SCCM: Zoinks... Mystery Maintenance Windows

Что я пытаюсь сделать?

У нас есть несколько клиентов SCCM, в основном общедоступных веб-сайтов, работающих под управлением IIS 7.5 в Windows Server 2008 R2, которые отслеживаются системой под названием XYmon. Недавно мы заметили, что эти серверы перезагружаются после установки ежемесячных обновлений Windows примерно на час раньше. Существует определенная задержка, присущая действиям клиента SCCM и системе мониторинга, но XYmon теряет связь с этими машинами примерно в 19:20-19:30ish, тогда как остальные отслеживаемые машины, похоже, перезагружаются примерно через час, около 20:20-20:30.

Окно обслуживания, которое я ожидаю применить, начинается в 20:00 и заканчивается в 22:00 и повторяется каждый четверг.

Я пытаюсь выяснить, почему эти машины устанавливают свои обновления на час раньше. Я знаю, что несколько окон обслуживания объединены или объединены, поэтому я подозреваю, что есть еще одно окно обслуживания, которое также применяется к этим клиентам.

Эти машины также находятся в демилитаризованной зоне, не связанной с доменом, поэтому я не собираюсь исключать любые проблемы с перекосом часовых поясов / часов.

Что я пытался сделать, чтобы это произошло?

Я полагал, что проблема с перекосом часового пояса / часов была наиболее вероятной, но обе машины находились в правильном часовом поясе, имели синхронизированное время и смогли должным образом обработать изменение перехода на летнее время, которое произошло 8 марта.

Моя следующая гипотеза состоит в том, что у нас было ошибочное или старое Окно обслуживания, которое применялось к Коллекции, в которой находились эти машины. Мне это кажется немного маловероятным, поскольку существует другая машина, которая должна быть все той же Коллекции, которая перезагружается в правильное время 20:00-иш.

Давайте удостоверимся, что клиент фактически перезагружается, когда система мониторинга говорит, что это так!

Если я проверю клиента, systeminfo показывает время загрузки в 19:22. Журнал событий, кажется, сотрудничает это:

Log Name:      System
Source:        USER32
Date:          3/12/2015 7:21:02 PM
Event ID:      1074
Task Category: None
Level:         Information
Keywords:      Classic
User:          SYSTEM
Computer:      HOST09
Description:
The process C:\Windows\CCM\CcmExec.exe (HOST09) has initiated the restart of computer HOST09 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
 Reason Code: 0x80020001
 Shutdown Type: restart
 Comment: Your computer will restart at 03/12/2015 07:21:02 PM to complete the installation of applications and software updates.

Произошла ли перезагрузка из-за обновлений SCCM для Windows?

Если я копаюсь в UpdatesHandler.log Ответ - это большое старое "да":

Initiating updates scan for checking applicability. UpdatesHandler  3/12/2015 7:00:00 PM    6472 (0x1948)
Successfully initiated scan.    UpdatesHandler  3/12/2015 7:00:00 PM    6472 (0x1948)
Updates scan completion received, result = 0x0. UpdatesHandler  3/12/2015 7:00:00 PM    8396 (0x20CC)
Initiating updates scan for checking applicability. UpdatesHandler  3/12/2015 7:00:02 PM    10160 (0x27B0)
Method (Apply) called from SDM. UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Starting job with id = {7DD179F1-1B94-4ADB-A5F1-08E9A000709F}   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Successfully initiated scan.    UpdatesHandler  3/12/2015 7:00:02 PM    10160 (0x27B0)
Updates scan completion received, result = 0x0. UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Initiating Scan. Forced = (0)   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Successfully initiated scan for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).   UpdatesHandler  3/12/2015 7:00:02 PM    8888 (0x22B8)
Scan completion received for job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).  UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Evaluating status of the updates for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).  UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Initiating download for the job ({7DD179F1-1B94-4ADB-A5F1-08E9A000709F}).   UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)
Bundle update (038c4fc9-664f-45e5-b838-f7263ffc4512) is requesting download from child updates for action (INSTALL) UpdatesHandler  3/12/2015 7:00:02 PM    8396 (0x20CC)

"ServiceWindowManager.log" показывает, что это окно обслуживания было применено в 19:00:

Active Service Windows List has 1 windows   ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)
    Service Window with ID = {F51051BF-90E8-4ED7-BA06-F74F9E74A098} having Starttime=03/12/15 19:00:00  ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)
        Duration is 0 days, 08 hours, 00 mins, 00 secs  ServiceWindowManager    3/12/2015 7:28:13 PM    2404 (0x0964)

ОК... Откуда появилось это окно обслуживания?

Немного SQL должен показать мне все окна обслуживания, примененные к конкретному клиенту SCCM:

select
v_FullCollectionMembership.Name as Computername ,v_Collection.Name as CollectionName,
v_ServiceWindow.Description as "Next Maintanance Window"
from v_ServiceWindow 
inner join v_FullCollectionMembership on (v_FullCollectionMembership.CollectionID = v_ServiceWindow.CollectionID)
inner join v_Collection on (v_Collection.CollectionID = v_FullCollectionMembership.CollectionID)
order by Computername

и я получаю следующие результаты:

Computername    CollectionName  Next Maintanance Window
HOST09  Default Maintenance Window  Occurs on 9/15/2013 1:00 AM
HOST09  Weekly Maintenance Window - Thursday    Occurs every 1 weeks on Thursday effective 11/1/2013 8:00 PM

Небольшое объяснение приведено по порядку: все наши клиенты SCCM принадлежат коллекции, которой назначено окно обслуживания по умолчанию, которое происходит только один раз и в прошлом. Это предотвращает изменения членства в Коллекции и несвоевременные запросы политики клиентов, что заставляет клиентов, которые приостановили действия, немедленно выполнять их. Однако, поскольку окна обслуживания "объединены", окно еженедельного обслуживания должно применяться... в 20:00.

По догадке я сбросил все коллекции, в которых находился этот клиент, а затем пошел и проверил, есть ли назначенные им окна обслуживания:

SELECT dbo.v_Collection.Name 
FROM dbo.v_FullCollectionMembership INNER JOIN dbo.v_Collection ON dbo.v_FullCollectionMembership.CollectionID = dbo.v_Collection.CollectionID 
WHERE (LOWER(dbo.v_FullCollectionMembership.Name) = LOWER('HOST09'))

Короче. Они не

Каких результатов вы ожидали?

Я действительно ожидал увидеть коллекцию, к которой было применено окно обслуживания, которая началась в 19:00, и, если мой SQL-код плохой и я его пропустил, я думаю, что это не то, что здесь происходит.

Тот факт, что это на один час раньше, на самом деле также заставляет меня думать, что это может быть проблемой с часовыми поясами или перекосом часов, но это тоже следует ожидать.

Я все еще думаю, что обе мои гипотезы являются приличными и не были опровергнуты, но я не знаю, как собрать больше информации, чтобы определить их. Любые идеи о том, как мне следует приступить к устранению неполадок?

Есть что-то еще, что я должен рассмотреть? Что еще может вызвать это?

РЕДАКТИРОВАТЬ:

Я проверил Группу обновлений программного обеспечения на наличие обновлений программного обеспечения в этом месяце и установлен крайний срок для 03/10/15 в 20:53, но поведение крайнего срока для действий, выполняемых за пределами окна обслуживания, отключено как для установки обновлений программного обеспечения, так и для перезапуска системы.,

Что касается текущего времени на коробке, вроде бы оно действительно выглядит нормально, но я просто проверяю дату и время на панели управления: