onderhoud Vensters: Het Nooit nooit Land van Patching

onderhoud vensters zijn een concept dat in het begin lastig te begrijpen kan zijn. Ik ben te lui om je te helpen, dus als je wat splainin nodig hebt, stel ik voor dat je eerst naar de dokter gaat en Jason Sandy ’s uitstekende verslag.

voordat we er op ingaan, wil ik eerst even over één ding schelden. Onderhoudsvensters kunnen alleen de naleving van uw patch verminderen. Gebruik ze omdat er een echte leven en/of zakelijke bedreigende reden om dit te doen. Als je alleen maar om ervoor te zorgen dat patches/applicaties/taak sequenties te installeren op een specifieke datum of tijd … dat is wat de implementatie deadlines zijn voor.
Ok, uit de zeepdoos. Er zijn twee eisen die ik heb gezien vaak gevraagd over dat ik gebruik onderhoud windows op te lossen. Deze week pakken we de eerste aan.:

Ik wil nooit, nooit, dat je deze Box patcht

als je mijn blog hebt gevolgd of zelfs maar kort met me hebt gesproken, zul je herkennen hoe pijnlijk het was om die kop te typen. Het brandt. Patchen is te belangrijk om vleeszakken aan ons over te laten en moet zoveel mogelijk geautomatiseerd worden. Er zijn echter bepaalde situaties waarin een legitieme reden bestaat om patchen en rebooten niet te automatiseren (die hetzelfde zijn). Deze situaties hebben de neiging om op de server kant van dingen waar workloads moeten worden verplaatst (ex. SQL, Exchange) maar er zijn ook enkele werkstation use cases. Als je werkstations in een operatiekamer hebt, krijg je een pas op het automatisch bijwerken van deze. Tenminste zolang ik op de tafel lig, alsjeblieft. Uw Windows 2000 doos met een kernreactor is waarschijnlijk ook goed. Alsjeblieft, zet dat ding niet aan.

er zijn verschillende oplossingen voor dit probleem, maar om heel eerlijk te zijn bestaat het enige goede probleem niet: ondersteuning voor beschikbare implementaties voor ADR ‘ s. Tot dan is de oplossing die ik het beste en naar mijn mening is de meest betrouwbare is het creëren van wat ik noem een ‘nooit’ onderhoud venster. Maak een eenmalig onderhoudsvenster dat zich in het verleden heeft voorgedaan. Het zou er ongeveer zo uit moeten zien.:

dit werkt omdat zodra een apparaat een enkel onderhoudsvenster heeft het niet buiten het zal handelen. Als dat ene onderhoudsvenster in het verleden is en zichzelf niet herhaalt, zal er nooit meer automatisch op dat apparaat worden geïnstalleerd. In plaats daarvan, wanneer een deployment ’s deadline hits het zal proberen te installeren, detecteren dat het momenteel niet binnen een onderhoud venster, en permanent rapporteren zichzelf als ‘achterstallig’ wachten op een onderhoud venster dat nooit zal komen. Arme kleine updates … zo eenzaam. Ze zullen voor altijd zo blijven totdat iemand Software Center opent en handmatig de installatie initieert. Als u alle fancy-shmancy wilt krijgen, kunt u de handmatige installatie op afstand activeren met behulp van een verscheidenheid aan technieken, waaronder <volledige shill mode> zoiets als het gereedschap met de rechtermuisknop om ontbrekende Software-Updates te installeren </volledige shill mode>.

hier worden twee veronderstellingen gemaakt. Ten eerste: dat u niet iets implementeert dat onderhoudsvensters overschrijft. Er is geen repareer dom dus doe niet zo stom. Ten tweede: dat u geen ander onderhoudsvenster toepast op de apparaten in de Never-collectie. Dit is een beetje lastiger en is een deel van de reden waarom het is bijna universeel overeengekomen dat u aparte collecties die alleen bestaan voor onderhoud venster doeleinden te maken. Verder, Ik beveel het maken van het gemakkelijk om uw onderhoud vensters te identificeren door ze in een map en/of prefixing de collecties met iets betekenisvol. Bijvoorbeeld: ‘MW-Never’. Op deze manier weet u waar uw onderhoudsvensters zijn en kunt u ervoor zorgen dat ze allemaal uw nooit onderhoudsvenster uitsluiten. Als u ervoor zorgt dat elke onderhoud venster collectie sluit uw nooit onderhoud venster dan gewoon het toevoegen van apparaten aan uw nooit onderhoud venster garandeert dat u niet over de streams:

een onderhoudsvenster met voordelen!

