Windows Server 2003 (IIS6)에서 24/7 웹 사이트를 실행중인 경우 Windows 자동 업데이트 기능을 사용 가능한 상태로 두시겠습니까, 끄시겠습니까?
사용하도록 설정하면 항상 최신 보안 패치 및 버그 수정이 제공되는 즉시 자동으로받으며, 이는 가장 안전한 선택입니다. 그러나 한밤중에 몇 분 동안 다운 타임이 발생하는 업데이트를 적용하기 위해 컴퓨터가 자동으로 재부팅되는 경우가 있습니다. 또한 기계가 올바르게 다시 시작되지 않아 가동 중지 시간이 길어지는 드문 경우가 있습니다.
자동 업데이트가 해제되어 있으면 언제 패치를 적용합니까? 여러 웹 서버와 함께로드 밸런서를 사용하고 프로덕션 사이트에서이를 교체하고 수동으로 패치를 적용한 후 다시 넣어야한다고 생각합니다. 호스팅 회사에서로드 밸런서를 관리 할 때는 논리적으로 불편할 수 있습니다. 또한 항상 최신 보안 패치를 갖지 않는 기계를 생산할 수 있으며 적용 할 패치와시기를 결정하는 데 시간을 소비해야합니다.
답변
짧은 대답입니다.
가장 좋은 시나리오에서는 최소한 상자를 vm / guinea pig가 있어야 패치를 테스트하여 세상을 파괴하지 않는지 확인할 수 있습니다.
최악의 경우 패치를 다운로드하지만 설치하지 않도록함으로써 설치중인 내용을 검토 할 수 있습니다. 그러나 나는 그런 식으로 제어 괴물입니다.
답변
컨센서스에 동의하지 않아야합니다.
“인간의 개입이 필요하다”고 말하는 사람은 점진적으로 생각하지 않습니다.
모든 것을 자동화하십시오.
어쩌면 이것은 자동 업데이트를 켜는 것을 의미합니다 (결과가 낮은 환경 에서이 작업을 수행함).
어쩌면 더 엄격한 것을 의미 할 수도 있습니다 (스테이징 환경을 자동으로 업데이트하고 올바른 작동을 위해 자동으로 유효성 검사 한 다음 프로덕션 환경에서 자동 업데이트를 트리거하는 경우). 관리자가 프로세스 상태를 볼 수 있도록 보고서 또는 전자 메일 알림을 사용해야합니다.
powershell 스크립트에서 Software Update Services (SUS)에 이르기까지이 자동화를 수행하는 방법에는 여러 가지가 있습니다. 특히 serverfault가 아닌 stackoverflow에 대해이 질문을했기 때문에 많은 자동화 작업을 수행하는 루틴을 개발하는 것이 좋습니다. 가능한 한 업데이트 프로세스.
그렇게하지 않으면 업데이트를 적용하지 않거나 부적절하게 적용 할 위험이 있습니다. 또한 나 같은 사람이라면 업데이트가 실패하고 업데이트 루틴에 의해 페이지가 표시되는 경우 푸른 달에 한 번 오전 3시에 깨우는 것을 선호하며 업데이트를 설치하기 위해 매월 오전 3시에 깨우지 않는 것이 좋습니다 낮은 결과 시간 동안.
물론 YMMV. 자신에게 가장 적합한 프로세스를 설계하되 너무 많은 불필요한 작업을하지 마십시오.
답변
프로덕션 Windows 서버의 경우 업데이트를 자동으로 다운로드하여 설치하도록 Windows Update를 설정 하지 않는 것이 좋습니다. 더 좋은 방법은 업데이트를 자동으로 다운로드하지만 수동으로 설치하는 것입니다.
이 방법의 장점은 다음과 같습니다.
-
설치하기 전에 제안 된 업데이트를 검토하고 필요한 경우 업데이트 설치의 의미를 조사 할 수 있습니다. 이것은 더 많은 일처럼 보일 수 있습니다. 그러나 적어도 당신은 통제 할 것입니다. Microsoft는 또한 다음 Windows Update에서 배포 될 업데이트 유형을 조기에 알려주 는
무료 메일 링리스트 를 제공합니다. - 웹 사이트 방문자에게 미치는 영향을 최소화하는 재부팅 시간을 결정할 수 있습니다. 웹 사이트가 단일 서버에서 실행되는 것처럼 보이므로 웹 사이트에 방문자에게 임박한 재부팅을 경고하는 배너를 표시하는 것이 좋습니다. 재부팅하기 한 시간 전에 나타나는 비슷한 것을 구현했으며 ‘웹 사이트는 유지 관리를 위해 x 분 후에 닫힙니다. 유지 보수 시간은 10 분을 넘지 않아야합니다. ‘
- 서버 재부팅을 수동으로 시작했기 때문에 재부팅 후 서버가 성공적으로 백업되었는지 확인할 수 있습니다. 그렇지 않은 경우 호스팅 제공 업체에 문의하여 문제를 해결할 수 있습니다.
기본적으로 모든 것이 제어에 관한 것이며 자동 다운로드 및 자동 설치로 많은 것을 얻지 못합니다 !!
답변
자동 업데이트를 허용하지만 WSUS를 통해 업데이트 할 수 있습니다. 이를 통해 자동으로 적용하려는 업데이트 클래스를 선택하고 선택할 수 있으므로 걱정하지 않는 퀴즈에 대한 방해를받지 않지만 가능한 빨리 Day 0 악용 패치를 얻을 수 있습니다.
나는 그것이 “업데이트 허용”과 “허용하지 않음”의 문제라고 생각하지 않습니다. 그건 그렇고, 단순히 당신이 취할 위험과 불편을 선택하는 것입니다. 업데이트가 자동으로 진행될 수있는 위험이 있으며, 그렇지 않은 경우 위험이 있습니다. 균형을 잡고 정보에 입각 한 선택을하십시오.
단계적 출시를 고려할 수 있습니다. 화요일에 릴리스 된 패치는 테스트 환경에 바로 설치되고 프로덕션 서버에 목요일에 설치 될 예정입니다. 예를 들어 테스트 환경에서 차단 또는 특정 패치 지연.
고 가용성이 그다지 큰 문제라면 어쨌든 패치 작업으로 인한 다운 타임을 보상해야하는 클러스터링 또는로드 밸런싱을 적절히 사용해야합니다. 결국 패치로 인한 가동 중지 시간이 언제라도 어느 한 상자에서 발생할 수있는 하드웨어 오류보다 마술처럼 나쁜 이유는 무엇입니까?
답변
우리는 서버에서 자동 업데이트를 활성화하지 않습니다. 데이터 센터에서 호스팅되었으므로 Google 애널리틱스에서 통계를보고 트래픽이 가장 적은 시간을 확인한 다음 해당 시간에 해당 사이트에 업데이트를 설치하도록 기술자를 예약했습니다. 이렇게하면 재부팅이 필요하거나 심각한 문제가 발생하더라도 Windows가 하루 중반에 업데이트를 다운로드 한 것처럼 많은 사람들에게 영향을 미치지 않습니다.
답변
여기의 다른 사람들이 이미 대답했듯이 : NO! 우리는 Systems Center Essentials를 사용하여 테스트 서버에 설치된 후에 만 프로덕션 웹 서버로 업데이트를 푸시합니다.
또한 MS에서 월별 업데이트 전자 메일을 받아 각 업데이트의 내용과 내용을 정확히 알 수 있습니다. 업데이트 된 내용과시기를 정확히 알고 있으면 문제 해결이 훨씬 쉬워집니다.
답변
기필코 아니다. 이 말도 안되는 일이 일어나지 않도록 어려운 방법을 너무 많이 배웠습니다. 안타깝게도 패치 및 업데이트 적용에있어 조금 더 게으름을 의미합니다. 그러나 지금까지, 나는 서버가 지금 당장 어떤 특별한 패치를 적용하지 않았기 때문에에 침입가 아직했습니다,하지만 난 한 , 또는 재부팅에 실패하여 불편 시간에 서버 재부팅으로 인한 수많은 두통이 있었다 패치를 설치 한 후 필수 서비스를 시작하십시오.
참고로, 우리는 서비스 제공 업체를 통해 5 개의 머신으로 구성된 새로운 클러스터를 얻었습니다.이 서비스 제공자는이 지역에서 매우 크고 유명한 ISP입니다. 우리가 관리자 계정을 가지고 로그인하여 소프트웨어 설정을 시작할 수 있었을 때,이 일반적인 첫 번째 작업이 이미 네트워크 sysadmins에 의해 관리되고 있다는 것을 알게되어 매우 기뻤습니다. 🙂