• Artikel

System Center

Neue Tools für die Softwareupdateverwaltung

Steve Rachui

 

Kurz zusammengefasst:

  • Updateverwaltung in der Vergangenheit
  • Der neue Prozess in SCCM 2007
  • Benutzerdefinierte Konfiguration und Flexibilität
  • Fein abgestimmte Updateplanung

Die Softwareupdateverwaltung wurde ursprünglich in Systems Management Server (SMS) 2.0 mit den Überprüfungstools für Sicherheit und Office-Updates eingeführt. Diese Tools wurden mehrmals überarbeitet: Das erweiterte

Sicherheitsupdate-Inventurprogramm wurde überarbeitet, um das Überprüfen zusätzlicher Produkte zu unterstützen, das Inventurprogramm für Microsoft® Updates verbindet nun die Sicherheits- und Office-Tools in einem einzelnen Produkt, und das Inventurprogramm für Dell-Updates wurde ebenfalls verbessert. Weiterhin wurde das Veröffentlichungstool für benutzerdefinierte Updates eingeführt, um Patches für Drittanbieterprodukte zu unterstützen. Das Inventurprogramm für Microsoft Updates (Inventory Tool for Microsoft Updates, ITMU) wurde dreimal überarbeitet. Für jedes dieser Tools gibt es eigene Kataloge, eine Scaninfrastruktur und eindeutige Anforderungen und Herausforderungen. Im Lauf der Zeit wurden die Kataloge für diese Systeme sehr groß – so groß, dass ältere Updates aufgrund von Größeneinschränkungen zu Gunsten neuer entfernt wurden.

Bei dem Spektrum an Optionen war die Bereitstellung von Updates mit diesen Tools eine Herausforderung. Daher war eine Vereinfachung des Prozesses erforderlich. Die nächste Veröffentlichung von SMS (System Center Configuration Manager 2007 (SCCM)) bietet große Fortschritte in dieser Richtung. Bei SCCM sorgt die Methode für Softwareupdates für bessere Endergebnisse. Aufgrund eines völlig anderen Ansatzes in Bezug auf Updateverwaltungsvorgänge gehören alte Kataloge und Scanmodule der Vergangenheit an. Für den Updatestatus, der historisch über die Hardwareinventur gemeldet wurde, wird eine neue Methode – die Zustandsmeldung – verwendet, um für erhöhte Kompatibilität und Erzwingung auf jedem Client zu sorgen. Sie werden sehen, dass der neue Ansatz zur Updateverwaltung in SCCM 2007 eine bedeutende Verbesserung darstellt.

In SCCM 2007 werden zwei neue Komponenten eingeführt, die an dieser Stelle zunächst erläutert werden sollen. Anschließend werden dann die Updateverwaltungsfunktionen erörtert.

Softwareupdatepunkt (Software Update Point, SUP) Wie bereits erwähnt, gibt es in SCCM keine Kataloge mehr. Stattdessen arbeitet SCCM direkt mit einem dedizierten Windows Server® Update Services (WSUS)-Server, der als Softwareupdatepunkt (SUP) zum Bereitstellen von Metadatendownloads und für den Clientscan dient. In SCCM sind die binären Updateübermittlungsfeatures der WSUS deaktiviert, um eine Fokussierung auf den Scanvorgang zu ermöglichen. Mithilfe dieser Anpassung überprüft die WSUS-Komponente bis zu 25.000 Clients pro SUP auf einem dedizierten Server. SCCM ermöglicht zudem die Konfiguration des Softwareupdatepunkts auf Grundlage eines Netzwerklastenausgleichs (Network Load Balancing, NLB)-Clusters für erhöhte Verfügbarkeit und Skalierung, sodass an jedem primären Standort bis zu vier Softwareupdatepunkte für insgesamt 100.000 mögliche Clients aktiviert werden können.

