SCCM / MECM ile Sunucu En son Patch tarihlerini öğrenme. Last Patch applied Servers.

Merhaba, 1500-2000 veya daha fazla sunucu sayısının olduğu büyük yapılarda (Banka, GSM Telco, Bakanlıklar vb.)  Server  Patch işlemleri bazen kontrolsüz sevredebiliyor. Kendi saha  deneyimlerime dayanarak bu büyüklükteki yapılarda gözlemlediğim doğru Patch mekanizması oluşturulmamış ve kurgulanmamış ise  Sunucuların bir çoğunluğu   çok uzun zamandır  Update edilmemiş olabiliyor. Buda beraberinde güvenlik açıklarını getirmekle kalmıyor  ve siber saldırganların hedefinde olmanıza davetiye çıkarabiliyor.  Bugünkü makale konumuzda yapınızda SCCM veya yeni adıyla Microsoft Endpoint Configuration Manager ürünü konumluysa  default'ta açık olmayan bir özelliği nasıl aktif edip Sunucularınızın veya istediğiniz Client cihazlarınızın son Patch geçiş tarihi bilgisini nasıl toplayacağımızı inceleyeceğiz. Bu konu Türkçe bir SCCM Makalesi olarak yer almadığını fark ettiğim için özellikle seçtiğim bir konu.

İşlemlere başlamadan önce bilgi vermek istiyorum bir .MOF dosyası ve bir de .cab dosyası ile bir script çalıştıracağız.  Bu 3 dosya aşağıda linkini paylaştığım bağlantıda Update.zip olarak klasör halinde  mevcut.

https://msdnshared.blob.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/telligent.evolution.components.attachments/01/7717/00/00/03/65/19/41/Update.zip

Update klasörünün içeriği üstteki resimdeki gibidir. 3 dosya da konfigürasyon işleminde kullanacağımız dosyadır. Bu nedenle üstte paylaştığım link’ten update.zip klasörünü indirip extract etmeniz ve SCCM Sunucunuzda 3 dosyayı da hazır bulundurmanız gerekiyor.

İlk olarak SCCM > Administration> Client Settings > Properties tıklayarak  Hardware Inventory tabına ulaşalım. 

Alttaki resimdeki ekranda Set Classes seçimini yapalım. 

 Gelen arama ekranına Win32_QuickFixEngineering   yazıp aratalım.

Aşağıdaki resimdeki tüm seçenekleri işaretleyerek seçim ekranını OK ile kapatalım.

Aynı ekranda yani Client Settings > Hardware Inventory > tabında Tekrar Set Classes seçimi yapalım ve indirmiş olduğumuz update klasöründeki  .MOF dosyasını import edelim.

UpdateDetails.MOF dosyasını import edelim.

 

Dosyamız import edilmiş durumda. OK ile tüm pencereleri kapatabiliriz.

Hardware Inventory tarafındaki  işlemlerimiz ve import edeceğimiz dosyalarla işimiz bitti.  Şimdi sırada bu eklemiş olduğumuz dosyaların içeriğindeki  verileri Server veya Client cihazlarımızdan toplamaya geldi. J

SCCM üzerinde  > Assets and Compliance > Compliance Settings > Configuration Baseline alanına gelerek  Import seçimi ile   UpdateDetails.cab dosyasını import edeceğiz.

Add Seçimi ile ilerliyoruz.

UpdateDetails.cab dosyasını  Open diyerek ekliyoruz.

Next ile ilerliyoruz. Eklemiş olduğumuz .cab dosyasının içeriğindekileri bize gösteriyor.

Close ile import ekranını kapatabiliriz.

.cab dosyamızı  import ettik. Şimdi sıra geldi bu oluşturmuş olduğumuz Baseline’ı  Serverlarımıza dağıtmaya ve onlardan veri toplamaya.

Aynı ekranda ilgili baseline üzerinde Sağ click > Deploy seçimini yapıyoruz. 

Deploy Configuration Baseline ekranında seçimlerimizi aşağıdaki gibi yapabiliriz. Collection olarak All Servers adında  tüm Sunucularımın içinde bulunduğu bir Collection seçtim ve  çalışma zaman aralığı olarak 7 dakika da bir olarak belirttim.

