1 2 Previous Next 18 Replies Latest reply on Jun 13, 2008 6:29 AM by SBRUTSCH

    HowTo - Patch Managment v6.1

    TorstenStreng Expert
      Hallo!

      Wir benötigen aufgrund der Einstellung des Tools Update Expert eine Alternative. Diese könnte das enteo Patch Management sein. Da ich die enteo Lösung nicht kenne, bin ich jetzt etwas aufgeschmissen. Was ich hinbekommen habe, ist den Patch Management Service zu konfigurieren. Sprich den WSUS Server angeben, den Patch Katalog habe ich manuell runter geladen und auf dem Netinstall Server abgelegt. Jetzt sehe ich eine große Anzahl an Patchen, wie ich finde völlig unübersichtlich. Vor allem benötige ich nur Server Patche für Windows 2000 und Windows 2003.

      Wie bekomme ich die Patche nun auf die Server? Welche Schritte sind noch nötig?

      Ich habe schon nach Whitepapern u. ä. gesucht aber ich finde nur alte Dokumente. Auch die Online Hilfe bringt mich nicht viel weiter. Gibt es nicht ein HowTo in dem beispielhaft die notwendigen Schritte beschrieben sind?

      Gruß
      T.
        • 1. Re: HowTo - Patch Managment v6.1
          Jochen76 Specialist
          Servus Thorsten,

          zunächst kannst Du die Ansicht anpassen, mach in der Patch Library mal einen Rechtsklick in dem Reiter Name und wähle -> Gruppiert anzeigen, dann wird das schon mal übersichtlicher.

          Des Weiteren hast Du ja bei der Konfiguration des Patch Management Services die Möglichkeit schon ein Ziel anzugeben, z.B. eine OU, in der Deine Server sind.
          Dann musst Du die Patche downloaden, und den Software Lifecycle durchlaufen, wie bei anderen enteo Packages auch!

          Die Online Hilfe sollte Dir auch weiterhelfen!

          Viel ERfolg,

          Griesle Jochen
          • 2. Re: HowTo - Patch Managment v6.1
            TorstenStreng Expert
            Hallo Jochen,

            danke schon mal für die Antwort. Wie schon geschrieben bringt mich die Online Hilfe nicht viel weiter. Nun zu Deiner Antwort. Eine OU angeben in der sich Server befinden ist ok. Soweit komm ich noch mit. Aber wieso Patche downloaden? Die liegen doch auf dem WSUS Server auf den verwiesen wird. So muß ja alles doppelt vorgehalten werden. Und außerdem, wer soll das denn alles managen? Wenn ich jeden Patch noch mal downloaden muß. Das sind ja hunderte. Ich will ja nur steuern Server X bekommt Patch Y und Z an dem Tag um die Uhrzeit. Und was meinst Du mit Software Lifecycle? Etwa freigeben, zuweisen, usw.? Dann verstehe ich den Sinn nicht. Das ist ja höchst aufwendig und kompliziert.....

            T.
            • 3. Re: HowTo - Patch Managment v6.1
              Jochen76 Specialist
              Servus Thorsten,

              gut OK, bisl was zu arbeiten hat man beim Patch Management auch.

              OK, wenn Du die Server in einer OU hast und die bei der Konfig des Patch Management Services angibst, dann läuft das automatisiert im Hintergrund ab, sprich Download etc.!
              Was aber Fakt ist, ist dass die Files als enteo Packages angelegt und abgelegt werden, sprich Du hast Sie auf Deinem WSUS liegen und in Deinem Master-Repository!
              Wie heißt es so schön, das ist by Desing so!
              Willst Du dann die Patches noch auf anderen Maschinen installieren, musst Du in die Policy gehen und die Policy-Targets erweitern.
              Ich würde eine Test-OU (Statische Gruppe) anlegen, da einige Server (oder PC´s) reintun und diese automatisiert mit den Patchen betanken lassen. Dann kannste nach der Beobachtung des Verlaufes nach der Patch Installation die Policy-Targets erweitern.

              Bin aber auch für Tips offen und würd gerne wissen, wie das andere User lösen!

              Griesle Jochen
              • 4. Re: HowTo - Patch Managment v6.1
                TorstenStreng Expert
                Gut, noch eins nach dem anderen:

                Ich habe den PM Service jetzt so konfiguriert das er nur Windows 2000 und 2003 und nur englische Patche nimmt. Dann habe ich eine OU mit einem Testserver angegeben. Der Server ist allerdings schon installiert. Muß ich den neu aufsetzen oder werden die Patche nachgezogen?

