Bereitstellen von Patches für virtuelle Maschinen und für VM-Vorlagen

Das Verfahren zur Initiierung einer Patchbereitstellung ist immer dasselbe, unabhängig davon, ob die Bereitstellung für einen physikalischen Computer, eine virtuelle Maschine im Onlinezustand (Online-VM), eine virtuelle Maschine im Offlinezustand (Offline-VM) oder eine Vorlage für eine virtuelle Maschine (VM-Vorlage) erfolgt. Bei virtuellen Maschinen und den Vorlagen für virtuelle Maschinen gibt es jedoch geringe Unterschiede bei dem, was im Anschluss an die Initiierung der Bereitstellung geschieht.

Bei Bereitstellungen für virtuelle Maschinen, die auf einem Server gehostet sind, empfiehlt es sich, die Bereitstellungsvorlage Standard für virtuelle Maschinen zu verwenden. Außerdem muss in allen Fällen die Verbindung des virtuellen Netzwerk während der Bereitstellung aufrechterhalten bleiben.

Gilt auch für Patchbereitstellungen, die mit einer Installation beim nächsten Neustart für gehostete virtuelle Maschinen im Offlinezustand vorgenommen werden.

Wenn Sie eine sofortige Bereitstellung für einen physikalischen Computer, eine Workstation-VM im Onlinezustand oder eine Workstation-VM im Offlinezustand durchführen möchten, werden die zur Bereitstellung benötigten Dateien sofort auf den Zielcomputer kopiert und die Bereitstellung wird so geplant, dass sie unmittelbar unter Verwendung des Schedulers auf dem Zielcomputer erfolgt. Die Patchinstallation erfolgt auf den Zielcomputern. Die Konsole ist an der Patchinstallation nicht aktiv beteiligt. Falls sich der Computer in einem anderen Energiestatus befindet als beim letzten Scan, schlägt die Bereitstellung fehl.

Wenn Sie eine sofortige Bereitstellung für eine virtuelle Maschine durchführen, die auf einem Server gehostet ist, findet der gesamte Bereitstellungsprozess auf dem Security Controls Konsolencomputer statt. Die Konsole bestimmt den Online- bzw. Offline-Zustand der gehosteten virtuellen Maschinen und der Konsolendienst ist während der Patchinstallation aktiv beteiligt. So kann der Status der gehosteten virtuellen Maschinen im Verlauf der Bereitstellung vom Konsolendienst geändert werden.

Die folgende Tabelle gibt einen Überblick darüber, was zum Zeitpunkt einer sofortigen Bereitstellung passiert, in Abhängigkeit davon, wo die virtuellen Maschinen innerhalb der Computergruppe definiert sind.

Zur Definition der virtuellen Maschine verwendete Registerkarte "Computergruppe"

Zielcomputer ist online

Zielcomputer ist offline

Computername, Domänenname,
IP-Adresse/-Bereich, Organisationseinheit

Push der Dateien und sofortige Initiierung der Bereitstellung

Fehler

Workstation virtuelle Maschinen

Fehler

Push der Dateien und Planung auf dem Ziel; die Bereitstellung erfolgt das nächste Mal, wenn die virtuelle Maschine online gebracht wird.

Gehostete virtuelle Maschinen

Push der Dateien und sofortige Initiierung der Bereitstellung. Der Prozess ist der gleiche wie bei einem physischen Computer, mit der Ausnahme, dass Snapshots entsprechend der Bereitstellungsvorlage erstellt und gelöscht werden.

*Siehe nachstehende Schritte.

Damit die Bereitstellung erfolgreich verläuft, müssen auf der virtuelle Maschine die VMware Tools installiert sein.

Wenn Sie Ihre Abläufe in einer eingeschränkten NTLM- oder SPN-Umgebung ausführen und FQDN als Verbindungsmethode festlegen, werden beim Bereitstellen von Patches auf gehosteten, virtuellen Computern im Offline-Modus keine Fortschrittsmeldungen angezeigt.

*Während der Bereitstellung für gehostete virtuelle Maschinen im Offlinezustand oder für eine VM-Vorlage im Offlinezustand werden die folgenden Schritte ausgeführt:

  1. [Bedingt: nur Vorlagen] Konvertierung der VM-Vorlage in eine virtuelle Maschine im Offlinezustand.
  2. (Optional) Erstellung eines Snapshots, wenn die Bereitstellungsvorlage so konfiguriert wurde, dass sie einen Snapshot vor der Bereitstellung erstellt.
  3. (Optional) Löschung alter Snapshots, sofern einer der Snapshot-Schwellenwerte überschritten wird, der auf der Patchbereitstellungsvorlage definiert wurde.
  4. Kopieren der Patches auf die virtuelle Maschine im Offlinezustand.
  5. Neukonfigurierung folgender Optionen auf der virtuelle Maschine im Offlinezustand:
    • Deaktivierung der Option Beim Einschalten verbinden (Connect at power on) des Netzwerkadapters. Dies geschieht, um die Maschine vom Netzwerk zu isolieren, während der Patchprozess ausgeführt wird.
    • Deaktivieren Sie Sysprep, damit das Betriebssystem der virtuellen Maschine nicht automatisch beim ersten Einschalten konfiguriert wird.
  6. Einschalten der virtuellen Maschine.
  7. Installieren der Patches.
  8. Ausschalten der virtuellen Maschine.
  9. Zurücksetzen der Maschinenkonfiguration auf ihre ursprünglichen Netzwerkverbindungs- und Sysprep-Einstellungen.
  10. (Optional) Erstellung eines Snapshots, wenn die Bereitstellungsvorlage so konfiguriert wurde, dass sie einen Snapshot vor der Bereitstellung erstellt.
  11. (Optional) Löschung aller Snapshots, wenn einer der Snapshot-Schwellenwerte überschritten wird, der auf der Patchbereitstellungsvorlage definiert wurde.
  12. [nur bedingte Vorlage] Rückkonvertierung der virtuellen Maschine im Offlinezustand in eine VM-Vorlage.

Gilt auch für Patchbereitstellungen, die mit einer Installation beim nächsten Neustart für gehostete virtuelle Maschinen im Onlinezustand und für Workstation-VMs im Offlinezustand vorgenommen werden.

Wenn Sie eine Bereitstellung für einen physikalischen Computer, eine Workstation-VM im Onlinezustand oder eine Workstation-VM im Offlinezustand durchführen möchten, werden die zur Bereitstellung benötigten Dateien sofort auf die Zielcomputer kopiert und die Bereitstellung wird unter Verwendung des Schedulers auf dem Zielcomputer geplant. Die Patchinstallation erfolgt auf den Zielcomputern. Die Konsole ist an der Patchinstallation nicht aktiv beteiligt. Befindet sich der Computer zum Zeitpunkt der eigentlichen Bereitstellung in einem anderen Energiestatus als beim letzten Scan, schlägt die Bereitstellung fehl.

Wenn Sie eine geplante Bereitstellung für eine virtuelle Maschine durchführen, die auf einem Server gehostet ist, wird der gesamte Bereitstellungsprozess so geplant, dass er unter Verwendung des Schedulers auf dem Security Controls Konsolencomputer stattfindet. Der Online- bzw. Offlinezustand der gehosteten virtuellen Maschinen wird zum geplanten Zeitpunkt ermittelt und die Konsole ist zum Zeitpunkt der Patchinstallation aktiv beteiligt. So kann der Status der gehosteten virtuellen Maschinen im Verlauf der Bereitstellung von der Konsole geändert werden.

Die folgende Tabelle gibt einen Überblick darüber, was zum Zeitpunkt der Planung einer Bereitstellung passiert, in Abhängigkeit davon, wo die virtuellen Maschinen innerhalb der Computergruppe definiert sind.

Zur Definition der virtuellen Maschine verwendete Registerkarte "Computergruppe"

 Zielcomputer ist online
zur geplanten Zeit online		 Zielcomputer ist offline
zur geplanten Zeit online

Computername, Domänenname,
IP-Adresse/-Bereich, Organisationseinheit

Push der Dateien auf das Ziel und Planung der Bereitstellung auf dem Ziel. Die Bereitstellung erfolgt, sobald das nächste Mal beide der folgenden Aussagen zutreffen:

  • Der Computer ist online
  • Der geplante Zeitpunkt ist verstrichen.

Fehler

Workstation virtuelle Maschinen

Fehler

Push der Dateien auf das Ziel und Planung der Bereitstellung auf dem Ziel. Die Bereitstellung erfolgt, sobald die folgenden zwei Bedingungen erfüllt sind:

  • Der Computer ist online
  • Der geplante Zeitpunkt ist verstrichen.

Gehostete virtuelle Maschinen

Planung der Bereitstellung auf der Konsole. Wird zum geplanten Zeitpunkt (bzw. im Falle von Bereitstellungen mit Installation beim nächsten Neustart beim Neustart des Computers) wie eine sofortige Bereitstellung behandelt. Siehe Gehostete virtuelle Maschinen in der vorherigen Tabelle.

Wenn die geplante Bereitstellung ein Mix aus gehosteten virtuellen Maschinen und anderen Typen von Computern umfasst, werden die Computer in zwei Gruppen getrennt. Die Bereitstellung für die gehosteten virtuellen Maschinen wird so geplant, dass sie auf der Konsole zum geplanten Zeitpunkt stattfindet. Für alle anderen Computer, die keine gehosteten virtuellen Maschinen sind, werden die Dateien sofort auf die Zielcomputer kopiert und die Bereitstellung wird unter Verwendung des Schedulers auf dem Zielcomputer geplant.

Denken Sie daran, dass die Definition einer erfolgreichen Bereitstellung aus der Sicht von Security Controls davon abhängt, wo sich die virtuelle Maschine befindet. Eine erfolgreiche Bereitstellung für eine gehostete virtuelle Maschine bedeutet, dass die Maschine vollständig gepatcht ist, wohingegen eine erfolgreiche Bereitstellung für eine auf einer Workstation befindliche virtuelle Maschine bedeutet, dass die Patches auf die virtuelle Maschine im Offlinezustand gepusht wurden.

Bei der Durchführung der Bereitstellung versucht das Programm, sich beim Zielcomputer mit den Anmeldeinformationen zu authentifizieren, die im Dialogfeld Computereigenschaften verwalten angegeben wurden. Sollten die Anmeldeinformationen ungültig sein, schlägt die Bereitstellung fehl. Wenn sich bei Workstation-basierten virtuellen Maschinen der Energiestatus seit dem letzten Scanvorgang geändert hat, schlägt die Bereitstellung fehl.

Weitere Informationen finden Sie unter Anforderungen an Anmeldeinformationen und Energiestatus für VMs.