Patch menedzsment – tradicionális vs modern megoldás

A Windows patchelés mindig fontos feladat volt. Figyelemmel kellett kísérni a havonta érkező hotfixeket, és mivel ezek sokszor tartalmaznak biztonsággal kapcsolatos hibajavításokat is, gondoskodni kellett a telepítésükről. A cikkemben megmutatnék két megközelítést, illetve tennék best practice javaslatot is, hogyan csökkenthető a patchelés unalmas munkája.

Mi a tradícionális megoldás?

Nagyobb cégeknél jellemzően SCCM-mel végzik a patchelést. Az SCCM egy nagyon sokoldalú, robosztus termék, tökéletesen megfelel a célnak. Nagy előnye a granularitás, igen részletekbe menően szabályozható (milyen patcheket küldünk ki, mikor küldjük, gépcsoportok szerinti telepítések, riportolási funkciók)Hátránya viszont, hogy komoly infrastruktúrát igényel, domaines környezetet, szakembereket. A megnőtt mobilitási igényeknél (pláne a COVID okozta remote work hullám) figyelni kell a hálózattól távollévő gépek menedzsmentjére. Nehézség lehet, ha egyszerre sokszáz gép tölti a frissítéseket a belső hálózatról, VPN-en keresztül. Ez mind a céges sávszélességet terheli.A SCCM patch workflow-t az alábbi ábra szemlélteti nagy vonalakban:19Az SCCM adminisztrátornak minden hónapban össze kell állítania egy szoftvercsomagot, azt eljuttatni a disztribúciós pontokra, gépcsoportokra telepítést meghatározni, később pedig monitorozni a sikeres-sikertelen telepítéseket. 

Mi a modern megoldás?

A Microsoft által modernnek hívott megoldást az Intune biztosítja. Ebben az esetben nincs szükség helyi infrastruktúrára, disztribúciós pontokra, egyéb megoldásokra. A patch menedzsmentet az Intune-on át a Microsoft Update biztosítja, a kliensek oda fordulnak és töltik le a frissítéseket. Ez a fent részletezett remote work scenárióknál komoly sávszélesség és erőforrás-spórolás a céges infrát tekintve.Az Intune patch management workflow az alábbi képen látható:Untitled 

Melyik a jó megoldás?

 

Általánosságban elmondható, ha nem előírás a nagyfokú kontroll a patch menedzsment minden lépésében, akkor érdemes a modern (Intune) megközelítést használni. A gépek az Intune-on át megkapják a windowsupdate policyket és azok mentén töltik le a frissítéseket a Microsoft Update-ről és telepítik. Evvel a megoldással biztosítható, hogy gyors legyen az update terítés és a gépek mindig a friss patcheket telepítsék.

Üzemeltetési oldalról is jóval könnyebb ennél a forgatókönyvnél, nincs szükség a fent részletezett lépésekre (patch csomagok összeállítása, deployment stb). A céges infrastruktúrát sem terheli a patch folyamat (sávszélesség, szerverek, tárhely)

A következő cikkembe bemutatom részletesen, hogy miként lehet az Intune-ra terelni a frissítési mechanizmust.

Skype/Teams coexsistence – és a csapda

A Microsoft Teams egy nagyon népszerű és könnyen használatba vehető alkalmazás. Azonban, ha van meglévő földi Skype for Business környezetünk, federációs lehetőséggel (azaz külsősökkel történő kommunikáció), arra szükséges egy kis odafigyelés.

A call/presence/chat viselkedése a TeamsUpgrade beállítási módtól függ (ez lehet per user vagy tenant-wide beállítás)

A lehetséges beállítási módok:

  • Island mode: ilyenkor a Skype és  Teams kliensek egymás mellett futnak, sziget módban, azaz nem tudnak egymás létezéséről. Ilyenkor a szervezeten belül indított Skype chat a Skype kliensbe, a Teams chat a Teams kliensbe fog megérkezni. Az Island mode az alapértelmezett beállítás.
  • Skype for Business only: minden chat/call/meeting funkciót a Skype kliens kezel
  • Skype for Business with Teams Collaboration: a chat/call/meeting a Skype kliensben történik, de a Teamset lehet használni csoportmunkára (Team-ek, dokumentumok)
  • Skype for Business with Teams Collaboration and meetings: továbbra is a Skype kliens kezeli a chat/call funkciókat, de van mód már a Teamsben is meetinget szervezni és természetesen a csoportmunka funkciók is támogattottak.

Ahogy említettem, a fenti módok akár felhasználónként szabályozhatók, eltérve a Tenant-Wide beállítástól:

01

A routolás is háromféle módot ismer:

  • native: organizáción (tenanton) belüli Teams-Teams kommunikáció
  • interop: organizáción (tenanton) belüli Skype-Teams kommunikáció
  • federated: tenantok közötti federált kommunikáció

Hogy a fenti routing megoldások közül melyik kerül felhasználásra, az alábbiak határozzák meg:

  • a címzett TeamsUpgrade beállítása
  • a küldő által használt kliensprogram
  • új vagy meglévő chat-ről (conversation) van szó
  • a chat organizáción belüli-e vagy federált chat

 

Nézzük a kezdeti felvetést: van működő Skype for Business környezetünk, és elkezdjük használni a Teamset. Ilyenkor minden felhasználó Island módban van, tehát a két kliens párhuzamos futtatása szükséges. A táblázat mutatja, melyik kliensbe érkezik meg az üzenet.

Table 1a: in-tenant new chat or call routing to an islands mode recipient

TABLE 1
Mode Originator

Client

SfB homed Recipient

Islands

Islands Teams
Skype for Business
Teams
Skype for Business
Online
Online
On-prem
On-prem
Teams
Skype for Business
Teams
Skype for Business
Mi történik, ha a felhasználó kikapcsolja a Skype kliensét, avval a felkiáltással, hogy már úgyis van Teams-ünk? Az ő szemszögéből semmi, ír a kollégának Teamsen, aki szintén Teamsen kapja meg az üzenetet.
Viszont itt dől össze a federáció, legalábbis az a lehetőség, hogy külsősök tudjanak chatelni velük. Miért? Az alábbi táblázat alapján látható, hogy ha külsős Teamsből indít chatet, akkor az a Skype kliensbe kézbesítődik. Azaz kézbesítődne, de a Skype kliens már nem fut. A küldő csak hibaüzenetet kap, hogy nem kézbesíthető.

Table 2a: federated new chat or call routing to an Islands recipient

TABLE 4
Mode Originator

Client

SfB homed Recipient

Islands

Islands Teams
Skype for Business
Teams
Skype for Business
Online
Online
On-prem
On-prem
Skype for Business
Skype for Business
Not Possible
Skype for Business
Mi a megoldás? Egyrészről, figyeljünk oda az Island módra.
Amennyiben muszáj, hogy a felhasználónk ezt a megoldást használja, fel kell hívni a figyelmét, hogy mindig futtassa a Teams és Skype klienst párhuzamosan. Amennyiben lehetséges a migráció, akkor a legjobb választás a Teams-only mód (ehhez előfeltétel a Skype-hybrid kiépítése és a felhasználó migrálása a Skype for Business Online-ba, utána állítható be számára a Teams-only mód).
Továbbá, ha van meglévő földi telefónia integráció (SIP trunk stb), akkor az nem fog működni a Teams-only módban, csak ha megfelelő dial plan licensszel és direct routing beállításokkal rendelkezünk.