Co se stane při aktualizaci 170PC s winxp z 0% stavu na 100%

20.3.2008 20:58 | Přečteno: 3205× | windows | poslední úprava: 22.3.2008 12:26

Jak jsem dopadl při pokusu plně zaktualizovat 170PC s winxp, které byly absolutně neaktualizovány a pěkně schovány za proxynou

Když jsem nastoupil do mého stávajícího zaměstnání, tak bylo ve firmě cca 170PC na winxp SP1/2. Tyto PC jsou pěkně schovány za proxynou, takže asi někdo z předchůdců nepovažoval za důležité ony PC aktualizovat a plátovat. Ono taky veskutečnosti ani u některých neměl možnost k plátování, jelikož neměly přístup k internetu. Čas plynul a najednou vuala, koupila se kupa licencí na server, takže volná to cesta k WSUS (windows server update services). Prostě a jednoduše řečeno, server sosá z netu aktualizace a lokální PC si je od něj stahují a tudíž nemusí mít ani přístup na internet.

První věcí, co jsem udělal, bylo googlování a pak také googlování. Dozvěděl jsem se věci jako třeba, že na server WSUS verze 3 je potřeba se připojovat vhodnou verzí update klienta, který musí být ještě vhodně zaplátován (stávalo se, že pokud klient nebyl zaplátován, tak po připojení na WSUS server vyskočil procák na 100% a byl konec :) ). Takže ve finále úkol nainstalovat na cca 170PC asi 3 aktualizace (aniž by si uživatel něčeho všiml).

# MMC Console v3 - nepodstatná aktualizace
windowsXP-KB907265-x86-CSY.exe /quiet /norestart

# Update agent verze 3, který se přihlašuje k WSUS
windowsUpdateAgent30-x86.exe /quiet /norestart /wuforce

# Oprava update agenta verze3, která řeší 100% využití procáku po připojení na WSUS 
windowsXP-KB927891-v3-x86-CSY.exe /quiet /norestart

Dále ručně updatnout všechny winxp s SP1 na SP2, aby to nedělalo neplechu.

Když už jsem měl vše vyřešeno, WinXP SP1 bylo pár a hromadnou instalaci oněh 3 záplat jsem vyřešil jednoduchým scriptem přes runscript z Novell Netware 5.1 (opravdu jsem si ho zamiloval :) ), tak jsem přistoupil k fázi č. 2, instalaci WSUS serveru. Server chtěl k životu IIS a myslím, že ještě možná něco. Napoprvé mi všechno pěkně běželo, až jsem se divil. Druhý den přišla ovšem záhadná chybka (přišel jsem do práce a wsus mrtvý), už nevím, co to bylo, ale řešení převzal zkušený kolega windowsák a pak jsem se jen trapně cítil, jaká to byla drobná chújovina :-/. Na serveru jsem pak nastavil aktualizace úplně všeho, driverů, office, atd. Prostě všeho SW, co jsme měli ve firmě a včetně i nepotřebných aktualizací jako je např novější verze WMP apod. Server si sosnul asi přes 5000 záplat, bylo toho několik GiB. Průvodcem jsem pak pročistil závislosti mezi záplatami a bylo vymalováno :).

Následovala jedna z nejtěžších fází, psychicky se připravit na spuštění scriptu, který nastaví na všech PC checkování aktualizací z WSUS serveru a naplánuje jejich aktualizaci na 10 hodinu ranní (ve firmě se PC na noc vypínají, takže spustit to před obědem se zdá býti dobrým nápadem). Tato psychická příprava, získat odvahu a spustit script mi trvala pár měsíců , ve které jsem mj. zkoušel sem tam nějaký PC zaktualizovat přes WSUS. Onen script jen zapisuje pár řádků do registrů :

# Do klíče :
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

# Hodnoty (řetězové):
"WUServer" "http://adresawsus:80"
"WUStatusServer" "http://adresawsus:80"

# Do klíče :
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

# hodnoty dword :
"UseWUServer" "1"   #použít pro aktualizaci wsus server
"NoAutoUpdate" "0"   #aktualizace jsou povoleny
"AUOptions" "4"   #Automaticky stahovat a instalovat aktualizace v nastavený čas
"ScheduledInstallDay" "0"   #instalovat aktualizace každý den
"ScheduledInstallTime" "10"   #v deset hodin dopoledne
"NoAutoRebootWithLoggedOnUsers" "1"   #zakázat automatický restart

Po oněh x měsísích jsem se odhodlal a řekl kolegovi, že jsme vlastně za tu dobu, co jsme spolu neudělali žádný velký průser a že se toho v poslední době moc nesere a daří se nám :). Nu, neváhal jsem tedy a zapojil jsem script na aktualizace do runscriptu Netware.

Seznam osudových chyb :

• Pokusit se zaktualizovat 170PC s winxp
  • ale, potřeboval jsem už krapet adrenalinu :)
• Zacheckovat ve WSUSu aktualizaci všeho
  • kdyby člověk průběhem několika měsíců postupně přidával typy aktualizací, tak by na něj prů**** nepadly najednou, ale stejně by si ho našly a uživatelé by potom měli pocit, že se nám to pořát se** :)
• Myslet si, že si uživatelé skoro ničeho nevšimnou a tak je netřeba informovat
• to si člověk myslí jen do doby, než zjistí, že některé PC vyžadují přes 160aktualizací

Největší potkané průtěry :

1) 10 hodina ranní se ukázala jako velmi nevhodná, takže časem byla posunuta na 12hod, kdy už opravdu většina lidí papká

2) lidi jsem měl informovat, někteří zaznamenali značné zpomalení PC, takže po hodině už toho měli plný kapky a pokusili se o restart v domění, že se zbaví záhadného zpomalení. Ovšem instalace aktualizací je nenechala restartovat a skončili na modré obrazovace s nápisem typu : "počkej, než se nainstalují aktualizace a pak se systém sám restartuje" a když tam 30minut čuměli, jak 31/120 poposkočí na 32/120, tak začli volat. Jediným způsobem, aby mohli pracovat bylo, tvrdý reset a dvě minuty strachu, zda mi to projde :). Vždy to naštěstí klaplo a win v poho naběhly :).

3) přechod na IE7 nám zaručil to, že cca 3PC ze všech byly nenávratně poškozeny a museli jsme je reinstalovat.

Dále se objevil problém se spuštěním IE7, kdy jen problikl a nespustil se. Nejrychlejším řešením bylo odinstalace IE7 a znovu jeho instalace (zřejmě v hafu záplat se IE7 trochu po). To se odehrálo asi na 6PC.
IE7 obsahuje základního průvodce, kterým je nutné projít, aby se už příště nezobrazoval. Tento průvodce je situován jako HTML stránka. Takže jsme přijímali hovory typu : nejde mi internet (jen málo lidí napadlo, napsat seznam.cz do adresního řádku a nečekat, až se načte sám, jak byli zvyklí)

4) myslím, že aktualizace zahrnující podporu XPS (což je MS náhrada za pdf) mohla za přenastavení defaultního nastavení tiskáren HP, takže se všechny najednou pokoušely tisknout na ruční podavač, což uživatelé pociťovali potvrzováním každé stránky na tiskárně (ono potvrzování bylo potvrzení změny tisku na jiný podavač). Toto se projevilo na řekl bych většině PC :-/.

5) Nová dokonalá možnost tisku od MS, která automaticky přizpůsobuje text velikosti papíru. Tato možnost je tak úžasná, že texty, které se dříve tiskly celé na A4 se najednou začly tisknout velmi drobně do rohu stránky. Řešením je vždy v tiskovém dialogu nastavit 100% velikost, která samozřejmě nejde klikáním uložit a tak příště musíme znovu nastavovat 100% atd. Toto řeší opět drobný zápis do registrů :

# do klíče :
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\featureControl\FEATURE_STF_Scale_Min

# hodnotu DWORD:
"iexplore.exe" "100"

Pokud to chcete nastavit i u outlooku, tak přidáte ještě hodnotu :

"outlook.exe" "100"

Závěr

Jak vidno, za dost věcí jsem si mohl sám. Nicméně abych pravdu řekl, tak jsem čekal větší potíže :). Krom zmíněných problémů mne dost štvalo, myslím si, že samotné uživatele mnohem více, aktualizace aktualizací. Po úspěšném nainstalování 160 aktualizací se vyrojí dalších 30, které opravují předchozí aktualizace a po oněh 30 se objevují další atd. Mezi nimi jsou potřebné restarty apod. Takže ve finále se jeden PC aktualizoval 14 a i více dní(připomínám, že se aktualizace nainstalovaly v 10h a až šel uživatel domu, tak vypl PC, čímž vlastně udělal potřebný restart k instalaci dalších aktualizací, které se provedly druhý den zase v 10h dopoledne atd.). Nyní jsme ve fázi, kdy je asi cca 140PC ze 170 plně aktuální a uživatelé jsou už v klidu :).

Nebýt Netware a možnosti takto pěkně spouštět scripty, tak nevím, jak bychom celou situaci zvládli. Vím, ještě AD umí spouštět scripty, ale to také ještě nemáme rozjeté. Další možností by byl nějaký hromadný wmic script, který by se připojoval přes wmi na vzdálené PC, ale na to jsou potřeba dvě věci : všude stejné accounty a hesla admina a všude zprovozněné wmi.

Dalším adrinalinovým bojem plánuji přechod uživatelů z admin práv na obyčejné usery :) (Ano, je to ostudné, ale za to já nemohu, tak už to prostě bylo v oné firmě před mým příchodem zavedeno :-/). Otázkou také je, zda nezavést rovnou Active Directory :-/. to by ovšem poté ztížilo v buducnu možnosti využití linuxu ve firmě a netware by na tom poté také nebylo moc dobře :-/.

Příště se asi rozpovídám o wmic, co to je, k čemu to je dobré a jaký je boj to vůbec smysluplně rozjet (zlaté ssh).
Také přemýšlím, že zveřejním svůj script, kterým zapisuji desítky věcí do registrů a tak udržuji a hromadně přenastavuji všechny PC ve firmě (spouštěné služby, nastavení prostředí, obrázků atd.). Pokud bude mít někdo zájem, nechť se ozve v diskusi.

Zdar Max
PS: Samozřejmě bych chtěl tímto také poděkovat svému kolegovi, který se mnou trpí mé výmysli :D        

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru