Patchverwaltungsprozess

Phase 4: Bereitstellen

Aktualisiert: 1. Juni 2007

Auf dieser Seite

	Modulübersicht
	Zielsetzung
	Geltungsbereich:
	Verwendung dieses Moduls
	Übersicht
	Vorbereiten der Bereitstellung
	Bereitstellen des Softwareupdates auf den Zielcomputern
	Überprüfung nach der Implementierung
	Zusammenfassung
	Weitere Schritte

Modulübersicht

In diesem Modul wird die vierte Phase des vierphasigen Updateverwaltungsprozesses beschrieben: das Bereitstellen. Die Bereitstellungsphase befasst sich mit der erfolgreichen Einführung genehmigter Softwareupdates in Ihrer Produktionsumgebung, sodass alle Anforderungen der Bereitstellung bestehenden Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) entsprechen.

Ziel dieses Moduls ist eine Erläuterung der Bereitstellungsphase des Updateverwaltungsprozesses. Ferner werden die Aufgabentypen vorgestellt, mit deren Hilfe die Bereitstellung mit Microsoft Windows Server Update Services (WSUS) und Microsoft Systems Management Server (SMS) durchgeführt werden kann.

Hinweis: Beta 2 der nächsten SMS-Version namens System Center Configuration Manager 2007 ist jetzt unter http://www.microsoft.com/technet/sms/2007/evaluate/download.mspx (möglicherweise in englischer Sprache) als Download verfügbar. Verbesserungen wurden vor allem in den Bereichen Einfachheit, Konfiguration, Bereitstellung und Sicherheit vorgenommen. Dadurch wurde die Systembereitstellung, die Automatisierung von Aufgaben, die Kompatibilitätsverwaltung und die richtlinienbasierte Sicherheitsverwaltung in Configuration Manager 2007 sehr vereinfacht, was Unternehmen wiederum erhöhte Flexibilität ermöglicht.

Nach Lektüre dieses Moduls sind Sie in der Lage, die Planung für folgende Aufgaben durchzuführen:

•	Einführung des genehmigten Softwareupdates
•	Bereitstellen aller erforderlichen Gegenmaßnahmen

Ohne die Bereitstellung steht Ihnen kein getesteter Satz von Aufgaben und Aktivitäten zur Verfügung, die Sie zum Bereitstellen eines Softwareupdates in Ihrer Produktionsumgebung oder zum Bereitstellen von erforderlichen Gegenmaßnahmen bzw. Maßnahmen zur Risikominderung benötigen.

Zum Seitenanfang

Zielsetzung

Themenbereiche:

•	Vorbereiten auf die Bereitstellung
•	Bereitstellen eines Softwareupdates für die Zielcomputer
•	Überprüfen der Bereitstellung nach der Implementierung

Zum Seitenanfang

Geltungsbereich:

Die Informationen in diesem Modul gelten für alle Produkte und Technologien von Microsoft.

Zum Seitenanfang

Verwendung dieses Moduls

In diesem Modul werden die grundlegenden Aufgaben für das Bereitstellen mit WSUS und SMS beschrieben. Ausführlichere Anweisungen finden Sie in den unten aufgeführten technischen Bibliotheken.

Empfehlungen für eine erfolgreiche Arbeit mit diesem Modul:

•

Lesen Sie die Einleitung zum Modul „Updateverwaltungsprozess“. Diese enthält einen Überblick über jede der vier Phasen des Updateverwaltungsprozesses sowie eine Einführung in die Tools, die die Updateverwaltung in Umgebungen mit Microsoft Windows-Betriebssystemen unterstützen.

•

Ausführlicheres Referenzmaterial finden Sie in den technischen Bibliotheken für WSUS und SMS. Diese Bibliotheken befinden sich unter:

•	Technische Bibliothek für Windows Server Update Services (WSUS)
•	Technische Bibliothek für Systems Management Server 2003

Zum Seitenanfang

Übersicht

Die Bereitstellungsphase ist die vierte Phase des Updateverwaltungsprozesses, siehe Abbildung 1.

