Systeem administrators zijn dagelijks hard bezig om hun Micrsoft-systemen draaiende te houden en natuurlijk veilig. Windows updates zijn daar erg belangrijk voor en er word dan ook regelmatig gekeken naar de laatste updates.
onlangs was ook ik bezig met het updaten van de servers. Na het doornemen van de patches en het draaien van de updates werden deze dan ook netjes geïnstalleerd door Microsoft update.
En toen ging het fout.
De Windows 2008 r2 servers hebben een patch gekregen die bestemd is voor Windows Vista en daardoor kwamen de 2008 r2 servers niet meer online. Bij het inloggen verschijnt er de foutmelding 'an unauthorized change was made to Windows' met als foutcode 0xC004D401 'The security processor reported a system file mismatch error'.
Met andere woorden: Geef eens ff een valide code op. Gelukkig zit er dan een button die je verteld dat je meer kan leren. Na op deze button te hebben geklikt krijg ik de melding dat mijn Vista installatie niet meer geleverd wordt en dat ik een Windows 7 licentie kan kopen.
Na bijna 50 minuten binnen Microsoft van hot naar her te zijn doorverbonden mag ik dan tegen X tarief een support call aanmaken en dan word ik verder geholpen. Salliant detail:
Als je deze melding hebt, geef dan in de internet browser als url www.microsoft.comgenuine/validate op. Je krijgt dan automatisch de vista validatie pagina te zien.
De mensen van de support afdeling doen hun uiterste best om te helpen, maar helaas krijg ik daarmee de servers niet online.
Helaas staan de Windows 2008 R2 servers nu op een zwart scherm te zeggen dat ze windows 7 willen hebben en kan ik er verder niets mee.
Micrsoft faalt nu wel heel erg sterk.
Tip van deze week?
Als je Microsoft updates draait op Windows 2008 r2 check dan iedere update heel goed voordat je hem installeert. Doe je dat niet? Dan sta je straks ook bij Microsoft op de stoep.
Los van dat ik mij afvraag sinds wanneer een CTO zich bezighoudt met hands-on werkzaamheden, weet elk zichzelf respecterend IT bedrijf dat men patches niet rücksichtlos los moet laten op een productieomgeving maar eerst gaat testen en accepteren. Saillant detail: dhr. Westhovens maakt blijkbaar ook geen backups.
Dit is niet de fout van Microsoft, dit is de fout van de systeembeheerder(s) die updates zonder te testen in productie zetten.
Microsoft faalt dus niet, deze organisatie faalt behoorlijk.
Ik hoop dat dit een wijze les voor deze organisatie is en ik vermoed dat mijnheer E. Westhovens een andere baan gaat zoeken.
@Michel: gezien het bedrijf zijn grootte, snap ik dat een CTO de handson taken doet.
En ik heb in zo’n kleine omgeving ook wel eens meegemaakt dat een programmeur het normaal vond updates van Microsoft rucksichtlos te installeren, terwijl ik daar als beheerder nogal wat vraagtekens bij plaatsten.
Immers volgens de EULA van Microsoft heb je het uiteindelijk echt zelf gedaan en bij Microsoft zelf maken ze echt -nooit- vauten. 🙂
Geen backups maken in zo’n kleine omgeving zal wel niet van toepassing zijn. Dat is vanzelfsprekend.
@Erik Westhoven: Je hebt het over onlangs maar tegelijkertijd wek je de indruk dat de servers nog steeds niet on-line zijn. Je kunt toch gewoon een repair draaien vanaf de originele DVD? Dan moet een server wel alle updates opnieuw draaien (waaronder SP1) maar onder R2 zullen er dat nog niet extrem veel zijn (2008 zelf een stuk of 150 – volgens mij – en die is in 2 uurtjes wel klaar).
Om welke patch gaat dit? Heb je ook een Knowledge Base nummer? Ik kan me niet voorstellen dat 2008R2 een Vista patch überhaupt wil draaien. Ik hoor het graag, want we hebben wel een paar virtuele servers die automatisch updaten (is overigens in geen jaren fout gegaan). Graag wat meer info over de patch zodat anderen het niet overkomt.
Mijnheer E. Westhoven is security-expert, maar weet niet hoe het updateproces eruit moet zien?
@Computable, kunnen wij jullie experts nog wel serieus nemen als dit het niveau is?
@Guido, automatisch de updates installeren (zoals MS hun klanten adviseert) is inderdaad gevaarlijk. Updaten zonder te testen, dat doe ik niet met ons eigen netwerk, noch van klanten, noch met mijn eigen machinepark. Ik wacht ook altijd even met het updaten totdat anderen dat gedaan hebben en eventuele problemen gemeld hebben. Dat scheelt heel veel extra werk. Maar met testen kan je problemen niet altijd voorkomen. Het is bij mij ook wel eens misgegaan.
In dit geval lijkt het me een fout van MS te zijn. MS moet op zijn minst voorkomen dat er conflicten tussen eigen producten ontstaan en problemen met veel gebruikte protocollen/standaarden. Ze hebben genoeg testcapaciteit. Een patch voor betere connectivity met Vista mag geen problemen veroorzaken.
@ICT-er: Microsoft heeft misschien wel geld voor testen, maar doet dit nooit.
Microsoft adviezen moet je ook niet te serieus nemen, men moet niet vergeten dat hun besturingssystemen het best geschikt zijn voor thuis en spelletjes.
@ICT-er, Microsoft adviseert om updates goed te testen, aangezien ze zelf nooit alle situaties kunnen beoordelen.
Het gaat inderdaad wel eens fout, overigens heb ik alle updates in een testomgeving op W2K8R2 geïnstalleerd en ik heb dit probleem niet.
Het advies om updates automatisch te installeren klopt, maar in een serveromgeving wel via WSUS of SCCM2007 en uiteraard eerst testen (ik kan het woord testen niet vaak genoeg zeggen bij updates).
Daarnaast gaan er wel vaker updates niet goed, denk maar aan MCAfee vorig jaar.
Als unix/linux adept lees ik weer eens hoofdschuddend de reacties.
Als ik de meeste reacties goed begrijp is men van mening dat de leverancier van het OS in het geval van updates of patches haar klanten mag gebruiken om te testen. Dat de leverancier daarmee kosten uitspaart vindt men heel normaal, evenals het gegeven dat de kosten die de klant daarmee maakt vanzelfsprekend niet op die leverancier worden verhaald.
Het valt Erik Westhovens te prijzen dat hij dit openlijk aan de kaak durft te stellen.