Einrichten eines halb automatischem Patch Staging mit dem SUP des SCCM

Im Grunde wird ein Deployment Management Task erstellt, der die updates deployed und die die vorher verteilten Deployment Management Tasks aufräumt, sowie die expired updates löscht.

VORBEREITUNG
Zuerst lege ich einen Search Folder fest (unter UPDATE REPOSITORY)

Eine volle Syncronisation gegen Microsoft Update ist weitere Schritte nötig. Im Logfile des Dienstes „SMS_WSUS_SYNC_MANAGER“ muss die Meldung „Message ID 6702“ auftauchen. Das ist kein Fehler, das zeigt nur an „SMS WSUS Synchronization Done“.

Danach müssen alle Patches aus dem Searchfolder gedownloaded werden. Es wird unter Deployment Package ein Windows 7 Paket erstellt (in meinem Beispiel: Windows 7 ALLE Patche). Ebenfalls wird das Paket auf den nächsten DP direkt verteilt und steht danach bereit.
Zur besseren Skalierung habe ich Untercollections eingerichtet:

SUP Staging Collections mit Untercollections

Hier können nun, je nach bewertung eines CLIENT, entsprechende patches zugewiesen werden. Es gibt eine Vererbung der Patches. Der unterordner Windows 7 – Low bekommt also ALLE updates und der Unterordner Windows 7 – Critical bekommt nur patches mit status critical. Ein System weches als kritisch anzusehen ist, muss dann also in den Ordner Windows 7 – Critical

Siehe am Ende des Artikel die Einrichtung eines Updating mittels Liste und somit einem Reporting.

Schritt 1 – Patchpaket überprüfen

Um den monatlichen Updatezyklus zu starten, prüfen wir nun unter Deployment Packages | Windows 7 ALLE Patche | Software Updates ob es dort abgelaufene oder ungültige updates gibt. Dazu auf Bulletin ID klicken und alle „nicht grünen“.

Diese rauslöschen und den Dialog mit OK bestätigen

Sollte diese Meldung kommen, ignorieren und mit OK bestätigen.

Nun wurden alle patches die nicht „grün“ sind, gelöscht.

Was die anderen Farben bedeuten siehe hier:

Um die Updates zu aktualisieren müssen diese Schritte natürlich regelmäßig wiederholt werden.
Vorteil ist, dass man nun noch eine Abfrage und Collection erstellen könnte um eine Testumgebung mit Updates zu versorgen, bevor man die Updates final ausrollt.

Schritt 2 – Download der Softwareupdates und ein Paket auf einen DP verteilen

Öffne die entsprechende Suche aus dem Searchfolder:

Wenn es hier neue Updates gibt. Alle markieren und „Download Software Update“ auswählen.

An dieser Stelle kein neues deployment package erstellen sondern ein vorhandes auswählen:

Natürlich auswählen „Download software updates from the Internet“ (noch haben wir keinen zweiten DP / SUP 🙂

Dann die Sprache auswählen.

Die Details werden kurz angezeigt und dies mit „Next“ bestätigen.

Nach erfolgreichedm Download wird dies quitiert. Dialog mit CLOSE beenden. Im Paket selbst können wir nun Status sehen, ob dieses Paket auf dem DP angekommen ist. Erst mit Schritt 3 weitermachen, wenn das Paket nicht mehr auf State – Install Pending steht !

Schritt 3 – Deployment Template erstellen

Lege nun fest wie die Meldungen auf dem client erscheinen soll, wenn nötig lege ein Laufzeit fest:

ACHTUNG: Wenn der Haken nicht gesetzt ist, kann das System einen Reboot von sich aus einleiten !

Schritt 4 – Deploy der ausgewählten Updates

In der Suchliste die entsprechenden Updates auswählen und mittels rechtsklick „deploy software updates“ die Verteilung einrichten.

Vergebe diesem Deployment Task nun einen Namen und wähle ein entsprechendes Deployment Template aus. In diesem Fall, diese ist mit der Collection „_!_Patch staging Windows 7“ verbunden.

Ich zeige hier unkommentiert die Screenshots. Der Wizard ist wirklich selbsterklärend.

Nach bestätigen des Summary sollte der Wizard bestätigen (completed successfully) dass dieses Template nun erstellt wurde.

Schritt 5 – Deploy Task zu einer collection hinzufügen die updates erhalten soll

Im Deployment Manage, sollte das Template nicht sichtbar sein mittels rechtsklick einen „refresch“ auslösen. Dann wähle das entsprechende Template aus und öffne die Eigenschaften