Главная > Администрирование > Развёртывание локального сервера обновлений под управлением WSUS

Развёртывание локального сервера обновлений под управлением WSUS

02/09/2011 Оставьте комментарий Go to comments

Сегодня я хочу поделиться своим опытом развёртывания сервера обновлений WSUS. Тем кто работает с WSUS, наверное будет неинтересно, а тем, кто не знает, что это, или знает, но не использует может и пригодится. Но для начала пару слов о том, что это и для чего это нужно.

Статья большая, но в ней много картинок (как любят писать на одном очень популярном в определённых кругах сайте – осторожно, трафик! 😉

Что такое WSUS?

Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. С его помощью можно обновлять как собственно операционные системы, так и многие другие продукты Microsoft (Office, Exchange, SQL и многие другие).

WSUS  — бесплатный продукт, его можно скачать с сайта Microsoft.

Зачем это нужно?

По умолчанию операционные системы обновляются самостоятельно с сервера Microsoft, который находится где-то в интернете:

Update without WSUS

Типичная схема обновления

Для малых организаций эта схема вполне приемлема, но если количество компьютеров организации больше, чем n (нет, n это мало, лучше m :)) и если софт от Microsoft не ограничивается только операционными системами, то количество скачиваний и следовательно трафика значительно увеличивается. Например в организации 100 компьютеров, на каждом из которых установлены Windows 7 и Office. Допустим выходят обновления для семёрки и офиса, размером по 1 МБ каждое. Так, чтобы обновить все компьютеры понадобится выкачать 200 МБ. В наш цифровой век для многих это уже проблема, но всё же зачем лишний раз “засорять эфир”.

Ещё одно неудобство автоматического обновления кроется в использовании какого-либо специфического софта, или драйверах, которые могут конфликтовать с обновлениями. Да и сам Microsoft не безгрешен, и время от времени обновления сами по себе вызывают конфликт с системой (например, проблема с SP1 для Windows 7, после установки которого некоторые системы работали нестабильно, а некоторые вообще вываливались в синий экран). В этом случае одним единственным обновлением можно “положить” все компьютеры организации.

Для предотвращения таких ситуаций может служить установка локального сервера обновлений под управлением WSUS.

При использовании WSUS схема обновлений выглядит иначе: WSUS-сервер выкачивает все необходимые обновления, а клиенты сети обновляются уже с этого сервера:

Update with WSUS

Схема обновления с использованием WSUS

При желании/необходимости можно протестировать свежие обновления на тестовом компьютере, и только после успешной проверки обновлять всю сеть.

Ещё если сеть организации очень большая, и/или распределена территориально по разным городам, можно настроить так, чтобы был один главный сервер WSUS (upstream), и несколько других, которые будут загружать обновления с него (downstream), а клиенты в свою очередь будут обновляться с этих WSUS серверов. Но это уже детали, на них я останавливаться не буду.

Установка WSUS

 

Для нормальной работы потребуются следующие компоненты:

Установка WSUS не требует больших усилий; при установке нужно указать следующие параметры:

  • нужно-ли хранить все скачанные обновления локально (в этом случае нужно указать место хранения обновлений), или же использовать WSUS только в качестве прокси;
  • использовать-ли SQL Server или Windows Internal Database;
  • порт, на котором будет работать WSUS – по умолчанию выбран 80-й порт (для всех http-запросов), или же создать отдельный порт для WSUS (8530), что наверное предпочтительней.

Настройка WSUS

После первоначальной настройки (выбора вышестоящего сервера (то-ли сервера WSUS, то-ли Microsoft Update), прокси-сервера (если используется)) необходимо выполнить первоначальную синхронизацию, после которой будет доступна следующая информация об обновляемых продуктах:

  • Имеющиеся типы обновлений;
  • Продукты, допускающие обновления;
  • Доступные языки.

 

WSUS - Connection to upstream server

WSUS — Подключение к вышестоящему серверу

После этой синхронизации можно выбирать что и для чего загружать.

А именно: языки:

WSUS - Choose Languages

Языки обновлений

продукты:

WSUS - Choose Products

Продукты

классы обновлений:

WSUS - Choose Classifications

Классы

 

В данном примере WSUS конфигурируется таким образом, что он будет выкачивать только критические обновления для русскоязычных версий Windows XP.

На следующем этапе нужно указать расписание синхронизации с вышестоящим сервером – либо вручную, либо автоматически. Во втором случае нужно указать время первой синхронизации и количество синхронизаций в день:

WSUS - Set Syns Schedule

Расписание синхронизации

Все эти настройки можно настраивать как при первоначальной настройке, так и потом в любое время (на скриншотах как раз из варианта “потом”).

