SCVMM 2012 RC – Konfiguration der Fabric Teil 1 (WSUS)

Susan Roesner am 02. Dezember 2011

Wie von mir bereits erwähnt, ist in meinen Augen der System Center Virtual Machine Manager 2012 ein neues Produkt. Im ersten Moment mag die 2012er Version erschlagend wirken, aber man kann sehr viele Dinge automatisieren, vorbereiten und immer wieder verwenden. Das Vereinfachungs- und Automatisierungspotential ist in vielen Bereichen enorm. Das heißt natürlich auch, dass ich VOR der Erstkonfiguration einige Überlegungen anstellen sollte und gegebenenfalls auch Änderungen durchführen muss.

Um das volle Potential von zu nutzen ist es wichtig, dass man sich vor der Installation im Klaren ist, wie die virtuelle IT Landschaft aussehen soll, es muss z.B. definiert sein, welche Ziele man mit dem erreichen möchte.

In den nächsten Blogbeiträgen werde ich auf einige dieser Bereiche eingehen und anhand von Beispielen zeigen warum ich dieser Meinung bin. Zunächst werden wir den Bereich Fabric näher betrachten. Fabric ist nichts anders als die zugrundeliegende Infrastruktur, welche ich für meine virtuelle Umgebung benötige (z.B. Storage, Hosts, Netzwerkinfrastruktur).

Die Idee hinter SCVMM 2012 ist “Bausteine”, welche ich für den Betrieb einer virtuellen IT Landschaft benötige einmal zu konfigurieren um diese dann in verschiedenen Konstellationen immer wieder verwenden zu können. Dazu werden in einigen Bereichen, vor allem im Bereich Netzwerke und Storage eine Abstraktionsschicht eingebaut. Wie diese genau eingeht werde ich in den entsprechenden Blogs zeigen.

Windows Server Update Service ()

Fangen wir mit WSUS an, da dieser keine großen Vorüberlegungen braucht. Es kann ein bereits bestehender WSUS Server in den SCVMM 2012 integriert werden. Bestehende Clients werden ohne Änderungen weiter bedient. Während der Integration wird eine VMM spezifische Targetgruppe  “SCVMM Managed Computers” eingerichtet. “Approved” Updates werden dann für diese Gruppe freigegeben.

Warum WSUS Integration?

Ein Beispiel: der SCVMM 2012 ist “Cluster aware”. Mit anderen Worten, werden Hosts gepacht, dann erkennt SCVMM 2012 automatisch, wenn der Host Teil eines Clusters ist. Nach meinem Wissen ist selbst SCCM nicht automatisch “Cluster aware”. Der Vorteil liegt darin, dass nicht alle Hosts gleichzeitig gepatcht werden. Vielmehr wird ein Host in den Maintenance Mode gesetzt (wichtig bei einer SCOM Integration) und die darauf laufenden VMs werden automatisch verschoben (bei Live Migration). Erst danach wird der Host gepacht. Geht etwas schief, dann wird dies erkannt und der Patchprozess unterbrochen, damit die anderen Hostserver des Clusters funktionstüchtig bleiben. Sollte kein Fehler vorliegen, wird der Host aus dem Maintenance Mode genommen und die VMs werden wieder auf den Host geschoben und der nächste Hostserver wird gepatcht.

Die folgenden Punkte sind darüber hinaus zu beachten:

  • weitere Konfigurationsschritte sind notwendig, wenn der WSUS Server bereits in SCCM integriert ist – siehe http://technet.microsoft.com/en-us/library/hh341476.aspx
  • die Konfiguration von WSUS sollte entweder über die WSUS Konsole ODER über SCVMM erfolgen
  • die WSUS Admin Konsole muss installiert werden, wenn der WSUS auf einem anderen Server als dem SCVMM Server läuft – siehe: http://technet.microsoft.com/en-us/library/gg675099.aspx
  • Geptacht wird die Infrastruktur für die virtuelle Umgebung (Host Server, Cluster Server, Library Server, WSUS Server, PXE Server, VMM Server)

Ich werde zunächst auf die Erstkonfiguration eingehen und dann einen Ausblick geben, wie man den Betrieb automatisieren kann.

