Kleine Plauderei aus dem Rechenkästchen
Ich wurde gefragt, wie ich denn vorgehe, welche Kriterien ich anlege, um die nötigen Updates zu finden.
Nun, die Sache ist recht einfach. Aber leider ist es verdammt zeitaufwendig - in den vergangenen Monaten
hab ich jeweils ca. einen halben Tag gebraucht (im Dezember ging's schneller).
Was brauche/benutze ich?
- einen separaten Rechner: derzeit Sockel 939 mit 2 GHz und 2 GiB RAM. Theoretisch wäre die Verwendung
einer VM denkbar, aber um den Arbeitsrechner nicht zu stark zu blockieren/bremsen, und weil ich momentan
immer noch mit nur 3 GiB RAM auskommen muss, ist das höchstens eine Option für die Zukunft (neue Hardware
ist für dieses Jahr geplant).
- ein Image eines frisch installierten Win7 für eben diesen Rechner
- WSUS Offline Update.
Möglich wäre auch ein Durchsehen der
Security Bulletins,
in denen Microsoft Informationen veröffentlicht, unter anderem, welche Updates hinzugekommen und welche
ersetzt worden sind. Aber WSUS Offline macht die Sache einfacher, weil es die Updates gleich runterlädt
und ich sie dort nur rausholen muss.
- ein selbstgeschriebenes AutoIt-Skript
zum Verstecken/Ausblenden von Updates, das noch ein bisschen mehr kann und für die Suche sehr
hilfreich ist. Alternativ könnte ich auch ein Skript aus dem WSUS Offline Update (ListMissingUpdateIds.vbs)
verwenden, aber mein Skript gefällt mir besser ;D
- Taskmanager
- ein paar Batchskripte zum automatisierten Installieren der Updates
Wie gehe ich vor?
Der Ausgangspunkt ist immer der Stand des Vormonats. D.h. ich starte den Rechner mit dem Patchstand des Vormonats
und lasse mein AutoIt-Skript durchlaufen, um festzustellen, ob die Suche nach Updates lange dauert. Ist die Suche
nicht innerhalb von 15 Minuten fertig, breche ich sie ab (Dienst wuauserv beenden).
Dann schaue ich im Log von WSUS Offline Update die Liste derjenigen Updates durch, die im aktuellen Monat
hinzugekommen sind, und teile diese in kleinere Gruppen auf - im Januar waren das IIRC vier Gruppen mit je 3 Updates.
Ich installiere diese Gruppen nacheinander, starte nach jeder Gruppe den Rechner neu und prüfe dann wieder mit
meinem AutoIt-Skript, ob die Suche in sinnvoller Zeit beendet ist. Ist das nicht der Fall, geht's weiter mit der
nächsten Gruppe von Updates. Das mache ich so lange, bis die Suche fix geht. Während der Updatesuche ist immer der
Taskmanager offen, denn auch am Graph der CPU-Last (Kernel) kann man abschätzen, ob die zuletzt installierten Updates
eine Beschleunigung bewirkt haben. Man braucht hierfür ein bisschen "Gefühl", muss wissen, wie sich die Hardware
verhält, wie die Graphen bei schneller und langsamer Suche aussehen etc.
Geht die Suche irgendwann schnell, wird das Image des frisch installierten Win7 wiederhergestellt und das System
anschließend mithilfe der Batchskripte wieder auf den Stand des Vormonats gebracht. Die letzte Update-Gruppe wird
weiter verkleinert (in einzelne Updates), so dass man rausfinden kann, welches einzelne Update nötig ist. Dummerweise
kommt es manchmal vor, dass nur eine Kombination neuer Updates die Suche beschleunigt *roll* - dann ist etwas mehr
"Ermittlungsarbeit" nötig.
Zum Schluss wird noch geprüft, ob die Updates aus den Vormonaten weiterhin nötig sind. Aktuell mache ich das durch
Deinstallation der alten Updates, aber ich hab auch schon die Wiederherstellung des System-Images benutzt.
Ist schließlich der Satz von Updates gefunden, wird der im Batchskript vermerkt, damit einerseits das Aufsetzen/Patchen
frischer Win7-Installationen zügig geht und ich andererseits einen Anhaltspunkt für den kommenden Monat habe.
Ein Kopieren dieser Seiten mit anschließendem erneuten Veröffentlichen ist nicht gestattet!