Wir möchten euch in diesem Beitrag einige Highlights aus der Schulung “Microsoft Endpoint Configuration Manager Aufbaukurs” vorstellen.

Jedes unserer Kapitel hat den gleichen Aufbau. Am Anfang wird die Funktion der jeweiligen Technologie ausführlich erklärt. Im zweiten Teil schauen wir uns die Installation und Konfiguration der Funktion an. Im dritten Abschnitt wird es dann spannend, hier werfen wir einen tiefen Blick auf die technischen Abläufe, Schnittstellen und interne Kommunikation. Die dadurch gewonnenen Erkenntnisse, werden wir im letzten Abschnitt anwenden. Dazu werden Fehler wie z.B. korrupter Policy Header oder fehlende Delta Informationen provoziert und wir üben wie solche Fehler erkannt und gelöst werden können.

Als Beispiel haben wir uns das Kapitel 8 herausgesucht, hier geht es um die Software Update Integration in den Configuration Manager. Das Thema wirkt auf den ersten Blick trivial und einfach zu konfigurieren, aber wir werden euch in diesem Kapitel das Gegenteil beweisen 😉 

Die Installation eines SUP ist in der Tat mit wenige Klicks abgeschlossen, doch leider kann man hier bereits einiges falsch machen und wird diese Fehler erst nach einiger Zeit durch schlechte Performance oder fehlerhaften Verteilungen feststellen.

Kapitel 8 – Abschnitt 1 – Überblick

Im ersten Teil werden allgemeine Informationen besprochen:

• Welche Vorteile hat die Integration
• Welche Voraussetzungen gibt es
• Empfehlungen WID/SQL, shared/dedicated, usw.
• Was muss ich beim Design berücksichtigen z.B. Anzahl SUP, an welchen Standorten benötige ich einen SUP, wie erfolgt die Lastverteilung, usw.
• Welche zusätzlichen Funktionen gibt es z.B. SCUP, 3rd Party Patch Management, usw.

Kapitel 8 – Abschnitt 2 – Installation

Nachdem wir mit den grundlegenden Informationen gerüstet sind, geht es an die Installation und Konfiguration. Wir werden gemeinsam die Voraussetzungen z.B. WSUS Server, Zertifikate, usw. installieren und im Anschluss die Software Update Point Rolle auf einem dedizierten Server bereitstellen und konfigurieren. Danach erfolgt die Kontrolle. Wir zeigen die relevanten Logs und welche Meldung unproblematisch sind und bei welchen man Korrekturen vornehmen muss.

In den Demos wird z.B. folgendes Vorgehen erläutert. 

In dieser Übung werden, für eine sichere SSL-Verbindung mit dem Software Update Point, folgenden Konfigurationen durchgeführt:

1. Der WSUS-Webseite wird ein Webserver Zertifikat zugeordnet
2. Die virtuellen IIS Webseiten werden auf „SSL erforderlich“ konfiguriert
3. Der WSUS Server wird für die SSL Nutzung aktiviert, dazu ist folgender Befehl nötig WSUSUtil.exe configuressl <Vollständiger Domänen Name des SUP>
4. Die Clients müssen dem IIS Webserver Zertifikat vertrauen (Bereitstellung Root CA)
5. Konfiguration der SUP Rolle „Require SSL communications to the WSUS Server“
6. Alle Software Update Point in untergeordneten Sites müssen ebenfalls auf SSL umgestellt werden

Natürlich werden immer alle Optionen und Konfigurationen ausführlich erklärt. Hier zwei Beispiele:

• Disable deadline randomization
  Der Zeitpunkt für die Installation wir zu einem zufälligen Zeitpunkt in einem zwei Stunden Zeitfenster nach der Deadline ausgeführt. Wird die Option aktiviert führt Configuration Manager keine Streuung innerhalb des Zeitfensters durch und alle zugewiesenen Clients installieren die Updates zum gleichen Zeitpunkt (keine Lastverteilung). Standard ist No
• Grace period for enforcement after deployment deadline (hours)
  Beim Erreichen einer Deadline, kann dem Computer ein Aufschub von 0 bis 120 Stunden gewährt werden (Soft-Deadline). Dies ermöglicht dem Anwender einen günstigen Zeitpunkt für die Installation zu wählen. Diese Option ist besonders hilfreich, wenn keine Wartungsfenster genutzt werden oder der Computer lange Zeit offline war. Diese Einstellung kann auch mit “Delay enforcement of this deployment according to user preferences” kombiniert werden. Standard ist 0

Zu allen Optionen und Konfiguration geben wir natürlich unsere Best-Practice Empfehlung z.B. Das automatische Windows Update sollte bei Computer, die mit Configuration Manager verwaltet werden, deaktiviert werden. Dies kann durch die folgenden Gruppenrichtlinie erfolgen:
Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Update/ Configure Automatic Updates = Disabled

Diese Einstellung verhindert, dass der Windows Update Agent erforderliche Neustarts erkennt und dem Anwender zusätzliche Benachrichtigungen anzeigt oder den Computer neu startet. Zusätzlich wird der Windows Update Agent daran gehindert, selbst nach Updates zu suchen. Andere Windows Update Funktionen wie z.B. Windows Update Agent deaktivieren, usw. dürfen nicht konfiguriert werden, da sie die Configuration Manager Integration verhindern.

Kapitel 8 – Abschnitt 3 – Prozess

Im vorletzten Abschnitt beschäftigen wir uns mit den internen ConfigMgr Prozessen (behind the scenes) also genau dass, was man auf den ersten Blick nicht sehen kann, aber unbedingt bei der Fehlersuche wissen muss.