wsus alternatief

Ik zou eerder je acceptatietijd flink verkorten. Nu loopt je productie minstens 2 maanden achter met patches en dat is niet verstandig. Ipv het een maand testen, waarom niet een week of anderhalf? Heb je veel minder kans dat je patches van een nieuwe Patch Tuesday per ongeluk toepast.

Patches volledig automatiseren (goedkeuring en deployment) is nooit handig, want als er een patch problemen geeft weet je niet welke het precies is geweest en kun je een patch niet terugrollen.

Met SCCM wat ook WSUS gebruikt kun je volgens mij de installatie van goedgekeurde patches wel wat automatiseren, doordat je voor groepen machines (collecties in SCCM), maintenance windows aangeeft waarin automatisch goedgekeurde patches worden geinstalleerd. Maar als WSUS al lastig vindt, zou ik SCCM niet eens aanraken,is nog een stuk lastiger en complexer (werkt wel fijner vind ik).

Ik zou niet van WSUS afstappen dat is de tool om bedrijfsmatig mee te patchen. Je hebt ook nog wel Shavilik volgens mij, maar geen idee hoe die precies werkt, ken alleen de naam. Het voordeel is wel Shavilik volgens mij dat je meteen alles kan patchen. Dus ook third party (niet Microsoft) dingen:
http://www.shavlik.com/products/protect/. In SCCM heb je daar SCUP voor volgens mij

[ Voor 7% gewijzigd door Turdie op 21-07-2016 19:00 ]

In SCCM kan je naast je Windows Updates ook prima Third Party updates distribueren. Of zelfs complete installaties upgraden.
Punt is wel dat je de patches wel altijd moet importen / klaarzetten. Zie het dan ook meer als een distributie framework dan als een complete oplossing. Naar mijn beleving heb je altijd nog wat third party tooling nodig om een complete oplossing te krijgen, met name als je ook niet-Microsoft spul wilt managen.

HiepHoi82 schreef op donderdag 21 juli 2016 @ 19:07:
In SCCM kan je naast je Windows Updates ook prima Third Party updates distribueren. Of zelfs complete installaties upgraden.
Punt is wel dat je de patches wel altijd moet importen / klaarzetten. Zie het dan ook meer als een distributie framework dan als een complete oplossing. Naar mijn beleving heb je altijd nog wat third party tooling nodig om een complete oplossing te krijgen, met name als je ook niet-Microsoft spul wilt managen.

Ja dat zei ik al via SCUP (System Center Update Publisher) (die third party patches)

[ Voor 15% gewijzigd door Turdie op 21-07-2016 21:36 ]

shadowman12 schreef op donderdag 21 juli 2016 @ 21:33:
[...]


Ja dat zei ik al via SCUP (System Center Update Publisher) (die third party patches)

Ben geen fan van SCUP (2011). Er zijn wel 3rd party producten die dit ook kunnen, maar ik zou gewoon WSUS blijven gebruiken.

wimmel_1 schreef op vrijdag 22 juli 2016 @ 01:18:
Ik heb bij een vrij grote klant een jaar geleden de hele Windows Update procedure terug gezet/gehaald naar WSUS vanuit System Center Configuration Manager 2012, JUIST vanwege de gewenste handmatige controle.

Dan denk ik eerder dat die klant er geen kaas van heeft gegeten.

Met SCCM heb je de controle van WSUS, maar op een veel hoger niveau. Je kan collecties maken met verschillende regels qua update distributie en installaties. Naast patches heeft SCCM ook nog andere nuttige kanten als beheer tool.

wimmel_1 schreef op vrijdag 22 juli 2016 @ 01:18:
Middels die GPO's plaats je je machines uiteraard ook direct in "assigned" groepen binnen WSUS. Je klikt dus pér groep een afzonderlijke WSUS policy in elkaar en assigned die policy op basis van..... JOUW WENSEN. Én een GPO overruled daarna automatisch de SCCM Client, gelukkig....

Nee, je ontkend een gevecht tussen de SCCM client en de GPO. Dat is echt een beginnersfout als je het aan mij vraagt. De SCCM client blijft de instellingen overschrijven waarna de GPO op zijn beurt ook weer de instelling overschrijft bij een refresh.

