Wir möchten Ihnen in diesem Beitrag einige Highlights aus der Schulung “Microsoft Endpoint Configuration Manager Aufbaukurs” vorstellen.
Jedes unserer Kapitel hat den gleichen Aufbau. Am Anfang wird die Funktion der jeweiligen Technologie ausführlich erklärt. Im zweiten Teil schauen wir uns die Installation und Konfiguration der jeweiligen Funktion an. Im dritten Abschnitt wird es dann spannend, hier werfen wir einen tiefen Blick auf die technischen Abläufe, Schnittstellen und die interne Kommunikation. Die dadurch gewonnenen Erkenntnisse, werden wir im letzten Abschnitt anwenden. Dazu werden Fehler wie z.B. korrupter Policy Header oder fehlende Delta Informationen provoziert und wir üben wie solche Fehler erkannt und gelöst werden können.
Als Beispiel haben wir uns das Kapitel 8 herausgesucht, hier geht es um die Software Update Integration in den Configuration Manager. Das Thema wirkt auf den ersten Blick trivial und einfach zu konfigurieren, aber wir werden euch in diesem Kapitel das Gegenteil beweisen 😉
Die Installation eines SUP ist in der Tat mit wenigen Klicks abgeschlossen, doch leider kann man hier bereits einiges falsch machen und man wird diese Fehler erst nach einiger Zeit durch schlechte Performance oder fehlerhafte Verteilungen feststellen.
Kapitel 8 – Abschnitt 1 – Überblick
Im ersten Teil werden allgemeine Informationen besprochen:
- Welche Vorteile hat die Integration
- Welche Voraussetzungen gibt es
- Empfehlungen WID/SQL, shared/dedicated, usw.
- Was muss ich beim Design berücksichtigen z.B. Anzahl SUP, an welchen Standorten benötige ich einen SUP, wie erfolgt die Lastverteilung, usw.
- Welche zusätzlichen Funktionen gibt es z.B. SCUP, 3rd Party Patch Management, usw.
Kapitel 8 – Abschnitt 2 – Installation
Nachdem wir mit den grundlegenden Informationen gerüstet sind, geht es an die Installation und Konfiguration. Wir werden gemeinsam die Voraussetzungen z.B. WSUS Server, Zertifikate, usw. installieren und im Anschluss die Software Update Point Rolle auf einem dedizierten Server bereitstellen und konfigurieren. Danach erfolgt die Kontrolle. Wir zeigen die relevanten Logs und welche Meldungen unproblematisch sind und bei welchen man Korrekturen vornehmen muss.
In den Demos wird z.B. folgendes Vorgehen erläutert:
In dieser Übung werden, für eine sichere SSL-Verbindung mit dem Software Update Point, folgenden Konfigurationen durchgeführt:
- Der WSUS-Webseite wird ein Webserver Zertifikat zugeordnet
- Die virtuellen IIS Webseiten werden auf „SSL erforderlich“ konfiguriert
- Der WSUS Server wird für die SSL Nutzung aktiviert, dazu ist folgender Befehl nötig WSUSUtil.exe configuressl <Vollständiger Domänen Name des SUP>
- Die Clients müssen dem IIS Webserver Zertifikat vertrauen (Bereitstellung Root CA)
- Konfiguration der SUP Rolle „Require SSL communications to the WSUS Server“
- Alle Software Update Point in untergeordneten Sites müssen ebenfalls auf SSL umgestellt werden
Natürlich werden immer alle Optionen und Konfigurationen ausführlich erklärt. Hier zwei Beispiele:
- Disable deadline randomization
Der Zeitpunkt für die Installation wird zu einem zufälligen Zeitpunkt in einem zwei Stunden Zeitfenster nach der Deadline ausgeführt. Wird die Option aktiviert, führt Configuration Manager keine Streuung innerhalb des Zeitfensters durch und alle zugewiesenen Clients installieren die Updates zum gleichen Zeitpunkt (keine Lastverteilung). Standard ist No - Grace period for enforcement after deployment deadline (hours)
Beim Erreichen einer Deadline, kann dem Computer ein Aufschub von 0 bis 120 Stunden gewährt werden (Soft-Deadline). Dies ermöglicht dem Anwender einen günstigen Zeitpunkt für die Installation zu wählen. Diese Option ist besonders hilfreich, wenn keine Wartungsfenster genutzt werden oder der Computer lange Zeit offline war. Diese Einstellung kann auch mit “Delay enforcement of this deployment according to user preferences” kombiniert werden. Standard ist 0
Zu allen Optionen und Konfiguration geben wir natürlich unsere Best-Practice Empfehlung z.B. Das automatische Windows Update sollte bei Computern, die mit Configuration Manager verwaltet werden, deaktiviert sein. Dies kann durch die folgende Gruppenrichtlinie erfolgen:
Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Update/ Configure Automatic Updates = Disabled
Diese Einstellung verhindert, dass der Windows Update Agent erforderliche Neustarts erkennt und dem Anwender zusätzliche Benachrichtigungen anzeigt oder den Computer neu startet. Zusätzlich wird der Windows Update Agent daran gehindert, selbst nach Updates zu suchen. Andere Windows Update Funktionen wie z.B. Windows Update Agent deaktivieren usw., dürfen nicht konfiguriert werden, da sie die Configuration Manager Integration verhindern.
Kapitel 8 – Abschnitt 3 – Prozess
Im vorletzten Abschnitt beschäftigen wir uns mit den internen ConfigMgr Prozessen (behind the scenes) also genau dass, was man auf den ersten Blick nicht sehen kann, aber unbedingt bei der Fehlersuche wissen muss.
Als Beispiel haben wir hier die Aktion “Software Update Deployment Evaluation Cycle”. Wir erklären, warum es einen großen Unterschied macht, ob der Client nach seinem Zeitplan scannt oder ein Anwender/Admin den Scan manuell triggert. Warum die Time to Live (TTL) wichtig ist und welche Konsequenz eine SUP Fallback auf Ihre Netzwerkperformance hat.
Kapitel 8 – Abschnitt 4 – Troubleshooting
Im letzten Abschnitt schauen wir, was man als Admin machen muss, wenn mal etwas nicht so funktioniert wie es soll. Neben einfachen Hinweisen wie z.B.:
- Die ADR wird nach dem definierten Zeitplan ausgeführt, kann aber auch manuell über „Run Now“ gestartet werden. Information zur Ausführung oder Fehlern können in folgender Logdatei gefunden werden „rulengine.log“.
- Ab der Version 2002 wurden Server Groups durch Orchestrierungsgruppen ersetzt. Beim Update auf 2002 werden die Server Groups automatisch in Orchestrierungsgruppen geändert.
- Jedes Software Updates wird nur einmal pro Deployment Package gespeichert. Ist das Update bereits im Deployment Package vorhanden, wird es nicht erneut heruntergeladen.
Wir wollten hier nur einen kleinen Ausschnitt aus dem Kapitel 8 (im Original 43 Seiten) zeigen, damit Sie sich ein Bild vom Aufbau unserer Schulungen machen können.