7 Replies Latest reply on Jan 23, 2019 11:24 PM by comm_ig_18

    APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation

    comm_ig_18 Rookie

      Hallo Zusammen,

       

      wir haben immer noch das Problem, dass viele Patch-Policy-Instanzen nach der Installation auf Status "Reinstallation" gehen, obwohl sie installiert wurden. Nach dem Neustart und einem erneuten Scan durch APM wird die Policy-Instanz auf "Deinstalliert und Compliant" mit der Bemerkung "Not applicable, superseded or fixed externally" gesetzt.

      Wir hatten ein Case bei Ivanti offen, welcher mit Problem 66285 verlinkt war. Das Problem sollte mit Update 2018.1.3 behoben sein. Wir haben das Update installiert und haben das Problem weiterhin.

      Das Thema wurde auch schon mal hier diskutiert APM - viele Patch Pakete schlagen fehl

       

      Hat irgendjemand das Problem ebenfalls oder sind wir die einzigen?

       

      Danke

       

      Stefan

        • 1. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
          SebastianV Rookie

          Hatte erst heute wieder den selben Fall. Aber haben noch die 2017 am Laufen

          • 2. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
            MWiega Apprentice

            Hallo Stefan,

             

            bin mir noch nicht ganz sicher aber soweit ich das bis jetzt sehe, haben wir es auch noch unter 2018.1.3 / 4485. Muss es aber noch etwas beobachten.

             

            Michael

            • 3. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
              MWiega Apprentice

              Moin,

               

              ich habe jetzt eine (für mich) neue Variante:

              Der Patch ist installiert, behält aber den Status "Pending installation" (gelb). Im Assessment.log steht auch, dass er installiert ist aber die Konsole bekommt das nicht mit.

               

              2019-01-22T10:26:23.9439516Z 162c V PatchScanner.cpp:379 Scanning Patch ID 118466 / MS18-02-SO7 / Q4074587 / windows6.1-Windows7-SP1-kb4074587-x64.msu.

              2019-01-22T10:26:23.9439516Z 162c V PatchScanner.cpp:421 Install key exists - DSM-RUN, 10/12/2018 20:52:42.

              2019-01-22T10:26:23.9439516Z 162c V PatchScanner.cpp:278 Script returned 'INSTALLED', message ''.

               

              Im NISRV32 hingegen steht dazu

              11:25:55.843 2 SWMSRT: //------------| Starting Handling PolicyInstance.729857 -> PatchPolicy.130611 -> VMWPPatchPackage.120553 ( MS18-02-SO7 for Windows 7 Professional (x64) (KB4074587) German ) |------------\\

              11:25:55.843 0 SWMSClntLib: Got 1 PIs for {5251C4E0-FFAD-47C1-8B76-B4DB242EE1D4}; effective desired configuration (Now) is: 23062 (from Policy 130611 with priority 1000)

              11:25:55.843 0 SWMSClntLib: PI 729857: Compliance: CompliancePending / ExecMode: Install(23062) / Desired: 23062

              11:25:55.843 2 xniSPD.dll: Denying direct execution because machine part is pending

               

              Verstehe ich nicht, warum der Maschinenteil hier nun nicht gelaufen sein soll.

               

              Michael

              • 4. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
                MWiega Apprentice

                Moin,

                 

                habe dazu ein Ticket gezogen. Es wird momentan vermutet, dass es mit dem bekannten Fehler zusammenhängt. Die Überprüfung läuft aber noch.

                 

                Michael

                • 5. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
                  comm_ig_18 Rookie

                  Danke Michael und Christian für eure Rückmeldung, dann sind wir wenigstens nicht die Einzigen mit dem Problem. Das Problem, dass installierte Patche den Status "Pending installation" bekommen haben wir nicht.

                   

                  Wir haben aber jetzt die Ursache finden können, warum Patch-Policy-Instanzen nach dem Install-Durchlauf auf den Status Reinstallation gehen. Und zwar hatten wir das PM-Execution-Paket mit dem Installation Parameter InstallAndScanIfNeeded geflaggt. Dadurch führt er nach dem Install nochmal ein Scan durch. Und genau bei diesem Scan wird das Paket  auf den Status Reinstallation gesetzt. Wird der Scan nach dem Install nicht durchgeführt, wird die Patch-Policy-Instanz auf "Installiert und Complaint" gesetzt. Daher haben wir das PM-Execution-Paket für den Install nun mit dem Installation Parameter ScanOnly geflaggt.

                   

                  Der Fehler ist also vermutlich, dass das PM-Execution-Paket ein Patch installiert, auch den Status 3010 (Reboot pending) erkennt (ist auch so in den Logfiles zu erkennen), allerdings wird  das Reboot Flag bei der Patch-Policy-Instanz nicht gesetzt. Beim erneuten Scan ist für ihn der Patch somit nicht abgeschlossen und er setzt ihn auf Reinstallation. Nach einem Neustart wendet er die Updates dann an und bei einem anschließendem Scan wird die Patch-Policy-Instanz auf "Deinstalliert und Compliant" mit der Bemerkung "Not applicable, superseded or fixed externally" gesetzt, da der Patch ja schon drauf ist.

                  • 6. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
                    MWiega Apprentice

                    Hallo Stefan,

                     

                    ja, das hört sich für mich logisch an. Aber ich habe hier in einem anderen Thread erst gelernt, dass es ja genau so laufen soll: Nach einer Installation, wird direkt wieder ein Scan gestartet. Und das hebelst Du dadurch ja aus, bzw. wird der nächste Scan eben später durchgeführt.

                     

                    APM EInstellungen der Jobs zu ScanOnly / Install&ScanIfNeeded

                     

                    Der Fehler ist also vermutlich, dass das PM-Execution-Paket ein Patch installiert, auch den Status 3010 (Reboot pending) erkennt (ist auch so in den Logfiles zu erkennen), allerdings wird  das Reboot Flag bei der Patch-Policy-Instanz nicht gesetzt. Beim erneuten Scan ist für ihn der Patch somit nicht abgeschlossen und er setzt ihn auf ...

                     

                    Ein Workaround wäre das dann also auf jeden Fall, aber eigentlich bleibt der Fehler. Wenn bei meiner Anfrage nichts rauskommt, teste ich das bei uns auch mal.

                     

                    Grüße,

                    Michael

                    • 7. Re: APM Problem - Patch-Policy-Instanzen trotz erfolgreicher Installation auf Status Reinstallation
                      comm_ig_18 Rookie

                      Hallo Michael,

                       

                      ja, prinzipiell ist der InstallAndScanIfNeeded schon gut, damit nach dem Installieren eines Patches gleich Folgepatche durch den Scan gefunden werden. Wenn man dann den Install Job alle 24 Std laufen hat, werden diese gleich wieder installiert. Aber leider führt der Scan nach dem Install bei uns derzeit zu dem beschriebenen Problem und bei uns tritt das fast bei jedem Windows Patch, der ein Neustart braucht, auf. Daher ist das erstmal ein Workaround, bis eben der Fehler gefixt wird und das Reboot Flag bei solchen Patch-Policy-Instanzen wieder gesetzt wird, wenn ein Neustart aussteht.

                       

                      Viele Grüße

                      Stefan

                      1 of 1 people found this helpful