Yapacağımız bir iki kısa ayar daha kaldı.  İndirmiş olduğumuz Update  klasöründeki  aşağıdaki dosyayı uzantısını   .txt den  .ps1 olarak değiştirip çalıştırmamız gerekiyor.

SCCM > Administration > Client Settings >  Properties > Computer Agent  > PowerShell execution policy alanına gelerek aşağıdaki ayarı yapmamız gerekiyor.

Serverlarınıza deploy ettiğiniz   baseline sürecini Right Click tool ile tetikleyebilir veya 7 dakika da bir çalışması için ayar yaptığım için 10 dakika sonra süreci gözlemleyebilirsiniz.

Örnek bir sunucumdaki durum aşağıdaki gibidir.

Configuration baseline’ı almış ve compliant olarak gözüküyor.

SCCM sunucumuz üzerinde > \Assets and Compliance\Overview\Compliance Settings\Configuration Baselines alanına gelip  ilgili baseline seçiliyken Deployments tabına geçelim ve View status ile deploy ettiğimiz baseline’ın dağıtım durumunu gözlemleyelim.

Gelelim verileri kontrol etmeye rapor halinde görüntülemeye.

Bunun için iki yöntemimiz var. Birincisi paylaştığım SQL Query ile yeni rapor oluşturup SCCM Databaseinde çalıştırmanız.  2. Yöntem ise  SCCM versiyonunuz 1806 ve üzeri ise CMPivot aracı ile hızlıca anlık veriyi görüntülemeniz ve .csv  olarak export etmeniz. Ben rapor oluşturma kısmına girmiyorum çünkü  Lab. Ortamımdaki SCCM sunucum 2002 versiyonu CMPivot aracı ile veriyi anlık görüntüleyeceğim.

İlgili SQL Query:  select * from v_GS_CM_UPDATEDETAILS

İlgili Collection üzerinde Sağ click > Start > CMPivot seçimini yapalım. 

CMPivot aracını çalıştırdığımızda  default olarak mevcut olmayan  bizim eklemiş olduğumuz  UpdateDetails dosyalarının içeriği geldi. İlgili dosyanın üzerine gelip  Run Query tıklamamız gerekli. Devamında ilgili Query içeriği aktif olan cihazlarda çalışacak ve veriyi getirecektir.

Üstteki resimde göreceğiniz üzere All Servers Collection üzerinde CMPivot aracını çalıştırdım ve eklemiş olduğumuz  CMUpdateDetails. Üzerinde Run Query seçimi yaptım.  Bana koleksiyonum üzerindeki sunucularımı ve o sunucular üzerinde yüklü olan updatelerimi ve yüklenme tarihlerini listeledi.  Sağ üst köşedeki Export seçimi ile rapor olarak bu çıktıyı almamız mümkün.  .csv uzantılı dosyayı excel de açarak Filtrelemelerle istediğimiz gibi üzerinde düzenleme yapabilir verileri kontrol edebiliriz.

Bir test işlemi gerçekleştireceğim hem oluşturmuş olduğumuz baseline’ın gerçek veriyi yansıtıp yansıtmadığını kontrol etmek için hemde verinin ne kadar hızlı bize yansıtıldığını görmeniz için. Üstteki resimde işaretlediğim MSDC01 isimli Sunucum Server 2019 OS üzerinde çalışan bir sunucu. Gördüğünüz gibi en son 9/7/2019 tarihinde Update edilmiş. Ben SCCM ile bu sunucuya bir update paketi göndereceğim ve sonrasında süreci inceleyeceğim.

SCCM Software Update Point üzerinden bu sunucunun dahili olduğu Servers 2019 Collectiona deploy edilmek üzere bir update paketi gönderdim. 2 update  dosyası gönderdim test amaçlı. 

Sunucunun Windows update çıktısı üstteki resimdeki gibi.

Bir de SCCM üzerinden CMPivot ile süreci kontrol edelim.

Baseline harika çalışıyor J istediğiniz gibi export edip rapor üzerinde oynayabilirsiniz. Bu sayede  şöyle bir ihtiyacınız olması durumunda da çözüm üretebilirsiniz. 4012212 id’li update kaç sunucuda yüklü. Vb.

