ConfigMgr 2012 - Como disponibilizar automaticamente as atualizações para os computadores sem forçá-las a serem instaladas?

7

Estou usando o System Center Configuration Manager 2012 com o recurso Ponto de atualização de software; entretanto, neste ambiente, o patch deve ser estritamente manual, porque as reinicializações do servidor precisam ser aprovadas e programadas por pessoas diferentes; assim, eu preciso usar o SUP do ConfigMgr como se eu usasse um servidor WSUS simples com aprovação automática, mas com instalação manual.

Eu criei algumas Regras de Implantação Automática para baixar e implantar atualizações críticas automaticamente e para ter um acordo de instalação "o mais rápido possível"; mas também configurei essas regras para não fazer qualquer coisa quando o prazo é atingido, e para não executar a reinicialização do sistema, mesmo se necessário:

Além disso, configurei as coleções de dispositivos para onde essas regras implantam atualizações para não possuem qualquer janela de manutenção válida.

No entanto, estou enfrentando exatamente o oposto do que eu estava esperando: assim que as novas atualizações são processadas pelos ADRs, elas são automaticamente instaladas em todos os sistemas pelo Centro de Software e os computadores são reiniciados posteriormente.

Por que isso está acontecendo? Estou conseguindo algo errado ou é apenas o ConfigMgr 2012 não se comportando como deveria?

    
por Massimo 21.11.2012 / 15:39

9 respostas

14

Eu sei que esta pergunta é um pouco antiga, mas há alguns inverdades sendo postados aqui. Não há nada de errado com o funcionamento do SCCM 2012, o problema é um mal-entendido sobre como ele implementa software e atualizações. Não é justo citar a Microsoft quando dizem que ela está se comportando "por design" e que você não pode fazer nada além de definir um prazo no futuro. Isso realmente é por design, mas com base no design do seu. Você não definiu as janelas de manutenção, então, é claro, as atualizações serão aplicadas assim que o prazo atingir. Isso é o que faz por padrão. Nesse tipo de design, você deve definir seu prazo no futuro para evitar que a instalação seja iniciada. No entanto, essa não é a única maneira de fazer o que você quer, nem é o mais simples.

Você sabia que pode reverter o comportamento padrão do SCCM de "vale tudo a menos que seja dito o contrário"?

To do this, create a new collection (named anything that makes sense, like "Deploy Manually") and include the "All Systems" collection in its membership. Then get Properties on it, and set a Maintenance Window using any effective date in the past, like 01/01/2013 from 12:00am to 12:05am, and set the recurrence schedule to None. You will get a warning about recurrence not being set, but click OK anyway. From that point forward, every device in your SCCM environment will automatically have an expired Maintenance Window set on it, and can no longer install anything without a new Maintenance Window, or by checking the override maintenance window box when making a deployment. This is the opposite of its previous behavior, because it will now run no installs or updates until explicitly told.

Isso é muito poderoso, mas a ressalva é que agora você tem controle manual completo sobre quando as instalações podem ser executadas e quando as reinicializações podem ocorrer - exatamente como você queria. Agora essas caixas de seleção têm um significado. Por exemplo, se você tiver regras de implantação automática, como o Endpoint Protection Definitions, precisará certificar-se de que elas possam ser instaladas fora das janelas de manutenção, a menos que você goste de fazer login nos servidores todos os dias para aplicá-las. Você tem a opção de suprimir as reinicializações, mesmo que uma instalação possa ser executada fora das janelas de manutenção. Um benefício é que você pode implantar facilmente qualquer coisa e simplesmente usar "O mais rápido possível" ao escolher atribuições e prazos para instalações manuais e, se tiver clareza sobre configurações de janela de manutenção, implantar patches uma vez, mas agendar a instalação e reinicialize usando outras coleções com novas janelas de manutenção. Lembre-se de que as janelas de manutenção são cumulativas em todas as coleções, portanto, projete seu ambiente de acordo.

    
por 12.04.2013 / 01:32
4

Você já tentou definir o prazo para ridicularizar o futuro?

