您讨厌修补吗?我很讨厌,修补向来是吃力不讨好的工作,而且商业价值又很低,做起来更加无趣。当然,唯一的商业价值就是知道您可能可以避免未来发生不可预期的大灾难。
一直以来,IT 产业都将修补视为一份苦差事。它是熬夜加班,打电话说「亲爱的,抱歉,我赶不及回去吃晚餐了」的主要原因,修补及修补管理是我们避之唯恐不及的工作。
不过近来的修补管理已经不再像以前那么烦人。不久前,我们需要使用庞大的试算表,连结每个修补程式与修补程式的「MS」号码和「q」号码,并配合它的Microsoft 重要性与企业的优先顺序,才能做好修补工作。而追踪哪些修补程式要取代其他修补程式,每月则会耗掉至少半天的时间。
但随着Windows Server Update Services (WSUS) 的推出,许多这些缺点都获得改进。这个简单却神奇的省时工具免除了修补工作所需的大部分人力。利用WSUS 加上一点指令码,甚至可以指示它立即修补电脑,而无须等候下一次排程的周期(这个指令码还在;想要复本的话,请浏览concentratedtech.com)。
WSUS 有一项限制,就是它的自动化修补机制只有在您需要修补的伺服器或桌上型电脑处于开机状态才能执行。基于种种原因而必须关机的电脑会造成WSUS 的问题。此时就需要设定修补周期在隔日早上机器重新启动时立刻开始执行,否则系统管理员就必须在前一天晚上另行找出机器并启动它。
到目前为止,我们都晓得WSUS 的这项限制没啥大不了。如果使用者让机器在夜晚修补周期的期间关机,隔日早上启动机器时便会看到好意的球形通知,修补程式便会开始安装。即使在今日,伺服器通常还是会一直处于开机状态。这表示伺服器一直在运作,因此能够从WSUS 修补多载接收指示。
改变配方
自从资料中心转为虚拟化之后,这个轻松的静态环境又再次发生变化。一旦虚拟化之后,我们的伺服器仍然可能保持持续开机的状态。但是这些虚拟伺服器必须其来有自。对于我们大多数人来说,这个「有自」就是透过复制伺服器范本。
伺服器范本很棒,因为它可以帮助我们快速建立新的伺服器,然后用最省力的方法让伺服器上线。此外还能确保每一部伺服器都是从相同的核心组态开始运作。但伺服器范本也有黑暗面。虽然这些电脑在孕育新伺服器方面很称职,但范本本身并不应该赋予生命力。
伺服器范本是在某处的档案共用上以VHD 档案的形式存在。关闭时,此档案实际上处于休眠状态。它与大型的Word 档案或Excel 试算表相差无几。开启时,休眠档案变成完全运作的伺服器,它可以处理正常的工作负载,也可以进行现今恶意程式码的邪恶工作或其他攻击方式。
简言之,如果这些休眠档案未经过修补,就可能成为全新的恶意程式码发作的温床,而原因只不过是它们被启动了。
开始紧张了吗?很好,因为这就是 Microsoft Offline Virtual Machine Servicing Tool (目前提供 2.1 版) 的宗旨。这个免费的解决方案加速器会安装一组自动功能,目的是让原本为休眠状态的虚拟机器(VM) 与WSUS 保持最新状态。
.png)
为了掌握它的运作方式,请参阅[图1]。您可以看到装载System Center Virtual Machine Manager (VMM) 的伺服器如何与其中一个程式库共用、Hyper-V 主机,以及您的软体更新管理伺服器互动。此更新管理伺服器可以是WSUS 伺服器,或可用的System Center Configuration Manager (SCCM) 伺服器。无论使用何者,处理程序都差不多。
Offline VM Servicing Tool 使用所谓的「 服务工作」来管理在VMM 程式库中为VM 部署更新的工作。这些服务工作基本上是由Windows 工作排程器在预定时间开始处理的工作。
当服务工作准备好启动时,它首先会从VM 的范本位置「唤醒」VM。唤醒作业牵涉到将VM 部署到Hyper-V 主机,并启动它。一旦启动VM 之后,VM 内部设定的Windows Update Agent (WUA) 便会收到指示以开始软体更新周期。
VM 的WUA 设定方式与您为所有电脑所使用的设定相同。您可以透过群组原则套用,或在VM 内手动设定。您必须设定所有的典型WSUS 设定,这个处理作业才能顺利执行,例如设定更新服务位置、所有WSUS 电脑群组,以及您的安全性原则所定义的其他特定特性。
成功更新VM 之后,服务工作便会关闭它,并传回程式库。这项自动处理程序可确保您的VM (以及基础结构的其余部分) 都根据正确的修补程式进行更新。 Offline VM Servicing Tool 不会加入自己的更新管理设定,反而是依赖您已经为WSUS 或SCCM 建立的现有设定。
事实上,安装Offline VM Servicing Tool 需要采取几个步骤,如果您尚未读过相关的解决方案加速器指南,可能不太清楚这些步骤。虽然已经是2.1 版,但这个工具仍然像是早期发行的版本。安装这个工具需要从Microsoft 网站进行主控台下载。执行它则需要额外的步骤,就是将PSExec 二进位档案(psexec.exe 与pdh.dll 两者都要) 下载和复制到工具的bin 资料夹,位置是C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin。另外还必须针对RemoteSigned 设定Windows PowerShell 执行原则。
.png)
[图 2] Offline VM Servicing Tool 主控台。
安装之后,它的主控台(如[图2] 所示) 实际上只会识别虚拟机器群组来决定到时候哪些机器要接受修补。它也会识别服务工作,这些服务工作中包含更新工作的特性。此外,服务工具只会配合您的VMM 程式库内含的VM 运作。这意味着已经部署到Hyper-V 主机的已关闭VM 将无法使用此工具。
它会用于实际上不是范本的VM,例如您准备好在机器故障或需要额外伺服器时带上线的热备援VM。在此情况下,工具建议在热备援伺服器上使用次要NIC 并部署到隔离网路。这么做可确保当您只想要套用最新修补程式时,不会发生热备援开始运作的意外。
Microsoft Offline Virtual Machine Servicing Tool 可能并非满足您所有离线修补需求的全方位解决方案,但是这个工具经济实惠而且功能单纯,如果您只想让某些休眠VM 维持最新状态,它可以派上用场。考虑到手动执行更新作业的痛苦,再加上错失修补程式可能造成的影响,您就能了解密切掌握所有休眠中但具有潜在危险的VM 有多么重要。
本文来源:微软TechNet中文站