Hyper-V Host üzerindeki mount durumda olan ISO’ları listeleme ve unmount işlemi

Merhaba,  bazı durumlarda Hyper-V Host'larınız üzerinde çalışan sanal sunucularda mount edilmiş ISO dosyalarını listelemeniz gerekebilir.

Bu durumda kullanmanız gereken komut setini paylaşacağım.

Stand alone çalışan Hyper-V Host için aşağıdaki komutu Powershell üzerinde run as admin ile çalıştırabilirsiniz.

Get-VMDvdDrive -VMName * | Where-Object {$_.DvdMediaType -eq 'ISO'}

Komutun sonuna | Fl  koymanız halinde dosya uzantısı uzun olan ISO varsa dosya ismini görmenizi ve diğer detayları bulmanızı sağlar.

Üstteki komut ile Stand alone çalışan Hyper-V Host sunucunuz üzerindeki  mount edilmiş ISO’Ları listeleyeceğinizi görmüş olduk.  Şimdi ise Cluster yapısındaki Hyper-V  üzerinde cluster genelindeki mount edilmiş ISO’ları listeleme komutunu paylaşıyorum.

Get-ClusterGroup | ? {$_.GroupType -eq 'VirtualMachine' } | Get-VM | Get-VMDvdDrive | Where-Object {$_.DvdMediaType -eq 'ISO'}

Şimdide Mount durumda olan ISO’ları tek bir komutla unmount hale getirelim.

Get-VM | Get-VMDvdDrive | Set-VMDvdDrive -path $null  

Komutu ile ilgili Hyper-V host üzerindeki mount durumda olan tüm ISO’ları unmount hale getirebilirsiniz.

Örnekler aşağıdadır. 

System Center Operations Manager 2016 ile Account Lock Out aktivilerini izleme.

Merhaba,  yapınız genelinde  güvenlik nedeniyle Domain Controller üzerinde Account Lock Out Policy tanımlamış olabilirsiniz, ki güvenlik nedeniyle önerilen bir işlem. Bazı kritik hesapların (üst yönetim kullanıcıları, veya servis hesapları.) kilitlendiği zaman bilginiz olması gerektiği senaryolar olabilir. İşte bu gibi durumlarda System Center Operations Manager üzerinden bu süreci nasıl takip edebileceğimizi yazımda paylaşacağım. Dilerseniz Domain genelindeki tüm kullanıcıların Account Lock out süreçlerini takip edebilir yada sadece belirlediğiniz accountların takibini sağlayabilirsiniz.

SCOM üzerinden Authoring panele gelerek işlemlere başlayabiliriz.  Rules > Create New Rule seçimi ile ilerliyoruz.

Alert Generating Rules > Event based > NT Eveng Log (alert) seçimi ile ilerleyelim.

Rule name And Description alanında ise  isim ve dilersek açıklayıcı bilgi girebiliriz. Ben örneğimde sadece yönetimden olan kullanıcıları takip edeceğim için açıklama kısmına bu bilgiyi girdim.

Rule Category: Alert olarak bırakıyoruz.

Rule Target:  alanında ise Select ile ilerleyerek açılan listeden Windows Computer bularak ekliyoruz.

Event Log Type Security olarak ayarlıyoruz.

Geldik en kritik  kısıma. Build Event Expression alanında ise doğru alert almamız için konfigürasyon yapacağız.

Event Id 4740 olarak ayarlayıp başka hiç bir parametre belirtmezsek DC’deki  Lock olan tüm kullanıcıların alertlarını bize bildirecektir. Bu durum büyük yapılarda pek tercih edilen bir yöntem değil. 5.000 veya 10.000 user olan bir ortamda günlük %1 user account lock olsa ortalama 100 user lock alert SCOM üzerine yansır ki buda pek istediğimiz bir durum olmaz.

Biz yönetimden belirlediğimiz kullanıcı veya kullanıcıları takip edeceğimiz için ek bir parametre daha ilave edeceğiz.  Insert seçimi ile devam edelim.

