妙用psexec分析关机一直挂起的Windows update 更新

Windows 更新服务对每个IT运维人员来说都不会陌生，而且很多情况下出现的一些不兼容，产品问题通过更新都可很好的解决掉。

小弟近日为一台老爷机服务器安装Windows 产品更新就遇到了意见事情，特与大家分享，共同增长经验。

事情是这样的，一个建设时间久远的机房，处于内网之中，其中有若干台与世隔绝的服务器但他又作为特殊应用承载了一个重要系统的数据库，为了不受到病毒和系统问题引起的恶意攻击，我们搭建了基于内网更新用的WSUS，用来更新每日的MSE补丁和每个月的系统更新。

因为原先其上的操作系统由于一些历史原因已经被攻破的不能用了，此次属于全新安装了更新版本的Windows Server 2008 R2 With SP1，组策略中配置好了Intranet的WSUS地址。同时经过了大概一个小时左右的更新与下载（大概有124个补丁），系统提示可以重启计算机了，用来安装剩下属于pending状态的补丁，随后远程连接被断开，这就是我们常在关机界面看到的请不要关闭计算机电源，系统正在进行配置，然后有一个百分比的进度。多数情况下人们会等不及，然后将其重启，然后再开机界面继续等待，正会被认为快那么一点。

但此次的情况属于全部远程操作，并且机器没有IPMI无法通过iKVM的方式查看服务器状态。

再三思索之下，小弟请来了sysinternals的psexec来试试能否通过远程的方式来看看这老爷机是不是挂了？

使用命令 psexec.exe -u 用户名 \\远程的那个老爷机IP cmd.exe

然后输入密码，确认登录。

然后运行tasklist命令 这样就可以查看到服务器运行进程了。

可以看到以服务运行的TrustedInstaller.exe 进程，说明后台在进行补丁的安装。

Figure 1通过命令行查看当前主机正在更新的状态，psexec启动了一个叫做psexesvc的服务

然后就这样没事继续执行一下tasklist，当然是有时间的情况下，同时还会看到很多以KB开头的更新进程运行着的程序，间隔五分钟执行一下tasklist会看到又有新的KB号出现，再次说明有新的更新开始运作了。

直到刷新出现系统正在关机的字样，就说明这些关机pending的补丁已经装好了，等待重启。

Figure 2出现这个说明更新已经走到尾声系统即将迎来新的曙光

备注说明：

1. 这个当然是有时间的情况下可以这样操作，如果没有时间，非常建议把补丁更新的时间放到半夜来处理，要不浪费的不只是时间还有生命呢！

2. 现在的Windows更新如果对外业务采用的是服务方式运行的，只有在关机ping无反应的这个时间段内外界无法访问其服务，因此整个对外服务不提供的时间大概只有1~5分钟。

3. 如果psexec无法连接你的那个远程机器，请查看一下对应的Windows共享SMB协议是否开启，445端口是否被防火墙阻拦。

4. Windows更新关机无响应似乎是互联网上问的非常多的一个问题，很多时候都是强制关机后继续等待开机，其中原因很多，小弟总结了一下，发现微软有一个近乎是万能的Windows 更新修补KB，这个KB是KB947821，如果遇到Windows 更新有问题的情况不妨先尝试一下这个KB。

5. 本例所在的环境是机器真的太慢，更新的时间确实太长，小弟最终通过系统上线时间发现整个补丁的安装消耗了接近5个小时，考虑到日后的安全运行这5个小时的更新还是值得的。

-=EOB=-