עידכוני מערכת

[כבר לא כל כך אדיש]

עידכוני מערכת

שלום, אני בקרוב אתחיל להיות אחראי על עידכוני שרתי החברה שלי. אני קורא שרצוי לבדוק אותם בסביבת בדיקה ורק אח"כ למשמש אותם, מדוע ? ההגיון שלי אומר שכל בעיה ספציפית שקשורה לחומרה או תוכנה ספציפיים לא תעלה בבדיקה על שרת הניסוי. לא עדיף לחכות לפידבקים ממנהלי רשתות אחרים למודי נסיון ? אשמח לקבל קישורים בנושא כמו כן דעתכם האישית. תודה

 

[פוֹלי]

זה תלוי בצורת העבודה שלכם.

אצלי יש יותר מ 15 שרתים שונים, ואין לי סביבת test בשבילם. כשאני צריכה לבצע עידכון לשרת, אני מגבה את השרת לגמרי ומבצעת את העידכון בלילה כדי למנוע מצב שבו העובדים ישבו בחוסר מעש בגלל שרת שעושה ריסטרט או בעיות שיכולות לצוץ. בלי שום קשר לזה - תמיד יכול להיות מצב שמה שעבד לך בסביבת ה test לא יעבוד בסביבת ה prod.

 

[כבר לא כל כך אדיש]

פרטים ...

שאלתי היא מה אם כך התועלת שתגיע מהרצת העידכונים בסביבת הנסיון ?

 

[פוֹלי]

אני עונה פה בשמי בלבד

כי מן הסתם יהיו פה חילוקי דעות. אם אני מדברת על ERP, אז אין ספק שצריך סביבת test לדוחו"ת חדשים והרצות של אפליקציות שמתווספות, כי פה אי אפשר לקחת את הסיכון שמשהו ישתבש. אבל בדוגמה הזו אין צורך בהתערבות היוזר שעל המכונה ברמת אירגון, מספיק לך שניים או שלושה אנשים שיריצו בדיקות על הטסט עד לאישור כדי להעביר את זה לסביבת עבודה רגילה. עידכון השרת הוא יותר ברמת השרת מאשר ברמת היוזר (אם כי משרת אח"כ את היוזר באופן שוטף), עידכוני אבטחה ו\או עידכוני גירסאות נועדו כדי לתחזק ולשפר את השרת. לי קצת קשה לחשוב על שרת test שעליו אני אריץ עידכונים, ואז אחבר יוזרים מסוימים אליו כדי לבדוק תקינות של העידכון. בשביל זה אני מגבה לגמרי שרת לפני עידכונים, אם רואים שמשהו לא מתפקד טוב - חוזרים למצב הקודם. (גם תחשוב כמה שרתי test תצטרך לשים...) בלי שום קשר ובלי לסתור את עצמי - כאשר יש לי התקנה של שרת חדש למען אפליקציה מסוימת, אני כן אריץ אותו באופן ניסיוני עם כמה אנשים בלבד לפני שאני משחררת אותו לכלל האירגון, פה זה כבר שיקול נקי שלי לגבי התחלה מוצלחת. וזו הדעה שלי בכל אופן

 

[antidot]

