Update/Rollback System aufbauen

[TalkToFrank]

Hey,

Folgende Situation besteht:
- mehr als 40 Laptops (Jeweils ca. 10 von einer Bauweise)
- Win 7 + 8 (OEM-Lizenzen, keine Volume Keys)
- Auf jedem Pc office sowie einige weitere Programme installiert (keine Volume keys)
- Rechner werden an Kunden ausgegeben, nach verwendung soll der Rechner auf ausgabezustand (ohne Kundendaten, alle einstellungen inclusive registryeinträgen etc.) zurückgesetzt werden und erschienene Updates geladen werden.
-Rechner benötigen wenig internen Speicher
Anforderungen an eine Lösung
- Möglichst budgetarm (Viele ältere Pc's vorhanden die als Server o.ä. dienen können, Softwarekosten oder neulizensierungen sind nicht möglich)


Bisherige Ansätze wären:
-Aufbau eines Speichers auf dem Jeweils ein Abbild der einzelnen Laptopfestplatten liegt. Nachteile sind hier hohe Hardwarekosten (viel Speicher benötigt) außerdem könnten updates nicht einfach eingespielt werden
-Zweite Partition von der wiederhergestellt wird (bisherige Lösung, wird manuell ausgeführt und dauert daher sehr lange)


Bin offen für tolle und kreative Lösungen

http://www.heise.de/download/wsus-offline-update-ct.html werde ich vorerst für updates verwenden.

 

[accC]

Du sagst 10 unterschiedliche Rechnermodelle? Sind die einzelnen Rechner dann jeweils mit gleicher Hardware ausgestattet?

Ich würde ein "universelles" System aufsetzen, das sämtliche Software sowie Treiber für alle Rechnermodelle enthält. Für Windows und Office-Produkte gibt es in der Regel spezielle Keys, die nur während der Installation/ zu Demozwecken/ zeitlich begrenzt genutzt werden können. Davon machst du dir ein 1:1 Abbild. Sobald du einen Rechner heraus gibst, aktivierst du die Produkte, die für den Nutzer zur Verfügung stehen sollen. Bei Rückgabe des Systems spielst du das Abbild noch mal ein.
Es gibt Tools, mit denen du dir quasi eigene Windows-Installer erstellen kannst, da kannst du auch Treiberpakete, die zur Verfügung stehen sollen festlegen und Software, die automatisch mitinstalliert werden soll. Bezüglich der Treiber sehe ich kein Problem. Die sind in aller Regel nicht so groß und wenn du bedenkst, dass Windows von Haus aus mehrere hunderte mitbringt, dann machen 10 den Braten nicht fett. Dafür kannst du dann Treiber rauswerfen, die du sicher nicht brauchen wirst. Ich sehe eher das Problem in der Größe der vorinstallierten Software. Eventuell kannst du das System auch erst kurz vor Herausgabe installieren, sodass du bereits weißt, welche Software benötigt wird und diese dann während dem Installationsprozess an- und abwählen.

 

[The_Emperor]

Wenn es "nur" vier verschiedene Gerätetypen sind würde ich wie Accc vorgehen. Jeweils einen Rechner von jedem Typ komplett fertig einrichten und danach mit Acronis (oder ähnlichem) ein Systemimage wegkopieren. Sollte der Rechner zurückkommen einfach das Image drüberspielen und die Windows Updates laufen lassen.

Mit dem WSUS-Offline Installer habe ich bisher überwiegend nur schlechte Erfahrungen gemacht. Funktionieren tut er zwar, nur ist er extrem schwerfällig, saugt bereits ersetze Updates, braucht zum Installieren von vielen Updates länger als die herkömmliche Updatefunktion inklusive Download und macht auch nicht davor halt veraltete Updates zu installieren. Wenn im Netzwerk bereits ein 2008er, bzw. R2 Windows Server läuft könnte man dort den richtigen WSUS installieren wenn es der verfügbare Speicherplatz zulässt. (braucht ca. ~70GB für Updates von Windows 7 und 8/8.1).

Zu deinen Lösungsansätzen:

#1
Ab welchen Betrag würde man in den Bereich "Hoch" kommen? Eine kleine elegante Lösung wäre schon um ~350€ realisierbar (NAS + 2x3TB).

# 2
Auch möglich, nur wird sich früher oder später jemand fragen was da die komische riesige Datei am D-Laufwerk zu suchen hat und sie wird kurzerhand gelöscht sein.

 

[gelöschter Benutzer]

Es gibt hier noch einige Lösungen, die in Betracht zu ziehen wären. Zum Beispiel Opsi oder ein kostenpflichtiges System wie Matrix42. Auch Chef und Puppet wären eine Idee.

Ein Image mit einer proprietären Lösung zu ziehen ist meistens nicht die beste Idee. Ich würde für Windows eher CloneZilla nutzen, das spielt auch gut mit DRBL-Winroll zusammen.

Kommt halt drauf an, wie krass automatisiert du das Ganze brauchst. Mit den Tools von Matrix42 oder Opsi definierst du einen Status und lässt die PCs über PXE booten. Dann installiert das Ding Windows und zieht die benötigte Software drauf. Letztere muss dann allerdings paketiert sein, was einigen Aufwand bedeutet. So sind sehr flexible Setups möglich – ich würde daher Opsi empfehlen.

Wenn die PCs alle dasselbe Setup haben sollen, würde ich Clonezilla nutzen, ein komprimiertes (!) Image erstellen und das dann zurückspielen. Komprimiert deshalb, weil von den mehreren 100GB HDD nur 10% belegt sind und es Schwachsinn ist, eine 1:1-Kopie von lauter Nullen anzulegen. Automatisieren ließe sich ein Image und Restore z.B. mit Mandriva Pulse2, das ist allerdings weitaus komplizierter aufzusetzen als z.B. Opsi, außerdem musst du die Images immer wieder aktualisieren.

EDIT: Als Serverhardware könnte ich den Dell T20 oder einen HP Microserver Gen8 empfehlen, da hauste dann 2x3TB rein und bist mit 400€ insgesamt dabei. Ist weitaus flexibler als ein NAS.

 

[thom53281]

Ich denke, die wichtigsten Schritte beim Imagen sind hier imho auf den ersten Blick ganz gut beschrieben, auch wenn vielleicht nicht alles in der Form notwendig ist:
http://alp.dillingen.de/netacad/materialien/Win7_Sysprep.pdf

Vor dem Erstellen des Images sollte in jedem Fall sysprep ausgeführt werden. Ob man jetzt direkt alle Treiber raufpackt (=installiert) oder nur auf die HDD legt (später installiert) und ein Image für alle Geräte erstellt oder aber doch 4 separate für die unterschiedlichen Geräte, würd ich von den Geräten abhängig machen. Mischkulturen (AMD <-> Intel) würd ich nicht in ein Image packen. Wenn sich alle Geräte sehr ähnlich sind, dann schon.

Ich persönlich würd hier in dem Fall mit Images arbeiten und keine extra Server aufsetzen.

 

[Kampfmelone]

Nur mit Images wird es aber doch kompliziert dass die Installierte Software mit einer Seriennummer aktiviert wird, die noch nicht in Benutzung ist? Kann aber natürlich sein dass es dafür ebenfalls passende Software gibt.

 

[accC]

Nur mit Images wird es aber doch kompliziert dass die Installierte Software mit einer Seriennummer aktiviert wird, die noch nicht in Benutzung ist? Kann aber natürlich sein dass es dafür ebenfalls passende Software gibt.

Ich zitiere mich ja nur ungerne, aber:

Für Windows und Office-Produkte gibt es in der Regel spezielle Keys, die nur während der Installation/ zu Demozwecken/ zeitlich begrenzt genutzt werden können.

 

[TalkToFrank]

Das mit den Demokeys hört sich gut an..Aber z.b. Microsoft Office wird doch bestimmt rummeckern wegen "schon aktivierter" software, oder? (EDIT: grad gemerkt, dass Kampfmelone das Gleiche geschrieben hat..)

 

[accC]

Das ist wie mit der 30 Tage Testversion von Windows, die meckert rum, dass sie noch nicht aktiviert ist, bis sie sich sperrt und nur noch mit neuem Key aktivieren lässt.
Bei Office war das eigentlich entsprechend, nur dass nicht so penetrant gemeckert wurde, wie etwa bei Windows. Da habe ich nur eine Anzeige der verbleibenden Tage in Erinnerung.

Wobei ich zugeben muss, dass meine Erfahrungen damit auch schon wieder ein paar Jährchen zurück liegen.

 

[drfuture]

Ich würde das als Lösung vorschlagen:
http://www.dr-kaiser.de/pc-waechter.0.html
http://www.hdguard.com/
http://www.schwarz-distribution.de/pc-sheriff/

ist allerdings alles nicht wirklich kostenlos.. jedoch ist Arbeitszeit eigentlich auch ein Kostenfaktor und den könnte man so stark verringern.
Je nach Software lässt sich das ganze ja zufällig vielleicht auch nur 1x Kaufen und 40x verwenden (nicht das ich dazu aufufen möchte )
Jede Software hat ihre Vor und Nachteile - aber gibt meist eine Demo - wenn auch nur nach Anforderung mit der man das ganze zumindest mal probieren könnte.

