всё поднял идёт синхронизация, всем спасибо! если никто не против выложу статейку благодаря, которой у меня всё заработало
Каждому по заплатке. Поднимаем сервер обновлений на базе Win2k8 и WSUS 3.0 SP2
Ульяна Смелая
Сервер обновлений WSUS хорошо известен многим администраторам как гибкое и удобное средство организации централизованного обновления систем и продуктов от Microsoft. С его помощью можно не только контролировать процесс распространения заплаток и собирать сведения о безопасности всей сети, но и существенно экономить внешний трафик.
Сервер SUS/WSUS, установленный на одном из компьютеров в локальной сети, подменяет Microsoft Update и периодически синхронизируется с сайтом Microsoft, скачивая одобренные администратором обновления. Клиентские системы с установленной и соответствующим образом настроенной службой Automatic Updates (является частью Win2k SP4, WinXP, Win2k3, Vista и Win2k8) загружают патчи, драйвера и сервис-паки не напрямую с Microsoft Update, а с внутреннего сервера. Такой подход имеет несколько преимуществ, главные из которых: тотальный контроль за обновлениями и экономия трафика. Последнее достигается за счет того, что обновления с сайта Microsoft скачиваются только один раз. Так как все файлы находятся в локальной сети, то и установка обновлений происходит заметно быстрее (немаловажно, когда дело касается исправления критических ошибок и уязвимостей в корпоративной среде). Весь процесс полностью управляем и меньше отвлекает пользователя от работы.
От версии к версии
Первый релиз сервера обновлений (тогда он еще назывался SUS, – Software Update Services) датирован 2002 годом. Три года спустя вышел WSUS (Windows Server Update Services) 2.0, хотя его нельзя назвать существенным прорывом вперед. Главные усовершенствования касались поддержки более широкого спектра программ и несколько упрощенного интерфейса управления.
В 2007 году увидела свет третья версия сервера обновлений, – как для 32-, так и для 64-битных платформ. Вместо веб-интерфейса теперь используется консоль управления на основе MMC (Microsoft Management Console). Это сделало WSUS более удобным в настройке. Новая версия отличается высокой масштабируемостью и умеет взаимодействовать с другими серверами WSUS 3.0 в кластере (в таком случае используется общая база данных). Из других удобств/новшеств отметим: возможность работы с группами компьютеров при развертывании исправлений, установку критериев для задания, составление детальных отчетов, расширенный список приложений. Усовершенствования оценят администраторы, обслуживающие большое число компьютеров в разветвленной среде.
На сегодня актуальной является обновленная версия WSUS 3.0 SP2. В ней поддерживается клиент обновлений Vista и установка на Win2k8, большее количество языков, новая версия WMSDE (Microsoft SQL Server Desktop Engine) SP4, плюс все изменения и исправления, которые были выпущены с момента издания WSUS RTM.
Готовимся к установке
Для установки WSUS 3.0 SP2 потребуется компьютер, работающий под управлением Win2k3 SP1, Win2k3 SBS (Small Business Server) или Win2k8. Консоль управления допускает удаленное администрирование и может быть установлена на любом другом компьютере с ОС от WinXP SP2 до Win2k8. Список дополнительных компонентов, которые необходимо предварительно установить на компьютере, предназначенном для сервера WSUS, зависит от используемой версии ОС. В Win2k8 следует установить веб-сервер IIS 7.0, входящий в штатную поставку. Делается это стандартным способом – при помощи мастера добавления ролей, вызываемого нажатием ссылки «Добавить роли» в «Диспетчере сервера». После выбора роли «Веб-сервер (IIS)» появится запрос на установку компонента «Служба активации процессов Windows». Соглашаемся, нажав «Добавить необходимые компоненты». На этапе выбора «Служб ролей» отмечаем Windows Authentication (Windows – проверка подлинности), ASP.NET (здесь снова появится запрос на установку служб ролей и компонентов; подтверждаем все), отмечаем ветку IIS Management Compatibility («Совместимость управления IIS 6») и подпункт Metabase Compatibility IIS 6 («Совместимость метабазы IIS 6»). Выбираем все эти компоненты и устанавливаем IIS. Элементы BITS 2.0 и .NET Framework 2.0, требуемые в Win2k3, уже являются частью Win2k8, и это упрощает задачу. Останется только доустановить Microsoft Report Viewer Redistributable 2008 (http://www.microsoft.com/downloads/en/details.aspx?FamilyID=BB196D5D-76C2-4A0E-9458-267D22B6AAC6).
