Updateposaune

von Thomas Joos

Microsoft bietet mit Azure Update Management einen Dienst an, der Server in lokalen Rechenzentren und virtuelle Server in Azure sowie anderen Clouddiensten automatisiert patchen kann. Der Service ist sogar dazu in der Lage, Linux-Server zu aktualisieren. Auf welchen Komponenten das Werkzeug fußt, wie es in Betrieb zu nehmen ist und wie Sie damit Bereitstellungspläne erstellen, erklärt dieser Workshop.

In verteilten Infrastrukturen ist das Updatemanagement nicht immer einfach, vor allem dann, wenn auch Linux-Server Verwendung finden. Dazu kommt die Tatsache, dass immer mehr Unternehmen Server nicht nur in lokalen Rechenzentren betreiben, sondern zusätzlich in der Cloud. Dabei greifen die Firmen nicht nur auf Microsoft Azure zurück, sondern auch auf AWS, die Google Cloud Platform oder andere Anbieter. Nicht selten sind bereits Multicloud-Umgebungen vorhanden, die das Patchmanagement weiter verkomplizieren.

Mit Azure Update Management können Admins in einer zentralen Oberfläche alle Server gemeinsam automatisiert verwalten und auf diese Weise weltweit Windows- und Linux-Server aktuell halten. Auch VMs, die bei anderen Cloudanbietern laufen, lassen sich an den Patchdienst anbinden. Zu den unterstützten Betriebssystemen gehören neben Windows Server noch CentOS 6/7, RHEL 7/7 und SUSE ab Version 12 sowie Ubuntu ab Version 14.04. Windows 7, 8.1 und Windows 10 können Sie mit der Lösung jedoch nicht aktualisieren. Dafür empfiehlt Microsoft den Einsatz des Endpoint Manager.

Im Fokus von Azure Update Management steht die Überwachung der angebundenen Server auf fehlende Aktualisierungen. Diese zeigt der Dienst im Webportal von Azure an. Basierend auf Zeitplänen sorgt Update Management dafür, dass fehlende Aktualisierungen auf die gewünschten Server kommen. Die Quelle der Patches liegt nicht in Microsoft Azure – hier nutzen die zu patchenden Server entweder die Microsoft-Server im Internet oder WSUS. Azure Update Management steuert auch den Neustart von Servern nach der Installation von Updates, unabhängig davon, ob es sich um Computer im lokalen Rechenzentrum handelt oder VMs in der Cloud.

Zusammenspiel mit anderen Komponenten

Azure Update Management ist ein für Abonnenten kostenloser, vollständig in der Cloud verwalteter Dienst, der ohne lokale Komponenten auskommt. Dazu arbeitet das Werkzeug mit Azure Automation zusammen, wodurch sich Server automatisiert an die Updateverwaltung anbinden lassen. Azure Automation wiederum sammelt im Zusammenspiel mit dem Microsoft Monitoring Agent Informationen von den angebundenen Servern für die Auswertung in Azure ein. Auf den Servern installieren Sie daher manuell oder automatisiert einen kleinen Agenten, mit dem die Rechner Protokolle erstellen und in die Cloud senden.

Die Protokolle des Azure-Monitor-Agenten speichert der Clouddienst in Log Analytics, weshalb Sie hier einen eigenen Workspace sowie Speicherplatz benötigen. Diese Komponenten sind im Gegensatz zu Azure Update Management selbst allerdings kostenpflichtig. In Log Analytics landen in der Regel auch die Daten von Azure Monitor zur Überwachung der Telemetrie und Protokollierung der angebundenen Server.

Azure Update Management und Azure Monitor lassen sich kombinieren. Einfach ausgedrückt erweitert Azure Update Management die Funktionen von Azure Monitor um eine Updateverwaltung. Sie können diese aber auch ohne Azure Monitor nutzen, den Workspace in Log Analytics benötigen Sie aber in jedem Fall.

Auch Azure Monitor unterstützt die Anbindung von Azure-VMs und Servern in lokalen Rechenzentren. Das Überwachungswerkzeug kann über die in Log Analytics gespeicherten Protokolle der angebundenen Server Abfragen automatisiert durchführen. Dadurch erhalten Sie Informationen zu den Servern, etwa zu fehlenden Aktualisierungen. Diese Daten können auch andere Dienste in Azure nutzen, wie eben Azure Update Management, um das es im Folgenden gehen soll.

Über das bereits erwähnte Azure Automation führt Azure wiederum Aktionen und Befehle auf den angebundenen Systemen aus. Dazu gehört die Installation von Patches für Windows und Linux. Die Einstellungen für Azure Update Management nehmen Sie deshalb im Bereich des Automation-Accounts vor.

Lokale Server über WAC anbinden

Die Einrichtung von Azure Update Management kann über das Webportal in Microsoft Azure erfolgen, ist über das Windows Admin Center (WAC) aber deutlich bequemer. Das WAC bietet generell mehr Funktionen, um lokale Server, aber auch Ressourcen aus Azure zu verwalten.

Zunächst erfolgt über die Einstellungen des Windows Admin Centers, das Zahnradsymbol oben rechts und die Auswahl von "Einstellungen / Azure" die Anbindung das Admin Centers an das Azure-Abonnement. Bei der Einrichtung unterstützt ein Assistent, der ganze Vorgang dauert maximal fünf Minuten.

Sobald das WAC an Azure angebunden ist, lassen sich damit lokale Server mit Azure Update Management verknüpfen. Dazu steht entweder der Menüpunkt "Azure-Hybrid Center" im Hauptmenü des WAC zur Verfügung oder der Link "Verwalten von Updates auf allen Ihren Servern mithilfe der Azure-Updateverwaltung - Jetzt aktualisieren". Nach der Auswahl erscheint ein Fenster, mit dem Sie Server hinzufügen können.

Zunächst wählen Sie das gewünschte Azure-Abonnement aus. Danach konfigurieren Sie den Speicherort für Log Analytics und geben den Namen des Arbeitsbereichs, des Azure-Automations-Kontos und der Ressourcengruppe an, die Sie für Azure Update Management verwenden wollen. Diese Vorgehensweise ist nur einmal notwendig. Durch einen Klick auf "Einrichten" verbindet sich das WAC mit Azure, erstellt die jeweiligen Bereiche automatisch und bindet den entsprechenden Server an die Azure-Updateverwaltung an.

Dies dauert einige Minuten. Sie sehen den Status über den Meldebereich des WAC oben rechts. Wenn Sie einen Server an Azure Update Management angebunden haben, zeigt das Admin Center eine Information im Bereich "Updates" an. Hier können Sie auch direkt im WAC zum Azure-Portal wechseln, um Einstellungen für den Server anzupassen. Die spätere, eigentliche Administration der Updateverwaltung nehmen Sie im Webportal von Azure vor. Diese Funktionen hat Microsoft nicht in das WAC integriert.

Azure Update Management überprüft nun auf Basis von Zeitplänen die Server regelmäßig auf fehlende Aktualisierungen und installiert diese gegebenenfalls nach einem Zeitplan. Übrigens können Sie auch nach dem Hinzufügen eines Servers zum Azure Update Management noch in der lokalen Updatesteuerung, per Gruppenrichtlinien und über den Server-Manager Patches installieren lassen.

Azure-VMs und Linux-Server integrieren

Neben Servern im lokalen Rechenzentrum lassen sich auch Azure-VMs an die Azure-Updateverwaltung ankoppeln. Im Dashboard von Azure-VMs im Azure-Portal steht dazu der Menüpunkt "Gast- und Hostupdates" zur Verfügung. Hierüber können Sie mit "Zu Updateverwaltung wechseln" die Anbindung an Azure Update Management durchführen. Auf dem gleichen Weg entfernen Sie Server wieder aus der Updateverwaltung.

