使用 Microsoft Offline Virtual Machine Servicing Tool 來爲休眠虛擬機打補丁,既可確保休眠虛擬機隨時做好工作準備,又可避免補丁過時帶來的各種問題。
您不喜歡打補丁?我也不喜歡。打補丁似乎是一件吃力不討好的任務,而且不會帶來任何商業價值,這項任務就更顯得乏味。至少,除了可能避免將來出現某些未知災難的知識以外,沒有其他任何商業價值。
不,打補丁長期以來一直是 IT 世界的繁重工作。打補丁和補丁管理是工作時間後熬夜加班的一大原因,會導致:“對不起,親愛的,我不能回家吃晚飯了。”因此它招致我們所有人的仇恨。
但是,補丁管理在近期變得不再像以前一樣可恨。不久以前,要讓補丁一目瞭然,必須維護一個包含大量信息的電子表格,將每個補丁鏈接到其“MS”編號和“q”編號以及 Microsoft 重要性和我們公司的優先級。要跟蹤哪些補丁被其他補丁所取代,每個月至少要花半天時間才能完成。
隨着 Windows Server 更新服務 (WSUS) 的發佈,一切大有改觀。這種簡單而又超級省時的工具免除了打補丁過程中的大部分體力活。將 WSUS 與小型腳本結合使用,您甚至可以命令它立即對計算機打補丁,而不是等到下一個預定週期再執行(我有這個腳本。如果您想要一份,請訪問 concentratedtech.com)。
WSUS 的一項限制是,僅當您需要打補丁的服務器或臺式機確實開機之後,它的自動打補丁機制才能正常工作。如果計算機由於這樣那樣的原因必須關閉,則會使 WSUS 出現問題。這就需要補丁週期在第二天早晨重新開機後立即執行,否則管理員就得額外在頭天晚上找出有問題的計算機並將其開機。
到現在爲止,我們都知道 WSUS 的這項限制不是什麼大問題。如果在夜間補丁週期內,用戶的計算機處於關機狀態,則第二天早晨開機後會收到一條彈出式提示,並且補丁會自動開始安裝。甚至直到現在,服務器通常仍然是始終保持開機狀態的。這意味着,它們始終在運行,可以收到 WSUS 打補丁控制程序的指令。
更改組合隨着我們的數據中心向虛擬化的躍遷,這種令人愉快的靜態環境再一次發生了變化。虛擬化後,我們的服務器仍然會始終處於開機狀態。但是,這些虛擬服務器必須來自某個地方。對於我們中的大多數人而言,“某個地方”是通過克隆服務器模板來實現的。
服務器模板非常好用,因爲利用它們,我們只需很少的操作就能快速啓動新的服務器並將其聯機。它們還能確保每臺服務器開始投入使用時都具有相同的核心配置。當然,服務器模板也有缺點。儘管這些計算機很容易就能生成新服務器,但是模板本身不能直接投入使用。
服務器模板一般是存放在某個文件共享位置處的 VHD 文件。關機後,此文件就會處於休眠狀態。該文件與超大型的 Word 文件或 Excel 電子表格沒什麼區別。開機後,休眠的文件就會變爲一臺功能齊全的服務器,一臺能夠處理常規工作負載或者當今惡意軟件和其他***所產生的惡意工作負載的服務器。
簡言之,如果這些休眠的模板不打補丁,它們就有可能變成全新的惡意軟件爆發的根源 — 因爲它們很容易開機。
這引起您的重視了嗎?很好,因爲這是 Microsoft Offline Virtual Machine Servicing Tool(目前爲 2.1 版)的關鍵主題。這個免費的解決方案加速器將安裝一組自動化機制,可利用 WSUS 使您的非休眠虛擬機 (VM) 模板保持最新。
.png)
圖 1 脫機虛擬機服務的三個主要組件。
要了解其工作原理的要點,請查看圖 1。您會看到,承載了 System Center Virtual Machine Manager (VMM) 的服務器如何與某個共享庫、Hyper-V 主機和您的軟件更新管理服務器交互。更新管理服務器可以是 WSUS 服務器,也可以是可用的 System Center Configuration Manager (SCCM) 服務器。兩種服務器的過程基本相同。
Offline VM Servicing Tool 使用“維護作業” 來管理如何將更新部署到 VMM 庫內的虛擬機。這些維護作業是由 Windows 任務計劃程序處理的關鍵任務,它們將在預定義的時間啓動。
當維護作業可以激活時,它首先會從模板位置“喚醒”虛擬機。喚醒過程中要將虛擬機部署到 Hyper-V 主機上,然後開機。一旦該虛擬機開機,就會命令虛擬機內部配置的 Windows Update Agent (WUA) 開始軟件更新週期。
虛擬機 WUA 配置的設置方法,與您設置所有計算機時所採用的方法完全相同: 可以通過組策略應用程序完成,也可以通過在虛擬機內手動設置相應的配置來完成。您必須設置所有典型的 WSUS 配置,才能使此進程正常工作,例如,按照安全策略中的定義,更新服務位置、任何 WSUS 計算機組以及其他具體特徵。
當您成功更新虛擬機後,維護作業將把虛擬機關機,並將其返回到庫中。這個自動化的過程可確保您的虛擬機(以及基礎結構的其他部分)用正確的補丁進行更新。Offline VM Servicing Tool 不會自行添加任何更新管理配置,而是採用您已經爲 WSUS 或 SCCM 配置的現有設置。
事實上,要安裝 Offline VM Servicing Tool,需要執行一些步驟。如果您還沒有閱讀其相關的解決方案加速器指南,這些步驟對您來說還不是那麼明顯。此工具的 2.1 版感覺與其早期版本差不多。要安裝此工具,需要從 Microsoft 網站執行控制檯下載。要運行此工具,還需要再執行一個步驟:下載 PSExec 的二進制文件(包括 psexec.exe 和 pdh.dll),並將其複製到此工具的 bin 文件夾(位於 C:\Program Files\Microsoft Offline Virtual Machine Servicing Tool\bin)中。還需要爲 RemoteSigned 配置 Windows PowerShell 執行策略。
.png)
圖 2 Offline VM Servicing Tool 控制檯。
安裝後,其控制檯(如圖 2 所示)實際上僅識別虛擬機組,用於確定當時有哪些虛擬機已經打補丁。它還會識別維護作業,這些作業包含您的更新任務的特徵。維護工具也只對 VMM 庫中包含的虛擬機有效。這意味着任何已經關機且已經部署到 Hyper-V 主機上的虛擬機都不能使用該工具。
它能處理未使用專門模板的虛擬機,例如,在出現故障後或者在您需要更多服務器時,您已經準備好要聯機的任何熱備用虛擬機。在這些情況下,該工具建議對熱備用服務器使用輔助 NIC,並將其部署到隔離的網絡中。這有助於確保在您僅僅打算應用當前補丁時,不會意外讓熱備用服務器變成運行狀態。
Microsoft Offline Virtual Machine Servicing Tool 可能並不能完全滿足您的脫機打補丁需要,但是在您只需要使少量休眠的虛擬機保持最新狀態時,它便宜的價格、有限的功能就能有所幫助。考慮到手動打補丁的痛苦,以及如果不打補丁所帶來的影響,您就會理解監控所有處於休眠狀態但可能存在危險的虛擬機有多重要。