CONFIGMGR 2012 - Comment effectuer automatiquement les mises à jour disponibles pour les ordinateurs sans les forcer à être installés?
J'utilise System Center Configuration Manager 2012 avec la fonction de point de mise à jour logicielle; Cependant, dans cet environnement, le correctif doit être strictement manuel, car les redémarrages du serveur doivent être approuvés et programmés par différentes personnes; Ainsi, je dois utiliser ConfigMgr's SUP comme je voudrais utiliser un serveur WSUS uni avec l'approbation automatique, mais avec une installation manuelle.
J'ai créé des règles de déploiement automatiques pour télécharger et déployer automatiquement des mises à jour critiques et avoir une analyse d'installation de "dès que possible"; Mais alors, j'ai également configuré ces règles à ne pas faire rien lorsque la date limite est atteinte et que de ne pas effectuer de redémarrage du système, même si nécessaire:
En outre, j'ai configuré les collections de périphérique à l'endroit où ces règles déploient des mises à jour non ont une fenêtre de maintenance valide.
Cependant, je ressens tout le contraire de ce que j'attendais: dès que les nouvelles mises à jour sont traitées par les ADRS, elles sont automatiquement installées sur tous les systèmes par le centre logiciel et les ordinateurs sont ensuite redémarrés.
Pourquoi cela arrive-t-il? Est-ce que je reçois quelque chose de mal ou est juste configmgr 2012 ne pas se comporter comme si cela devrait?
Je sais que cette question est un peu ancienne, mais certaines mensonges sont affichées ici. Il n'y a rien de mal avec comment SCCM Fonctions, le problème est un malentendu de la manière dont il déploie des logiciels et des mises à jour. Il n'est pas juste de citer Microsoft quand ils disent que cela se comportait "par conception" et que vous ne pouvez rien faire d'autre que de définir une date limite dans l'avenir. Ceci IS par conception, mais basé sur votre conception. Vous n'avez pas défini de fenêtres de maintenance, donc bien sûr que les mises à jour s'appliqueront. Dès que la date limite frappe. C'est ce que cela fait par défaut. Dans ce type de conception, vous devez définir votre date limite dans l'avenir pour éviter l'installation de départ. Cependant, ce n'est pas le seul moyen de faire ce que vous voulez, ni c'est le plus simple.
Saviez-vous que vous pouvez renverser le comportement par défaut de SCCM de "quoi que ce soit va à moins d'avoir dit autrement"?
Pour ce faire, créez une nouvelle collection (nommée tout ce qui est logique, comme "déployer manuellement") et inclure la collection "Tous les systèmes" de son adhésion. Ensuite, obtenez des propriétés dessus et définissez une fenêtre de maintenance à l'aide de n'importe quelle date d'entrée en vigueur dans le passé, comme le 01/01/2013 de 12h00 à 12h05 et définissez le calendrier de récurrence à aucun. Vous obtiendrez un avertissement sur la récurrence ne pas être défini, mais cliquez sur OK quand même. À partir de ce point, chaque appareil de votre SCCM Environment aura automatiquement une fenêtre de maintenance expirée sur elle et ne peut plus rien installer sans une nouvelle fenêtre de maintenance ou en cochant la fenêtre de maintenance de remplacement. Boîte Lorsque vous effectuez un déploiement. Ceci est le contraire de son comportement précédent, car il n'exécutera pas d'installation ni de mises à jour avant explicitement.
C'est très puissant, mais la mise en garde est que vous avez maintenant un contrôle manuel complet lors de l'installation et des redémarrages peuvent avoir lieu - tout comme vous le souhaitez. Maintenant, ces cases à cocher ont une signification. Par exemple, si vous avez des règles de déploiement automatique, telles que les définitions de protection des points d'extrémité, vous devez vous assurer qu'ils peuvent s'installer en dehors des fenêtres de maintenance, à moins que vous adiez de vous connecter à des serveurs tous les jours pour les appliquer. Vous avez la possibilité de supprimer les redémarrages, même si une installation est autorisée à exécuter des fenêtres de maintenance extérieures. Un avantage est que vous pouvez facilement déployer tout ce qui vous permet de déployer "dès que possible" lorsque vous choisissez des affectations et des délais pour les installations manuelles, et si vous êtes intelligent sur les configurations de la fenêtre de maintenance, vous pouvez déployer des correctifs une fois, mais planifiez l'installation réelle et Redémarrez en utilisant d'autres collections avec de nouvelles fenêtres de maintenance. N'oubliez pas que les fenêtres de maintenance sont cumulatives sur toutes les collections, alors concevez votre environnement en conséquence.