É assim que eu lido anúncios para meus servidores no SCCM 2008. Defino o prazo para 1 ano a partir da data em que distribuo os anúncios para os servidores. Agradável e conveniente, desde quando a janela de patches se aproxima, todas as atualizações estão lá, esperando para serem instaladas, mas não serão iniciadas sem intervenção manual. Também requer menos esforço da minha parte do que mexer nas configurações que você está tentando fazer funcionar como esperado.

    
por 21.11.2012 / 19:12
4

Por que não apenas tornar sua implantação "disponível" em vez de "obrigatória"? Dessa forma, as atualizações aparecerão no Centro de Software, mas não serão instaladas automaticamente.

Além disso, as janelas de manutenção se aplicam ao cliente, não à coleção.

"Outra pegadinha é que, se uma máquina é membro de mais de uma coleção com Implantações direcionadas a ela e uma dessas coleções não possui uma janela de manutenção definida, as janelas de manutenção das outras coleções são efetivamente ignoradas "

Na verdade, a janela de manutenção do CLIENT será a soma de todas as janelas de manutenção aplicadas a ele. Portanto, se você tiver uma janela de manutenção de uma hora aplicada por meio de associação em uma coleção e o cliente também for membro de uma coleção sem janela de manutenção definida, sua janela de manutenção efetiva será de uma hora.

    
por 31.01.2013 / 20:14
2

Supondo que o SCCM 2012 se comporte como o SCCM 2007, a ausência de uma janela de manutenção significa que as máquinas nessa coleção instalarão atualizações sempre que quiserem (no ou após o prazo), como você encontrou.

Pessoalmente, o que faço é ter coleções com base na associação do grupo de segurança do AD. Os servidores que são membros do grupo Tuesday Maintenance , por exemplo, tornam-se membros da coleção Tuesday Maintenance e (surpresa) são atualizados em uma noite de terça-feira.

Os servidores que não podem ser reinicializados semanalmente são mantidos em uma coleção que não possui Implantações de Atualização voltadas a ele e, portanto, nunca fazem download ou aplicam quaisquer atualizações, exceto as Atualizações de Definição.

Nas ocasiões em que posso atualizar esses servidores críticos, basta adicioná-los temporariamente a um grupo de segurança do AD que é direcionado por uma coleção que possui uma janela de manutenção adequada - ou apenas crie um novo com antecedência.

Não tenho certeza se essa abordagem será o que você está procurando, mas talvez possa lhe dar algumas ideias.

    
por 21.11.2012 / 23:36
2

Você parece ter selecionado a resposta errada. As caixas de seleção que você circulou no gráfico claramente se aplicam apenas às Máquinas que possuem uma janela de manutenção definida. Ele simplesmente diz tanto na linha de texto acima das caixas de seleção. No SCCM, se nenhuma janela de manutenção for atribuída, presume-se que é correto manter esse servidor a qualquer momento. O que faz todo o sentido. Se você quiser que essas caixas de seleção sejam aplicadas às suas implantações, será necessário definir uma janela de manutenção. Se você definiu uma no passado e não especificar nenhuma recorrência, a janela de manutenção expirou para tudo nessa coleção e nunca haverá outra janela de manutenção para ela. Nesse cenário, a única maneira de instalá-los agora é fazer isso manualmente.

Ressalva: Isso só é verdade se essas máquinas não estiverem em nenhuma outra coleção com janelas de manutenção recorrentes. Nesse cenário, essa janela de manutenção é ignorada, uma vez que é expirada e a outra será observada, uma vez que é cumulativa.

Parece bastante direto para mim. E sim, o comportamento é por design .. Você acabou de projetar sua implantação errada. :)

Seu erro foi supor que, como nenhuma janela de manutenção está definida, NUNCA está ok instalar esses patches, quando exatamente o oposto é verdadeiro. A razão para isso é que as pessoas precisam instalar patches e softwares e fazer alterações nos sistemas, independentemente de uma janela de manutenção estar ou não definida. (pense em máquinas altamente tolerantes à reinicialização, como estações de trabalho.) Para esses sistemas, a etapa extra de definir janelas de manutenção é trabalhosa e pode causar problemas na distribuição de software, etc., devido à sobreposição de políticas etc. de janelas de manutenção a um mínimo e, portanto, fácil de gerenciar e prever qual será o comportamento de sua implantação.

