如果您将IT外包,并且您的服务器与托pipe服务提供商一起设置,您如何build议处理Windows更新以及在这些机器上运行的软件?
你问他们自动化,并应用所有的更新? 您是否要求手动更新,以评估更新对正在运行的软件和应用程序(例如基于.Net的站点,或SQL Server)的影响? 最重要的是,你是否要求他们在可用的时候立即应用更新,以便更安全,还是等待更新引起其他服务器问题? 假设我们没有任何testing服务器 – 只是一堆生产服务器。
我们在确定一个好的方法时遇到了一些麻烦,没有专门的IT部门,甚至没有一个IT人员。
我想不出一个没有先testing更新影响的情况下自动更新生产服务器的原因。
编辑添加:
随着虚拟化的出现,企业可以相对容易地以相对低的成本和易于安装的方式安装testing环境,而无需购买每台服务器中的两台来复制生产环境。
如果你绝对不能有testing服务器,那么我build议你testing补丁到你公司中最不重要的服务器。 select你可以负担得起的服务器,如果他们不得不下来进行重build。
但绝对不要永远不要自动更新生产服务器。
如果你外包,这个决定是你的服务提供商,恕我直言,责任。 你付钱让他们维护你的系统,希望通过SLA。 他们将不得不决定如何履行这个协议。
更一般的说法是,盲目地应用所有的补丁是一个等待发生的灾难,因为你永远不能确定补丁不会产生比它应该解决的问题更严重的问题。 所以你必须区分:一个紧急补丁(例如)修复了任何人都允许进入你的IIS服务器的漏洞,当然必须马上应用,但如果你没有立即受到影响,我认为这是一个很好的做法至less等一下,看看别人是否有问题,如果你不能自己testing(这当然是最好的方法)。 简而言之:这取决于…
进入它意识到风险。 好的应用程序受到Windows Update的伤害(请参阅Skype 2007)。 今年早些时候,我们看到了
Botched McAfee更新closures了全球范围内的企业XP机器
http://www.engadget.com/2010/04/21/mcafee-update–shutting-down-xp-machines/
有趣的是,反病毒签名可能是每个人的事情,即使那些有官方“不自动更新”政策的公司也是自动更新的。
但是你描述了“没有testing服务器”,所以我猜测你不是在做一个组织testing,即使有机会。 而外包的IT部门不能确定更新是否会对您的应用程序产生负面影响。
因此,鉴于您的明显资源,或许最好的方法是从它们那里请求定期的软件/操作系统清单,以及有关修订版本和修补程序级别的详细信息。 当事情破裂的时候,你将会面临更新破坏的机会。 自动更新可能不会带你进行主要的版本升级,所以你仍然可以协调这些升级。
让自己一些testing服务器! :)