Abbildung 1: Der Updateverwaltungsprozess

Die Bereitstellungsphase umfasst die Aufgaben und Aktivitäten, die für die Bereitstellung eines Softwareupdates in der Produktionsumgebung erforderlich sind. Möglicherweise sind noch zusätzliche Aufgaben zum Bereitstellen von Gegenmaßnahmen bzw. Maßnahmen zur Risikominderung erforderlich.

Zu Beginn dieser Phase wird überprüft, ob das Softwareupdate für die Bereitstellung in der Produktionsumgebung bereit ist und eine Genehmigung für die Bereitstellung vorliegt.

Ziel der Bereitstellungsphase ist die erfolgreiche Einführung des genehmigten Softwareupdates und/oder der Gegenmaßnahmen in Ihrer Produktionsumgebung.

Die Bereitstellung eines Softwareupdates besteht aus den folgenden Aktivitäten:

•	Vorbereiten der Bereitstellung
•	Bereitstellen des Softwareupdates auf den Zielcomputern
•	Überprüfen nach der Implementierung

Zum Seitenanfang

Vorbereiten der Bereitstellung

Die Produktionsumgebung muss für jede neue Version vorbereitet werden. Zur Vorbereitung eines Softwareupdates auf die Bereitstellung sind die folgenden Schritte erforderlich:

•

Bekanntgabe des Zeitplans für die Einführung im Unternehmen

•

Wenn WSUS bereitgestellt ist:

•	Staging der Updates auf WSUS-Servern

•

Wenn SMS bereitgestellt ist:

•	Importieren von Programmen und Ankündigungen aus der Testumgebung
•	Zuweisen von Verteilungspunkten
•	Staging der Updates an den Verteilungspunkten
•	Auswählen der Gruppen für die Bereitstellung

Weitere Informationen zur Vorbereitung der Bereitstellung in WSUS oder SMS-Umgebungen finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS) oder Technische Bibliothek für Systems Management Server 2003.

Bekanntgabe des Zeitplans für die Einführung im Unternehmen

Es ist wichtig, Endbenutzer und Administratoren über bevorstehende Updates zu informieren. Senden Sie eine leicht verständliche E-Mail-Nachricht an alle Benutzer und Administratoren, um das bevorstehende Update anzukündigen und Informationen zur Installation bereitzustellen. Diese E-Mail sollte zur Nachverfolgung gekennzeichnet werden, um Endbenutzer und Administratoren an die Aktionen zu erinnern, die sie bei der Implementierung vornehmen müssen.

Falls Sie ein Update auf Desktopcomputern außerhalb der normalen Geschäftszeiten bereitstellen, sollten die Benutzer in der E-Mail angewiesen werden, ihre Computer am angegebenen Datum über Nacht nicht auszuschalten. Wenn diese Nachricht wie in Abbildung 2 zur Nachverfolgung gekennzeichnet ist, erhalten die Benutzer am 30. Mai 2003 um 16.30 Uhr eine Erinnerung, ihre Computer über Nacht eingeschaltet zu lassen.

Abbildung 2: Dieser Screenshot zeigt, wie eine zur Nachverfolgung gekennzeichnete E-Mail zu Erinnerungszwecken verwendet werden kann.
Bild in voller Größe anzeigen

Wenn Sie WSUS verwenden, umfasst der Kommunikationsprozess noch weitere Überlegungen, die von den Richtlinieneinstellungen des WSUS-Clients für Download und Installation abhängen.

•	Vor Herunterladen und Installation benachrichtigen Benutzer, die mit lokalen Administratorrechten angemeldet sind, müssen die Option zum Herunterladen des Updates auswählen, wenn in der Taskleiste die Benachrichtigung Neues Update zum Download verfügbar angezeigt wird. Zum Abschluss der Installation müssen die Benutzer dann das Softwareupdate installieren, wenn die Benachrichtigung Neues Update zur Installation verfügbar angezeigt wird.
•	Autom. Herunterladen, aber vor Installation benachrichtigen Neu genehmigte Updates für den Clientcomputer werden vom Client für Automatische Updates automatisch heruntergeladen. Zum Installieren der Updates müssen Benutzer, die mit lokalen Administratorrechten angemeldet sind, die Option zur Installation der Softwareupdates auswählen, wenn die Benachrichtigung Neues Softwareupdate zur Installation verfügbar angezeigt wird.
•	Autom. Herunterladen und laut Zeitplan installieren Benutzer, die mit lokalen Administratorrechten angemeldet sind, können ein Update vor dem festgelegten Zeitpunkt installieren oder (bei Bedarf) nach Abschluss der Installation den Neustart auf einen späteren Zeitpunkt verschieben. Bei Benutzern ohne lokale Administratorrechte wird das Update zum festgelegten Zeitpunkt im Hintergrund installiert. Diese Benutzer können einen Neustart nur dann zu einem späteren Zeitpunkt durchführen, wenn die Richtlinieneinstellung Keinen automatischen Neustart für geplante Installationen durchführen aktiviert wurde.

Ausführlichere Informationen zur Verwendung von WSUS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Vorbereitung der Bereitstellung mit SMS

Wenn Sie SMS 2003 verwenden, müssen Sie beim Vorbereiten der Bereitstellung einige weitere Schritte beachten:

•	Importieren von Programmen und Ankündigungen aus Ihrer Testumgebung. Zuerst müssen die in der Testumgebung erstellten und überprüften Pakete in die SMS 2003-Produktionsumgebung importiert werden.
•	Zuweisen von Verteilungspunkten Beim Zuweisen von Verteilungspunkten sollten Softwareupdate-Binärdateien an Verteilungspunkten auf allen Standorten platziert werden, auf denen sich Zielclients befinden. Wenn der Softwareupdateverteilungs-Assistent verwendet werden kann, können Verteilungspunkte mithilfe des Assistenten zugewiesen (und nach dem Erstellen des Pakets manuell geändert) werden.
•	Staging von Updates an Verteilungspunkten. Im nächsten Schritt wird sichergestellt, dass Kopien aller Dateien auf den Verteilungspunktservern vorliegen. Beim Senden von Softwareupdate-Binärdateien an Verteilungspunkte werden Dateien zwischen SMS- und von SMS-Standorten an lokale Verteilungspunkte gesendet.
•	Auswählen der Gruppen für die Bereitstellung Wenn Sie den Softwareupdateverteilungs-Assistenten zum Verteilen eines neuen Softwareupdates verwenden, müssen Sie die Zielcomputer nicht exakt angeben, da der Assistent einen intelligenten Agent bereitstellt, der aufgerufen wird, wenn ein neues Update installiert werden muss. Der Agent bestimmt automatisch, ob ein Update auf diesen Computer anwendbar ist (und ob es bereits installiert wurde). Wenn Updates mithilfe eines benutzerdefinierten Pakets und einer benutzerdefinierten Sammlung verteilt werden, müssen Sie möglicherweise eine oder mehrere SMS-Abfragen erstellen, um das Update auf den entsprechenden Computern bereitzustellen.

Ausführlichere Informationen zur Verwendung von SMS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Zum Seitenanfang

Bereitstellen des Softwareupdates auf den Zielcomputern

Der Prozess, mit dem Sie das Softwareupdate in der Produktionsumgebung bereitstellen, richtet sich nach dem Typ und der Art der Version sowie der ausgewählten Veröffentlichungsmethode.

Von entscheidender Bedeutung ist hierbei auch, ob es sich bei dem Softwareupdate um einen Notfall handelt. Bei sehr dringlichen Aktualisierungen verläuft die Bereitstellung etwas anders als bei regulären Updates. Diese Unterschiede werden im Laufe des Abschnitts vorgestellt.

Softwareupdates sollten idealerweise in Phasen bereitgestellt werden. Dadurch werden die Auswirkungen von Fehlern oder andere nachteilige Auswirkungen, die durch die Verteilung eines Softwareupdates entstehen können, auf ein Minimum reduziert.

