Festlegen welche Windows Updates wann ausgerollt werden

[Mac_Leod]

Hallo,

ich bin mir gerade nicht sicher, wie kritisch das automatische ausrollen der Windows Updates in Live Systemen ist.
Wir hatten bisher wenig Probleme mit fehlerhalten Patches nur ist eine Nachbarfirma nach den Februar Updates über 24 Stunde nicht arbeitsfähig gewesen.
In deren vSphere 5.5 Umgebung wurde auf einer Win8 VM ein Patch installiert, der alle drei Virtualisierungshosts gekillt hat.
Der erste Host bekamt einen Kernel Error, VM wurde dank HS auf den zweiten Host geschoben, gebootet, Kernel Error, VM rüber auf den dritten Host geschoben, gebootet, Kernel Error > alles Tod.
Das Problem konnte identifiziert und gelöst werden, nur stimmt es mich nachdenklich ob ich bei uns, nicht lieber eine oder zwei Wochen warte, bis ich WSUS ausrollen lasse.
Nur gibt es kritische Updates die sofort installiert werden sollten und es frisst unendlich Zeit bis man die Infos zu den Updates durch hat.

Gibt es Mailing Listen bzw. Communitys die einen Feed laufen haben, wo man über Fehler usw. informiert werden kann?


Mich würde mal interessieren wie das in anderen Firmen gelebt wird.


Danke und viele Grüße
Mac

 

[PUNK2018]

wenn ich mich richtig entsinne, kannst du selber eine zentralen updateserver aufstellen... so kannst du dn
ann bestimmen wann die updates im netzwerk verteilt werden...

 

[Sarevok]

wenn ich mich richtig entsinne, kannst du selber eine zentralen updateserver aufstellen... so kannst du dn
ann bestimmen wann die updates im netzwerk verteilt werden...

Hat er doch einen WSUS!

Also bei uns in der Firma wartet der Admin immer 1 Woche mit der Freigabe der WIN Updates. Er hat auch irgendeinen Newsletter vom Microsoft TechNet.

 

[PUNK2018]

ah, das ist also ein wsus sry ;-)

hm, ist natuerlich die frage in wieweit im ms techchannel hilfe zu erwarten ist?!

 

[Sarevok]

Jop das ist ein WSUS ^^.

Man kann das ganze ja auch trennen die kleinen Clients werden sofort aktualisiert und die Server nachdem die Details zum Patch raus sind. So kann man einen Super Gau verhindern. Weil sich eher die Clients was einfangen als die Server.

 

[Baya]

Naja der WSUS dibt ja standardmäßig die Wichtigen und Sicherheitsupdates automatisch frei.
Bei denen hats eigentlich bei uns zumindest noch nie Probleme gegeben.
Die restlichen Updates musst du sicherheitshalber halt erst auf ner Test-Maschine ausprobieren, dann genehmigen.

 

[Mac_Leod]

Den Technet Verteiler werd ich mir mal ansehen danke.
Ich habe zum Spaß auchmal einen RSS Feed zu dem Thema aboniert, nur gab es da immer die Info analog zu CB, x Update Kritisch, x Updates Hoch usw....
Was ich aber suche ist eine Info "mit dem Patch gab es Probleme > nicht ausrollen"

@DerBaya

Standartmäßig gibt der WSUS garnix frei, das muss man konfigurieren. (War bei meinem neuaufsetzten jedenfalls der Fall)
Mit der Testmaschine, das ist ein guter Ansatz, evtl einfach mal zwei Produktivsystem clonen und in einem abgeschotteten VLAN ausprobieren, die Zeit ist da eher das Problem, das dauert einfach zu lange.

 

[puri]

Wir lösen das mit Pilot-PCs/Vms. Die Geräte der IuK + ein paar ausgewählte Poweruser, die möglichst alle möglichen Programme benutzen und auch schnell merken und Rückmeldung geben, wenn etwas nicht stimmt. Die bekommen die Updates immer Mittwoch nach Patchday. Erst am Montag drauf kriegens alle anderen - vorausgesetzt, wir lesen nichts Nachteiliges in der Fachpresse. Regeln kann man das natürlich sehr einfach über GRLs und einen WSUS.

 

[Mac_Leod]

Welche Quellen meinst du mit Fachpresse?
Technet ist klar, aber was noch?

 

[karuso]

Läuft bei uns auch wie bei Puri:
Testgruppe (primär IT-Mitarbeiter und Testserver) bekommen Updates sofort, wenn nichts auffällt(in Testgruppe oder Fachpresse) am Montag drauf alle anderen.

 

[puri]

Fachpresse: Heise, Computerbase, Anandtech, etc.