今天,我和老板坐在服务器机房里,突然听到一台服务器进入超速状态,表示正在重新启动。你可以想象我们脸上立刻露出“糟糕”的表情。
我们查看了日志,发现似乎自动安装了一些需要重新启动的更新。AU 看到没有人登录,就自动重新启动了。这是一台生产服务器,所以我们关闭了自动更新(甚至没有下载然后等待……它应该等我们告诉它之后才会做任何事情)。
我运行了 rsop.msc 和 gpedit.msc 来检查是否有强制自动更新的恶意组策略。没有。
我们的 windowsupdate.log 显示以下内容:
2011-12-16 09:00:12:092 964 17f4 AU Setting AU scheduled install time to 2011-12-16 20:00:00
(还有许多类似的提示,其中一条提示指向我们听到重启声音前几分钟的预定安装)
因此,AU 似乎想到了一个好主意,即应该安排自动安装。您知道为什么会发生这种情况吗?
一些相关信息:
我们最近(一个月前)安装了一台 WSUS 服务器,两周前将所有服务器都指向它。WSUS 带来了最前沿的客户端安全性,并设置了每 6 小时自动更新定义一次的策略。这可能是问题所在,但通过检查定义更新,它会自动安装其他更新,这似乎是一个重大缺陷。
我还为我们的工作站推出了(我记得是上周四)一个新的 GPO,该 GPO 强制在下午 2:00 自动更新。这已应用于公司中的少数几个工作站,但未应用于任何服务器。我确认该组策略未通过 rsop.msc 应用
据我所知,这种情况只发生在 2003 服务器上,但我不能保证它不会发生在 2008 服务器上,而且我只是没有注意到。
有想法吗?
答案1
在服务器上,从命令提示符,我建议运行结果(带有/v用于详细输出或/z请参阅超级详细版本)并查看您是否可以找到错误应用的策略(或替代策略,由于某种原因未按应有的方式应用)。此外,我建议>结果.txt(或任何你想命名的)使用 /v 和 /z 选项 - 它们可能会变得相当冗长并超出你的命令提示符屏幕缓冲区。将结果保存在文本文件中也使它们可搜索,这很好...
答案2
您的自动更新设置是什么?检查组策略和本地策略。使用组策略(如果适用)运行 RSOP,它将基本上创建您的 GP 设置的样子,包括考虑继承。我猜您有自动安装/重启设置,并且 MS 发布了带外补丁。
其次,请谨慎选择自动批准的分类。正如您所指出的,有定义更新,但也有安全更新、关键(或重要)更新、推荐更新。如果您将安全或关键更新设置为自动批准,并且 MS 发布了带外补丁,您将获得它,并且它将根据您的 WSUS 计划安装设置(在组策略中)重新启动。
答案3
这是一个有趣的文章,尽管我不确定它是否适用于此。