我有一个小型 AD 域,它由 14 个服务器组成 - 2 个 DC、文件服务器、Sharepoint 2010 服务器、sql 服务器等。
其中,DC 和文件服务器保持 24/7 全天候在线。其他服务器是开发环境,因此可以关闭没有问题。
我想知道修补这些服务器的最佳方法是什么?普遍的共识是手动修补 DC,这是有道理的。有人说在域中添加一个测试 DC 以在那里推出补丁,看看它们是否破坏了任何东西(这是一个新颖的想法,当然尽管有额外的成本)。
那么最好的更新策略是什么?这不一定意味着最好的软件,而只是最好的业务流程。
谢谢
最好的过程是适合您需要的任何过程。对于那几台服务器,我将它们全部设置为自动从 WSUS 下载批准的更新,但不安装它们。然后,我会手动修补它们。
对于更大的部署,我编写了远程启动自动更新的脚本,然后我登录到每台服务器并验证安装是否完成并手动重启。
您几乎永远不想完全自动化修补,包括重新启动,除非您在高度冗余的环境中处于非常大规模的环境中,如果节点没有弹出备份或成功更新也没什么大不了的。