Üstteki resimde göreceğiniz üzere Insert seçimi yaptıktan sonra açılan pencereden,  Specify event specific parameter to use seçimini yaparak Event Parameter number : 1 belirtiyoruz ve OK ile işlemi kapatıyoruz.

Contains seçimi ile   Value kısmına  Account lock out durumunu takip etmek istediğimiz kullanıcı ismini belirtiyoruz.  Bizim örneğimizde bill.gates kullanıcısının lock out sürecini takip edeceğiz.

Custom bir Alert açıklaması girmek istemiyorsak Create seçimi ile rule oluşturma işlemini sonlandırabiliriz.

Rule oluştu. Sıra geldi test işlemine. Öncelikli olarak bill.gates kullanıcı hesabını lock edeceğiz. Ve alert üretip üretmediğini takip edeceğiz.

Account lock oldu.

FileServer isimli sunucudan account lock işlemini denemiştim.

Kuralımız sorunsuz çalışıyor. SCOM üzerine düşen alert aşağıdaki gibi.

Şimdide test amaçlı başka bir kullanıcıyı lock edelim. Diğer tüm kullanıcıların oluşturmuş olduğumuz kuraldan etkilenmemesi yani alert üretmemesi gerekli.

Hemen test edelim.

Ozgur.senerdogan  kullanıcısını lock etmiş durumdayım.

SCOM üzerine düşen herhangi bir alert mevcut değil.

Senaryo gereği kritik bir servis accountunuz var ve bu hesabıda takip  etmek istiyorsanız.  Oluşturmuş olduğumuz kuralın içine  parameters kısmına bu servisin adını yazmanız yeterli.  

Hyper-V VM kill etme işlemi nasıl yapılır.

Merhaba,  bazı durumlarda Hyper -V Hostlarınız üzerinde çalışan sanal sunucularınızda aşağıdaki resimdeki gibi hatalar alabilirsiniz.  Sanal sunucu ayarlarına müdahale etmek istediğinizde ise  bu hatayı aldığınız sanal sunucunuz Saved State durumda ise müdahale edemediğinizi  göreceksiniz.

İşte bu gibi senaryolarda bir Hyper-V  VM nasıl kill edilir bunu inceleyeceğiz.

Gördüğünüz üzere Shutdown, Turn Off,  Reset gibi aksiyonlar da pasif.

Bu problemi yaşadığımız Hyper V Host üzerinde Run as Administrator seçimi ile bir Powershell açalım.

1.resimde ilgili sanal sunucunun GUID bilgisi mevcuttu. Fakat bu bilgiye erişmemiz gerektiğinde nasıl bulabileceğimizi paylaşacağım.

Get-VM | Select Name, Id  komutunu powershell üzerinde çalıştırdığımız takdirde o Host üzerinde çalışan VM isimleri ve GUID bilgileri gelecektir.

biz örneğimizde GUID bilgisini kullanmayacağız. ama ihtiyacınız olan senaryolarda  aşağıdaki komuttan yararlanabilirsiniz.

Powershell üzerinde  Stop-VM  -Force sunucuismi  yazarak enterlamanız halinde hang olmuş olan sanal sunucunuzun kapandığını göreceksiniz.

SCCM / MECM 2002 Client Agent kurulumu esnasında alınan “Failed to get DP locations as the expected version from MP 'http://SCCM01.anadolu.local'. Error 0x87d00215” Çözümü

Merhaba,  SCCM veya yeni adıyla Microsoft Endpoint Configuration Manager 2002 ile Client agent kurulumu sırasında üstteki hatayla karşılaşmanız halinde kontrol etmeniz gerekenlerden bahsedeceğim.

SCCM sunucudaki  İlgili CCM log dosyası içeriği. İlgili log dosyasını CMTRACE ile açmayı unutmayınız.

İlgili hatayı çözerken SCCM sunucunun yeni kurulduğu için Boundary ve Boundary Grupların  oluşturulmadığını oluşturulmayı atlandığını fark ettim. Bildiğiniz üzere SCCM ile yöneteceği cihazların iletişimi  Boundary’ler aracılığıyla sağlanır.

Üstteki resimde göreceğiniz üzere oluşturulmuş olan herhangi bir Boundary mevcut değil. SCCM kurulumu sonrası ilk yapılması gereken işlemlerin başında Boundary ve Boundary grupların oluşturulması gelmektedir.

Aynı ekranda Create Boundary seçimini yapıyoruz ve ayarları aşağıdaki gibi ip adresi aralığını kendi yapımıza uygun olmak kaydıyla giriyoruz.

Şimdide Boundary group oluşturalım.

Boundary groups sekmesine geçerek Create Boundary Group seçimi ile ilerleyelim.

Boundaries sekmesinde add seçimi ile oluşturmuş olduğumuz ve bu gruptan iletişim kurmasını istediğimiz boundary’leri eklememiz gerekiyor.

Oluşturmuş olduğumuz Boundary Group özelliklerine girip References sekmesinde aşağıdaki ayarı da yapmamız gerekiyor.

Tüm bu işlemlerden sonra Client agent işlemlerini tekrar tetikleyebiliriz.

SCOM İle Sunucu Restart / Shutdown bilgisi izleme.

Merhaba,  IT Altyapınızda System Center Operations Manager ürünü kullanıyorsanız takip etmenizi önerdiğim ve aktif olarak kullandığım Sunucu Restart ve Shutdown uyarısını nasıl oluşturacağınızı yazımda anlatacağım. Oluşturacağınız  bu alert sayesinde kritik sunucularınızın restart / shutdown olduğunu anında öğrenerek hızlıca aksiyon alabilirsiniz.

Öncelikle izlemek istediğiniz sunucular da  SCOM Agent olması gerektiğini bilmeyenler için hatırlatmak isterim. İzleme yapan tüm ürünler de gerek Microsoft System Center ürünleri olsun gerek diğer vendorlara ait ürünler olsun Agent olmadan izleme ve diğer yönetimsel işlemleri gerçekleştiremiyoruz.

İşlemlere başlayabiliriz. Event üzerinden Sunucu restart bilgisini takip edeceğimiz için  Authoring panele gelerek Event based bir rule oluşturacağız.

SCOM > Authoring > Rules > Create a new rule seçimini yapıyoruz.

Devamında,  Event Based > NT  Event Log seçimini yapıyorum ve Next ile sonraki adıma geçiyorum.

Rule name and Description ekranında kuralımız için belirleyici bir isim giriyoruz. Açıklama istersek belirtebiliriz. Çok fazla  izleme kuralının olduğu ortamlar da işe yaramakta.

Rule Category:  Alert olacak şekilde bırakıyoruz.

Rule Target:  kısmında ise Select tıklayarak Windows Computer  aratarak bulmamız ve seçmemiz gerekmekte. Seçimlerinizi belirttiğim şekilde  yapmanız halinde aşağıdaki resimdeki bilgilerin gelmiş olması gerekli.

Event Log Type’ı  System olacak şekilde düzenliyoruz.

 Build Event Expression alanında ise toplayacağımız Event bilgisini ID şeklinde belirteceğiz.

Event ID 1074, Event Source olarak ise User32 giriyorum.  İzlemesini yaptığınız işletim sistemine uygun Restart / Shutdown Event id kodunu bularak onu belirtebilirsiniz.

Configure Alerts kısmında özelleştirme yapa bilirsiniz.   Priority kısmını High yapmanızı öneririm. Severity ise Critical tercih edilmeli. Create tıkladığımızda kuralımız oluşmuş olacaktır.

Ek not: Custom Alert Fields tıkladığınızda custom bir alert açıklaması girebilirsiniz.

Kuralımızı oluşturduk test işlemine geçebiliriz.

Üstteki resimde göreceğiniz üzere  IISServer isimli sunucuda  Sccmadmin isimli kullanıcı ile  sunucuyu restart ettim.

Oluşturmuş olduğumuz kuralımız sorunsuz çalışıyor. E-mail notification yapınız da ayarlı ise anlık sunucu restart veya shutdown  bilgisinden haberdar olabilirsiniz.

Ek not: tek kural ile tüm windows sunucularınızdan restart ve shutdown bilgisini toplamanız mümkündür. Ben örneğimde tek sunucuyu restart ettim.