אוי וואייי ../images/Emo70.gif

כמה דוגמאות מהניסיון הדל שלי: 1) שרת Exchange שבהיותי חסר ניסיון וטירון בתחום החלטתי לשדרג אותו קלות עם עידכוני אבטחה... זוכרים מסכים כחולים על NT ? ראיתי כחול לילה שלם עד שהשתלטתי על העסק לקראת הבוקר כאשר למעשה הפתרון היה להחזיר את הקבצים המקוריים ששודרגו ידנית (ובNT זה לא היה כזה תענוג - ברוך יוצר ה ERD Commander) 2) שרת שהוא DC (אומנם בבית, אבל זאת סביבה שאני תלוי בה). בזמנו הרחבתי את הschema עם Services For Unix 2.0 extensions... (ולא התקנה מלאה של SFU). לא מזמן אני בא לצרף DC של 2003 לדומיין. למזלי פיתחתי הרגל בריא של איתור ברשת של מצבים דומים ובמה זה כרוך... מסתבר שהסכמה של SFU2 לא תואמת ל2003 ויותר גרוע שבמידה ויש Exchange מותקן, יש צורך בניתוח קיסרי דחוף לAD. אם הייתי מתקין בלי לבדוק, הייתי מקבל שני attributes במצב mangled (אחד מתנגש עם השני וAD משנה לאחד מהם את השם). שים לב לסיבוכיות הפתרון: http://support.microsoft.com/default.aspx?kbid=314649&product=winsvr2003 http://support.microsoft.com/default.aspx?scid=kb;en-us;293783 3) כמה פעמים יצא לכם לראות עידכון אבטחה שיצא עבורו עידכון ? לי כבר יצא כמה פעמים. במיוחד זכורים לי כמה מקרים בהם העידכון פשוט היה מפיל שרתים והפתרון היה הסרת עידכון (איזה כיף להתעסק עם DLL-ים בrecovery console ! ) לא יודע מה איתכם, אבל אצלינו לא מתקינים עידכונים עד שהם לא עברו את שלב הבדיקות. זוכרים את MS04-007 שעידכן את IE ? ידוע לכם כמה אפליקציות הפסיקו לעבוד אח"כ ? (ולא משנה שהמקור של הבעיה בגישה לא נכונה באפליקציה עצמה). דוגמא: יש אתרים שמאפשרים גישה לOutlook Web Access בעזרת simple authentication והיו אנשים שפשוט היו שומרים bookmark שכל את שם המשתמש והסיסמא. לאחר העידכון זה הפסיק לעבוד. לכו תסבירו לאנשים לא טכניים (ויותר גרוע: להנהלה) שהם לא יכולים יותר לגשת לOWA בלי להזין שם משתמש + סיסמא... בקיצר: אוי ואווי לכם... אין דבר כזה "עידכון שאני מתקין על DC שאינו משפיע על כולם". אם הוא משפיע על DC, הוא משפיע על כל מי שמשתמש בDC עבור קבלת שירות זה או אחר. כנ"ל שרתים.

 

[פוֹלי]

זה תלוי בכמה גורמים...

אצלי החברה לא יכולה לעצמה לרכוש שרתי test לכל שרת שיושב אצלנו ודורש עדכון. בגלל זה אנחנו עושים גיבוי מלא של השרת לפני שמתחילים לעבוד עליו (כל דרך גיבוי שעולה לך בראש אנחנו מבצעים) - ובגלל זה זה עבודות לילה - אם נתקלים בבעיה חוזרים אחורה. המילה השולטת פה היא כסף. ולא אמרתי ש "עידכון שאני מתקינה על שרת DC אינו משפיע על כולם", אלא בפשטות - העידכון הוא בראש ובראשונה בשביל השרת, שנותן שירות ליוזר (אבל לא הסברתי את עצמי כמו שצריך, ככה זה כשקמים מוקדם ביום שבת

)

 

[antidot]

---->

על התחנה שלי רץ לה בנחותה Virtual PC2004 (לצורך העניין זה יכול להיות גם VMWare) שמריץ DC שהוא חלק מ test forest... לא חייבים שרת פיסי בשביל לבדוק דברים. ואם תבקשי מהנהלה תקציב לאפליקציה ולא תקבלי, אני מציע לך לכתוב מכתב שמסכם למה צריך וכמה זה יעלה בצירוף סיפורי זווע מאינטרנט על התקנת SP כזה או אחר... ככה בפעם הבאה שיפול לך שרת בגלל העידכון, תוכלי ב17:00 (או כל שעה שמקובלת אצלכם) לקחת את הדברים שלך ולהגיד שאת ממשיכה לטפל בתקלה למחרת

 

[זיו25]

צודק מליון אחוז.

אצלנו מריצים בדיקות במעבדה, ובמידה שמדובר בעידכון למשתמשים, קודם כל אנו קוראים ברשת מה אחרים אומרים על העידכון הזה. לאחר מכן, מפעילים את זה על קבוצת ניסוי ואם הכל עבר בהצלחה - שולחים את זה לכל המשתמשים (ויש הרבה

) בברכה, זיו.

 

[כבר לא כל כך אדיש]

קריאת ים סוף

איפה ניתן לקרוא תגובות של אנשים על עדכונים ? תודה לכולם

 

[זיו25]

באתר הזה למשל

תוכל למצוא סריקות על המוצרים של מיקרוסופט, ועל מה שהתיקונים עושים (ולא עושים

) בברכה, זיו. האתר של וודי.