er zijn enkele extralegale voordelen van het gebruik van een venster nooit onderhoud dat u niet krijgt als u dit probleem op andere manieren probeert op te lossen.

Ten eerste is het gebruik van een nooit onderhoud venster een geweldige manier om volledig geautomatiseerd patchen te vergemakkelijken. Hebben sommige teamleden die geloven dat hun apparaten speciale kleine sneeuwvlokken zijn in plaats van vee dat klaar is voor de slacht? Zet hun apparaten in een nooit onderhoud venster en implementeren patches om hen normaal. Je krijgt controle en rapportage, terwijl de eindgebruiker krijgt om te voorkomen dat te wachten op Windows Update scans en updates te downloaden. Mijn server admins hielden van het feit dat ze Software Center tijdens de dag konden openen om te valideren welke patches stonden te wachten om te worden toegepast voordat ze ingelogd tijdens de avond om ze toe te passen. Ze hielden ook van de mogelijkheid om het proces te script, zodat het handmatig kan worden gedaan, maar zonder in te loggen op elke machine. Cruciaal, na een tijdje vroegen velen zich af waarom ze op ass o ‘ Clock stonden om een enkele knop in te drukken. Het maakte automatische patching converteert voor het welzijn van de computer race.

ten tweede, uw venster nooit onderhoud is een overeengekomen zwarte lijst van apparaten die dood voor u zijn. Mijn rapportage dashboard is speciaal geschreven om te rapporteren over servers wereldwijd, servers met actief onderhoud windows, en servers met het nooit onderhoud venster. Hierdoor kon ik het management laten zien hoe verschrikkelijk sommige van mijn collega-admins handmatig hun apparaten patchen terwijl ze ook werden uitgesloten van de nalevingsnummers waar ik om gaf. Toen de veiligheid kwam kloppen over een bepaald vak stap een was om mijn nooit onderhoud venster lidmaatschap voor het apparaat(s) in kwestie te beoordelen. Als ze er waren dan heb ik ze graag verteld om het op te nemen met de app-eigenaren die vasthielden aan handmatige patching van hun eigen apparaten. Dit hielp ook bij het creëren van geautomatiseerde patching converts … zij het minder gewillige degenen.

ten slotte, in verband met het bovenstaande, het venster nooit onderhoud was een uitlaatklep voor het omgaan met cumulatieve updates die slechts een kleine subset van toepassingen beïnvloed. Met cumulatieve updates, alleen het blokkeren van de patch van deze maand betekent dat ze gewoon weer breken wanneer de patches van volgende maand komen, tenzij het onderliggende probleem is opgelost. Als een applicatieeigenaar me vertelde om hun doos niet te patchen, stuurde ik ze naar onze CIO en vereiste de schriftelijke goedkeuring van de CIO om hun dozen in het nooit onderhoudsvenster te plaatsen en … dit is het cruciale deel … nooit meer patchen die dozen. Ongeveer 50% van de gevallen kwam nooit voorbij dat deel en degenen die dat deden waren niet langer mijn probleem omdat ze werden uitgesloten van de rapportage die belangrijk voor mij.

dus daar heb je het. Zoals ik al zei, Er is meer dan een manier om deze eis aan te pakken, maar om de redenen boven het concept van een nooit onderhoud venster is er een die ik voortdurend terugvallen op als de beste oplossing totdat het product team geeft ons beschikbare implementaties in ADR. Hoewel zelfs dan, als je bezorgd bent over toepassingen en taak sequenties per ongeluk worden ingezet zoals vereist in plaats van beschikbaar dan alleen een nooit onderhoud venster kan garanderen dat.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.