heinrichm
Goto Top

Windows Updates

Moin Moin zusammen! Da es ja in der letzten Zeit immer wieder Probleme mit Windows Updates gibt, wollte ich mal wissen, wie Ihr mit dem Problem umgeht.
Wann installiert Ihr die Updates? In Produktiven Umgebungen mit Servern und Client ist es ja besonders Übel.
Ladet Ihr die Updates runter und Testet es einfach mal oder Wartet Ihr grundsätzlich 2-3 Wochen und macht dann die Updates? Ab wann kann man den Updates vertrauen?

Gruß HeinrichM

Content-Key: 388752

Url: https://administrator.de/contentid/388752

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: Aximand
Aximand 08.10.2018 um 08:59:44 Uhr
Goto Top
Einem Update kann man aus meiner Sicht nie vertrauen.

Beispiel: Ich betreue unter anderem ein ERP-System welches an und wann mal rumzickt, wenn irgendwas an Office Updates oder .net-Änderungen reinkommt.
Was will ich damit sagen? Das wo "kein anderer User auffer Welt" irgendein Problem hat, bedingt dieses Update aber ein Problem für mich.

Was kann ich also machen? Ich rolle Updates dann aus, wenn ich meine unternehmenskritische Software soweit es mir möglich ist, einem Test unterzogen haben. Und wo mach ich das? Natürlich in einem Testsystem.
Das Problem an der Sache ist, dass man eben jede Software testen muss und das testen sich auf Standardfunktionalitäten beschränkt.
Ein weiteres Problem dabei ist, dass es für die Geschäftsleitung und die Kollegen/Anwender nicht so richtig greifbar ist, warum man den lieben langen Tag dies oder jenes macht.
Mitglied: H41mSh1C0R
H41mSh1C0R 08.10.2018 um 09:40:00 Uhr
Goto Top
Servus,

Zitat von @HeinrichM:
Ab wann kann man den Updates vertrauen?

NIE =).

i.d.R. gibt es einen 3 stufigen Lauf für Clients(nicht Server).

1. Patch kommt raus, saubere/r Basisclient/s wird/werden damit betankt.
2. 1 Woche später bekommen es Pilot(Aus jedem Fachbereich min. 2 Rechner) Clients in der Fläche, hier werden dann die Basisclients mit Zusatzsoftware getestet.
3. wenn 1 Woche lang keine Probleme auftreten wird in die restliche Fläche gerollt.

Bei Servern schaut das Szenario etwas komplexer aus als bei den Clients.

Je nach Umfang der Cluster wird hier zwar auch in Staffeln gepatched, aber nie so das ein kompletter Cluster einen Patch übergeholfen bekommt.

Die Testszenarien sind auch etwas anders und am Ende brauchen alle Farmen knapp 4 Wochen bis alles durch ist. Vom Test bis in die Produktion.

VG
Mitglied: HeinrichM
HeinrichM 08.10.2018 um 09:55:12 Uhr
Goto Top
Hi @Aximand,
Du hast es auf den Punkt gebracht. Aber wo soll das enden? Ich sagen nur Update 1809. Da fällt mir nichts mehr ein. Einige Rechner hatten sich das Teil schon installiert und jetzt liegt das Kind im Brunnen. Es wäre schön, wenn MS wieder Servicepacks 1-2 mal im Jahr ausrollen würde. Ich glaube dann hätten wir wieder ein schönes Leben in der EDV.
Gruß HeinrichM
Mitglied: Spirit-of-Eli
Spirit-of-Eli 08.10.2018 um 10:00:05 Uhr
Goto Top
Moin,

du solltest auf jeden Fall einen Wsus aufsetzen und das Management darüber laufen lassen.

Dann liegt die Kontrolle bei dir das sowas wie mit 1809er Update nicht passiert

Gruß
Spirit
Mitglied: VGem-e
VGem-e 08.10.2018 aktualisiert um 11:52:00 Uhr
Goto Top
Moin,

unser Systemhaus empfiehlt grundsätzlich, Updates (und nicht nur die von MS) möglichst umgehend zu installieren!

An den Clients sorgt (bei fehlerfreier Funktion) der WSUS für die Updateinstallation, für die Drittanbietersoftware i.d.R. eine Patchmanagement-Lösung.

An den Servern erfolgt natürlich nur die manuelle Installation (ebenfalls möglichst zeitnah). Vorab lese ich im INet mit, ob voraussichtliche Probleme auftreten können. Die Neustarts erfolgen dann halt außerhalb der Bürozeiten.
Die Funktionsupgrades teste ich erst an 1-2 Geräten, dann muss ja auch noch der AntiVirus das Upgrade unterstützen und die vorhandene Hardware muss ja auch noch wollen..

