Windows VMs sollten auch in Azure möglichst 24/7 laufen können, um jederzeit produktive Dienste anzubieten. Die Installation von Windows Updates führt jedoch zu Unterbrechungen, diese sind wiederum unerlässlich um Sicherheitslücken zu schließen.
Daher ist der bessere Ansatz die Zeiten für die Installationen vorzugeben und diese eben auf die Zeiten zu legen, bei der kein erhöhter Bedarf erwartet wird. Wird Zugriff auf ein Windows System benötigt, welcher nur aus einer zeitlichen Zone erfolgt, ist eine Update-Installation mit Neustart um 4:00 Uhr weniger störend als um 14:00 Uhr.
Auch bei redundanten loadbalanced Systemen sollten die einzelnen Maschinen unterschiedliche Update-Zeiten (Tag und Uhrzeit) erhalten, damit immer nur eine Maschine updated.
Im Folgenden wird gezeigt, wie mit Azure Windows VMs die Microsoft Update Zeiten koordiniert (orchestriert) werden können.
Azure bietet zwei Optionen für das Orchestrieren der Windows Updates:
Nachfolgend wird die Konfiguration über „AutomaticByOS“ erläutert.
Hierzu wird nur die Azure Resource Group (g) und der Name (n) der Windows VM benötigt.
Abfrage Kommando:
az vm get-instance-view -g <resource-group> -n <win-vm-name> | ConvertFrom-Json | Select-Object -expandProperty "osProfile"| Select-Object -ExpandProperty "windowsConfiguration"
HINWEIS
Die enableAutomaticUpdates Eigenschaft kann man NICHT nachträglich aktivieren, daher verbleibt nur noch eine Neuprovisionierung der Azure Virtual Maschine, wenn man dieses Feature nutzen will.
Ist hingegen enableAutomaticeUpdates auf „True“ gesetzt, der patchMode aber auf „AutomaticByPlatform“, lässt sich dies über die Azure CLI anpassen.
AZ VM patchMode Update Kommando:
az vm update --resource-group <resource-group> --name <win-vm-name> --set osProfile.windowsConfiguration.enableAutomaticUpdates=true osProfile.windowsConfiguration.patchSettings.patchMode=AutomaticByPlatformDie Einstellungen werden über zwei Group Policy Objects (GPOs) vorgenommen.
Configure Automatic Updates: Hier finden sich verschiedene Optionen zum planen von Windows Updates.
Pfad im Group Policy Object Editor:
Computer Configuration > Administrative Templates > Windows Components > Windows Update > Configure Automatic Updates
Diese Richtlinie muss „enabled“ sein.
Die Option 4 sorgt dafür, dass Updates automatisch gedownloaded und installiert werden zur vorgegebenen Zeit.
Bei den Zeiten kann man den Wochentag, die Uhrzeit der Installation und ob diese Tage/Zeiten jede Woche im Monat oder nur in bestimmten Wochen des Monats ausgeführt werden soll. Zusätzlich können Updates von Microsoft Produkten gleich mit berücksichtigt werden z. B. Visual Studio.
Always automatically restart at the scheduled time: Diese Option ist wichtig, damit auch tatsächlich ein Neustart ausgeführt wird und z. B. etwaige User die noch eingeloggt sind abgemeldet werden, damit diese nicht den Neustart blockieren.
Hier wählt man den mindestwert von 15min.
Diese Policy findet sich unter:
Computer Configuration > Administrative Templates > Windows Components > Windows Update > Always automatically restart at the scheduled time
Per default wird die Feineinstellung hier bereits ausreichen. Wie bereits erwähnt, steuert der Windows Update Service die Ausführung der Updates, dieser Service muss dementsprechend laufen und das unter dem Startup Type „Manual“ (default Typ).
„Manual“ bedeutet dabei nicht, dass der User die Windows Update manuell starten muss, sondern lediglich dieser Service manuell getriggert werden kann z. B. über unsere GPO.
Die Option „Automatic“ unterscheidet sich lediglich darin, dass der Windows Update Service zusätzlich automatisch einmal gestartet/getriggert wird beim Startup des Systems.
Zu finden unter Services:
Die Einstellungen müssen den folgenden entsprechen:
Das wars, Updates sollten jetzt termingetreu installiert werden.
Neustarts kann man dem Event Viewer entnehmen (Windows Logs > System) und hier die Events mit der ID 1074 prüfen.
Mit der Konfiguration von lediglich 2 GPOs lassen sich die Installationen und Neustarts, ausgelöst von Windows Updates, effektiv steuern.
So lässt sich mit wenig Aufwand das Aufkommen von ungewünschten Downtimes reduzieren. Diese Konfiguration benötigt keine zusätzlichen Dienste, Ressourcen oder Personenaufwand und stellt gleichzeitig sicher, dass Sicherheitsrisiken minimiert werden.
Da diese Lösung Windows nativ ist sollte sie auch für viele weitere Umgebungen funktionieren (Verifiziert innerhalb von azure- und aws-Umgebungen).
Melde dich gerne.
Zum detaillierter Updateprozess hast du weitere Fragen. Dann melde dich gerne bei mir
MATTHIAS BRAUN | Cloud Architekt
