Im folgenden How To werde ich die exemplarische Veröffentlichung von Dell Hardwareupdates (Bios) mit Hilfe des WSUS Package Publisher und dem Dell System Center Update Katalog darstellen. Ab der Version v1.3.1309.01 unterstützt der WPP den Import von Updates aus Herstellerkatalogen. Diese werden von einigen Hard- und Softwareherstellern bereitgestellt, damit Updatevorgänge schneller und übersichtlicher durchgeführt werden können. Ursprünglich sind diese für die Verwendung von System Center Update Publisher in Verbindung mit System Center Configuration Manager vorgesehen, können aber auch mit einem WSUS und dem WPP verwendet werden. In diesen Katalogen stellen Hersteller wie Adobe bspw. die letzten Updates für den Adobe Reader XI oder den Flash Player bereit. Außerdem gibt es von den Hardwareherstellern Dell, HP und Fujitsu solche Kataloge um Treiber, Managementtools und Hardware auf aktuellem Stand zu halten. Nach dem Start des WPP muss als erstes der entsprechende Katalog abonniert werden, um daraus Updates zu veröffentlichen. Das Abonnement erreicht man über den Menüpunkt „Updates/Katalog abonnieren…“ Mittels Klick auf „Freigegebenen Katalog laden“ können die bereits mitgelieferten Kataloge abonniert werden. Alternativ kann man sie aber auch in das Adressfeld eintragen. Nach einem Klick auf „Verbindung testen“ und „Auf Aktualisierung prüfen“ ist man mit dem aktuellsten Katalog in der Lage Updates zu importieren.
Abbildung 1: Katalog abonnieren
Hierzu klickt man auf „Importiere Updates aus diesem Katalog…“, nachdem der entsprechende Katalog in der Liste ausgewählt wurde.
Es öffnet sich das Import Fenster, in dem man den Katalog öffnet. Mittels entsprechender Filterkriterien kann das entsprechende Update schneller gefunden werden.
Abbildung 2: Import Dell Driver Catalog Damit der Windows Update Agent erkennen kann, ob für ihn zutreffende Dell Updates auf dem WSUS bereitgestellt sind, muss als erstes der „Dell Open Manage Inventory Agent (for Business Client Systems) veröffentlicht werden. Informationen zu diesem Paket liefert die Dell Webseite.
Für alle WSUS Systeme, welche keine englischsprachigen Updates beinhalten, muss der Haken bei „Updates sprachunabhängig importieren“ aktiviert werden. Danach kann das Update in den WSUS importiert werden.
Abbildung 3: Download des Update Pakets von der Dell Webseite
Das Update wird dann von der Dell Website heruntergeladen. Der Computer von dem aus WPP gestartet wurde benötigt also einen Internetzugang (ftp und http).
Nachdem das Update erfolgreich importiert ist, kann es genehmigt werden und wird im nächsten Updatezyklus von den Clients erkannt und zum definierten Installationszeitpunkt installiert.
Abbildung 4: Bereitgestelltes Update für den Dell OpenManage Inventory Agent in der WSUS Konsole
Der Dell OpenManage Inventory Agent (for Dell Business Client Systems) benötigt hierbei keinen Reboot nach der Installation. Es kann jedoch bis zum nächsten Reboot dauern, bis Ergebnisse zurückgeliefert werden.
Nachdem somit die Voraussetzungen für die korrekte Erkennung von Dell Systemen geschaffen sind, können die notwendigen Updates aus dem Katalog importiert werden. Dies wird nachfolgend anhand eines Bios-Updates exemplarisch gezeigt.
Der Katalog wird erneut geöffnet, und mittels Filter auf das entsprechende Dell PC Modell, ein passendes Bios-Update importiert.
