hardsoft
Goto Top

Automatischer WinUpdate Install und Reboot

Hi,

ich arbeite bei einem kleinen IT-Dienstleister. Wir möchten künftig die Windows Server (2016/19) unserer Kunden automatisiert Windows Updates installieren und neustarten lassen.
Habe mir dafür das Tool ShutdownWithUpdates 1 von Dennis Babkin angeschaut.

Habe den Task Scheduler dafür verwendet um geplante Reboots damit zu machen.
Das Problem ist allerdings, dass die Updates dabei nicht installiert werden.

Hat jemand von euch Erfahrungen mit diesem Tool? Oder hat jemand dieselbe Anforderung gehabt und es anders gelöst?

Danke im Vorhinein für eure Anregungen
Michael

P.S.: Mein erster Beitrag hier im Forum.

Content-ID: 5478454698

Url: https://administrator.de/contentid/5478454698

Ausgedruckt am: 23.11.2024 um 15:11 Uhr

StefanKittel
StefanKittel 19.01.2023 aktualisiert um 16:53:04 Uhr
Goto Top
Hallo,

schau Dir mal https://abc-deploy.com/abc-update/ (Windows) und https://ninite.com/ (3rd)
Sonst diverse RMM-Anbieter.

Das kann auch ein gefährliches Thema sein/werden.
Wenn Ihr z.B. ein fehlerhaftes Update installiert gehen auf einen Schlag 20 Kunden nicht mehr was meist zu Panik führt.
Wenn man dann auch nocht feststellt, dass die Datensicherung nicht lief.....

Clients patche ich über RMM.
Server patche ich halb-manuell:
1. Nicht zu viele Kunden zur Zeit
2. Datensicherung starten und Ergebnis prüfen
3. Windows Updates mit ABC machen per CMD machen
4. Software Updates (Browser, PDF, 7zip, etc) mit ninite per CMD machen
5. Einmal Windows Updates starten

Stefan
Lochkartenstanzer
Lochkartenstanzer 19.01.2023 um 12:11:12 Uhr
Goto Top
Zitat von @hardSoft:

ich arbeite bei einem kleinen IT-Dienstleister. Wir möchten künftig die Windows Server (2016/19) unserer Kunden automatisiert Windows Updates installieren und neustarten lassen.

Moin,

Dann stelle dich mal auf Schadensersatzforderungen ein. Den es ist nie gut, einen Server "unbeaufsichtigt" Updates machen zu lassen.

Wenn Du sowas machen willst, mußt Du zuallererst ein zuverlässiges Monitoring installieren, das Dir sofort meldet, wenn ein Kiste abschmiert oder nciht mehr hochkommt. Ansonsten macht Dir der Kunde die Hölle heiß, wenn am nächsten Arbeitstag die Kiste steht und seine Mitarbeiter Däumchen drehen.

Ansonsten, willkommen im Forum,

lks
spec1re
spec1re 19.01.2023 aktualisiert um 12:23:31 Uhr
Goto Top
Das ganze kannst du auch einfach mit PowerShell + Task Scheduler lösen:

https://www.powershellgallery.com/packages/PSWindowsUpdate/
Install-WindowsUpdate -AcceptAll -RecurseCycle 2 -AutoReboot -Verbose
Nutze ShutdownWithUpdates nur bei Win10 PCs, wo die Updates schon von selbst installiert wurden und nur noch auf einen Neustart warten.

Ist jetzt nur ein Beispiel, das PS Modul kann viel, viel mehr.

Gruß Spec
DerWoWusste
DerWoWusste 19.01.2023 um 12:54:07 Uhr
Goto Top
Keine Tools nötig, geht über die eingebaute Updatepolicy.
hardSoft
hardSoft 19.01.2023 um 13:19:12 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Wenn Du sowas machen willst, mußt Du zuallererst ein zuverlässiges Monitoring installieren, das Dir sofort meldet, wenn ein Kiste abschmiert oder nciht mehr hochkommt. Ansonsten macht Dir der Kunde die Hölle heiß, wenn am nächsten Arbeitstag die Kiste steht und seine Mitarbeiter Däumchen drehen.


1) Guter Punkt! Ja, wir sind eh gerade dabei ein Monitoring aufzusetzen.

Ansonsten, willkommen im Forum,

2) Danke
Doskias
Doskias 19.01.2023 um 13:51:07 Uhr
Goto Top
Moin,

das kannst du wunderbar mit GPOs regeln und braucht, wie schon gesagt wurde, keine Drittanbieter.

Zitat von @Lochkartenstanzer:
Dann stelle dich mal auf Schadensersatzforderungen ein. Den es ist nie gut, einen Server "unbeaufsichtigt" Updates machen zu lassen.
Ob du jetzt davor sitzt oder nicht, wenn das Update installiert wird, ist für den Erfolg des Updates völlig egal. Ich Lasse aus diesem Grund seit über 15 Jahren die Updates nachts installieren und es ist bislang noch nie schief gegangen. Allerdings bin ich am Tag danach auch immer Ort, war aber im Endeffekt noch nie nötig.

Wenn Du sowas machen willst, mußt Du zuallererst ein zuverlässiges Monitoring installieren, das Dir sofort meldet, wenn ein Kiste abschmiert oder nciht mehr hochkommt.
Da nützt dir aber ein Monitoring-Tool auch herzlich wenig, wenn du (zum Beispiel) nachts um 4 die Updates installierst aber von 4 bis 8 keiner da ist, der das sieht.

Ansonsten macht Dir der Kunde die Hölle heiß, wenn am nächsten Arbeitstag die Kiste steht und seine Mitarbeiter Däumchen drehen.
Das macht er aber auch, wenn du die Updates morgens um 6 (bei Arbeitsbeginn um 7) installierst und die Updates dann die Maschine zerlegen und sie nicht mehr hoch kommt.

Wichtiger als die Frage nach dem Tool ist aber der Zeitpunkt. Beachte bei deinem Automatismus, dass es (neben der Arbeitszeit) auch noch andere Faktoren gibt. Frage den Kunden daher am besten nach einem Wartungsfenster und beachte die Laufzeit der Backups. Du solltest möglichst die Updates erst nach den Backups durchführen lassen und vor allem den Backupserver nicht die Füße wegziehen. Und zuletzt auch nicht unwichtig: Falls inhouse Exchange-Server betrieben werden: Die CU-Updates können nicht über die Windows-Updates installiert werden.

Gruß
Doskias
Lochkartenstanzer
Lochkartenstanzer 20.01.2023 aktualisiert um 10:16:34 Uhr
Goto Top
Zitat von @Doskias:

Moin,

das kannst du wunderbar mit GPOs regeln und braucht, wie schon gesagt wurde, keine Drittanbieter.

Zitat von @Lochkartenstanzer:
Dann stelle dich mal auf Schadensersatzforderungen ein. Den es ist nie gut, einen Server "unbeaufsichtigt" Updates machen zu lassen.
Ob du jetzt davor sitzt oder nicht, wenn das Update installiert wird, ist für den Erfolg des Updates völlig egal.

"Beaufsichtigt" heißt nciht, daß man davorsitzt, sondern daß man ein Monitoring hat, das dafür sorgt, daß man zeitnah benachrichtigt wird, wenn etwas schiefläuft.

Ich Lasse aus diesem Grund seit über 15 Jahren die Updates nachts installieren und es ist bislang noch nie schief gegangen. Allerdings bin ich am Tag danach auch immer Ort, war aber im Endeffekt noch nie nötig.

Ich lasse die Updates auch zu Zeiten laufen, zu denen die Kunden nicht arbeiten müssen/wollen/dürfen (Wartungsfenster). Kein Kunde zahlt gerne dafür, daß ich vor deren Kiste (wenn auch Remote) sitze den blauen gelben und grünen Balken oder den rotierenden Kreisen zuschaue.

Mit den passenden Monitoring bekommst Du die Meldung, daß ein Update schiefgegangen ist (Dienste laufen nicht mehr o.ä.) zeitnah und kannst dann z.B. Kunden überraschen, daß Du morgens mit Ihrem ersten Mitarbeiter der die Firma aufschließt, in die Firma einläufst. face-smile

Es kommst zwar selten vor, daß Updates schiefgehen, aber das kommt vor und es gibt immer ein gutes Bild ab, wenn man das vor dem Kunden merkt und ihn darauf aufmerksam macht.


Wenn Du sowas machen willst, mußt Du zuallererst ein zuverlässiges Monitoring installieren, das Dir sofort meldet, wenn ein Kiste abschmiert oder nciht mehr hochkommt.
Da nützt dir aber ein Monitoring-Tool auch herzlich wenig, wenn du (zum Beispiel) nachts um 4 die Updates installierst aber von 4 bis 8 keiner da ist, der das sieht.

Deswegen läßt Du Dich per SMS oder Mail benachrichtigen, und bei wichtigen Meldungen "aufwecken". Kommt imer darauf an, was der Kudne bereit ist, für den Service zu bezahlen.


Ansonsten macht Dir der Kunde die Hölle heiß, wenn am nächsten Arbeitstag die Kiste steht und seine Mitarbeiter Däumchen drehen.
Das macht er aber auch, wenn du die Updates morgens um 6 (bei Arbeitsbeginn um 7) installierst und die Updates dann die Maschine zerlegen und sie nicht mehr hoch kommt.

