У меня небольшая инфраструктура из примерно 20 серверов, которые все находятся в домене и получают обновления с локального сервера WSUS. Групповая политика на данный момент такова, что автоматические обновления настроены на автоматическую загрузку и установку по расписанию на 3 часа ночи в воскресенье утром.
Это сработало хорошо, но проблема, которую я заметил, заключается в том, что это приводит к отключению всей инфраструктуры около 3:05 утра в воскресенье, когда они проходят через перезагрузку Центра обновления Windows.
Я понимаю, что для многих обновлений требуется перезагрузка, но если все серверы запланировали установку на 3 часа ночи, это приведет к некоторым сбоям, поскольку оба контроллера домена выйдут из строя одновременно, обе стороны кластера MSSQL отключаются и т. Д.
Есть ли хороший способ указать серверам, чтобы они планировали их установку в случайное время в течение установленного периода обслуживания? Это позволит избежать одновременной перезагрузки серверов и распределить ее на более длительное время, что, надеюсь, не приведет к отключению обслуживания.
AFAIK единственный вариант - установить определенное время.
При этом, я думаю, вы не полностью осведомлены о последствиях того, что ВСЕ серверы выполняют автоматическую установку / перезагрузку.
Что, если есть неисправный патч, который ломает ядро или что-то подобное ... вы действительно хотите прийти утром на работу и обнаружить все свои серверы в цикле загрузки?
Я предлагаю вам включить автоматическую установку только для серверов, которые критически важно обновлять (серверы с выходом в Интернет, терминальные серверы), а все остальное делать по расписанию ручного обслуживания.
Если это не сработает для вас, то по крайней мере настройте WSUS, протестируйте обновления, а затем разверните их, когда вы на 100% уверены, что они не сломают вашу ОС или ваши приложения (последнее более распространено).
Вы также можете создать отдельные групповые политики с разными временными интервалами и использовать либо OU, либо фильтрацию безопасности, чтобы выбрать, какой сервер что получает.
Вы можете просто разделить серверы на три или четыре группы обновлений через WSUS. Затем просто утверждайте обновления для одной группы каждую неделю.