Windows Server update best practices
Hallo zusammen,
ich benötige eure Erfahrung.
Wie gestaltet ihr den Prozess Windows Update bei Servern.
Jeden Monat steht der Windows Patchday vor der Tür.
Wie läuft dies bei euch ab?
Installation noch am gleichen Tag / am Wochenende / in oder außerhalb der Produktiv Zeit?
Installiert ihr Grundsätzlich 1 Woche später um Microsoft Fehlern aus dem Weg zu gehen?
Snapshot bzw. Sicherung vorher?
Wie prüft ihr im Nachgang?
Automatische Updates?
SQL Server Update?
Ich bin auf eure Prozess Beschreibung gespannt
Danke für jeden Beitrag
Gruß
Euer Carnifex
ich benötige eure Erfahrung.
Wie gestaltet ihr den Prozess Windows Update bei Servern.
Jeden Monat steht der Windows Patchday vor der Tür.
Wie läuft dies bei euch ab?
Installation noch am gleichen Tag / am Wochenende / in oder außerhalb der Produktiv Zeit?
Installiert ihr Grundsätzlich 1 Woche später um Microsoft Fehlern aus dem Weg zu gehen?
Snapshot bzw. Sicherung vorher?
Wie prüft ihr im Nachgang?
Automatische Updates?
SQL Server Update?
Ich bin auf eure Prozess Beschreibung gespannt
Danke für jeden Beitrag
Gruß
Euer Carnifex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7684128574
Url: https://administrator.de/forum/windows-server-update-best-practices-7684128574.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
7 Kommentare
Neuester Kommentar
Hi Carnifex,
1. für den WSUS eine Testgruppe und eine Produktivgruppe definieren
2. Unbedenkliche und benötigte Updates für die Testgruppe freigeben und eine Woche testen
3. Wenn keine Probleme aufgetreten sind für die Produktion freigeben
4. Automatische installation wird durchgeführt, reboot aber gesteuert zu Zeit x, wenn keiner arbeitet
( hier gibt es auch eine Möglichkeit über GPOs den automatischen neustart für Zeit x zu setzen
1. für den WSUS eine Testgruppe und eine Produktivgruppe definieren
2. Unbedenkliche und benötigte Updates für die Testgruppe freigeben und eine Woche testen
3. Wenn keine Probleme aufgetreten sind für die Produktion freigeben
4. Automatische installation wird durchgeführt, reboot aber gesteuert zu Zeit x, wenn keiner arbeitet
( hier gibt es auch eine Möglichkeit über GPOs den automatischen neustart für Zeit x zu setzen
Snapshot bzw. Sicherung vorher?
Backup läuft automatisch, einfach mit dem oben genannten automatischen Neustart kombinieren. Weder noch wurde aber in den letzten 10 Jahren benötigt.Wie prüft ihr im Nachgang?
Wichtige Services im sind MonitoringAutomatische Updates?
Größtenteils, je nachdem wie kritisch das System istSQL Server Update?
Immer separat, da hier mehr getestet werden muss.
Hi,
wir installieren am Wochenende nach dem Patchday die ersten Server. Und den rest an den 2 folgenden.
Haben keine Ressourcen und Kapazitäten für Testsysteme. Versuchen mögliche Probleme bei borncity oder bleeping computer mitzubekommen.
Installation und Neustart laufen automatisch per SCCM.
Backup läuft regelmäßig, Snapshot nein.
SQL händisch, da man hier doch öfter von Problemen liest. Allerdings haben wir hier noch einen Wildwuchs. Falls wir das irgendwann mal gradeziehen. Dann vll die auch automatisch.
wir installieren am Wochenende nach dem Patchday die ersten Server. Und den rest an den 2 folgenden.
Haben keine Ressourcen und Kapazitäten für Testsysteme. Versuchen mögliche Probleme bei borncity oder bleeping computer mitzubekommen.
Installation und Neustart laufen automatisch per SCCM.
Backup läuft regelmäßig, Snapshot nein.
SQL händisch, da man hier doch öfter von Problemen liest. Allerdings haben wir hier noch einen Wildwuchs. Falls wir das irgendwann mal gradeziehen. Dann vll die auch automatisch.
Zitat von @papapishu:
Hi Carnifex,
1. für den WSUS eine Testgruppe und eine Produktivgruppe definieren
2. Unbedenkliche und benötigte Updates für die Testgruppe freigeben und eine Woche testen
3. Wenn keine Probleme aufgetreten sind für die Produktion freigeben
4. Automatische installation wird durchgeführt, reboot aber gesteuert zu Zeit x, wenn keiner arbeitet
( hier gibt es auch eine Möglichkeit über GPOs den automatischen neustart für Zeit x zu setzen
Wir haben das genauso. Wobei wir im WSUS noch eine Gruppe mit "sensiblen" Servern haben, deren Updates wir, aufgrund eines 24/7 bzw. 24/5 Produktionsbetriebes nicht Nachts automatisch laufen lassen können. Da werden die Updates dann "kontrolliert" installiert und die Server neugestartet.Hi Carnifex,
1. für den WSUS eine Testgruppe und eine Produktivgruppe definieren
2. Unbedenkliche und benötigte Updates für die Testgruppe freigeben und eine Woche testen
3. Wenn keine Probleme aufgetreten sind für die Produktion freigeben
4. Automatische installation wird durchgeführt, reboot aber gesteuert zu Zeit x, wenn keiner arbeitet
( hier gibt es auch eine Möglichkeit über GPOs den automatischen neustart für Zeit x zu setzen
Bei sehr kritischen Patsches (z. B. Hafnium), wird von dem Standard abgewichen und schneller/ individueller eingegriffen.
