Мой босс и я сидели сегодня в нашей серверной, когда мы внезапно услышали, что один из наших серверов перешел на сверхскоростной режим, указывая на то, что он перезагружается. Вы можете вообразить немедленное выражение «о, дерьмо» на наших лицах.
Мы покопались в журналах, и оказалось, что были автоматически установлены некоторые обновления, которые требовали перезагрузки. AU, увидев, что никто не вошел в систему, автоматически произвел перезагрузку. Это рабочий сервер, поэтому у нас отключены автоматические обновления (даже не загрузка, а ожидание. Он должен дождаться, пока мы сообщим ему, прежде чем он что-либо сделает).
Я запустил и rsop.msc, и gpedit.msc, чтобы проверить, есть ли политика мошеннической группы, которая вынуждает автоматическое обновление. Ничего.
Наш windowsupdate.log показывает это:
2011-12-16 09:00:12:092 964 17f4 AU Setting AU scheduled install time to 2011-12-16 20:00:00
(таких строк было намного больше, и одна указывала на запланированную установку за несколько минут до того, как мы услышали перезапуск)
Итак, где-то у AU появилась яркая идея, что он должен планировать автоматические установки. Есть идеи, почему это может происходить?
Немного необходимой информации:
Недавно (месяц назад) мы установили сервер WSUS, а две недели назад направили на него все наши серверы. С WSUS на передний план вышла безопасность клиентов с политикой, настроенной на автоматическое обновление определений каждые 6 часов. Возможно, это может быть проблемой, но похоже, что серьезный недостаток заключается в том, что при проверке обновлений определений он автоматически устанавливает другие обновления.
Я также развернул (кажется, в прошлый четверг) новый объект групповой политики для наших рабочих станций, который вызывает автоматическое обновление в 14:00. Это было применено к нескольким избранным рабочим станциям в компании и НИ ОДНОМУ ИЗ СЕРВЕРОВ. Я подтвердил, что эта групповая политика не применялась через rsop.msc
Насколько я могу судить, это произошло только на серверах 2003 или 2003, но я не могу обещать, что этого не происходит на серверах 2008 года, и я просто не заметил.
Идеи?
На самом сервере из командной строки я бы рекомендовал запустить gpresult (с / v для подробного вывода или / z для сверхподробной версии), и вы увидите, что вы можете найти политику, которая применяется неправильно (или альтернативу, которая по какой-то причине не применяется, как должно быть). Кроме того, я бы рекомендовал > result.txt (или как вы хотите его назвать) с параметрами / v и / z - они могут стать довольно многословными и превышать экранный буфер командной строки. Наличие результатов в текстовом файле также делает их доступными для поиска, что приятно ...
Вот интересная статья, хотя я не уверен, применимо ли это здесь.
какие у вас настройки автоматического обновления? Проверьте как групповую политику, так и локальную политику. С групповой политикой (если применимо) запустите RSOP, который в основном создаст картину того, как выглядят ваши настройки GP, включая учет наследования. Я предполагаю, что у вас есть автоматическая установка / перезагрузка, и MS выпустила внеполосный патч.
Во-вторых, будьте осторожны с тем, какую классификацию вы автоматически одобряете. Как вы указываете, есть обновления определений, но есть также обновление безопасности, критическое (или важное) обновление, рекомендуемые обновления. Если у вас есть параметры безопасности или критические параметры для автоматического утверждения, и MS выпускает внеполосный патч, вы получите его, и он будет перезагружен в соответствии с настройками запланированной установки WSUS (в политике группы).