Planen wiederkehrender Updates für Computer mithilfe des Azure-Portals und Azure Policy

  • Artikel

Gilt für: ✔️ Windows-VMs ✔️ Linux-VMs ✔️ Lokale Umgebung ✔️ Azure Arc-fähige Server.

Wichtig

  • Für nahtlos geplante Patches sollten Sie für alle Azure-VMs den Patchmodus auf Benutzerseitig verwaltete Zeitpläne aktualisieren. Tun Sie dies bis spätestens 30. Juni 2023. Wenn Sie die Patchorchestrierung nicht bis zum 30. Juni 30, 2023 aktualisieren, kann es zu einer Unterbrechung der Geschäftskontinuität kommen, da die Zeitpläne die VMs nicht patchen können. Weitere Informationen
  • Das Planen von wiederkehrenden Updates über Azure Policy ist in Azure US Government und Azure China, betrieben von 21 Vianet, nicht verfügbar.

Sie können Azure Update Manager verwenden, um Terminserien für Bereitstellungszeitpläne zu erstellen und zu speichern. Sie können einen Zeitplan im täglichen, wöchentlichen oder stündlichen Rhythmus erstellen. Sie können die Computer angeben, die im Rahmen des Zeitplans und der zu installierenden Updates aktualisiert werden müssen.

Entsprechend des erstellten Zeitplans werden die Updates dann automatisch für eine einzelne VM oder im großen Stil installiert.

Das Update Manager verwendet Wartungssteuerungszeitpläne, anstatt eigene Zeitpläne zu erstellen. Wartungssteuerung ermöglicht es Kunden, Plattformupdates zu verwalten. Weitere Informationen finden Sie in der Dokumentation zur Wartungssteuerung.

Voraussetzungen für geplante Patches

  1. Siehe Voraussetzungen für Update-Manager.

  2. Die Patch-Orchestrierung der Azure-Computer sollte auf vom Kunden verwaltete Zeitpläne festgelegt werden. Weitere Informationen finden Sie unter Aktivieren des geplanten Patchens auf vorhandenen VMs. Für Azure Arc-fähige Computer ist dies keine Anforderung.

    Hinweis

    Wenn Sie den Patchmodus auf durch Azure orchestriert (AutomaticByPlatform) festlegen, das BypassPlatformSafetyChecksOnUserSchedule-Flag jedoch nicht aktivieren und keine Wartungskonfiguration an einen Azure-Computer anfügen, wird er als Computer behandelt, für den automatisches Gastpatching aktiviert ist. Die Azure-Plattform installiert Updates automatisch nach eigenem Zeitplan. Weitere Informationen

Zeitplanpatchen in einem Verfügbarkeitssatz

Es werden nicht alle VMs in einer gemeinsamen Verfügbarkeitsgruppe gleichzeitig aktualisiert.

VMs in einem allgemeinen Verfügbarkeitsgruppe werden innerhalb von Updatedomänengrenzen aktualisiert. VMs über mehrere Updatedomänen hinweg werden nicht gleichzeitig aktualisiert.

In Szenarien, in denen Computer aus derselben Verfügbarkeitsgruppe gleichzeitig in unterschiedlichen Zeitplänen gepatcht werden, ist es wahrscheinlich, dass sie möglicherweise nicht gepatcht werden oder fehlschlagen könnten, wenn das Wartungsfenster überschritten wird. Um dies zu vermeiden, empfehlen wir Ihnen, entweder das Wartungsfenster zu erhöhen oder die zu einer Verfügbarkeitsgruppe gehörenden Rechner auf mehrere Zeitpläne zu unterschiedlichen Zeiten aufzuteilen.

Konfigurieren von Neustarteinstellungen

Die Registrierungsschlüssel, die aufgeführt sind in Konfigurieren automatischer Updates durch Bearbeitung der Registrierung und Registrierungsschlüssel, die zum Verwalten des Neustarts verwendet werden, können dazu führen, dass Ihre Computer neu gestartet werden. Ein Neustart kann auch dann auftreten, wenn Sie Nie neu starten in den Zeitplaneinstellungen angeben. Konfigurieren Sie diese Registrierungsschlüssel so, wie es für Ihre Umgebung am besten passt.

Diensteinschränkungen

Wir empfehlen die folgenden Grenzwerte für die Indikatoren.

