@Re1ter
DevOps Engineer

Утилита для массовая установки обновлений Windows на серверы?

Столкнулся с маразмом работодателя - раз в месяц выходить в выходной день для установки обновлений Windows на серверы (поднят WSUS). Использование SCCM исключено, к несчастью, поэтому стал искать сторонние решения. Пробовал использовать для этой цели Powershell, но на серверах отключено удаленное выполнение скриптов (можно включить, но после перезагрузки настройка слетает). Поскольку доступа к политикам у меня нет, этот вариант тоже отсеился. Нашёл великолепную утилиту BathPatch, которая просто создана для такой работы, но она жутко платная ($400 за одну лицензию на год, учитывая, что расходы лягут на меня самого). Нет ли бесплатного аналога или альтернативных вариантов, не предусматривающих установку НИКАКОГО дополнительного ПО на серверы (только безагентное обновление)?

UPD: уточняю условие задачи. Имеется порядка 2000 виртуальных серверов, на которые 1 раз в месяц устанавливаются обновления (вручную, посредством подключения к каждому серверу по RDP). Необходимо, не используя GPO и установку какого-либо агентского ПО, автоматизировать установку обновлений и перезагрузку ЧАСТИ этих серверов (мониторинг серверов имеется, так что эту часть задачи решать нет необходимости).
  • Вопрос задан
  • 1758 просмотров
Решения вопроса 1
landergate
@landergate
IT-шный jack-of-all-trades
поднят WSUS

Можно настроить сервера на автоматическое применение обновлений по выходным.

Если вам нужно мониторить успешность применения обновлений, WSUS сам показывает об этом визуальные отчёты, по которым можно увидеть, какие сервера получили апдейт и отчитались о нём, а на какие из них апдейт не доехал.

Если вам нужно принудительно перезагружать после обновлений все сервера в одно время по выходным, это можно сделать:
  • Галкой "незамедлительно перезагружать сервер, если обновление этого требует", при условии, что вы настроили применение обновлений на конкретный день недели и время;
  • Планировщиком задач;
  • Powershell/batch-скриптом, который отправляет все сервера из списка на перезагрузку. При условии, что у вашей учётной записи есть права на перезагрузку этих серверов.


Если вам нужно мониторить, возвращаются ли сервера после перезагрузки, вы можете развернуть Zabbix и добавить в него все сервера, подключив ко всем шаблон проверки доступности по ICMP ping. Для этого установка агентов не нужна. Если один из серверов слишком долго не возвращается - вы сможете разобраться именно с ним в частном порядке, не проверяя все остальные.

Если вам нужно удалённо исправлять сервера, не загружающиеся после перезагрузки, то:
Если они физические: этого достичь можно только с устройствами IPMI/iLO/KVM. Никакие программные решения вам не помогут.
Если они виртуальные: можно подключаться к ним через просмотрщик с гипервизора.

Все сторонние программные решения, выполняющие массовое применение апдейтов, к сожалению, не лишают вас описанных забот, поскольку и они, и WSUS, делают одно и тоже по одинаковому принципу - они отправляют апдейты и мониторят их применение. Они не лечат волшебным образом зависающие в середине серваки.
В то же время, зависание серверов в процессе обновления - сравнительно редкое явление.

Ещё, чтобы не прибить каким-то плохим обновлением весь серверный парк, считается хорошей практикой обкатывать обновления сначала на паре тестовых стендов - отдельных серверов, которые получат обновления первыми. Если они не зависли и всё работает, как ожидается - можно применять эти апдейты на все остальные.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
Что в этом маразматичного? Вполне нормальное требованрие работодателя. Вы думали о том, что вы будете делать, если обновления не установятся и/или приведут к смерти сервера/потере каких-либо данных? Восстанавливать в понедельник? Сколько сотрудников не смогут работать, пока вы будете восстанавливать сервер? Сколько простой будет стоить компании?
1. Такие работы должны быть оплачены в соответствии с ТК РФ.
2. Если нет возможности в выходные, пробуйте в пятницу вечером. Опять же с оплатой своего времени.
3. Не хотите контролировать обновления в нерабочее время, меняйте работодателя/зону ответственности.
4. Повышайте отказоустойчивость, делайте дублирующий сервер, устанавливайте поочередно обновления в рабочее время, если, конечно, это уместно.

p.s.
По теме вопроса, аналог SCCM - OPSI, сам не использовал.
Ответ написан
ifaustrue
@ifaustrue
Пишу интересное в теллеграмм канале @cooladmin
думаю можно использовать либо удалённое администрирование, либо psexec или что-то такое. Не понимаю зачем нужно выходить физически ради такого.

Сервер не бренд? Без RMC\iLo\KVM?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы