Содержание:
Развертывание обновлений Windows 10 с помощью служб Windows Server Update Services (WSUS)
Область применения:
Ищете информацию для потребителей? См. раздел Центр обновления Windows: вопросы и ответы
Из-за изменений именования старые термины, такие как CB, CBB и LTSB, могут по-прежнему отображаться в некоторых наших продуктах.
В следующих параметрах CB относится к Semi-Annual Channel (Targeted), в то время как CBB относится к Semi-Annual Channel.
WSUS– это роль Windows Server, доступная в операционной системе Windows Server. Это единый центр обновлений Windows в организации. Службы WSUS позволяют компаниям не только откладывать обновления, но и выборочно утверждать их, выбирать время доставки и определять, какие устройства или группы устройств получат эти обновления. Службы WSUS предоставляют дополнительный контроль над Центром обновления Windows для бизнеса, но не предоставляют все возможности планирования и гибкость развертывания, что и System Center Configuration Manager.
Если WSUS выбраны в качестве источника обновлений Windows, вы указываете серверу WSUS на клиентские устройства Windows10, требующие обновления, с помощью групповой политики. Отсюда обновления периодически загружаются на сервер WSUS, где с помощью консоли администрирования или групповой политики осуществляется утверждение, развертывание и управление ими, тем самым оптимизируя управление обновлениями в организации. Если вы в настоящее время используете WSUS для управления обновлениями Windows в своей среде, можно продолжить это и в Windows10.
Требования для обслуживания Windows10 с помощью служб WSUS
Чтобы иметь возможность использовать службы WSUS для развертывания обновлений компонентов Windows10 и управления ими, необходимо использовать службы WSUS 4.0, доступные в операционных системах Windows Server 2012 R2 и Windows Server 2012. В дополнение к WSUS 4.0 необходимо установить на сервере WSUS исправления KB3095113 и KB3159706.
Масштабируемость WSUS
Чтобы использовать WSUS для управления всеми обновлениями Windows, некоторым организациям потребуется доступ к WSUS из сети периметра, либо придется реализовать какой-нибудь другой сложный сценарий. WSUS— это решение с широкими возможностями масштабирования и настройки для организаций любого масштаба, с любой структурой сайтов. Подробные сведения о масштабировании WSUS, включая конфигурацию восходящих и нисходящих серверов, офисы филиалов, балансировку нагрузки WSUS и другие сложные сценарии, см. в разделе Выбор типа развертывания WSUS.
Файлы экспресс-установки
В Windows10 исправления будут крупнее, чем традиционные обновления Windows, поскольку они являются накопительными. Для управления пропускной способностью клиентов, скачивающих крупные обновления, подобные этому, в WSUS предусмотрена функция Файлы экспресс-установки.
На двоичном уровне файлы, связанные с обновлениями, могут меняться несущественно. При работе с накопительными исправлениями большая часть содержимого будет браться из предыдущих обновлений. Если отличается лишь небольшая часть полезной нагрузки, то вместо того чтобы скачивать обновление полностью, файлы экспресс-установки анализируют различия между новыми файлами обновления и существующими файлами в клиенте. Такой подход значительно уменьшает потребление пропускной способности, поскольку доставляется лишь незначительная часть содержимого обновления.
Настройка WSUS для загрузки файлов экспресс-установки
Откройте консоль администрирования WSUS.
В области навигации перейдите в раздел Ваш_сервер\Параметры.
В разделе Параметры щелкните Файлы обновления и языки.
В диалоговом окне Файлы обновления и языки выберите Загрузить файлы экспресс-установки.
Поскольку обновления Windows10 носят накопительный характер, включение файлов экспресс-установки, когда WSUS настроены для загрузки обновлений Windows10, существенно увеличит потребность WSUS в дисковом пространстве. Кроме того, при использовании файлов экспресс-установки для предыдущих версий Windows положительный эффект от использования этой функции незначителен, поскольку обновления не являются накопительными.
Настройка автоматических обновлений и обновление расположения службы
При использовании WSUS для управления обновлениями на клиентских устройствах Windows начните с настройки параметров групповых политик Настройка автоматических обновлений и Размещение службы обновлений Майкрософт в интрасети в своей среде. Это заставляет затронутые клиенты обращаться к серверу WSUS, чтобы он мог осуществлять управление ими. Следующий процесс описывает, как задать эти параметры и развернуть их на всех устройствах домена.
Настройка параметров групповых политик "Настройка автоматических обновлений" и "Размещение службы обновлений Майкрософт в интрасети" в вашей среде
Разверните узел Лес\Домены\ваш_домен.
Щелкните правой кнопкой мыши Ваш домен и выберите Создать объект групповой политики в этом домене и связать его.
В этом примере параметры групповых политик Настройка автоматического обновления и Размещение службы обновлений Майкрософт в интрасети указаны для всего домена. Это не является обязательным; эти параметры можно применить к любой группе безопасности, воспользовавшись фильтрами безопасности или указав конкретное подразделение.
В диалоговом окне Создание объекта групповой политики присвойте новому объекту групповой политики имя WSUS— автоматические обновления и размещение службы обновлений Майкрософт в интрасети.
Щелкните правой кнопкой мыши объект групповой политики WSUS— автоматические обновления и размещение службы обновлений Майкрософт в интрасети и выберите Изменить.
В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows.
Щелкните правой кнопкой мыши параметр Настройка автоматического обновления и выберите Изменить.
В диалоговом окне Настройка автоматических обновлений выберите Включить.
В разделе Параметры в списке Настройка автоматических обновлений выберите 3 — авт. загрузка и уведом. об устан. и нажмите кнопку ОК.
