Üretim IIS sunucunuzda Windows Otomatik Güncelleştirmeler etkin mi bırakılıyor?

Windows Server 2003'te (IIS6) 7/24 bir web sitesi çalıştırıyorsanız. Windows otomatik güncelleme özelliğini etkin bırakır mısınız yoksa kapatır mısınız?

Etkinleştirildiğinde, en son güvenlik yamalarını ve hata düzeltmelerini kullanılabilir oldukları anda otomatik olarak alırsınız, bu en güvenli seçimdir. Bununla birlikte, makine, gecenin ortasında birkaç dakika kesinti süresine neden olan güncellemeleri uygulamak için bazen otomatik olarak yeniden başlatılır. Ayrıca, makinenin doğru şekilde yeniden başlamaması ve daha fazla çalışmama süresi ile sonuçlanan nadir durumlar gördüm.

Otomatik güncellemeler kapalıysa yamaları ne zaman uygularsınız? Birden fazla web sunucusuyla bir yük dengeleyici kullanmanız ve bunları üretim sitesinden döndürmeniz, yamaları manuel olarak uygulamanız ve tekrar takmanız gerekir. Yük dengeleyici bir barındırma şirketi tarafından yönetildiğinde bu lojistik açıdan sakıncalı olabilir. Üretimde her zaman en son güvenlik yamalarına sahip olmayan makineleriniz olacak ve hangi yamaların ne zaman uygulanacağına karar vermek için rutin olarak zaman harcamanız gerekir.

Kısa cevap, hayır.

En iyi durumda, dünyanızı yok etmediğinden emin olmak için yamayı test etmek için en azından başka bir kutu / vm / kobay kullanmalısınız.

En kötü durumda, yamaları indirmesine izin verdim ama yüklemem, böylece neyin yüklendiğini gözden geçirebilirim. Ama ben sadece bir kontrol ucubesiyim.

Korkarım fikir birliğine katılmam gerekiyor.

"İnsan müdahalesinin gerekli olduğunu" söyleyen hiç kimse yeterince düşünmüyor.

Her şeyi otomatikleştirin.

Belki bu otomatik güncellemeyi açmak anlamına gelir (bunu düşük sonuç ortamlarımda yaparım).

Belki daha titiz bir şey anlamına gelir (bir hazırlama ortamını otomatik olarak güncellediğiniz, doğru çalışma için otomatik olarak doğrulanmasını sağlayın, ardından üretim ortamında otomatik güncellemeyi tetikleyin). Raporlar veya e-posta bildirimi, yöneticilerin işlemin durumunu görebilmesi için kullanılmalıdır.

Powershell komut dosyalarından Yazılım Güncelleme Hizmetleri'ne (SUS) kadar bu otomasyonu gerçekleştirmenin birkaç yolu vardır ... ve özellikle bu soruyu serverfault yerine stackoverflow hakkında sorduğunuz için, güncelleme işlemi mümkün olduğunca.

Bunu yapmamanız, güncellemeleri uygulamadığınız veya yanlış bir şekilde uygulayamadığınız anlamına gelir. Ayrıca, benim gibi bir şeyseniz, güncellemeler başarısız olduğunda (ve güncelleme rutinleriniz tarafından sayfalandırıldınız) mavi ayda bir kez 3'te uyanmayı ve güncellemeleri yüklemek için her ay saat 3'te uyanmamayı tercih edersiniz. düşük sonuç saatlerinde.

Tabii ki, YMMV. Sizin için en uygun süreci tasarlayın, ancak kendiniz için çok fazla gereksiz iş yapmamaya çalışın.

Bir üretim, Windows sunucusu için ben olur değil indirmek için Windows Update belirlenmesi yönünde bir tavsiye ve otomatik güncellemeler yükleyin. Daha iyi bir yaklaşım, güncellemeleri otomatik olarak indirmek, ancak manuel olarak kurmaktır.

Bu yaklaşımın faydaları:

1. Kurulumdan önce önerilen güncellemeleri inceleyebilir ve gerektiğinde güncellemenin kurulumunun sonuçlarını araştırabilirsiniz. Bu daha fazla iş gibi görünebilir - öyle! ama en azından kontrol sizde olacak. Microsoft ayrıca, bir sonraki Windows Güncelleştirmeleri grubunda yayımlanacak güncelleştirme türleriyle ilgili erken bildirim sağlayan ücretsiz bir posta listesi sunar.
2. Web sitenize gelen ziyaretçiler üzerinde minimum etkisi olacak bir yeniden başlatma süresine karar verebilirsiniz. Web siteniz tek bir sunucudan çalışıyor gibi görünüyor, bu nedenle web sitenizde ziyaretçilerinizi yaklaşan bir yeniden başlatma konusunda uyaran bir banner görüntülemek yararlı olabilir. Yeniden başlatmadan bir saat önce görünen ve 'Web sitesi bakım için x dakika içinde kapanacaktır' şeklinde bir mesaj görüntüleyen benzer bir şey uyguladım. Bakım 10 dakikadan fazla sürmemelidir '
3. Sunucunun el ile yeniden başlatılmasını başlattığınız için, yeniden başlatmadan sonra sunucunun başarıyla geri döndüğünü kontrol edebilirsiniz. Yoksa, barındırma sağlayıcınızla konuşabilir ve sorunla başa çıkabilirsiniz.

Temelde her şey kontrol ile ilgilidir ve otomatik indirmeler ve otomatik kurulum ile çok fazla şey almazsınız!

Otomatik güncellemelere izin veriyorum, ancak bunu WSUS üzerinden yapıyorum. Bu, umursadığınız trivia için kesinti almamanız için otomatik olarak uygulanmasını istediğiniz güncelleme sınıfını seçmenize ve seçmenize olanak tanır, ancak en kısa sürede 0. Gün istismarları için yamalar alırsınız.

