Hoi,

Ik ben gewoon eens benieuwd hoe andere Managed Hosting Providers hun maandelijkse windows updates doen.

Onze Windows Updates worden via wsus (proxy) binnengehaald en klaargezet op de windows servers. Daarna doen wij 1 keer per maand snachts na 12 uur inloggen op alle machines vervolgens met de hand updaten en rebooten.

Zoals je misschien begrijpt is dit een behoorlijk tijdrovende klus en niet altijd even prettig.
Zijn er hier providers die het anders doen?

Een klant maakt gebruik van System Center Configuration Manager (sccm).
Alle windows servers worden automatisch geupdate met de laatste updates en applicaties.
De updates e.d. worden geinstalleerd in een maintenance window, welke in dit geval is vastgesteld op elke zaterdagnacht van 04.00 t/m 08.00 uur. Erg makkelijk, en relatief weinig werk.

SCCM heeft overigens wel als uitgangspunt Active Directory, dus als het allemaal standalone systemen zijn wordt het al een stuk lastiger.

Een klant maakt gebruik van System Center Configuration Manager (sccm).
Alles servers worden automatisch geupdate met de laatste updates en applicaties.
De updates e.d. worden geinstalleerd in een maintenance window, welke in dit geval is vastgesteld op elke zaterdagnacht van 04.00 t/m 08.00 uur.

Netjes, SCCM werkt alleen als de servers in een AD hangen? Wij hebben niet alles in 1 AD hangen en volgens mij is het bij de meeste tools die dit leuk kunnen updaten een must dat het in AD hangt.

Netjes, SCCM werkt alleen als de servers in een AD hangen? Wij hebben niet alles in 1 AD hangen en volgens mij is het bij de meeste tools die dit leuk kunnen updaten een must dat het in AD hangt.

Ik weet zo niet of het ook werkt op standalone systemen, nooit getest eigenlijk...(nog nooit van toepassing geweest) Wel kan het systemen in een ander domein updaten, maar hier heb je voor zover ik weet wel weer een trust voor nodig.

waarom wsus/automatic update service niet gebruiken om alle critical en security patches 1x per maand geautomatiseerd te laten installeren op een met de klant afgesproken onderhoudswindow? icm goede monitoring is dit prima te doen en wsus ondersteund het onderscheid in patches.

Hier ook zoals Jeroen zegt met de automatic update service. Verder gebeurd het een en ander ook nog met de hand(helaas) , wat wel tijdrovend is.

Gelukkig is het merendeel linux , wat wel geautomatiseerd is:)

waarom wsus/automatic update service niet gebruiken om alle critical en security patches 1x per maand geautomatiseerd te laten installeren op een met de klant afgesproken onderhoudswindow? icm goede monitoring is dit prima te doen en wsus ondersteund het onderscheid in patches.

En dan gewoon de optie aanlaten die automatisch na update een reboot doet?

En dan gewoon de optie aanlaten die automatisch na update een reboot doet?

Klopt, automatisch patchen instellen om 04:00 (of 05:00) en dan laten gaan, beste kun je de monitoring dan tussen 04:00 en 04:15/30 uitzetten, mochten servers 15/30 minuten na het patchen nog niet online zijn dan is er een redelijke kans dat er echt wat aan de hand is.

Als je dit met iedere klant afspreekt dat bijv donderdagochtend tussen 04:00-05:00 een onderhoudswindow KAN zijn, dan kun je 1x per maand tussen die tijd je patches laten gaan. Keuze voor donderdagochtend is dat patches op dinsdagmiddag worden gereleased, dan heb je 2 dagen de tijd om eventuele fuck-ups van Microsoft tegen te houden. (fuck-ups vergelijkbaar met Mcafee die gister nog een verkeerde antivirus definitie heeft gereleased waardoor systemen na een reboot niet meer op komen ;))

Ik neem aan dat je wel weet hoe het zit, maar mocht je een registry bestandje willen die automatic patching aanzet op donderdagochtend 4 uur dan hoor ik het wel :) Die zet meteen de mogelijkheid om de instellingen buiten het register om te veranderen uit (dus je klant kan dit niet meer aanpassen).