Tak ono to bude vzdy derave, s tim rozdilem, ze po aktualizaci se to navic jeste muze rozbit.
"Windows server", tam to zacina i konci...
Presne tak. Neviem si predstavit, ze teraz vypneme sluzby na serveri, a budeme cakat hodinu-dve, ci sa to nejako rozbehne a zaktualizuje. Hned potom treba prejst nastavenia, ci si nahodou windows nieco nepomenil (a dokonca vie menit aj bios :) cisty virus) a potom mozme skusat opatrne spustat sluzby, ci to pojde :) Toto je buducnost.
Co to je prosím za hloupost? To jsi viděl orchestraci Windows Serverů nějak z rychlíku, nebo vůbec, ne?Zaprvé, věci, které chci mít co nejvíce dostupné, jedou v HA, takže nějaký maintenance je nemůže ovlivnit.Za druhé, aktualizace na úrovni OS lze instalovat za běhu, takže netřeba vypínat služby.Za třetí, pokud mám něco kritického, tak k tomu mám i adekvátní testovací prostředí, kde si patchování, změny konfigurace apod. mohu rychle a bezpečně otestovat.Také je snad dnes běžná virtualizace, takže i případný rollback produkce snad není problém.Za další, bios je prehistorická věc, která už snad v žádném aktuálním hw není.A v neposlední řadě, budoucnost jsou věci, se kterými se spousta Windows adminů nesrovná, protože kontejnery, windows server core apod. Sotva něco naklikají a nejsou schopný se učit nové věci. Znám spoustu win adminů, ale počet těch opravdu schopných je rapidně nízký.Zdar Max
Doporucuji zmenit firmu. Jak pise pode mnou Max, v production prostredi by mela byt redundance a vse virtualizovano. Delame aktualizace pravidelne a co si vzpominam naposledy byl problem s nejakou emergency aktualizaci on-prem Exchange serveru (coz jsme meli z duvodu jednoho legacy systemu, uz nastesti nemame). Jsme stredni organizace s cca 400 Win VM serverama v Azure, 400 v HCI ve 2 komercnich DC a dalsich cca 200 v 50 pobockach. Ja jsem v Australii a jedeme podle Essential8 a NIST, nechapu jak - zvlaste v dnesni dobe - muze nekdo nepatchovat, kdyz vetsina security frameworks pozaduje otestovani a nasazeni patche do 48 hodin od jeho vydani.
Nerekl bych, ze je to nejak prekvapujici. Aktualizace serverovych Windows (typicky vzdalene) jsou adrenalinovy sport. Je to vzdy o zvazeni rizik.
V cloudu je kvm a v on-prem taktéž (iLO, iDRAC, IPMI apod.), takže server je pro admina vždy dostupný a vždy je cesta zpět. A s všudepřítomnou virtualizací je to ještě jednodušší.Zdar Max
Hromada ~blaznu provozuje Windows Server na HW bez HA a funkcniho KVM a to i ve strednich firmach... vetsinou je to chyba "adminu" ale take casto vedeni ktere nechce na takove veci pustit penize protoze to prece ted funguje :) ... vastne je docela uspech najit v male firme Windows Server s korektne nakonfigurovanym a monitorovanym RAID...
u windows serveru jedoucích na na fyzickem hw bez virtualizace je sebevrazdou udělat dálkově něco takového jako je aktualizace systému Windows.. muze se podelat tisice věcí. Existuje spousta firmiček a firem, které do počítačového vybavení nevrazí ani korunu navic "dokud to funguje". a IT si nechavaji spravovat dálkově externistou, kterého ale z důvodů "ostrahy" ani nikdy fyzicky nepusti k počítači.. Pokud jim k tomu "jede" firemni server na windows serveru bez virtualizace atd.. maj ohromny problém a ani to nevědí.. jako priklad mohu uvest kamaráda, ktery na podobnem stroji provozuje veškerý provoz vlastního eshopu.. a jeste par sluzeb pro klienty..😁😭😭😭 po upozornění mi řekl: Jsem inženýr a mi vystudovano IT. Neraď mi,jak mám vést svou firmu.. Ma pravdu.. Kazdy ma pravo si všechno podelat sam.. Provozovat firemni windows server pouze na Hw vrstvě se mi v době dnešních technologií a sofistikovanych útoků zdá poněkud neopatrné. Ja osobně mám na svým počítači virtualizovaný windows server a moc dobře vim proč.. v případě průšvihu můžu vždy vše rollnout zpátky a obnovit kopie.. mit to na jedinym hw systemu tak bych se podělal..
Pobočkové servery většinou nevirtualizujeme a update děláme běžně.Jako sebevraždu spíše vnímám nedělat aktualizace.Zdar Max
S druhou vetou naprosty souhlas. Ale u nas virtualizujeme i servery na pobockach, mame tam zhruba 3 VMs, kluci to sleduji vse z jedne konzole.
"Celých 99 % bez záplaty" ... jasne, administratori asi nikdy o aktualizacich doted neslyseli.
Jestli oni se nedrží prastarého administrátorského hesla "Když to funguje, tak neaktualizovat!" B-]
Tohle se da nekde typicky u prumysloveho jednouceloveho nasazeni, bez pripojeni do site (a i o tom by se dalo diskutovat). Zbytek je sileny hazard.
Aha, tedy zranitelnost skrze prohlížeč Chrome. To je tedy pro server smrtelné nebezpečí 😀
Hlavne chrome je uz v poslednych vydaniach sam o sebe operacny system. Totiz jednou definiciou operacneho systemu je, ze spravuje hardware. A chrome, ako najvacsia diera v systeme, ma pristup ku vsetkemu v pocitaci. Dokonca, aj napriek protestom, na mobile uz ma pristup aj ku vsetkym tym gyro a dalsim senzorom. A samozrejme, ziadny antivir alebo statistika co to robi. Len to viete domene povolit, alebo "zakazat". A je to urcite problem, pretoze na engine s chromu bezia aj electron aplikacie. Je pouzity na prekvapivo vela miestach.
Pro ty méně chápavé, je to jen příklad možného zneužití 😉.Zdar Max
Na chromiu je zalozeny Edge, ne? Nicmene, ten se nejspis updatuje pri spusteni.
Překvapuje to někoho? Celý koncept aktualizací ve Windows je katastrofa.. Člověk by musel prakticky 2x týdně celý server restartovat a to ještě několikrát v řadě, protože obvykle není možné instalovat všechny aktualizace najednou.. U takového Hyper-V je to fakt výhra a dodnes nepochopím, že jej někdo využívá.
Ono si stačí udělat jednou měsíčně záplatovací neděli.
Pan zjavne adminuje servery
Přesně tak. Při každé aktualizaci hypervizorů běžících na Windows Serveru se modlím, aby to vůbec naběhlo. Už x krát se mi stalo, že Windows Server byl po aktualizaci v bootloopu (5-10 minut "instalace" aktualizace, 5-10 minut následná "odinstalace" aktualizace, automatický restart a tak dokola. Bylo nutné dojet do serverovny a aktualizaci přes Nouzový režim odinstalovat...Případně po aktualizaci nefungovalo Hyper-V.. Fakt bomba, zlatý Linux.
To máte servery bez KVM, nebo jak si má člověk vysvětlit tu cestu do serverovny?Jinak vím, že u Hyper-V byl kdysi nějaký bug, že nešlo nahodit VM, ale jinak si nepamatuji, že by byl nějaký problém s aktualizacemi a nutným rollbackem. To bylo někdy před 10 lety?Zdar MaxPS: Hyper-V nepoužívám, jedu vmware a kvm (oVirt, Proxmox a čisté kvm, záleží, kde nasazuji)
Myslim ze hovori za vsetko to, ze aj microsoft na azure pouziva v prevaznej miere linux :)
Zákazníci Microsoftu používají na Azure primárně Linux. Nikoliv Microsoft. A Azure jako takový je postavený na Hyper-V, i když významně modifikovaném. Nedávno o tom byl článek na blogu Microsoftu a tě Hyper-V cloud core edici nebo jak se jmenuje, která já nainstalovaná na fyzických serverech v datových centrech Microsoftu.Nejdřív si o tom něco zjisti, než tu začneš šířit bludy 😊
Já bych se klidně vsadil že děravých je 100% serverů bez ohledu jestli běží na Win, Linuxu, nebo čemkoliv jiném. Jenom se u jisté části z nich o těch dírách neví. Zatím...🙂
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.