Softwaredeployment für kleine Domäne

[violentviper]

Hallo,

ich betreibe eine kleine Domäne mit ca. 15 Windows 10 Clients. Ich bin auf der Suche nach einer Möglichkeit, auf den Clients Software zu verteilen und auch deren Softwarestände einzusehen. Weiterhin möchte ich einsehen können, wenn eine Installation oder ein Patchvorgang fehlschlug. Natürlich auch für Windows Updates. Mehr muss es nicht können.

Aktuell mache ich noch alles über GPOs und deren Softwareinstallationsfunktion. Für MSI klappt das meist recht gut, allerdings bekommt man da keine Rückmeldung, ob die Software wirklich installiert wurde. Für .exe schreibe ich jedes mal ein Installtionsskript, welches ich per GPO verteile. Großer Nachteil ist auch, dass ich nie weiß, welches Windows Patchlevel die Clients haben. Das ist natürlich nicht schön. Der Windows Configuration Manager ist für die kleine Anzahl an Clients zu groß und aufwändig.

Gibts eine kleinere und aufwandsärmere Lösung, die hier passen könnte?

 

[washieiko]

Für Winupdates evtl. den WSUS ?

 

[violentviper]

Den betreibe ich nicht selber. Es wäre aber vielleicht eine Überlegung wert, einen eigenen WSUS zu betreiben. Das löst aber auch nicht das Problem, dass ich nicht weiß, ob Programmaktualisierungen von z.B Browser erfolgreich waren.

 

[Gamienator]

Schau dir mal https://www.baramundi.com/de-de/ an Damit haben wir lange gearbeitet.

 

[washieiko]

Jow, für Versionsüberwachung von lokalen Installationen ist der WSUS natürlich nix, sondern nur für die Windowsupdates und patches.

Mir ist nicht bekannt, dass man die Softwareversionen von lokalen Programmen zentralisiert einsehen könnte.

 

[violentviper]

Schau dir mal https://www.baramundi.com/de-de/ an Damit haben wir lange gearbeitet.

Danke für den Tipp!

Wenn ich das richtig sehe, muss man hierfür einen SQL Server aufsetzen oder? Das wäre aber nicht das Problem.
Braucht man auch eine PKI?

 

[Gamienator]

Ich bin mir nicht genau sicher, ich war nicht dabei beim aufsetzen. Aber ja, SQL Server ist notwendig soweit ich mich erinnere.

 

[BrainLagg]

Wäre denn chocolatey nichts für euch?
https://chocolatey.org/

Finde Baramundi etwas zu "overpowered" auch wenn wir es selbst einsetzen (650 Windows Clients)

 

[kartoffelpü]

Jap, SQL Server wird benötigt, aber Server Express reicht aus.
Alternativ kannst du dir mal PDQ Deploy anschauen. Gibt ne kostenlose Version, welche allerdings ziemlich viele Einschränkungen hat. Aber eventuell reicht dir das ja aus...

 

[T3Kila]

Für die Größe kannst Du Dir auch mal Opsi anschauen

 

[kamanu]

Wäre denn chocolatey nichts für euch?
https://chocolatey.org/

+1 für Chocolatey

In der Business Variante hast du auch ein zentrales Portal um den Stand der Software einzusehen. Und entsprechend Patches anzustoßen etc.
Aber im Zweifel erstmal mit der Consumer Variante für dich selbst ausprobieren.

 

[violentviper]

Deren Website finde ich nicht so aussagekräftig. Installiert man Chocolatey auf einem extra Server und kann darüber dann Patches auf den Clients anstoßen?

 

[BrainLagg]

Bin kein Experte für die Business Variante aber du installierst choco auf den Clients mit einem Verweis auf deinen zentralen Server. Du kannst dann entscheiden ob die Clients Updates direkt aus dem Internet herunterladen (direkt aus dem repo von choco) oder ob du beispielsweise für bestimmte Software die repository auf deinem Server selbst verwalten willst.