Konfigurationselemente (Configuration Items, CI) Ein Konfigurationselement ist ein neuer in SCCM verwendeter Ansatz zum Definieren bestimmter Konfigurationen, die auf Zielsystemen vorhanden sein sollten. Die SCCM-Updateverwaltung verwendet jetzt diese Infrastruktur. Sie sollten sich Updates nicht mehr im Sinne der normalen Softwareverteilung vorstellen, obwohl noch Ähnlichkeiten vorhanden sind. Stattdessen befinden sich Updates in einem eigenen Knoten in der Administratorkonsole und verwenden einzigartige Konfigurationselemente. Auf der Clientseite werden Updates selektiv heruntergeladen und lokal gespeichert.

Konfigurieren der Updateverwaltung

Die Einrichtung der Updateverwaltung lässt sich in drei allgemeine Bereiche aufteilen: Aktivieren des Client-Agents, Konfigurieren des SUP und Konfigurieren der Updates für die Verteilung.

Der SCCM-Client-Agent (wie in Abbildung 1 dargestellt) ähnelt anderen Client-Agents und wird im selben Knoten der Verwaltungskonsole konfiguriert. Auf der Eigenschaftenseite des Knoten für Softwareupdate-Client-Agents aktivieren Administratoren diesen Agent und konfigurieren die Updateinstallation sowie die Einstellungen für die Neubewertung der Bereitstellung. Die Einstellung zum Aktivieren des Softwareupdate-Client-Agents ist standortübergreifend, d. h. bei jedem SCCM-Client, der dem Standort zugewiesen wird, an dem diese Funktion eingeschaltet ist, wird diese Rolle aktiviert. Wenn bei einigen Systemen in einer Umgebung diese Funktion nicht aktiviert sein soll, können Sie die standortübergreifende Einstellung pro System mithilfe lokaler Richtlinieneinstellungen außer Kraft setzen.

Abbildung 1 Client-Agent-Eigenschaften

Abbildung 1** Client-Agent-Eigenschaften **

Mithilfe der Einstellungen hier kann der Administrator auch angeben, wie Updatestichtage zu behandeln sind. Ihnen liegen beispielsweise vier zu installierende Updates vor, wobei ein Update (Update A) einen Tag vor den anderen drei installiert werden muss. Doch es ist wünschenswert, alle vier Updates gleichzeitig zu installieren, also auch jene, deren Stichtag noch nicht erreicht wurde. Mithilfe der Registerkartenoption zum Erzwingen aller erforderlichen Bereitstellungen können Sie diese Wahlmöglichkeit konfigurieren. Des Weiteren können Administratoren mithilfe dieser Einstellungen angeben, dass alle Benachrichtigungen und sichtbaren Anzeigen des Aktualisierungsprozesses unterdrückt werden sollen. Abbildung 1 zeigt diese Optionen.

Mithilfe der Einstellungen auf der Registerkarte zur erneuten Bewertung der Bereitstellungen können Administratoren planen, wann Bereitstellungen neu bewertet werden. SCCM-Clients werden gemäß diesem Zeitplan bewertet, um festzustellen, ob bereits installierte Updates noch erforderlich sind, und um sie neu zu installieren, falls sie fehlen.

Konfigurieren des SUP

Wie bereits erwähnt, ist der SUP die Komponente, die zum Herunterladen aller verfügbaren Updateinformationen gemäß einem Zeitplan und für die direkte Interaktion mit SCCM-Clients verantwortlich ist, um Kompatibilitätsscans auf Grundlage der Updatedatenbank durchzuführen. Bevor ein SUP konfiguriert wird, muss ein WSUS 3.0-Server oder höher installiert werden, da der SUP-Prozess WSUS nicht installiert, sondern WSUS nur für die SCCM-Verwendung konfiguriert. Zusätzlich muss die WSUS-Administratorkonsole auf dem Standortserver installiert werden, um die Konnektivität mit dem WSUS-Server zu aktivieren. Wenn SCCM den WSUS-Server für die SUP-Rolle übernimmt, ist der WSUS-Server für SCCM dediziert und kann nur von SCCM-Clients verwendet werden.