Gruß
VGem-e

Edit:
@Aximand hat irgendwie Recht. Wenn ich da z.B. an unsere Bankingsoftware denke, bei der ich aus Datenschutzgründen nur im Beisein eines autorisierten Benutzers tätig werde und mich zudem mangels Gelegenheit mit diesem Produkt nicht wirklich auskenne.
Mitglied: Looser27
Looser27 08.10.2018 um 10:08:32 Uhr
Goto Top
Moin,

Ich sagen nur Update 1809

nur um bei der MS Wortwahl zu bleiben, ist das ein Upgrade, kein Update.
Updates, die regelmäßig kommen, werden eingespielt. Das erfolgt automatisiert über unserern WSUS.

Upgrades halte ich hingegen min. 3Monate zurück, bis die Kinderkrankheiten durch zusätzliche Patches behoben sind.
Zwar werden diese auch über den WSUS geladen, aber noch nicht verteilt (zur Installation freigegeben).
Die Installation erfolgt dann i.d.R. zuerst auf dem Admin-Rechner. Wenn es dort fehlerfrei läuft, wird es an die restlichen Clients verteilt.

Gruß

Looser
Mitglied: HeinrichM
HeinrichM 08.10.2018 um 11:29:21 Uhr
Goto Top
Hi @H41mSh1C0R, derzeit kommen aber mehrere in der Woche da wirst Du ja nie fertig!?!
Wie löst Ihr das?
MfG HeinrichM
Mitglied: Spirit-of-Eli
Spirit-of-Eli 08.10.2018 um 11:57:25 Uhr
Goto Top
Updates kannst du, außer in kritischen Umgebungen, nach 1-2 Wochen automatisch frei geben.
Mitglied: H41mSh1C0R
H41mSh1C0R 08.10.2018 um 12:44:24 Uhr
Goto Top
Das ist ein rollender permanenter Prozess. Wenn ein Patch von Microsoft NACH unserem Patchstart kommt, geht der in den nächsten Rutsch.

Fertig wirst du damit nie, aber wenn man mehrere 10k Clients und Server im vierstelligen Bereich hat, hast du da eh nie ein Ende. =)

VG
Mitglied: Looser27
Looser27 08.10.2018 um 12:53:07 Uhr
Goto Top
wenn man mehrere 10k Clients und Server im vierstelligen Bereich hat

In der Größenordnung ist das dann hoffentlich ein Team, welches sich nur mit Patchmanagement und Upgrades beschäftigt.
In den KMUs ist das aber meist eine One-Man-Show und deswegen nur schwerlich zu leisten.
Mitglied: H41mSh1C0R
H41mSh1C0R 08.10.2018 aktualisiert um 13:10:00 Uhr
Goto Top
Wir decken als 3er Team + Koordinator alles ab was hier mit Deployment zu tun hat. OS, Anwendungen und Patches, durch den kompletten Softwareverteilprozess.

=)

Aber auch in einem KMU ist es Sinnvoll sich einen rollenden Prozess zu überlegen und zu leben.
Das hilft ungemein beim Überleben!

Wie feingranular man diesen dann gestaltet ist abhängig von der Arbeitsbelastung.

Und wenn man die Zeit wie immer zu wenig ist macht man seine Zyklen eben länger, fertig.
Mitglied: Dani
Dani 08.10.2018 um 18:01:52 Uhr
Goto Top
Moin,
Wann installiert Ihr die Updates? In Produktiven Umgebungen mit Servern und Client ist es ja besonders Übel.
Das ist eine berechtige Frage. Das ist in jeder Umgebung anders. Da es bei uns eine Vielzahl von Servern und Clients sind, ist der Prozess im Unternehmen genau definiert (Tests, Stellungnahmen von Hersteller einholen, Absprachen mit anderen Teams, Wartungsfenstern, etc...). Von der Freigabe der Updates von Microsoft bis zur Installation in Wartungsfenstern vergehen gerne mal 6-8 Wochen.

Wir können auf Grund der Anzahl von Clients diese nicht mehr sichern. Der Aufwand steht im keinen Verhältnis. Sprich ein kurzer Rollback bei Problemen ist nicht. Ein größerer Blackout durch Microsoft Updates könnte uns mehrere Tage stillstand einbringen, was uns ebenfalls schlechte PR einbringen wird und der Schaden beträchlich ist. Daher ist es für uns günstiger entsprechende Teams und Prozesse vorzuhalten, welche sich ausschließlich damit beschäftigen.