Auf dem Server läuft dann nur die Verwaltung in der du die Patchlevel der Computer einsehen und steuern kannst. Chocolatey ist insgesamt sehr lightweight und basic.

Verwende es seit Jahren bei der Familie und privat um regelmäßig meine Software auf Rechnern zu installieren und zu aktualisieren. Habe z.B. die Consumer Variante bei mir und einfach einen regelmäßigen Windows Job, der das Update jeden Tag morgens triggert. So gehts komplett automatisiert und einfach.

 

[violentviper]

Danke euch für die Vorschläge. Da habe ich doch schon mal einiges, was ich mir anschauen kann. Als erstes werde ich mal Chocolatey testen.

 

[kamanu]

Einmal zur Struktur von Chocolatey in der kostenlosen Variante:

Du installierst dir Chocolatey als CLI-Tool und als Repository für die Packages nimmt er dann das frei verfügbare Community Repository. Die Pakete darin enthalten quasi Installationsanweisungen inkl. Download-Link zur msi/exe beim Hersteller. Mithilfe der Installationsanweisungen und des Links installiert dir die CLI das dann via dem Befehl "choco install packageName".

Die Struktur in der Business Variante:
Chocolatey wird als CLI-Tool auf allen Rechnern installiert. Zusätzlich inkl. Lizenz die diverse Features freischaltet, wie z.B. auch Installation von Packages aus bestimmten Repositories ohne Admin-Rechte. Da kann man sich dann z.B. bei Bedarf als User nen VLC-Player selbst installieren.
Auf den Client-Rechnern ist dann wiederum noch der chocolatey-agent. Der kommuniziert mit einem zentralen Server.
Auf dem Server laufen 3 verschiedene Dinge:
1. Chocolatey-Central-Management was mit den Agents redet. Darüber kannst du Infos zur Software abrufen, aber auch gleichzeitig Updates anstoßen und generell alles was die Powershell kann auch auf den Clients machen.
2. Nexus-Repository. Deine eigenen Package-Repositories pflegen um deine Internetleitung bei großen Updates zu schonen. Das Repository kannst du zum einen mit selbsterstellten Paketen pflegen, zum anderen aber für Pakete die auch im Community Repository sind automatisch pflegen lassen. Dafür brauchst du:
3. Jenkins. Jenkins guckt regelmäßig im Community Repository nach, ob aktuellere Versionen da sind und schiebt die dann in dein internes Repo. Das macht es allerdings nur für Dinge, die du über Jenkins vom Community Repo einmalig rangeholt hast.

Wenn noch Fragen da sind, dann her damit. Deren Support (komplett auf Englisch) ist auch sehr gut, allerdings kostet der bei deiner niedrigen Anzahl an Lizenzen zusätzlich. Der ist neuerdings erst ab 100 Lizenzen inklusive.

 

[violentviper]

Wenn noch Fragen da sind, dann her damit. Deren Support (komplett auf Englisch) ist auch sehr gut, allerdings kostet der bei deiner niedrigen Anzahl an Lizenzen zusätzlich. Der ist neuerdings erst ab 100 Lizenzen inklusive.

So wie ich es sehe, scheidet die kostenlose Variante aus, da ich auf den Clients keinen Internetzugang habe. Es ist eine zentrale Anforderung, dass die Software für die Clients von einem lokalen Server bezogen wird und nicht direkt aus dem Internet (hatte ich vergessen zu erwähnen).

Somit käme dann meiner Auffassung nach nur die kostenpflichtige Version in Betracht. Das ist per se nicht das Problem. Ich würde allerdings gerne die Software im Vorfeld testen können, um zu schauen, ob es auch so funktioniert wie ich mir erhoffe. Vielleicht gibt es für die Business Variante eine kleine Demo.

 

[kamanu]

Also 2020 (da hab ich angeschafft) gab es eine entsprechende Trial-Lizenz. Damit konnte man den vollen Umfang entsprechend testen. Die kannst du dann im Grunde auch am Ende einfach gegen die bezahlte austauschen.