Существует три других параметра для указания даты и времени автоматической загрузки и установки обновлений. В данном случае этот параметр используется исключительно для примера. Другие примеры контроля автоматических обновлений и других связанных политик см. в разделе Настройка автоматических обновлений с использованием групповой политики.
Щелкните правой кнопкой мыши параметр Указать размещение службы обновлений Майкрософт в интрасети и выберите Изменить.
В диалоговом окне Указать размещение службы обновлений Майкрософт в интрасети выберите Включить.
В разделе Параметрыв параметрах установить службу в интрасети для поиска обновлений и Установите сервер статистики интрасети введите http://Your_WSUS_Server_FQDN:PortNumber, а затем нажмите кнопку ОК.
URL-адрес http://CONTOSO-WSUS1.contoso.com:8530 на следующем рисунке приведен в качестве примера. В своей среде обязательно укажите имя сервера и номер порта для соответствующего экземпляра WSUS.
HTTP-порт по умолчанию для WSUS— 8530, а HTTPS-порт по умолчанию— 8531. Если вы не знаете, какой порт WSUS используется для связи с клиентом, щелкните правой кнопкой мыши сайт администрирования WSUS в диспетчере IIS Manager, а затем выберите Изменить привязки.
По мере того как клиенты Windows обновляют политики на своих компьютерах (по умолчанию групповая политика обновляется каждые 90 минут и при перезапуске), компьютеры начинают отображаться в WSUS. Теперь когда клиенты взаимодействуют с сервером WSUS, создайте группы компьютеров, соответствующие вашим кругам развертывания.
Создание групп компьютеров на консоли администрирования WSUS
В следующих процедурах используются группы из таблицы 1 раздела Создание кругов развертывания для обновлений Windows10 в качестве примеров.
Группы компьютеров можно использовать, чтобы применить ту или иную политику к подмножеству устройств с определенными исправлениями и обновлениями компонентов. Эти группы представляют ваши круги развертывания, контролируемые WSUS. Эти группы можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Независимо от выбранного метода сначала нужно создать группы на консоли администрирования WSUS.
Создание групп компьютеров на консоли администрирования WSUS
Откройте консоль администрирования WSUS.
Перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры, а затем щелкните Добавить группу компьютеров.
Введите имя Круг 2— пилотная группа бизнес-пользователей и нажмите кнопку Добавить.
Повторите эти действия для групп Круг 3— широкая группа ИТ-пользователей и Круг 4— широкая группа бизнес-пользователей. После этого в системе должно быть три группы кругов развертывания.
Создав группы, добавьте компьютеры в группы компьютеров, соответствующие нужным кругам развертывания. Для этого можно воспользоваться групповой политикой или выполнить это вручную с помощью консоли администрирования WSUS.
Использование консоли администрирования WSUS для заполнения кругов развертывания
Добавить компьютеры в группы компьютеров на консоли администрирования WSUS очень просто, но это может занять намного больше времени, чем при использовании групповой политики, особенно если нужно добавить много компьютеров. Добавление компьютеров в группы компьютеров на консоли администрирования WSUS называется указание на стороне сервера.
В этом примере компьютеры добавляются в группы компьютеров двумя способами: назначая неназначенные компьютеры вручную и выполняя поиск нескольких компьютеров.
Назначение неназначенных компьютеров группам вручную
Когда новые компьютеры обмениваются данными с WSUS, они отображаются в группе Неназначенные компьютеры. Для добавления компьютеров в нужные группы на этом этапе можно использовать следующую процедуру. В этих примерах для добавления компьютеров в группы компьютеров используются два ПК Windows10 (WIN10-PC1 и WIN10-PC2).
Назначение компьютеров вручную
На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры\Неназначенные компьютеры.
Здесь отображаются новые компьютеры, которые получили созданный в предыдущем разделе объект групповой политики и начали обмен данными с WSUS. В этом примере только два компьютера; в зависимости от масштабов развертывания политики компьютеров может быть намного больше.
Выберите оба компьютера, щелкните выделение правой кнопкой мыши и выберите Изменить членство.
В диалоговом окне Настройка членства в группах компьютеров выберите круг развертывания Круг 2— пилотная группа бизнес-пользователей, а затем нажмите кнопку ОК.
Так как они были назначены группе, эти компьютеры больше не относятся к группе Неназначенные компьютеры. Если выбрать группу компьютеров Круг 2— пилотная группа бизнес-пользователей, здесь отобразятся оба компьютера.
Поиск нескольких компьютеров для добавления в группы
Кроме того, чтобы добавить несколько компьютеров в круг развертывания на консоли администрирования WSUS, можно воспользоваться функцией поиска.
Поиск нескольких компьютеров
На консоли администрирования WSUS перейдите в раздел Имя_сервера\Компьютеры\Все компьютеры, щелкните правой кнопкой мыши Все компьютеры и нажмите Поиск.
В поле поиска введите WIN10.
В результатах поиска выберите компьютеры, щелкните выделение правой кнопкой мыши и выберите команду Изменить членство.
Выберите круг развертывания Круг 3— широкая группа ИТ-пользователей и нажмите кнопку ОК.
Теперь эти компьютеры отображаются в группе компьютеров Круг 3— широкая группа ИТ-пользователей.
Использование групповой политики для заполнения кругов развертывания
Консоль администрирования WSUS предоставляет удобный интерфейс для управления исправлениями и обновлениями компонентов Windows10. Если требуется добавить в соответствующий круг развертывания WSUS достаточно много компьютеров, выполнение этой операции вручную с использованием консоли администрирования WSUS может занять много времени. В таких случаях целесообразно использовать для выбора нужных компьютеров групповую политику, которая автоматически добавит их в нужный круг развертывания WSUS в зависимости от их группы безопасности Active Directory. Эта процедура называется указание на стороне клиента. Прежде чем включать в групповой политике указание на стороне клиента необходимо настроить принятие назначений компьютеров в WSUS с помощью групповой политики
Настройка WSUS для указания на стороне клиента с использованием групповой политики
Откройте консоль администрирования WSUS и перейдите в раздел Имя_сервера\Параметры, а затем щелкните Компьютеры.
В диалоговом окне Компьютеры выберите Использовать групповую политику или параметры реестра на компьютерах, а затем нажмите кнопку ОК.
Этот параметр можно задать только по принципу «или— или». Если вы включаете в WSUS использование групповой политики для назначения групп, вы больше не сможете вручную добавлять компьютеры на консоли администрирования WSUS до тех пор, пока не вернете первоначальные настройки.
Подготовив WSUS к указанию на стороне клиента, выполните следующие шаги, чтобы использовать групповую политику для настройки указания на стороне клиента.
Настройка указания на стороне клиента
При использовании указания на стороне клиента целесообразно присвоить группам безопасности те же имена, что и кругам развертывания. Это упрощает процесс создания политики и позволяет избежать ошибок при добавлении компьютеров в круги.
Разверните узел Лес\Домены\ваш_домен.
Щелкните правой кнопкой мыши Ваш домен и выберите Создать объект групповой политики в этом домене и связать его.
В диалоговом окне Новый объект групповой политики введите WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей (имя нового объекта групповой политики).
Щелкните правой кнопкой мыши объект групповой политики WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей и нажмите Изменить.
В редакторе управления групповыми политиками выберите Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Центр обновления Windows.
Щелкните правой кнопкой мыши Включить указание на стороне клиента и выберите Изменить.
В диалоговом окне Включение указания на стороне клиента выберите Включить.
В поле Имя целевой группы для данного компьютера введите Круг 4— широкая группа бизнес-пользователей. Это имя круга развертывания в WSUS, в который будут добавлены эти компьютеры.
Закройте редактор управления групповыми политиками.
Теперь все готово для развертывания этого объекта групповой политики в соответствующей группе безопасности компьютера для круга развертывания Круг 4— широкая группа бизнес-пользователей.
Указание группы в качестве области действия объекта групповой политики
На консоли управления групповыми политиками выберите политику WSUS — указание на стороне клиента — Круг 4— широкая группа бизнес-пользователей.
Перейдите на вкладку Область.
В разделе Фильтры безопасности удалите группу безопасности по умолчанию ПРОШЕДШИЕ ПРОВЕРКУ, а затем добавьте группу Круг 4— широкая группа бизнес-пользователей.
В следующий раз когда клиенты в группе безопасности Круг 4— широкая группа бизнес-пользователей получат свою политику компьютера и обратятся в WSUS, они будут добавлены в круг развертывания Круг 4— широкая группа бизнес-пользователей.
Автоматическое утверждение и развертывание обновлений компонентов
Если для каких-либо клиентов необходимо утверждать обновления компонентов, как только они становятся доступны, в WSUS можно настроить правила автоматического утверждения.
WSUS учитывает ветвь обслуживания клиента. Если утвердить обновление компонента, пока оно находится в ветви Current Branch (CB), WSUS установит обновление только на ПК, которые находятся в соответствующей ветви обслуживания. Когда корпорация Майкрософт выпускает сборку для ветви Current Branch for Business (CBB), она устанавливается на ПК в этой ветви.
Настройка правила автоматического утверждения для обновлений компонентов Windows10 и утверждение их для круга развертывания "Круг 3— широкая группа ИТ-пользователей"
На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Параметры и выберите Автоматические утверждения.
На вкладке Правила обновления щелкните Создать правило.
В диалоговом окне Добавление правила установите флажки Когда обновление затрагивает конкретный класс, Когда обновление затрагивает конкретный продукт и Установить крайний срок для утверждения.
В области Изменить свойства щелкните любая классификация. Снимите все флажки, кроме Обновления, и нажмите кнопку ОК.
В области Изменить свойства щелкните ссылку любой продукт. Снимите все флажки, кроме Windows10, а затем нажмите кнопку ОК.
Windows10 находится в разделе Все продукты\Microsoft\Windows.
В области Изменить свойства щелкните ссылку Все компьютеры. Снимите все флажки для этой группы компьютеров, кроме Круг 3— широкая группа ИТ-пользователейи нажмите кнопку ОК.
Оставьте заданный срок: 7 дней после утверждения в 3:00.
В поле Шаг 3. Укажите имя введите Автоматическое утверждение обновлений Windows10 для Круга 3— широкая группа ИТ-пользователей и нажмите кнопку ОК.
В диалоговом окне Автоматические утверждения нажмите кнопку ОК.
WSUS не учитывает существующие параметры отсрочки в месяцах, неделях или днях для CB или CBB. То есть если вы используете Центр обновления Windows для бизнеса на компьютере, обновления для которого контролируются WSUS, то когда WSUS утверждают обновление, оно будет установлено на компьютере независимо от настроенной с помощью групповой политики задержки.
Всякий раз когда обновления компонентов Windows10 публикуются в WSUS, они автоматически утверждаются для круга развертывания Круг 3— широкая группа ИТ-пользователей со сроком установки 1 неделя.
Утверждение и развертывание обновлений компонентов вручную
Можно вручную утвердить обновления и установить сроки для установки на консоли администрирования WSUS. Чтобы упростить процедуру утверждения вручную, для начала создайте представление обновлений программного обеспечения, которое содержит только обновления Windows 10.
