Server-Neustart nach Windows-Updates verhindern

10

Wir haben eine Reihe von Servern in unserem Büro, als kleines Hosting-Unternehmen, und diese Server sind für Unternehmen von entscheidender Bedeutung, ... Webserver, Mailserver, DB-Server usw.

Wenn die Maschinen automatisch aktualisiert werden, starten sie sich regelmäßig mitten in der Nacht automatisch neu. Einige von ihnen haben Software, die auf der Konsolensitzung ausgeführt werden muss (schlechte Praxis, ich weiß, aber außerhalb meiner Kontrolle). Wenn sie sich selbst neu starten, werden diese Programme offensichtlich heruntergefahren, wodurch die Kunden verärgert und die Dienste unterbrochen werden.

Wie stellen Sie einen Windows Server 2003 R2-Computer so ein, dass er sich nach Updates NIEMALS automatisch neu startet? Und vielleicht, wenn möglich, stattdessen jemandem eine E-Mail senden, damit er weiß, dass ein ausstehender Neustart erforderlich ist, und ihn für die beste Zeit planen kann?

Danke im Voraus!

windows-server-2003 windows-update automatic-updates Eidylon
quelle

Antworten:

12

Navigieren Sie in der Gruppenrichtlinie für den Server zu:

Computerkonfiguration-> Administrative Vorlagen-> Windows-Komponenten-> Windows Update-> Kein automatischer Neustart für die geplante Installation des automatischen Updates

Sie können dies erreichen, indem Sie laufen gpedit.msc.

Starten Sie neu, um die Änderungen zu übernehmen.

Vergessen Sie nicht, dass Ihr Server erst nach einem Neustart aktualisiert wird und anfällig für Bedrohungen ist!

Dave Drager
quelle
Bearbeitet das Ausführen von GPEDIT auf dem PDC tatsächlich die Domänengruppenrichtlinie? Weil in der gpedit.msc-Konsole "Local Computer Policy" steht.
Eidylon
Um dies auf allen Ihren Servern bereitzustellen, müssen Sie es auf dem PDC (oder einem PC in der Domäne) bearbeiten und diese Gruppenrichtlinie auf Ihre Server anwenden. Die Anweisungen, die ich erwähnte, bearbeiten nur lokale Gruppenrichtlinien - aber ich bin kein Experte für Gruppenrichtlinien!
Dave Drager
1
Vergessen Sie jedoch nicht, dass Sie bis zum Neustart für alle Patches anfällig bleiben.
EBGreen
7
"Starten Sie neu, um die Änderungen zu übernehmen." - Seufzer ;-)
Matthias
1
Warum zum Teufel muss ich meinen Server immer neu starten? Dies ist ein Server, und sein Zweck ist es, immer zu laufen
Alexander.Iljushkin
4

Sie können dies erreichen, und wenn Sie die installierten Updates auf einen Neustart warten lassen, befindet sich der Server nicht in einem inkonsistenten Zustand. Updates, die einen Neustart erfordern, werden erst nach dem Neustart angewendet. Die Einstellungen zum Verwalten automatischer Updates sind zu zahlreich, um hier aufgelistet zu werden. Sie können sie jedoch in einer Domäne über Gruppenrichtlinien oder auf eigenständigen Computern mithilfe lokaler Richtlinien verwalten. Gehen Sie zu Computerkonfiguration> Administrative Vorlagen> Windows-Komponenten> Windows Update.

Joeqwerty
quelle
2

Die beste Lösung, die mir bekannt ist, besteht darin, automatische Updates zu deaktivieren. Anschließend planen Sie Wartungsfenster mit Ihren Kunden, wenden die Updates manuell an und führen den Neustart durch. Stellen Sie dann sicher, dass nach dem Neustart alles, was Sie benötigen, ausgeführt wird.

Nur das Stoppen der Neustarts ist eine schlechte Idee, da dies den Eindruck erweckt, dass Sie vollständig aktualisiert sind, wenn Sie es wirklich nicht sind, da Updates, für deren Abschluss ein Neustart erforderlich ist ... nun ... Sie wissen, dass ein Neustart erforderlich ist.

EBGreen
quelle
Aus dem gleichen Grund möchte ich sie lieber nicht ausschalten, nur um die Dinge sicher auf dem neuesten Stand zu halten, sondern um eine Benachrichtigung an eine E-Mail-Adresse zu erhalten, die mehrere Personen benachrichtigt, damit wir sicher sind, dass wir uns dessen bewusst sind. So etwas wie die Bedienerbenachrichtigungen in SQL Server.
Eidylon
2
+1 für manuelle Updates auf Produktionssystemen. Nichts ist schlimmer, als ein MS-Update automatisch anwenden zu lassen und Ihre Produktions-SQL / Exchange / Datei / etc. Server
Dayton Brown
Aber - seien wir realistisch. In den meisten Situationen hat jede Art von automatischer Aktualisierung keine Auswirkungen auf ein installiertes Programm. Wenn Sie eine Software haben, die so eng mit den Windows-Dateien verknüpft ist, sollten Sie sie deaktivieren. In 90% der Situationen erhalten Benutzer jedoch mehr Sicherheitsvorteile durch die automatischen Updates als das Risiko, das sich auf die Ausführung von Software auswirkt.
Dave Drager
1

Wenn Sie einen Server nicht neu starten können (oder wollen), sollten Sie die Update-Installation auf den Zeitpunkt verschieben, an dem Sie ihn sicher neu starten können.

Sie sollten niemals Updates installieren, die einen Neustart erfordern, ohne den Computer tatsächlich neu zu starten. Dadurch befindet sich das System in einem inkonsistenten Zustand, und Sie können Probleme haben, bis ein Neustart abgeschlossen ist.

Massimo
quelle
1

Ich würde vorschlagen, die automatischen Updates am Laufen zu halten, ABER die Server müssen nur die Updates herunterladen und nicht installieren.

Haben Sie über einen WSUS-Server nachgedacht, um die Patch-Wartung zu vereinfachen?

RateControl
quelle
0

Die kurze Antwort lautet: Sie können nicht. Die einzige Möglichkeit besteht darin, sie herunterladen und warten zu lassen, bis Sie sie manuell installieren und neu starten können, oder AU einfach auszuschalten und in einem Wartungsfenster herunterzuladen / zu installieren.

DanBig
quelle
0

Ich persönlich bevorzuge die Download-Updates, installiere aber keine Option. Auf diese Weise informiert Sie der Server darüber, dass Downloads bereit sind, obwohl Sie sich interaktiv anmelden müssen, um den Hinweis zu sehen, und Sie müssen nicht auf den Download warten, wenn Sie ein Wartungsfenster für eine Installation und einen Neustart haben .

Catherine MacInnes
quelle
0

Wenn Sie eine Anwendung wie angegeben in einer aktiven Konsolensitzung ausführen, können Sie die Option festlegen, um einen Neustart zu verhindern, während Benutzer am Server angemeldet sind.

Kelsey
quelle