Integration von WSUS in SCVMM 2012

Wie im Bild links gezeigt, in der SCVMM Console auf Fabric -> Add Ressources -> Update Server gehen. Es öffnet sich das Fenster wie rechts gezeigt. Hier bitte den vollen WSUS Servervnamen, Port sowie ein Benutzerkonto angeben, welches über genug Rechte verfügt um den WSUS Server hinzuzufügen. Wie bereits erwähnt wird u.a. die Gruppe SCVMM Managed Computers hinzugefügt, welche alle Server enthält die in den SCVMM 2012 integriert sind.

 

Konfiguration des integrierten WSUS Servers

Nachdem der WSUS Server erfolgreich hinzugefügt wurde, sollten noch einige Konfigurationsschritte durchgeführt werden. Dazu unter Fabric -> Servers -> Update Server gehen (siehe Bild links) und im Reiter Update Server auf Properties gehen. In diesem Wizard wird eingestellt, welche Art von Updates, für welche Produkte und für welche Sprachen diese über den WSUS bereit gestellt werden sollen.

Im vorletzten Schritt muss man erneut auf den Reiter Update Server gehen und den Punkt Synchronize auswählen (oder rechte Maustaste auf den WSUS Server und Synchronize auswählen).

 

Bevor es nun endlich los gehen kann, muss noch eine sogenannte Baseline erstellt werden. In dieser wird konfiguriert, welche Updates  für welche Server bereit gestellt werden sollen. Microsoft liefert bereits 2 Baselines mit den SCVMM.  Ich werde hier kurz zeigen, wie eine eigene Baseline erstellt werden kann. Dazu jetzt auf Library -> Create -> Baseline (siehe linkes Bild) gehen. Es öffnet sich der Update Baseline Wizard (siehe unten). Im ersten Fenster den Namen der Baseline eingeben. Einige unserer Kunden haben eine Firmenpolicy, dass kritische Updates innerhalb 1er Woche zu installieren sind. Indem Fall also als Namen “Critical Updaes – 1 week” eingeben und auf Weiter klicken. Im Fenster Update auf den Button Add gehen und alle gewünschten Update auswählen und über Add hinzufügen. Im Fenster Assignemnt Scope auswählen für welche Hostgruppen oder Server diese Baseline aktiviert werden soll.

Voila, wir können endlich mit dem Patchen anfangen.

 

Der Patch Prozess (Compliance Scan & Remediation)

Auf Fabric -> Servers gehen. Es werden alle eingebundenen Server inklusive Comliance Status angezeigt. Wie im Bild ersichtlich wurde ein Server in meiner Umgebung noch niemals gescannt (Compliance Status: Unkown). Als letztes nun auf den Punkt Scan gehen und die Server werden gescannt. Sollten Patches fehlen wird dies im Compliance Status Feld sofort angezeigt. Man kann sich unter Compliance Properties anschauen, welche Patches fehlen.

Sollte es Patches geben, welche auf bestimmte Hosts nicht ausgerollt werden sollen, da diese z.B. bei bestimmten Konstellationen Probleme verursachen, dann kann man in diesem Fenster einzelene Patche abwählen. Dazu den Patch auswählen und auf Create gehen (siehe linkes Bild). Es wird eine Ausnahme für diesen Host/Patch erstellt.

Zum Patchen nun einfach auf den Punkt Remediate gehen und der Patchprozess wird gestartet.

 

Automatisierung des Patch Prozesses

Die ersten Konfigurationsschritte müssen einmal manuell durchgeführt werden. Für die Aufrechterhaltung des Betriebes ist dies aber keine Option – jedenfalls nicht wenn ich die Vorteile von SCVMM nutzen will.

Im unten aufgeführten Link sind einige Artikel und Skripte hinterlegt um das

  • Synchronisieren des WSUS Servers
  • Updaten der Baselines
  • Durchführen des Compliance Scans der Server sowie
  • Anstarten des Patch Prozesses bei fehlenden Patches

automatisch durchzuführen. Voraussetzung in diesem Beispiel ist der System Center Orchestrator.

Link zu Scripten/Doku: http://gallery.technet.microsoft.com/scriptcenter/Automating-UpdatePatch-136388b1

Über Fragen oder Anmerkungen freue ich mich.

Tags: , ,

Kommentare sind geschlossen.