Для хранения информации может использоваться идущий в комплекте WMSDE. При большом количестве обновляемых клиентов в качестве внешнего SQL-сервера можно использовать SQL Server 2005 SP2 (go.microsoft.com/fwlink/?LinkId=84823). Так как программа установки WSUS 3.0 включает режим RECURSIVE_TRIGGERS, то в SQL Server должна быть активирована функция вложенных триггеров. Для проверки ее работоспособности используй процедуру sp_configure, при помощи которой можно получить доступ ко всем параметрам конфигурации:
sp_configure 'nested triggers'
Управление SQL Server лучше производить при помощи графического инструмента SSMS (SQL Server Management Studio). Как вариант, сценарии SQL можно запускать из командной строки. Например, в пакет дополнений для Microsoft SQL Server 2005 включена программа SQLCMD (Microsoft SQL Server 2005 Command Line Query Utility), которая позволяет подключаться к SQL Server для управления его работой. Оба пакета лежат в свободном доступе на сайте Microsoft.
Системные требования по сравнению с предыдущими версиями, в общем-то, не изменились. Для WSUS необходим раздел, отформатированный в NTFS (стоит отметить, установка на сжатые диски не поддерживается). Системный раздел должен иметь 1 Гб свободного места для WSUS, еще 2 Гб потребуется для хранения баз данных и около 20 Гб – для файлов обновлений. Последняя цифра весьма условна и может изменяться в любую сторону (лучше, когда места на разделах с запасом).
Так как Windows Update работает по стандартным HTTP- и HTTPS-протоколам, соответствующие порты должны быть разрешены межсетевым экраном. Если выход осуществляется через прокси-сервер, последний должен поддерживать, соответственно, обычную и защищенную версии протокола передачи гипертекста.
Если производится установка на 64-разрядной платформе, то все компоненты IIS должны работать в основном режиме. Когда какие-либо компоненты IIS используют режим 32-разрядной совместимости, установка, скорее всего, закончится неудачей.
В процессе инсталляции WSUS 3.0 на Win2k8 могут возникнуть проблемы с настройками IIS. В этом случае необходимо проверить и, возможно, обновить конфигурационный файл веб-сервера %WINDIR%\system32\inetsrv\applicationhost.config. Смотрим, чтобы под тегом <System.webServer><modules> отсутствовал элемент <add name="CustomErrorMode">, а под тегом <System.webServer><modules> добавляем элемент <remove name="CustomErrorMode">. В результате, содержимое конфига должно выглядеть так:
<System.webServer>
<modules>
<remove name="CustomErrorMode">
</modules>
</System.webServer>
Для развертывания сервера обновлений требуются права Администратора на локальной системе. Кроме того, сервер WSUS и клиентские компьютеры должны принадлежать одному домену Active Directory. Если это не так, между доменами должны быть установлены доверительные отношения.
Возможно обновление сервера WSUS 2.0 и финальной (RTM - Release to manufacturing) версии WSUS 3.0 до WSUS 3.0 SP1. Обновление с бета-версии WSUS 3.0 не поддерживается, – ее придется удалить перед установкой. Все оговорки и ограничения по обновлению описаны в документе «Заметки о выпуске Microsoft Windows Server Update Services 3.0», который доступен на Microsoft TechNet.
Устанавливаем WSUS
Скачиваем установочный файл WSUSSetup_30SP2_x86.exe (в данном случае – для 32-битной версии) с сайта Microsoft и запускаем. Язык мастера установки выбирается автоматически в зависимости от системных настроек. На первом шаге следует выбрать режим установки:
Полная установка сервера, включая консоль администрирования;
Только консоль администрирования.
При начальной установке или обновлении сервера выбираем первый вариант. Будет произведен анализ конфигурации системы, и, если найдутся проблемы (например, отсутствует IIS), процесс завершится неудачей, а в окне мастера предложат соответствующие рекомендации. Принимаем условия лицензионного соглашения и на следующем шаге определяем, станем ли хранить обновления на локальном диске или каждый раз их нужно загружать с узла Microsoft Updates. Как уже говорилось, первый вариант является основной причиной, по которой устанавливают WSUS. Поэтому оставляем флажок «Хранить обновления локально» активированным. По умолчанию обновления хранятся в системном разделе (C:\WSUS). Непрактично, так как в определенный момент может оказаться, что заполнено все свободное место. А это, как минимум, отразится на производительности ОС! Для хранения обновлений лучше использовать каталог, находящийся на другом разделе или диске, на который указываем в строке внизу. На следующем шаге выбираем, будем ли использовать внутреннюю базу данных или следует подключиться к уже работающему серверу баз данных. Внутренняя БД по умолчанию создается в системном разделе. Здесь поступаем аналогично обновлениям - указываем на другой диск.
Если будет использована существующая база данных, то в поле внизу указываем настройки для подключения. Работающая СУБД, установленная на локальном компьютере, подхватывается автоматически – достаточно выбрать ее в раскрывающемся списке «Существующий сервер баз данных на этом компьютере». На этапе выбора веб-узла при помощи переключателя «Предпочитаемый веб-узел» указываем, какой будем использовать веб-узел для служб WSUS. По умолчанию предлагается «Использовать существующий веб-узел IIS». Клиентские компьютеры настраиваются на адрес сервера WSUS, порт 80. Если этот порт занят, используем альтернативный вариант - создаем отдельный веб-узел WSUS. В этом случае для подключения клиентов будет задействован порт 8530. В поле внизу после настроек дается полный адрес, который должен использоваться клиентами для подключения. В последнем окне мастера выводится резюме по установке. Для начала установки нажимаем «Далее» и ждем окончания процесса.
Управление настройками WSUS производится из консоли «Update Services». Ярлык для ее вызова находится в меню «Администрирование».
Настройка исправлений
Интерфейс консоли «Update Services» стандартен, и сложностей с его освоением возникнуть не должно. По умолчанию производится подключение к локальной системе. При помощи одной консоли можно управлять сразу несколькими серверами WSUS (достаточно выбрать в контекстном меню пункт «Подключить к серверу» и ввести параметры другой системы). Перед началом работы следует настроить параметры обновлений. В подпункте «Параметры» – аж 13 пунктов. Чтобы не заглядывать в каждый, можно воспользоваться услугами «Мастера настройки сервера WSUS» (WSUS Server Configuration Wizard). Все шаги мастера хорошо прокомментированы, так что просто следуй его рекомендациям.
Первым делом задаем узел, с которого будут забираться обновления. По умолчанию это Microsoft Update, но если в сети организации уже есть рабочий сервер WSUS, то его можно указать на шаге «Выбор вышестоящего сервера». В предложенных полях прописываем имя и порт. Подчиненный сервер WSUS может использовать свою политику обновлений или быть репликой вышестоящего. Второй вариант упрощает администрирование, так как все настройки производятся на главном сервере. Опционально можно разрешить использование защищенного SSL-соединения с вышестоящим сервером. Если подключение производится через прокси, его адрес, порт и учетные данные для доступа вводим на следующем шаге мастера. В правильности этих установок можно убедиться, нажав кнопку «Далее». Для получения информации о доступных типах обновлений, продуктах и языках мастер произведет подключение к выбранному узлу Windows Update. Нажимаем кнопку «Начать подключение» и ждем. По окончании процесса откроются дальнейшие настройки.
