СЕРГЕЙ СЕРГЕЕВ
Windows Server Update Services
Одним из необходимых мероприятий по обеспечению надежного и безопасного функционирования современной информационной системы является своевременная установка обновлений для существующих программных продуктов. На компьютерах под управлением операционной системы Microsoft Windows загрузкой и установкой критических обновлений системных компонентов занимается служба Automatic Updates (автоматическое обновление). В крупных компьютерных сетях Windows отслеживание и установка обновлений без специального средства может занимать значительную часть рабочего времени системного администратора, либо увеличивать трафик интернет-соединения. Начиная с 2002 года Microsoft предоставляет бесплатный продукт для управления обновлениями в сетях Windows. Сначала это был сервер Software Update Services (SUS), и, наконец, 22 марта 2005 года на сайте Microsoft (http://www.microsoft.com/windowsserversystem/updateservices/default.mspx) была опубликована информация о выходе в свет Release Candidate-версии нового продукта – Windows Server Update Services (WSUS RC). Документация и файлы установки WSUS RC доступны для свободной загрузки с сайта Microsoft.
Служба WSUS предназначена для централизованного управления обновлениями и исправлениями корпоративных продуктов Microsoft: Windows XP Professional, Windows 2000, Windows Server 2003, Office XP, Office 2003, SQL Server 2000, SQL Server 2000 Desktop Engine (MSDE) 2000, Exchange Server 2000 и Exchange Server 2003. Скорее всего, набор поддерживаемых продуктов будет увеличиваться. Это подтверждается тем фактом, что при первой же синхронизации WSUS с сайтом Microsoft Update список обновляемых продуктов в окне настройки параметров синхронизации значительно вырос.
От предыдущего продукта Microsoft для управления обновлениями (SUS), WSUS отличается значительным набором функций и возможностей:
- расширен набор обновляемых продуктов;
- объединение клиентских компьютеров в группы, настройка правил обновлений для каждой группы;
- возможность автоматической загрузки и установки необходимых обновлений без ручного вмешательства администратора;
- развитая система отчетов позволяет получать информацию о клиентских компьютерах, а также о требуемых, загруженных и установленных обновлениях;
- использование базы данных для хранения настроек сервера, описаний обновлений, состояния клиентских компьютеров;
- возможность загрузки так называемых файлов экспресс-установки, обеспечивающих ускоренную загрузку и установку обновлений на клиентские компьютеры, но увеличивающих время получения обновлений сервером;
- дочерние серверы WSUS могут управляться как централизованно основным сервером, так и независимо от него;
- применение технологии Background Intelligent Transfer Service (BITS) 2.0 для более эффективного использования сетевого трафика сервером и клиентом WSUS;
- передача базы обновлений между серверами WSUS через переносные устройства хранения информации;
- специальная утилита WSUSUTIL позволяет управлять сервером WSUS из командной строки;
- возможна установка WSUS поверх существующего сервера SUS, а также при помощи специальной утилиты импорт базы обновлений с другого сервера SUS;
- возможность доверять локальным администраторам самим настраивать порядок загрузки и установки обновлений на управляемые ими компьютеры.
WSUS является весьма полезным инструментом для системных администраторов сетей разных масштабов. Эта служба позволяет снизить трафик интернет-соединения организации за счет однократной загрузки обновлений с сайта Microsoft Update, централизованно управлять обновлениями программных продуктов Microsoft в сети организации.
Интерфейс консоли администрирования WSUS, доступ к которой осуществляется по протоколу http через Internet Explorer версии 6.0 или старше, достаточно понятен и удобен для работы. Доступ к средствам администрирования из другого интернет-браузера, а также из операционных систем ниже Windows 2000, не поддерживается.
Рисунок 1. Главное окно консоли администрирования WSUS
Существует возможность настроить службу таким образом, что обновления не будут храниться локально на сервере WSUS, а загружаться по запросу клиентов с сайта Microsoft. Тем не менее этот вариант в большинстве случаев представляется менее целесообразным, особенно в средних и крупных сетях с большим количеством компьютеров с одинаковым набором программного обеспечения.
