Утилита для массовая установки обновлений Windows на серверы?

Question

[Артём Сахаров]

Столкнулся с маразмом работодателя - раз в месяц выходить в выходной день для установки обновлений Windows на серверы (поднят WSUS). Использование SCCM исключено, к несчастью, поэтому стал искать сторонние решения. Пробовал использовать для этой цели Powershell, но на серверах отключено удаленное выполнение скриптов (можно включить, но после перезагрузки настройка слетает). Поскольку доступа к политикам у меня нет, этот вариант тоже отсеился. Нашёл великолепную утилиту BathPatch, которая просто создана для такой работы, но она жутко платная ($400 за одну лицензию на год, учитывая, что расходы лягут на меня самого). Нет ли бесплатного аналога или альтернативных вариантов, не предусматривающих установку НИКАКОГО дополнительного ПО на серверы (только безагентное обновление)?

UPD: уточняю условие задачи. Имеется порядка 2000 виртуальных серверов, на которые 1 раз в месяц устанавливаются обновления (вручную, посредством подключения к каждому серверу по RDP). Необходимо, не используя GPO и установку какого-либо агентского ПО, автоматизировать установку обновлений и перезагрузку ЧАСТИ этих серверов (мониторинг серверов имеется, так что эту часть задачи решать нет необходимости).

Comments

[landergate]

Сколько серверов?

[Артём Сахаров]

порядка 2000

[landergate]

Что Вы понимаете под применением обновлений?
Фоновую установку патчей безопасности, или принудительный рестарт серверов после каждого обновления? Другими словами, вы каждые выходные перезагружаете все сервера?

[Артём Сахаров]

Как уже было описано выше - 1 раз в месяц, установка и перезагрузка.

Answer 1

[landergate]

поднят WSUS

Можно настроить сервера на автоматическое применение обновлений по выходным.

Если вам нужно мониторить успешность применения обновлений, WSUS сам показывает об этом визуальные отчёты, по которым можно увидеть, какие сервера получили апдейт и отчитались о нём, а на какие из них апдейт не доехал.

Если вам нужно принудительно перезагружать после обновлений все сервера в одно время по выходным, это можно сделать:

• Галкой "незамедлительно перезагружать сервер, если обновление этого требует", при условии, что вы настроили применение обновлений на конкретный день недели и время;
  
• Планировщиком задач;
  
• Powershell/batch-скриптом, который отправляет все сервера из списка на перезагрузку. При условии, что у вашей учётной записи есть права на перезагрузку этих серверов.
  

Если вам нужно мониторить, возвращаются ли сервера после перезагрузки, вы можете развернуть Zabbix и добавить в него все сервера, подключив ко всем шаблон проверки доступности по ICMP ping. Для этого установка агентов не нужна. Если один из серверов слишком долго не возвращается - вы сможете разобраться именно с ним в частном порядке, не проверяя все остальные.

Если вам нужно удалённо исправлять сервера, не загружающиеся после перезагрузки, то:
Если они физические: этого достичь можно только с устройствами IPMI/iLO/KVM. Никакие программные решения вам не помогут.
Если они виртуальные: можно подключаться к ним через просмотрщик с гипервизора.

Все сторонние программные решения, выполняющие массовое применение апдейтов, к сожалению, не лишают вас описанных забот, поскольку и они, и WSUS, делают одно и тоже по одинаковому принципу - они отправляют апдейты и мониторят их применение. Они не лечат волшебным образом зависающие в середине серваки.
В то же время, зависание серверов в процессе обновления - сравнительно редкое явление.

Ещё, чтобы не прибить каким-то плохим обновлением весь серверный парк, считается хорошей практикой обкатывать обновления сначала на паре тестовых стендов - отдельных серверов, которые получат обновления первыми. Если они не зависли и всё работает, как ожидается - можно применять эти апдейты на все остальные.

Comments

[Артём Сахаров]

Нельзя, поскольку необходимо контролировать процесс выполнения обновления. По куче различных причин они могут не установиться / установиться некорректно. Плюс, как я уже озвучил, у меня нет доступа к GPO.

[landergate]

Артём Сахаров: Вопрос был о способах массового применения обновлений.
В этом контексте, Windows-сервера справятся с этой задачей самостоятельно, без дополнительного ПО.

