Merhaba, bu makalede sizlerle SCCM üzerinde patch management’ ın nasıl yapılabileceği ile ilgili bilgiler vermeye çalışacağım.
Bölüm 1’ de search folder, collection ve template’ ler ile ilgili bilgiler vermiş, deployment paketleri oluşturmuştuk. Şimdi uygulamaya geçerek dağıtımı yapacağız ve aylık rutin olarak yapılması gerekenleri anlatmaya çalışacağız.
Dağıtımdan önce deployment paketlerinin distribution point’ lere dağıtımının yapılması gerekmektedir. Örneğin Windows 7 için hazırladığımız paketin üzerinde “New Distribution Points” seçtiğimizde;
İlk ekranı geçeriz;
Sonraki ekranda dağıtmamız gereken distribution point’ leri işaretleyerek devam ederiz. Eğer Windows 7 client’ lar tüm site’ larda var ise tümünü seçip dağıtmamız gerekir.
Bir paketin DP’ lere dağıtımının tamamlanıp tamamlanmadığını aşağıdaki görülen alandan kontrol edebiliriz. State kısmının “installed” olması gerekmektedir. Bu işlem paketinizin büyüklüğüne ve hattınızın hızına bağlı olarak uzunda sürebilir, kısada.
DP’ lere paket tamamiyla dağıldıktan sonra dağıtımını yapabiliriz. Dağıtım için paketin Deployment Management içerisindeki özelliklerine giriyoruz.
Burada düzenlememiz gereken alanlar şunlardır;
Collection kısmında paketi göndereceğimiz collation’ ı seçeriz. Ben öncelikle test grubuna göndermeyi tercih ediyorum. (Hatırlarsanız herhangi bir client bilgisayara kontrosüz olarak dağıtmamak için Blank isminde üyesi olmayan bir collation yaratıp burada bırakmıştık)
Schedule kısmında bir deadline tarihi ve saati veriyorum. Bu şu anlama gelmektedir, client bilgisayarlar (belirttiğimiz collation’ daki) kendilerine atanmış olan bu yamaları lokallerine indirecekler ve benim belirttiğim tarih ve saatte geçeceklerdir. Bu benim fikrimce en kontrollü yöntemdir, özellikle sunuculara yama geçerken istediğiniz tarih ve saatte geçebilmek çok kritiktir.
Benim burada bir tavsiyem olacak. Deadline verirken minimum 24 saat sonrasına vermenizi öneririm, bu süre SCCM agent’ ının client tarafında günlük olarak yaptığı işlerin tamamlanması (aşağıdaki ekran görüntüsünde görülen), kendisine atanmış yamaların olduğunu öğrenip kendisi ile ilgili olanları lokaline kopyalaması için gereken zamanı kapsar.
Son olarak Restart Settings kısmında, client bilgisayarların yama yüklemesi sonrasında restart edilip edilmeyeceğini ayarlarız. Ben clietn işletim sistemleri için “suppress” seçeneğini işaretledim. Bu restart edilmeyeceği anlamına gelir. Çünkü benim client makinelerim sadece gündüzleri açık durumda ve bu saatlerde kullanıcılar çalışmakta. Bu tür seçim yaptığınızda yama yüklemesi sonrası kullanıcıya bir notification çıkar ve bilgisayarın restart edilmesi gerektiği bilgisi verilir, kullanıcı isterse o anda restart edebilir, eğer istemez ise erteleyebilir.
Deployment package içerisinde yukarıda bahsettiğim 3 ayarı değiştirerek onaylamanız paketin dağıtımını başlatır. Bu 3 ayar;
Collation
Schedule
Restart settings
Her deployment işleminde değiştirilebilir yada aynı bırakılabilir. Yani bir paketi test colletion’ ından sonra tüm Windows 7 client bilgisayarlara göndermek istiyorsanız, All Windows 7 Systems collation’ unu seçmeli,
Schedule kısmında deadline kısmını tekrar düzenlemeli ve isteğe bağlı olarak restart ayarlarını değiştirmelisiniz.
