3 Replies Latest reply on Oct 16, 2013 11:18 AM by Klaus Salger

    Advanced Patch Management - Probleme / Erfahrungen

    Klaus Salger Expert
      Hi all,

      habe das Advanced Patch Management, v7.2.1.6 - Build 2123, jetzt mal genauer unter die Lupe genommen und bin auf ein paar Probleme gestoßen.

      1. Rechte für die Aktualisierung des Catalogs
      Beim Aktualisieren des Catalogs, genauer gesagt beim revisionieren des entsprechenden Pakets kommt es zu Access Denied-Fehlern wenn der für den Depotzugriff verwendete Account keine Schreibrechte im Depot hat.

      Ich habe für den Depot-Zugriff einen eigenen Account konfiguriert. Der Account wird für den Zugriff auch vom Patch Management Service verwendet. Nur wenn dieser Account Schreibrechte im Depot hat (die er normalerweise nicht braucht) funktioniert die Revisionierung des Catalog-Pakets.


      2. Leere Patch-Pakete
      Es kommt sporadisch vor, dass Patchpakete leer angelegt und freigegeben werden. Auch Policies werden für diese Pakete erzeugt.
      Ich vermute, dass es bei diesen Paketen zu Fehlern beim Download gekommen ist, die nicht abgefangen wurden.

      Die Pakete können natürlich nicht installiert werden, die Policyinstanzen bleiben dauerhaft auf gelb.
      Die Pakete haben kein Verzeichnis, Vorbereitung und Distribution sind dann auch nicht aktiviert.

      Lösen lässt sich das, indem die betroffenen Patches gelöscht werden - "Patchdatei herunterladen" funktioniert nicht.
      Nach dem Löschen werden die Patches beim nächsten Scannen eines betroffenen Clients und nachfolgendem Sync des Patch Management Service wieder importiert und dann auch heruntergeladen, Policies erzeugt usw.


      3. falsche Erkennung von "Sicherheitslücken"
      Habe in einem Fall, nämlich dem Windows Update KB2529073, gesehen, dass die Sicherheitslücke fälschlicherweise erkannt wurde.
      Der Patch ließ sich dann nicht installieren weil er "NOT_APPLICABLE" ist.
      In diesem Fall blieb die Policyinstanz außerdem auf gelb - siehe unten.


      4. Patchinstallation-Fehlerhandling
      Wenn ein Patch wegen eines Fehlers nicht installiert werden konnte, geht die Policyinstanz NICHT auf rot sondern bleibt auf gelb.
      Die Installation wird dann auch bei jeder Patchinstallation immer wieder versucht.
      Im Installer-Log steht z.B. folgendes:
      09:06:12.557 2              -> AdvPmInstallPatch('result','comment')
      09:06:12.562 2               xniSPD.DLL: Installing patch. See PatchInstallationFixVulnerabilities.log for details.
      09:06:14.728 2               xniSPD.DLL: Installation of patch succeeded (result code is 2149842967)
      09:06:14.732 2               xniSPD.DLL: Successfully installed patch for policy instance 2346
      09:06:14.770 1               xniSPD.DLL: MissingPatchObject COMPUTERMISSINGPATCH.72808 was set to fixed: 0

      Der result code ist offenbar nicht 0 (in diesem Fall bedeutet der result code "WU_E_NOT_APPLICABLE"), trotzdem wird kein Fehler gemeldet.
      Immerhin wird die Policyinstanz nicht auf grün gesetzt.


      5. Patchinstallation-Hang
      Wenn es bei der Installation eines Patches zu einem Hang kommt (z.B. bei Java-Patches), bleibt der Installer dauerhaft hängen, d.h. der übliche per ICDB konfigurierte Timeout zieht hier nicht.
      Das führt dann dazu, dass natürlich keine weiteren Installationen laufen.


      6. Neustart Installer
      Wenn eine APM-Installation undone beendet wird, dann wird direkt anschließen nochmal der Installer gestartet.
      Das gilt auch wenn ein Reboot angefordert und dieser am Ende der 1. Installationssession auch ausgeführt wird.
      Das habe ich so wiederholt gesehen. Die Installationen liefen per Service ohne angemeldeten Benutzer.

      Wenn vorher bereits ein Reboot angefordert wurde, und das dürfte der Regelfall sein, hagelt es üblicherweise Fehler weil der Computer ja im Zuge des Reboots schon Dienste beendet hat und weitere Dienste gerade stoppt.
      Ungünstigstenfalls würden hier Installationen anlaufen und dann hart unterbrochen werden - habe ich so allerdings noch nicht gesehen.


      7. Doku
      Was jemand was von einer detaillierten Doku für das APM?
      In dem Booklet bzw. der Online Hilfe gibt's einen Überblick aber keine Details.


      Die genannten Probleme sind m. E. nicht unbedingt Showstopper, dürften im Alltag der zuständigen Admin doch etwas nerven.

      Abgesehen davon, dass das womöglich für den einen oder anderen interessant sein könnte, mit welchen Problemen zu rechnen ist, würde mich jeweils interessieren, ob das jemand bestätigen kann, ob es schon einen Call gibt bzw. ob bekannt ist, wann das gefixt wird.
      Und ganz allgemein: wie sind denn so Eure Erfahrungen mit APM?

      Ciao
        Klaus