Fenêtres de maintenance: Le Pays Jamais jamais des correctifs

Les fenêtres de maintenance sont un concept qui peut être difficile à saisir au début. Je suis trop paresseux pour même essayer de vous aider là-bas, donc si vous avez besoin de splainin, je vous suggère de vous diriger d’abord vers les documents et l’excellent résumé de Jason Sandy.

Avant d’y entrer, je veux d’abord me plaindre rapidement d’une chose. Les fenêtres de maintenance ne peuvent que réduire la conformité de vos correctifs. Utilisez-les parce qu’il y a une raison réelle et / ou commerciale qui menace de le faire. Si vous avez juste besoin de vous assurer que les correctifs / applications / séquences de tâches s’installent à une date ou une heure spécifique, c’est à cela que servent les délais de déploiement.
Ok, hors de la boîte à savon. Il y a deux exigences que j’ai fréquemment posées sur lesquelles j’utilise des fenêtres de maintenance pour résoudre. Cette semaine, nous allons juste aborder le premier:

Je Ne Veux Jamais, Jamais, Que Vous Patchiez Cette Boîte

Si vous avez suivi mon blog ou parlé avec moi pendant le temps le plus bref, vous reconnaîtrez à quel point cette rubrique était douloureuse à taper. Ça brûle. Le rapiéçage est trop important pour nous laisser des sacs de viande et devrait être automatisé autant que possible. Cependant, il existe certaines situations où il existe une raison légitime de ne pas automatiser les correctifs et les redémarrages (qui sont la même chose). Ces situations ont tendance à être du côté serveur des choses où les charges de travail doivent être déplacées (ex. SQL, Exchange) mais il existe également des cas d’utilisation de postes de travail. Si vous avez des postes de travail dans une salle d’opération, vous obtenez un laissez-passer pour les mettre à jour automatiquement. Au moins pendant que je suis sur la table s’il vous plait. Votre boîte Windows 2000 exécutant un réacteur nucléaire convient probablement aussi. S’il te plait, n’allume pas ce truc.

Il existe une variété de solutions à ce problème, mais pour être parfaitement honnête, la seule bonne n’existe pas : Prendre en charge les déploiements disponibles pour les ADR. Jusque-là, la solution que j’aime le mieux et à mon avis la plus fiable est de créer ce que j’appelle une fenêtre de maintenance « Jamais ». Créez une fenêtre de maintenance non récurrente qui s’est produite dans le passé. Cela devrait finir par ressembler à ceci:

Cela fonctionne car une fois qu’un appareil dispose d’une seule fenêtre de maintenance, il n’agira pas en dehors de celui-ci. Si cette fenêtre de maintenance unique appartient au passé et ne se répète pas, rien ne s’installera plus jamais automatiquement sur cet appareil. Au lieu de cela, lorsque la date limite d’un déploiement atteint, il essaiera d’installer, détectera qu’il n’est actuellement pas dans une fenêtre de maintenance et se signalera en permanence comme  » En souffrance » en attente d’une fenêtre de maintenance qui ne viendra jamais. Pauvres petites mises à jour so si seules. Ils le resteront pour toujours jusqu’à ce que quelqu’un ouvre Software Center et lance manuellement l’installation. Si vous vouliez obtenir toute la fantaisie, vous pouvez déclencher les installations manuelles à distance en utilisant diverses techniques, notamment < mode shill complet > quelque chose comme l’outil de clic droit Installer l’outil de mises à jour logicielles manquantes < / mode shill complet >.

Il y a deux hypothèses faites ici. Premièrement : que vous ne déployiez pas quelque chose qui remplace les fenêtres de maintenance. Il n’y a pas de réparation stupide alors ne sois pas stupide. Deuxièmement: que vous n’appliquez pas une autre fenêtre de maintenance aux appareils de la collection Never. Celui-ci est un peu plus délicat et explique en partie pourquoi il est presque universellement convenu que vous devez créer des collections séparées qui n’existent qu’à des fins de fenêtre de maintenance. De plus, je recommande fortement de faciliter l’identification de vos fenêtres de maintenance en les plaçant dans un dossier et / ou en préfixant les collections avec quelque chose de significatif. Par exemple : ‘MW-Jamais’. De cette façon, vous savez où se trouvent vos fenêtres de maintenance et vous pouvez vous assurer qu’elles excluent toutes votre fenêtre de maintenance jamais. Si vous vous assurez que chaque collection de fenêtres de maintenance exclut votre fenêtre de maintenance Never, le simple ajout de périphériques à votre fenêtre de maintenance Never garantit que vous ne traversez pas les flux:

Une Fenêtre De Maintenance Avec Des Avantages !