Avez-vous essayé de définir la date limite pour ridiculement longtemps dans l'avenir?
C'est comme ça que je traite des publicités à mes serveurs dans SCCM 2008. J'ai défini la date limite pendant 1 an à compter de la date à laquelle je déploie les annonces sur les serveurs. Nice et pratique, depuis quand la fenêtre de correction roule Autour des mises à jour, toutes les mises à jour attendent d'être installées, mais ne parlent pas sans intervention manuelle. Cela nécessite également moins d'effort de ma part que de faire l'objet de la rémunération dans ces paramètres que vous essayez de faire fonctionner comme prévu.
Pourquoi ne pas simplement rendre votre déploiement "disponible" plutôt que "requis"? De cette façon, les mises à jour apparaîtront dans le centre logiciel mais ne s'installent pas automatiquement.
En outre, la maintenance Windows s'applique au client et non à la collection.
"Un gotcha supplémentaire est que si une machine est membre de plusieurs collections qui ont des déploiements ciblées, et l'une de ces collections n'a pas de fenêtre de maintenance définie, les fenêtres de maintenance des autres collections sont efficacement ignorées."
En réalité, la fenêtre de maintenance du client sera la somme des fenêtres de maintenance qui y sont appliquées. Donc, si vous avez une fenêtre de maintenance d'une heure appliquée via l'appartenance à une collection, et que le client est également membre d'une collection sans fenêtre de maintenance définie, votre fenêtre de maintenance effective est une heure.
Vous semblez avoir la mauvaise réponse sélectionnée. Les cases à cocher que vous avez entourées dans votre graphique ne s'appliquent clairement aux machines qui ont une fenêtre de maintenance définie. Il dit clairement autant dans la ligne de texte au-dessus des cases. Dans SCCM, si aucune fenêtre de maintenance n'est attribuée, il est supposé qu'il est correct de maintenir ce serveur n'importe quel ancien temps. Ce qui est parfaitement logique. Si vous souhaitez que ces cases à cocher s'appliquent à vos déploiements, vous devez définir une fenêtre de maintenance. Si vous en définissez un dans le passé et spécifiez aucune récurrence, la fenêtre de maintenance a expiré pour tout dans cette collection et il n'y aura jamais une autre fenêtre de maintenance. Dans ce scénario, la seule façon dont ils peuvent être installés maintenant, c'est si vous le faites manuellement.
CAVEAT: Ceci n'est vrai que si ces machines ne sont dans aucune autre collection avec des fenêtres de maintenance récurrentes. Dans ce scénario, cette fenêtre de maintenance est ignorée car elle est expirée et l'autre sera observée puisqu'elles sont cumulatives.
Cela me semble assez simple. Et oui, le comportement est par conception. Vous venez de concevoir votre déploiement faux. :)
Votre erreur consistait à supposer que, car aucune fenêtre de maintenance n'est définie, ce n'est jamais correct d'installer ces correctifs, quand exactement le contraire est vrai. La raison en est que les gens doivent pouvoir installer des correctifs et des logiciels et apporter des modifications aux systèmes si une fenêtre de maintenance est définie ou non. (Pensez machines de tolérance très redémarrage comme les postes de travail.) Pour ces systèmes, l'étape supplémentaire de définir des fenêtres de maintenance est lourde et peut causer des problèmes avec la distribution de logiciels, etc., en raison du chevauchement des politiques, etc. De cette façon permet de vous garder le nombre des fenêtres de maintenance au minimum, et donc facile à gérer et à prédire ce que le comportement sera pour votre déploiement.
Comme vous l'avez installé dans votre image .. Si vous aviez une fenêtre de maintenance définie dans le passé, sans récurrence, vous auriez exactement le comportement que vous vouliez. :)
Tout cela étant dit .. Maintenant, si vous lancez les différents paramètres de stratégie de groupe qui régissent les mises à jour automatiques dans le mélange, cela peut être très déroutant. Microsoft pourrait simplifier un peu l'interface pour les mises à jour logicielles ou ajouter des explications aux paramètres existants. Cela va pour SCCM 2007 également.
En supposant que =SCCM se comporte comme SCCM = === 2007, l'absence d'une fenêtre de maintenance signifie que les machines de cette collection installeront des mises à jour chaque fois qu'ils le ressentent (à ou après la date limite), comme vous l'avez trouvé.