Eine der Stärken von Azure Update Management ist es, auch Linux-Server zu integrieren und auf den neuesten Stand hin zu überprüfen. Die Konfiguration ist ähnlich zur Verwaltung von Aktualisierungen für Windows. Um Linux-Server anzubinden, die zum Beispiel in Azure als VM in Betrieb sind, öffnen Sie das Konto von Azure Update Management und klicken auf "Updateverwaltung". Über "Azure-VMS hinzufügen" binden Sie VMs in Azure an, unabhängig davon, ob es sich um Windows- oder Linux-Rechner handelt. Wollen Sie Server außerhalb von Azure mit ins Boot holen, verwenden Sie "Nicht-Azure-Computer hinzufügen".

Beim Hinzufügen von Azure-VMs wählen Sie zunächst aus, welches Azure-Abonnement Sie nutzen wollen und in welchen Standorten sowie Ressourcengruppen die Server gespeichert sind, die Sie aktuell hinzufügen wollen. Unten im Fenster listet das Portal die einzelnen VMs in Azure auf und zeigt an, welche bereits an Azure Update Management angebunden sind. Dabei unterscheidet Azure nicht zwischen den verschiedenen Betriebssystemen. Durch die Auswahl von "Aktivieren" konnektieren Sie die ausgewählten Computer an die Azure-Updateverwaltung.

Agenten manuell aufspielen und entfernen

Die Anbindung von Servern an Azure Update Management kann auch durch die manuelle Installation des Agenten erfolgen. Dazu wechseln Sie im Log-Analytics-Arbeitsbereich bei "Übersicht" über "Verwaltung von Windows- und Linux-Agents" zur Downloadseite für den Agenten. Hier können Sie ihn herunterladen und erhalten die IDs, die für die Verknüpfung mit Log Analytics und damit an Update Management notwendig sind. Die Installation führen Sie entweder manuell durch oder über ein Skript. Auch auf Linux-Servern ist ein Agent notwendig. Diesen laden Sie zum Beispiel mit dem folgenden Befehl herunter:

Das Kommando umfasst in diesem Beispiel die IDs, die bei der Installation auf Linux notwendig sind. Es sieht also für jedes Abonnement anders aus. Auch hier ist es möglich, die Anbindung zu scripten. Wollen Sie Rechner schnell manuell aus der Updateverwaltung herausnehmen, reicht es aus, den Agenten über "appwiz.cpl" zu entfernen. Der Vorgang tilgt den Server dann auch aus dem Log-Analytics-Bereich. Nach der Aktualisierung der Ansicht kann die Steuerung der Aktualisierungen dann wieder ohne das Azure-Updatemanagement erfolgen.

Verwaltung im Azure-Portal

Im Webportal von Azure Update Management erkennen Sie in der Updateverwaltung, welche Server nicht auf dem neuesten Stand sind. Dazu klicken Sie in der Ressourcengruppe, in der Sie Azure Update Management integriert haben, auf das erstellte Automation-Konto für Azure Update Management und dann auf "Updateverwaltung". Hier sehen Sie alle Server, die nicht konform sind, auf denen also Aktualisierungen fehlen, aber auch die konformen Server und weitere Informationen.

Das Anbinden von Rechnern an Azure Update Management war der erste Schritt, um die jeweiligen Server mit Patches zu versorgen. Über die Updatebereitstellung in Azure Update Management können Sie dann eigene Servergruppen erstellen und auf Basis dieser Gruppen Updates über Regeln freigeben. So lässt sich das Ausrollen von Aktualisierungen orchestrieren, ohne lokale Server für das Patchmanagement zu betreiben. Es spielt dabei wie erwähnt keine Rolle, wo die angebundenen Server positioniert sind.

In der Übersicht der Updateverwaltung, unterhalb des Update-Management-Kontos, sind für die einzelnen Rechner mehrere Menüpunkte zu sehen, die für die Verwaltung eine wesentliche Rolle spielen. Bei "Computer" überblicken Sie zunächst die angebundenen Rechner und wichtige Informationen zu diesen. Dazu gehört die Anzahl der fehlenden Aktualisierungen und ob der Management-Agent auf dem Server aktuell eine Verbindung zu Azure aufbauen kann. Auch das installierte Betriebssystem und ob es sich bei dem Computer um eine Azure-VM oder einen externen Computer handelt, entnehmen Sie hier. Über den Menüpunkt "Fehlende Updates" erkennen Sie, welche Patches auf den Computern aktuell noch nicht installiert sind. Hier zeigt Azure Update Management auch, auf wie vielen Computern die Aktualisierungen fehlen.