                Wenn ich mir die Patch Policy des Testservers anschaue ist sie leer. Ist das richtig? Ich hätte darin jetzt die fehlenden Patche vermutet.

                Unter Jobs steht das die Installation des Microsoft Windows Update Catalogs fehlgeschlagen ist. Wenn ich sage "neu installieren" passiert nichts.

                Viele Grüße
                T.
                • 5. Re: HowTo - Patch Managment v6.1
                  Frank.Scholer Master
                  Hallo Torsten,

                  Muß ich den neu aufsetzen oder werden die Patche nachgezogen?

                  Die Patches werden - sofern noch welche fehlen - nachgezogen...

                  Wenn ich mir die Patch Policy des Testservers anschaue ist sie leer. Ist das richtig? Ich hätte darin jetzt die fehlenden Patche vermutet.

                  Die siehst du unter zwei Voraussetzungen:
                  1. Der Client (also dein Testserver) hat den Patchkatalog und den benötigten WU Agent installiert und seine Vulnerabilities (also die Patches, die ihm fehlen) an v6 gemeldet.
                  2. Die hast für die Patches eine Patch-Policy erstellt

                  Die Vulnerabilites siehst du (auf dem gleichnamigen Register) auch ohne dass es Policies gibt...

                  Unter Jobs steht das die Installation des Microsoft Windows Update Catalogs fehlgeschlagen ist. Wenn ich sage "neu installieren" passiert nichts.

                  Damit ist schonmal klar, warum du garnix siehst. Weil die Installation des Update Catalogs ist ja nix anderes als der Scan nach fehlenden Patches (im Prinzip dasselbe was du manuell mit dem MBSA machen kannst). Wenn der fehlschlägt, kann er natürlich auch keine fehlenden Patches reporten.

                  Frage ist nun, warum die Installation des Catalogs fehlschlägt - da sollte das Installer-Logfile (vermutlich Service Installer, NISRV32_#.LOG, oder?) Aufschluss geben...

                  HTH, Gruß Frank
                  • 6. Re: HowTo - Patch Managment v6.1
                    TorstenStreng Expert
                    Hallo Frank!

                    Frage ist nun, warum die Installation des Catalogs fehlschlägt - da sollte das Installer-Logfile (vermutlich Service Installer, NISRV32_#.LOG, oder?) Aufschluss geben...




                    E     Warning (Module:SwmsTpExtenderSpd, Severity:0x03): Computer has not the required WUA-Version installed to Scan with CabFile MSWUV6SCANCABPACKAGE.3809. Trying again later...

                    Ähm....muß eigentlich der "Automaic Updates" Dienst laufen? Den deaktivieren wir nämlich während der Installation.

                    Gruß
                    T.
                    • 7. Re: HowTo - Patch Managment v6.1
                      SBRUTSCH Expert

                      Hallo Frank!




                      E Warning (Module:SwmsTpExtenderSpd, Severity:0x03): Computer has not the required WUA-Version installed to Scan with CabFile MSWUV6SCANCABPACKAGE.3809. Trying again later...

                      Ähm....muß eigentlich der "Automaic Updates" Dienst laufen? Den deaktivieren wir nämlich während der Installation.

                      Gruß
                      T.



                      Wahrscheinlich habt ihr den WUA-Agent (extra Paket) noch nicht zugewiesen. Der muss auch erst mal in der aktuellen Version installiert werden.

                      Gruß
                      Stefan
                      • 8. Re: HowTo - Patch Managment v6.1
                        Frank.Scholer Master
                        Hallo Torsten,

                        hast du ein WUA-Package (eigentlich solltest du sogar zwei haben, eins für x86 und eins für x64) und zwar im Ordner "Prerequisites" unterhalb des Ordners "Patch Library". Ich nehme an nicht, oder?

                        Das Problem ist nämlich, dass der aktuelle WUA so nicht auf nem WSUS-Server "rumliegt" und ihn v6 daher nicht importieren kann. Das funzt out of the box nur, wenn sich v6 mit Microsoft Update im Internet synchronisieren kann.

                        Frage aber: woher hast du denn den Patckatalog (eigentlich das gleiche Spiel - auch der liegt so nicht auf dem WSUS-Server rum). ich nehme an, du hast dir die WSUSSCN2.CAB von MS runtergeladen und in ein Verzeichnis abgelegt und dann von dort importiert, oder?

