服务器 Gind.cn
  1. 服务器 Gind.cn
  3. SCCM:Zoinks …神秘维护窗口
Intereting Posts
Apache负载均衡器mod_proxy_wstunnel? 磁盘性能在esxi 6上非常慢 磁盘caching(写回)自动禁用 用puppet将行添加到/ etc / profile? 从命令行使用Linux时,可以使用zipencryption选项吗? 在相同的服务器上结合相似的程序 没有可用的缓冲空间,并用sysctl进行调整 Windows Server 2003和2008 DNSparsing之间的奇怪行为 Centos的SSH访问 – 更改SSH端口现在我不能访问服务器 需要打开SMTP中继进行testing 使用SATA> USB读取连接到Windows / Ubuntu计算机的ESXI磁盘 服务器密度或类似侦察服务的Windows? 什么时候清除iptables字节计数器? 什么是VLAN和STP之间的关系 testing是否用Invoke-Expression调用PowerShell脚本?

SCCM:Zoinks …神秘维护窗口

我想要做什么?

我们有几个SCCM客户端,主要是在Windows Server 2008 R2的IIS 7.5上运行的公共网站,这些网站由一个名为XYmon的系统监控 。 我们最近注意到这些服务器在大约一个小时之前安装每月Windows更新后重新启动。 SCCM客户端操作和监控系统存在一定的延迟,但是XYmon在19:20-19:30之间失去与这些机器的连接,而其余的受监控机器在20小时后似乎重新启动大约一个小时: 20-20:30。

我期望应用的维护窗口从20:00开始,到22:00结束,每周四重新出现。

我想弄清楚为什么这些机器提前一小时安装更新。 我知道多个维护窗口“联合”或合并,所以我怀疑有另一个维护窗口也适用于这些客户端。

这些机器也在非域joinDMZ,所以我不会排除任何时区/时钟偏移问题。

我为了做到这一点而尝试了什么?

我认为时区/时钟倾斜问题是最有可能的,但两台机器都在正确的时区,同步时间,并设法适当地处理发生在3月8日的夏令时变化。

我的下一个假设是,我们有一个错误的或旧的维护窗口,适用于这些机器收集。这似乎有点不太可能,因为有另一台机器应该是所有相同的集合重新启动在正确的时间20:00十岁上下。

让我们确保客户端实际上是重新启动时,监测系统说这是!

如果我检查一个客户端, systeminfo在19:22显示启动时间。 事件日志似乎协作: 

 Log Name: System Source: USER32 Date: 3/12/2015 7:21:02 PM Event ID: 1074 Task Category: None Level: Information Keywords: Classic User: SYSTEM Computer: HOST09 Description: The process C:\Windows\CCM\CcmExec.exe (HOST09) has initiated the restart of computer HOST09 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found Reason Code: 0x80020001 Shutdown Type: restart Comment: Your computer will restart at 03/12/2015 07:21:02 PM to complete the installation of applications and software updates.

SCCM的Windows更新是否重启?

如果我深入到UpdatesHandler.log ,答案是一个很大的“是”: 

 Initiating updates scan for checking applicability. UpdatesHandler 3/12/2015 7:00:00 PM 6472 (0x1948) Successfully initiated scan. UpdatesHandler 3/12/2015 7:00:00 PM 6472 (0x1948) Updates scan completion received, result = 0x0. UpdatesHandler 3/12/2015 7:00:00 PM 8396 (0x20CC) Initiating updates scan for checking applicability. UpdatesHandler 3/12/2015 7:00:02 PM 10160 (0x27B0) Method (Apply) called from SDM. UpdatesHandler 3/12/2015 7:00:02 PM 8888 (0x22B8) Starting job with id = {7DD179F1-1B94-4ADB-A5F1-08E9A000709F} UpdatesHandler 3/12/2015 7:00:02 PM 8888 (0x22B8) Successfully initiated scan. UpdatesHandler 3/12/2015 7:00:02 PM 10160 (0x27B0) Updates scan completion received, result = 0x0. UpdatesHandler 3/12/2015 7:00:02 PM 8396 (0x20CC) Initiating Scan. Forced = (0) UpdatesHandler 3/12/2015 7:00:02 PM 8888 (0x22B8) Successfully initiated scan for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}). UpdatesHandler 3/12/2015 7:00:02 PM 8888 (0x22B8) Scan completion received for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}). UpdatesHandler 3/12/2015 7:00:02 PM 8396 (0x20CC) Evaluating status of the updates for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}). UpdatesHandler 3/12/2015 7:00:02 PM 8396 (0x20CC) Initiating download for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}). UpdatesHandler 3/12/2015 7:00:02 PM 8396 (0x20CC) Bundle update (038c4fc9-664f-45e5-b838-f7263ffc4512) is requesting download from child updates for action (INSTALL) UpdatesHandler 3/12/2015 7:00:02 PM 8396 (0x20CC)

'ServiceWindowManager.log`显示在19:00应用了维护窗口: 

 Active Service Windows List has 1 windows ServiceWindowManager 3/12/2015 7:28:13 PM 2404 (0x0964) Service Window with ID = {F51051BF-90E8-4ED7-BA06-F74F9E74A098} having Starttime=03/12/15 19:00:00 ServiceWindowManager 3/12/2015 7:28:13 PM 2404 (0x0964) Duration is 0 days, 08 hours, 00 mins, 00 secs ServiceWindowManager 3/12/2015 7:28:13 PM 2404 (0x0964)

好的…维护窗口从哪里来?