Aktualisierungszeitpläne erstellen

Mit einem Bereitstellungsplan können Sie die Updatesteuerung auf den angebundenen Geräten automatisieren. Hierüber können Sie Zeitpläne definieren, bestimmte Aktualisierungen freigeben und festlegen, welche Patches die Server automatisiert installieren sollen. Zeitpläne erstellen Sie über den Menüpunkt "Updatebereitstellung planen". Er ist bei "Updateverwaltung" im Bereich des Azure-Update-Management-Kontos zu finden. Zunächst geben Sie dem Plan einen Namen, zum Beispiel "Monatlicher Patchday". Danach wählen Sie aus, ob er für Windows- oder Linux-Computer gilt. Sie können auf diese Weise verschiedene Zeitpläne erstellen.

Im Anschluss wählen Sie die Computergruppen aus, die Sie anbinden wollen. Auf der Seite zur Konfiguration der Gruppen stellen Sie ein, ob Sie VMs aus Azure oder von außerhalb verknüpfen wollen. Gruppen lassen sich auf Basis des Azure-Abonnements, des Standortes, der Speicherorte und mit Tags filtern. Nach der Definition der Gruppen wählen Sie die Rechner aus, die Sie über den Zeitplan aktualisieren wollen.

Ein wichtiger Bereich ist die Auswahl der einzelnen Updateklassifizierungen. Hier stehen zum Beispiel herkömmliche Updates, Rollups, Sicherheitsupdates, wichtige Updates und Feature Packs zur Auswahl. Einzelne Aktualisierungen können Sie auf Basis der Knowledgebase-IDs von der Installation aus- oder einschließen.

Auch den Zeitpunkt legen Sie hier fest. Neben der einmaligen Ausführung können Sie eine regelmäßige Aktualisierung durchführen. Für den Aktualisierungsplan bestimmen Sie hier, ob Computer neu starten sollen, wenn das notwendig ist. Im Rahmen der Einrichtung eines Zeitplans hinterlegen Sie an dieser Stelle zudem etwaige Skripte, die vor und nach der Installation der Patches auf den Computern laufen sollen. Nach der Speicherung ist der Aktualisierungsplan aktiv und der angebundene Computer sollte als "konform" erscheinen. Die Updates unterscheiden sich an dieser Stelle zwischen Aktualisierungen für Windows und Linux.

Bereitstellungszeitpläne sind im gleichnamigen Menüpunkt aufgeführt. Sie können mehrere Pläne erzeugen, die dann alle an dieser Stelle auftauchen. Klicken Sie auf einen Bereitstellungszeitplan, lassen sich dessen Einstellungen anpassen. Ob die Bereitstellungszeitpläne auf den Computern funktionieren, sehen Sie bei "Verlauf". Die genauen Update-IDs sehen Sie bei "Fehlende Updates". Klicken Sie einfach auf eine Aktualisierung, öffnet sich die Supportseite von Microsoft mit ausführlichen Hinweisen zur entsprechenden Aktualisierung. Klicken Sie doppelt auf die Zeile eines Updates, wechselt das Fenster in den Log-Analytics-Bereich für das Updatemanagement.

Fazit

Azure Update Management ist vor allem für Organisationen sinnvoll, die bereits auf Azure setzen und am besten auch schon auf Azure Monitor und Log Analytics. Ebenso kann der Einsatz der zentralen Verwaltungslösung sinnvoll sein, wenn Server nicht nur im lokalen Rechenzentrum im Einsatz sind, sondern auch in Niederlassungen und/oder der Azure-Cloud. Da die Azure-Updateverwaltung zudem Linux-Computer aktualisieren und zentral administrieren kann, ist das Werkzeug ideal für hybride Rechenzentren.

Serveraktualisierung mit Azure Update Management