                        Wenn ja, dann mache folgendes:

                          [*]lege folgende Daten in dasselbe Verzeichnis, in dem auch der Katalog liegt:[*]lösche den bereits importierten Katalog in v6 (und damit leider auch alle importierten Patches)
                          [*]importiere den Katalog neu aus dem Verzeichnis, in dem sich jetzt diese vier Dateien (Katalog und die drei oben genannten) befinden sollten
                        Diesmal sollten die WUA Pakete mit angelegt werden und dann kann dein Client den installieren und auch den Scan durchführen. Dann siehst du auch schonmal die Vulnerabilites und weiter geht die Show...

                        P.S.: der Update-Dienst muss nicht laufen.


                        HTH, Gruß Frank
                        • 9. Re: HowTo - Patch Managment v6.1
                          TorstenStreng Expert
                          So langsam kommt Licht ins Dunkel. Ok, vielleicht mal zur Erklärung.
                          Wir haben ja den WSUS Server und darum soll der Netinstall Server natürlich nicht ins Netz sondern alles von da holen. Und da man bei der Konfiguration des Patch Management Services ja nur den Update Katalog angeben mußte, hab ich auch nur den herunter geladen wie Du schon vermutet hast. Wäre schön gewesen wenn der Entwickler hier aufgepaßt hätte und auch die Ablage des Agent dort eingebaut hätte ;o)

                          Die Patche sind übrigens noch nicht herunter geladen worden. Dort kommt es nämlich auch zu einem Fehler. Nämlich dem hier (Beispiel):


                          12:29:08.342 1  BlsAdminLib: > Action 'UpdateObject( 4773 )' started
                          12:29:08.499 1   BlsAdminLib: > Action 'UpdateObject( 4773 )' completed without warnings (Action took 156 ms.)
                          12:29:08.514 0  PmAdminLib: Local wsus server address specified as http://***Patchserver***. Trying this address...
                          12:29:08.514 0  PmAdminLib: Opening Url: "http://***Patchserver***/Content/21/c84eed2898494d36667b88c5b94103e323758c21.exe"...
                          12:29:08.561 0  PmAdminLib: HTTP status code 404: Not Found
                          12:29:08.577 0  PmAdminLib: Request to local wsus server failed with http error 404
                          12:29:08.577 0  PmAdminLib: wsus server port is not specified, retrying with alternative port...
                          12:29:08.577 0  PmAdminLib: Opening Url: "http://***Patchserver***:8530/Content/21/c84eed2898494d36667b88c5b94103e323758c21.exe"...
                          12:29:09.655 1  PmAdminLib: Couldn't send network request
                          12:29:09.655 1  PmAdminLib: Error-Code: 12029
                          12:29:09.655 0  PmAdminLib: Loading file from local wsus server failed but no alternative internet access allowed, download faied.
                          12:29:09.670 E  Warning (Module:PmAdminLib, Severity:0x03): Error "A connection with the server could not be established " downloading url "http://www.download.windowsupdate.com/msdownload/update/v3-19990518/cabpool/ie5.01sp4-kb928090-windows2000sp4-x86-enu_c84eed2898494d36667b88c5b94103e323758c21.exe".
                          12:29:09.670 0  Messagebox suppressed  (No output allowed)

                          Das sind Probleme was.....

                          T.
                          • 10. Re: HowTo - Patch Managment v6.1
                            Frank.Scholer Master
                            Hmm, vielleicht liegt der Patch garnicht auf deinem WSUS-Server? Was passiert denn, wenn du die URL http://***Patchserver***/Content/21/c84eed2898494d36667b88c5b94103e323758c21.exe manuell in nem Browser eingibst?

                            Und: auf welchen Port ist denn der WSUS konfiguriert? Enteo probiert ja die Standardports (80 und 8530), sofern nix anderes angegeben ist (was ja bei dir der Fall ist - steht ja im Log)

                            Gruß Frank
                            • 11. Re: HowTo - Patch Managment v6.1
                              TorstenStreng Expert
                              So erst mal Punkt 1)

                              Das mit dem WUA sieht jetzt gut aus. Auch in der Software Policy des Servers. Allerdings bleibt die auf gelb. Muß ich noch was zuweisen? Falls ja, was und wie?

                              Punkt 2)

                              Ja, manuell im Browser geht es. Allerdings kommt eine Authentifizierungsbox hoch. Aber wenn ich das Enteo Distribution Konto eingebe bekomme ich einen Run/Save/Cancel Dialog. Sieht also gut aus.

                              Fehlt vielleicht was in der Konfiguration auf dem netinstall Server? Ich habe noch keinen "RunAs" User angegeben.

                              T.
                              • 12. Re: HowTo - Patch Managment v6.1
                                Frank.Scholer Master
                                Hi,

                                So erst mal Punkt 1)
                                Das mit dem WUA sieht jetzt gut aus. Auch in der Software Policy des Servers. Allerdings bleibt die auf gelb. Muß ich noch was zuweisen? Falls ja, was und wie?


                                Der Server muss das Ding halt installieren... hast du ne Instanz (auf das WUA-Paket gehen, Register "Software-Policies" und die Policy dann aufklappen)? Wenn ja, dann ist alles zugewiesen. Wenn's trotzdem nicht installiert wird, dann schau einfach wieder ins Service-Installer Logfile...

                                Punkt 2)
                                Ja, manuell im Browser geht es. Allerdings kommt eine Authentifizierungsbox hoch. Aber wenn ich das Enteo Distribution Konto eingebe bekomme ich einen Run/Save/Cancel Dialog. Sieht also gut aus.


                                Dann wird der Dienst eventuell auch so ne Authentifizierungsbox kriegen, die er nicht beantworten kann. Dürfte also mit den Security-Einstellungen des IE zusammenhängen (wobei ich mir jetzt nicht sicher bin, ob die auch für den PM-Service zutreffen - hängt davon ab, ob der PM-Dienst die wininet oder winhttp verwendet. Das weiß aber vermutlich nur der Entwcikler ;-). Ich würde dir auf jeden Fall mal raten auf dem Server mit dem PM die "Erweiterten Sicherheitseinstellungen für den Internet Explorer" zu deinstallieren, falls du die noch hast. Machen eh nur Ärger.

                                Ich würde aber auch denken, dass die enteo Supporties dieses Problem recht schnell in den Griff kriegen können (oder jemand anderes hier im Forum - ich hatte das noch nicht und habe deswegen jetzt keine richtig gute Idee, woran da momentan klemmt) - kannst ja mal anfragen.

                                HTH, Gruß Frank
                                • 13. Re: HowTo - Patch Managment v6.1
                                  SBRUTSCH Expert

                                  So erst mal Punkt 1)
                                  Fehlt vielleicht was in der Konfiguration auf dem netinstall Server? Ich habe noch keinen "RunAs" User angegeben.

                                  T.



                                  Schau mal bei "Managed Infrastructur" auf dem Management Point die Konfiguration an (Rechte Seite, Reiter "Konfiguration"). Dort gibt es für den Patch Dienst auch ein Benutzerkonto. Versuch es damit.

                                  Ansonsten gilt die Aussage von Frank.

                                  Gruß
                                  Stefan
                                  • 14. Re: HowTo - Patch Managment v6.1
                                    TorstenStreng Expert
                                    Ist schon seltsam. Über´s Wochenende hat der sich die Patche gezogen aber in einem Logfile von heute stehen wieder die üblichen Fehler. Wobei ich auch noch zwischenzeitlich festgestellt habe, dass einige der EXE-Files, die importiert werden sollen, auf dem WSUS Server gar nicht vorhanden sind. Die Verzeichnisse zwar schon, auch einige anders lautende EXE-Files aber eben nicht genau die im Logfile angegebenen.

                                    Was mich jetzt noch irritiert. Schaue ich mir vom Server die Vulnerabilities an, gibt es einige Einträge die so lauten: 9766ee68-0156-4898-9bb8-d1bc08e0f4b1

                                    Was steckt denn da hinter?

                                    Generell scheint es ja jetzt zu funktionieren. Was wir jetzt brauchen ist folgendes:

                                    - Die Server sollten direkt nach (mit) der Installation gepatcht werden
                                    - Produktive Server dürfen nur zu bestimmten Patch Terminen gepatcht werden, z.B. Server Gruppe 1 nur jeden 1. Dienstag im Monat um 4:00 Uhr, usw.

                                    Wie kann ich das am besten abbilden?

                                    Danke und Gruß
                                    T.
                                    1 2 Previous Next