Abbildung 5: Import Dell Optiplex 7010 Bios Anders als andere Update Pakete benötigen die Dell Bios Updates zwingend einen Reboot und keinen Shutdown und späteren Neustart. Wird nach der Installation kein Reboot durchgeführt, wird das Bios Update solange auf dem Client als benötigtes Update angeboten, bis ein Reboot des Systems und das Bios Update erfolgreich durchgeführt wurde. Dell gibt zu diesem Thema folgendes Statement: ·
The BIOS will not upgrade without the reboot; the installer simply loads the image file into memory and waits for the reboot. · If a system goes into a low-power state, such as sleep or hibernate, then the memory space where the upgrade image is stored will be erased, and the end user will get an error when it eventually reboots. There is no harm done, but the error message may cause calls into your help desk and the BIOS upgrades will not have taken place.
Es bestehen mindestens zwei Möglichkeiten, diesen Reboot zu veranlassen.
- Das Bios Update wird mit dem auf obiger Webseite angegebenen Parameter /NOPAUSE bzw. /R (je nach Bios Paket) verteilt, was allerdings den Nachteil hat, dass der Reboot sofort und ohne Eingriffsmöglichkeit des angemeldeten Nutzers erfolgt. Die möglichen Parameter lassen sich bei einigen Updatepaketen mittels /? herausfinden.
Abbildung 6: Beispiel von Dell Bios Update Parameter
- Die WSUS Policies müssen umkonfiguriert werden, um den Benutzer über die Reboot-Notwendigkeit zu informieren und den Neustart auch bei angemeldeten Nutzern durchzuführen.
In den meisten Fällen dürfte Variante 1 ausfallen, es wird im Folgenden die notwendige GPO Konfiguration erläutert.
Computerrichtlinien
Abbildung 7: Automatischen Neustart auch mit angemeldetem Nutzer durchführen
Abbildung 8: Reboot-Timer auf 30 Minuten setzen
Bei der Neustartverzögerung muss man den für die jeweilige Umgebung sinnvollen Wert finden.
Benutzerrichtlinien
Für den Nutzer darf die Rebootbenachrichtigung natürlich nicht unterdrückt werden, da er sonst trotz entsprechender Maschinenkonfiguration keinen Reboot-Timer sehen kann.
Abbildung 9: Rebootnotwendigkeit anzeigen lassen
Wurden diese Richtlinien entsprechend konfiguriert und ein Update erfordert einen Neustart, wird dem Nutzer ein Reboot-Timer angezeigt.
Abbildung 10: Reboot-Timer unter Windows 7
Normalerweise hat der Nutzer nur noch die Möglichkeit den Neustart zu verzögern, indem er auf „Später erinnern:“ und den entsprechenden Wert klickt. Damit auch diese Möglichkeit nicht mehr gegeben ist und nach einem Bios Update innerhalb von 30 Minuten gebootet wird, muss für das Bios Update ein Stichtag zur Installation konfiguriert werden.
Abbildung 11: Stichtagkonfiguration in der WSUS Konsole
Damit schnellstmöglich installiert wird, wählt man einen benutzerdefinierten Zeitpunkt, welcher in der Vergangenheit liegt. Somit wird automatisch bei der ersten Installation der Reboot ohne Verzögerungsmöglichkeit durch den Nutzer durchgeführt.
Abbildung 12: Reboot Time bei Updates mit Stichtaginstallation Damit ist dann die Konfiguration für die Verteilung von Dell Bios Updates abgeschlossen. Drei wichtige Hinweise zum Abschluss: 1. Ich übernehme keine Haftung für fehlerhafte Systeme, Datenverlust oder defekte Hardware. 2. Alle Updates sollte man vorab an einzelnen Testsystemen testen. Dies sowohl manuell, um eventuell notwendige Parameter zu erfahren, als auch über die WSUS Verteilung, um deren Erfolg und Rebootrichtlinie zu testen. 3. Bei der Verwendung von Bitlocker muss die Verschlüsselung vorab gestoppt werden, da ansonsten die Eingabe des Bitlocker Recovery Keys beim Reboot mit einem neuen Bios notwendig ist. Wenn dieser nicht im AD gespeichert wurde, fängt man in solchen Fällen panisch zu suchen an. Datenverlust ist hierbei möglich.
We recommend that you suspend BitLocker before changing locales or installing a language pack, just as you would before making any major computer configuration change, such as updating the BIOS.
Norbert Fehlauer