Folgende Schritte sind für die Bereitstellung eines Softwareupdates in der Produktionsumgebung erforderlich:

•	Ankündigen des Updates auf den Clientcomputern
•	Überwachen und Aufzeichnen des Bereitstellungsverlaufs
•	Erforderliche Schritte bei einer fehlerhaften Bereitstellung

Ankündigen des Softwareupdates auf den Clientcomputern

Wenn Sie WSUS verwenden und keine phasenbasierte Einführung erforderlich ist, muss das Update lediglich auf dem übergeordneten WSUS-Server genehmigt werden, um es den Clients verfügbar zu machen. WSUS-Clients laden dann das neu genehmigte Update herunter. Dies erfolgt entweder beim nächsten Erkennungszyklus oder auf Aufforderung durch den lokalen Administrator (wenn der Client für automatische Updates so konfiguriert ist, dass der lokale Administrator benachrichtigt wird, wenn neue Updates verfügbar sind).

Wenn es sich jedoch um eine phasenbasierte Einführung handelt, sollten Sie das Update zunächst nur auf dem übergeordneten WSUS-Server genehmigen. Nachdem das Update für die von diesem Server unterstützten Clients erfolgreich bereitgestellt wurde, sollten Sie die Synchronisierung der Genehmigungsliste auf dem untergeordneten WSUS-Server aktivieren, der Clients in der nächsten Phase der Einführung unterstützt.

Ausführlichere Informationen zur Verwendung von WSUS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

Wenn Sie SMS und den Softwareupdateverteilungs-Assistenten verwenden, wird automatisch eine wiederholte Ankündigung erstellt, die den Installations-Agent für Softwareupdates auf Computern in der Zielsammlung ausführt. Bei Bedarf können Sie den Standardwert von sieben Tagen für das Wiederholungsintervall ändern. So kann zum Beispiel eine Serversammlung den Agent einmal pro Tag ausführen. Mit demselben Paket und Programm können Sie Ankündigungen für mehrere Sammlungen erstellen, wenn verschiedene Zeitpläne für unterschiedliche Computertypen erstellt werden sollen. Bei einer gestaffelten Einführung wird die Abfrage nach jeder Phase so geändert, dass die für die nächste Phase relevanten Clients enthalten sind.

Wenn Sie den Softwareupdateverteilungs-Assistenten nicht verwenden, sollte der Zeitplan einer zum Installieren eines Updates eingerichteten Ankündigung so konfiguriert werden, dass sie sich in Intervallen wiederholt. Dies sorgt für eine automatische Wiederholung fehlerhafter Installationen. Das Wiederholungsintervall für eine Ankündigung muss sorgfältig ausgewählt werden, da Clients, die das Update bereits erfolgreich installiert haben, in der Zielsammlung verbleiben, bis neue Inventurdaten gesammelt wurden (dieser Vorgang kann vom Installationsprogramm selbst ausgelöst werden), oder bis die Inventurdaten in der SMS-Datenbank aktualisiert wurden und die Sammlung neu bewertet wird. So wird das Programm u. U. auf einem Client erneut ausgeführt, auf dem das Update bereits erfolgreich installiert wurde. Aus diesem Grund sollte das Programm auf jeden Fall zunächst überprüfen, ob das Softwareupdate bereits installiert ist, und in diesem Fall sofort beendet werden.

Ausführlichere Informationen zur Verwendung von SMS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Notfalländerungsantrag

Informationen zur Verwaltung von Notfalländerungsanträgen mithilfe von WSUS finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS), und Informationen zur Verwaltung von Notfalländerungsanträgen mithilfe von SMS unter Technische Bibliothek für Systems Management Server 2003.

Überwachen und Aufzeichnen des Bereitstellungsverlaufs

Fehler bei der Installation eines Updates auf einem Computer können verschiedene Ursachen haben, zum Beispiel:

•

Der Computer ist offline.

•

Der Computer wird neu eingerichtet, oder es wird ein Abbild des Computers erstellt.

•

Auf dem Computer ist nicht genügend Speicherplatz vorhanden.

•

In WSUS-Umgebungen:

•	Der Computer kommuniziert nicht mit dem WSUS-Server (bei Computern mit Client für automatische Updates).
•	Der Dienst für den Client für automatische Updates wurde angehalten.

•

In SMS-Umgebungen:

•	Die SMS-Clients des Computers kommunizieren nicht mit den SMS-Standortservern.
•	Der Agentdienst auf dem Computer wurde entweder von einem Benutzer oder im Rahmen von Wartungsarbeiten angehalten.

•

In SMS 2003-Umgebungen:

•	Auf dem Computer ist MSXML 3 bis SP1 installiert (für SMS 2003 ist MSXML 3.0 SP4 erforderlich).

Ausführlichere Informationen zur Verwendung von WSUS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

In SMS können Sie die erfolgreiche Veröffentlichung von Updates mit der Anzeige für den Ankündigungsstatus überwachen. Diese zeigt den Bereitstellungsstatus von Ankündigungen anhand ihrer Statusmeldungen an. Statusmeldungen geben lediglich darüber Auskunft, ob die wiederholte Ankündigung ausgeführt wurde, jedoch nicht, ob das Update installiert wurde. Für diese Information müssen Sie die Statusmeldungen analysieren und bestimmen, wann das Programm zum Installieren des Patches auf jedem Client zuletzt erfolgreich ausgeführt wurde. Wenn der Zeitraum seit der letzten Ausführung auf einem Client größer ist als der Wiederholungszeitraum, sollten Sie dies überprüfen.

Bei Softwareupdates, die mithilfe des Sicherheitsupdate-Inventurprogramms, des Inventurprogramms für Microsoft Updates oder mithilfe des Microsoft Office-Inventurprogramms für Updates identifiziert wurden, können Sie anhand der integrierten Berichte überprüfen, ob die Software erfolgreich bereitgestellt wurde. So kann beispielsweise mit dem Bericht „Kompatibilitätsgrad nach Softwarekennung“ eine Übersicht aller Systeme angezeigt werden, auf denen das Update installiert wurde bzw. noch nicht vorhanden ist, sowie der Verteilungsstatus des Softwareupdates.

Ausführlichere Informationen zur Verwendung von SMS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Erforderliche Schritte bei einer fehlerhaften Bereitstellung

Wenn während einer normalen Bereitstellung Ausnahmen auftreten, sollte Ihnen genügend Zeit zur Verfügung stehen, um den Vorgang anzuhalten, die Fehlerursache zu finden und die Bereitstellung erneut durchzuführen. Bei einer Notfallbereitstellung steht jedoch in der Regel viel weniger Zeit für die Fehleranalyse und das Bestimmen der Fehlerursache zur Verfügung.

Es kann auch vorkommen, dass Ihr Unternehmen eine Bereitstellung als nicht erfolgreich erklärt und der Vorgang daher angehalten bzw. rückgängig gemacht werden muss. Sie müssen einen Plan bereithalten, mit dem die Einführung angehalten wird und fehlerhafte Updates deinstalliert und anschließend erneut installiert werden.

In WSUS-Umgebungen

Wenn bei der Bereitstellung in einer WSUS-Umgebung ein Fehler auftritt, müssen Sie die Genehmigung des Updates auf dem WSUS-Server zurücknehmen, um weitere Installationen zu verhindern. Für Clients, auf denen das Update zwar bereits heruntergeladen, jedoch noch nicht installiert wurde, kann der lokale Administrator den entsprechenden Eintrag aus der Liste der zu installierenden Updates entfernen. Wenn auf einem Computer ein genehmigtes Update installiert wurde, kann es nur in der Systemsteuerung über die Funktion Software entfernt werden, vorausgesetzt, eine Deinstallation des Updates ist möglich. Ausführlichere Informationen zur Verwendung von WSUS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Windows Server Update Services (WSUS).

In SMS-Umgebungen

Bei SMS umfasst die Behandlung fehlerhafter Bereitstellungen vier Hauptaufgaben:

•	Anhalten der Bereitstellung des aktiven Pakets, bis das Problem gelöst ist
•	Bestimmen und Beheben des Problems, das heißt Ermitteln der Ursache für den Bereitstellungsfehler
•	Erneutes Ankündigen des Pakets
•	Deinstallieren des Softwareupdates durch Erstellen eines Deinstallationspakets (falls das Update deinstalliert werden kann)

Ausführlichere Informationen zur Verwendung von SMS in der Bereitstellungsphase finden Sie unter Technische Bibliothek für Systems Management Server 2003.

Zum Seitenanfang

Überprüfung nach der Implementierung

Nach der Bereitstellung eines Updates sollte innerhalb von ein bis vier Wochen eine Überprüfung erfolgen, um zu bestimmen, welche Verbesserungen am Updateverwaltungsprozess vorgenommen werden sollten.

Ein typischer Plan für eine Überprüfung umfasst die folgenden Punkte:

•	Stellen Sie sicher, dass aufgetretene Sicherheitslücken in die Sicherheitsüberprüfungsberichte und Sicherheitsrichtlinienstandards aufgenommen werden, damit sich der Angriff nicht wiederholen kann.
•	Stellen Sie im Anschluss an die Bereitstellung sicher, dass die Buildabbilder mit den neuesten Softwareupdates aktualisiert wurden.
•	Vergleichen Sie die erhofften mit den tatsächlichen Ergebnissen.
•	Analysieren Sie die mit der Aktualisierung verbundenen Risiken.
•	Überprüfen Sie die Vorgänge innerhalb Ihres Unternehmens während des Sicherheitsvorfalls. Nehmen Sie die Gelegenheit wahr, Ihren Reaktionsplan anhand der neu gewonnenen Erkenntnisse zu verbessern.
•	Besprechen Sie mögliche Änderungen bei den Wartungsfenstern.
•	Bestimmen Sie den gesamten durch den Sicherheitsvorfall verursachten Schaden sowie die daraus entstandenen Kosten (d. h. die Kosten des Systemausfalls sowie die Kosten für die Wiederherstellung des Systems).
•	Entwickeln Sie einen neuen Sicherheitsstandard, oder aktualisieren Sie die vorhandenen Basisrichtlinien für Ihre Umgebung.

Zum Seitenanfang

Zusammenfassung

Während der Bereitstellungsphase sollten Sie die folgenden Hauptaufgaben ausgeführt haben:

•	Sie haben die Reihenfolge festgelegt, in der die Einführung der Softwareupdates in der Produktion durchgeführt wird.
•	Sie haben sich einen Überblick über die Produktionsumgebung verschafft, um sicherzustellen, dass das Softwareupdate durchgeführt werden kann.
•	Sie haben die Softwareupdatedateien auf den WSUS-Servern und den SMS-Verteilungspunkten gespeichert.
•	Sie haben das Softwareupdate für die Produktion bereitgestellt.
•	Sie haben die Umgebung erneut überprüft, um den Erfolg der Bereitstellung zu bewerten, und alle Computer aktualisiert, auf denen das Softwareupdate nicht installiert werden konnte.
•	Sie haben nach Abschluss der Bereitstellung den Updateverwaltungsprozess überprüft.

Zum Seitenanfang

Weitere Schritte

Nachdem Sie das Softwareupdate bereitgestellt haben, sollten Sie zur Beurteilungsphase zurückkehren. Dort können Sie mit den folgenden Punkten fortfahren:

•	Inventur/Ermitteln der vorhandenen IT-Ressourcen
•	Beurteilen von Sicherheitsrisiken und Sicherheitslücken
•	Ermitteln der besten Informationsquelle für Softwareupdates
•	Bewerten der vorhandenen Softwareverteilungsinfrastruktur
•	Bewerten der betrieblichen Effizienz

Zum Seitenanfang

5 von 5

In diesem Beitrag

•	Einführung
•	Phase 1: Bewerten
•	Phase 2: Bestimmen
•	Phase 3: Evaluieren und Planen
•	Phase 4: Bereitstellen

Vollständige Lösung herunterladen

Patchverwaltung mit SMS 2003