Теперь у нас всё готово для работы. После прохождения всех вышеописанных этапов открывается консоль WSUS:

WSUS - Main Window

Консоль WSUS

В дереве слева задаются опции, большинство из которых мы уже рассмотрели.

Так как сервер мы только настроили, и ещё не запускали синхронизацию, то в разделе “Общие сведения” сплошные нули.

Нажимаем “Синхронизировать сейчас” и ждём.

Примечание: Нужно отметить, что процесс получения обновлений сравнительно длительный процесс (особенно в первый раз) и зависит от тех настроек, которые мы рассматривали выше, а именно какие обновления качать, для каких продуктов, и на каких языках. За это время можно если не выпить, то налить чашку кофе точно 🙂

После завершения синхронизации в этом же окне можно ознакомиться с результатом синхронизации и с количеством выкачанных обновлений:

WSUS - Main Window after update

Консоль WSUS после синхронизации

Развернув дерево в левой части окна, можно выбрать конкретный тип обновлений, в левой части окна вверху появится список соответствующих обновлений, а снизу информация о выбранном обновлении:

WSUS - Main Window - Critical Updates

Обзор обновлений

А при двойном щелчке на обновлении подробная информация о нём открывается в отдельном окне, при условии, что был установлен Microsoft Report Viewer.

После ознакомления с информацией об обновлении, для того, чтобы его можно было установить, его нужно одобрить (некоторые обновления заменяются другими, и их можно не устанавливать, в таком случае в информации об обновлении появляется предупреждение). Для одобрения нужно нажать правой кнопкой мышки на обновлении и в появившемся меню выбрать пункт Одобрить. В следующем окне последовательно нажать Одобрено для установки и Применить к дочерним.

WSUS - Approve Updates

Одобрение обновлений

На этом настройка собственно WSUS заканчивается.

Настройка групповых политик

Далее если используется домен, на контроллере домена нужно создать групповую политику для обновления и привязать её к какому-либо подразделению (OU) либо же ко всему домену. Если домена нет, то нужно изменить групповую политику на клиентских компьютерах таким образом, чтобы сервером обновлений был WSUS.

Для этого в консоли Group Policy Managment нужно перейти в раздел Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Windows Update. В этом разделе содержатся настройки, относящиеся к обновлению.

В данном случае нас интересуют лишь некоторые параметры.

Настройка автоматического обновления:

 Group Policy - Configure Automatic Updates Properties

Свойства: Настройка автоматического обновления

Переключатель нужно поставить в положение Включён и настроить один из четырёх вариантов обновления

  • Уведомить о загрузке и установке
  • Автоматически загрузить и уведомить об установке
  • Автоматически загрузить и установить по расписанию
  • Разрешить локальному администратору выбрать параметр

Если выбрать пункт автоматически загрузить и обновить, ниже нужно будет задать расписание.

Указать размещение службы обновлений Microsoft в интрасети:

Group Policy - Specify intranet Microsoft update service location Properties

Свойства: Указать размещение службы обновлений Microsoft в интрасети

Также включить, и указать полный путь к серверу в WSUS, и серверу статистики.

Частота поиска автоматических обновлений:

Group Policy - Automatic Updates detection frequency Properties

Свойства: Частота поиска автоматических обновлений

Указать в часах как часто следует проверять наличие обновлений.

Также можно включить Разрешить пользователям, не являющимся администраторами, получать уведомления об установке.

Всё! Наконец-то всё настроено можно переходить к проверке.

Проверка на клиенте

При использовании групповых политик для обновления системы, все настройки, отвечающие за обновление будут недоступны даже для администратора. В этом можно убедиться зайдя на вкладку Автоматическое обновление свойств системы:

Windows XP - Automatic Update

Свойства системы: автоматическое обновление

Для того, чтобы не ждать когда наступит время для обновления, заданное по расписанию, можно инициировать поиск обновлений вручную. Для этого в командной строке, нужно выполнить команду wuauclt /detectnow, после чего начнётся процесс поиска обновлений, а в трее появится наверное знакомый всем значок, информирующий о ходе установки обновлений:

Ready to Update

Значок в трее

Вернувшись в консоль WSUS можно наблюдать за процессом:

WSUS - in process

Процесс обновления

Напоследок хотелось бы сказать ещё пару слов о группах компьютеров.

WSUS позволяет группировать компьютеры для определения обновлений для конкретных компьютеров. При первом подключении все компьютеры по умолчанию попадают в группы “Все компьютеры” и “Неназначенные компьютеры”.

Группы можно использовать, например, для тестирования обновлений до того, как развёртывать их на всю сеть. И если проверка прошла успешно применять обновления к группе “Все компьютеры”. Подробнее о группах компьютеров и о тонкостях работы с WSUS можно ознакомиться в пошаговом руководстве по началу работы с WSUS.

Рубрики:Администрирование Метки: , ,