计划的维护窗口效果很好——前提是设备实际可用。但现实情况更复杂。设备被关机。网络连接失败。笔记本电脑被用户带回家。自助服务终端在远程站点失去互联网连接。
设备错过了维护窗口会怎样?它会一直不打补丁吗?保护会失效吗?它最终重新连接时会引起问题吗?
对于管理分布式设备的任何 IT 团队来说,这些都是实际问题。本指南将详细介绍设备在更新期间离线时会发生什么,它们在重新连接时如何赶上进度,以及如何确保您的设备在不可避免的连接中断的情况下保持合规。
离线场景详解
让我们来分析一下设备错过维护窗口的常见场景:
场景 1:设备已关机
会发生什么: 维护窗口到达,但设备已完全关机。没有电源意味着无法解冻、无法更新、无法进行任何活动。窗口打开又关闭,设备保持不变。
设备状态: 保持冻结状态,使用现有基线。仍受 Deep Freeze 保护。未应用任何更新。
开机时: 设备正常启动,仍处于冻结状态,仍受保护。它将在下次可用的维护窗口期间进行更新。
场景 2:设备没有互联网连接
会发生什么: 设备已开机,但无法连接到 Faronics Cloud 或 Windows Update 服务器。代理无法接收解冻信号,或者解冻后也无法下载更新。
设备状态: 如果无法接收解冻命令,它将保持冻结状态。如果解冻但无法下载更新,则在窗口关闭时会重新冻结,保持不变。
恢复连接时: 设备会与 Faronics Cloud 检查连接,接收任何待定配置,并在下一个可用的维护窗口期间进行更新。
场景 3:设备处于睡眠或休眠模式
会发生什么: 这取决于您的网络唤醒 (Wake-on-LAN) 配置以及是否可以远程唤醒设备。
• 配置了网络唤醒: 设备可以被唤醒进行维护,更新正常应用
• 睡眠模式(未配置 WoL): 设备可能会在窗口期间自行唤醒(取决于电源设置)或错过窗口
• 休眠: 类似于关机——不会自动唤醒进行维护
场景 4:笔记本电脑正在旅行或在家
会发生什么: 设备已开机并连接,只是不在您的网络上。只要有互联网访问,维护就可以正常进行——Faronics Cloud 可以通过互联网工作,而不仅仅是您的本地网络。
例外情况: 如果您使用 WSUS 分发更新,并且笔记本电脑无法访问 WSUS,它可能会解冻但无法从您的内部服务器接收更新。它需要直接连接到 Windows Update 或等待回到网络上。
设备重新连接时会发生什么
当离线设备重新上线时,流程如下:
1. 代理与 Faronics Cloud 检查连接。 Faronics Cloud 代理建立连接并报告其当前状态——冻结状态、上次维护时间、当前配置。这会在恢复连接后的几分钟内自动发生。
2. 配置同步。 如果在设备离线期间进行了任何策略更改,它将接收这些更新。设备的配置将与当前适用于其组的任何策略保持一致。
3. 设备等待下一个维护窗口。 设备不会仅仅因为错过了维护窗口就立即解冻和更新。它会等待下一个计划的维护窗口。这是故意的——您有原因在特定时间安排维护;随机的日间更新会造成干扰。
4. 更新在下一个窗口期间应用。 当下一个维护窗口到达时,设备将解冻、下载并安装待定更新、根据需要重启,然后以更新后的基线重新冻结。
追赶考虑因素:
• 如果设备错过了一个窗口: 正常更新周期,可能比平时多一些更新
• 如果设备错过了几个窗口: 累积了更多更新;可能需要更长的窗口
• 如果设备离线了数月: 大量的更新积压;考虑延长维护窗口或手动触发更长的解冻时间
何时手动干预有帮助。 对于长时间离线后返回的设备,您可以:
• 从 Faronics Cloud 控制台手动触发解冻
• 允许比正常更长的更新时间
• 在满意设备已更新到最新状态后再验证更新是否完成
• 在确认设备已更新到最新状态后重新冻结
这种主动的方法比等待计划的窗口更快地使设备更新。
确保整个设备群的更新合规性
有些设备不可避免地会错过维护窗口。以下是保持整体合规性的方法:
识别一贯错过窗口的设备。 Faronics Cloud 显示设备上次检查连接的时间及其当前状态。寻找模式:
• 多天未检查连接的设备
• 在维护窗口期间始终离线的设备
• 重复维护失败的设备
这些需要调查——是否存在电源管理问题?网络问题?用户行为模式?
调整问题设备的计划。 如果某些设备由于用户在夜间将其关闭而一贯错过凌晨 2 点的维护窗口,请考虑:
• 将它们移至不同的计划(午餐时间、傍晚)
• 将电源管理更改为睡眠而不是关机
• 配置网络唤醒
• 与用户沟通,让他们保持设备可用
考虑每周多次维护窗口。 如果错过了周二的窗口,周四的窗口会补上。带有冗余的每周计划:
• 主要窗口:周二凌晨 2:00
• 备用窗口:周六凌晨 3:00
错过周二更新的设备将在周六更新。
定期合规性报告。 定期审查:
• 有多少比例的设备完成了其上次维护窗口?
• 哪些设备已超过一个周期未更新?
• 是否有地点或设备组的合规性持续较低?
• 随时间变化的趋势如何——是改善还是下降?
设置可接受的阈值。 每个周期 100% 的合规性是不现实的。决定什么可以接受:
• 目标:95% 的设备在补丁发布后两周内更新
• 升级:30 天内未更新的设备将获得手动关注
• 例外处理流程:记录延误的合法原因
考虑季节性模式。 学校假期意味着设备闲置。夏天带来了笔记本电脑的旅行。计划:
• 在假期期间将离线的设备
• 设备返回时进行追赶维护
• 在新学期/新季节开始时延长窗口
防止设备在更新期间离线
预防胜于补救。以下是如何最大限度地提高设备可用性:
配置睡眠而非关机。 通过组策略或本地设置,将设备配置为在用户“关闭”计算机时进入睡眠状态。睡眠中的设备可以被唤醒进行维护;关机的设备则不能。
启用网络唤醒。 配置 BIOS/UEFI 和 Windows 以允许网络唤醒。在维护窗口之前,发送唤醒数据包以确保设备已开机。这需要网络基础设施支持,但可以解决关机问题。
为问题设备安排在工作时间内进行维护。 如果下班后维护因设备关机而一贯失败,请考虑在保证开机的时间段内安排短暂的维护窗口——午休时间、低峰时段、计划停机时间。
与用户沟通。 “请在周二晚上将您的电脑开机以进行更新”很简单,而且通常很有效。理解原因的用户更有可能合作。
对于始终在线的设备,请确保连接性。 自助服务终端、服务器和 24/7 工作站应具有可靠的网络连接。监控可能阻止更新的连接问题。
常见问题解答
如果设备错过更新,它会变得不受保护吗?
不会。无论更新状态如何,Deep Freeze 保护都会继续。设备将保持冻结状态,使用其现有基线。它运行的是旧软件,但它没有失去保护——任何恶意软件或更改在重启时仍会被清除。错过更新是一个安全问题,但不是一个即时漏洞。
设备重新上线时会立即尝试更新吗?
不会。设备会等待下一个计划的维护窗口。这可以防止意外的日间更新。如果您希望立即更新,请从 Faronics Cloud 控制台手动触发解冻。
我能强制更新一个一直错过窗口的设备吗?
可以。从 Faronics Cloud,您可以手动触发解冻,允许更新立即安装,而不是等待计划的维护。适用于持续存在问题的设备或紧急安全补丁。
我如何知道哪些设备错过了维护窗口?
Faronics Cloud 显示设备状态,包括上次检查连接时间、当前冻结状态和维护历史记录。在计划的窗口期间离线的设备将显示为未完成维护。定期审查这些信息以识别模式。
底线:离线不等于不受保护
错过维护窗口的设备并未损坏或易受攻击——它们只是运行着旧的基线,直到它们能够更新。Deep Freeze 保护会继续。当它们重新连接并到达下一个维护窗口时,更新将正常应用。
您的工作是管理例外情况:识别一贯错过窗口的设备,调整计划或电源设置,并确保长时间离线的设备获得适当的追赶维护。通过主动监控和合理的策略,即使在连接性不完美的分布式环境中,您也可以保持高更新合规性。
准备好管理整个设备群的更新了吗?
免费试用 Faronics Cloud 30 天。了解计划维护和设备可见性如何协同工作。
→ 试用 Faronics Cloud Deep Freeze
→ 联系支持
