我有一个小型 AD 域,它由 14 台服务器组成 - 2 个 DC、文件服务器、sharepoint 2010 服务器、sql 服务器等。
其中,DC 和文件服务器 24/7 保持在线。其他服务器是开发环境,因此关闭也没问题。
我想知道的是修补这些服务器的最佳方法是什么?普遍的共识是手动修补 DC,这是有道理的。有人说在域中添加一个测试 DC 来在那里推出补丁,看看它们是否会破坏任何东西(这是一个新奇的想法,尽管当然需要额外的成本)。
那么最佳更新策略是什么?这并不一定意味着最佳软件,而只是最佳业务流程。
谢谢
答案1
最好的流程就是满足你的需求。对于那几台服务器,我会将它们全部设置为自动从 WSUS 下载已批准的更新,但不安装它们。然后,我会手动修补它们。
对于更大的部署,我编写了脚本来远程启动自动更新,然后我会登录到每台服务器并验证安装是否完成并手动重新启动。
您几乎从来不会希望完全自动化修补(包括重新启动),除非您处于一个非常大规模的高度冗余环境中,在这种情况下,即使节点没有重新启动或成功更新也没有什么大不了的。