Agentenbasierte Patchverwaltung
Das Rollout von Agents erfordert etwas mehr Vorbereitung. Die Umgebung muss so konfiguriert werden, dass die ersten Scans von den Computern empfangen werden können. Ein Agent ist eine hervorragende Methode zum Automatisieren der Verwaltung schwer erreichbarer Computer. Es kann sich daher lohnen, Agents auf den Computern zu implementieren.
Zum Konfigurieren und Installieren eines Agents müssen Sie Agentrichtlinien erstellen, mit denen sich unterschiedliche Computergruppen verwalten lassen. Die Richtlinien können auf dem geografischen Standort, auf der Rolle oder einer Kombination daraus basieren. Jede Richtlinie kann für die Ausführung mehrerer Tasks auf stündlicher, wöchentlicher oder monatlicher Basis konfiguriert werden. Nachdem die Agentrichtlinien eingerichtet wurden, kann der Agent auf dem Computer installiert werden. Nachdem der Agent installiert wurde, beginnt er mit der Verwaltung des Computers entsprechend der Konfiguration.
Wenn Agents eine längere Rolloutzeit benötigen, stellt sich die Frage, weshalb sie in manchen Fällen dennoch die bessere Wahl sein sollten. Es gibt drei allgemeine Fälle, in denen Agents die bevorzugte Lösung sind.
Laptop-Benutzer
Laptops sind heutzutage abwechselnd in der Umgebung aktiv und inaktiv. Wenn der Agent auf einem Computer installiert ist, spielt es keine Rolle, ob der Laptop während eines Wartungsfensters online ist oder nicht. Die Agtentrichtlinie kann so konfiguriert werden, dass diese Lücken gefüllt werden und die agentenlose Abdeckung unterstützt wird. Dadurch ist ein solides Supportmodell für schwer zu erreichende Geräte gegeben.
Sichere Umgebungen
Demilitarisierte Zonen (DMZs) sind ein gutes Beispiel für Umgebungen, die möglicherweise keine Datei- und Druckfreigabe zulassen, unabhängig von den implementierten Firewallregeln und Sicherheitsmaßnahmen. Mit dem Agent kann das Ziel gesperrt werden und es ist nur ein ausgehender Port zur Konsole zum Aktualisieren der Richtlinie erforderlich. Dieser Port ist Port 3121 (eingehender Port auf der Konsole). Eine Internetverbindung ist dann erforderlich, wenn Sie "Vender over Internet" als Quelle für Daten und Patches festgelegt haben. Falls interne Verteilungsserver eingesetzt werden sollen, benötigen diese die Ports 137 - 139, 445 bzw. (bei Verwendung von http) den Port, auf dem IIS für das virtuelle Verzeichnis konfiguriert ist.
In den Systemvoraussetzungen finden Sie die neuesten Portinformationen.
Verbindungen mit geringer Bandbreite
Der Agent verlagert die Scans auf den lokalen Computer. Einer der Vorteile der agentenlosen Verwaltung ist, dass der Großteil der Verarbeitung auf der Konsole stattfindet. Dies bedingt Netzwerkdatenverkehr und eine hohe CPU-Auslastung auf der Konsole, das Ziel wird dadurch jedoch kaum beeinträchtigt. Führt der Agent die Scans lokal aus, kann der WAN-Datenverkehr von durchschnittlich 2 - 4 MB auf durchschnittlich 20 - 100 KB reduziert werden, damit ein genauer Scan möglich ist und die Ergebnisse an die Datenbank gemeldet werden können. Ein Agent, der Verteilungsserver für die Bereitstellung verwendet, dürfte den Großteil des Datenverkehrs auf dem lokalen LAN abwickeln und es wäre nur ein Bruchteil des WAN-Datenverkehrs erforderlich. Dadurch verringert sich die Beanspruchung von Verbindungen mit geringerer Bandbreite.
Dauer der Implementierung
Die Konfiguration einer Agentrichtlinie dauert in der Regel 10 - 20 Minuten. Das Rollout der Agents auf den Zielcomputern kann mehrere Stunden oder Tage in Anspruch nehmen. Dies ist von der Anzahl der Computer und der gewählten Rolloutoption abhängig. Die Rolloutoptionen werden im nächsten Abschnitt beschrieben.
Verwandte Themen
- Empfehlungen für die Software und Hardware der Konsole
- Portanforderungen und Firewallkonfiguration
- Verwaltung verteilter Umgebungen
- Agentenloses Patchmanagement
- Optimaler Ansatz für das Anwenden von Patches in einer agentenlosen Umgebung
- Automatisieren der Patchverwaltung in einer agentenlosen Umgebung
- Optionen für das Rollout von Agents
- Installieren und Unterstützen von Agents auf internetbasierten Computern
- Agentenbasierter Prozess für die Bereitstellung von Produktebenen und Patches
- Patchdienstag – Anleitung für die Organisation des Patchtages
- Microsoft SQL Server – Datenbankwartung
- Patching in einer getrennten Umgebung