有一点SQL应该会显示所有适用于特定SCCM客户端的维护窗口: 

 select v_FullCollectionMembership.Name as Computername ,v_Collection.Name as CollectionName, v_ServiceWindow.Description as "Next Maintanance Window" from v_ServiceWindow inner join v_FullCollectionMembership on (v_FullCollectionMembership.CollectionID = v_ServiceWindow.CollectionID) inner join v_Collection on (v_Collection.CollectionID = v_FullCollectionMembership.CollectionID) order by Computername

我得到以下结果: 

 Computername CollectionName Next Maintanance Window HOST09 Default Maintenance Window Occurs on 9/15/2013 1:00 AM HOST09 Weekly Maintenance Window - Thursday Occurs every 1 weeks on Thursday effective 11/1/2013 8:00 PM

一点解释是为了:我们所有的SCCM客户端都属于一个集合,它被分配了一个默认维护窗口,该窗口只出现一次,并且是过去的。 这可防止收集成员身份更改和不及时的客户端策略请求导致阻止操作的客户立即执行这些操作。 但是,由于维护窗口是“联合”,每周维护窗口应在20:00之后应用。

在一个预感中,我倾倒了这个客户所在的所有集合,然后去检查是否有维护窗口分配给他们: 

 SELECT dbo.v_Collection.Name FROM dbo.v_FullCollectionMembership INNER JOIN dbo.v_Collection ON dbo.v_FullCollectionMembership.CollectionID = dbo.v_Collection.CollectionID WHERE (LOWER(dbo.v_FullCollectionMembership.Name) = LOWER('HOST09'))

长话短说。 他们没有。

你期望什么结果?

我真的希望看到一个集合,有一个维护窗口应用到它开始于19:00,除非我的SQL是坏的,我错过了,我想这不是在这里发生了什么。

早一个小时的事实也让我觉得这可能是时区或时钟偏移的问题,但这也是预料之中的。

我仍然认为我的假设都是体面的,没有被驳斥,但我不知道如何收集更多的信息来确定它们。 任何想法,我应该如何进行故障排除?

还有什么我应该考虑的? 还有什么其他的东西可以导

编辑:

我查看了本月的软件更新的软件更新组,并且截止date为2015年10月3日20:53, 在维护时段之外执行的活动的最后期限行为在软件更新安装和系统重新启动。

至于目前在盒子上的时间,就像它确实看起来不错,但我只是在控制面板中检查date和时间:

日期和时间对话框

我不知道我在做什么

和大多数系统中心configurationpipe理器一样,我敢肯定,为什么事情是这样的,他们是完全合乎逻辑的原因,但作为一名技术娴熟的技术人员,我也确信我永远不会明白为什么。

我使用System Center 2012 R2 Configuration Manager工具包中的策略间谍进行了检查,并再次validation,是的,我得到了我期望find的两个维护窗口,除了F51051BF比它应该提前一小时启动外:

CCM服务窗口

如果我将该列表与所有可用的维护窗口关联起来,则会find我期望看到的确切维护窗口的ServiceWindowIDs,而在截图F51051BF中的F51051BF确实从20:00开始: 

 SELECT * FROM v_ServiceWindow ORDER BY ServiceWindowID

上述SQL查询的结果

具有与预期相同的维护窗口(即维护窗口从20:00开始)的机器如何? 

 Biggest Active Service Window has ID = {F51051BF-90E8-4ED7-BA06-F74F9E74A098} having Starttime=3/5/2015 7:00:00 PM ServiceWindowManager 3/5/2015 10:00:00 PM 68400 (0x10B30)

等待WUT? 这条线是来自另一个客户端的ServiceWindowManager.log,它肯定相信19:00是适当的时候开始。 我查了几个人。 你猜怎么了。 从20:00开始没有提到F51051BF-90E8-4ED7-BA06-F74F9E74A098 …但是如果我查看数据库中列出的内容以及Configuration Manager控制台中的周四。 夜间维护窗口从20:00开始列出。

Zoinks! 这不是一个神秘的维护窗口! 这是一个蒙面的维护窗口!

看起来,无论出于何种原因, F51051BF被configuration为在20:00开始。 configurationpipe理器控制台报告,数据库也一样, 但是如果我查看一些客户端,一些在19:00,而另一些在20:00。

两个WAG(野驴猜测):1)我们有一个旧的机器策略挂在以前实施的ConfigMgr 2007网站。 或者2)维护窗口策略在某个时刻从19:00改变到了20:00,并不是所有的机器都得到了这个消息。 随你。 我不知道我在这里做什么。

parsing度

我创build了一个新的维护窗口来replaceF51051BF并将其分配给相应的Collection。 我等了一两个小时,让客户做出政策拉动,猜测是什么: 

 Service Window with ID = {D047CD9F-25E4-4EDC-95E3-44E971E234FA} having Starttime=3/19/2015 8:00:00 PM ServiceWindowManager 3/16/2015 12:13:41 PM 15500 (0x3C8C)

谜团已揭开? 不是真的。 问题解决了? 或多或less…怪异的吧?

长毛和史酷比

这开始作为一个评论,但这里有:

隐藏的维护窗口显示

您可能正在隐藏维护窗口追逐红鲱鱼 ,我不确定。 现在,让我们假装你是。

广告截止date

仔细检查软件更新广告并确保没有截止date您的维护窗口之外,在这种情况下更新可能安装在窗口之外。 一个截止date可能在1900个小时 ? 我会先检查一下。

https://technet.microsoft.com/zh-CN/library/gg682168.aspx https://technet.microsoft.com/zh-cn/library/hh508762.aspx

此外,如果您部署不同的软件包并将其标记为仅在维护时段内部署,这将有助于缩小范围。

几点了?

让我们回到你的红鲱鱼。 日志表明它实际上可能是一个维护窗口。 服务器在什么时区? 什么时区设置,什么时间显示在服务器上? 记得刚刚发生的DST,你的机器可能没有备忘录向前发展。