uwe-kernchen
Goto Top

Windows Update Aufwand steigt ins Unerträgliche

Hallo @all,

geht es nur mir so, oder steigt bei euch der Zeitaufwand für die Windows-Updates über die Schmerzgrenze?

Natürlich habe ich einen WSUS.
Und ich rede mal nur von den Server-Updates.
Die Server sind größtenteils virtuell (ESXi 6.5), und die Hardware ist potent.

Bei einer Firmengröße von ca. 15 Servern (Windows 2008R2 - 2016) ist bei mir der monatliche Update-Aufwand in gefühlt einem Jahr von ca. 1 Std. auf ca. 5 Std. gestiegen.
Und das ist kein Einzelfall, sondern bei allen Kunden ähnlich.

Dabei rechne ich noch nicht die Online-Recherchen im Vorfeld ein.
Ich warte immer 24 Std. nach der Freigabe und beobachte die ersten Feedbacks.

Die Updates brauchen teilweise extrem lange.
Einzelne Updates schlagen fehl und müssen im zweiten Anlauf installiert werden. (OK das war schon immer so)

Früher konnte ich den Server durchstarten und gehen.
Das ist inzwischen grob fahrlässig, weil regelmäßig Server hängen bleiben oder erst weiter booten, wenn ich mich auf die Konsole schalte.

Und selbst wenn der Server scheinbar problemlos wieder im Anmeldebildschirm steht, fehlen regelmäßig einige Dienste.
SQL-Server sind ein typischer Kandidat, aber aich andere Dineste müssen nochmal manuell angeschubst werden.

Bei Kunden ohne WSUS fliegen einen Tag nach dem Patchday die Netzwerkverbindungen weg.
Der Server "nötigt" die Benutzer, die anstehenden Updates zu installieren.

Vielleicht habe ich nur einen schlechten Tag,
aber ich finde diese Entwicklung sehr bedenklich.

Wie macht ihr das?
Habt ihr nachts auch nichts Besseres zu tun als Serverbildschirme anzustarren?

Gruß Uwe

Content-ID: 351678

Url: https://administrator.de/contentid/351678

Printed on: December 7, 2024 at 09:12 o'clock

kgborn
kgborn Oct 13, 2017 updated at 07:44:11 (UTC)
Goto Top
Bestätigt meinen Eindruck als außenstehender Beobachter. Speziell die sich in den letzten 24 Monaten häufenden größeren Bugs machen Nutzern und Admins das Leben nicht einfacher.

<ironie>Wir haben das alles noch nicht richtig verstanden. War nicht vor ca. einem Jahr die Aussage des Microsoft Managements, dass die Administratoren Microsoft einfach vertrauen und Updates automatisch durchwinken sollen - denn Microsoft wisse, was am Besten ist? Bin jetzt zu faul, die Zitatstelle in meinem Blog zu suchen. Und auf eine Konsole starren ist ja auch der falsche Ansatz - auch auf Windows Server halten jetzt bunte Kacheln Einzug, das ist doch jetzt alles viel unterhaltsamer geworden - erzählt Microsoft jedenfalls face-wink <ironie off>
Meierjo
Meierjo Oct 13, 2017 at 07:45:07 (UTC)
Goto Top
Hallo

Ich warte immer 24 Std. nach der Freigabe und beobachte die ersten Feedbacks.
Ich warte mit den Servern ca 1 Woche, bis ich die Updates installiere (kritische Updates eventuell früher, aber genau dann kann ist halt die Chance grösser, dass ein fehlerhaftes den Server in die Knie zwingt)

Die Updates brauchen teilweise extrem lange.
Spielt doch eigentlich keine Rolle, wie lange die Updates dahin rödeln
Auf den Workstations werden die Updates abends beim herunterfahren installiert (sollten dann bis am nächsten morgen schon fertig sein)
Auf Servern werden die Updates zu einer "Nichtarbeitszeit" installiert, danach kannst du sie ja per Task neu booten lassen

Einzelne Updates schlagen fehl und müssen im zweiten Anlauf installiert werden. (OK das war schon immer so)
Jo, aber wenn sie dann im 2. Anlauf installiert werden, ist doch alle in Butter

Früher konnte ich den Server durchstarten und gehen.
Das ist inzwischen grob fahrlässig, weil regelmäßig Server hängen bleiben oder erst weiter booten, wenn ich mich auf die Konsole schalte.
Bei kritischen Systemen (die sehr zuverlässig laufen müssen, oder vielleicht sehr exotische Hardware-Komponenten haben) kommst du sicherlich nicht drum rum, die Patches vorher zu testen. Ist doch auch dein Job, oder nicht??

Bei Kunden ohne WSUS fliegen einen Tag nach dem Patchday die Netzwerkverbindungen weg.
Der Server "nötigt" die Benutzer, die anstehenden Updates zu installieren.
Vielleicht per GPO die Windows Updates einige Tage deaktivieren??

Wie macht ihr das?
Grundsätzlich wird vor dem Installieren der Patches immer ein Image vom Systemlaufwerk gezeogen, welches im Fehlerfall wieder hergestellt werden kann

Habt ihr nachts auch nichts Besseres zu tun als Serverbildschirme anzustarren?

Doch, definitv face-smile

Gruss
Uwe-Kernchen
Uwe-Kernchen Oct 13, 2017 at 08:22:58 (UTC)
Goto Top
Auf Servern werden die Updates zu einer "Nichtarbeitszeit" installiert, danach kannst du sie ja per Task neu booten lassen
Gibt es eine "Nichtarbeitszeit"?
Die Downtime sollte möglichts kurz bleiben und immer unter meiner Kontrolle.

Das "danach" per Taskjob zu definieren halte ich auch für riskant,
weil einige Installationen wirklich Stunden laufen.
Und wie gesagt,- wenn die Server nicht zuverlässig wieder kommen ist der Automatismus sowieso hinfällig.
Auch die Installation im zweiten Anlauf ruft nach Handarbeit.

Bei kritischen Systemen (die sehr zuverlässig laufen müssen, oder vielleicht sehr exotische Hardware-Komponenten haben) kommst du sicherlich nicht drum rum, die Patches vorher zu testen.
"Kritisch" ist es erst mal immer, wenn früh der Chef kommt und irgend was geht nicht.
Es sollen auch nach dem Patchday immer ALLE Server laufen.
Ich kann schlecht simulieren, wie sich ein spezieller Server mit seiner Softwareumgebung bei einem Update verhält.
So gesehen ist jede Installation ein "Test".
Im Extremfall muß ich zurück rollen. Einen Snapshoot + Backup habe ich natürlich auch.
So weit ist es zum Glück bei mir lange nicht mehr gekommen.

Trotzdem wird das Patchen langsam eine eigene Planstelle. .-/
keine-ahnung
keine-ahnung Oct 13, 2017 at 08:31:33 (UTC)
Goto Top
Moin,
Ich warte immer 24 Std. nach der Freigabe und beobachte die ersten Feedbacks.
no pain, no gain face-smile!
Meine minimale Wartefrist sind zwei Wochen ... dann habe ich die Erfahrungsberichte von Probanden wie Dir face-wink

LG, Thomas
SeaStorm
SeaStorm Oct 13, 2017 at 08:57:24 (UTC)
Goto Top
Hi

also was Server angeht kann ich mich nicht beschweren. Hab schon seit Jahren keine Probleme mehr gehabt.
Ich warte 1-2 Wochen, bevor ich Updates freigebe.

Win10 Edition-Upgrades hingegen sind PITA erster Güte. Schlagen gerne fehl, dauern ewig, brauchen extrem viel Speicherplatz (windows.old) und produzieren viel extra Arbeit dank neuestem Candycrush, Xbox Diensten usw. Ein Glück habe ich kaum noch Geräte die einfach so installiert wurden. Der Rest wird per Image bedient.

Kunden ohne WSUS ... nunja ... als Verantwortlicher bist du hier in der Pflicht die Updates zu verzögern und so einzustellen, das die User nicht "genötig" werden. Die GPOs dazu sind ja bekannt.

Und nein. Ich starre nachts keine Serverbildschirme an. Ich konfiguriere das so, das dies nicht nötig ist face-smile
GrueneSosseMitSpeck
GrueneSosseMitSpeck Oct 13, 2017 at 08:59:28 (UTC)
Goto Top
Nun so Späßchen wie diesen hier (BSOD nach Windows Update) kann man nur mit einer sinnvollen Testphase begegnen...

BSOD "Inaccessible boot device" bei Oktober-Updates KB4041676 und KB4041691 in WSUS- und SCCM-Umgebungen

Bei uns im Unternehmen werden ab Patchday die Windows-Updates einen Monat lang getestet und dann ausgerollt. Und Clients, die mehr als 3 Monate keine Updates gezogen haben, werden vom Netz ausgesperrt...
vBurak
vBurak Oct 13, 2017 at 16:08:49 (UTC)
Goto Top
Hallo,

ich stimme dir 100% zu. Update Installation von Windows Server ist inzwischen ein Aufwand, der deutlich steigt und nervig ist.
Vor allem bei Server 2012 und 2012R2 habe ich das Gefühl, dass der erste Anlauf von Update Installation NIE funktioniert. Selbst wenn ich das System vorher neustarte und dann die Updates laufen lasse, schlagen mind. 50% der Updates fehl.

Bei Windows Server 2016 finde ich es noch nerviger, denn die "App", in der man die Updates einsehen und installieren kann, ist totaler Müll. Die Anzeige aktualisiert nicht, dann springt sie wild hin und her und manchmal zählt der Download auch runter anstatt hoch. Welche Updates installiert werden sollen, kann man auch nicht auswählen.

Wo informierst du dich wegen Update Probleme? Ich verfolge inzwischen den sysadmin Subreddit, denn dort ist ein Patchday Megathread und man wird eigentlich direkt am Patch Tuesday direkt informiert, falls irgendetwas nicht laufen sollte. Die ganzen Newsseiten und sogar Microsoft braucht länger, bis die reagieren:

Patchday Tuesday Megathread
Windows security updates broke 30 of our machines

Viele Grüße
Burak
XPFanUwe
XPFanUwe Oct 13, 2017 updated at 19:12:27 (UTC)
Goto Top
Ich gebe Dir zu 100% Recht! Updates bis W7 und auch noch 8.1 gehen noch. W10 ist voll die Katastrophe. Server 2012r2 auch noch OK, 2016 nicht berechenbar, hohe Ausfallzeiten wegen Updates. Office 2016 updatet sich so oft, als ob es sein Lebenssinn wäre.

Wenn man noch die Updates anderer Software einrechnet, wird das ganze unbeherrschbar. Einer der Gründe, warum IT selten voll gepatcht wird, es ist keine Zeit dazu und das Risiko zu hoch. Besonders W10 updatet sich gern in den Himmel.

Grundsätzlich wird vor dem Installieren der Patches immer ein Image vom Systemlaufwerk gezeogen, welches im Fehlerfall wieder hergestellt werden kann

Kenne hier keinen, der dazu Zeit hat.

Bei W10 /2016 hilft es ab und an, zuerst die Defender Patches zu installieren und dann erst den Rest.
MasterBlaster88
MasterBlaster88 Oct 14, 2017 updated at 15:06:46 (UTC)
Goto Top
Ich bin Serveradmin von einer großen Baumarktkette und administriere ca. 900 virtuelle und ein wenig mehr als 300 physische Server.
Momentan ist das OS Windows Server 2012.

Erstens: Haben wir eine Art Rollout im WSUS. Server werden per Zufallsprinzip in eine von 14 Gruppen aufgenommen.
Jeden Tag wird mindestens eine Gruppe mit einem Schwall von Patches versorgt. Es dürfen maximal 10 Windows Patches installiert werden in einem Lauf (Tag). Danach bootet der Server laut Zeitplan, falls erforderlich (siehe unten).

Zeitplan:
Mit GPOs lassen wir die Server in der "nicht Arbeitszeit" booten (ja die gibts wirklich, wenn du Ladebalken beim wandern zuschaust, muss das ja auch in der Nicht Arbeitszeit passieren)

Probleme, wenn Server nicht mehr hochkommen kamen vor, wurden aber genauestens überprüft und in der Testumgebung ausgemerzt.

Im Schnitt installieren / booten 2000 Server am Tag bei uns. -> weitgehenst keine Probleme -> immer "aktuell"!
Uwe-Kernchen
Uwe-Kernchen Oct 16, 2017 at 07:30:46 (UTC)
Goto Top
Ich informiere mich bei
Born City (sehr aktuell und praxisnah),
bei Heise Security
und natürlich bei Tante Google.

Gruß Uwe