メンテナンスウィンドウ:Never Never Land of Patching

メンテナンスウィンドウは、最初は完全に把握するのが難しい概念です。 私はそこであなたを助けようとするのが面倒なので、あなたがいくつかのsplaininが必要な場合は、まずdocsとJason Sandyの優れた荒廃に向かうことをお勧めします。

私たちがそれに入る前に、私はすぐに一つのことについて最初に暴言したいと思っています。 メンテナンスウィンドウは、パッチの準拠を低下させるだけです。 実際の生活やビジネスを脅かす理由があるので、それらを使用してください。 パッチ/アプリケーション/タスクシーケンスが特定の日付または時刻にインストールされていることを確認する必要がある場合は、それが展開期限です。
よし、石鹸箱から出ろ。 私は頻繁に私が解決するためにメンテナンスウィンドウを使用することについて尋ねた見てきた二つの要件があります。 今週は最初のものに取り組むつもりです:

私は決して、決して、この箱にパッチを当ててほしくない

あなたが私のブログと一緒に続いたり、最も短い時間のために私と話したなら、あなたはその それは燃える。 パッチ適用は私達に肉袋を残すには余りにも重要で、可能ように自動化されるべきである。 ただし、パッチ適用と再起動を自動化しない正当な理由が存在する状況があります(これは同じことです)。 これらの状況は、ワークロードを移動する必要があるもののサーバー側にある傾向があります(例。 SQL、Exchange)しかし、いくつかのワークステーションのユースケースもあります。 あなたが手術室にワークステーションを持っている場合は、自動的にそれらを更新する上でパスを取得します。 少なくとも私がテーブルの上にいる間にお願いします。 原子炉を実行しているWindows2000ボックスは、おそらくあまりにも大丈夫です。 電源を入れないでください

この問題にはさまざまな解決策がありますが、完全に正直に言うと、唯一の良い解決策は存在しません:Adrの利用可能な展開をサポートしています。 それまでは、私が一番好きで、私の意見では最も信頼できる解決策は、私が”決して”メンテナンスウィンドウと呼ぶものを作成することです。 過去に発生した非定期的なメンテナンスウィンドウを作成します。 それはこのようなものを見てしまうはずです:

これは、デバイスに単一のメンテナンスウィンドウがあると、デバイスの外では機能しないためです。 その単一のメンテナンスウィンドウが過去にあり、それ自体を繰り返さない場合、何も自動的に再びそのデバイスにインストールされません。 代わりに、デプロイの期限に達すると、インストールしようとし、現在メンテナンスウィンドウ内にないことを検出し、決して来ることのないメンテ かわいそうな更新…とても孤独。 誰かがソフトウェアセンターを開き、手動でインストールを開始するまで、彼らは永遠にそのように滞在します。 すべてのfancy-shmancyを取得したい場合は、右クリックツールのInstall Missing Software Updates tool</full shill mode>ような<full shill mode>などのさまざまなテクニックを使用して手動インストールをリモート

ここでは2つの仮定があります。 まず、メンテナンスウィンドウを上書きするものを展開しないこと。 愚かな固定はありませんので、愚かなことはありません。 第二に、Neverコレクション内のデバイスに別のメンテナンスウィンドウを適用しないことです。 これは少しトリッキーであり、メンテナンスウィンドウの目的のためだけに存在する別々のコレクションを作成することがほぼ普遍的に合意されている理由の一部です。 さらに、私は非常にそれが簡単にフォルダに入れて、および/または意味のある何かをコレクションの前に付けることによって、あなたのメンテナンス たとえば、’MW-Never’です。 この方法は、あなたのメンテナンスウィンドウがどこにあるかを知っている、あなたは彼らがすべてあなたの決してメンテナンスウィンドウを除外することを確認することができます。 すべてのmaintenance windowコレクションがNever maintenance windowを除外していることを確認すると、never maintenance windowにデバイスを追加するだけで、ストリームを通過しないことが保証されま:

特典付きのメンテナンスウィンドウ!

この問題を他の方法で解決しようとしないNever maintenance windowを使用することの利点がいくつかあります。

まず、Never maintenance windowを使用することは、完全に自動化されたパッチ適用を容易にするための素晴らしい方法です。 彼らのデバイスが屠殺の準備ができている牛の代わりに特別な小さな雪片であると信じているチームメンバーはいますか? デバイスを決してメンテナンスウィンドウに入れ、通常はパッチを展開します。 エンドユーザーがWindows Updateのスキャンと更新プログラムをダウンロードするのを待つ必要がないようにしながら、制御とレポートを取得します。 私のサーバー管理者は、夕方にログインして適用する前に、どのパッチが適用されるのを待っていたかを検証するために、日中にソフトウェアセンターを開 彼らはまた、各マシンにログインすることなく手動で行うことができるように、プロセスをスクリプト化する機能を愛していました。 重要なことに、しばらくして、多くの人が、なぜ彼らが単一のボタンを押すためにお尻の時に起きていたのかを自分自身に尋ねました。 それは計算の競争のよいのための自動化されたパッチ適用の改宗者を作った。

第二に、あなたのNever maintenanceウィンドウは、あなたに死んでいるデバイスの合意されたブラックリストです。 私のレポートダッシュボードは、グローバルサーバー、アクティブなメンテナンスウィンドウを持つサーバー、およびメンテナンスウィンドウを持たないサーバーについて報告するために特別に作成されました。 これはまた、私が気にコンプライアンス番号からそれらを除外しながら、私の仲間の管理者のいくつかは、手動で自分のデバイスにパッチを適用していたどのようにひどい管理を表示することができました。 セキュリティが特定のボックスについてノックしてきたとき、ステップ1は、問題のデバイスの私の決してメンテナンスウィンドウのメンバシップを確認することでした。 彼らがそこにいたら、私は喜んで自分のデバイスに手動でパッチを適用することを保持していたアプリの所有者とそれを取るように言いました。 これは、自動パッチ変換を作成するのにも役立ちました…あまり喜んでいませんが。

最後に、上記に関連して、Never maintenanceウィンドウは、アプリケーションの小さなサブセットのみに影響を与える累積的な更新を処理するための出口でした。 累積的な更新プログラムでは、今月のパッチをブロックするだけで、根本的な問題が解決されない限り、来月のパッチが出てくるとき、彼らはちょうど アプリケーションの所有者がボックスにパッチを適用しないように私に言った場合、私はそれらをCIOに指示し、CIOの書面による承認を必要としました。 ケースの約50%がその部分を過ぎてしまったことはなく、私にとって重要な報告から除外されたため、私の問題ではなくなりました。

だからあなたはそれを持っています。 私が言ったように、この要件に対処する方法は複数ありますが、上記の理由から、決してメンテナンスウィンドウの概念は、製品チームがAdrで利用可能な それでも、アプリケーションやタスクシーケンスが誤って使用可能ではなく必要に応じて展開されていることを心配している場合は、決してメンテ

コメントを残す

メールアドレスが公開されることはありません。