Windows Server Update Services (WSUS): Ustawienia. Aktualizacja offline WSUS

W przypadku wersji systemu Windows po stronie serwera, aktualizacja systemu i /lub oprogramowanie zainstalowane w podrzędnych terminalach mogą zostać ponownie uruchomione stosunkowo niedawno dzięki specjalnemu narzędziu, które otrzymało skrótową nazwę jako skrót WSUS. Co to jest? Zasadniczo to oprogramowanie jest unikalnym wydaniem, które pozwala odmówić używania każdego komputera, który jest zawarty w sieci lokalnej, niezależnego kanału internetowego do instalowania aktualizacji. Jak to wszystko działa i kto potrzebuje konfiguracji, będzie nadal mówić.


Usługi Windows Server Update Services: co to jest i dlaczego?

Mówiąc o tej usłudze w prostym języku, można ją opisać jako oprogramowanie do automatycznej aktualizacji systemu operacyjnego i oprogramowania, zainstalowane wyłącznie na serwerze, do którego podłączone są inne terminale użytkowników, zintegrowane w jedną lokalną lub wirtualną sieć.
Ponieważ aktualizacja jest wydana przez firmę Microsoft dla swoich produktów z godną pozazdroszczenia regularnością, muszą być zainstalowane na wszystkich komputerach w sieci, co jest dość problematyczne, jeśli ma ich więcej niż kilkanaście. Aby uniknąć podobnych czynności na każdym terminalu, możesz skorzystać z funkcji WSUS Offline Update, gdy główna aktualizacja jest instalowana tylko na serwerze, a następnie "brzęczona" na wszystkich innych komputerach. Korzyści z tego podejścia są oczywiste, ponieważ wykorzystanie ruchu internetowego jest zmniejszone (gdy pobieranie sieci nie jest wczytywane) i oszczędza czasInstalowanie aktualizacji, które po odpowiednim skonfigurowaniu na oprogramowaniu serwera centralnego zostaną automatycznie zaimplementowane.


Wymagania instalacyjne

Programu WSUS nie można ustawić i używać bez wielu warunków początkowych. Tutaj należy zwrócić uwagę na główne komponenty, które należy najpierw pobrać i zainstalować na serwerze, jeśli ich brakuje.
Jako priorytet można wyróżnić następujące składniki:
  • Wersja systemu operacyjnego Windows Server 2003 do 2003 (przynajmniej z pierwszym dodatkiem Service Pack);
  • wersja platformy .NET Framework nie jest niższa niż 2.0;
  • rola serwera IIS 6.0 lub nowszego;
  • Report Viewer firmy Microsoft Modification 2008;
  • SQL Server wersja 2005 z drugim dodatkiem Service Pack;
  • Microsoft Console Management Wersja 3.0.
  • Proces instalacji

    W rzeczywistości instalacja programu WSUS obejmuje również rezerwowanie wolnego miejsca na dysku w serwerze w ilości około 100 GB (położenie folderu aktualizacji pamięci jest wskazywane w pierwszym kroku po uruchomieniu głównego instalatora).
    Lokalizacja bazy danych jest wtedy ustawiona jako osobny katalog (lepiej przydzielić około 2-4 GB).

    Parametry bazy danych serwera WWW

    Zasadniczo domyślny instalator sam oferuje instalację wewnętrznych baz danych, ale w celu uproszczenia procesu można również użyć istniejącego serwera bazy danych.
    W takim przypadku konieczne będzie samodzielne zarejestrowanie jego nazwiska, które odpowiada identyfikatorowi terminala w sieci. Pierwsze dwie opcje mogą być używane do otrzymywania aktualizacji z serweraMicrosoft lub z wewnętrznego serwera. Prawdą jest, że istnieje również trzecia opcja - instalacja baz danych na zdalnym terminalu. Jednak taki schemat dotyczy głównie przypadków, w których konieczne jest rozpowszechnianie aktualizacji do odległych podmiotów stowarzyszonych z dodatkowego serwera aktualizacji.

