SCCM: Windows Update Dienst korrigieren
Manchmal macht der Windows Update Dienst Probleme. Um einige Probleme zu korrigieren setzte ich schon seit längerer Zeit ein kleines Script ein:
Manchmal macht der Windows Update Dienst Probleme. Um einige Probleme zu korrigieren setzte ich schon seit längerer Zeit ein kleines Script ein:
Vor über einem Jahr habe ich angefangen meine SCCM Hilfsscripte hier zu veröffentlichen. Da ich noch eine ganze Reihe von diesen Batchdateien habe, kommen jetzt noch einige weitere Posts zu diesem Thema.
Im Teil 2 wurde die Batch und vbs Datei vorgestellt, um auf eine Reihe von Clients die Hardwareinventur anzustossen.
Dies geht genauso mit dem Computer Policy Update:
startmachineupdate.cmd
@echo off
set PC=%1
if .%PC%==. set /p PC=Enter Computer Name to start HINV:
call %~dp0findip.bat %PC%
if %ip%.==. goto fehler
echo Start Machine Policy Update %PC%
cscript.exe //Nologo %~dp0sendsched.vbs {00000000-0000-0000-0000-000000000021} %PC%
goto ende
:fehler
echo Abbruch, da Rechner %PC% auf ping nicht antwortet.
:ende
set ip=
und die dazugehörige startmachineupdateall.cmd:
for /F %%i in ('cscript.exe //NOLOGO %~dp0getcomputer.vbs %1 smsserver sitename') do call %~dp0startmachineupdate.cmd %%i
Benötigt dazu wird findip.bat und getcomputer.vbs aus Teil 1 bzw. Teil 2.
Gestern habe ich noch gefragt, ob es schon einen Agent für RHEL6 gibt. Heute stoße ich über den Hinweis, dass das Cumulativ Update 5 (CU5) schon seit 3 Tagen verfügbar ist!
Es korrigiert einen recht störenden Agent Update Bug im CU4 (beim Update des Agents, der normalerweise kein Neustart des Servers benötigt wurden automatisch andere Dienste neugestartet und hat somit zu Serviceunterbrechungen geführt) und ein paar andere Fehler. Zusätzlich beinhaltet es den Agent für Red Hat 6.
Zu finden ist es unter http://support.microsoft.com/kb/2495674.
Eine häufig bemängelte Einschränkung des SCCM 2007 ist es, dass die darin enthaltene Updateverteilung keine Updates automatisch freigeben kann. In größeren Umgebungen ist dies im Allgemeinen auch nicht wünschenswert, da neue Microsoft Updates zuerst getestet und dann erst verteilt werden sollten.
Bei Antivirendefinitionen macht ein solches Vorgehen keinen Sinn. Tests gegen alte und neue Viren oder gegen bestimmte Clients, um False-Positives zu erkennen kann man ein paar Mal machen, sobald Updates mehrfach am Tag kommen ist dies nicht mehr sinnvoll.
Forefront Client Security 2010 integriert sich so tief in den SCCM, dass auch für die Definitionsverteilung der SCCM genutzt werden kann. Hat dieser keine aktuellen Definitionen, so kann der Client auf eine Freigabe (UNC-Pfad), einen WSUS oder Microsoft Updates ausweichen. Als WSUS wird natürlich der auf dem Client hinterlegte verwendet, der bei einem SCCM Client immer der vom Server gemanagte WSUS sein muss.
Daher wäre es wünschenswert, wenn dieser die Definitionsupdates automatisch freigibt. Generell ist es nicht empfehlenswert in einen vom SCCM verwalteten WSUS einzugreifen. In diesem Szenario ist es die einzige sinnvolle Lösung.
Um das (von mir ebenfalls schon umgesetzte) Verfahren nicht erneut beschreiben zu müssen, verlinke ich einfach auf den nachfolgenden Blog Post:
Jetzt wo wir einen Rechner per Powershell aufwecken können kommt als nächstes die Funktion um eine Neuinstallation anzustossen und sie wieder abzubrechen.
Der Abbruch ist deswegen relevant, da u.U. das WoL nicht funktioniert. Startet der Benutzer am nächsten Morgen den PC wieder ganz normal an, so würde die Installation direkt startet und er könnte ein paar Stunden nicht arbeiten. Daher stoppt das Script die Installation automatisch, falls sie nicht innerhalb eines bestimmten Zeitfenster gestartet werden konnte.
In diesem Teil werden die Code Schnippchen zusammengebaut. Als Input benötigt das Script eine CSV Datei mit folgendem Header:
client,OU,User,Mac,OS,Softwareliste
Somit sieht das Powershell Script so aus:
Vor einigen Tagen hat Microsoft den System Center Updates Publisher (SCUP) in der Version 2011 veröffentlicht. Er beinhaltet einige interessante Neuerungen:
Herunterzuladen ist das Tool unter http://www.microsoft.com/downloads/en/details.aspx?FamilyID=083f45ca-1ede-4f7a-be74-77854c3a9b01.