Personnellement, ce que je fais est d'avoir des collections basées sur l'adhésion du groupe de sécurité publicitaire. Serveurs qui sont membres de la Tuesday Maintenance Groupe, par exemple, devenir membres de la Tuesday Maintenance Collection et (surprise) sont mis à jour un mardi soir.
Les serveurs qui ne peuvent pas être redémarrés sur une base hebdomadaire sont conservés dans une collection qui n'a aucun déploiement de mise à jour ciblé. Ils ne téléchargent ni des mises à jour, à l'exception des mises à jour de définition.
À l'occasion, lorsque je suis capable de mettre à jour ces serveurs critiques, je les ajoute temporairement temporairement à un groupe de sécurité publicitaire ciblé par une collection qui dispose d'une fenêtre de maintenance appropriée - ou simplement de créer une nouvelle à l'avance.
Je ne sais pas si cette approche sera ce que vous recherchez, mais peut-être peut-être vous donner quelques idées.
Ça s'empire. D'après mon expérience avec le déploiement continu de correctifs pour essayer de faire respecter la conformité, cela peut être un véritable problème. Voici pourquoi. Les politiques sont généralement assignées à des clients en vertu de la collecte. Les collections sont mises à jour périodiquement, mais pas toutes en même temps. Maintenant, imaginez le scénario où vous installez le client sur un serveur, sachant que l'installation du client ne nécessitera pas de redémarrage.
Le serveur réside éventuellement dans une collection avec une fenêtre de maintenance et une collection avec un déploiement en cours de patchs critiques. Mais il arrive que la chronologie qui se déroule se déroule est la suivante, la collection avec le déploiement est mise à jour en premier, puis le client arrive à toucher son "intervalle de cycle d'évaluation de la vérification de la stratégie, avant que la collection de la fenêtre de maintenance assignée soit mise à jour . Le résultat peut être le serveur appliquer des correctifs et redémarrer à un moment inapproprié.
Malheureusement, nous ne pouvons pas attribuer une fenêtre de maintenance à la collection "Tous Systems", pour créer une fenêtre de maintenance par défaut. Une partie de ma solution à ce problème conçu jusqu'à présent est de refléter le "Tous les systèmes", de la collection avec une collection qui la présente comme une collection incluse, définissez des mises à jour sur cette collection hyper fréquemment et attribuez une fenêtre de maintenance à cela. Et bien que nous puissions vouloir continuer à avoir des déploiements en cours de patchs critiques pour les ordinateurs de bureau, nous voudrions peut-être les expirer pour les serveurs ou au moins les modifier de requis à la disponibilité de notre principale poussée de maintenance.
J'aime aussi l'idée d'appliquer une fenêtre de maintenance non récurrente dans le passé.
Beaucoup de réponses de demi-vérité déroutantes ici. Ces paramètres que vous avez encerclés ne s'appliquent que si une machine a une fenêtre de maintenance appliquée. Si vous souhaitez que vos systèmes ne redémarrent jamais à moins que vous l'initiez, vous devriez faire une fenêtre de maintenance de loin dans le futur, soit loin dans le passé.
Sans une fenêtre de maintenance, SCCM permettra à un système de redémarrer après avoir installé des mises à jour. Le moyen de bloquer ce comportement est sous SCCM Paramètres du client, trouvé sous Administration - > Paramètres du client.
Il semble que cela pourrait être un bogue connu dans SCCM . Cependant, je ne peux trouver aucune documentation MS, mais @ moins que le problème connaisse le problème ne se trouve pas dans sa configuration.
Je suis en fait dans le processus de mise à jour des serveurs pour la première fois à l'aide de SCCM.
En supposant que =SCCM se comporte comme SCCM = === 2007, l'absence d'une fenêtre de maintenance signifie que les machines de cette collection installeront des mises à jour chaque fois qu'ils le ressentent (à ou après la date limite), comme vous l'avez trouvé.
J'ai aussi trouvé que ceci soit le cas. Vous devez affecter des fenêtres de maintenance ou les mises à jour s'appliqueront à tout moment.
En ce qui concerne les mises à jour du serveur, ce que j'ai fait est de déployer des mises à jour telles que disponibles sur des serveurs, mais ensuite de vous connecter et de les appliquer manuellement (après avoir pris un instantané de la machine s'il s'agit d'un VM).
Ce qui serait bien cependant, c'est une "Installation de toutes les mises à jour lors de la prochaine fenêtre de maintenance, le redémarrage si nécessaire" afin que je puisse initier ce processus pendant la journée puis se lever tôt et assurez-vous de ne pas avoir à rouler l'instantané.