SCCM Emergency Patch Deployment ( Kerberos Zafiyeti Güncellemesi Dağıtımı )
Merhaba, bu makalemizde SCCM ile acil durumlarda nasıl patch deployment yapabileceğimizi inceleyeceğiz.
Organizasyonlarımızda kullandığımız uygulamalarda gün geçmesin ki yeni zafiyet çıkmasın özellikle kritik sistemler üzerinde ortaya çıkan zafiyetlerin zaman kaybetmeden kapatılması büyük önem taşımakta.
Bu makalede güncel bir örnek olan ve Microsoft’un Kasım güncellemeleri sonrası “Domain Controller üzerinde Kerberos doğrulama sorunlarına neden olan” problem için acil olarak yayınladığı OOB güncellemelerinin SCCM ile deployment adımlarını inceleyeceğiz.
OOB yani (out-of-band) güncellemeleri sorunları çözmek için acil olarak yayınlanan güncellemelerdir. Microsoft acil durumlarda sorunları çözmek için bu güncellemeleri yayınlar. Böyle durumlarda bu güncellemeleri hemen WSUS Server’larınızda bulamazsınız ve sizin manuel olarak sisteme yüklemeniz gerekmektedir.
İlk olarak sistemimize uygun olan güncellemeyei tespit etmemiz gerekiyor. Microsoft aşağıdaki işletim sistemleri için güncellemeleri paylaştı.
- Windows Server 2022: KB5021656
- Windows Server 2019: KB5021655
- Windows Server 2016: KB5021654
- Windows Server 2012 R2: KB5021653
- Windows Server 2012: KB5021652
- Windows Server 2008 R2 SP1: KB5021651
- Windows Server 2008 SP2: KB5021657
Sonrasında SCCM konsolu açıp, ilgili patch’in KB numarasını arıyoruz. Görüldüğü gibi sistemde bulunmamakta. Benim sistemim Windows Server 2019 olduğu için aradığım patchin KB’si “5021655“.
KB5021655’i ilk önce WSUS Server’a import etmemiz gerek bu yüzden WSUS servisim hangi server üzerinde ise oradan WSUS konsolu açıyoruz ve “Import Updates” tıklıyoruz. Gelen sayfada sayada “5021655” patch’i aratıyoruz.
Patchler listelendi. Kerberos kimlik doğrulama sorunu, sadece Domain Controller’leri etkilediği için Domain Controller olan server’lara patch’i geçeceğiz. Bu yüzden aşağıda görüldüğü gibi “Windows Server 2019” olan patch’i seçiyorum. Siz hangi server versiyonunu kullanıyorsanız o KB aratıp import etmelisiniz.
Şimdi seçtiğimiz patch’i “view basket” tıklayarak import ediyoruz.
Patch import edildi.
Şimdi “KB5021655” aratıyoruz ve import ettiğimiz patch’in geldiğini görüyoruz.
Patch’in SCCM üzerine gelmesi için önce “Synchronize Software Updates“‘e tıklıyoruz ve güncellenmesini sağlıyoruz. Sonrasında ilgili patch’in geldiğini görüyoruz.
Patch öncesi “Emergency Patch” adında bir collection oluşturuyoruz. Bu oluşturduğumuz collection içerisine patch’i deploy edeceğimiz server’ları ekliyoruz.
Domain Controller’ı ekliyoruz.
Şimdi sırada patch’i deploy etmek var. Deploy edeceğimiz patch’i seçip “Deploy“‘a tıklıyoruz.
Deployment’a bir isim veriyoruz ve collection olarak az önce oluşturduğumuz “Emergency Patch” collection’ı seçiyoruz.
“Requried” seçiyoruz çünkü patch’in hemen yüklenmesini istiyoruz.
Deploy edeceğimiz patch’in mümkün olan en kısa zamanda yüklenmesini istediğimizden “As soon as possible“‘ı seçiyoruz.
Domain Controller kritik server’lar olduğı için patch deployment sonrası otomatik reboot etmesini istemiyoruz. Bu nedenle aşağıdaki görselde olduğu gibi “Severs” kutucuğunu işaretliyoruz.
Patch’in indirilmesi için bir network paylaşım path’i gösteriyor ve devam ediyoruz.
“Distribution Point“‘i seçiyoruz.
Patch deployment başladı.
Domain Controller üzerinde patch geldi ve yüklenmeye başladı.
Yükleme sonrası otomatik reboot etmedi ve bizden manuel reboot için aksyion beklemeye geçti.
Reboot sonrası, Domain Controller’lar üzerinde Kerberos kimlik doğrulama sorunlarına neden olan problemi çözmek için yayınlanan “KB5021655” OOB’in yüklendiğini görmekteyiz.
Evet bu şekilde farklı örnekler ile sizler, organizasyonlarızdaki ihtiyaçlara göre farkı deployment sernaryoları üretebilir siniz. Faydalı olması dilerim. Sağlıcakla kalın.
Bilgiler icin tesekkurler, yeni güncellemeleri yükledikten sonra sorun yasayanlar var mi acaba, Kerberos sorunlari stabil sekilde cozulmus mu ?
Merhaba, ben sorun yaşamadım çözüldüğünü düşünüyorum.