Restart ayarları genellikle sunucularda kritik önem arz etmektedir. Sunuculara yama uygulaması genellikle en az etkilenecek zamanlarda yapılır. Bu da gece yarısından sonra örneğin saat 02:00 gibi olur, ve yama yüklemesinden sonra restart edilecek şekilde ayarlanır. Tabi bu sunucular 24 saat çalışacak sunucular değilse. Yada kendimiz kontrollü bir şekilde restart etmek te isteyebiliriz. Ancak şunu unutmamak gerekli, eğer bir sistem zaten restart bekler durumda ise yama geçişi bu client’ ta başarısız olacaktır ve raporlarda “Restart pending” olarak görülecektir.
Şimdi yama yönetiminde aylık olarak neler yapılması gerektiğine bir bakalım. Yama yönetimi bir yaşam döngüsüdür, belirlediğiniz periyot ne ise (benimki 1 ay, o periyotta yapmanız gerekenler vardır.
Öncelikle az öncede bahsettiğimiz gibi restart bekleyen bir client yama geçişinde başarısız olacaktır. Tüm SCCM client’ ları içerisinde restart bekleyen sistemleri tespit etmek için aşağıdaki query kullanılarak bir collation yaratılabilir;
select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System inner join SMS_G_System_PatchStatusEx on SMS_G_System_PatchStatusEx.ResourceID = SMS_R_System.ResourceId where SMS_G_System_PatchStatusEx.LastStateName = "reboot pending"
Query’ ler ve collation’ lar ile ilgili daha detaylı bilgiyi aşağıdaki iki makalede bulabilirsiniz.
Restart bekleyen sistemleri tespit ettikten ve restart ettikten sonra Deployment Management ve Deployment Package içerisinden expire olmuş paketleri temizlememiz gerekmektedir. Burada önemli nokta önce Deployment Management içerisinden sonra Deployment Package içerisinden temizlemektir. Aşağıda işaretlediklerimin ikonlarının gri olduklarını görüyoruz. Bu, paket içerisinde expire olmuş yama olduğunu gösterir.
Yama yönetimi ekranlarındaki bu ikonların renklerinin anlamlarını aşağıdaki linkten inceleyebilirsiniz.
http://technet.microsoft.com/en-us/library/bb632404.aspx
Şimdi expire yama içeren her bir deployment management objesi altındaki Software Update folder’ ı seçilir ve içerisindeki gri renkli expire olmuş bütün yamalar seçilerek silinir.
Bütün expire yamalar temizlendiğinde hepsi yeşil ikonlu olacaktır.
Aynı işlemi Deployment Paclage’ lar içerisinde de yapmalıyız. Paket seçilir, Software Update klasörü seçilir, sağ tarafta yamaları Expired’ a göre sıralayarak expire olmuş yamalar silinir.
Bu işlem yapıldığında bütün distribution point’ lerde sildiğimiz yamalar paketlerden çıkartılacaktır.
Expire olmuş yamalar paketlerden temizlendikten sonra search folder’ lar içerisine gelen yeni yamalar paketlere eklenir.
Örneğin, benim search folder’ larımdan bir tanesine yeni bir yama eklenmiş. Yama seçilir ve download işlemi başlatılır;
İlgili paket seçilir ve devam edilir,
Internet’ den indirileceği söylenerek devam edilir.
Şimdi burada önemli bir nokta var. Paket içerisine eklediğimiz bu yamaları deployment management tarafında da eklememiz gerekmektedir.
Expire olmuş yamaları temizlerken hatırlarsanız öncelikle deployment management atrafından sonra paketin içinden silmiştik. Yeni yamaları eklerken ise öncelikle paketin içerisine ekleriz ve sonrasında deployment management tarafında gösteririz.
Software Update tabına gelip Add deriz, açılan pencereden Security Update folder’ ının içerisinde XP’ ler için olan yamaları listeliyorum (ben search folder yapımı oluştururken sadece security update’ leri search edecek şekilde ayarladığım için bu alana geliyorum), Deployed = No olanları seçiyorum ve onaylıyorum.
Yeni gelen yamalarda bu şekilde paketlerin içerisine dahil edilir. Bundan sonrası paketi tekrar hedef collation’ a göndermektir. Yani collation, schedule ve restart settings kısımlarını düzenleyip tekrar yayımlarız. SCCM üzerindeki patch management yaşam döngüsü kısaca bu şekildedir. (Bu tabiki benim tercih ettiğim yöntemdir)
İyi çalışmalar.