Como você definiu na sua imagem ... Se você tivesse uma janela de manutenção definida no passado, sem recorrência, você teria exatamente o comportamento desejado. :)

Tudo isso foi dito .. Agora, se você jogar as várias configurações de diretiva de grupo que controlam as atualizações automáticas no mix, isso pode ser muito confuso. A Microsoft pode simplificar bastante a interface para atualizações de software ou adicionar algumas explicações às configurações existentes. Isso vale para o SCCM 2007 também.

    
por 16.10.2013 / 19:04
0

Isso fica pior. Na minha experiência com implantação contínua de patches para tentar impor a conformidade, e isso pode ser um problema real. Aqui está o porquê. Geralmente, as políticas são atribuídas aos clientes em virtude da coleção em que estão. As coleções são atualizadas periodicamente, mas não todas ao mesmo tempo. Agora imagine o cenário em que você instala o cliente em um servidor, sabendo que a instalação do cliente não exigirá uma reinicialização.

O servidor acabará residindo em uma coleção com uma janela de manutenção e uma coleção com uma implantação contínua de patches críticos. Mas acontece que a linha do tempo que acontece desdobrar é isso, a coleção com a implantação é atualizada primeiro, em seguida, o cliente atinge seu intervalo de ciclo de avaliação de recuperação de política, antes que a coleção com a janela de manutenção atribuída é atualizada . O resultado pode ser o servidor aplicando patches e reinicializando em um horário inadequado.

Infelizmente, não podemos atribuir uma janela de manutenção à Coleção "Todos os Sistemas" para criar uma janela de manutenção padrão. Parte da minha solução para esse problema concebido até agora é espelhar a coleção "Todos os Sistemas", com uma coleção que a contém como uma Coleção Incluída, configurar atualizações nessa coleção com frequência e designar uma Janela de Manutenção para isso. E, embora possamos continuar a ter implantações contínuas de patches críticos para desktops, poderemos querer expirá-los para servidores ou, pelo menos, alterá-los de Required para Available após nosso push de manutenção principal.

Também gosto da ideia de aplicar uma Janela de Manutenção não recorrente no passado.

    
por 14.08.2013 / 17:59
0

Parece que este pode ser um bug conhecido em SCCM . No entanto, não consigo encontrar nenhuma documentação do MS, mas pelo menos o OP sabe que o problema não está em sua configuração.

    
por 24.09.2013 / 15:52
0

Na verdade, estou no processo de atualização de servidores pela primeira vez usando o SCCM.

Assuming that SCCM 2012 behaves like SCCM 2007, the absence of a maintenance window means that the machines in that collection will install updates whenever they feel like it (at or after the deadline), as you have found.

Eu também descobri que este é o caso. Você tem que atribuir janelas de manutenção ou as atualizações serão aplicadas sempre que quiserem.

Quanto às atualizações do servidor, o que tenho feito é implantar as atualizações como disponíveis nos servidores, mas depois fazer o login e aplicá-las manualmente (depois de tirar um instantâneo da máquina, se for uma VM).

O que seria bom, no entanto, é um botão "instalar todas as atualizações durante a próxima janela de manutenção, reinicializando se necessário" para que eu possa iniciar esse processo durante o dia, acorde cedo e verifique se não preciso rolar instantâneo de volta.

    
por 30.04.2015 / 21:46
0

Muitas meias-verdades confusas respondem aqui. As configurações que você circulou se aplicam somente se uma máquina tiver uma janela de manutenção aplicada. Se você quiser que seus sistemas nunca sejam reinicializados a menos que você os inicie, então você deve fazer uma janela de manutenção no futuro, ou em uma outra no passado.

Sem uma janela de manutenção, o SCCM permitirá que um sistema seja reiniciado após a instalação das atualizações. A maneira de bloquear esse comportamento está em Configurações do Cliente do SCCM, encontradas em Administração - > Configurações do cliente.

    
por 09.09.2015 / 18:27