Вопрос: SCCM: Zoinks ... Тайное обслуживание Windows


Что я пытаюсь сделать?

У нас есть несколько клиентов SCCM, в основном публично работающих на веб-сайтах под управлением Windows Server 2008 R2 IIS 7.5, которые контролируются системой под названием Xymon, Недавно мы заметили, что эти серверы перезагружаются после установки их ежемесячных обновлений Windows примерно на час раньше. Существует определенная сумма задержки, присущая действиям клиента SCCM и системе мониторинга, но XYmon теряет связь с этими машинами примерно в 19: 20-19: 30, тогда как остальные контролируемые машины, похоже, перезагружаются примерно через час около 20: 20-20: 30.

Окно обслуживания, которое, как я ожидаю, будет применено, начнется в 20:00 и закончится в 22:00 и повторится каждый четверг.

Я пытаюсь понять, почему эти машины устанавливают свои обновления на час раньше. Я знаю, что несколько поддерживающих Windows «объединены» или объединены, поэтому я подозреваю, что есть еще одно окно обслуживания, которое также применяется к этим клиентам.

Эти машины также находятся в DMZ, не связанной с доменом, поэтому я не собираюсь исключать любые проблемы с часовым поясом / часами.

Что я пытался сделать, чтобы это произошло?

Я полагал, что проблема с часовым поясом / часами была наиболее вероятной, но обе машины находились в правильном часовом поясе, имели синхронизированное время и смогли обработать изменение летнего сбережения, которое произошло 8 марта соответственно.

Моя следующая гипотеза заключается в том, что у нас было странное или старое окно обслуживания, которое применялось к коллекции, в которой находились эти машины. Мне это кажется маловероятным, поскольку есть еще одна машина, которая должно быть все те же коллекции, которые перезагружаются в правильное время 20: 00-иш.

Давайте убедиться, что клиент действительно перезагружается, когда система мониторинга говорит, что это так!

Если я проверю клиента, systeminfo показывает время загрузки в 19:22. Журнал событий, похоже, сотрудничает с этим:

Log Name:      System
Source:        USER32
Date:          3/12/2015 7:21:02 PM
Event ID:      1074
Task Category: None
Level:         Information
Keywords:      Classic
User:          SYSTEM
Computer:      HOST09
Description:
The process C:\Windows\CCM\CcmExec.exe (HOST09) has initiated the restart of computer HOST09 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
 Reason Code: 0x80020001
 Shutdown Type: restart
 Comment: Your computer will restart at 03/12/2015 07:21:02 PM to complete the installation of applications and software updates.



Перезагрузился ли он из-за обновлений Windows SCCM?

Если я копаю UpdatesHandler.log ответ - большое старое «да»:

Initiating updates scan for checking applicability. UpdatesHandler  3/12/2015 7:00:00 PM    6472 (0x1948)
Successfully initiated scan.    UpdatesHandler  3/12/2015 7:00:00 PM    6472 (0x1948)
Updates scan completion received, result = 0x0. UpdatesHandler  3/12/2015 7:00:00 PM    8396 (0x20CC)
Initiating updates scan for checking applicability. UpdatesHandler  3/12/2015 7:00:02 PM    10160 (0x27B0)
Method (Apply) called from SDM. UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Starting job with id = {7DD179F1-1B94-4ADB-A5F1-08E9A000709F}   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Successfully initiated scan.    UpdatesHandler  3/12/2015 7:00:02 PM    10160 (0x27B0)
Updates scan completion received, result = 0x0. UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Initiating Scan. Forced = (0)   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Successfully initiated scan for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Scan completion received for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).  UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Evaluating status of the updates for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).  UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Initiating download for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).   UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Bundle update (038c4fc9-664f-45e5-b838-f7263ffc4512) is requesting download from child updates for action (INSTALL) UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)



«ServiceWindowManager.log» показывает, что это окно обслуживания было применено в 19:00:

Active Service Windows List has 1 windows   ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)
    Service Window with ID = {F51051BF-90E8-4ED7-BA06-F74F9E74A098} having Starttime=03/12/15 19:00:00  ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)
        Duration is 0 days, 08 hours, 00 mins, 00 secs  ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)



Хорошо ... Откуда появилось окно обслуживания?

Немного SQL должен показать мне все окна обслуживания, применяемые к определенному клиенту SCCM:

select
v_FullCollectionMembership.Name as Computername ,v_Collection.Name as CollectionName,
v_ServiceWindow.Description as "Next Maintanance Window"
from v_ServiceWindow 
inner join v_FullCollectionMembership on (v_FullCollectionMembership.CollectionID = v_ServiceWindow.CollectionID)
inner join v_Collection on (v_Collection.CollectionID = v_FullCollectionMembership.CollectionID)
order by Computername


и я получаю следующие результаты:

Computername    CollectionName  Next Maintanance Window
HOST09  Default Maintenance Window  Occurs on 9/15/2013 1:00 AM
HOST09  Weekly Maintenance Window - Thursday    Occurs every 1 weeks on Thursday effective 11/1/2013 8:00 PM



Немного объяснения в порядке: все наши клиенты SCCM принадлежат к коллекции, которая получает окно обслуживания по умолчанию, которое встречается только один раз и в прошлом. Это предотвращает изменения членства в коллекции и несвоевременные запросы политики клиентов от того, чтобы клиенты, которые отменяли действие, немедленно выполняли их. Тем не менее, поскольку Окна обслуживания «объединены», окно Еженедельного обслуживания должно применяться ... в 20:00.

В ожидании я сбросил все коллекции, в которых находился этот клиент, а затем отправился и проверил, есть ли у них Служба поддержки Windows:

SELECT dbo.v_Collection.Name 
FROM dbo.v_FullCollectionMembership INNER JOIN dbo.v_Collection ON dbo.v_FullCollectionMembership.CollectionID = dbo.v_Collection.CollectionID 
WHERE (LOWER(dbo.v_FullCollectionMembership.Name) = LOWER('HOST09'))


Короче. Они этого не делают.

Какие результаты вы ожидали?

Я действительно ожидал увидеть коллекцию, в которой было применено к ней окно обслуживания, которое началось в 19:00, и если мой SQL не плох, и я пропустил его, я думаю, что это не то, что здесь происходит.

Тот факт, что на час раньше действительно на самом деле также склоняет меня к мысли, что это может быть проблемой с часовыми поясами или перекосом часов, но это тоже ожидается.

Я по-прежнему считаю, что мои гипотезы достойны и не были опровергнуты, но я не знаю, как собрать больше информации, чтобы принять решение о них. Любые идеи о том, как я должен продолжить устранение неполадок?

Есть ли еще что-то еще? Что это может сделать другое?




РЕДАКТИРОВАТЬ:

Я проверил Группу обновления программного обеспечения для обновлений программного обеспечения этого месяца и установлен срок для 03/10/15 в 20:53 но поведение крайних сроков для действий, выполняемых вне окна обслуживания, отключается как для установки обновлений программного обеспечения, так и для перезапуска системы.

Что касается текущего времени на ящике, похоже, что он действительно выглядит нормально, но я просто проверяю дату и время на панели управления:

Date and Time Dialog


6
2018-03-13 18:46


Источник


Jinkies! Это была потрясающая ссылка Shaggy в заголовке вопроса! :) - joeqwerty


Ответы:


I Have No Idea What I'm Doing


Как и большинство System Center Configuration Manager, я уверен, что есть вполне логичные причины, почему все так, как они есть, но как сдержанный техник. Я также уверен, что никогда не пойму, почему.

Я проверил с помощью Policy Spy Набор инструментов System Center 2012 R2 Configuration Manager  и снова подтвердил, что, да, я получаю две поддерживающие Windows, которые я ожидал найти, за исключением того, что F51051BF начинается на час раньше, чем следует:

CCM Service Window


Если я сопоставляю этот список со всеми доступными окнами обслуживания, я нахожу идентификаторы ServiceWindow точный Обслуживание Windows, которое я ожидаю увидеть, и пока оно отсечено на скриншоте F51051BF действительно начинается в 20:00:

SELECT * FROM v_ServiceWindow
ORDER BY ServiceWindowID


Results of the above SQL Query


Что касается машины, на которой работает тот же Windows, который работает как ожидалось (то есть окно обслуживания начинается в 20:00):

Biggest Active Service Window has ID = {F51051BF-90E8-4ED7-BA06-F74F9E74A098} having Starttime=3/5/2015 7:00:00 PM  ServiceWindowManager    3/5/2015 10:00:00 PM    68400 (0x10B30)


Подождите WUT? Эта строка была из ServiceWindowManager.log другого клиента, и она, несомненно, считала, что 19:00 - подходящее время для начала. Я проверил несколько других. Угадай, что. Ни одного упоминания о F51051BF-90E8-4ED7-BA06-F74F9E74A098 начиная с 20:00 ... но если я посмотрю на то, что указано в базе данных И в консоли Configuration Manager, чт. Окно ночного обслуживания указано в начале 20:00.

Zoinks! Это не тайное окно обслуживания! Это замаскированное окно обслуживания!

Похоже, что по какой-либо причине F51051BF настроен на запуск в 20:00. Консоль Configuration Manager сообщает, что и база данных но если я посмотрю на несколько клиентов, пойдите в 19:00, а другие в 20:00.

Два WAG (Wild Ass Guesses): 1) У нас есть старые машинные политики, висящие на ранее реализованном сайте ConfigMgr 2007. или 2) политика обслуживания окон изменилась с 19:00 до 20:00 в какой-то момент, и не каждая машина получила новости. Без разницы. Я понятия не имею, что я здесь делаю.

разрешение

Я создал новое окно обслуживания для замены F51051BF и назначил его соответствующей коллекции. Я ждал час или два, чтобы клиенты делали свою политику и догадывались, что:

Service Window with ID = {D047CD9F-25E4-4EDC-95E3-44E971E234FA} having Starttime=3/19/2015 8:00:00 PM   ServiceWindowManager    3/16/2015 12:13:41 PM   15500 (0x3C8C)

Тайна решена? На самом деле, нет. Задача решена? Более-менее ... жуткий?



Shaggy and Scooby


4
2018-03-16 23:00





Это началось как комментарий, но здесь говорится:

Скрытые окна обслуживания

Вы можете преследовать красная селедка со скрытым окном обслуживания я не уверен. Пока, давай притворимся, что ты есть.

Сроки подачи объявлений

Дважды проверьте рекламу на обновление программного обеспечения и убедитесь, что нет за пределами ваше окно обслуживания, b / c, обновления, вероятно, будут установлены за пределами окна в этом случае. Крайний срок, 1900 часов, само собой? Я бы сначала это проверял.

https://technet.microsoft.com/en-us/library/gg682168.aspx https://technet.microsoft.com/en-us/library/hh508762.aspx

Кроме того, если вы разворачиваете другой пакет и отмечаете его только для развертывания внутри окна обслуживания, что поможет уменьшить его.

Который сейчас час?

Вернемся к вашей красной селедке. Журналы показывают это мог на самом деле, это окна обслуживания. В каком часовом поясе находятся серверы? Какой часовой пояс установлен и какое время отображается на сервере? Помните, что DST только что произошло, и ваши машины, возможно, не получили записку, чтобы вернуться вперед.


1
2018-03-13 19:08