SCCM: Zoinks… Mystery Maintenance Windows

Что я пытаюсь сделать?

У нас есть несколько клиентов SCCM, в основном общедоступные веб-сайты, работающие на IIS 7.5 Windows Server 2008 R2, которые контролируются системой, называемой XYmon. Недавно мы заметили, что эти серверы перезагружаются после установки ежемесячных обновлений Windows примерно на час раньше. Действия клиента SCCM и система мониторинга имеют определенную задержку, но XYmon теряет соединение с этими машинами примерно в 19: 20-19: 30, тогда как остальные контролируемые машины, похоже, перезагружаются примерно через час, примерно в 20: 20-20: 30.

Окно обслуживания, которое я ожидаю применить, начинается в 20:00 и заканчивается в 22:00 и повторяется каждый четверг.

Я пытаюсь понять, почему эти машины устанавливают свои обновления на час раньше. Я знаю, что несколько окон обслуживания «объединены» или объединены, поэтому я подозреваю, что есть еще одно окно обслуживания, которое также применяется к этим клиентам.

Эти машины также находятся в демилитаризованной зоне, не присоединенной к домену, поэтому я не собираюсь исключать проблемы смещения часового пояса / часов.

Что я пытался сделать, чтобы это произошло?

Я полагал, что проблема смещения часового пояса / часов была наиболее вероятной, но обе машины были в правильном часовом поясе, имели синхронизированное время и смогли соответствующим образом обработать изменение летнего времени, которое произошло 8 марта.

Моя следующая гипотеза заключается в том, что у нас было ошибочное или старое окно обслуживания, которое применялось к Коллекции, в которой находились эти машины. Это кажется мне немного маловероятным, поскольку есть еще одна машина, которая должно быть все те же Коллекции, которые перезагружаются в нужное время в 20:00.

Давайте убедимся, что клиент действительно перезагружается, когда система мониторинга сообщает об этом!

Если я проверю клиента, systeminfo показывает время загрузки в 19:22. Журнал событий, кажется, сотрудничает с этим:

Log Name:      System
Source:        USER32
Date:          3/12/2015 7:21:02 PM
Event ID:      1074
Task Category: None
Level:         Information
Keywords:      Classic
User:          SYSTEM
Computer:      HOST09
Description:
The process C:\Windows\CCM\CcmExec.exe (HOST09) has initiated the restart of computer HOST09 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
 Reason Code: 0x80020001
 Shutdown Type: restart
 Comment: Your computer will restart at 03/12/2015 07:21:02 PM to complete the installation of applications and software updates.

Он перезагружался из-за обновлений Windows SCCM?

Если я копаюсь в UpdatesHandler.log ответ - большое старое «да»:

Initiating updates scan for checking applicability. UpdatesHandler  3/12/2015 7:00:00 PM    6472 (0x1948)
Successfully initiated scan.    UpdatesHandler  3/12/2015 7:00:00 PM    6472 (0x1948)
Updates scan completion received, result = 0x0. UpdatesHandler  3/12/2015 7:00:00 PM    8396 (0x20CC)
Initiating updates scan for checking applicability. UpdatesHandler  3/12/2015 7:00:02 PM    10160 (0x27B0)
Method (Apply) called from SDM. UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Starting job with id = {7DD179F1-1B94-4ADB-A5F1-08E9A000709F}   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Successfully initiated scan.    UpdatesHandler  3/12/2015 7:00:02 PM    10160 (0x27B0)
Updates scan completion received, result = 0x0. UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Initiating Scan. Forced = (0)   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Successfully initiated scan for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Scan completion received for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).  UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Evaluating status of the updates for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).  UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Initiating download for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).   UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Bundle update (038c4fc9-664f-45e5-b838-f7263ffc4512) is requesting download from child updates for action (INSTALL) UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)

"ServiceWindowManager.log" показывает, что это окно обслуживания было применено в 19:00:

Active Service Windows List has 1 windows   ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)
    Service Window with ID = {F51051BF-90E8-4ED7-BA06-F74F9E74A098} having Starttime=03/12/15 19:00:00  ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)
        Duration is 0 days, 08 hours, 00 mins, 00 secs  ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)

Хорошо ... Откуда появилось это окно обслуживания?

Небольшой фрагмент SQL должен показать мне все окна обслуживания, применяемые к конкретному клиенту SCCM:

select
v_FullCollectionMembership.Name as Computername ,v_Collection.Name as CollectionName,
v_ServiceWindow.Description as "Next Maintanance Window"
from v_ServiceWindow 
inner join v_FullCollectionMembership on (v_FullCollectionMembership.CollectionID = v_ServiceWindow.CollectionID)
inner join v_Collection on (v_Collection.CollectionID = v_FullCollectionMembership.CollectionID)
order by Computername

и я получаю следующие результаты:

Computername    CollectionName  Next Maintanance Window
HOST09  Default Maintenance Window  Occurs on 9/15/2013 1:00 AM
HOST09  Weekly Maintenance Window - Thursday    Occurs every 1 weeks on Thursday effective 11/1/2013 8:00 PM

Небольшое объяснение в порядке: все наши клиенты SCCM принадлежат к Коллекции, которой назначается Окно обслуживания по умолчанию, которое возникает только один раз и находится в прошлом. Это предотвращает изменение членства в Коллекции и несвоевременные запросы политики клиента, заставляющие клиентов, которые отложили действия, немедленно их выполнить. Однако, поскольку окна обслуживания объединены, окно еженедельного обслуживания должно применяться ... в 20:00.

Думая, я выгрузил все Коллекции, в которых был этот клиент, а затем пошел и проверил, назначены ли им окна обслуживания:

SELECT dbo.v_Collection.Name 
FROM dbo.v_FullCollectionMembership INNER JOIN dbo.v_Collection ON dbo.v_FullCollectionMembership.CollectionID = dbo.v_Collection.CollectionID 
WHERE (LOWER(dbo.v_FullCollectionMembership.Name) = LOWER('HOST09'))

Короче говоря. Они этого не делают.

Каких результатов вы ожидали?

Я действительно ожидал увидеть коллекцию, к которой было применено окно обслуживания, которое началось в 19:00, и если мой SQL не плох и я его пропустил, я думаю, что здесь происходит не это.

Тот факт, что сейчас на час раньше, также заставляет меня думать, что это может быть проблема с часовыми поясами или смещением часов, но, похоже, этого тоже следовало ожидать.

Я все еще считаю обе мои гипотезы достойными и не опровергнутыми, но я не знаю, как собрать больше информации, чтобы сделать вывод о них. Есть идеи, как мне продолжить устранение неполадок?

Есть ли еще что-нибудь, что мне следует подумать? Что еще могло вызвать это?

РЕДАКТИРОВАТЬ:

Я проверил группу обновлений программного обеспечения на предмет обновлений программного обеспечения этого месяца, и есть крайний срок, установленный на 10.03.15 в 20:53. но поведение крайнего срока для действий, которые должны выполняться вне окна обслуживания, отключено как для установки обновлений программного обеспечения, так и для перезапуска системы.

Что касается текущего времени на коробке, вроде оно действительно выглядит нормально, но я просто проверяю дату и время на панели управления: