Vedlikehold Vinduer: Aldri Aldri Land Patching

Vedlikehold Vinduer Er et konsept som kan være vanskelig å fullt ut forstå først. Jeg er for lat til å prøve å hjelpe deg der, så hvis du trenger litt splainin, foreslår jeg at du først går over til docs og Jason Sandy ‘ s utmerkede trekk.

før vi kommer inn i det, selv om jeg raskt vil rant om en ting først. Vedlikeholdsvinduer kan bare redusere patchoverensstemmelsen. Bruk dem fordi det er en ekte liv og / eller virksomhet truende grunn til å gjøre det. Hvis du bare trenger å sørge for at patcher/applikasjoner/oppgavesekvenser installeres på en bestemt dato eller tid … det er hva distribusjonsfrister er for.
ok, av såpeboksen. Det er to krav jeg har sett ofte spurt om at jeg bruker vedlikeholdsvinduer for å løse. Denne uken skal vi bare takle den første:

Jeg Vil Aldri At Du Lapper Denne Boksen

Hvis du har fulgt med bloggen min eller snakket med meg for selv den korteste tiden, vil du gjenkjenne hvor smertefullt den overskriften var å skrive. Det brenner. Patching er for viktig til å forlate oss kjøttposer og bør automatiseres så mye som mulig. Det er imidlertid visse situasjoner der en legitim grunn eksisterer for ikke å automatisere patching og omstart (som er det samme). Disse situasjonene pleier å være på serversiden av ting der arbeidsbelastninger må flyttes rundt (f.eks. SQL, Exchange) , men det er også noen arbeidsstasjoner. Hvis du har arbeidsstasjoner i et operasjonsrom, får du et pass på å automatisk oppdatere dem. I hvert fall mens jeg er på bordet, vær så snill. Din Windows 2000-boks som kjører en atomreaktor, er sannsynligvis også bra. Vennligst ikke strøm syklus den tingen.

Det finnes en rekke løsninger på dette problemet, men for å være helt ærlig eksisterer den eneste gode ikke: Støtte Tilgjengelige Distribusjoner for Bivirkninger. Inntil da løsningen jeg liker best og etter min mening er den mest pålitelige er å lage det jeg kaller En ‘Aldri’ vedlikehold vindu. Opprett et vindu for engangsvedlikehold som skjedde tidligere. Det skal ende opp med å se noe sånt som dette:

Dette fungerer fordi når en enhet har et enkelt vedlikeholdsvindu, vil det ikke fungere utenfor det. Hvis det enkle vedlikeholdsvinduet er tidligere og ikke gjentar seg, vil ingenting automatisk installere på den enheten igjen. I stedet, når en distribusjonsfrist treffer, vil den prøve å installere, oppdage at den for øyeblikket ikke er i et vedlikeholdsvindu, og permanent rapportere seg som ‘Forfalt’ og venter på et vedlikeholdsvindu som aldri kommer. Dårlig lite oppdateringer … så ensom. De vil alltid forbli slik til noen åpner Software Center og manuelt starter installasjonen. Hvis du ønsket å få all fancy-shmancy, kan du utløse de manuelle installasjonene eksternt ved hjelp av en rekke teknikker, inkludert <full shill-modus > noe som Høyreklikk Verktøyets Installer Manglende Programvareoppdateringsverktøy < / full shill-modus >.

det er to forutsetninger som blir gjort her. Først: at du ikke distribuerer noe som overstyrer vedlikeholdsvinduer. Det er ingen fikse dum så ikke vær dum. For det andre: at du ikke bruker et annet vedlikeholdsvindu til enhetene I Never-samlingen. Dette er litt vanskeligere og er en del av hvorfor det er nesten universelt enige om at du bør opprette separate samlinger som finnes bare for vedlikehold vindu formål. Videre anbefaler jeg å gjøre det enkelt å identifisere vedlikeholdsvinduene dine ved å sette dem i en mappe og / eller prefiksere samlingene med noe meningsfylt. For eksempel: ‘MW-Aldri’. På denne måten vet du hvor vedlikeholdsvinduene dine er, og du kan sørge for at de alle utelukker Ditt Aldri vedlikeholdsvindu. Hvis du sørge for at hver vedlikehold vindu samling utelukker Aldri vedlikehold vinduet så bare legge enheter Til Aldri vedlikehold vinduet garanterer at du ikke krysser bekker:

Et Vedlikeholdsvindu Med Fordeler!

Det er noen frynsegoder ved å bruke Et Aldri vedlikeholdsvindu som du ikke prøver å løse dette problemet på andre måter.

for Det Første er Det Å bruke Et Aldri vedlikeholdsvindu en fin måte å lette på helautomatisk patching. Har noen lagmedlemmer som tror at deres enheter er spesielle små snøflak i stedet for storfe klar til slakting? Sett sine enheter I En aldri vedlikehold vindu og distribuere patcher til dem normalt. Du får kontroll og rapportering mens sluttbrukeren slipper å vente På At Windows Update-skanninger og-oppdateringer skal lastes ned. Mine serveradministratorer elsket det faktum at De kunne åpne Software Center om dagen for å validere hvilke oppdateringer som ventet på å bli brukt før de logget inn om kvelden for å bruke dem. De elsket også muligheten til å skript prosessen slik at den kunne gjøres manuelt, men uten å måtte logge inn på hver maskin. Avgjørende, etter en stund mange spurte seg selv hvorfor de var å få opp på ass o ‘ clock å trykke på en enkelt knapp. Det gjorde automatisert patching konverterer til gode for databehandling rase.

For Det Andre er Vinduet Ditt Aldri vedlikehold en avtalt svart liste over enheter som er døde for deg. Min rapportering dashbordet ble skrevet spesielt for å rapportere om servere globalt, servere med aktive vedlikeholdsvinduer, og servere Med Aldri vedlikehold vinduet. Dette tillot meg å vise ledelsen hvor forferdelig noen av mine andre admins var på manuelt patching sine enheter samtidig utelukke dem fra compliance tallene jeg brydde seg om. Når sikkerheten kom banket om en bestemt boks, var trinn en å gjennomgå mitt Aldri vedlikeholdsvindu medlemskap for enheten(e) i spørsmålet. Hvis de var der da jeg lykkelig fortalte dem å ta det opp med app eiere som holdt på å manuell patching sine egne enheter. Dette bidro også til å skape automatiserte patching konverterer … om enn mindre villige.

Til slutt, relatert til det ovennevnte, var Aldri vedlikehold-vinduet et utløp for å håndtere kumulative oppdateringer som bare påvirket et lite delsett av applikasjoner. Med kumulative oppdateringer betyr bare blokkering av denne månedens oppdatering at de bare vil bryte igjen når neste måneds oppdateringer kommer ut, med mindre det underliggende problemet er løst. Hvis en søknad eier fortalte meg å ikke lappe sin boks jeg ledet dem til VÅR CIO og krevde CIO skriftlig godkjenning for å plassere sine bokser I Aldri vedlikehold vinduet og … dette er den avgjørende delen … aldri lappe disse boksene igjen. Omtrent 50% av tilfellene kom aldri forbi den delen, og de som gjorde det, var ikke lenger mitt problem fordi de ble utelukket fra rapporteringen som betyr noe for meg.

så der har du det. Som jeg sa, er det mer enn en måte å løse dette kravet på, men av årsakene ovenfor er konseptet Om Et Aldri vedlikeholdsvindu en jeg stadig faller tilbake på som den beste løsningen til produktteamet gir oss tilgjengelige distribusjoner i Bivirkninger. Selv om du er bekymret for at applikasjoner og oppgavesekvenser ved et uhell blir distribuert etter behov i stedet for tilgjengelig, kan bare Et Aldri vedlikeholdsvindu garantere det.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.