Eine gute Installationsanleitung ist hier zu finden: http://blogs.technet.com/b/jasonlewis/archive/2011/05/24/getting-started-with-updates-publisher-2011.aspx (Keine Bilder, aber dafür alle wesentlichen Punkte enthalten, ich konnte problemlos nach ein “Upgrade” machen, daher werde ich es nicht nochmal hier beschreiben)
Meine Vorgehensweise zum Publizieren von Updates (nachdem die Konfiguration inkl. WSUS und SCCM abgeschlossen ist):
System Center Advisor (SCA) ist ein neues Cloud Produkt von Microsoft, dass ähnlich wie Intunes bloß für Server ist. (und auch nur die Überwachung beinhaltet
)
Es verwendet ebenfalls auf dem zu überwachenden Server den SCOM 2007 R2 Agent und unterstütz dabei Multihome, d.h. man kann auch parallel seinen eigenen SCOM Server weiterbetreiben. SCA liefert eigene Management Packs mit, die speziell für SQL Server optimiert wurden. So werden fehlende Microsoft Updates (die nicht im Windows Update Katalog sind) angezeigt, nicht optimale TempDB Einstellungen, … aufgelistet.
Der SCOM Agent sendet nicht direkt zu Microsoft, sondern packt die SCOM Informationen (Alerts, Konfigurationsinformationen), die als einzelne XML-Dateien vorliegen zu CAB-Dateien zusammen in legt sie unter
%programFiles%\System Center Advisor\Mailbox\outbox
ab. Diese werden zu bestimmten Zeitpunkten am Tag (minimal per Registry auf alle 12h einstellbar) genommen (Tipp: startet man den SCOM Agent (der SCA Agent hat keinen eigenen Dienst, sondern wird über den SCOM Agent gesteuert) neu, dann werden die CAB Dateien sofort verschickt) und per http an den im Unternehmen zu installierenden SCA Gateway Server geschickt (Achtung: der hört auf Port 80 und ist nicht im IIS integriert – kann somit nicht auf einem System mit IIS oder einen anderen Webserver auf Port 80 installiert werden).
Die verschickte CAB Datei landet dann auf dem Agent unter
%programFiles%\System Center Advisor\Mailbox\send Items
Auf dem Gateway landen die empfangenen CAB Dateien unter fromAgent Verzeichnis unter
%programFiles%\System Center Advisor\GatewayData\Mailboxes\<guid>
In diesem Verzeichnis liegt eine machine.xml Datei, in der unter anderem der Agent-Servername zu finden ist. Nach einem Upload zu Microsoft (auch über einen Webservice) landen die Dateien unter
%programFiles%\System Center Advisor\GatewayData\Mailboxes\<guid>\Uploaded\*.cab
Auch hier beschleunigt ein Neustart des Dienstes den Upload zu Microsoft. Durch zwei Dienstneustarts (erst Agent dann Gateway) kann man im Gegensatz zur Dokumentation sofort Daten zu Microsoft schicken, die dort wohl auch sofort verarbeitet und auf der Webseite angezeigt werden.
Wenn beim Versuch der Installation des Remote Server Administration Tools auf einem Windows 7 mit Service Pack 1 folgende Fehlermeldung bekommt:
(Das Update ist nicht für Ihren Computer geeignet), der kann mit folgendem Skript aus dem Technet (s.u. Kommentare, http://technet.microsoft.com/en-us/library/ee449475%28v=ws.10%29.aspx) die Installation trotzdem durchführen:
Für das x86 RSAT:
(x86.cmd)
MD C:\RSAT
expand -f:* "%~dp0x86fre_GRMRSAT_MSU.msu" C:\RSAT
CD\RSAT
pkgmgr.exe /n:C:\RSAT\Windows6.1-KB958830-x86.xml
pause
Für das 64-bit RSAT:
(x64.cmd)
MD C:\RSAT
expand -f:* "%~dp0amd64fre_GRMRSATX_MSU.msu" C:\RSAT
CD\RSAT
pkgmgr.exe /n:C:\RSAT\Windows6.1-KB958830-x64.xml
pause
Ich stelle mir regelmäßig die Frage, welche Management Packs (MP) sich in letzter Zeit aktualisiert haben. Dies ist z.B. relevant wenn man bei einem Kunden ist und dieser nicht (auf einfache Weise) von der Management Konsole ins Internet kommt, um die MPs automatisch aktualisieren zu lassen. Der Pinpoint Katalog ist dabei leider auch keine gute Hilfe.
Daher habe ich mir ein kleines Script geschrieben, dass die MP-Änderungen innerhalb eines Zeitraumes ausließt und ausgibt. Ich werde demnächst einmal die Woche diese Liste hier posten. (Momentan noch halbautomatisch und demnächst hoffentlich automatisiert.)
Damit man sich selber dauerhaft einen Überblick über die Aktualisierungen machen kann, sind alle Post dazu mit dem Tag SC Software Updates markiert und lassen sich über den RSS Feed abonnieren (http://www.mbaeker.de/tag/sc-software-updates/feed/).
Neue Management Packs im Zeitraum zwischen 04.02.2011 und 06.03.2011