Il y a quelques avantages marginaux de l’utilisation d’une fenêtre sans maintenance que vous n’essayez pas de résoudre ce problème autrement.

Tout d’abord, l’utilisation d’une fenêtre de maintenance jamais utilisée est un excellent moyen de faciliter les correctifs entièrement automatisés. Certains membres de l’équipe croient que leurs appareils sont de petits flocons de neige spéciaux au lieu de bovins prêts à l’abattage? Placez leurs appareils dans une fenêtre de non-maintenance et déployez-leur des correctifs normalement. Vous obtenez un contrôle et des rapports pendant que l’utilisateur final évite d’avoir à attendre le téléchargement des analyses et des mises à jour de Windows Update. Mes administrateurs de serveur ont adoré le fait qu’ils puissent ouvrir Software Center pendant la journée pour valider les correctifs qui attendaient d’être appliqués avant de se connecter le soir pour les appliquer. Ils ont également aimé la possibilité de scripter le processus afin qu’il puisse être fait manuellement mais sans avoir à se connecter à chaque machine. Surtout, après un certain temps, beaucoup se sont demandé pourquoi ils se levaient à l’heure du cul pour appuyer sur un seul bouton. Il a fait des convertis de correctifs automatisés pour le bien de la course informatique.

Deuxièmement, votre fenêtre Never maintenance est une liste noire convenue des appareils qui vous sont morts. Mon tableau de bord de reporting a été écrit spécifiquement pour générer des rapports sur les serveurs à l’échelle mondiale, les serveurs avec des fenêtres de maintenance actives et les serveurs avec la fenêtre de maintenance jamais. Cela m’a permis de montrer à la direction à quel point certains de mes collègues administrateurs étaient horribles à patcher manuellement leurs appareils tout en les excluant des numéros de conformité auxquels je tenais. Lorsque la sécurité est venue frapper à une case particulière, la première étape consistait à examiner mon adhésion à la fenêtre de maintenance pour le (s) appareil (s) en question. S’ils étaient là, je leur ai joyeusement dit de le faire avec les propriétaires d’applications qui se sont attachés à patcher manuellement leurs propres appareils. Cela a également aidé à créer des convertis de correctifs automatisés – bien que moins volontaires.

Enfin, en ce qui concerne ce qui précède, la fenêtre Never maintenance était un débouché pour traiter les mises à jour cumulatives qui n’affectaient qu’un petit sous-ensemble d’applications. Avec les mises à jour cumulatives, le simple fait de bloquer le correctif de ce mois signifie qu’ils se casseront à nouveau lorsque les correctifs du mois prochain sortiront, à moins que le problème sous-jacent ne soit résolu. Si un propriétaire d’application m’a dit de ne pas patcher sa boîte, je l’ai dirigé vers notre DSI et j’ai demandé l’approbation écrite du DSI pour placer ses boîtes dans la fenêtre de maintenance jamais et – c’est la partie cruciale – ne jamais patcher ces boîtes à nouveau. Environ 50% des cas n’ont jamais dépassé cette partie et ceux qui l’ont fait n’étaient plus mon problème parce qu’ils ont été exclus des rapports qui m’importent.

Alors voilà. Comme je l’ai dit, il y a plus d’une façon de répondre à cette exigence, mais pour les raisons ci-dessus, le concept de fenêtre de maintenance jamais utilisée est celui que je considère constamment comme la meilleure solution jusqu’à ce que l’équipe produit nous donne des déploiements disponibles dans ADRs. Même dans ce cas, si vous craignez que des applications et des séquences de tâches soient accidentellement déployées au besoin au lieu d’être disponibles, seule une fenêtre de maintenance jamais disponible peut le garantir.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.