ConfigMgr 2012 - Como disponibilizar automaticamente as atualizações para os computadores sem forçá-las a serem instaladas?

Eu sei que esta pergunta é um pouco antiga, mas há alguns inverdades sendo postados aqui. Não há nada de errado com o funcionamento do SCCM 2012, o problema é um mal-entendido sobre como ele implementa software e atualizações. Não é justo citar a Microsoft quando dizem que ela está se comportando "por design" e que você não pode fazer nada além de definir um prazo no futuro. Isso realmente é por design, mas com base no design do seu. Você não definiu as janelas de manutenção, então, é claro, as atualizações serão aplicadas assim que o prazo atingir. Isso é o que faz por padrão. Nesse tipo de design, você deve definir seu prazo no futuro para evitar que a instalação seja iniciada. No entanto, essa não é a única maneira de fazer o que você quer, nem é o mais simples.

Você sabia que pode reverter o comportamento padrão do SCCM de "vale tudo a menos que seja dito o contrário"?

To do this, create a new collection (named anything that makes sense, like "Deploy Manually") and include the "All Systems" collection in its membership. Then get Properties on it, and set a Maintenance Window using any effective date in the past, like 01/01/2013 from 12:00am to 12:05am, and set the recurrence schedule to None. You will get a warning about recurrence not being set, but click OK anyway. From that point forward, every device in your SCCM environment will automatically have an expired Maintenance Window set on it, and can no longer install anything without a new Maintenance Window, or by checking the override maintenance window box when making a deployment. This is the opposite of its previous behavior, because it will now run no installs or updates until explicitly told.

Isso é muito poderoso, mas a ressalva é que agora você tem controle manual completo sobre quando as instalações podem ser executadas e quando as reinicializações podem ocorrer - exatamente como você queria. Agora essas caixas de seleção têm um significado. Por exemplo, se você tiver regras de implantação automática, como o Endpoint Protection Definitions, precisará certificar-se de que elas possam ser instaladas fora das janelas de manutenção, a menos que você goste de fazer login nos servidores todos os dias para aplicá-las. Você tem a opção de suprimir as reinicializações, mesmo que uma instalação possa ser executada fora das janelas de manutenção. Um benefício é que você pode implantar facilmente qualquer coisa e simplesmente usar "O mais rápido possível" ao escolher atribuições e prazos para instalações manuais e, se tiver clareza sobre configurações de janela de manutenção, implantar patches uma vez, mas agendar a instalação e reinicialize usando outras coleções com novas janelas de manutenção. Lembre-se de que as janelas de manutenção são cumulativas em todas as coleções, portanto, projete seu ambiente de acordo.

Você já tentou definir o prazo para ridicularizar o futuro?

É assim que eu lido anúncios para meus servidores no SCCM 2008. Defino o prazo para 1 ano a partir da data em que distribuo os anúncios para os servidores. Agradável e conveniente, desde quando a janela de patches se aproxima, todas as atualizações estão lá, esperando para serem instaladas, mas não serão iniciadas sem intervenção manual. Também requer menos esforço da minha parte do que mexer nas configurações que você está tentando fazer funcionar como esperado.

Por que não apenas tornar sua implantação "disponível" em vez de "obrigatória"? Dessa forma, as atualizações aparecerão no Centro de Software, mas não serão instaladas automaticamente.

Além disso, as janelas de manutenção se aplicam ao cliente, não à coleção.

"Outra pegadinha é que, se uma máquina é membro de mais de uma coleção com Implantações direcionadas a ela e uma dessas coleções não possui uma janela de manutenção definida, as janelas de manutenção das outras coleções são efetivamente ignoradas "

Na verdade, a janela de manutenção do CLIENT será a soma de todas as janelas de manutenção aplicadas a ele. Portanto, se você tiver uma janela de manutenção de uma hora aplicada por meio de associação em uma coleção e o cliente também for membro de uma coleção sem janela de manutenção definida, sua janela de manutenção efetiva será de uma hora.

Supondo que o SCCM 2012 se comporte como o SCCM 2007, a ausência de uma janela de manutenção significa que as máquinas nessa coleção instalarão atualizações sempre que quiserem (no ou após o prazo), como você encontrou.

Pessoalmente, o que faço é ter coleções com base na associação do grupo de segurança do AD. Os servidores que são membros do grupo Tuesday Maintenance , por exemplo, tornam-se membros da coleção Tuesday Maintenance e (surpresa) são atualizados em uma noite de terça-feira.

Os servidores que não podem ser reinicializados semanalmente são mantidos em uma coleção que não possui Implantações de Atualização voltadas a ele e, portanto, nunca fazem download ou aplicam quaisquer atualizações, exceto as Atualizações de Definição.

Nas ocasiões em que posso atualizar esses servidores críticos, basta adicioná-los temporariamente a um grupo de segurança do AD que é direcionado por uma coleção que possui uma janela de manutenção adequada - ou apenas crie um novo com antecedência.

Não tenho certeza se essa abordagem será o que você está procurando, mas talvez possa lhe dar algumas ideias.