Gruß,
Dani
Mitglied: UweGri
UweGri 08.10.2018 um 21:34:32 Uhr
Goto Top
MS Updates unter W10 sind ein einziges Problem geworden. Größere Umgebungen können per WSUS und Testsysteme noch agieren, auch wenn es Zeit kostet. Hier gibt es KMUs mit 20 PC ohne WSUS und Teilzeitadmin. Da hilft nur Rückstellen und warten. Ich selbst stelle generell zurück. Die halbjährlichen Katastrophen 90 Tage. Uwe
Mitglied: Spirit-of-Eli
Spirit-of-Eli 08.10.2018 um 21:39:06 Uhr
Goto Top
Zitat von @UweGri:

MS Updates unter W10 sind ein einziges Problem geworden. Größere Umgebungen können per WSUS und Testsysteme noch agieren, auch wenn es Zeit kostet. Hier gibt es KMUs mit 20 PC ohne WSUS und Teilzeitadmin. Da hilft nur Rückstellen und warten. Ich selbst stelle generell zurück. Die halbjährlichen Katastrophen 90 Tage. Uwe

Naja, ich habe selbst zuhause nen Wsus.
Mitglied: Stefan41
Stefan41 08.10.2018 um 21:54:30 Uhr
Goto Top
Zitat von @Spirit-of-Eli:


Naja, ich habe selbst zuhause nen Wsus.

Schöne Dekadenz face-big-smile

Zum Thema: Ich bin einer von 2 Admins einer IT Abteilung mit 200 Clients und ca. 70 Servern. Wir nutzen WSUS und machen es ähnlich wie von
H41mSh1C0R beschrieben. Wenn neue Updates in den WSUS reinkommen warte ich erst mal ein paar Tage ab, dann werden sie auf wenigen Test Rechnern installiert, auf denen die gängigsten Applikationen laufen. Wenn es keine Probleme gibt, gibt es ein 2-stufiges Rollout auf allen Rechnern. Da wir nicht für jeden Server ein Testsystem zum ausprobieren halten können, werden die Updates nach kurzer Testphase auf einem Server nach und nach verteilt.

Aber auch hier ist es ein ständiger Prozess für den man immer mehr und mehr Zeit benötigt. Im Rahmen von Server 2016 und Windows 10 musste ich auch einen neuen WSUS Server in Betrieb nehmen, da es der alte unter Server 2008 R2 nicht mehr hinbekommen hat mit der Windows 10 Versorgung.

Nicht MS Updates (Java JRE, Adobe Reader, etc...) installieren wir nach und nach mittels Baramundi Softwareverteilung auf den Clients.
Mitglied: HeinrichM
HeinrichM 09.10.2018 um 06:21:55 Uhr
Goto Top
Moin zusammen, ist ja doch immer wieder das gleiche Problem, was sich in der letzten Zeit immer mehr zur Katastrophe entwickelt.
Früher konnte man sagen "never touch a running System" und konnte auf Updates verzichten. Wenn ein System läuft, dann läuft es eben und gut. Leider ist es ja heute so, dass die Updates keine Spielereien sein sollen, viel mehr der Sicherheit dienen und Lücken schließen sollen. Wenn ich immer mit einer Verzögerung von 6-8 Wochen die Updates installiere, ist es ja schon fast fahrlässig, da ich ja bewusst Sicherheitslücken in einem System offenlasse. Da beißt sich die Katze in den Schwanz. Es wird wohl immer ein Risiko sein, wenn Updates installiert werden. Doch ohne steht man doch schon mit einem Fuß im Knast. Wenn eine Firma durch eine bekannte Sicherheitslücke angegriffen wird und es sich herausstellt, dass vom Admin die Updates nicht eingespielt wurden, kann er sich warm anziehen. Hiebe bekommt er aber auch, wenn nach einem Updates die Kiste nicht mehr läuft. Oder alles sooooo langsam ist. Schweres Tema!
MfG HeinrichM
Mitglied: Stefan41
Stefan41 09.10.2018 um 06:43:50 Uhr
Goto Top
Genau das ist es. Auf der einen Seite predigen die Medien und Berater, die fern von der Materie sind, dass man immer ASAP die Updates installieren soll, aber auf der anderen Seite ist da das Risiko dass man sich neue Probleme damit ins Haus holt.

Kurzes Beispiel: letztes Jahr im Herbst stellten unsere Epson Nadeldrucker nach der Installation eines Windows Updates den Dienst ein. Es half nur die Deinstallation des betreffenden Updates, eine Lösung wurde nie bereit gestellt, weder von MS noch von Epson.

