17 windows
如果您在 Windows Server 2003 (IIS6) 上运行 24/7 全天候网站。您会启用 Windows 自动更新功能还是将其关闭?
启用后,您始终会在可用时自动获得最新的安全补丁和错误修复,这是最安全的选择。但是,机器有时会自动重新启动以应用更新,从而导致半夜停机几分钟。此外,我还见过极少数情况下机器无法正确重启导致进一步停机。
如果自动更新关闭,您什么时候应用补丁?我猜您必须使用带有多个 Web 服务器的负载平衡器,并将它们从生产站点中移出,手动应用补丁,然后将它们放回去。当负载平衡器由托管公司管理时,这在后勤上可能会很不方便。您还将有生产中的机器并不总是具有最新的安全补丁,您必须经常花时间决定应用哪些补丁以及何时应用。
小智 18
简短的回答,没有。
在最好的情况下,您至少应该有另一个盒子/虚拟机/豚鼠来测试补丁,以确保它不会破坏您的世界。
在最坏的情况下,我会让它下载补丁但不安装,这样我就可以查看安装了什么。但我就是个控制狂。
恐怕我不得不不同意共识。
任何说“需要人工干预”的人都不够进步。
自动化一切。
也许这意味着打开自动更新(我在我的低后果环境中这样做)。
也许这意味着更严格的事情(您自动更新登台环境,让它自动验证正确操作,然后在生产环境中触发自动更新)。应使用报告或电子邮件通知,以便管理员了解流程的状态。
有多种方法可以实现这种自动化,从 powershell 脚本到软件更新服务 (SUS)……特别是因为您在 stackoverflow 而不是 serverfault 上提出了这个问题,我建议您开发例程来自动化尽可能多的尽可能更新过程。
不这样做会使您面临不应用更新或不正确应用更新的风险。此外,如果您和我一样,您更愿意在更新失败时凌晨 3 点醒来一次(并且您被更新例程分页),而不是每个月凌晨 3 点醒来安装更新在后果严重的时段。
当然,YMMV。设计一个最适合您的流程,但尽量不要为自己做太多不必要的工作。
对于生产 Windows 服务器,我不建议将 Windows 更新设置为自动下载和安装更新。更好的方法是自动下载更新但手动安装它们。
这种方法的好处是:
基本上都是关于控制和自动下载和自动安装,你不会得到太多!!
| 归档时间: |
|
| 查看次数: |
7959 次 |
| 最近记录: |