SCCM Compliance Settings Özelliği ile Yüklü Güncellemelerin Denetlenmesi
Bu yazıda Client ya da Sunucularda yüklü olmasını istediğimiz bir KB nin gerçekten de yüklü olup olmadığını SCCM in en güzel özelliklerinden biri olan eski adı ile "Desired State Configuration" (DSC) yeni adı ile de "Compliance Settings" ile nasıl denetleneceğini anlatmaya çalışacağım.
Özellikle Time Zone ile ilgili güncellemelerin dağıtımından sonra da kontrol anlamında bu denetleme bizler için faydalı olabilir.
İlk olarak "Compliance Settings" özelliğinin devrede olmasını sağlamalıyız. Bunun için SCCM konsolumuzu açıp aşağıdaki bölüme giderek "Compliance Settings" ayarının aktif olduğundan emin oluyoruz.
Daha sonra \Assets and Compliance\Overview\Compliance Settings\Configuration Baselines alanı ile işlemlere devam edebiliriz.
"Create Configuration Baseline" seçimini yaptıktan sonra bir isim vererek Baseline objemizin oluşmasını sağlıyoruz.
Ben burada "Description" alanına kontrol edilmesini sağlayacağım KB'leri daha sonra bana ya da bir başkasına objenin ne işe yaradığı hakkında hatırlatma yapması adına doldurdum. Tavsiyem sizlerin de Description alanlarını boş bırakmamanız.
Bu yazıda geçtiğimiz Salı günü Windows 10'lar için yayınlanan ve Time Zone güncellemesini de içeren KB'ler ile devam ediyorum.
"Categories" butonuna basarak yine daha sonra işime yarayabilir diye bir Categori oluşturuyorum. Bu işlem opsiyoneldir yapmak zorunda değilsiniz.
Aşağıdaki seçim ekranında istediğim KB numaralını seçiyorum. Şu anda sadece Windows 10'larda Time Zone güncellemesi çıktığı için bu KB'leri seçiyorum. Diğer sistemler için de KB'ler çıktığında aynı ekrandan onları da seçebiliriz.
NOT: Windows 10 dışındaki işletim sistemleri için yayınlana KB2556308 numaralı güncellemeyi de aşağıdaki sihirbazdan bularak işaretleyebilirsiniz.
Baseline Objemiz hazır durumda. Bunu artık dağıtabiliriz. Bunun için objeye sağ tık Deploy seçimi ile devam ediyoruz.
Aşağıdaki ekrana geldiğimizde denetlenmesini istediğimiz bilgisayarların bulunduğu bir Device Collection seçiyoruz. Ben bu işletim tüm bilgisayarla da kontrol edilmesini istediğim için aşağıdaki şekilde ilerliyorum.
Schedule bölümünde de günde 1 kere bu kontrolün yapılmasını istediğimi belirtiyorum. Sizler burada birkaç Saat'te bir kere diyerek günde 3-4 Sefer'de sistemde bu denetlenmenin yapılmasını sağlayabilirsiniz. Bu noktada tercih size ait.
OK butonuna basarak Deploy işlemini tamamlıyoruz.
Bilgilendirme:
Bu noktada aklınıza şu soru gelebilir. Tek bir Baseline oluşturuyoruz ve içine Windows 7, 8.1, Server 2012 R2, Server 2008 R2 vs gibi farklı işletim sistemlerine ait KB'leri seçerek bu Baseline'ı tüm bilgisayarların olduğu bir Device Collection'a deploy ediyoruz. Bu durum bir karışıklığa neden olur mu? Sonuçta Windows 7'lerde diğer sistemlere ait KB'ler yüklü olmayacak.
Cevap Hayır olmaz. Çünkü denetleme işlemi yapılırken sistem, sadece kendisi için uygun olan KB nin kontrolünü gerçekleştirecektir.
Kontrol işlemleri için bir bilgisayar seçerek devam edelim. Yaptığımız Deployment'ı sisteme hemen aldırmak adına Machine Policy yi tetikliyoruz.
Tetikleme işleminden kısa bir süre sonra "Configurations" sekmesine baktığımızda objemizi görmemiz lazım. Gördükten sonra yine kontrolün hemen sağlanması için "Evulate" butonuna basıyoruz.
Kontrol sonucu başarılı sistemimizde istediğimiz güncelleme yüklü.
Burada View Report butonuna basarak da duruma ait raporu görebilmemiz mümkün.
Ben bu noktada yukarıda "Bilgilendirme" bölümünde bahsettiğim durumu sizlere gösterebilmek adına ufak bir değişiklik yaptım. Baseline içerisine Server 2012 R2 için de bir KB ekledim ve "Evulate" işlemini Server 2012 R2 bir sistem üzerinde yaptım.
Raporda da gördüğünüz gibi sistem Windows 10 ile ilgili KB'ler için "Not Applicable" mesajı verdi.
Yukarıdaki rapor sadece Client tarafından bu şekilde görüntülenebiliyor. Ama biz durumu merkezi olarak görmek isteriz. Bunun için iki yöntem göstereceğim. Ama öncesinde aşağıdaki ekranların boş gelmemesi için test makinesinde Machine Policy yi tetikleyiniz.
İlk olarak Deployment ekranına gidiyorum. Deploy edilen uygulamaların içinden kontrol etmek istediğimiz Time Zone Baseline'ı seçip "Çift Tıklıyoruz" Bu sayede aşağıdaki gibi bir görünüm elde etmiş olacağız. İşlemin burada ve birazdan bakacağımız raporda görülebilmesi için "Run Summarization" bağlantısını tıklamalıyız.
İkinci yöntem ise Rapor. Bunun için SCCM konsolundan Reports bölümüne gidiyoruz. Konu ile ilgili birçok rapor mevcut. Ben resimdeki ok ile gösterdiğim raporu çalıştırarak devam ediyorum.
Aşağıdaki gibi bir çıktı alıyoruz. Buradaki başlıklar altındaki rakamlar tıklandığında size bilgisayarların listesini verecektir.
Raporu aldık ama bu bilgisayarlar üzerinde aksiyon almak istiyoruz, ne yapmalıyız dediğiniz duyar gibiyim. Bunun için de güzel bir yöntem var.
Aşağıdaki resimdeki alana geliyoruz ve Deployment sekmesinde bizi diğer deployment'lar da olmayan bir seçenek karşılıyor. Bu sayede raporda aldığımız sonuçlar için Device Collection'lar oluşturabiliriz. Bu da bize aksiyon alacağımız makine gurupları ile çalışma imkânı sağlayacak bir hareket olmuş olacak.
Durum ile ilgili yaşanılabilecek sorunların takibi için aşağıdaki log'lar kullanılabilir.
Log name | Description | Computer with log file |
CIAgent.log | Records details about the process of remediation and compliance for compliance settings, software updates, and application management. | Client |
CITaskManager.log | Records information about configuration item task scheduling. | Client |
DCMAgent.log | Records high-level information about the evaluation, conflict reporting, and remediation of configuration items and applications. | Client |
DCMReporting.log | Records information about reporting policy platform results into state messages for configuration items. | Client |
DcmWmiProvider.log | Records information about reading configuration item synclets from Windows Management Instrumentation (WMI). | Client |
https://technet.microsoft.com/en-us/library/hh427342.aspx#BKMK_CompSettingsLog