Wenn die Personal Situation auch so schon recht angespannt ist, kann man auf solche Sachen echt verzichten.
Mitglied: HeinrichM
HeinrichM 09.10.2018 um 06:51:57 Uhr
Goto Top
...wer kennt das nicht... Bei uns gibt es z.B. Regeln im Outlook. eine davon macht folgendes: Mail kommt an, Mail wird geöffnet, Anhang ausgedruckt, Mail als gelesen markiert und in einen Ordner verschoben. das hat jahrelang geklappt. Auf einmal nach einem Update ging nichts mehr. Lösung AdobeReade deinstallieren und den Foxitreade draufmachen. Das hat für ca. 2 Wochen geklappt. Dann ging auch hier nichts mehr. Nach 6 Monaten gab es mal wieder ein Office Update und siehe da alles funktioniert wieder wie gehabt.
Nur die 6 Monate bis dahin waren die Hölle. Fehlersuch, Probieren, blöde Sprüche anhören usw.
Mitglied: H41mSh1C0R
H41mSh1C0R 09.10.2018 um 09:06:11 Uhr
Goto Top
Es ist halt immer alles eine Risiko Abschätzung.

Um sich abzusichern sorgt man in der Regel dafür das der Arbeitsauftrag schriftlich kokret festgehalten ist.

Wenn die Patches ASAP im System sein sollen, muss man auch die möglichen Risiken benennen.
Dem gegenüber steht ein ausgiebiges Testes was dafür sorgen soll das nicht nach dem Rollen von 1 oder mehr Patchen die Firma stehen bleibt.

Kein Angestellter, auch wir als Admins müssen nicht die ganze Zeit bückend vor den Obrigkeiten zu allem ja und ahmen sagen.

Wenn Zeit oder Personal benötigt dann muss das kommuniziert werden.

Das Thema ist nicht so schwer, wenn alle Beteiligten >>miteinander<< reden und man als MA nicht nur Befehle befolgt.

Meine Vorgehensweise wäre:

- Vorschlag für den Patchprozess schriftlich dokumentieren, beide Varianten die mit ausgiebigem Testen und die "vermeintlich schnelle" Variante
- dies Absegnen lassen vom Vorgesetzten bzw. dem Chef
- gewissenhaft seinen Job machen

VG

PS:
Wenn ich eines in der Wirtschaft gelernt habe ist das man die Arbeit der Admins immer schwer einschätzen und "sehen" kann.
Daher habe ich mir angewöhnt ein Logbuch zu führen, was ich wann gemacht habe.
Mitglied: VGem-e
VGem-e 09.10.2018 um 12:27:15 Uhr
Goto Top
Servus,

@H41mSh1C0R (rätselhafter Nick übrigens):
Wie führst Du dieses Logbuch (Excel/One Note)?

Gruß
Mitglied: H41mSh1C0R
H41mSh1C0R 09.10.2018 um 12:45:48 Uhr
Goto Top
Servus,

der Nick hat sich aus einem Joke ergeben. =)

Das Logbuch ist ganz oldschool eine txt Datei in der immer die erste Zeile die letzte ist.
Oben eine Zeile einfügen und beschreiben.

<Zeitstempel> - <Kategorie> : <Beschreibung> / <benötigte Zeit>

Man könnte das auch mit Excel oder OneNote machen, aber mit ner ASCII Datei bin ich da unabhängig. ^^

VG
Mitglied: HeinrichM
HeinrichM 11.10.2018 um 07:48:58 Uhr
Goto Top
Dokumentation ist das eine, die Doku jemandem zur eigenen Entlastung oder als beweis zu zeigen, dem gerade das System für 3 Stunden nicht zur Verfügung stand ist das andere. Wir machen hier immer alles mit Aufzeichnung - Text und Video. Nur bring es nicht wirklich was wenn ein Server 30 Minuten zum Neustart braucht aber der nächste 3 Stunden beim gleichen Update. Das ist schwer zu erklären. Auch mit Aufzeichnung.
Gruß HeinrichM
Mitglied: H41mSh1C0R
H41mSh1C0R 15.10.2018 um 01:43:32 Uhr
Goto Top
Doku ist nur das was wann getan wurde.

Absegnen lassen würde ich mir NUR die Verfahrensweise.

Wenn nun die Server unterschiedliche Zeit brauchen das ist das erst mal so und daraus kann man keinen Strick drehen.

Wenn 2 Server beim gleichen Update sich unterschiedliche Verhalten, wenn die HW Basis gleich ist(Annahme), dann würd ich die Historie prüfen was wann installiert worden ist und ob es nicht doch Unterschiede gibt zwischen den Maschinen um dem Verhalten auf den Grund zu gehen.
Das ist dann der Part Troubleshooting. =)

Auch gilt es m.M.n. zu beachten das man Wartungszeitfenster nutzen sollte, d.h. der Nutzerbasis sollte klar sein das in der Zeit der Server nicht zur Verfügung steht. Und sollte man mal über die geplante Zeit hinausgehen muss man Troubleshooten oder seine Zeitannahme korrigieren für die nächste Runde.

VG