SCCM

SCCM Software Update Funktionalität im Vergleich zu Standolane WSUS

SCCM Software Update Funktionalität im Vergleich zu Standolane WSUS

Mittels der SCCM Software Update Funktion ist es möglich Clients zentral mit Microsoft Updates aber auch Third Party Updates zu versorgen. Für Third Party Updates benötigt man zusätzlich den System Center Update Publisher damit man diese mit SCCM verteilen kann.

Viele Unternehmen setzen immer noch lediglich WSUS ein, obwohl sie schon SCCM im Einsatz haben. Die Vorteile für SCCM liegen dabei jedoch klar auf der Hand.

  1. Zentraler Client und Verwaltung der Installation

Der Configuration Manager Client verwaltet alle Installationen auf einem Computer, sowohl die Applikationen als auch die Software Updates. Sollte SCCM und WSUS (Standalone) gleichzeitig aktiv sein so kann es sein, dass beide Systeme gleichzeitig versuchen Installationen durchzuführen, was zu Fehlermeldungen führen kann.

 

  1. Reporting Funktionalität

SCCM bietet eine Vielzahl von Software Update Compliance und Troubleshooting Reports.

 

  1. Einheitliche Verwaltung über die Konsole

Software Updates können zentral über die Konsole verwaltet und gesteuert werden.

 

  1. Maintenance Windows

Mithilfe der Maintenance Windows kann man gezielt den Zeitpunkt der Installation festlegen.

 

  1. Infrastruktur

Durch SCCM werden die Updates über die Distribution Points an die Clients verteilt und minimiert daher den Einfluss auf das Netzwerk und die Bandbreitennutzung.

 

  1. Scheduling

Man kann bestimmen wann Updates installiert werden. Dadurch ist es z.B. möglich verschiedene Collections mit Updates zu installieren. Dies ist hilfreich um die Installation zuerst auf Testcollections durchzuspielen und zu überprüfen ob nach der Installation Probleme auftreten.

 

  1. Automatische Deployment Rules

Durch Automatische Deployment Rules kann man den Ablauf und die Installation von Updates automatisieren.

 

  1. System Center Update Publisher

Damit besteht die Möglichkeit Third Party Updates, z.B. von HP oder Dell, in die Software Updates zu integrieren.

 

  1. OS Deployment Integration

Hat man schon OS Deployment im Einsatz kann man Software Updates mithilfe von Tasksequencen installieren

 

  1. Targeting

Durch den Einsatz von verschiedene Collections können Updates gezielt auf Systeme verteilt werden.

 

  1. Offline Servicing von Images

Hat man OS Deployment im Einsatz kann man Updates in ein OS Image integrieren ohne dieses neu erstellen zu müssen.

 

Wie man sieht gibt es viele gute Gründe SCCM Software Updates zu nutzen und in eine vorhandene SCCM Infrastruktur zu implementieren.

 

Die Voraussetzung für die Nutzung der Update Funktionalität sind in diesem Technet Artikel sehr gut beschrieben: https://technet.microsoft.com/en-us/library/hh237372.aspx.

 

Die Aktivierung und Konfiguration der Software Updates kann man in diesem Technet Artikel sehr detailliert nachlesen: https://technet.microsoft.com/en-us/library/gg712312.aspx.

 

Achtung:
Die Enable software updates on clients Einstellung ist per Default „enabled“ nachdem man die Software Update Funktion in SCCM aktiviert hat.

 

Darum sollte man entscheiden, ob man es für alle SCCM Clients nutzen möchte oder ob es Systeme gibt, die man nach wie vor noch mit einer anderen Technik auf dem neusten Stand hält. In diesem Fall benötigt man sogenannte Custom Client Device Settings.

 

Custom Client Device Settings sind Einstellungen, die von den Default Settings abweichen. Sie werden nach den Default Settings angewendet und überschreiben diese.

 

Zum Erstellen von Custom Client Device Settings muss man in der SCCM Konsole im Reiter Administration in den Client Settings auf Create Custom Client Device Settings klicken.

