Weil ich in einem anderen Blog gerade einen Beitrag zum Windows Server Update Services (WSUS) sah, fiel mir ein neues Feature ein, dass ich mit sehr gemischten Gefühlen sehe:

Man kann jetzt sicherheitskritische Hotfixes zum SQL-Server-2005 automatisch per WSUS installieren lassen. Dazu muss man dem WSUS lediglich sagen, dass er auch die SQL-Server-Hotfixes runterladen soll und auf welchen PCs er sie installieren soll.

Das ist von der Idee her ganz praktisch, aber hat doch ein paar "Herausforderungen":

  • Man kann nicht einzelne Instanzen angeben oder ausschließen. Das kleinste Korn ist der Rechner.
  • Der Update-Client muss in einem Benutzerkontext laufen, der Adminrechte hat. Andernfalls wird der Hotfix-Update gestartet, kopiert schon mal fleißig los, kann sich nicht zum SQL-Server verbinden und beendet daraufhin den SQL-Server-Dienst. Der Stand ist danach völlig inkonsistent. MS hat es abgelehnt das als Bug anzuerkennen.
  • Zukünftig (zuerst nur für SQl-Server-2008) werde ein Feature genutzt mit dem sie auch dann Hotfixes installieren können, wenn der Dienste-Benutzer keinen Zugriff zum SQL-Server hat.
  • Man weiß nicht, welche Hotfixes installiert werden sollen. Neulich wurde ein Hotfix ausgeliefert, der nicht sicherheitsrelevant war. In dem Security-Bulletin war er auch nciht erwähnt. Trotzdem wurde er installiert. Die Antwort von MS darauf war, dass es ein kritischer Hotfix sei und er deswegen ausgeliefert wurde. Woran man das erkennen könne? Na daran, dass er vom WSUS ausgeliefert wurde. Nein, das wird nicht dokumentiert.

Wenn man bedenkt, dass Gordon Mangione damals noch davon abriet einfach SP1 für den SQL-Server-2000 zu installieren. Man solle das erst mal auf einem Testrechner installieren, gründlich die Nebenwirkungen auschecken und dann geplant umsteigen. Dabei werden SPs sehr gründlich getestet, jedenfalls im Vergleich zu den Hotfixes. Und jetzt soll das ratzfatz am Server installiert werden? Wen fragt man zu Risiken und Nebenwirkungen der Hotfixes?