Следующий шаг - выбираем языки, для которых будут закачиваться обновления, затем продукты Microsoft и классы обновлений (драйвера, критические обновления, пакеты новых функций и т.д.) Внизу дается подсказка о назначении выбранного класса обновлений. К сожалению, особой гибкости по загрузкам обновлений WSUS не предлагает. Невозможно выбрать, например, для английской версии Win2k3 установку только критических обновлений, а для русской - всего остального. Придется тянуть все, а затем отбирать вручную. На следующем шаге настраиваем расписание синхронизации. По умолчанию мастер предлагает использовать ручной режим. Удобнее переключиться на автоматический, указав количество согласований в день (Synchronization per day). Чтобы произвести синхронизацию по окончании работы мастера, устанавливаем флажок «Запустить первоначальную синхронизацию» (Begin initial synchronization).
Дальнейшие действия довольно просты. Сначала создаем группы компьютеров, куда включаем системы с одинаковыми настройками. Это позволит определить обновления для однородных систем. В списке по умолчанию присутствует группа «Все компьютеры» с одной подгруппой «Неназначенные компьютеры» (Unassigned), в которую включаются все новые компы. Новая группа создается при помощи пункта «Добавить группу компьютеров» контекстного меню, вызываемого по щелчку на значке «Все компьютеры». Можно создать любое количество групп, – был бы только смысл (ограничений на их число не существует).
Возможно, ты предпочтешь и другой вариант распределения по группам – при помощи групповых политик. Для его активации установи флажок «Использовать на компьютерах групповую политику или параметры реестра», который находится в «Параметры –> Компьютеры».
Не секрет, что установка некоторых обновлений может вызвать проблемы в работе систем. Поэтому неплохо бы вначале протестировать свежескачанные пакеты на небольшой группе компьютеров, и, если обновление не скажется на их стабильности, распространять и на остальные клиентские хосты.
Когда компьютеры распределены по группам, а список обновлений синхронизирован, осталось лишь обновить выбранные системы. К сожалению, явного индикатора процесса синхронизации в консоли WSUS не предусмотрено. Чтобы увидеть, в каком состоянии сейчас находится этот процесс, перейди в подпункт «Синхронизация».
В подпункте «Обновления» находим список доступных обновлений, разбитых по группам: Все обновления, Критические обновления, Обновления безопасности и Обновления WSUS. Реализована возможность поиска обновлений, быстрый отбор по фильтру и создание постоянного окна «Новый режим просмотра обновлений», где будут представлены отобранные по фильтру обновления. Щелчок по заголовку позволяет получить подробную информацию. Отобранные обновления нужно одобрить, выбрав одноименный пункт в контекстном меню. В появившемся окне, в меню группы компьютеров, для которой планируется применить обновление, выбираем пункт «Одобрено для установки». Возможно и автоматическое одобрение обновлений.
Заключение
Настройка сервера WSUS никогда не была архисложной задачей. Подобрав параметры обновления для различных групп компьютеров, можно полностью перейти на автоматический режим. Администратору нужно лишь контролировать его работу, периодически лениво просматривая отчеты.
Управление клиентскими системами
Самостоятельно настроить рабочую станцию на использование сервера WSUS можно при помощи редактора групповых политик gpedit.msc (в WinXP Home Edition его нет). Настройки Windows Update находятся в Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows. При отсутствии такого пункта добавь шаблон wuau.adm.
Переходим в «Указать размещение службы обновлений Microsoft в интрасети», устанавливаем переключатель в положение «Включен» и в строке внизу прописываем данные сервера WSUS и сервера, на который будет отправляться статистика. В обоих случаях можно назначить один и тот же сервер, указав его адрес в виде
http://WSUS/. Пункт «Разрешить клиенту присоединиться к целевой группе» позволяет установить группу обновлений WSUS, если сервер обновлений это допускает. Через несколько минут компьютер появится в списке «Неназначенные компьютеры» (Unassigned Computers). Пункт «Настройка автоматических обновлений» позволит настроить реакцию системы при появлении новых обновлений на узле WSUS.
Для немедленного обновления на клиенте можно использовать команды «gpupdate /force», «wuauclt /detectnow» и «wuauclt /downloadnow». Обновления закачиваются в каталог %WINDIR%\SoftwareDistribution\Download.