    Wybór portu

    W następnym etapie konfiguracji programu WSUS konfiguracja wymaga wyboru portu. Należy to bardzo ostrożnie, ponieważ wprowadzenie nieprawidłowych wartości może prowadzić tylko do tego, że cały system nie będzie działać.
    Zauważ, że domyślnym portem do użycia jest 80 port. Możliwe jest oczywiście pozostawienie go, ale lepiej (i jest to potwierdzone przez praktykę) używać numeru portu 8530 (8531). Ale to podejście ma zastosowanie tylko wtedy, gdy musisz skonfigurować proxy.

    Wybór aktualizacji

    Kolejnym etapem instalacji programu WSUS jest skonfigurowanie ustawień uzyskiwania aktualizacji z serwera wyższego poziomu. Innymi słowy, musisz określić, gdzie pobierze aktualizację. Dostępne są dwie opcje: albo zsynchronizuj z serwerem Microsoft Update lub z innym terminalem zdalnym. Lepiej jest skorzystać z pierwszej opcji.

    Konfigurowanie usługi WSUS w domenie

    Następnie, aby uzyskać prawidłowe usługi do zainstalowania, należy wybrać języki używane w sieci. Możesz zainstalować dowolną z proponowanych list, ale angielski musi być obowiązkowy, ponieważ bez tego poprawne pobieranie i dystrybucja aktualizacji nie jest gwarantowana.

    Wybór produktu

    Teraz dla WSUS OfflineAktualizacja powinna wskazywać, które produkty oprogramowania mają zostać zaktualizowane. Według większości ekspertów przy wyborze nie należy pomijać i oznaczać maksymalnej liczby pozycji na liście.
    Ale podziw, też nie jest tego wart. Lepiej zauważyć tylko to, co jest naprawdę potrzebne. Na przykład, jeśli żadna wersja pakietu Office 2003 nie jest zainstalowana na tym samym komputerze w sieci, nie jest konieczne podawanie aktualizacji.
    Aktualizacja programu WSUS w następnym kroku umożliwi wybór klas oprogramowania, dla których uaktualnienie zostanie pobrane jako pierwsze. Oto twój wybór. Zasadniczo nie można instalować pól wyboru przed instalowaniem aktualizacji sterowników, narzędzi i nowych funkcji. Po zakończeniu, czas jest ustawiony, gdy wybrane aktualizacje zostaną pobrane i zainstalowane.

    Konfiguracja konsoli

    Teraz powinieneś zadzwonić do konsoli i najpierw ustawić ręczną synchronizację, aby pobrać wszystkie aktualnie dostępne aktualizacje. Potem będziesz musiał skonfigurować grupy terminali. Zaleca się utworzenie dwóch kategorii komputerów. Jeden będzie miał serwery, w drugim - zwykłe stacje robocze. To ustawienie ograniczy instalację aktualizacji na serwerach. Ponieważ wszystkie aktualnie widoczne terminale sieciowe należą do kategorii komputerów dedykowanych, konieczne jest ręczne rozprowadzenie ich do odpowiednich grup. Następnym krokiem jest skonfigurowanie programu WSUS do tworzenia niestandardowych reguł aktualizacji, które są wprowadzane w sekcji automatycznego zatwierdzania. Dla pracownikówstacje zaleca się ustawienie reguły automatycznego zatwierdzania, a dla serwerów konieczne jest dodatkowe określenie jeszcze jednej odpowiedniej linii. Ponadto nie jest zalecane, aby serwery wybierały absolutnie wszystkie aktualizacje, ponieważ może to spowodować awarie w działaniu.

    Ustawianie opcji aktualizacji w zasadach grupowych

    Po zakończeniu wstępnych ustawień podstawowych należy wykonać kilka dodatkowych czynności związanych z uprawnieniami i zatwierdzeniami. Aby to zrobić, należy użyć edytora zasad grupy, który jest najprostszym sposobem wywoływania konsoli Win (R + Win7) przy użyciu polecenia gpedit.msc, a nie przy użyciu Panelu sterowania lub sekcji Administracja.
    Jest to wymagane przez konfigurację komputera i polityki, aby dostać się do szablonów administracyjnych, gdzie znaleźć "Centrum aktualizacji". Interesuje nas parametr odpowiedzialny za wskazanie lokalizacji usługi aktualizacji w intranecie. Po dwukrotnym kliknięciu menu edycji należy włączyć usługę i określić adres serwera, który zwykle wygląda tak: http: //SERVER_NAME, gdzie SERVER_NAME jest nazwą serwera w sieci. Nie możesz użyć takiej kombinacji, ale po prostu przepisz serwer IP. Po zakończeniu instalacji, po pewnym czasie, komputery podrzędne zaczną otrzymywać pakiety aktualizacji.