Você parece ter selecionado a resposta errada. As caixas de seleção que você circulou no gráfico claramente se aplicam apenas às Máquinas que possuem uma janela de manutenção definida. Ele simplesmente diz tanto na linha de texto acima das caixas de seleção. No SCCM, se nenhuma janela de manutenção for atribuída, presume-se que é correto manter esse servidor a qualquer momento. O que faz todo o sentido. Se você quiser que essas caixas de seleção sejam aplicadas às suas implantações, será necessário definir uma janela de manutenção. Se você definiu uma no passado e não especificar nenhuma recorrência, a janela de manutenção expirou para tudo nessa coleção e nunca haverá outra janela de manutenção para ela. Nesse cenário, a única maneira de instalá-los agora é fazer isso manualmente.

Ressalva: Isso só é verdade se essas máquinas não estiverem em nenhuma outra coleção com janelas de manutenção recorrentes. Nesse cenário, essa janela de manutenção é ignorada, uma vez que é expirada e a outra será observada, uma vez que é cumulativa.

Parece bastante direto para mim. E sim, o comportamento é por design .. Você acabou de projetar sua implantação errada. :)

Seu erro foi supor que, como nenhuma janela de manutenção está definida, NUNCA está ok instalar esses patches, quando exatamente o oposto é verdadeiro. A razão para isso é que as pessoas precisam instalar patches e softwares e fazer alterações nos sistemas, independentemente de uma janela de manutenção estar ou não definida. (pense em máquinas altamente tolerantes à reinicialização, como estações de trabalho.) Para esses sistemas, a etapa extra de definir janelas de manutenção é trabalhosa e pode causar problemas na distribuição de software, etc., devido à sobreposição de políticas etc. de janelas de manutenção a um mínimo e, portanto, fácil de gerenciar e prever qual será o comportamento de sua implantação.

Como você definiu na sua imagem ... Se você tivesse uma janela de manutenção definida no passado, sem recorrência, você teria exatamente o comportamento desejado. :)

Tudo isso foi dito .. Agora, se você jogar as várias configurações de diretiva de grupo que controlam as atualizações automáticas no mix, isso pode ser muito confuso. A Microsoft pode simplificar bastante a interface para atualizações de software ou adicionar algumas explicações às configurações existentes. Isso vale para o SCCM 2007 também.

Isso fica pior. Na minha experiência com implantação contínua de patches para tentar impor a conformidade, e isso pode ser um problema real. Aqui está o porquê. Geralmente, as políticas são atribuídas aos clientes em virtude da coleção em que estão. As coleções são atualizadas periodicamente, mas não todas ao mesmo tempo. Agora imagine o cenário em que você instala o cliente em um servidor, sabendo que a instalação do cliente não exigirá uma reinicialização.

O servidor acabará residindo em uma coleção com uma janela de manutenção e uma coleção com uma implantação contínua de patches críticos. Mas acontece que a linha do tempo que acontece desdobrar é isso, a coleção com a implantação é atualizada primeiro, em seguida, o cliente atinge seu intervalo de ciclo de avaliação de recuperação de política, antes que a coleção com a janela de manutenção atribuída é atualizada . O resultado pode ser o servidor aplicando patches e reinicializando em um horário inadequado.

Infelizmente, não podemos atribuir uma janela de manutenção à Coleção "Todos os Sistemas" para criar uma janela de manutenção padrão. Parte da minha solução para esse problema concebido até agora é espelhar a coleção "Todos os Sistemas", com uma coleção que a contém como uma Coleção Incluída, configurar atualizações nessa coleção com frequência e designar uma Janela de Manutenção para isso. E, embora possamos continuar a ter implantações contínuas de patches críticos para desktops, poderemos querer expirá-los para servidores ou, pelo menos, alterá-los de Required para Available após nosso push de manutenção principal.

Também gosto da ideia de aplicar uma Janela de Manutenção não recorrente no passado.

Parece que este pode ser um bug conhecido em SCCM . No entanto, não consigo encontrar nenhuma documentação do MS, mas pelo menos o OP sabe que o problema não está em sua configuração.

Na verdade, estou no processo de atualização de servidores pela primeira vez usando o SCCM.

Assuming that SCCM 2012 behaves like SCCM 2007, the absence of a maintenance window means that the machines in that collection will install updates whenever they feel like it (at or after the deadline), as you have found.

Eu também descobri que este é o caso. Você tem que atribuir janelas de manutenção ou as atualizações serão aplicadas sempre que quiserem.

Quanto às atualizações do servidor, o que tenho feito é implantar as atualizações como disponíveis nos servidores, mas depois fazer o login e aplicá-las manualmente (depois de tirar um instantâneo da máquina, se for uma VM).

O que seria bom, no entanto, é um botão "instalar todas as atualizações durante a próxima janela de manutenção, reinicializando se necessário" para que eu possa iniciar esse processo durante o dia, acorde cedo e verifique se não preciso rolar instantâneo de volta.

Muitas meias-verdades confusas respondem aqui. As configurações que você circulou se aplicam somente se uma máquina tiver uma janela de manutenção aplicada. Se você quiser que seus sistemas nunca sejam reinicializados a menos que você os inicie, então você deve fazer uma janela de manutenção no futuro, ou em uma outra no passado.

Sem uma janela de manutenção, o SCCM permitirá que um sistema seja reiniciado após a instalação das atualizações. A maneira de bloquear esse comportamento está em Configurações do Cliente do SCCM, encontradas em Administração - > Configurações do cliente.