1

 

Man gibt einen passenden Namen für die Settings ein und wählt Software Updates aus.

 

2

In den Device Settings wählt man Enable software updates on clients „No“. Diese neue Custom Device Settings verteilt man jetzt an eine Collection. Diese beinhaltet logischerweise alle Systeme auf denen die Software Updates nicht aktiv sein sollen.

 

Nachdem man alle Einstellungen vorgenommen hat, werden die Updates automatisch an die SCCM Clients mit aktiviertem Software Update Agent verteilt. Viele Unternehmen hatten vor der Einführung von SCCM WSUS aktiv als Software Update Deployment Tool im Einsatz. WSUS wird in vielen Unternehmen mittels Group Policy Einstellungen konfiguriert. Deshalb ist es ratsam einen Blick auf die Einstellungen zu werfen und die relevanten zu überprüfen.

 

Die Einstellungen der Automatischen Update Konfiguration beinhaltet folgende Einstellungen:

3

 

Zwei Einstellungen sind relevant und sollten, besonders bei Problemen, überprüft oder sogar durch eine eigene Group Policy gesetzt werden.

 

Die erste Einstellung ist Configure Automatic Updates. Ist diese Einstellung aktiviert und konfiguriert, kann es passieren das Updates doppelt installiert werden. Einerseits durch den Windows Update Agent auf dem lokalen System aber auch durch die Software Update Agent Komponente des SCCM Clients. Eine Empfehlung ist es diese Einstellung auf den aktiven SCCM Clients mittels einer Group Policy zu disablen.

4

 

Die zweite Einstellung beinhaltet die Angabe der Update Source. Die Group Policy Specify intranet Microsoft update service location verweisst auf den aktuellen Software Update Server. Ist diese Einstellung noch für WSUS konfiguriert, so kann es passieren das das lokale System falsche Updates installiert und auch nicht korrekt den Compliance Status an SCCM reported.

5

 

Diese Einstellung beinhaltet den aktiven Software Update Point für den Client. Je nachdem, ob man eine offene oder verschlüsselte Übertagung ausgewählt hat muss man die Portauswahl setzen. Diese Settings kann man in den Einstellungen des aktiven Software Update Points überprüfen.

 

Dazu ruft man in der SCCM Konsole die Server und Site System Rollen auf und überprüft in den Site System Rollen die konfigurierten Werte des Software Update Points. Ist die Option Require SSL communication to the WSUS server angehakt muss der Port in der Group Policy entsprechend gesetzt werden.

 

6

 

 

Die Einstellungen und weitere Details sind in dem folgenden Technet Artikel beschrieben: https://technet.microsoft.com/en-us/library/gg712312.aspx#BKMK_AssociatedSettings.

 

Noch einige Worte zum Thema Troubleshooting. Manchmal kann es vorkommen, dass die lokalen Einstellungen betreffend Software Updates (in der lokalen Group Policy des Systems) durch SCCM nicht richtig gesetzt werden. In diesem Fall kommt es zu folgender Fehlermeldung im Wuahandler.log des Clients:

7

 

Erhält man diese Fehlermeldung, sollte man die Einstellungen der lokalen Group Policy überprüfen und eventuell eine neue Domain Group Policy erstellen und diese an die Clients verteilen.

 

Bei richtig übernommenen Einstellungen hat das Wuahandler.log folgenden Inhalt:

8

 

Damit ist sichergestellt, dass die Einstellungen richtig übernommen wurden.

 

SCCM bietet mit der Software Update Funktionalität und den am Anfang genannten Gründen eine sehr gute Möglichkeit eine Umgebung mit Updates zu versorgen. Auch die Option, dass man Third Party Updates in SCCM integrieren kann, ist eine gute Möglichkeit um den Automatisierungsgrad und vor allem die Sicherheit eines Unternehmens deutlich zu erhöhen.

Posted in SCCM

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.