Bunun "güncellemelere izin ver" ve "onlara izin verme" meselesinin doğru ya da yanlış olduğunu düşünmüyorum, bu arada, hangi riskleri ve rahatsızlıkları almaya hazır olduğunuzu seçmek meselesi. Güncellemelerin otomatik olarak devam etmesine izin verme riskleri vardır ve yapmazsanız riskler vardır. Onları dengeleyin ve bilinçli bir seçim yapın.

Aşamalı bir sunumu düşünebilirsiniz - salı günü yayınlanan yamalar bir test ortamına hemen yüklenir ve perşembe gününün üretim sunucularına yüklenmesi planlanır, örneğin, test ortamında engellemeye işaret eden sorunların ortaya çıkması için iki gün verir veya belirli bir yamayı geciktirmek.

Yüksek kullanılabilirlik bir konunun büyük kısmı ise, yine de uygun şekilde kümeleme veya yük dengelemeyi kullanmalısınız, bu da yamalama nedeniyle kesinti sürelerini kapsamalıdır. Sonuçta, yamalar nedeniyle kesinti neden herhangi bir zamanda herhangi bir kutuda oluşabilecek donanım arızalarından bir şekilde sihirli bir şekilde daha kötü?

Sunucumuzda Otomatik Güncelleştirmeler'i asla etkinleştirmiyoruz. Bir veri merkezinde barındırılıyor, bu yüzden yaptığımız şey, trafiğin en düşük saatte ne zaman olduğunu görmek için Google Analytics'teki istatistikleri izlemekti, ardından teknikleri o anda yerinde güncelleme yüklemek üzere planladı. Bu şekilde, yeniden başlatma gerekiyorsa veya bir şey çok yanlış giderse, Windows günün ortasında bir güncelleme indirmiş gibi birçok kişiyi etkilemez.

Buradaki herkes zaten cevap verdi: HAYIR! Systems Centers Essentials'ı, yalnızca test sunucularına yüklendikten SONRA üretim web sunucularına güncellemeler göndermek için kullanıyoruz.

Ayrıca MS'den aylık güncelleme e-postaları alırız, böylece her güncellemenin ne olduğunu ve ne için olduğunu tam olarak biliriz. Neyin ne zaman güncellendiğini tam olarak biliyorsanız sorun gidermeyi çok daha kolay hale getirir.

Kesinlikle hayır. Bu saçmalığın gerçekleşmesine izin vermemek için çok fazla zor yol öğretildi. Ne yazık ki, bu yama ve güncellemeleri uygulamak konusunda biraz daha tembel olduğu anlamına gelir. Ama şimdiye kadar, bir sunucu bana derhal belli yama uygulanmadığı için kırılmış olması için henüz ettik ama var ya yeniden ve başarısız olarak uygunsuz bir zamanda bir sunucu yeniden başlatmadan kaynaklanan pek çok baş ağrısı vardı bir yama yükledikten sonra bazı temel hizmetlere başlayın.

Bir tesadüften, hizmet sağlayıcımızdan, dünyanın bu bölgesinden çok büyük ve tanınmış bir İSS yoluyla yeni bir beş makine kümesi aldık. Yönetici hesaplarını aldık ve giriş yapıp yazılımımızı kurmaya başlayabildiğimizde, bu olağan ilk görevin zaten ağ sistem yöneticileri tarafından benimsenmiş olduğunu görmek beni çok memnun etti. :)

Güncellemeler uygulamak == kontrolünüz altında değil, sisteminizin rastgele yeniden başlatılması. Bu SA'nın kovanlarını verir. Buna ek olarak, geçmişte yamaları kırma olayları olmuştur, bu nedenle geçmişte denemediyseniz nadiren uygulanmasını istersiniz.

İncelediğim bir yaklaşım sanallaştırılmış bir barındırma ortamına geçmek. Bu, güncellemeyi üretim dışı bir durumda denemenize, hatta çevrimdışı bir örneğe bir güncelleme uygulamanıza ve gitmenin iyi olduğundan emin olduktan sonra onu üretime almanıza olanak tanır.

Kesinlikle hayır. Güncellemeler, çalışma saatleri dışında ve beklenmedik durum planları uygulandığında sunuculara uygulanmalıdır. Bu, güncellemenin başarısız olması durumunda geri alınması için yeterli zaman anlamına gelir.

Bir sysadmin olarak kontrolünüz altında olabildiğince çok değişken olmasını istersiniz. Sabah ölü bir sunucuya gelmeden yeterince zor! ;-)

Güncellemelerin gerçekleşmesi için belirli bir zaman ayarlamanın mümkün olduğunu ve çoğu güncellemenin Salı günleri geldiğini unutmayın. Bu şekilde, gelen ve indirilen güncellemeleri incelemek için zaman planlayabilir ve olası sorunların ne zaman ortaya çıkacağını öğrenebilirsiniz.

Kendinize sormak için iyi bir soru, VP / CIO / vb. Otomatikleştirmek hayatınızı kolaylaştırabilir, ancak bir sorun varsa, kömürlerin üzerinde tırmık olacaksınız ve bu işleri daha da zorlaştırabilir.

Heck'i PC'lerden otomatikleştiriyorum, birkaç yüz yapmalısınız. Sunucular olsa ben onu zamanlamak ve bir şey ters giderse benim @ $$ kapsanan yetkili olsun. Diğer halk verileriyle ve şirket kaynaklarıyla çalıştığımızı unutmayın, her zaman risklerden haberdar edilmelidir.