Der SUP ist eine neue Standortsystemrolle in SCCM. Um mit der Konfiguration zu beginnen, navigieren Sie zum Standortsystemknoten der Administratorkonsole und fügen ein neues Standortsystem hinzu. Als Nächstes wählen Sie den Softwareupdatepunkt aus und fahren mit dem Assistenten fort, der folgende Informationen sammelt:

  • Proxykonfiguration
  • Port- und SSL-Informationen
  • Wie dieser SUP Updates synchronisieren soll – von Microsoft Update, über einen Upstream-SUP oder manuell
  • Synchronisierungszeitplan
  • Updateklassifizierungen, die von Interesse sind, beispielsweise kritische Updates, Treiber, Sicherheitsupdates, Updaterollups und so weiter
  • Verfügbare Updateprodukte – Windows®, Exchange, SQL Server™ und so weiter (dargestellt in Abbildung 2)
  • Sprache

Abbildung 2 Produkteinstellungen im Assistenten für Standortrollen

Abbildung 2** Produkteinstellungen im Assistenten für Standortrollen **(Klicken Sie zum Vergrößern auf das Bild)

Nach Abschluss des Assistenten wird der SUP installiert, und die internen Konfigurationen werden zur Unterstützung von SCCM-Anforderungen angepasst. Überprüfen Sie, ob die Installation erfolgreich war, indem Sie die SUPSetup.log-Datei im Protokollordner überprüfen, in dem SCCM installiert wurde.

Nach Installation des SUP muss die Synchronisierung durchgeführt werden, damit der SUP Updates abruft und sie in der SUP- und SCCM-Datenbank speichert. Die Synchronisierung kann entweder manuell oder nach einem Zeitplan ausgeführt werden, der beim Ausführen des SUP-Setup-Assistenten konfiguriert wurde. Die manuelle Updatesynchronisierung kann jederzeit initialisiert werden, und Sie sollten sicherstellen, dass die Synchronisierung nach der erstmaligen Installation des SUP durchgeführt wird. In Abbildung 3 wird dies aufgezeigt.

Abbildung 3 Manuelle Ausführung der Synchronisierung

Abbildung 3** Manuelle Ausführung der Synchronisierung **(Klicken Sie zum Vergrößern auf das Bild)

Der Synchronisierungsvorgang besteht aus zwei Schritten. Zuerst wird der SUP (WSUS)-Server so konfiguriert, dass er den SCCM-Einstellungen entspricht, und konfigurierte Updates werden mit dem SUP (WSUS)-Server synchronisiert. Anschließend werden die Updateinformationen des SUP (WSUS) mit der SCCM-Datenbank synchronisiert und für die Updatebereitstellung zur Verfügung gestellt. Durch diesen zweiten Schritt werden die erforderlichen Konfigurationselemente (eins für jedes Softwareupdate) in der SCCM Datenbank erstellt, was zeitaufwändig sein kann. Es ist nicht ungewöhnlich, dass die anfängliche Synchronisierung mehrere Stunden in Anspruch nimmt. Der Synchronisierungsvorgang kann im WSyncMgr-Protokoll überprüft werden. Ein Auszug daraus ist in Abbildung 4 und 5 dargestellt. Speziell Abbildung 4 zeigt, wie der SUP (WSUS)-Server durch den Synchronisierungsprozess aufgefordert wird, die in ihm enthaltene Liste mit Updates von Microsoft Update zu aktualisieren. Abbildung 5 zeigt den Start des Prozesses für das Synchronisieren der SUP-Inventur mit der SCCM-Datenbank.

Abbildung 4 Synchronisieren der Updateliste

Abbildung 4** Synchronisieren der Updateliste **(Klicken Sie zum Vergrößern auf das Bild)

Abbildung 5 Synchronisierung der Updates als Konfigurationselemente in der SCCM-Datenbank

Abbildung 5** Synchronisierung der Updates als Konfigurationselemente in der SCCM-Datenbank **(Klicken Sie zum Vergrößern auf das Bild)

Wenn ein WSUS-Server als SUP konfiguriert wurde, kann die erforderliche Verwaltung über die SCCM-Administratorkonsole erfolgen. Wenn Konfigurationsänderungen direkt am WSUS-Server vorgenommen werden, wirkt sich dies möglicherweise ungünstig auf SCCM aus. Des Weiteren werden diese Konfigurationen stündlich zurückgesetzt, wenn SCCM den SUP prüft, um sicherzustellen, dass die Konfigurationen richtig sind.

In einer mehrschichtigen Hierarchie muss mindestens ein SUP an jedem primären Standort vorhanden sein, an dem Softwareupdates bereitgestellt werden. Diese SUPs arbeiten in einer Hierarchie mit nur einem SUP zusammen, bei dem es sich im Allgemeinen um den höchsten in der Hierarchie handelt und der die Synchronisierung mit Microsoft Updates durchführt. Die übrigen SUPs führen die Synchronisierung von einem konfigurierten Upstream-SUP-Replikationspartner aus durch.

Konfigurieren der Updatebereitstellung

Nach Konfiguration des Client-Agents und der Konfiguration und Synchronisierung des SUP können Sie eine Bereitstellung vorbereiten. Zunächst werden die verschiedenen Knoten der SCCM-Administratoroberfläche überprüft. Im Grunde gibt es fünf Hauptknoten, die von Interesse sind: Updaterepository, Updatelisten, Bereitstellungsvorlagen, Bereitstellungsverwaltung und Bereitstellungspakete.

Im Updaterepository werden alle synchronisierten Updates gespeichert und stehen dort zur Bereitstellung zur Verfügung. Updates können durch Auswahl eines oder mehrerer Updates und Starten des Assistenten zum Bereitstellen von Softwareupdates bereitgestellt werden, der zwei Aufgaben erfüllt: Konfigurieren der Bereitstellungsvorlage (oder Auswahl einer bereits vorhandenen Vorlage) und Konfigurieren der Bereitstellung an sich. Dieser Prozess wird gleich erläutert. Die Liste der Updates kann recht groß werden, und Suchordner, ein neues Feature in SCCM 2007, können bei der Suche nach Updates helfen, die von Interesse sind. Dabei werden 28 updatebezogene Kriterien einschließlich Schweregrad, Klassifizierung, Produkt, Veröffentlichungsdatum und Ersetzung herangezogen.

Mithilfe von Updatelisten können Administratoren einen feststehenden Satz von Updates erstellen, die verwaltet werden sollen. Sie können für Kompatibilitätsberichte, die Erstellung von Bereitstellungen und die Verwaltungsdelegierung verwendet werden. Nach der Erstellung werden diese Updatelisten die Hierarchie hinunter zur Wiederverwendung an untergeordneten Standorten repliziert, genau wie Pakete oder Ankündigungen. Updatelisten sind bei der Replizierung nicht an eine bestimmte Bereitstellung gebunden. Es handelt sich einfach nur um Listen von Updates. Wenn die Liste vollständig ist und repliziert wurde, können die in ihr enthaltenen Updates als Einheit bereitgestellt werden, indem die Liste und das Bereitstellen der Updates ausgewählt werden.

Bereitstellungsvorlagen

Bereitstellungsvorlagen enthalten häufige Einstellungen (beispielsweise Informationen zum Zeitplan und zur Zielsammlung), die während der Softwareupdatebereitstellung verwendet werden. Sie wurden entwickelt, um die Verwaltungszeit beim Bereitstellen von Updates zu verringern. Vorlagen können erstellt werden, um mehrere Bereitstellungsbedingungen in einer Umgebung anzusprechen. Sie können im Bereitstellungsassistenten einfach durch Auswahl der entsprechenden Vorlage verwendet werden. Einstellungen, die von der Bereitstellungsvorlage bereits aufgefüllt wurden, umfassen die Zielsammlung, Einstellungen für Updatestichtage (wie in Abbildung 6 dargestellt), Neustarteinstellungen und Wartungsfenster. Wenn eine Bereitstellung eine große Anzahl von Updates enthält, kann sich dies negativ auf die Leistung des Zielsystems auswirken, da alle Updatestichtage gleichzeitig eintreten. Zudem gilt es zu beachten, dass Einstellungen innerhalb der Vorlage bei der Bereitstellungserstellung auf die Bereitstellung angewendet werden. Diese Einstellungen bleiben bei der Bereitstellung in Kraft, es sei denn, sie werden manuell innerhalb der Bereitstellung geändert. Sie sollten bedenken, dass eine einfache Änderung der Vorlageneinstellungen selbst zu einem späteren Zeitpunkt nicht dazu führt, dass die geänderten Einstellungen bei vorhandenen Bereitstellungen geändert werden, die die geänderte Vorlage verwenden.

Abbildung 6 Einstellen von Bereitstellungsplänen im Assistenten

Abbildung 6** Einstellen von Bereitstellungsplänen im Assistenten **(Klicken Sie zum Vergrößern auf das Bild)

Die Optionen in Abbildung 6 können konfiguriert werden, während der Bereitstellungsvorlagen-Assistent oder der Assistent zum Bereitstellen von Softwareupdates ausgeführt wird (bei Erstellen einer neuen Vorlage). Beachten Sie, dass die Dauer in diesem Bildschirm auf 0 eingestellt ist. Der Standardwert für diese Einstellung ist zwei Wochen. Wenn diese Einstellung auf einen anderen Wert als 0 eingestellt wird, kommt es auf dem Client zu einer Verzögerung bis zur Länge dieses Werts, bevor Updates bereitgestellt werden. In der Zeit zwischen dem Zeitpunkt, an dem die Bereitstellung zur Verfügung gestellt wird, und der Erzwingung des konfigurierten Stichtags steht das Update zur manuellen Installation durch Endbenutzer für Installationen zur Verfügung, die vor dem Stichtag geplant wurden. Am Stichtag wird das Update erzwungen und installiert. Wenn es bei der Updatebereitstellung zu Verzögerungen kommt, sollten Sie sicherstellen, dass diese Einstellung Ihren Anforderungen entsprechend konfiguriert ist.

Bereitstellungsverwaltung

Nach Konfiguration einer Softwareupdatebereitstellung kann auf diese im Bereitstellungsverwaltungsknoten zugegriffen werden. Beachten Sie, dass eine konfigurierte Softwarebereitstellung nicht mit einem Bereitstellungspaket identisch ist. Die Einstellungen im Zusammenhang mit der Bereitstellung sowie in der Bereitstellung enthaltene Updates, aber nicht das Paket selbst, können in diesem Knoten angezeigt und geändert werden. Die hier vorhandenen Bereitstellungseinstellungen entsprechen den im Assistenten zum Bereitstellen von Softwareupdates vorgenommenen Einstellungen sowie denen, die von der ausgewählten Vorlage geerbt werden.

Bereitstellungspakete

Bereitstellungspakete ähneln Standard-SMS-Paketen, da sie ebenfalls die Einzelheiten eines Updates (Quellverzeichnis, Verteilungspunkt und so weiter) definieren. Bereitstellungspakete sind unabhängig von der eigentlichen Bereitstellung, die zum Verteilen der Updates verwendet wird. Sie sind im Wesentlichen ein Speicherort für Updates. Wenn mehr als ein Bereitstellungspaket die für eine Bereitstellung erforderlichen Updates enthält, bestimmen SCCM-Agents den besten Speicherort zum Abrufen des Updates. Es kann ein beliebiges verfügbares Bereitstellungspaket verwendet werden, das das Update enthält.

Der Assistent zum Bereitstellen von Softwareupdates dient zum Bereitstellen von Updates in SCCM. Dieser Assistent kann entweder mit einzelnen Updates oder Updatelisten verwendet werden. Abbildung 7 zeigt, wie der Assistent gestartet wird.

Abbildung 7 Starten des Assistenten zum Bereitstellen von Softwareupdates

Abbildung 7** Starten des Assistenten zum Bereitstellen von Softwareupdates **(Klicken Sie zum Vergrößern auf das Bild)

Der Assistent fragt nach einem Namen für die Bereitstellung, danach, ob vorhandene oder neue Vorlageneinstellungen verwendet werden sollen (bei Wahl einer neuen Vorlage fordert der Assistent die bereits an anderer Stelle beschriebenen Vorlageneinstellungen an), nach Bereitstellungspaketeinstellungen (entweder vorhandene oder neue), Verteilungspunkteinstellungen, Speicherortoptionen für den Download, herunterzuladenden Updatesprachen und Informationen zum Bereitstellungszeitplan.

Nach abgeschlossener Konfiguration wird die Richtlinie aktualisiert, um die Clients bezüglich der vorgesehenen Updates zu benachrichtigen, und die Updates werden auf den Clientsystemen installiert. Die Clientprozesse unterscheiden sich stark von vorherigen Veröffentlichungen und gehen über das Thema dieses Artikels hinaus. Ein Hauptunterschied besteht darin, dass die Updatescans nicht mehr lokal durchgeführt werden (der SUP führt alle Scanvorgänge durch), doch die Einzelheiten zur Updatekompatibilität werden – ähnlich wie in vorherigen Versionen – im lokalen Windows-Verwaltungsinstrumentations (Windows Management Instrumentation, WMI)-Repository gespeichert.

Anders als in vorherigen Versionen wird die Hardwareinventur nicht mehr zum Senden des Updatestatus an den Standortserver verwendet. Stattdessen werden Zustandsmeldungen (eine neue Art von optimierter Statusmeldung) über den Verwaltungspunkt an den Standortserver gesendet. Zustandsmeldungen stellen Daten über alle verwalteten Clients für Kompatibilitätsscans bereit und verfolgen den Fortschritt von Bereitstellungen. Es gibt eine Reihe neuer Berichte in SCCM für die Softwareupdateverwaltung, darunter die Gesamtkompatibilität pro Computer für alle für jeden Client bereitgestellten Updates, der Bereitstellungserzwingungszustand pro Client und Clientfehlerberichte für Scans und Bereitstellungen, die eine Liste der größten zu lösenden Probleme nach Stapelrang enthalten.

Zusätzlich zur traditionellen geplanten/obligatorischen Erzwingung von Updatebereitstellungen können Sie mit SCCM genehmigte Updates vor dem in einem Zeitplan enthaltenen Installationsstichtag ganz ähnlich wie bei den bisherigen automatischen Updates installieren. Durch diese nützliche neue Funktion wird gewährleistet, dass bis zum Bereitstellungsstichtag eine noch größere Anzahl kompatibler Systeme vorliegt.

Wenn benutzerdefinierte Updates für Sie von Interesse sind, werden diese mit SCCM ebenfalls ermöglicht. Das Veröffentlichungstool für benutzerdefinierte Updates in SMS 2003 R2 wurde zur Verwendung mit SCCM 2007 zum System Center Updates Publisher geändert, sodass alle benutzerdefinierten Updates genau wie hier beschrieben bereitgestellt werden können.

Die Änderungen bei der Updateverwaltung in SCCM sind umfangreich, aber aus administrativer Sicht wird die Updateverwaltung erleichtert. SCCM ist somit eine willkommene Verbesserung gegenüber vorherigen Versionen. Obwohl einige konzeptionelle Änderungen anfänglich für Benutzer, die an SMS 2003 gewöhnt sind, eine Herausforderung darstellen mögen, ist der neue Ansatz sicherlich der Mühe wert. Viel Spaß!

Steve Rachui ist Support Escalation Engineer für den Bereich Verwaltbarkeit in der Produktsupportgruppe von Microsoft. Er unterstützt SMS schon seit der Version 1.2. Sie erreichen ihn unter steverac@microsoft.com.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.