基於上篇文章我遇到的問題http://spoonwpa.blog.51cto.com/1289103/723580 我回頭想了想,做了一下操作來避免更新所帶來的問題,拿出來和大家分享一下。
第一,我在AD上新建了一個OU,名爲Servers OU,在此OU下新建兩個子OU分別爲Windows Servers 和Linux Server
第二,我對應的把所有Windows服務器的computer都move到Windows Servers OU下,Linux也是如此
第三:新建一個GPO1,並apply到Windows Server OU ,其中GPO1 的相關內容如下:
1.computer configuration-policies-administrative temlates-windows components-windows update-specify intranet microsoft update service location (修改此policy,指定update走公司的WSUS服務器,不走公網)
2.computer configuration-policies-administrative temlates-windows components-windows update-automatic update detection frequently (修改此policy,讓服務器沒隔一個小時check update)
3.computer configuration-policies-administrative temlates-windows components-windows update-configurate automatic updates(修改此policy,選擇提示下載並提示安裝,總之安裝服務器更新必須admin手動安裝,同時要有人在場,這樣子才能保證安裝更新後,確保該服務器上的服務正常)
4.修改此2條policy能讓你的服務器被登錄時有提示。
這樣子弄完後,以後所有windows的服務器join domain後的計算機賬戶都移動到此OU中,他們就會自動執行此GPO,這樣子我們更好的避免服務器由於在晚上打更新時出現的各種問題。同時對於沒加域的服務器(比如在DMZ中的TMG,EDGE等)我們只能 手動進行修改,修改如下:順便提一下,對於新裝完系統的服務器windows server,大家務必記住必須update 到最新纔開始裝其他的應用,因爲有些服務,比如exchange 當你係統更新不是最新時 你裝了exchange ,裝完後再打系統更新,exchange就可能出現各種各樣的問題,然後你在裝exchange 之前要是把OS的更新打到最新了,那裝exchange 和後期出現的問題就會少很多