Утверждение и развертывание обновлений компонентов вручную
На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Обновления. В области Действие выберите Новый режим просмотра обновлений.
В диалоговом окне Добавление режима просмотра обновлений выберите Обновления принадлежат конкретному классу и Обновления предназначены для конкретного продукта.
В разделе Шаг 2. Измените свойства щелкните любая классификация. Снимите все флажки, кроме Обновления, а затем нажмите кнопку ОК.
В разделе Шаг 2. Измените свойства щелкните любой продукт. Снимите все флажки, кроме Windows10, а затем нажмите кнопку ОК.
Windows10 находится в разделе Все продукты\Microsoft\Windows.
В поле Шаг 3. Укажите имя введите Все обновления Windows10 и нажмите кнопку ОК.
Теперь, когда у вас есть представление всех обновлений Windows10, выполните следующие действия, чтобы вручную утвердить обновление для круга развертывания Круг 4— широкая группа бизнес-пользователей.
На консоли администрирования WSUS перейдите в раздел Службы обновления\Имя_сервера\Обновления\Все обновления Windows10.
Щелкните правой кнопкой мыши обновление компонента, которое требуется развернуть, и нажмите Утвердить.
В диалоговом окне Утверждение обновлений в списке Круг 4— широкая группа бизнес-пользователей выберите Утверждено для установки.
В диалоговом окне Утверждение обновлений в списке Круг 4— широкая группа бизнес-пользователей выберите Срок, щелкните Неделя и нажмите кнопку ОК.
Если откроется диалоговое окно Лицензионное соглашение на использование программного обеспечения корпорации Майкрософт нажмите кнопку Принять.
Если развертывание завершено успешно, вы получите отчет об успешном выполнении операции.
В диалоговом окне Ход утверждения щелкните Закрыть.
Wsus требования
Windows Server Update Services. Системные требования
Windows Server Update Services. Системные требования
Поэтапное руководство для служб Windows Server Update Services 3.0 с пакетом обновления 2 (SP2)
Windows Server Update Services 3.0 (WSUS 3.0) с пакетом обновления 2 (SP2) предоставляет комплексное решение по управлению обновлением компьютеров вашей сети. В данном руководстве приведено описание основных операций по установке и развертыванию WSUS 3.0 с пакетом обновления 2 (SP2) в сети. В данном руководстве содержатся следующие разделы:
Системные требования Windows Server 2008
Системные требования к Windows Server 2012 R2 Essentials
Раздел для хранения обновлений минимум 200-250 Гб
Wsus требования
Свежеустановленный сервер обновлений WSUS через несколько лет эксплуатации превращается в неповоротливое чудовище. Клиенты медленно обновляются и долго ищут обновления, журналы WindowsUpdate.log пестрят ошибками HTTP, а администратор впадает в депрессию.
Вот несколько советов, которые могут во многих случаях значительно ускорить сервер.
1. Настройка IIS
2. Очистка базы
3. Переиндексация
4. Настройка TempDB
Настройка Internet Information Server
В конфигурации «по-умолчанию» пул приложений «WsusPool» незаслуженно обделён памятью. Это является главной причиной HTTP-ошибок сервера в журналах клиентов.
Чтобы прибавить процессу память, запустите оснастку IIS и откройте Advanced settings:
Установите в качестве лимита 0.
В консоли WSUS можно запустить «Server Cleanup Wizard». Главный секрет в том, что запускать его надо регулярно, не реже одного раза в месяц.
Одобрили свежую пачку обновлений — очистите сервер. Если этого не делать, мастер прекращает нормально работать. После запуска он висит несколько часов, после чего консоль падает с ошибкой.
Для начала можно попробовать запускать каждый пункт по отдельности, сверху вниз:
Если это не помогает, надо выполнить очистку напрямую в базе. Для этого необходимо подключиться к экземпляру SQL Server инструментом Management Studio. Management Studio стала отдельным продуктом. Его можно скачать по этой ссылке.
Если вы используете Windows Internal Database, необходимо поставить Management Studio на сервер с WSUS. Для подключения к экземпляру используется строка:
Для очистки базы выполните 4 волшебные команды:
Для команды spCompressUpdate используется «обёртка»:
Такая же обертка для spDeleteUpdate:
Во время работы «обёрток» клиенты прекращают получать обновления. Вы можете в любой момент прервать выполнение скрипта без потери прогресса. Для того, чтобы продолжить процесс, не забудьте удалить временную таблицу:
В мастере очистки 5 команд, мы вполнили 4 из них. Команду «Delete computers not contacting server» следует выполнить из мастера.
Переиндексация базы
Для переиндексации базы используйте следующий скрипт:
Настройка TempDB
Microsoft рекомендует:
As a general rule, if the number of logical processors is less than or equal to 8, use the same number of data files as logical processors. If the number of logical processors is greater than 8, use 8 data files and then if contention continues, increase the number of data files by multiples of 4 (up to the number of logical processors) until the contention is reduced to acceptable levels or make changes to the workload/code.
Эту рекомендацию не следует игнорировать. Я останавливаюсь на четырех файлах. Начальный размер файлов должен быть одинаковым. После этого ожидания, как правило, исчезают.
Спасибо за внимание. Знаете еще какие-то фишки — делитесь!
Контрольный список: решение типовых проблем сервера WSUS
Если после установки служб обновления WSUS возникли какие-либо проблемы, для их решения можно воспользоваться руководством по эксплуатации WSUS, содержащим подробные сведения по устранению неполадок для решения типовых проблем, возникающих с клиентскими компьютерами, сбоями загрузки и установки и т. д.
