Jeden Monat f\u00e4ngt das Grauen von neuem an – MS Patchday.<\/p>\n
Ich wei\u00df nicht ob ich der einzige Admin auf dieser Welt bin, der in einem mittelst\u00e4ndischen Unternehmen (wie Nils immer sagt 50 – 50.000 Mitarbeiter *g) arbeitet und keine Clientmanagementl\u00f6sung (ConfigMgr o.\u00e4.) im Einsatz hat.<\/p>\n
Was bedeutet das f\u00fcr uns und unserer in ganz Deutschland verteilten Kassensysteme?<\/p>\n
Patch\u00b4s in der Testumgebung testen – und dann ausrollen.
\nAber wirklich auf alle Systeme gleichzeitig?<\/p>\n
Viel geschickter w\u00e4re es doch diese gestaffelt auszurollen und dann auch noch immer erst mal nur eine Kasse pro Filiale. Und erst wenn das l\u00e4uft noch Kasse 2,3 usw.
\n
\nNat\u00fcrlich kann man den „theoretischen“ Installationszeitpunkt per GPO einstellen und nat\u00fcrlich kann man auch \u00fcber WSUS Gruppen daf\u00fcr sorgen das nicht f\u00fcr alle Gruppen alle Updates genehmigt werden.<\/p>\n
In einem interessanten After \\\\ICE:2011<\/a> Gespr\u00e4ch in Lingen mit Andreas S. hat mir dieser von einem selbst erstellten Script erz\u00e4hlt, welches die Windows Update API antriggert und sich somit Updates Script gesteuert herunterladen und installieren lassen.<\/p>\n Nachdem er mir das Script freundlicherweise zur Verf\u00fcgung gestellt hat, habe ich mir dies zusammen mit unserem Programmierer<\/a> mal angesehen und sind nach ein wenig „BING it“ auch im Netz beim MSDN <\/a>f\u00fcndig geworden.<\/p>\n Dieses Script triggert die WUA API, l\u00e4dt alle ben\u00f6tigten Updates vom WSUS Server auf den Client und installiert diese. Hierbei werden auch Updates welche zusammen installiert werden sollten oder solche die aufeinander aufbauen in Gruppen zusammen gefasst.<\/p>\n Au\u00dferdem erkennt das Script ob ein Reboot ben\u00f6tigt wird und f\u00fchrt diesen auf Nachfrage auch aus.<\/p>\n Wir haben das original Script in soweit ver\u00e4ndert, dass es wenn es Updates gefunden hat unsere Antiviren L\u00f6sung stoppt (Zeile 22-25) (Das beschleunigt das Update auf unseren Kassensystemen um Faktor 10 *g) und den Reboot automatisch ohne Nachfrage durchf\u00fchrt bzw. das AV Programm wieder startet (Zeile 98-100) sollte kein Reboot ben\u00f6tigt werden.<\/p>\n Das Script wird wie folgend lokal ausgef\u00fchrt:<\/p>\n oder Remote per PsExec<\/p>\n Um mehrere Rechner von einer Remotemaschine anzutriggern k\u00f6nnte man die @File Option von PsExec nutzen – leider werden diese dann nacheinander ausgef\u00fchrt was deutlich zu zeitaufw\u00e4ndig ist.<\/p>\n Eine Quick and Dirty L\u00f6sung ist es, f\u00fcr eine \u00fcberschaubare Anzahl an Clients diese in ein Batch einzubauen:<\/p>\n start c:\\windows\\system32\\cmd \/c „PsExec.exe \\\\RECHNERNAME2 -u DOMAIN\\USER -p PASSWORD -e cscript \\\\SERVER\\SHARE\\WUA_SearchDownloadInstall.vbs“<\/p>\n Hier wird jetzt f\u00fcr jeden Rechner eine cmd ge\u00f6ffnet.<\/p>\n Wenn man sich das Resultat noch ansehen will kann man den Befehl um ein & pause erg\u00e4nzen:<\/p>\n Download modifiziertes Script WUA_SearchDownloadInstall_tap.vbs<\/a><\/p>\n Getestet unter Windows XP 32bit SP3, Windows 7 32bit SP1, Windows Server 2008 32\/64bit inkl. R2<\/p>\n Happy Patching<\/p>\ncscript WUA_SearchDownloadInstall.vbs<\/code><\/p>\n\"PsExec.exe \\\\RECHNERNAME -u DOMAIN\\USER -p PASSWORD -e cscript \\\\SERVER\\SHARE\\WUA_SearchDownloadInstall.vbs\"<\/code><\/p>\nstart c:\\windows\\system32\\cmd \/c \"PsExec.exe \\\\RECHNERNAME1 -u DOMAIN\\USER -p PASSWORD -e cscript \\\\SERVER\\SHARE\\WUA_SearchDownloadInstall.vbs\"<\/code><\/p>\nstart c:\\windows\\system32\\cmd \/c \"PsExec.exe \\\\RECHNERNAME2 -u DOMAIN\\USER -p PASSWORD -e cscript \\\\SERVER\\SHARE\\WUA_SearchDownloadInstall.vbs & pause\"<\/code><\/p>\n