 

[gelöschter Benutzer]

Das kann man mit Windows VHDs auch ohne Wächter-Software machen.

 

[drfuture]

Echt wie? / in wie fern? Solch Software funktioniert nicht in einer Domain-Infrastraktur .. jedenfalls nicht Sinnvoll dafür such ich eigentlich noch was...

 

[gelöschter Benutzer]

Echt wie? / in wie fern? Solch Software funktioniert nicht in einer Domain-Infrastraktur

Quatsch, im Prinzip funktioniert fast jede Software in einer Domain-Infrastruktur.

Das mit der VHD geht ungefähr so: http://blogs.technet.com/b/panosm/a...vhds-files-and-the-boot-from-vhd-feature.aspx

Bisschen einfacher würde das vermutlich mit Grub und einem kleinen Script gehen, das die ursprüngliche VHD wieder zurück kopiert. Die Lösung im Link ist angeblich "outdated", aber in einer angepassten Version habe ich das vor ein paar Jahren mal für eine Schule verwendet.

 

[The_Emperor]

Spiel ein paar mal einen Rechner mit Domänenmitgliedschaft in einer Windows Domain zurück und Active Directory wird dir recht bald sagen wie gut das funktioniert.

 

[gelöschter Benutzer]

Kann mir nicht vorstellen, dass es Probleme gibt, wenn das Image vor dem Beitritt gemacht wurde. Einfaches Script zum Einbinden, Adminpasswort reinhauen, fertig.

Oder hab ich da einen Denkfehler? Könnte schwören, wir hätten das damals in der Schule genau so gemacht.

 

[drfuture]

Das Computerkonto bzw. genauer das Passort des Computerkontos läuft ab - dadurch kann sich der Computer nicht mehr in der Domaine Authentifizieren.
Das Rücksetzen geht nur ~3 Monate nach dem Einrichten.
Ganz zu schweigen das man ja auch Windows Updates einspielen möchte und dann nicht alles noch mal neu einrichten möchte - somit den "Schutz" Zeitweise aufheben können muss... (hab mir deinen Link aber noch nicht durchgelesen).

Edit: Ach so - ja vor dem Beitritt ist das klar - das geht natürlich, jedoch kommt sicher kein Admin-pw in ein Script??

 

[gelöschter Benutzer]

Nein, das Adminpasswort muss man schon manuell eingeben.

Die Updates hatte ich über einen zentralen Updateserver laufen, die Images dann eben immer wieder aktualisiert und bei Bedarf umkopiert. Ist aber auch schon ne Weile her, zum Glück mach ich jetzt hauptsächlich Linux...

 

[X-Coder]

Ich habe so etwas ähnliches schon mit differenziellen VHDs getestet so wie es hier beschrieben ist.

Prinzipiell richtet man einmal das Grundsystem auf einer VHD ein (kann auch über Imaging geschehen), auf einer zweiten VHD werden dann zukünftig automatisch alle Änderungen/Unterschiede zur ersten VHD gespeichert.
Die erste erste VHD bleibt unverändert.

Ein Rollback auf die Grundeinrichtung macht man, indem man einfach die zweite VHD verwirft, das geht viel schneller wie ein Restore von einem Image. Man kann die VHDs auch mergen, oder zwischen verschiedenen VHDs wechseln um z.B. Änderungen vorab zu testen.

Updates der Grundeinrichtung kann man z.B. nach dem Rollback einspielen, und dann nach Bedarf mergen, um sich das Updaten dann beim nächsten mal zu sparen.

Nur sicherheitstechnisch ist die Lösung mit Rollback wahrscheinlich schlecht, da die Benutzer ja selbst die erste VHD mit der Grundinstallation modifizeren könnten. Um das zu umgehen muss man statt einem Rollback die erste VHD komplett aus einem Image wiederherstellen, was den Geschwindigkeitsvorteil wieder zunichte macht.

 

[TalkToFrank]

Kann ich mir bei den VHD's evlt sogar nen simples batch-skript scheiben (Also a'la "lösche VHD 1 > erstelle VHD 1 Nach Abbild von HD 1" )?
Dies wäre interessant, da das mit ner VHD wohl schneller geht, aber eben dennoch relativ manuell ist.

 

[X-Coder]

Mi dem /s Paramater von diskpart sollte das gehen, so ähnlich wie es z.B. hier beschrieben ist.