Ваш вопрос на самом деле можно перефразировать: он не про применение обновлений, а про то, как можно удалённо мониторить их успешность применения и, в случае ошибки, как удалённо исправлять. А также как обосновать это работодателю, если вы хотите научиться делать это без поездок на работу.

> у меня нет доступа к GPO
В принципе, он не нужен. Можно один раз настроить применение на конкретное время вручную на каждом сервере.

> необходимо контролировать процесс выполнения обновления
WSUS в отчётах визуально показывает степень применения конкретных обновлений на конкретный пул серверов.
Если какие-то обновления не установились - их можно пнуть вручную. Насколько я понял, именно сейчас Вы этим и занимаетесь, но делаете это редко, из-за чего не видите смысла в еженедельных поездках.

[landergate]

Артём Сахаров: Я обновил свой пост с учётом полученной информации. =)

[landergate]

Ежемесячных, точнее. >_>;

[Артём Сахаров]

Довольно конструктивно, спасибо. Но, к несчастью, не подходит под мои реалии. Настройки обновлений применяются централизованно политиками, к которым у меня нет доступа, т.е. изменить настройки обновлений на серверах нельзя. Поясню - у меня есть зона ответственности, покрывающая НЕ ВСЕ серверы, и я хочу автоматизировать исключительно свою часть работы, ибо она чрезвычайно нудная и однообразная. Единственный вариант - программа/скрипт, пробегающая по списку серверов и запускает поиск/установку обновлений, а затем и перезагрузку. Система, аналогичная Zabbix, имеется, так что с контролем успешности проблем не будет.

[landergate]

Артём Сахаров: Понимаю. Сложно выполнять задачи, когда инструменты для выполнения тебе не предоставляют, игнорируя такие преимущества, как меньшие простои.

Будет хорошей идеей дополнить _всеми_ подробностями о ситуации и ограничениях пост с вопросом, чтобы отвечающим не бегать по комментариям.

Если пост хоть чем-нибудь понравился, можно спасибкнуть. Мотивейшн! =)

Answer 2

[William Thorn]

Что в этом маразматичного? Вполне нормальное требованрие работодателя. Вы думали о том, что вы будете делать, если обновления не установятся и/или приведут к смерти сервера/потере каких-либо данных? Восстанавливать в понедельник? Сколько сотрудников не смогут работать, пока вы будете восстанавливать сервер? Сколько простой будет стоить компании?
1. Такие работы должны быть оплачены в соответствии с ТК РФ.
2. Если нет возможности в выходные, пробуйте в пятницу вечером. Опять же с оплатой своего времени.
3. Не хотите контролировать обновления в нерабочее время, меняйте работодателя/зону ответственности.
4. Повышайте отказоустойчивость, делайте дублирующий сервер, устанавливайте поочередно обновления в рабочее время, если, конечно, это уместно.

p.s.
По теме вопроса, аналог SCCM - OPSI, сам не использовал.

Comments

[Артём Сахаров]

Не вижу в этом ничего нормального. Контролировать, что сервер не упал в BSOD, можно и автоматически. При ручном обновлении сервера точно так же падают, и каждый регламент традиционно пара-тройка восстанавливается из бэкапа - почему, в таком случает, нельзя поставить обновления на поток? Всё это делается в считанные минуты в тот же день, простоя не возникает. Единственная причина, как я озвучил выше, - финансовая.

Установка обновлений возможна только в регламентный день, ибо все серверы контролируются системой мониторинга, и не могут быть перезагружены "своевольно" - нужна куча бумажек, чтобы дёрнуть банально зависшую машину. При чём тут отказоустойчивость, мне совершенно непонятно.

[Артём Сахаров]

OPSI не подходит, поскольку использует агент.

Answer 3

[Клёвый Админ]

думаю можно использовать либо удалённое администрирование, либо psexec или что-то такое. Не понимаю зачем нужно выходить физически ради такого.

Сервер не бренд? Без RMC\iLo\KVM?

Comments

[Артём Сахаров]

Серверы виртуальные, порядка 2000 штук.

[Клёвый Админ]

Артём Сахаров: тогда только WSUS и GPO. Использовать что-то не штатное - бред полный.