После виртуализации нашей серверной инфраструктуры за последние два года количество серверов Windows выросло примерно с. 20–75, в основном путем переноса каждой службы нашей корпорации на его собственную виртуальную машину, но мы также развертываем новые приложения, для которых требуется один или несколько серверов.
Раньше обновление окон занимало у меня всего 1 час, чтобы выполнить эту (скучную) задачу, но теперь это становится действительно трудоемким и подверженным ошибкам (слишком много серверов, некоторые из них кластеры или nbl, а другие имеют службы, которые зависят от других серверов, которые ожидают, что другой сервер будет в сети при перезапуске, поэтому вы не можете перезагрузить все одновременно).
Наш рабочий процесс следующий:
1- Кто-то одобряет в WSUS обновления месяца после небольшого тестирования. 2- Один раз в месяц, в пятницу вечером, когда почти никто не работает, я начинаю скучную задачу: войти на каждый сервер, wuauclt / detectnow, щелкнуть, чтобы загрузить обновления, щелкнуть, чтобы установить, перезагрузить (имея в виду, что еще серверы в данный момент перезагружаются), снова войдите в систему, проверьте, есть ли ожидающие обновления после перезагрузки и т. д.
Я поискал в Интернете и не нашел ничего, что могло бы помочь мне в этой задаче. Я попытался создать приложение на C #, которое бы управляло всем этим без ручного входа на каждый сервер, но wuapi.dll не может загрузить / установить удаленно.
Итак, я думаю, что это обычная проблема, что делают другие люди? Как и следовало ожидать, мы не можем оставить обновления для автоматической установки или перезагрузки, когда этого требуют автоматические обновления.
Вы находитесь в процессе перехода от «SMB-управления» к «управлению предприятием», что само по себе может быть выходом.
Большинство компаний внедряют своего рода понятие окна обслуживания, где главное окно - это период времени, в течение которого данному серверу разрешено перезапускаться или / и выполнять задачи обслуживания. Выполнив некоторое тщательное планирование, например поместив контроллеры домена / DNS-серверы в отдельные группы окон обслуживания (как и узлы кластера), вы, надеюсь, сможете создавать группы серверов, для которых назначаются разные политики окон обслуживания. Некоторые компании используют инструменты управления системой, такие как Microsoft System Center Config Manager, для управления как окнами обслуживания, так и управлением исправлениями, но я знаю, что многие крупные компании просто полагаются на WSUS и контролируют политики с помощью GPO или реестра. Для одного клиента мы создали объекты групповой политики с фильтрацией групп AD, чтобы у системных администраторов была просто «группа дней недели», в которую они могли добавлять свои серверы. Серверы из группы «Понедельник» будут обновляться каждый понедельник в 23:30 и так далее.
Итак, есть много инструментов, но первое, что нужно сделать, - это осознать, что вы сейчас в бизнесе управления предприятием, и соответствующим образом спланировать.