none
Незапланированная установка обновлений и перезагрузка RRS feed

  • Вопрос

  • Добрый день.

    Сегодня ночью внезапно на несколько критических серверов установились обновления и произошла перезагрузка. И вроде обновления это хорошо, но на все эти серверы действовали следующие GPO:

    В описании этих настроек указано что автоматически происходит только загрузка обновлений. А установка и последующая перезагрузка должны выполняться вручную. В логах есть сообщения о том, что в 3 часа ночи пользователь система начал установку обновлений.

    Я знаю что винда в любом случае отправит комп в ребут, если обновления уже установлены, но с автоматической установкой вопреки настройкам групповых политик сталкиваюсь впервые.

    Подскажите пожалуйста, почему это произошло и что можно сделать чтобы избежать повторения этой ситуации? Может есть способ вообще отключить автоматическую перезагрузку?


    20 февраля 2019 г. 6:00

Ответы

  • Я сейчас параллельно занимаюсь разделением политик по той схеме, которую вы написали.

    Сейчас зашел на WSUS, посмотреть настройки. Увидел там вот такое правило

    Не может перезагрузка происходить из-за него?

    Хо-хо, конечно оно)))

    вы же ничего не говорили, что вы авто-апрувы с дедлайном выставили в вашем WSUS))

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc708585(v=ws.10)

    И здесь ответ:

    Updates that have deadlines and require restarts will cause a forced restart at the time of the deadline, no matter when the update was actually installed. For example, if an update with a 6:00 A.M. deadline was downloaded and installed at 3:00 A.M., but the computer was not restarted at that time, it will be restarted at 6:00 A.M.

    Если хотите совет, убирайте авто-одобрения. Если не плевать на структуру, то обновления нужно применять, проверяя на тестовой OU. Рано или поздно напоритесь на огромный косяк, как будут кривые обновления. Вообще, лично моё мнение, авто-апрув - это зло.

    Могу рассказать о схеме предварительного тестирования и одобрения, а так же о планировании вашей структуры, но думаю в этой теме будет лишним.

    Если потребуется помощь, помогу через телеграм или скайп.

    В целом, ваш вопрос решён)

    • Помечено в качестве ответа Валера2 20 февраля 2019 г. 19:32
    20 февраля 2019 г. 15:49

Все ответы

  • 1. Пункт "авт. загрузка и уведомление" - возможно кто-то из ваших коллег, увидев уведомления нажал "установить";

    2. "Не выполнять автом. перезагрузку ...." будет работать, только если в системе висит хотя бы 1 пользователь. Можете ли вы сказать, были ли пользователи в системе?

    По хорошему нужно открывать:

    a) журнал Установки и смотреть когда именно была активирована установка. Это есть в журнале

    б) по аудиту Безопасность посчитать были ли на момент перезагрузки пользователи в системе

    Если всё это соблюдается, то как минимум проверить, выполняется ли GPO на вашем сервере/двух в принципе. Построить результирующую, возможно там какие-то ошибки и GPO применяется криво или кто-то перенёс станцию в OU на которую политика не прилинкована.

    20 февраля 2019 г. 6:08
  • 1) Думал про это, но серверов достаточно много и время установки одно и то же - ~3:00. Это время автоматического обслуживания, но, опять же, в политике явно указано что оно никак не должно влиять на установку.

    2) На одном из серверов был открыт мой сеанс. Вчера было сообщение о том, что можно поставить обновления, но я просто нажал отмена. 

    а) Вот пример одно из серверов. Во всех событиях пользователь система:

    Журнал WindowsUpdateClient:

    Журнал приложений:

    Журнал система:

    Журнал установка:

    б) Да, на этих серверах точно были залогинены администраторы. На подконтрольном мне сервере был залогинен я. От моего имени запускается ежедневный скрипт и если я не в системе, он не работает. 

    Скрин из первого поста делал из результирующей политики. На всех серверах она имеет такой же вид.


    20 февраля 2019 г. 6:31
  • Проверьте какие политики кроме этой ещё применяются для данных серверов. 

    По хорошему при таком раскладе автоматом обновы не ставятся и не перезагружаются. У самого для сервером такая же политика и инцидента такого небыло.

    20 февраля 2019 г. 6:42
  • Кроме этой политики больше ничего не действует из того, что могло бы влиять на перезагрузку. 

    По области проблемы все оказалось даже хуже, чем я думал изначально. Установка прошла вообще на всех серверах, на которые действовала политика. И все они перезагрузились.

    20 февраля 2019 г. 6:55
  • Кроме этой политики больше ничего не действует из того, что могло бы влиять на перезагрузку. 

    По области проблемы все оказалось даже хуже, чем я думал изначально. Установка прошла вообще на всех серверах, на которые действовала политика. И все они перезагрузились.

    Значит кривизна с отработкой GPO.

    Что бы я посоветовал, это удалить групповую политику и создать заново.

    Очень надеюсь, что автор не сделал ошибку большенства и не зафигачил настройки через default policy

    Если на всех разом прошло что-то , противоречимое политике, значит она не выполняется

    20 февраля 2019 г. 8:36
  • Кроме этой политики больше ничего не действует из того, что могло бы влиять на перезагрузку. 

    По области проблемы все оказалось даже хуже, чем я думал изначально. Установка прошла вообще на всех серверах, на которые действовала политика. И все они перезагрузились.

