Blog

Blog

Hier finden sie unsere Newsletter-Berichte.

Automatisches Patchen / Wartungsfenster

Die Wichtigkeit des SW-Patching von Computersystemen steht wohl ausser Frage. Nichtdestotrotz stellen wir fest, dass diverse Betriebe diese wichtige Arbeit händisch jeden Monat durchführen. Aus diesem Grund möchten wir auf das Thema automatisiertes Server-Patching eingehen.

PageUp betreibt heute über 800 Kundenserver, die jeden Monat vollautomatisch gepatched werden.  

Die Microsoft Core Infrastructure Server (CIS) Suite ist ein Bundle aus dem Server-Betriebssystem Windows Server und der Verwaltungslösung System Center, die es in der Standard- oder Datacenter-Version gibt. Die Suite enthält neben einer Lizenz für den bewährten Windows Server auch das System Center für eine bequeme und leistungsstarke Verwaltung des Servers: Die Produkte Operation Manager (SCOM), Virtual Maschine Manager (SCVMM), Endpoint Protection (SCEP), Data Protection Manager (DPM) und Configuration Manager (SCCM).

Die Funktion des Configuration Manager (SCCM) wird hierbei speziell für das automatische Patchen der Windows Server verwendet. Dieser Automatismus ist mit Blick auf einen sicheren und effizienten Serverbetrieb ein wichtiges Werkzeug um mit der immer grösseren werdenden Flut der Patches und Funktionserweiterungen die in immer kürzer werdenden Zeitabschnitten auf die Systeme gebracht werden müssen, Schritt halten zu können.  Dies im speziellen auch mit Blick auf die immer höheren Anforderungen bezüglich Verfügbarkeit von Systemen und der Forderung, die Wartungsfester immer mehr zu verkürzen.

Doch was bedeutet nun der Einsatz von SCCM beim Serverpatching?

Im Wesentlichen werden die bereits aus Welt des Clientmanagements etablierten Werkzeuge und Prozesse auch für das Patchmanagement bei Windows Servern angewendet.

Ebenfalls angelehnt an den Clientmanagementprozess werden die Clients in 3 Gruppen aufgeteilt. Eine Testgruppe, welche die Patches unmittelbar nach der Freigabe durch Microsoft erhält. Eine Produktivgruppe, welche mit einer Verzögerung von ca. einer Woche und auf Basis der Erkenntnisse aus der Testgruppe angereichert, mit den Patches beliefert wird. Last but not least gibt es immer wieder Spezialsysteme, bei welchen nur in Absprache mit dem Kunden und gemäss Freigabe von Fachanwendungspartnern Patches manuell eingespielt werden dürfen.

So werden die für das betreffende Serverbetriebssystem relevanten Patches auf Basis der Empfehlungen von Microsoft anhand vordefinierter Templates den jeweiligen Servergruppen zugewiesen und auf die Systeme geladen. 

Im vereinbarten Wartungsfenster erfolgt dann eine kontrollierte Aktivierung der Patches, üblicherweise verbunden mit einem Reboot der Server und anschliessender Kontrolle der korrekten Funktion durch einen System Engineer. Hier sei auch ein weiterer Grund für den Einsatz von SCCM angeführt, und zwar die Häufigkeit, in welcher Microsoft Patches publiziert. Der sogenannte, monatliche “Patch Tuesday” welcher in der Vergangenheit der Taktgeber war, existiert in der ausgeprägten Form heute nicht mehr.  Nicht selten haben wir heute die Situation, dass wir pro Monat 2 Wartungsfenster benötigen, Tendenz zunehmend. Dieser Umstand wird sich künftig auch in den SLAs widerspiegeln in welchen wir mit unseren Kunden 2 vordefinierte Wartungsfenster pro Monat festlegen werden. Ein Umstand, der auch auf Kundenseite einen Einfluss auf die Betriebsabläufe haben wird.

Stetige Verbesserung und Optimierung der Prozesse und der eingesetzten Werkzeuge sind wichtig und ermöglichen den sicheren Betrieb von heutigen Server-Umgebungen. 

In diesem Sinne blicken wir vorwärts auf weitere, spannende Herausforderungen, die das IT-Leben für uns bereithält.

goToTop