Meu chefe e eu estávamos sentados em nossa sala de servidores hoje quando de repente ouvimos um de nossos servidores entrar em hiper-velocidade, indicando que estava reiniciando. Você pode imaginar as expressões imediatas "oh crap" em nossos rostos.
Nós investigamos os logs e parece que algumas atualizações foram instaladas automaticamente, o que exigiu uma reinicialização. AU, vendo que não havia ninguém logado, automaticamente fez o reinício. Este é um servidor de produção, por isso temos as atualizações automáticas desativadas (nem mesmo baixando e depois esperando. Deve esperar que a gente diga antes de fazer qualquer coisa).
Eu executei o rsop.msc e o gpedit.msc para verificar se havia uma política de grupo nociva que forçou a atualização automática. Nada.
Nosso windowsupdate.log mostra isso:
2011-12-16 09:00:12:092 964 17f4 AU Setting AU scheduled install time to 2011-12-16 20:00:00
(havia muito mais linhas como essa e uma apontando para uma instalação programada apenas alguns minutos antes de ouvirmos a reinicialização)
Então, em algum lugar, a AU está recebendo a brilhante ideia de que deve agendar instalações automáticas. Alguma idéia de por que isso pode estar acontecendo?
Um pouco de informação pertinente:
Nós recentemente (um mês atrás) instalamos um servidor WSUS, e duas semanas atrás apontamos todos os nossos servidores para ele. Com o WSUS, surgiu a segurança do cliente de vanguarda, com uma política configurada para fazer atualizações de definições automáticas a cada 6 horas. Este poderia ser o problema, mas parece uma grande falha que, ao verificar as atualizações de definições, ele instalaria automaticamente outras atualizações.
Também desenvolvi (acredito na última quinta-feira) um novo GPO para nossas estações de trabalho que força a atualização automática às 14h. Isso foi aplicado a algumas poucas estações de trabalho da empresa e NENHUM DOS SERVIDORES. Confirmei que essa política de grupo não foi aplicada por meio do rsop.msc
Tanto quanto eu posso dizer, isso só aconteceu em servidores ou 2003, mas eu não posso fazer qualquer promessa de que isso não está acontecendo nos servidores de 2008 e eu apenas não notei.
Idéias?