Windows Updates mit OPSI-Server

[Kalteisen]

Hallo!

Ich bin neu hier und hatte mich angemeldet, weil ich dringend Hilfe brauche.
Ich selbst bin da leider sehr ratlos bin und für ein Projekt das folgende umsetzen muss:

Wie im Titel geht es darum mit einem OPSI-Server Updates umzusetzen.
Allerdings soll dieser als virtuelle Maschine auf einem Proxmox laufen.
Ich habe versucht händisch nach der Dokumentation den OPSI dort zu installieren aber irgendwie hat das mit der Befehlseingabe nicht ganz funktioniert.
Also hatte da Probleme.

Deswegen wollte ich nachfragen, ob es auch eine fertige Image für OPSI als VM gibt?
Ich hatte bereits eine Version für Virtualbox gefunden aber das Format ist nicht kompatibel zu Proxmox und lässt sich auch nicht umwandeln.

Ich habe leider so direkt nichts gefunden.

Ich habe mich leider bisher auch kaum mit dem OPSI befasst und das Projekt beinhaltet eben mit Hilfe eines OPSI-Servers, Windows Updates lokal im Netzwerk aufzuspielen.

Habt ihr eventuell Ratschläge oder Lösungen wie man das man besten umsetzen könnte?

Viele Grüße
Kalteisen

[ThomasT]

Hallo und willkommen im Forum,

wir nutzen selber Proxmox als Virtualisierungslösung und haben keine Probleme festgestellt...
Bitte konkretisiere mal "irgendwie hat das mit der Befehlseingabe nicht ganz funktioniert".
Manchmal sind die VNC-Konsolen von Proxmox etwas wackelig, ganz abgesehen von der Zwischenablage.
Ich würde dir raten eine von uns unterstützte Linux-Distribution deiner Wahl aufzusetzen, dort dann SSH zu aktivieren und dann über Putty/Kitty/mRemoteNG auf die Maschine zuzugreifen...dann geht auch Copy-Paste...

[Kalteisen]

Danke für die Hilfe.

Er hat das Backslash nicht angenommen obwohl ich bereits das englische Layout betracht hatte.
Und als ich den Befehl dann mit normalen slash versucht hatte zu verwenden, klappte er nicht.
Das war so ein Problem.

Ich hab jetzt ein fertiges iso von der OPSI Seite übernommen und das liest sich auch in Proxmox hochladen und starten.
Er hat sich dann auch gott sei dank, direkt mit der Domäne richtig verbunden.
Allerdings wollte ich die IP-Adresse und den namen des Hostclients anpassen.
Ich dachte erst, es liegt daran das ich das geänderet habe aber er gibt mir immer zurück, das die Konfiguration unvollständig ist.

Config-Server (opsiconfd):
^--

Dieses Feld ist auch leer. Ich bin leider kompletter Neueinsteiger was OPSI angeht und deswegen eher auch diese wohl diese Fragen.

Edit: Ich sehe gerade, ich hatte das iso von einem Client erwischt und nicht vom Server selbst.
Die Dateiformate die in bei get started von 4.1 angegeben sind, lassen sich allerdings nicht in Proxmox hochladen.

Ich habe dann die Dateien wie in einer anderen Lösung im Internet beschrieben, manuell via WINSCP auf den Proxmox Server geladen.
Und wollte sie mit dem entsprechenden Befehl importieren.
Allerdings sagt er mir da, das das Storage keine Images verwenden kann.

Was soll ich da tun, um einen OPSI-Server in Proxmox zum laufen zu bringen?

[Jan.Schmidt]

Hallo!

Ich bin neu hier und hatte mich angemeldet, weil ich dringend Hilfe brauche.
Ich selbst bin da leider sehr ratlos bin und für ein Projekt das folgende umsetzen muss:

Wie im Titel geht es darum mit einem OPSI-Server Updates umzusetzen.
/snip
\snap
Windows Updates lokal im Netzwerk aufzuspielen.

Hi,

davon würde ich dir dringend abraten

Zum einen dahinter steckt eine RIESENmenge an Daten und bei diversen Windows10 Versionen ist diese Riesenmenge deutlich heftig.
Dann um die Patche zu installieren, müssen die in einer bestimmten Reihenfolge mit Reboots dazwischen geschehen.
Das bedeutet für den Anwender, seine Kiste wird ihm mehr als einmal vor der Anmeldung mehrfach durchgestartet.
Das bedeutet für dich, du mußt gaaaaanz tief in die Trickkiste greifen, um sicherzustellen, das die Patche auch tatsächlich komplett angekommen sind.

Was den Adminteil betrifft - Nichts schlimmes für einen "Profi" - aber in deiner Einleitung machst du nicht den Eindruck einer zu sein.
Was aber den Benutzerteil betrifft - da kann ganz viel schiefgehen, Anwender schatet Kiste irgendwann aus Akku greift in die Grütze usw.

Nur als aktuelles Beispiel:
Um den Printbluescreenfix zu verteilen hab ich auf den schnellen Rechnern 18 minuten OPSI runtime gehabt, bei den langsameren waren das um die 25 minuten und das war EIN patch, für 4 Windowsversionen == 2komma ebbes GB Paketgröße, die (in unserem Fall) dan über das WAN Modul erstmal auf den Client geschoben werden mußten.

Wenn es darum geht, neue Rechner gleich aktuell zu haben, dann ist das was anderes, aber auch da gibt es was nettes - aktualisiere regelmäßig das installer image, denn das integrieren der Patche in ein wim file bläht das immer auf, ein frisches ist dagegen kaum größer, als das ungefixte.

[ThomasT]

Deswegen wollte ich nachfragen, ob es auch eine fertige Image für OPSI als VM gibt?
Ich hatte bereits eine Version für Virtualbox gefunden aber das Format ist nicht kompatibel zu Proxmox und lässt sich auch nicht umwandeln.

Mit dem Starwind V2V Image Converter sollte es möglich sein, vmdk in qcow2 zu konvertieren...wie gut das klappt ist eine andere Frage, daher Linux-Distri aussuchen, und nach getting-started opsi installieren

Ich habe mich leider bisher auch kaum mit dem OPSI befasst und das Projekt beinhaltet eben mit Hilfe eines OPSI-Servers, Windows Updates lokal im Netzwerk aufzuspielen.

Das gibt es von uns:
https://www.uib.de/de/support-schulung/ ... bonnements

[Kalteisen]

@Jan.Schmidt
Das ist eine kleine bzw. größere Misäre leider, in der ich stecke.
Ich bin extern bei einer anderen Firma wegen diesem Projekt und es wurde ausdrücklich sich gewünscht, das ich einen OPSI für die Windows-Verteilung einrichte.
Und mir ist bewusst, das ein WSUS die bessere und vor allem geeignete Wahl wäre.
Das war auch mein erster Vorschlag, der wurde aber abgelehnt.

So sitze ich gerade an der Problematik eben genau das zumindest für dieses Projekt umzusetzen.

Nein, leider bin ich was OPSI angeht, leider sehr weit davon entfernt ein Profi zu sein.

@ThomasT
Ich habe diese Umsetzungsidee sein gelassen.
Da das mit dem umwandeln, doch sich als schwieriger herausgestellt hat.

Also habe ich OPSI wie in der get-started Dokumentation von Grund auf, auf einer neuen virtuellen Maschine von A bis Z aufgesetzt.
Ein DHCP ist bereits im Netzwerk und ich habe es auch entsprechend konfiguriert, das OPSI diesen Dienst nicht ausführt.

@Allgemein
Also ich hab es dann mit Hilfe der Dokumentation und einer SSH-Verbindung geschafft, das ganze so weit zu lösen das OPSI-Server jetzt läuft.
Der Server steht damit.
Ich habe eine Windows 10 Test-VM aufgesetzt und bin gerade eher dabei, wie ich diese nun mit dem OPSI-Server binde.
Genauer gesagt, wie ich den OPSI Client auf die Windows 10 VM bekomme.
Ich werde nicht so ganz schlau aus dem Handbuch und stehe da leider etwas unter Zeitdruck.

Später soll der OPSI eben im Netzwerk an die ganzen Windows Clients eben lokal die Updates verbreiten.
Unabhängig davon wie gut oder schlecht das leider funktionieren wird.

[Jan.Schmidt]

@Jan.Schmidt
Das ist eine kleine bzw. größere Misäre leider, in der ich stecke.
Ich bin extern bei einer anderen Firma wegen diesem Projekt und es wurde ausdrücklich sich gewünscht, das ich einen OPSI für die Windows-Verteilung einrichte.
Und mir ist bewusst, das ein WSUS die bessere und vor allem geeignete Wahl wäre.
Das war auch mein erster Vorschlag, der wurde aber abgelehnt.

ohje - bitte versteh mich nicht falsch, aber...

Der Weg aus der Misere kann sein:

A) Cheff dat wird so nix
B) Du mußt dir das ganze zeugs reinpfeifen und das wird dann "teuer"

Zu A)
Ich nehme an, es handelt sich um Windows10?
Wenn ja - ist der ganze Sch... für die Katz, den M$ hat zur Einführung von Win10 beschlossen, NUR wenn der Admin einen Wsus hat und eine / zwei GPOs gesetzt hat, dann kann der Admin (und nicht M$) steuern, wer welche Patche kriegt.
Ist das NICHT der Fall, ziehen sich die Winoofen die Patche von M$.

Dann "WSUS" wird früher oder soäter sterben / einen neuen Namen und Funktionen bekommen.

Warum dein Arbeitgeber sich so gegen den WSUS sträubt würde ich an der STelle mal erfragen.
Das muß ja einen Grund haben.
Da man einen Wsus auch nur als Verwaltungsmaschine aufsetzen kann, die selber keine Updates zieht und damit eine richtige Datenbank und ordentlich Plattenplatz braucht, ist nur mal so ein Tipp für das Gespräch. Und den Plattenplatz wirst du eh nicht sparen, wenn das über OPSI laufen soll.

Ich behaupte mal, ich kenne mich da einigermaßen aus und ich würde mal behaupten - wenn der OPSI schon läuft und alle Clients den kennen, dann sind das locker 2 Wochen bis "ich" das freigeben würde - obwohl oder grade weil ich sowas mache.
Und dann ist da noch die Pflege der Nummer.

Also ich schreibe ausschliesslich über Windows Updates nicht über das was man unter "Software" versteht. Da macht ein OPSI IMMER Sinn.

[Kalteisen]

Da liegt der Hase im pfeffer.
Der WSUS wird nicht genommen aus kosten gründen.

Denn der OPSI soll später (nicht mehr von mir, bin ja nur extern tätig), auch für andere Zweigstellen einfach kopiert werden.
Zumindest ist das der Plan der Firma.
Es gibt einfach einige Zweigstellen und kleinere Firmen, die nicht im gleichen lokalen Netzwerk sind.
Anders herum sollen die Updates aber alle über das lokale Netzwerk ausgerollt werden und die wollen weder die Hardware bezahlen, noch eben bei jeder Zweigstelle die Hardware dafür hinstellen und auch nicht die kosten für den Windows Server eben.

Das ganze ist deswegen gewollt, weil die teilweise relativ schlechtes Internet auf ihren Kisten haben.
Wenn da jeder Rechner anfängt selbstständig die Updates zu ziehen, ist die Leitung eben komplett dicht.
Deswegen ist der Plan das lokal über einen Server zu machen und eben das die Updates nicht mehr aus dem Internet gezogen werden sondern ein Server zieht die und verteilt das.
So das die Kapazität der Leitung nur einmalig dafür beansprucht wird.

Also im Grunde ist es nicht mein direkter Arbeitgeber sondern eher ein Kunde(extern wie gesagt) der das so umgesetzt haben will, in seiner eigenen IT Abteilung, die das eben nicht machen können bzw. deren Kapazität da scheinbar dafür nicht da ist.
Das macht es für mich natürlich schwierig und ich frickel mich aktuell deswegen auch durch die beiden Dokumentationen um zu schauen, wie das eben zu vollbringen ist.

[Jan.Schmidt]

Anders herum sollen die Updates aber alle über das lokale Netzwerk ausgerollt werden und die wollen weder die Hardware bezahlen, noch eben bei jeder Zweigstelle die Hardware dafür hinstellen und auch nicht die kosten für den Windows Server eben.

Nochmal...

Son WSUS kann jeder Funzelklickbunti Admin zusammenklicken und einigermaßen warten.
Ob OPSI oder WSUS die Hardware ist so ziemlich gleichwertig zu betrachten. Ja Ein WSUS kostet evtl ne Wind00f Lizenz, aber der OPSI muß auch - grade bei lahmen Leitungen - in den Standorten da stehen.

Zum Thema via OPSI

https://www.uib.de/de/support-schulung/ ... bonnements

Update-Abo 'MS-Hotfixes' bis 1000 Clients

Regelmäßige Updates des Produktes ms-hotfix (Hotfixes für Windows 2012 / Windows 8.1 Professional bis Windows 10 / Windows 2016 Server / Windows 2019 Server). Das Update erscheint jeweils innerhalb von 3 Arbeitstagen nach dem Erscheinen eines von Microsoft als hoch oder kritisch eingeschätzten Patches. Bereitstellung der opsi-Pakete über geschützten Downloadbereich.

Preis: 360 € pro Jahr (30 € monatlich).

Grade wenn du nur Drittbrettfahrer da bist, mit so einer Lösung stehen die nach deinem Weggang dann wenigstens nicht im Regen.

[Kalteisen]

Also ich hab da nochmal darüber gesprochen.
Allerdings will die Chefin der Firma davon nicht abweichen.
Deswegen ist es jetzt wohl so.

Aso Windows Server und klassischer WSUS sind damit keine Option.

Ich habe auch mittlerweile dann weiter den OPSI zum laufen gebracht.
Auch der OPSI-Client-Agent ist auf der Windows 10 Test VM installiert.



Nachdem ich den Client Agent installierte, wurde mir das so angezeigt in der opsi-config.



Wenn ich jetzt eine nachricht schreiben will oder die Windows 10 VM rebooten lassen will, kommt diese Meldung.
Ich habe auch schon die Berechtigung von pc-patch angepasst und bei den Host-Parametern auf true gesetzt.
Leider weiß ich nicht woran es liegt, das da keine Kommunikation da ist.

Die Keys sind auch da, ich hab die Datei überprüft und sie ist nicht leer sondern sowohl der OPSI, als auch der Client hat einen Key dort.