Moin,
das muss man mit Sicherheit auch in Hinblick auf die Größe der Umgebung betrachten. Müssen Dienste wirklich 24/7 laufen? Redundanz vorhanden?
Wir haben eine eher kleine Umgebung, um die 25 Windows-Server. Das Wartungsfenster ist angekündigt. Die Updates laufen direkt Dienstag Abend nach Erscheinen und werden manuell begleitet. So kann eingegriffen werden, wenn etwas schief läuft und / oder man sieht, dass das Update nicht so ganz rund läuft. Backup ist vorher selbstverständlich gelaufen, Snapshots lassen wir bei DCs und Exchange mal schön sein. Bei ausgewählten anderen Systemen kann man das bei Bedarf machen, nutzen wir aber nur bei dezidierten Anwendungsupdates.
Mailarchiv macht Sinn, um ggf. ein "Mail-Delta" abzufangen, wenn etwas schiefgeht.
Tests danach: Eventlogs der wichtigsten Systeme checken, Funktionstests: Webdienste lassen sich noch aufrufen? Einloggen funktioniert? Outlook-Anbindung (intern und extern!) ist noch gegeben? Datenbanken laufen?
Am Morgen danach Check im Internet allgemein, bei Borncity und Reddit im Besonderen. Erneut Kontrolle Eventlogs.
Den Rest der Tests erledigen bei uns mangels Manpower die User, da fahr ich gern die MS-Schiene
Gruß
das muss man mit Sicherheit auch in Hinblick auf die Größe der Umgebung betrachten. Müssen Dienste wirklich 24/7 laufen? Redundanz vorhanden?
Wir haben eine eher kleine Umgebung, um die 25 Windows-Server. Das Wartungsfenster ist angekündigt. Die Updates laufen direkt Dienstag Abend nach Erscheinen und werden manuell begleitet. So kann eingegriffen werden, wenn etwas schief läuft und / oder man sieht, dass das Update nicht so ganz rund läuft. Backup ist vorher selbstverständlich gelaufen, Snapshots lassen wir bei DCs und Exchange mal schön sein. Bei ausgewählten anderen Systemen kann man das bei Bedarf machen, nutzen wir aber nur bei dezidierten Anwendungsupdates.
Mailarchiv macht Sinn, um ggf. ein "Mail-Delta" abzufangen, wenn etwas schiefgeht.
Tests danach: Eventlogs der wichtigsten Systeme checken, Funktionstests: Webdienste lassen sich noch aufrufen? Einloggen funktioniert? Outlook-Anbindung (intern und extern!) ist noch gegeben? Datenbanken laufen?
Am Morgen danach Check im Internet allgemein, bei Borncity und Reddit im Besonderen. Erneut Kontrolle Eventlogs.
Den Rest der Tests erledigen bei uns mangels Manpower die User, da fahr ich gern die MS-Schiene
Gruß
Moin,
Am Wochenende nachdem Patchday werden definierte Testsysteme aktualisiert.
In der Woche darauf werden automatisierte und noch ein paar manuelle Tests durchgeführt.
Ist alles in Ordnung wird am Montag und Donnerstag darauf die produktiven Systeme aktualisiert.
Gruß,
Dani
Wie läuft dies bei euch ab?
Am Mittwoch nachdem Patchday werden definierte DEV-Systeme aktualisiert.Am Wochenende nachdem Patchday werden definierte Testsysteme aktualisiert.
In der Woche darauf werden automatisierte und noch ein paar manuelle Tests durchgeführt.
Ist alles in Ordnung wird am Montag und Donnerstag darauf die produktiven Systeme aktualisiert.
Snapshot bzw. Sicherung vorher?
Nicht mehr wie sonst. Wobei Die Snapshots und Sicherungen natürlich auf dieses Szenario entsprechend abgestimmt sind.Automatische Updates?
Alle Jobs werden über ACMP abgebildet und gesteuert.SQL Server Update?
Wir mischen niemals Windows Server Updates mit Produkt Updates. Weil kommt es zu Probleme, hat man zwei Fehlerquellen. Was (unnötige) Zeit kostet für die Eingrenzung.Installation noch am gleichen Tag / am Wochenende / in oder außerhalb der Produktiv Zeit?
Regelarbeitszeit. Wichtige und kritische Systeme sind redundant ausgelegt. So dass der MA davon nichts merkt.Gruß,
Dani
Bei uns werden alle Sicherheitsupdates ein paar Tage nach dem Patchday automatisiert zwischen 1 Uhr und 5 Uhr (und damit nach der täglichen Datensicherung) installiert. Ohne manuelle Eingriffe. Funktioniert bislang so gut, dass wir das nicht ändern wollen. Die paar seltenen Nacharbeiten (mal ein paar Dienste neu starten) sind im Vergleich zum Aufwand für das manuelle Testen und Installieren vernachlässigbar. Würde ich so empfehlen, falls seltene Störungen einzelner Server keine Katastrophe sind.
Quote from @Dirmhirn:
Hi,
wir installieren am Wochenende nach dem Patchday die ersten Server. Und den rest an den 2 folgenden.
Haben keine Ressourcen und Kapazitäten für Testsysteme. Versuchen mögliche Probleme bei borncity oder bleeping computer mitzubekommen.
Hi,
wir installieren am Wochenende nach dem Patchday die ersten Server. Und den rest an den 2 folgenden.
Haben keine Ressourcen und Kapazitäten für Testsysteme. Versuchen mögliche Probleme bei borncity oder bleeping computer mitzubekommen.
Noch eine kleine Anmerkung, wo du die beiden erwähnt hast, vor Patch Release wird natürlich immer der aktuelle Patch Tuesday Megathread bei reddit durchgeschaut, ist immer oben angepinnt: https://www.reddit.com/r/sysadmin/