Windows-Updates mit Monitoring überwachen

Jeder Administrator kennt sie – die regelmäßigen Updates für Server und Arbeitsstationen. Bei vielen Servern kann hier schnell der Überblick verloren gehen, welche Systeme noch mit Windows-Patches zu versorgen sind. Das Monitoring des Update-Status spart Zeit und sorgt Fehlern vor.

Verteilen und Durchführen

Die Verteilung von Updates und Patches im Unternehmensnetzwerk ist keine allzu große Herausforderung. Hier leisten die Windows Update Services (der WSUS-Server) eine zuverlässige Arbeit. Workstations ziehen die freigegebenen Programmflicken und installieren diese beim Herunterfahren bzw. dem Neustart. Ganz anders sieht es auf der Serverseite aus.

Die Übersicht behalten

Monitoring: Zeitpunkt des letzten Updates

Monitoring: Letztes Update

Um mehr Kontrolle zu gewährleisten, werden Updates auf Servern zwar vom WSUS heruntergeladen – den Updatezeitpunkt bestimmt aber der Administrator individuell. Nicht immer ist die sofortige Installation ratsam. Microsoft hat schon so manchen Patch zurückgezogen oder damit zusätzliche Probleme geschaffen.

Um den Produktivbetrieb nicht zu stören, werden Patches meist in der Nacht oder am Wochenende eingespielt. Der erforderliche Neustart der Systeme will gut geplant sein. Bei einer größeren Anzahl von Servern kann hier schon mal ein System übersehen werden. Eine Checkliste ist gut – Monitoring besser!

Der System-Status

Überwachung der System-Laufzeit

Überwachung der System-Laufzeit

Eine erste Möglichkeit, den Überblick über ausstehende Updates zu behalten ist die Uptime des jeweiligen Betriebssystems. Da jeder Patch einen Neustart bewirkt, kann auf diese Weise rasch herausgefiltert werden, welche Systeme noch auf der Todo-Liste des Admins stehen. Da Microsoft sich mittlerweile auch mit SNMP (etwas) angefreundet hat, erkundet das Monitoring-System in regelmäßigen Abständen die Laufzeit des Servers und bildet damit die Grundlage für „vergessene Kandidaten“. Ein Server mit mehr als 5 Wochen Uptime ist eine automatisierte Erinnerung wert.

Besser mit Powershell

Zuverlässiger läßt sich der Status des Servers mittels Windows Powershell feststellen. Auf dem Monitoring-Server richtig konfiguriert, können auf diese Weise gleich viele wertvolle Zahlen abgefragt werden. Dies sind z.B.:

  • Die Zeit seit dem letzten Update
  • Die Anzahl installierter Updates
  • Die Anzahl fehlender Updates
  • Die Anzahl fehlender Sicherheitsupdates inklusive deren Wichtigkeit (optional, empfohlen, kritisch)
Monitoring: Die detaillierte Update-Übersicht

Monitoring: Die detaillierte Update-Übersicht

Verständigung nach Wunsch

Der Alarm auf dem SmartPhone

Verständigung auf dem SmartPhone

Für ein Monitoring-System selbstverständlich ist die ständige Auswertung der einzelnen Stati. Im Fall der Updates zeigt sich dies sehr flexibel. Es kann nach dem Überschreiten einer bestimmten Zeitspanne seit dem letzten Update eine einfach Warnung an den Administrator gesendet werden. Fehlende kritische Sicherheitsupdates sollten vielleicht eine spezielle Eskalation erhalten, da diese ein sofortiges Handeln erfordern. Gleiches gilt für Fehler in der Kommunikation mit dem WSUS-Server.

Entspannter Arbeiten

In der Praxis zeigt das Monitoring auch an dieser Stelle, wie es den Administrator bei der Arbeit entlasten kann. Keine Checkliste oder menschliche Fehler mehr. Eine einfache Auswertung der Systemliste des Monitoring-Servers reicht aus, um das ohnehin stets nervige Warten der Systeme etwas entspannter über das Patch-Wochenende zu bringen.


Teile diesen Artikel

Das könnte dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*