Windows-Updates, spez. Server, wann macht ihr das?

winacker
Goto Top
Hallo,
ich habe mir abgewöhnt, die monatlichen Updates auf den Servern zu machen - ich hole mir meinen Nervenkitzel lieber woanders.
Aber alle 3 Monate will ich dann doch, hab Angst wieder irgend so eine Seuche "zu verpassen".
Geplant hatte ich das für Januar, aber noch gewartet bis eigentlich diese Woche, traue ich doch den Leuten von MS, mit lausigen 35% Nettogewinn vom Umsatz gestraft und daher sicher auch kein Geld für eine QS-die-den-Namen-verdient, nicht über den Weg.
Und siehe da, mein freundlicher 3rd-Level sagt auf meine Nachfrage 'kann ich updaten' : 'um Himmels Willen nein, ausser du willst dauerbootende DCs und/oder kein HV mehr".

Ich kann euch gar nicht sagen was ich von MS halte...
Aber das ist off-topic.

Wie macht ihr das also, wartet ihr bis kurz vor dem 2.Dienstag des Folgemonats und traut euch dann?
Macht ihr umfangreiche Recherchen vorab..?

Help.

Content-Key: 1736760337

Url: https://administrator.de/contentid/1736760337

Ausgedruckt am: 18.05.2022 um 08:05 Uhr

Mitglied: SeaStorm
SeaStorm 18.01.2022 um 18:08:07 Uhr
Goto Top
regulärer Wartungstag alle 3 Monate, 2-3 Wochen nach dem MS patchday, ausser es gibt irgendwas wichtiges das halt eingespielt werden muss.

Problem-Updates von denen man was mitbekommt (/r/sysadmin hilft da!) werden halt erst mal ausgeschlossen. Sollte doch was passieren ... shit happens. Aber das gabs schon ewig nicht mehr.

Wichtiger ist wohl das man Updategruppen hat.
Bei Clients gibts halt ein paar auserwählte die die Updates direkt bekommen. Ein paar Tage später eine grössere Gruppe und dann alle.
Bei Servern sind ein paar C-Server die Testkandidaten vor dem Wartungstag. Server die man auch so einfach mal rebooten kann und bei denen es nichts macht, wenn sie mal ausfallen.
Es gibt bei uns an jedem Standort 2 DCs. Der jeweils zweite wird auch gleich aktualisiert. Der Primäre am Wartungstag.
Mitglied: Dani
Dani 18.01.2022 um 20:23:50 Uhr
Goto Top
Moin,
Wie macht ihr das also, wartet ihr bis kurz vor dem 2.Dienstag des Folgemonats und traut euch dann?
wir haben unsere IT-Systeme nach Wichtigkeit, Verfügbarkeit, Abteilung, etc. eingeteilt. Innerhalb dessen gibt es verschiedene Ringe. Sprich die Updates werden erst einmal auf Test oder/und unwichtigen Systeme installiert. Gibt es keine negative Rückmeldung innerhalb eines bestimmten Zeitraums erfolgt der Rollout im nächsten Ring. Und so geht das bis zum nächsten Patchday.

Macht ihr umfangreiche Recherchen vorab..?
Natürlich.


Gruß,
Dani
Mitglied: Vision2015
Vision2015 18.01.2022 um 21:01:28 Uhr
Goto Top
Moin..

Und siehe da, mein freundlicher 3rd-Level sagt auf meine Nachfrage 'kann ich updaten' : 'um Himmels Willen nein, ausser du willst dauerbootende DCs und/oder kein HV mehr".
wo er auch recht mit hat... :-) face-smile

momentan sehe ich nicht, was dringend ein Update braucht, und mit den neusten Fixen von MS, gegen das letzte Desaster bin ich noch etwas vorsichtig... erst mal testen, und sehen ob was neues lustiges dabei aufkommt!

also Füße stillhalten, und abwarten...

Frank
Mitglied: Coreknabe
Coreknabe 18.01.2022 aktualisiert um 21:36:03 Uhr
Goto Top
Moin,

spiele die Updates immer direkt am Patchday ein, da MS oft recht schwammig formuliert, was da gefixed wurde. Mir ist das Risiko eines Exploits zu groß, wir haben aber auch eine relativ kleine Umgebung. Und in meinem Fall war diese letzte Aktion jetzt der erste Fall in vielen Jahren, der ein Showstopper war. "Kleinere" Bugs wie Printnightmare haben uns glücklicherweise nicht so hart getroffen.

Die nachgeschobenen Patches teste ich dann die Woche eher vorsichtiger, haben drei DCs, einen nach dem anderen.

Muss man halt sehen, dass man eine Umgebung hat, in der sowas recht einfach rückgängig zu machen ist bzw. ein entsprechendes Backupkonzept.

Grüße
Mitglied: GrueneSosseMitSpeck
GrueneSosseMitSpeck 18.01.2022 aktualisiert um 23:24:39 Uhr
Goto Top
also ab einer bestimmten Unternehmensgröße baut man eine Testumgebung für sowas aus und testet die MS Patches dort mit alltäglichen Geschäftsprozessen und lebenswichtigen Tools durch. Wir haben z.B. 950 User und auf die läßt unsere IT die Windows Updates erst dann los, wenn sie ausgiebig getestet wurden. Was schon mal eine Woche Verzug bedeutet. Den ersten Printernightmare-Fix hat uns die IT z.B. erspart, da dessen üblen Nebenwirkungen in der Testumgebung gefunden.

Ausnahmen werden nur bei Zeroday Fixes gemacht.

Edit

Kunden von uns, die in die Cloud gegangen sind snapshotten in der Regel alles bevor sie mit dem Patchen anfangen (und keiner verläßt sich auf MS blind) wenn sie nicht die ressourcen für eine Testumgebung haben. Nach ein paar Tagen werden die Snapshots konsolidiert oder verworfen.
Mitglied: Dirmhirn
Dirmhirn 19.01.2022 um 00:39:50 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
Nach ein paar Tagen werden die Snapshots konsolidiert oder verworfen.

Alles per Sctipt?

Schaut ihr aktiv nach den Servern nach den Updates oder habt ihrauch Servicechecks im Monitoring?

Sg Dirm