Если установить службу WSUS не удается, это может быть вызвано проблемами сети или невыполнением минимальных системных требований и предварительных условий для оборудования и программного обеспечения.
Решение проблем WSUS
При получении сообщения «Обновление не найдено. Возможна проблема подключения к сети» при попытке установить WSUS см. сведения в руководстве по устранению неполадок Центра управления сетями и общим доступом.
Руководство по работе с Центром управления сетями и общим доступом (
https://go.microsoft.com/fwlink/?linkid=140135 ) (страница может быть на английском языке).
Если при попытке установить службы WSUS получено другое сообщение об ошибке, возможно, не выполнены все минимальные системные требования, приведенные в заметках о выпуске.
При возникновении проблем после установки WSUS обратитесь к руководству по эксплуатации служб WSUS.
Wsus требования
- Windows 2000 Professional, Server � Advansed Server (SP3 ��� SP4);
- Windows XP Professional (SP1 ��� SP2 ��� ��� SP);
- Windows XP Professional x64 Edition;
- Windows XP Professional 64-bit Edition version 2003;
- Windows Server 2003 � ��������� ��������� (SP1 ��� ��� SP), ������� x64 Edition � ������ ��� ������ � ������������ Itanium;
- Windows Server 2003 R2 � ��������� ���������, ������� x64 Edition � ������ ��� ������ � ������������ Itanium;
- Windows Vista R2 � ��������� ���������.
2. Windows Small Business Server 2003.
- Windows Live Mail Desktop;
- Windows Live Toolbar.
4. Microsoft SQL server:
- SQL server 2000;
- SQL server Feature Pack;
- SQL server 2005.
5. Microsoft Office:
6. Windows Defender.
7. Microsoft Internet Security and Acceleration Server (ISA):
Развертывание WSUS на предприятии
Как получить мощное и надежное решение управления обновлениями В прошлом для применения программ-исправлений было достаточно собственных импровизированных решений. Но в настоящее время опасные программы распространяются очень быстро, и администратору нельзя
Как получить мощное и надежное решение управления обновлениями
В прошлом для применения программ-исправлений было достаточно собственных импровизированных решений. Но в настоящее время опасные программы распространяются очень быстро, и администратору нельзя полагаться на самостоятельные посещения пользователями Web-узла Microsoft Windows Update, чтобы поддерживать приемлемый уровень безопасности предприятия. 14 июня 2005 г. компания Microsoft выпустила очередные ежемесячные обновления, среди которых — десять бюллетеней безопасности. Три уязвимых места были отнесены к критическим, и аналитики предсказывали, что вредоносные программы, нацеленные на эти лазейки, появятся в течение недели. К счастью, несколькими днями раньше компания Microsoft выпустила первые компоненты новой инфраструктуры развертывания обновлений, в состав которых вошло надежное решение для управления исправлениями, Windows Server Update Services (WSUS).
Наряду с обновлением Windows и исправлениями для системы безопасности, WSUS обеспечивает развертывание драйверов, инструментов, пакетов обновлений, пакетов дополнительных функциональных возможностей, Microsoft Office 2003, Windows XP, Microsoft SQL Server и Microsoft Exchange Server. Но перед развертыванием WSUS на предприятии необходимо составить проект с учетом ключевых факторов и выбрать соответствующую топологию. В данной статье объясняются этапы подготовки плана развертывания WSUS на предприятии, но не уточняются детали установки WSUS; эта процедура подробно описана в статье Дугласа Тумбса «WSUS решает проблемы» (Windows IT Pro/RE № 6 за 2005 год).
В документе «Deploying Microsoft Windows Server Update Services», который можно загрузить с Web-узла WSUS компании Microsoft (http://www.microsoft.com/ windowsserversystem/updateservices), намечены основные принципы проектирования. Во-первых, необходимо сформулировать план обновления, в том числе стратегию, цели, ресурсы и процедуры. Затем необходимо выбрать ядро базы данных для WSUS, определить оптимальное местоположение серверов WSUS, выбрать файлы с исправлениями, которые следует получить, и место их хранения, и наметить план обслуживания групп клиентов. Ответив на эти вопросы, можно приступать к проектированию топологии WSUS.
Этап 1. Формулируем план обновления
Прежде чем приступить к работе, следует достичь соглашения между группой разработчиков и руководителями организации о необходимости управлять обновлениями, целях и способах применения WSUS. WSUS поддерживает разнообразные обновления для важнейших платформ и приложений Microsoft, а также развертывание исправлений для клиентов Windows 2000 и более новых версий. WSUS может работать и с продуктами независимых компаний, но пока ни один поставщик не воспользовался его возможностями, поэтому следует подумать, какие инструменты следует применять для обновления технологий и продуктов, не поддерживаемых WSUS.
Необходимо также определить типы обновлений, развертываемых через WSUS (например, исправления для системы безопасности, функциональные пакеты, драйверы, сборные пакеты и пакеты обновлений), и процедуру для идентификации, оценки, тестирования, развертывания и, при необходимости, диагностики и удаления обновлений. Следует учесть требования к отчетам о совместимости и определить соответствие отчетов WSUS стандартам предприятия. И наконец, назначить сотрудников, ответственных за управление.
Этап 2. Выбор базы данных
WSUS загружает обновления из службы Microsoft Update. Они состоят из файла обновления, распространяемого клиентам для установки, и метаданных, в которых указаны имя обновления, дата выпуска, номер редакции, целевые продукты и требования к перезагрузке. Метаданные загружаются в базу данных, выделенную для сервера WSUS, в которой также хранятся параметры настройки WSUS. По мере того как клиенты связываются WSUS, сервер вводит основные инвентарные сведения в базу данных. Статус процесса обновления также сохраняется в базе данных.
