我有一个小型基础架构,大约20台服务器都在域上,并从本地WSUS服务器接收更新。 目前的组策略是将自动更新configuration为在星期天早上的凌晨3点自动下载并安排安装。
这一切运行良好,但我注意到的问题是,这样做需要整个基础设施在周日早上3:05左右,因为他们正在经历一个Windows更新重新启动。
我明白,许多更新需要重新启动,但让所有的服务器安排凌晨3点的安装导致一些中断,因为两个域控制器将同时closures,MSSQL集群的两端下降等。
有没有一个很好的方法来指定服务器在设置维护时间窗口期间随机安排安装? 这应该避免让服务器同时重新启动并在更长的时间内传播出去,希望不会导致服务中断。
AFAIK唯一的select是设定一个特定的时间。
话虽如此,我想你并没有完全意识到让所有的服务器自动安装/重新启动的意义。
如果有一个错误的补丁破坏内核或类似的..你真的想早上来工作,并find所有的服务器在启动循环?
我build议你只对那些需要更新的服务器(面向互联网的服务器,terminal服务器)开启自动安装,然后在手动维护计划中进行其他操作。
如果不能解决你的问题,那么至less应该设置WSUS,testing更新,然后在100%确定不会破坏你的操作系统或应用程序(后者更常见)时进行部署。
你也可以用不同的时隙创build单独的组策略,并使用OU或者安全过滤来select哪个服务器得到什么。
您可以通过WSUS将服务器分成三个或四个更新组。 然后每周只批准一个组的更新。