    Możliwe błędy

    Błędy WSUS są najczęściej kojarzone z faktem, że zbyt wiele niepotrzebnych aktualizacji jest uwzględnionych dla serwerów, jak omówiono powyżej. Jednak ten sam problem polega na tym, że aktualizacje nie są instalowane we wszystkich terminalach sieciowych. W tymjeśli trzeba otworzyć sekcję automatycznego zatwierdzania i ustawić je dokładnie rodzaj polis grupowych, co odpowiada automatycznej instalacji aktualizacji krytycznych systemu operacyjnego i systemu bezpieczeństwa. W związku z powyższym, można tworzyć nowe produkty reguła opisywania i opcji instalacji aktualizacji (można nawet użyć ręcznego zatwierdzenia). Na koniec, jeśli nie zakończysz resetowania ustawień WSUS, po czym cała procedura ustawiania parametrów będzie musiała zostać wykonana ponownie, zdecydowanie zaleca się czyszczenie serwera co najmniej raz w miesiącu (w tym celu ta sama funkcja jest podana jako "Master"). Te kroki pomogą usunąć nieodebrane aktualizacje systemu i znacznie zmniejszyć rozmiar bazy danych (po wszystkim, to jest oczywiste, że im większa baza, tym więcej czasu trzeba odwołać się do jej korzyść - nadmierne obciążenie na moc obliczeniową serwerów i sieci dystrybucyjnej aktualizacji). W niektórych przypadkach, instalacja może pomóc Domyślne polityk (domyślnie Group Policy) i utworzyć nowy typ wszystkich aktywowanych ustawień z listy po wprowadzeniu adresu sieciowego serwera (gdy robotnicy port 8530). Przy zastosowaniu jako tzw mobilnych miejscach pracy, podobne ustawienia mogą być wykonane w lokalnych Określanie ustawień polityki bezpieczeństwa. Jeśli wszystko jest w porządku, grupa zostanie zainstalowany Terminal Server jedynie aktualizacje krytyczne, a dla komputera należącego do grupy Workgroup (lub kategorii z inną nazwą) - absolutnie wszystkie aktualizacje, które zostały wybrane dopoczątkowy etap konfiguracji.

    Zamiast wyniku

    W rzeczywistości w tym rozważaniu można ukończyć kwestię ustanowienia automatycznej aktualizacji WSUS. Aby wszystko działało i nie martwić się o administratora systemu w przyszłości, należy zwrócić uwagę na warunki początkowe związane z instalacją dodatkowych komponentów. Uważa się, że wersja serwerowa systemu operacyjnego lepiej jest używać nie 2003 i 2008 R2 lub nowszego, ale także zwrócić uwagę na .NET Framework w wersji 4 zamiast na 2.0). Ponadto należy zwrócić szczególną uwagę na ustawienia proxy i wyboru portów, ponieważ port 80 może nie działać domyślnie. Wreszcie, jednym z najważniejszych aspektów instalacji jest wybór grup terminali i aktualizacji zainstalowanych na nich. W pozostałych przypadkach z reguły nie powinno być problemów, chociaż podczas pobierania dużych aktualizacji o dużych rozmiarach z niską jakością komunikacji, można zaobserwować krótkoterminowe awarie i błędy w dystrybucji aktualizacji przez sieć. Nawiasem mówiąc, wymagane jest również czyszczenie serwera od czasu do czasu. Jeśli narzędzie automatyczne z jakiegoś powodu nie ma pozytywnego efektu, możesz nawet spróbować ręcznie usunąć pliki tymczasowe z katalogu SDTemp. Przynajmniej nawet tak trywialny krok natychmiast zmniejszy obciążenie nie tylko samego serwera, ale także terminali podrzędnych i sieci jako całości.

    Powiązane publikacje