我们在 Amazon 上托管了几个 Windows 2012R2 和 Windows 2016 服务器。这些服务器均未加入域,它们都是独立的。
以前,我们只是在 Windows 更新发布时进行安装,然后我会通过 powershell 脚本手动设置重启时间。
现在我们有相当多的服务器和客户,所以我想制定一个更好的政策。我们现在的官方政策是在补丁星期二之后的每个星期日凌晨 1 点到 2 点进行定期维护。如果所有服务器同时停机也没关系。
现在我读到了关于 WSUS 的内容,但似乎这只是服务器承担的一个角色,用于将 Windows 更新过程委托给其他服务器,对吗?它会帮我处理调度和重启吗?
使用Windows 更新 PowerShell 模块并编写我自己的 powershell 脚本,该脚本通过我手动部署在所有服务器上的任务计划程序进行安排?
还有其他选择/最佳实践吗?
答案1
WSUS 允许计算机/服务器检查 Windows 更新。它不仅允许您控制系统上可安装的更新,还可以在本地缓存这些更新,这样大量系统就不会从互联网上下载相同的补丁并占用带宽。它工作正常,但并不是一个完美的解决方案,它不提供任何安排重启或其他 Windows 更新行为的方法。这可以通过组策略或其他方式完成。
有一些用于管理和监控系统的工具称为 RMM 工具。它们可能是在服务器上以受控方式进行补丁管理和维护的最佳工具。
但是,或者,您应该能够只在服务器上设置您提到的每周一次的计划重启时间。让它们自动安装并让服务器在该窗口期间重启 - 这是标准的 Windows 更新设置。
另一个选择是,我相信 AWS 也有一个补丁管理系统。当然,它不是免费的,但它会帮助你管理系统。再加上冗余和负载平衡,你就可以确保没有停机时间。