none
DCs getrennt neu starten nach Updates per WSUS RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Gemeinde,

    wir haben 2 DCs (Windows Server 2008 R2) die per Gruppenrichtlinie die Einstellung "Automatisch Herrunterladen und laut Zeitplan installieren" bekommen. Dadurch starten die Server nach der Installation praktisch zeitgleich neu, was wie wir festgestellt haben, ein paar ungute Effekte haben kann (Fehler Netlogon / DfsSvc).

    Weiß jemand ob und wie man den Neustart so verzögern oder splitten kann das die DCs nicht gleichzeitig sondern etwa mit einem Versatz von ca 15min rebooten?

    Danke in Voraus!

    Frank

    Donnerstag, 11. September 2014 12:58
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi Frank,

    leider bietet die WSUS-Richtlinie sowas nicht an. Normalerweise findet das WSUS-Update nicht zeitgleich statt, weil die Installation immer etwas zeitversetzt stattfindet. Damit wollte Microsoft das wohl von vornherein eigentlich so machen, wie wir uns das jetzt vorstellen.

    Theoretisch gut, praktisch funzt das auch bei uns nicht so wirklich. Wir haben daher für die Systeme, die nicht gleichzeitig starten dürfen, jeweils eine WSUS-Richtlinie erstellt. Die sind dann alle um jeweils 1 Stunde versetzt. Damit hat jeder Server genug Zeit für den Neustart.

    (Warum WSUS keine flexiblere Zeitsteuerung anbietet - wenigstens im 15-Minuten-Takt - frage ich mich bis heute...)

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 11. September 2014 13:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Eine Alternative fällt mir gerade noch ein - Du kannst in der WSUS-Richtlinie die Option "Neustart für geplante Installationen verzögern" auf 1440 Minuten setzen (= 24 Stunden) und dann auf jedem Server in der Aufgabenplanung einen Neustart-Task hinterlegen.

    Damit startet der Server nicht automatisch nach der Update-Installation neu (bzw. erst nach 24 Stunden) und Du hast auf der anderen Seite die Möglichkeit, eine wirklich flexible Uhrzeit für den Neustart zu verwenden.

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 11. September 2014 13:12
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Ben,

    so einen Workaround habe ich mir auch schon gemacht (auf "3 - Auto Herunterladen und manuell installieren" und dann per Task zeitversetzt neu starten.)

    Wollte nur mal in die Runde fragen, evtl. gibt es eine "offizielle" Vorgehensweise die ich übersehen habe.

    Gruß & Danke Dir!

    Frank


    • Bearbeitet BeckPartner Freitag, 12. September 2014 07:41
    Donnerstag, 11. September 2014 15:16
    |
  • Question
    Anmelden
    0
    Anmelden
    Wenn Du die Einstellung noch machst, kannst Du auch wieder auf "4" umstellen, dann sparst Du Dir die lästige manuelle Installation. :-)

    Gruß

    Ben

    MCITP Windows 7

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Donnerstag, 11. September 2014 15:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich habe generell nichts gegen Automatisierung. Aber bei DCs aktualisiere ich lieber manuell und kann sofort reagieren falls Probleme auftreten.

    Im ungünstigsten Fall funktioniert es nicht beim ersten DC, der Admin ist nicht verfügbar(Urlaub, Krankheit, Dienstreise, Lehrgang etc.) und dann macht der 2. DC ebenfalls Probleme nach dem Neustart und läuft nicht.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Donnerstag, 11. September 2014 15:54
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ich habe da einen ganz pragmatischen Ansatz gewählt.

    1. Jeder DC kommt in eine eigene OU unterhalb von Domain Controllers
    2. Für die verschiedenen Updatezeiten habe ich jeweils eigene Policies, die nur '4-Automatisch Installieren', den Tag und die Uhrzeit 01:00, 02:00, 03:00 usw. beinhalten
    3. Der gewünsche Updatezeitpunkt wird nun mit der jeweiligen OU des DC verknüpft.

    Man könnte auch mit Sicherheitsfilterung anstelle von OUs arbeiten. Das finde ich aber nicht so schön.

    This posting is provided AS IS with no warranties.

    Donnerstag, 11. September 2014 17:52
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    zum Thema Child OUs in der Domain Controller OU:

    The lowest level at which you can apply user rights for the Domain Controllers OU is the default OU. The Domain Controllers OU is the default container for all domain controller objects in a domain directory partition, and moving domain controllers out of this OU is not recommended and not supported. The user rights that apply to this OU apply to all domain controllers in the OU, and thus, in the domain. The default policies are applied to the Domain Controllers OU in a manner that prohibits the effective use of child OUs for domain controllers. Unlike other OUs, child OUs of the Domain Controllers OU cannot be used to override the policy that is applied at the Domain Controllers OU parent level. For this reason, creating child OUs and delegating administration for subsets of domain controllers is not supported.

    Aus http://technet.microsoft.com/pt-pt/library/cc773058(WS.10).aspx

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Donnerstag, 11. September 2014 18:04
    |
  • Question
    Anmelden
    0
    Anmelden
    Danke Meinolf. Das war mir nicht bekannt.

    This posting is provided AS IS with no warranties.

    Freitag, 12. September 2014 07:55
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank an Alle (Meinolf, war mir auch nicht bekannt!), ich denke wir bleiben erstmal bei der "halbautomatischen" Lösung. Aufwand ist ja relativ überschaubar (normalerweise 1 Patchday pro Monat, 2 DCs)

    Grüße,

    Frank


    • Bearbeitet BeckPartner Freitag, 12. September 2014 12:04
    Freitag, 12. September 2014 12:04
    |