Indikator Begrenzung
Anzahl von Zeitplänen pro Abonnement und Region 250
Gesamtzahl der Ressourcenzuordnungen zu einem Zeitplan 3,000
Ressourcenzuordnungen für jeden dynamischen Bereich 1.000
Anzahl dynamischer Bereiche pro Ressourcengruppe oder Abonnement pro Region 250
Anzahl der dynamischen Bereiche pro Zeitplan 30
Gesamtanzahl der Abonnements, die an alle dynamischen Bereiche pro Zeitplan angefügt sind 30

Weitere Informationen finden Sie unter den Dienstgrenzwerten für den dynamischen Bereich.

Planen von wiederkehrenden Updates auf einer einzelnen VM

Sie können Updates über die Übersicht oder den Bereich Computer auf der Seite Update Manager oder auf der ausgewählten VM planen.

Planen von wiederkehrenden Updates auf einer einzelnen VM:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie auf der Seite Azure Update Manager | Übersicht Ihr Abonnement aus und wählen Sie dann Planen von Updates aus.

  3. Auf der Seite Neue Wartungskonfiguration erstellen können Sie einen Zeitplan für eine einzelne VM erstellen.

    Derzeit werden VMs und die Wartungskonfiguration im gleichen Abonnement unterstützt.

  4. Wählen Sie auf der Seite Grundlagen die Optionen Abonnement und Ressourcengruppe sowie alle Optionen in Instanzdetails aus.

    • Wählen Sie den Wartungsbereich als Gast (Azure VM, Azure Arc-fähige VMs/Server) aus.

    • Wählen Sie Zeitplan hinzufügen aus. Geben Sie in Zeitplan hinzufügen/ändern die Zeitplandetails an, z. B.:

      • Start am
      • Wartungsfenster (in Stunden). Das obere Wartungszeitfenster beträgt 3 Stunden 55 Minuten.
      • Wiederholungen (monatlich, täglich oder wöchentlich)
      • Enddatum hinzufügen
      • Zusammenfassung des Zeitplans

    Die stündliche Option wird im Portal nicht unterstützt, kann aber über die API verwendet werden.

    Screenshot der Grundlagenseite „Geplantes Patchen“

    Für monatliche Wiederholen, gibt es zwei Optionen:

    • Wiederholung an einem Kalenderdatum (optional am letzten Tag des Monats).
    • Wiederholung am n-ten (ersten, zweiten usw.) Tag X (z. B. Montag, Dienstag) des Monats. Sie können auch einen Offset vom festgelegten Tag angeben. Möglich ist beispielsweise +6/-6. Wenn Sie z. B. am ersten Samstag nach einem Patch am Dienstag patchen möchten, müssen Sie die Wiederholung auf den zweiten Dienstag des Monats mit einem Offset von +4 Tagen festlegen. Optional können Sie auch ein Enddatum angeben, an dem der Zeitplan abläuft.

  5. Wählen Sie auf der Registerkarte Computer Ihren Computer und dann Weiter aus.

    Update Manager unterstützt keine Treiberupdates.

  6. Weisen Sie auf der Registerkarte Tags Wartungskonfigurationen Tags zu.

  7. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Updatebereitstellungsoptionen, und wählen Sie dann Erstellen aus.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie auf der Seite Azure Update Manager | Computer Ihr Abonnement aus, wählen Sie Ihren Computer und wählen dann Planen von Updates aus.

  3. Unter Neue Wartungskonfiguration erstellen können Sie einen Zeitplan für eine einzelne VM erstellen sowie Computer und Tags zuweisen. Folgen Sie dem Verfahren aus Schritt 3, das unter Über den Bereich „Übersicht“ von Planen wiederkehrender Updates auf einer einzelnen VM beschrieben wird, um eine Wartungskonfiguration zu erstellen und einen Zeitplan zuzuweisen.

Eine Benachrichtigung bestätigt, dass die Bereitstellung erstellt wurde.

Planen von wiederkehrenden Updates im großen Stil

Führen Sie die folgenden Schritte aus, um wiederkehrende Updates im großen Stil zu planen.

Sie können Updates aus dem Bereich Übersicht oder Computer planen.

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie auf der Seite Azure Update Manager | Übersicht Ihr Abonnement aus und wählen Sie dann Planen von Updates aus.

  3. Auf der Seite Neue Wartungskonfiguration erstellen können Sie einen Zeitplan für mehrere Computer erstellen.

    Derzeit werden VMs und die Wartungskonfiguration im gleichen Abonnement unterstützt.

  4. Wählen Sie auf der Registerkarte Grundlagen die Optionen Abonnement und Ressourcengruppe sowie alle Optionen in Instanzdetails aus.

