ComputerBase Menü
Aktuelles

Frage an die Windows Admins: Patchday im Unternehmen -wie geht ihr vor?

Xes

Xes

Admiral
Registriert
Nov. 2013
Beiträge
7.583
Hi,

wie der Titel schon verrät würde ich mich dafür interessieren wie ihr die Updates für Server und Clients handhabt.

Natürlich möchte man alle Updates so früh wie möglich auf den Systemen haben aber auch Microsoft (oder darauf aufbauende Drittsoftware) macht Fehler und man kann es sich nicht leisten, dass plötzlich die Firma steht, weil ein Update Probleme bereitet.

Wie geht ihr vor?
Habt ihr Testgruppen? Wer kommt in die Testgruppen (Kriterien)?
Wie lange wartet ihr bevor ihr die Updates für alle scharf schaltet oder verteilt ihr gestaffelt?
Wo findet man abseits der Fachpresse schnell Infos ob neue Updates eventuell Probleme machen? (kennt ihr einen Newsletter oder ein gutes Info-portal?)

Würde mich über eure Erfahrungen und Vorgehensweisen freuen. :)
 
Bin jetzt kein Admin der in einem Unternehmen tätig ist, aber in der Zeit der Virtualisierungen baut man sich eine kleine Testumgebung und installiert da die Software/Updates die man im Unternehmen so nutzt.

Clients in der Testumgebung updaten und prüfen ob noch alles läuft bevor man es auf die Livesysteme spielt.

Aber wie gesagt - ich kenne mich nicht mit der genauen Administration aus :D
 
Deployment ALLER Updates gestaffelt über Dev -> QA -> Prod. Dev Day 0, QA Day 7, Prod Day 14.
Bei akuten Clientpatches ggfs. verkürzt auf Dev+QA Day 0, Prod Day 2.

Für Infos: Reddit, /r/sysadmin, Twitter.
Kriterien für Klassifizierung Dev QA Prod nach nem normalen Stagingkonzept pro Applikation.
Klassifizierung für Clients - IT testet, Rest ist Prod.
 
Zuletzt bearbeitet:
Vielen Dank für eure Antworten. :)
 
Hi

Wir machen dies bei uns in etwa so:
Wir haben einen WSUS, hierbei werden ALLE Treiber sowie Viren-Definitionen freigegeben. Windows 10 x64 sowie office x32. Ebenfalls die Server x64 Editionen.
Dies wird täglich manuell geprüft. Einmal in der Woche wird über die Softwareverteilung das Patchen über den WSUS angestossen.
Wir schalten direkt auf die Produktion.

Sprich: ca. 300 Server; ca. 150 Client PC's und Unmengen an VDI-Clients.

Bis jetzt noch nie ein Problem. Sollte ein Update Probleme machen nach der Installation, wird dieses gesperrt und via Softwareverteilung deinstalliert.

Gruss
 
Wir haben mehrere Stagingstufen (Kon, Test, Entw, Prod) und je nach Kritikalität auch mehrere Säulen (also 1:1 Kopien der gesamten Umgebung) damit man im Falle des Falles schnell umschalten kann. Einige Systeme dürfen jedoch erst nach Freigabe des (Software)Herstellers geupdated werden. Ansonsten gibt es, je nach Vertrag, entweder feste Wartungsintervalle (monatlich, einmal je Quartal, ...) oder halt erst auf Anforderung des Kunden.
 
Bevor ich anfange überhaupt was freizugeben, warte ich erst Mal zwei Wochen nach dem Patchday ab und schaue im Netz.
Für gewöhnlich laufen innerhalb dieser Zeit genügend Meckereien auf wenn ein Update schwere Probleme macht.

Danach dann an paar Testclients freigeben wo die Benutzer fit genug sind um Problemen zu reagieren und dazu unkritische Server bei denen ein Ausfall für 1-2 Tage nicht weh tut.
Oberkritische Anwendungen haben wir zum Glück nicht.
 
morcego schrieb:
Bevor ich anfange überhaupt was freizugeben, warte ich erst Mal zwei Wochen nach dem Patchday ab und schaue im Netz.
Für gewöhnlich laufen innerhalb dieser Zeit genügend Meckereien auf wenn ein Update schwere Probleme macht.

Danach dann an paar Testclients freigeben wo die Benutzer fit genug sind um Problemen zu reagieren und dazu unkritische Server bei denen ein Ausfall für 1-2 Tage nicht weh tut.
Oberkritische Anwendungen haben wir zum Glück nicht.
Zum Vergrößern anklicken....

Na so eine entspannte Umgebung hätte ich auch gern :D
 
Die Updates für die User werden bei uns über die Softwareverteilung "Matrix" eingespielt. Meist 2-5 Tage nach dem Release. In akuten fällen wie bei Wannacry werden die Updates sofort gepusht.

Die Server welche nicht im globalen Rechenzentrum stehen, sondern Deutschlandweit verteilt sind (ca 60) werden bei nicht Sicherheitsrelevanten Updates ca 1 Woche nach MS Release gemacht. Hier allerdings alle per "Windows Update Funktion". Die Server sind aber eingestellt, dass die Updates vorab nachts automatisch heruntergeladen werden. In der Regel Terminalserver vor Fileservern. Sollte mal aufgrund eines Updates ein Terminalserver ausfallen wäre dies weitaus weniger tragisch. Die Systeme im globalen Rechenzentrum werden von dem Rechenzentrumteam am Wochenende gemacht (auch hier gilt bei kritischen Updates sofort).
 
morcego schrieb:
Bevor ich anfange überhaupt was freizugeben, warte ich erst Mal zwei Wochen nach dem Patchday ab und schaue im Netz.
Für gewöhnlich laufen innerhalb dieser Zeit genügend Meckereien auf wenn ein Update schwere Probleme macht.

Danach dann an paar Testclients freigeben wo die Benutzer fit genug sind um Problemen zu reagieren und dazu unkritische Server bei denen ein Ausfall für 1-2 Tage nicht weh tut.
Oberkritische Anwendungen haben wir zum Glück nicht.
Zum Vergrößern anklicken....

Genauso machen wir das auch ungefähr. Außer wenn jetzt was wirklich kritisches ist wie z.B. das Update da von WannaCry. Das wird dann unverzüglich ohne Ausnahme eingespielt.
 
Ich bin zwar kein Windows Admin, aber bei uns macht das der Win Admin relativ locker.

Für die Windows Server (AD, FS, DHCP, DNS usw..) gibt es eine Testinstanz, dort installiert er die Updates. Wenn alles passt, dann werden die Updates auf die Produktivsysteme eingespielt.
Sollte dennoch irgendwas passieren, macht das auch nichts, denn von allen notwendigen Systemen gibt entweder einen Cluster oder ein sekundäres System, ansonsten muss halt das Backup eingespielt werden.
Achja, die Win Updates werden bei uns auch über den WSUS verteilt und die SW Updates über einen SCCM.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz