我有一个小型基础设施,大约有 20 台服务器,它们都位于一个域中,并从本地 WSUS 服务器接收更新。目前的组策略是将自动更新配置为自动下载并安排在周日凌晨 3 点安装。
这种方法效果很好,但我注意到的问题是,由于 Windows 更新重启,整个基础设施在周日凌晨 3:05 左右会瘫痪。
我知道许多更新都需要重新启动,但让所有服务器安排在凌晨 3 点安装会导致一些中断,因为两个域控制器将同时关闭,MSSQL 群集的两侧都会关闭等等。
有没有一种好的方法可以指定服务器在设置的维护窗口期间随机安排安装?这样可以避免服务器同时重新启动并将其分散到更长的时间内,希望不会导致服务中断。
答案1
据我所知,唯一的选择是设置特定的时间。
话虽如此,我认为您还没有完全意识到让所有服务器进行自动安装/重启的含义。
如果有一个错误的补丁破坏了内核或者类似问题,你真的想在早上上班时发现所有的服务器都处于启动循环中吗?
我建议您仅对需要保持更新的关键服务器(面向互联网的服务器、终端服务器)启用自动安装,并按照手动维护计划完成其余工作。
如果这对您不起作用,那么至少设置 WSUS,测试更新,然后在您 100% 确定它们不会破坏您的操作系统或应用程序(后者更常见)时部署它们。
您还可以创建具有不同时间段的单独组策略,并使用 OU 或安全过滤来选择哪个服务器获取什么。
答案2
您可以通过 WSUS 将服务器分成三到四个更新组。然后每周只需批准一组的更新。