Wir haben einen Cluster von 75 Win2k3-Knoten in einem grobkörnigen Computercluster im Einsatz. Der Cluster befindet sich hinter einem Berg von Firewalls und befindet sich in seinem eigenen VLAN. Auf dem Cluster laufen Jobs aller Größen und Typen und alle ausgeführten ausführbaren Dateien sind maßgeschneidert.
(Hrsg.: zusätzliche Hinweise zu unseren ausführbaren Dateien)Die Dauer der Jobs reicht von 30 Sekunden bis 7 Tagen und kann eine ausführbare Datei oder 2000 Unterjobs (von kurzer Dauer) enthalten. Natürlich versuchen wir, die Situation zu vermeiden, dass unsere IT während eines 7-tägigen Produktionsjobs einen Neustart plant.
Wir verfügen über eine Planungssoftware, die alle normalen Aufgaben für einen grobkörnigen Cluster unterstützt, und wir können steuern, welche Maschinen für die Übermittlung usw. aktiv sind. Wenn WSUS in irgendeiner Weise skriptfähig wäre (oder der Client seine Verfügbarkeit zum Herunterfahren angeben könnte), könnten wir die beiden Systeme koordinieren und aushelfen.
Derzeit ist der Patch-Zeitplan der Sonntag nach dem Super Tuesday, unabhängig davon, was auf dem Cluster läuft. Wir müssen jedes Mal um eine Ausnahme bitten, wenn wir das Patchen einer Maschine für einen lang laufenden Produktionsjob verschieben möchten. Obwohl unsere Gruppe für die Maschinen verantwortlich ist, haben wir im Grunde wenig Kontrolle über den Patch-Zeitplan der IT.
- Ist es für einen Windows-Produktionscluster sinnvoll, monatlich Patches gemäß dem MS-Zeitplan auszuführen?
- Gibt es Software-Hooks in WSUS, wo wir sagen könnten: „Bitte noch nicht neu starten“?
Antwort1
1. Ist es für einen Windows-Produktionscluster sinnvoll, monatlich Patches gemäß dem MS-Zeitplan bereitzustellen?
Ja, allerdings sollte ein Cluster keine Ausfallzeiten im Zusammenhang mit einem Patch haben, da die Jobs auf einen anderen Knoten übertragen werden sollten. Ich würde NICHT den gesamten Cluster gleichzeitig patchen (das wäre verrückt).
2. Gibt es Software-Hooks in WSUS, wo wir sagen könnten: „Bitte noch nicht neu starten“?
Endbenutzer haben keine Möglichkeit, ein WSUS-Update oder einen Neustart zu stoppen, aber für mich klingt es so, als hätten Sie ein echtes Kommunikationsproblem zwischen Ihrer Gruppe und der IT-Gruppe. Sie sollten jedoch in der Lage sein, jeweils einen Knoten zu verlieren, ohne dass dies große Auswirkungen auf die Produktion hätte.
Antwort2
Indem Sie Config Mgr zur Verwaltung der Bereitstellung von Updates verwenden, können Sie den Neustart der Server verhindern. So werden Updates angewendet (werden aber möglicherweise erst nach dem Neustart wirksam) und die IT erhält Berichte, die die Server anzeigen, die auf einen Neustart warten. Sie können Ihnen diese Liste problemlos zur Verfügung stellen und ich gehe davon aus, dass Sie die Neustarts bestimmter Knoten problemlos und ohne allzu große Unterbrechungen manuell planen können. Die IT kann problemlos eine ausfallsichere Bereitstellung (mit erzwungenen Neustarts) und auch eine lange Frist festlegen, sodass dies letztendlich die Updates und Neustarts erzwingt, falls Sie Ihren Teil der Abmachung nicht einhalten!
Für die Bereitstellung von Standardupdates wünschen sich die IT (und Sie) wahrscheinlich sehr kurze Fristen für eine völlig stille Bereitstellung (ohne Neustart) und auch eine Bereitstellung mit etwas längerer Frist, die nicht still ist, sodass Sie eine Benachrichtigung erhalten, wenn Sie sich beim Server anmelden. Keine dieser Bereitstellungen sollte den Neustart erzwingen.
Es kann dennoch zu einem Fehler kommen, weil eine Bibliothek oder eine andere Codekomponente aktualisiert wurde, während sie nicht verwendet wurde, und dann verwendet wird, bevor durch einen Neustart die restlichen Aktualisierungen wirksam wurden.
Dies ist eine effiziente Möglichkeit, das zu erreichen, was Sie und die IT wollen, und jeder von Ihnen hat einen gewissen Einblick in das, was vor sich geht. Die Berichterstattung darüber, welche Server sich je nach Bereitstellung in welchem Zustand befinden, ist für Sie beide ebenfalls sehr nützlich.
Antwort3
Klingt, als ob Ihre IT-Abteilung Ihnen eine Menge „Reden mit der Hand“-Haltung entgegenbringt. Sie müssen sich mit ihnen zusammensetzen (oder sie mit Bier bestechen?), ihnen Ihre Situation erklären und sehen, ob sie etwas tun können, wie zum Beispiel einen nachgelagerten WSUS-Server mit manuellen Patch-Genehmigungen zu erstellen.
Die Einstellungen für WSUS werden alle durch Gruppenrichtlinien festgelegt, die im Active Directory auf Domänen- oder OU-Ebene festgelegt werden. Wenn sich die Server in der Unternehmensdomäne ohne separate OU befinden, erhalten sie das, was alle anderen erhalten, was nicht angemessen klingt.
Wenn Sie das Problem mit Ihrer IT-Abteilung nicht lösen können, entfernen Sie die Computer dann aus der Domäne?