles Internet deak.
                          Mike92 Rookie

                          Überprüfe doch mal manuell mit einem WMI Explorer deiner Wahl, was für Einträge in Win32_NetworkAdapter vorhanden sind.

                          AdapterTypeId 9 = Wireless

                          Win32_NetworkAdapter class (Windows)

                           

                          Bei meinen Tests mit Windows 7 x64 und Windows 10 x64 hatte nur der Mobilfunk Netzwerkadapter die TypeId 9.

                          WLAN und Ethernet hatten AdapterTypeId 0 Ethernet 802.3

                          Wir haben ausschließlich Intel WLAN Karten im Einsatz, eventuell ist die AdapterId bei anderen Herstellern nicht auf 9 ?

                          • 10. Re: Patchmanagement über Mobiles Internet deak.
                            CGR Specialist

                            Ups sorry. Stimmt schon mit der TypeId 9

                             

                             

                             

                            • 11. Re: Patchmanagement über Mobiles Internet deak.
                              CGR Specialist

                              Ah k. der Status ist also 7 - Media disconnected. Mühsam ernährt sich das Eichhörnchen

                               

                              • 12. Re: Patchmanagement über Mobiles Internet deak.
                                CGR Specialist

                                Was genau hat es denn mit dem

                                 

                                If not %_Erorrlevel%='0'

                                 

                                auf sich?

                                 

                                 

                                Wenn ich dein Skript richtig verstehe checkst du den netconnectionstatus. Anschließend bräuchte man dann doch nur ein netconnectionstatus7  = true exit proc und gut is =?

                                • 13. Re: Patchmanagement über Mobiles Internet deak.
                                  CGR Specialist

                                  so klappt einwandfrei. es hat einfach nur ein einschub vor dem exitproc  gefehlt^^

                                  • 14. Re: Patchmanagement über Mobiles Internet deak.
                                    CGR Specialist

                                    Ich hab dein Skript jetzt vor ein Treiberpaket gesetzt damit die Treiber nicht mehr bei Mobilen Internet installiert werden. Leider wurde das Projektverzeichnis trotzdem kopiert.Ich vermute das der Kopiervorgang vom Projektverzeichnis schon vor dem Skript läuft. ja nein? 

                                     

                                    Lösung, hmm evtl. mit zwei Paketen die voneinander abhängig sind oder gibts was einfacheres?

                                    1 2 Previous Next