    • Wählen Sie Zeitplan hinzufügen aus. Geben Sie in Zeitplan hinzufügen/ändern die Zeitplandetails an, z. B.:

      • Start am
      • Wartungsfenster (in Stunden)
      • Wiederholungen (monatlich, täglich oder wöchentlich)
      • Enddatum hinzufügen
      • Zusammenfassung des Zeitplans

    Die stündliche Option wird im Portal nicht unterstützt, kann aber über die API verwendet werden.

  5. Überprüfen Sie auf der Registerkarte Computer, ob die ausgewählten Computer aufgelistet werden. Sie können der Liste Computer hinzufügen oder sie daraus entfernen. Wählen Sie Weiter aus.

  6. Geben Sie auf der Registerkarte Updates die Updates an, die in die Bereitstellung einbezogen werden sollen, z. B. Updateklassifizierung(en) oder KB-ID/Pakete, die installiert werden müssen, wenn Sie Ihren Zeitplan auslösen.

    Update Manager unterstützt keine Treiberupdates.

  7. Weisen Sie auf der Registerkarte Tags Wartungskonfigurationen Tags zu.

  8. Überprüfen Sie auf der Registerkarte Überprüfen und erstellen Ihre Updatebereitstellungsoptionen, und wählen Sie dann Erstellen aus.

Eine Benachrichtigung bestätigt, dass die Bereitstellung erstellt wurde.

Anfügen einer Wartungskonfiguration

Eine Wartungskonfiguration kann an mehrere Computer angefügt werden. Sie kann zum Zeitpunkt der Erstellung einer neuen Wartungskonfiguration oder auch nach der Erstellung einer solchen an Computer angefügt werden.

  1. Wählen Sie auf der Seite Azure Update ManagerComputer und dann Ihr Abonnement aus.

  2. Wählen Sie Ihren Computer und im Bereich Updates die Option Geplante Updates aus, um eine Wartungskonfiguration zu erstellen oder eine vorhandene Wartungskonfiguration an die geplanten wiederkehrenden Updates anzufügen.

  3. Wählen Sie auf der Registerkarte Planung die Option Wartungskonfiguration anfügen aus.

  4. Wählen Sie die Wartungskonfiguration aus, die Sie anfügen möchten, und wählen Sie dann Anfügen aus.

  5. Wählen Sie im Bereich UpdatesPlanung>Wartungskonfiguration anfügen aus.

  6. Wählen Sie auf der Seite Vorhandene Wartungskonfiguration anfügen die Wartungskonfiguration aus, die Sie anfügen möchten, und wählen Sie dann Anfügen.

    Screenshot des Geplanten Patchens: Wartungskonfiguration anfügen.

Planen von wiederkehrenden Updates aus der Wartungskonfiguration

Sie können alle Wartungskonfigurationen an einem zentralen Ort durchsuchen und verwalten.

  1. Durchsuchen Sie Wartungskonfigurationen im Azure-Portal. Dort wird eine Liste aller Wartungskonfigurationen zusammen mit dem Wartungsbereich, der Ressourcengruppe, dem Standort und dem Abonnement angezeigt, zu dem sie gehören.

  2. Sie können Wartungskonfigurationen mithilfe von Filtern am oberen Rand filtern. Wartungskonfigurationen im Zusammenhang mit Gastbetriebssystemupdates sind die Konfigurationen, deren Wartungsbereich als InGuestPatch gekennzeichnet ist.

Sie können eine neue Updatewartungskonfiguration für Gastbetriebssysteme erstellen oder eine vorhandene Konfiguration ändern.

Screenshot der Wartungskonfiguration.

Erstellen einer neuen Wartungskonfiguration

  1. Navigieren Sie zu Computer, und wählen Sie Computer aus der Liste aus.

  2. Wählen Sie im Bereich UpdatesGeplante Updates aus.

  3. Führen Sie im Bereich Erstellen einer Wartungskonfiguration Schritt 3 in diesem Verfahren aus, um eine Wartungskonfiguration zu erstellen.

  4. Wählen Sie auf der Registerkarte Grundlagen den Wartungsbereich als Gast (Azure VM, Arc-fähige VMs/Server) aus.

    Screenshot des Erstellens einer Wartungskonfiguration zeigt.

Hinzufügen oder Entfernen von Computern aus der Wartungskonfiguration

  1. Navigieren Sie zu Computer, und wählen Sie die Computer aus der Liste aus.

  2. Wählen Sie auf der Seite Updateseinmalige Updates aus.

  3. Wählen Sie im Bereich Einmalige Updates installierenComputer>Computer hinzufügen aus.

    Screenshot, der das Hinzufügen oder Entfernen von Computern aus der Wartungskonfiguration zeigt.

