我们的老板和我今天坐在我们的服务器机房,突然听到我们的一台服务器超速,表示正在重启。 你可以想象我们脸上直接的“哦,废话”expression。
我们深入到日志中,似乎有一些自动安装的更新需要重新启动。 AU,看到没有人login,自动重启。 这是一个生产服务器,所以我们有自动更新closures(甚至不下载,然后等待..它应该等待我们告诉它之前,它做任何事情)。
我运行了rsop.msc和gpedit.msc来检查是否有一个强制自动更新的stream氓组策略。 没有。
我们的windowsupdate.log显示了这个:
2011-12-16 09:00:12:092 964 17f4 AU Setting AU scheduled install time to 2011-12-16 20:00:00 (还有更多这样的行,还有一个在我们听到重启之前几分钟就指向了预定的安装)
因此,在某个地方,AU正在获得应该安排自动安装的明智想法。 任何想法,为什么可能会发生?
一些相关的信息:
我们最近(一个月前)安装了一个WSUS服务器,两周前我们把所有的服务器都指向了它。 WSUS带来了前沿的客户端安全性,其策略是每6小时进行一次自动定义更新。 这可能是问题,但它似乎是一个主要的缺陷,通过检查定义更新它会自动安装其他更新。
我还推出了(我相信上个星期四)我们工作站的一个新的GPO,强制自动更新在下午2:00。 这适用于公司和服务器上的less数几个工作站。 我确认那个组策略不是通过rsop.msc来应用的
据我所知,这只发生在2003年的服务器上,但我不能作出任何承诺,它不会发生在2008年的服务器,我只是没有注意到。
想法?
在服务器本身,从命令提示符,我build议运行gpresult (与一个/ v为详细输出或/ z为超级详细的版本),看到你可以find一个政策,不正确应用(或替代,由于某种原因应该没有应用)。 另外,我build议使用/ v和/ z选项> result.txt (或者任何你想命名它) – 他们可以得到相当罗嗦,超过你的命令提示符屏幕缓冲区。 在文本文件中的结果也使他们可以search,这是很好的…
你有什么自动更新设置? 检查组策略和本地策略。 有了组策略(如果可以的话),运行一个RSOP,它将基本上创build一个你的GP设置看起来像的图片,包括考虑入侵。 我的猜测是你有自动安装/重启设置和MS发布了一个带外补丁。
其次,要小心你自动批准的分类。 正如您指出定义更新,但也有安全更新,关键(或重要)更新,reccomended更新。 如果您将安全性或关键设置为自动批准,并且MS发布带外修补程序,则您将获得该修补程序,并且会根据您的WSUS预设安装设置(在gorup策略中)重新启动。
这里有一篇有趣的文章 ,虽然我不确定这里是否适用。