Для каждого сервера WSUS требуется особый экземпляр базы данных. Возможны следующие варианты базы данных:
- Microsoft SQL Server 2000 Desktop Engine (MSDE) с пакетом Service Pack 4 (SP4) на сервере WSUS, работающем с Windows Server 2003 или Windows 2000 SP4.
- Windows MSDE (WMSDE) на сервере WSUS с Windows 2003. WMSDE, поставляемая вместе с WSUS, представляет собой специальную усовершенствованную версию MSDE и эффективное решение для многих реализаций WSUS.
- SQL Server 2005 или SQL Server 2000 SP4 на сервере WSUS или внутреннем сервере. Необходимо активизировать режим вложенных триггеров, а экземпляр SQL Server должен использовать проверку подлинности Windows Authentication. Данные WSUS могут храниться в экземпляре SQL Server на другой системе; подробности см. в документации по WSUS.
Выбор оптимальной базы данных для сервера обновления зависит от аппаратной платформы, числа клиентов, которое поддерживает сервер, и готовности предприятия платить за лицензии. Для каждого сервера WSUS требуется особый экземпляр SQL Server, MSDE или WMSDE; удаленная централизованная система SQL Server не обеспечивает работу нескольких серверов WSUS. Рекомендуется начать с WMSDE на системе Windows 2003 и отслеживать производительность.
Этап 3. Выбор местоположения серверов WSUS
WSUS может работать с Windows 2003 или Windows 2000 Server SP4, в том числе Small Business Server (SBS) 2003. Служба WSUS несовместима с 64-разрядными платформами Windows 2003. Такие системы могут получать обновления из WSUS, но не поддерживают развертывание обновлений для других клиентов. Специалисты Microsoft рекомендуют использовать Windows 2003 вместо Windows 2000 Server SP4, так как базовый исходный код Windows 2003 более надежно защищен и располагает WMSDE.
Для WSUS также необходимы инфраструктура Windows .NET Framework 1.1 с пакетом SP1, Background Intelligent Transfer Service (BITS) 2.0, Windows HTTP Services (Win-HTTP) 5.1, Microsoft Internet Information Services (IIS) 6.0 (for Windows 2003) или IIS 5.0 с IIS Lockdown (для Windows 2000 Server), Microsoft Internet Explorer (IE) 6.0 с SP1 и локальная база данных (за исключением конфигурации с удаленным SQL Server). Эти требования к программному обеспечению могут определить выбор сервера, так как влияют на ранее установленные службы и приложения на существующем сервере.
WSUS необходимо установить на автономном сервере, а не на контроллере домена (DC). Применение WSUS на DC приемлемо для малой компании или филиала, но при таком подходе на любом предприятии снижается производительность и возникают проблемы с безопасностью. Если WSUS установлен на контроллере домена Windows 2000, то следует изучить конкретные проблемы DC по документации. WSUS можно установить и на SBS, но при этом следует обратиться к документации, чтобы избежать конфликтов между WSUS, Web-сервером компании и Windows SharePoint Services. Лучший вариант — установить WSUS на автономном сервере.
Для администрирования WSUS и управления исправлениями учетная запись должна входить в локальную группу Administrators. Нельзя делегировать права администрирования WSUS или обновления без делегирования административных полномочий для всего сервера, поэтому необходимо установить WSUS на выделенном сервере.
Для повышения производительности серверы WSUS следует разместить так, чтобы они минимально загружали сетевые каналы. Сервер WSUS должен загружать метаданные обновления и, в большинстве случаев, файлы обновления от службы Microsoft Update или вышестоящего сервера WSUS. Каждый клиент, направляемый на сервер WSUS, опрашивает и, как правило, загружает файлы обновления с сервера, поэтому типовое решение — размещать серверы WSUS в офисах, соединенных медленными каналами. Необходимо также учитывать число пользователей каждого WSUS-сервера и отслеживать узкие места, влияющие на производительность сервера.
Этап 4. Выбор файлов обновлений
После того как клиенты установят соединение с сервером WSUS, они получают от него список подтвержденных обновлений, сообщают, нужны ли обновления, и информируют сервер о статусе установки обновлений. Клиентов можно настроить на загрузку обновлений с сервера WSUS или от службы Microsoft Update.
Преимущество локального хранения файлов обновлений заключается в снижении нагрузки на внешние каналы связи: сервер WSUS загружает файлы обновления в сеть, а затем распространяет их среди клиентов. BITS 2.0, технология загрузки обновлений от Microsoft Update на сервер WSUS а затем на клиентские компьютеры, более эффективно использует пропускную способность сети, чем служба Microsoft Software Update Services (SUS). Если из-за местоположения клиента в сети процесс загрузки обновлений с WSUS-сервера неэффективен, можно настроить WSUS таким образом, чтобы клиенты получали список подтвержденных обновлений от сервера, но загружали обновления самостоятельно через службу Microsoft Update.
Полезная функция — файлы экспресс-установки, с помощью которых через WSUS распространяются только изменившиеся биты, а не целые обновления. Измененные биты применяются к существующим файлам в клиентах. Экспресс-установку обновлений иногда называют дельта-доставкой, так как на клиентские системы пересылаются только различия между версиями файлов.
Недостаток экспресс-установки заключается в том, что WSUS-сервер должен загружать различные дельта-варианты для каждой версии файла. Вместо загрузки одного файла обновления сервер загружает файл, содержащий все возможные варианты. Тем не менее экспресс-установка экономит ресурсы сетевых каналов связи, так как клиенты загружают лишь биты, необходимые для изменения текущей версии файла. На рис. 1 показаны различия между обновлением с полными файлами и экспресс-установкой.
Этап 5. Подготовка группового плана
WSUS позволяет организовать целевые группы клиентов и применять исправления к конкретным группам. Состав групп должен соответствовать стратегии обновления на предприятии. Типовые стратегии группирования клиентов — по типу (серверы, настольные компьютеры, ноутбуки), роли (руководитель, разработчик), фазе применения исправлений (тестирование, пилотный этап, развертывание, не устанавливать исправления), конфигурации клиента (простая/управляемая, сложная/неуправляемая — компьютеры со сложной конфигурацией трудно диагностировать или вернуть в прежнее состояние) и приоритету обновления (критическая, нормальная, низкая).
Завершив деление на группы, необходимо определить компьютеры, принадлежащие к каждой группе, и выбрать WSUS-сервер, с которого загружает обновления каждый компьютер. Эти факторы влияют на топологию, о чем будет рассказано ниже. Построить рабочие группы для WSUS сложно; об этом процессе будет рассказано в одной из следующих статей.
Этап 6. Выбор топологии
После завершения этапа планирования можно проанализировать топологии WSUS и выбрать оптимальную структуру среды. Варианты конфигурации сервера — единичная, иерархическая или цепочечная, сервер-реплика, неподключенная и множественная.
Для реализации топологии следует обратиться на административный Web-узел WSUS, http://WSUSservername/WSUSAdmin (где WSUSservername — имя сервера WSUS) и выбрать пункты Options, Synchronization Options. В разделе Update Source представлены режимы получения исправлений. Первый режим, выбираемый по умолчанию, используется для загрузки обновлений от службы Microsoft Update. Такая конфигурация — основа односерверной топологии. Обновления можно получать и от вышестоящего (upstream) сервера WSUS.
Единственный сервер. Топология с одним сервером WSUS — самая простая. Если инфраструктура обновления на предприятии может функционировать только с одним сервером, то в качестве источника обновления следует выбрать службу Microsoft Update. После того как обновления будут загружены на сервер, их можно подтвердить и ориентировать на группу компьютеров, и клиенты будут загружать соответствующие исправления с сервера. Целевые группы, которые будут подробно описаны в будущей статье, можно использовать для передачи обновлений на определенные компьютеры. На рис. 2 показана односерверная топология.
Иерархические или цепочечные серверы. Если сайт обслуживает много клиентов, то можно развернуть несколько серверов WSUS, чтобы повысить производительность. Расположив несколько серверов в одном месте, можно обслуживать большое количество пользователей или пересылать обновления на серверы, расположенные в разных географических точках (рис. 3).
При использовании односерверной топологии WSUS-сервер получает обновления от Microsoft Update. Но в конфигурации с несколькими серверами обновления часто поступают от других WSUS-серверов. Сервер, предоставляющий обновления, — вышестоящий (upstream); серверы, которые получают обновления от вышестоящего сервера, называются нижестоящими (downstream). Технически глубина иерархической структуры не ограничена, но протестированная компанией Microsoft глубина составляет только пять серверов WSUS. Максимальная глубина иерархии определяется приемлемым временем задержки между подтверждением исправления на самом верхнем сервере и его установкой на серверах и клиентах нижнего уровня; увеличивать глубину сверх трех уровней не рекомендуется.
Для корректной реализации иерархической топологии необходимо понимать принципы настройки конфигурации и обработки исправлений. Конфигурация должна быть согласована по всей иерархии. Например, файлы обновлений должны храниться в одном месте во всех серверах — сервер не может хранить файлы обновлений в Microsoft Update, если вышестоящий или нижестоящий серверы хранят файлы локально, и наоборот. Фильтры контента (подписки на категории продуктов, классификации обновлений и языки) также должны быть унифицированы. Файлы экспресс-установки необходимо применять единообразно.
Можно независимо управлять списком подтвержденных обновлений на каждом сервере WSUS в иерархической топологии. Но следует помнить, что сервер самого высокого уровня подтверждает обновления, поступающие от Microsoft Update, и в нижестоящие серверы загружаются только исправления, подтвержденные вышестоящим сервером. Нижестоящим серверам неизвестно об обновлениях, которые не были подтверждены вышестоящим. В сущности, вышестоящие серверы составляют глобальный список одобрения, и нижестоящие серверы строят такой же список обновлений или подмножество этого списка.
Каждый сервер в иерархической топологии позволяет одобрять и обрабатывать отдельные исправления, поэтому администратор может применить централизованную или децентрализованную модель управления. Для распределенной, централизованно управляемой иерархической топологии нижестоящие серверы следует настроить на автоматический прием всех обновлений, одобренных вышестоящим сервером. Для распределенной, децентрализованной иерархической топологии администраторы нижестоящих серверов WSUS должны иметь возможность настроить собственные правила одобрения и автоматического принятия. Этот подход типичен для крупных предприятий с территориально распределенными подразделениями. Центральный сервер WSUS управляет глобальным списком подтвержденных обновлений, а администраторы нижестоящих серверов управляют подтверждением для клиентов, использующих их серверы.
Если применяется иерархическая модель, то не следует задействовать режим отложенной загрузки (он будет описан в следующей статье). В этом режиме можно задержать пересылку обновлений нижестоящим клиентам, особенно если их отделяет от сервера более одного уровня иерархии.
Серверы WSUS — тоже клиенты, и их также необходимо обновлять. В иерархической модели требуется направить WSUS-серверы на самый нижестоящий WSUS-сервер для получения обновлений. Такой метод кажется неестественным. Это сделано для того, чтобы иметь возможность в будущем применять исправления к WSUS-файлам. Если компания Microsoft выпустит исправление для WSUS и вышестоящий сервер применит ее таким образом, что нижестоящие серверы не смогут обращаться к вышестоящему, то обновление никогда не достигнет нижнего уровня, и весь процесс обновлений будет блокирован. Поэтому необходимо обеспечить распространение обновлений вниз перед тем, как серверы WSUS обновят себя. Кроме того, самый нижний сервер должен обновить себя последним. Рекомендуемый метод решения этой задачи — сделать данный сервер отдельной целью (поместить сервер в собственную целевую группу компьютеров) и одобрять WSUS-обновления после того, как они будут применены к существующим WSUS-серверам. И наконец, чтобы успеть передать обновления вниз до самообновления WSUS-серверов, следует ограничить число уровней модели.
Серверы-реплики. Сервер-реплика — это зеркальное отражение вышестоящего WSUS-сервера. На рис. 4 показана топология WSUS-репликации. В отличие от нижестоящего сервера в иерархической топологии, сервер-реплика целиком тиражирует конфигурацию вышестоящего партнера, вместе с обновлениями, подтверждениями, целями и группами. Единственная уникальная особенность сервера-реплики — управление членством в группе компьютеров. Клиент связан только с одним сервером WSUS, поэтому компьютер принадлежит к группе только одного WSUS-сервера. Сервер-реплика содержит те же имена группы, что и вышестоящий сервер, и подтвержденные обновления нацеливаются аналогично, но членство в группе для сервера-реплики уникально.
Например, на предприятии может быть принята модель целевых компьютерных групп, в которые входят группы Test, Critical, Important, Low Risk и Do Not Update. Если используется топология репликации, то обновления, подтвержденные администратором и предназначенные для каждой группы, синхронизируются с каждым сервером-репликой. Каждый филиал или подразделение может иметь сервер-реплику WSUS. Серверы-реплики управляют членством в своих группах самостоятельно.
Эта топология обеспечивает централизованное одобрение, но распределяет обновления по многим серверам. Настройка серверов-реплик выполняется в процессе установки WSUS. Для настройки существующего WSUS-сервера в качестве реплики необходимо переустановить WSUS.
Отключенные серверы. WSUS позволяет использовать инструмент командной строки Wsutil для экспорта обновлений с одного сервера и их импорта на другой. Функция экспорта-импорта полезна для обновления клиентов, расположенных в области сети, отключенной от Internet или остальной части сети. Например, этот подход могут использовать организации с закрытыми сетями или администраторы скрытых сетей. Администратор экспортирует подтвержденные обновления из сетевого сервера WSUS, переносит их на сменном носителе в автономную сеть и импортирует обновления в отключенный WSUS-сервер.
Множественные серверы. Топология с несколькими серверами — это просто тиражирование топологии с одним сервером. Несколько WSUS-серверов получают обновления от службы Microsoft Update. Каждый сервер управляется отдельно и может иметь уникальную конфигурацию, уникальные параметры и списки подтверждения. Такую топологию имеет смысл реализовать на предприятии с высоким уровнем централизации, каждое подразделение которого отвечает за управление своими обновлениями.
Топология с несколькими серверами также необходима, если часть пользователей устанавливает коммутируемое соединение с сетью компании или работает через VPN-соединение. Пусть правила подтверждения и исправления хранятся локально на корпоративном WSUS-сервере. Внутренние клиенты получают подтверждения и исправления с этого сервера. Чтобы уменьшить нагрузку на каналы связи, рекомендуется направить удаленных пользователей на WSUS-сервер для подтверждения исправлений и передачи отчетов и в службу Microsoft Update для загрузки обновлений (рис. 5). Проблема возникает из-за того, что WSUS-сервер внутренних клиентов хранит файлы локально, а WSUS-сервер удаленных клиентов — нет. В нисходящей иерархической топологии и топологии с сервером-репликой все серверы должны хранить файлы обновления в одном месте. Таким образом, для удаленных пользователей необходим автономный WSUS-сервер. Администратор должен вручную подтвердить обновления на этом сервере отдельно от внутреннего WSUS-сервера — нельзя экспортировать и импортировать только подтверждения.
Компании Microsoft предстоит решить эту проблему в следующей редакции WSUS. Альтернативное решение — настроить внутренний сервер на загрузку файлов экспресс-установки. Благодаря эффективности инкрементного обновления и BITS 2.0 устраняется необходимость в отдельном WSUS-сервере для подтверждения обновлений для удаленных пользователей.
На старт, внимание.
Перед внедрением WSUS следует оценить стратегию обновления, цели, ресурсы и процедуры; выбрать серверы и базу данных; определить, какие обновления требуется загружать, где их хранить и на каких компьютерах развертывать. Только после этого можно выбрать оптимальную топологию модернизации для предприятия.
Развернуть WSUS на предприятии — сложная задача. В следующей статье я расскажу о том, как установить и настроить WSUS и клиент Automatic Updates в корпоративной среде.
Дэн Холм - Директор по учебной работе компании Intelliem, которая предоставляет обучение с акцентом на решении практических задач и консультации по внедрению Windows и Active Directory на предприятии. [email protected]
Описание проекта
Проблема: подготовка плана развертывания WSUS на предприятии.
Требуются: схема топологии сети; инвентаризация операционных систем Microsoft и приложений в каждом узле; инвентаризация серверов и рабочих станций в каждом узле.
Сложность: 2 из 5
Этапы проекта:
- Сформулировать план обновления.
- Выбрать ядро базы данных.
- Определить местоположение серверов WSUS.
- Определить необходимые файлы обновления и место их хранения.
- Подготовить план группового обслуживания.
- Построить топологию.
Поделитесь материалом с коллегами и друзьями