Es ist wieder Microsoft-Patchday. In den verschiedenen Foren und Kommentaren1 häufen sich die regelmäßigen, echt peinlichen Nachfragen von verängstigten Administratoren: Wer hat’s schon installiert? Gibt’s Probleme? Irgendwelche Totalausfälle?
Leute! Wenn die Updates eines Software-Lieferanten derart kritisch für Eure Infrastruktur sind, dann mitigiert das weg! Was ist Euer Job-Title nochmals? Wald-Wiesen-Windows Fensterschubser?
Hier ein Impuls zum selbständig Denken und Handeln. Wie immer ohne Anspruch auf Vollständigkeit und Allgemeingültigkeit. Your milage may vary.
Wenn die Risikobewertung2 ergibt, dass von einzelnen Softwarepaketen, Diensten, Servern oder gleich dem Gesamtsystem ein hohes Risiko (= Schadenshöhe x Wahrscheinlichkeit) ausgeht, dann müssen mitigierende Maßnahmen her. Ein “digitaler Zwilling” des kompletten ADs ist eine solche Maßnahme. Den Begriff habe ich aus diversen Industrie4.0-Bullshit-Roadshows geklaut, passt hier aber sehr gut. Die Kopie des ADs wird in ein isoliertes, vom Internet und Rest des Netzwerks isoliertes VLAN verschoben.
Idealerweise bedient man sich immer eines Backups vom Vortag und hat so nebenbei auch gleichzeitig die Lösung für das Schrödinger-Backup-Problem.3 Wenn es schnell gehen muss, kann ein ImportVM4 Powershell-Befehl auch direkt vom SAN-Storage einer VM gezogen werden.
Die nachfolgenden Zeilen automatisieren alles zeitgesteuert mit den selbsterklärenden Platzhalten $GUID, $VM $VMSourcePath, $VMDestPath und $TestvLAN. Der entscheidende Befehl ist Set-VMNetworkAdapterVlan:5
Import-VM -Path '$VMSourcePath\$GUID.vmcx' -Copy -VirtualMachinePath $VMDestPath (...)
RenameVM $VM -Newname $VM-Test
Set-VMNetworkAdapterVlan -VMName $VM-Test -Access -VLanId $TestvLAN
Start-VM -Name $VM-Test
Einzelne App-, Datenbank- oder Terminalserver können bei Bedarf hinzugenommen werden und Updates in dieser Umgebung auf Herz- und Nieren getestet werden. Zuvor bereits bestehende Test-VMs oder Verzeichnisse sind ggf. mit Remove-VM und Remove-Item zu entfernen. Schafft Euch die individuell zugeschnittene Testumgebung. Eine Art Unit-Testing6 für Admins.
Für diesen kostenlosen Tipp darf gerne eine Tasse Kaffee gespendet werden. Danke!
Ich habe echt kein Mitleid mit Administratoren, die aktive Arbeitsverweigerung praktizieren und in Foren und Kommentaren irrwandeln. Möge der nächste BSOD sie hinwegfegen. An meiner grundsätzlichen Empfehlung ändert sich nichts:
Wenn die Angst vor Updates so groß und das Vertrauen so gering sind, dann werft doch das Microsoft-Zeugs endlich aus Eurer Infrastruktur! Setzt auf freie (und kostenlose) Lösungen!
In diesem Sinne,
Tomas Jakobs