Ändern der Auswahlkriterien für Updates

  1. Im Bereich Einmalige Updates installieren können Sie die Ressourcen und Computer auswählen, um die Updates zu installieren.

  2. Wählen Sie auf der Registerkarte ComputerComputer hinzufügen aus, um Computer hinzuzufügen, die noch nicht ausgewählt wurden, und wählen Sie dann Hinzufügen aus.

  3. Geben Sie auf der Registerkarte Updates die Updates an, die in die Bereitstellung einbezogen werden sollen.

  4. Wählen Sie KB-ID/Paket einschließen und KB-ID/Paket ausschließen, um Updates wie Kritische, Sicherheits- und Featureupdates auszuwählen.

    Screenshot, der das Ändern der Updateauswahlkriterien der Wartungskonfiguration zeigt.

Onboarding zum Planen mithilfe der Azure Policy

Der Update-Manager ermöglicht es Ihnen, eine Gruppe von Azure- oder Nicht-Azure-VMs für die Updatebereitstellung über Azure Policy zu verwenden. Mit der Gruppierung mithilfe einer Richtlinie können Sie verhindern, dass Sie Ihre Bereitstellung zum Aktualisieren der Computer bearbeiten müssen. Sie können Abonnement, Ressourcengruppe, Tags oder Regionen verwenden, um den Bereich zu definieren. Sie können dieses Feature für die integrierten Richtlinien verwenden, die Sie entsprechend Ihrem Anwendungsfall anpassen können.

Hinweis

Diese Richtlinie stellt außerdem sicher, dass die Patch-Orchestrierungseigenschaft für Azure-Computer auf vom Kunden verwaltete Zeitpläne festgelegt ist, da sie eine Voraussetzung für die geplante Patcherstellung ist.

Zuweisen einer Richtlinie

Mit Azure Policy können Sie Standards zuweisen und Compliance im großen Stil bewerten. Weitere Informationen finden Sie in der Übersicht über Azure Policy. So weisen Sie dem Bereich eine Richtlinie zu:

  1. Melden Sie sich am Azure-Portal an, und wählen Sie Richtlinie aus.

  2. Wählen Sie unter Zuordnungen die Option Richtlinie zuweisen aus.

  3. Klicken Sie auf der Seite Richtlinie zuweisen auf die Registerkarte Grundlagen:

    • Wählen Sie unter Bereich Ihr Abonnement und die Ressourcengruppe und wählen Sie dann Auswählen aus.

    • Wählen Sie Richtliniendefinition aus, um eine Liste der Richtlinien anzuzeigen.

    • Wählen Sie im Bereich Verfügbare Definitionen für den Typintegriert aus. Geben Sie in der SucheWiederkehrende Updates mithilfe von Azure Update Manager ein und klicken Sie auf Auswählen.

      Screenshot vom Auswählen der Definition.

    • Stellen Sie sicher, dass Richtlinienerzwingung auf Aktiviert festgelegt ist, und wählen Sie dann Weiter aus.

  4. Auf der Registerkarte Parameter ist standardmäßig nur die Wartungskonfiguration „ARM-ID“ sichtbar.

    Wenn Sie keine anderen Parameter angeben, fallen alle Computer im Abonnement und in der Ressourcengruppe, die Sie in der Registerkarte Grundlagen ausgewählt haben, in diesen Bereich. Wenn Sie weitere Bereiche auf der Grundlage von Ressourcengruppe, Standort, Betriebssystem, Tags usw. einrichten möchten, entfernen Sie Nur Parameter anzeigen, die eine Eingabe oder Überprüfung erfordern, um alle Parameter anzuzeigen:

    • Wartungskonfiguration ARM ID: Ein obligatorischer Parameter, der bereitgestellt werden soll. Sie zeigt die Azure Resource Manager (ARM)-ID des Zeitplans an, den Sie den Computern zuweisen möchten.
    • Ressourcengruppen: Sie können optional eine Ressourcengruppe angeben, wenn Sie den Bereich auf eine Ressourcengruppe beschränken möchten. Standardmäßig sind alle Ressourcengruppen im Abonnement ausgewählt.
    • Betriebssystemtypen: Sie können Windows oder Linux auswählen. Standardmäßig sind beide Betriebssysteme vorab ausgewählt.
    • Computerstandorte: Sie können optional die Bereiche angeben, die Sie auswählen möchten. Standardmäßig sind alle ausgewählt.
    • Tags für Computer: Sie können Tags verwenden, um Bereiche weiter einzuschränken. Standardmäßig sind alle ausgewählt.
    • Tagsoperator: Wenn Sie mehrere Tags auswählen, können Sie angeben, ob der Bereich Computer umfassen soll, die über alle Tags verfügen, oder Computer, die über eines dieser Tags verfügen.

    Screenshot vom Zuweisen einer Richtlinie.

  5. Wählen Sie auf der Registerkarte Korrektur unter Verwaltete Identität>Typ der verwalteten Identität die Option Vom System zugewiesene verwaltete Identität aus. Berechtigungen sind bereits gemäß der Richtliniendefinition als Mitwirkender festgelegt.

    Wenn Sie Korrektur auswählen, wird die Richtlinie auf allen vorhandenen Computern im Bereich wirksam, und sie wird jedem neuen Computer zugewiesen, der dem Bereich hinzugefügt wird.

  6. Überprüfen Sie auf der Registerkarte Überprüfen und Erstellen Ihre Auswahl und wählen Sie Erstellen aus, um die nicht kompatiblen Ressourcen zu identifizieren, um den Compliancestatus Ihrer Umgebung zu verstehen.

Konformität anzeigen

So zeigen Sie den aktuellen Compliancestatus Ihrer vorhandenen Ressourcen an:

  1. Wählen Sie in Richtlinienzuweisungen die Option Bereich aus, um Ihr Abonnement und Ihre Ressourcengruppe auszuwählen.

  2. Wählen Sie im Definitionstyp die Richtlinie aus. Wählen Sie in der Liste den Zuordnungsnamen aus.

  3. Wählen Sie Compliance anzeigen aus. Die Ressourcencompliance listet die Computer und Fehlerursachen auf.

    Screenshot der Details der Richtlinienkonformität.

Überprüfen der geplanten Patchausführung

Sie können den Bereitstellungsstatus und den Verlauf Ihrer Wartungskonfigurationsausführungen im Update Manager-Portal überprüfen. Weitere Informationen finden Sie unter Updatebereitstellungsverlauf durch Wartungsausführungs-ID.

Zeitachse des Wartungsfensters

Das Wartungsfenster steuert die Anzahl der Updates, die auf Ihrem virtuellen Computer und Arc-fähigen Servern installiert werden können. Es wird empfohlen, die folgende Tabelle durchzugehen, um die Zeitachse für ein Wartungsfenster beim Installieren eines Updates zu verstehen:

Wenn beispielsweise ein Wartungsfenster 3 Stunden beträgt und um 15:00 Uhr beginnt, sind die folgenden Details zur Installation der Updates aufgeführt:

Updatetyp Details
Service Pack Wenn Sie ein Service Pack installieren, benötigen Sie 20 Minuten im Wartungsfenster, damit die Updates erfolgreich installiert werden können, andernfalls wird das Update übersprungen.
In diesem Beispiel müssen Sie die Installation des Service Packs um 17:40 Uhr abschließen.
Andere Updates Wenn Sie ein anderes Update neben Service Pack installieren, müssen 15 Minuten im Wartungsfenster verbleiben, andernfalls wird es übersprungen.
In diesem Beispiel müssen Sie die Installation der anderen Updates um 17:45 Uhr abschließen.
Reboot Wenn die Computer einen Neustart benötigen, müssen 10 Minuten im Wartungsfenster verbleiben, andernfalls wird der Neustart übersprungen.
In diesem Beispiel müssen Sie den Neustart um 17:50 Uhr starten.
Hinweis: Bei virtuellen Azure-Computern und Arc-fähigen Servern wartet Azure Update Manager maximal 15 Minuten auf Azure-VMs und 25 Minuten auf Arc-Server nach einem Neustart, um den Neustart abzuschließen, bevor er als fehlgeschlagen markiert wird.

Hinweis

  • Azure Update Manager beendet die Installation der neuen Updates nicht, wenn sich das Ende des Wartungsfensters nähert.
  • Azure Update Manger beendet keine laufenden Updates, wenn das Wartungsfenster überschritten wird, sondern startet nicht die verbleibenden Updates, die noch installiert werden sollten. Es wird empfohlen, die Dauer Ihres Wartungsfensters erneut auszuwerten, um sicherzustellen, dass alle Updates installiert sind.
  • Unter Windows ist die Überschreitung des Wartungsfensters häufig auf eine lange dauernde Installation eines Service Pack-Updates zurückzuführen.

Nächste Schritte