Deswegen installiert man nicht morgens um 6 sondern erst nach Feierabend, damit man die ganze Nacht Zeit hat, das wieder zurechtzubiegen. face-smile


Wichtiger als die Frage nach dem Tool ist aber der Zeitpunkt. Beachte bei deinem Automatismus, dass es (neben der Arbeitszeit) auch noch andere Faktoren gibt. Frage den Kunden daher am besten nach einem Wartungsfenster und beachte die Laufzeit der Backups. Du solltest möglichst die Updates erst nach den Backups durchführen lassen und vor allem den Backupserver nicht die Füße wegziehen. Und zuletzt auch nicht unwichtig: Falls inhouse Exchange-Server betrieben werden: Die CU-Updates können nicht über die Windows-Updates installiert werden.

Die Backup und Update-Zeiten und ggf Wartungsfenster zur Remote-Administration sollten sowieso mit dem Kunden abgesprochen sein. Und wichtig: Update erst starten, wenn das Backup auch ohne Fehlermeldung durchgelaufen ist. Ich hatte ausch schon Kunde, die zwar Backup gemacht haben (manuell die Software angestoßten), bevor sie mit dem Update begannen, aber nciht darauf geachtet haben, ob das auch richtig durchgelaufen ist. Zum Glück hat sich das zwar nicht ausgewirkt, aber es hätte genausogut schifgehen können.


lks
Doskias
Doskias 20.01.2023 um 10:29:52 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Deswegen läßt Du Dich per SMS oder Mail benachrichtigen, und bei wichtigen Meldungen "aufwecken". Kommt imer darauf an, was der Kudne bereit ist, für den Service zu bezahlen.
SMS ist keine Lösung. Eine SMS gilt als pünktlich zugestellt, wenn sie innerhalb von 24 Stunden ankommt. Wir hatten mal unsere Brandmeldeanlage per SMS-Alarmierung aktiviert. Nicht schön, wenn die SMS zwar pünktlich verschickt wird, aber erst 3 Stunden nach Auslösung zugestellt wird.
Mail-Benachrichtigungen ist ähnlich. Auch hier kann es schnell zu Stunden in Verzögerung kommen. Außerdem (bin ich froh drum) hab ich kein Diensthandy mehr und kann also außerhalb meiner Arbeitszeit keine dienstlichen Mails mehr lesen. Und selbst wenn: Wenn ich als Arbeitnehmer um 18 Uhr Feierabend mache, dann gilt 11 Stunden Ruhezeit. Vor 5 Uhr darf ich folglich die E-Mail eh nicht lesen und wenn ich sie Beispielsweise um 22 Uhr lese und dann bis 23 Uhr repariere, dann darf ich am nächsten Tag erst um 10 Uhr anfangen zu arbeiten. Ja ich weiß, das wird leider in vielen Firmen und grade in Systemhäusern immer noch ignoriert. Daher bin ich ganz froh, dass ich außerhalb meiner Arbeitszeit keinen zugriff mehr auf meine Mails habe face-smile

Ansonsten macht Dir der Kunde die Hölle heiß, wenn am nächsten Arbeitstag die Kiste steht und seine Mitarbeiter Däumchen drehen.
Das macht er aber auch, wenn du die Updates morgens um 6 (bei Arbeitsbeginn um 7) installierst und die Updates dann die Maschine zerlegen und sie nicht mehr hoch kommt.

Deswegen installiert man nicht morgens um 6 sondern erst nach Feierabend, damit man die ganze Nacht Zeit hat, das wieder zurechtzubiegen. face-smile
Was nach einem 9 Stunden Arbeitstag extrem stressig wird um die Arbeitsschutzgesetze einzuhalten face-wink. Mir ist allerdings grade eingefallen, dass wir einmal doch ein Problem hatten. Vielleicht erinnert sich der eine oder andere noch daran, dass GPOs früher auch ohne authentifizierten Benutzer in der Delegierung ging. Das hat MS mit einem Update geändert und dieses Update hat dann tatsächlich dafür gesorgt, dass der Kunde etwas gehemmt in der Arbeit war. Ich hab über Nacht die Updates installiert, der Kunde wollte um 6:00 Uhr anfangen zu arbeiten und ich kam erst um 8:00 Uhr. Das ganze war aber kein Problem, da ich im Vorfeld mit dem Kunden abgesprochen hatte, wie wir die Updates installieren. Der Kunde war so entspannt, dass er nicht mal im support des Systemhauses angerufen hat, weil er wusste, dass ich um 8:00 Uhr da bin. Es kommt immer darauf an wie man mit dem Kunden kommuniziert und wie das Verhältnis ist.

Gruß
Doskias