Als je SCCM gebruikt kan je beter de GPO's achterwege laten. Enkel moet je updates via Windows Update uitzetten. De agent kan alles afhandelen daarna. En in 2012(R2) kan je die prima configureren. Dit klinkt gewoon sterk alsof die klant er niets van gesnapt heeft of het pakket ooit door een slechte consultant is geïnstalleerd.

Verwijderd schreef op donderdag 21 juli 2016 @ 16:40:
Zowel met WSUS als Spacewalk gebruiken we een soort van DTAP principe, dus patches goedkeuren, maand 1 installeren op test servers, maand 2 op acceptatie en maand 3 op de productie omgeving. We doen vrijwel alles handmatig, van goedkeuren tot installeren. Dit zouden we graag anders willen, dus volledig geautomatiseerd. Nu weet ik dat dit met WSUS ook kan, maar het voelt allemaal heel "bulky" en omslachtig aan, vooral goedgekeurde patches voor de test één maand later installeren op acceptatie, is erg foutgevoelig en kan zijn dat er met de acceptatie ronde meer updates mee komen dan in de test zijn goedgekeurd.

Dit klinkt mij ook aan als user error en niet een probleem van het pakket. Ik zou die doorlooptijden ook eens terugdringen. Dat is vragen om problemen als een patch pas na drie maanden op productie is geïnstalleerd. Tot die tijd ben je kwetsbaar voor mogelijke beveiligingsproblemen.

Er zijn andere pakketten die Windows patches kunnen verspreiden als Altiris en ZenWorks, maar beiden zijn betaald. Ze zijn overigens minder fijn dan WSUS hiervoor, ik heb ervaring met beiden.

Verwijderd schreef op donderdag 21 juli 2016 @ 16:40:
Nu weet ik dat dit met WSUS ook kan, maar het voelt allemaal heel "bulky" en omslachtig aan, vooral goedgekeurde patches voor de test één maand later installeren op acceptatie, is erg foutgevoelig en kan zijn dat er met de acceptatie ronde meer updates mee komen dan in de test zijn goedgekeurd.

Als dat laatste voorkomt staat gewoon je automatic approval niet juist ingesteld... WSUS doet gewoon exact wat je ingesteld hebt.

Question Mark schreef op vrijdag 22 juli 2016 @ 09:14:
[...]

Als dat laatste voorkomt staat gewoon je automatic approval niet juist ingesteld... WSUS doet gewoon exact wat je ingesteld hebt.

Later goedkeuren moet toch altijd handmatig? Als er intussen andere updates automatisch zijn goedgekeurd voor de testgroep, dan moet je die er op een of andere manier zelf zien uit te filteren.

Klopt.

Zoals ik het begrijp heeft TS kennelijk zijn WSUS zo ingesteld staan dat er automatisch updates goedgekeurd worden voor de testgroep, die niet getest zijn op zijn acceptatieomgeving. Maar dat is een instelling binnen WSUS.

Verwijderd schreef op vrijdag 22 juli 2016 @ 13:05:
[...]


Updates goedkeuren doen we handmatig, maar omdat we test / acceptatie / productie gebruiken, werkt dit voor mijn gevoel niet erg lekker. Het geen wat ik wil automatiseren is dat de updates op een datum / tijdstip automatisch geïnstalleerd worden. Dit kan nu beperkt met WSUS vandaar dat we dit ook nog handmatig doen en is een erg tijdrovende klus. Ik denk dat we LANdesk toch een kans geven en kijken wat de trial ons kan bieden.

Als je bedoelt dat je de updates op elke machine handmatig installeert, kijk dan nog eens naar wimmel_1 in "wsus alternatief" .

Ik zag laatst een schema ergens staan waar in stond met welke update je moest beginnen om Windows weer te doen updaten. Ik zit hier met een Windows 7 pc die al een paar maanden geen updates meer binnen krijgt. Was een handig schema met Windows en sp-versies en dan daarnaast de updates die nodig zijn. Kan iemand mij verder helpen?

Je zou ook kunnen kijken naar een product zoals bv Solarwinds Patch Manager, dit maakt gebruik van WSUS voor de distributie maar biedt een veel complexere frontend voor het schedulen en uitrollen van updates en overige software.