    Странно конечно. Я сделал так, в Ад создал контейрен и туда переместил все серверные компы, прицепил политику для данного OU и всё работает хорошо. Сделайте совет Дмитрия выше.
    20 февраля 2019 г. 9:00
  • Эти настройки были в отдельной политике. На проблемных машинах в параметрах всё так же, как и в описании - установка вручную, скачивание автоматически.

    Спасибо за совет. Сейчас удалю старую и создам полностью новую. Правда пока нет возможности еще раз рисковать, поэтому пока поставлю и загрузку и установку в ручном режиме.

    20 февраля 2019 г. 9:53
  • Эти настройки были в отдельной политике. На проблемных машинах в параметрах всё так же, как и в описании - установка вручную, скачивание автоматически.

    Спасибо за совет. Сейчас удалю старую и создам полностью новую. Правда пока нет возможности еще раз рисковать, поэтому пока поставлю и загрузку и установку в ручном режиме.

    Вам не обязательно рисковать.

    Поднимите тестовый стенд на виртуалке, создайте тестовый контейнер. Создайте новую политику и прилинкуйте её на OU. И оставьте

    Может совет будет отчасти лишним, но я согласен с Farrukh Yakhyaev

    По моему планированию AD сделано следующим образом:

    ------------------------------------------------------------------------------------------------Город

    ------------------------------------------------------------Филиал (фирма)

    --------------------------------------Подразделение

    ---------------------------Сотрудники

    ---------------Компьютеры

    Под подразделениями понимаю, например, бухгалтерия, IT, Маркетинг и пр.

    Аналогично с серверами. OU Servers, а дальше глубина размещения по городам и структурным подразделениям.

    Чем на большее число орг.единиц вы побьёте структуру, тем гибче вы сможете использовать политики. И лично я рекомендую отключать не нужный функционал в них. Если применяется только на ПК, отключайте действия для пользователей.

    И ещё одно правило, которым я следую. Один набор параметров - 1 политика.

    Очень часто люди создают 1 политику, пихают туда всё что можно (а которые и в default policy), а потом мучаются, потому что не могут ничего продебажить и так запросто пересоздать политику.

    p.s. это моё мнение, а слушать меня/коллег или нет, уже дело ваше.


    • Изменено DmitryG_ 20 февраля 2019 г. 12:18
    20 февраля 2019 г. 12:17
  • Я сейчас параллельно занимаюсь разделением политик по той схеме, которую вы написали.

    Сейчас зашел на WSUS, посмотреть настройки. Увидел там вот такое правило

    Не может перезагрузка происходить из-за него?

    20 февраля 2019 г. 13:02
  • А так, по приколу, можете посмотреть в ветках реестра на серверах, применились политики или нет?

    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

    Собственно ключ AUOptions интересует.


    20 февраля 2019 г. 13:58
  • Я сейчас параллельно занимаюсь разделением политик по той схеме, которую вы написали.

    Сейчас зашел на WSUS, посмотреть настройки. Увидел там вот такое правило

    Не может перезагрузка происходить из-за него?

    Хо-хо, конечно оно)))

    вы же ничего не говорили, что вы авто-апрувы с дедлайном выставили в вашем WSUS))

    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc708585(v=ws.10)

    И здесь ответ:

    Updates that have deadlines and require restarts will cause a forced restart at the time of the deadline, no matter when the update was actually installed. For example, if an update with a 6:00 A.M. deadline was downloaded and installed at 3:00 A.M., but the computer was not restarted at that time, it will be restarted at 6:00 A.M.

    Если хотите совет, убирайте авто-одобрения. Если не плевать на структуру, то обновления нужно применять, проверяя на тестовой OU. Рано или поздно напоритесь на огромный косяк, как будут кривые обновления. Вообще, лично моё мнение, авто-апрув - это зло.

    Могу рассказать о схеме предварительного тестирования и одобрения, а так же о планировании вашей структуры, но думаю в этой теме будет лишним.

    Если потребуется помощь, помогу через телеграм или скайп.

    В целом, ваш вопрос решён)

    • Помечено в качестве ответа Валера2 20 февраля 2019 г. 19:32
    20 февраля 2019 г. 15:49
  • Я сейчас параллельно занимаюсь разделением политик по той схеме, которую вы написали.

    Сейчас зашел на WSUS, посмотреть настройки. Увидел там вот такое правило

    Не может перезагрузка происходить из-за него?

    Коль вы автоапрув делаете тут, советую разделить сервера от рабочих станция вот таким образом или другим, который найдете . И создайте правила автоматической установки только для рабочих станций, если требуется, а сервера тем самым исключите из этой схемы.

    • Предложено в качестве ответа Vector BCOModerator 20 февраля 2019 г. 17:41
    20 февраля 2019 г. 17:21
  • Да, знаю что автоапрув лучше не делать. Тем более без тестов. Тем более на критичные серверы...особенно контроллеры. Это wsus настраивался несколько месяцев назад и второпях, на замену скоропостижно умершему предыдущему серверу. Только недавно дошли руки до настроек обновлений и вот всплыла такая проблема. Стыдно.

    Большое всем спасибо за участие и ответы!

    20 февраля 2019 г. 19:35
  • Дмитрий, 

    Про предварительное тестирование и планирование. Очень интересно было бы узнать ваши советы. Как я могу вас найти в скайпе?

    21 февраля 2019 г. 10:14