admin管理员组文章数量:1566366
Windows Server 2016补丁更新机制
http://bbs.learnfuture/topic/8995
【摘要】
Windows服务器补丁更新是确保服务器安全的一个重要措施,随着时间的推移,目前Windows Server 2016已经开始被普遍使用。而相对于Windows Server 2012等旧版本服务器,Windows Server 2016补丁更新机制有了很大不同。
【正文】
- 更新服务变化
自Windows 10和Server 2016系统,我们可以在系统上看到Windows Update相关的新的服务pdate Orchestrator Service for Windows Update,这个服务主要负责Windows Update的扫描,下载,安装以及触发重启。对于Update Orchestrator,在任务计划程序中可在Microsoft\Windows下见到一个系统自带的计划任务名为UpdateOrchestrator,这个任务下设置了扫描,重启的任务,定期运行。
- 更新行为变化
自Windows 10 1607(Windows Server 2016与Win10 1607基于同样的内核)开始,Windows Update有一个新的行为称为Dual Scan,即双重扫描行为。如果dual scan开启的话,Windows Update会自动从WSUS和Microsoft Update两边检测更新,但是只会接受Microsoft Update端扫描到的Windows OS相关补丁结果,忽略WSUS端的OS相关补丁,只从WSUS端接收其他的推送内容,即其他产品的更新或者软件。这样的行为可能会导致我们无法完全控制Windows Update的行为。这也就是有时候我们会发现,组策略配置的明明是通知下载和通知安装,但服务器确自动安装了补丁并自动重启。
从Daul Scan的原理来看,这可能会导致更新行为不可控,对于业务系统运行在Windows Server 2016企业来说,存在不可控的风险。1703版本10月的累积更新中包括新功能和允许禁用双重扫描的新策略。 启用后,新策略“不允许更新延迟策略导致对Windows Update进行扫描”将禁用双重扫描。 这样,企业就可以配置延迟策略,而不必担心双重扫描会覆盖管理员关于windows update的配置。
- 重启行为变化
当Windows Server2016安装补丁后重启挂起时,会在设定的非工作时段自动进行重启。在第一点中的UpdateOrchestrator计划任务中,可以看到有一个reboot的任务计划,任务描述为“此任务在更新安装后触发系统重启”。
可以使用组策略配置计算机工作时间段,“计算机配置\管理模板\ Windows组件\ Windows更新”,然后打开“ 在工作时间期间关闭自动重启以进行更新”策略设置。启用该策略后,您可以设置活动时间的开始时间和结束时间,但最长使用时间段为12小时。
安装更新后,Windows Server 2016会在使用时段之外尝试自动重新启动。如果7天后(默认情况下)重启失败(默认情况下),则用户将看到要求重启的通知。您可以使用“ 为更新安装自动重启之前指定期限”策略将延迟时间从7天更改为2到14天之间的天数。如果启用了“对于计划的自动更新安装不使用登录用户自动重启”或“总是在计划的时间自动重启”策略,则此策略无效。
注意:如果启用Dual Scan,可能所有的策略都无效。无法限制计算机重启。
- 总结
由于Windows Server 2016补丁更新机制的变化,建议安排Windows Server 2016补丁更新计划时,对安装补丁后的服务器立即安排重启计划,避免发生服务器自动重启,确保系统稳定运行。
参考链接:
Daul Scan:
https://blogs.technet.microsoft/wsus/2017/05/05/demystifying-dual-scan/
https://blogs.technet.microsoft/wsus/2017/08/04/improving-dual-scan-on-1607/
https://blogs.technet.microsoft/configurationmgr/2017/10/10/using-configmgr-with-windows-10-wufb-deferral-policies/
更新后管理设备重启:
https://docs.microsoft/en-us/windows/deployment/update/waas-restart
Windows更新工作原理:
https://docs.microsoft/zh-cn/windows/deployment/update/how-windows-update-works
---------------------
原文来自【学领未来】,转载时请保留原文链接。
链接:http://bbs.learnfuture/topic/8995
版权声明:本文标题:Windows Server 2016补丁更新机制 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1727558091a1121016.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论