Для сетей с развитой инфраструктурой возможно использование последовательности (цепочки) серверов WSUS, один из которых загружает обновления с сайта Microsoft Update, а остальные синхронизируют свою базу обновлений с базой этого (или вышестоящего) сервера. Причем имеется возможность передачи обновлений с одного сервера WSUS на другой не только по каналам связи, но и при помощи процедуры выгрузки на переносное устройство хранения информации с последующей загрузкой на другой сервер. Это особенно актуально для территориально удаленных подразделений организаций в случае отсутствия или низкой скорости и качества каналов связи с ними.
Рисунок 2. Одна из возможных схем организации работы WSUS
WSUS состоит из серверной и клиентской частей. Серверная часть устанавливается на компьютеры с операционными системами Windows 2000 Server или Windows Server 2003. Клиентами WSUS могут быть компьютеры под управлением Windows 2000 с установленными Service Pack 3 или 4, Windows XP Professional Service Pack 1 или 2, Windows Server 2003.
Для своей работы WSUS использует сервер баз данных MS SQL Server 2000. Возможно использование как полнофункциональной версии MS SQL Server 2000, так и бесплатной Microsoft SQL Server 2000 Desktop Engine (MSDE) (доступна для загрузки на сайте Microsoft) при установке на компьютер с операционной системой Windows 2000 Server; или Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE), которая включена в состав дистрибутива WSUS и доступна только при установке на Windows Server 2003. В базе данных хранятся описания обновлений, конфигурация сервера WSUS, информация о состоянии обновлений клиентских компьютеров.
Клиент WSUS – служба Automatic Updates (автоматическое обновление) – работает с сервером по протоколу http, поэтому на сервере должна быть установлена и запущена служба WWW (World Wide Web) из состава сервера IIS (Internet Information Services).
Администратор сервера WSUS имеет возможность выбирать обновления для синхронизации по версии продукта, типу (классу) обновления (драйверы, критические обновления, накопительные пакеты обновлений, обновления системы безопасности, и т. д.) и языку. К сожалению, нет возможности выбирать конкретные классы обновлений и языки интерфейса в зависимости от продукта. Например, невозможно настроить WSUS так, чтобы синхронизировать список обновлений Windows 2000 только для английской версии и в то же время обновлений Windows XP только для русской версии. При включении в списке языков русского и английского будут синхронизироваться обновления на обоих языках и для Windows 2000, и для Windows XP (естественно, при условии включения загрузки обновлений этих операционных систем в настройках списка продуктов). Синхронизацию списка обновлений сервера WSUS с базой Microsoft Update можно выполнять как в ручном режиме, так и автоматически ежедневно в заданное время. После получения списка доступных обновлений и, как правило, после сбора информации о состоянии обновлений клиентских компьютеров («обнаружения»), можно отметить для загрузки и установки («одобрить», в терминологии WSUS) только необходимые обновления. Есть возможность автоматизировать операции одобрения обнаружения и установки обновлений, задав соответствующие условия для правил. Другими словами, WSUS можно настроить таким образом, что синхронизация с Microsoft Update и установка обновлений будет выполняться в полностью автоматическом режиме.
В сетях, использующих Active Directory (AD), настройка параметров автоматического обновления клиентов выполняется при помощи групповой политики, в сетях без AD – настройкой параметров реестра операционных систем Windows клиентских компьютеров. Параметры службы автоматических обновлений позволяют настроить получение и установку обновлений как с участием конечного пользователя, так и автоматически с последующим уведомлением о необходимости перезагрузки компьютера.
Протоколирование работы службы WSUS ведется в журналах событий, а также в файлах с расширением *.log, и на сервере, и на клиенте. Исходя из собственного опыта и сообщений в форумах, можно сделать вывод, что основные проблемы при внедрении WSUS возникают при подключении клиентов к серверу, установке клиентской части WSUS и необходимых программ для загрузки обновлений. Зачастую диагностика и определение источника проблемы вызывает затруднение даже у опытных администраторов. К примеру, возникали проблемы при подключении компьютера с операционной системой Windows 2000 Professional SP4 к серверу WSUS. В файле WindowsUpdate.log фиксировалась серия ошибок с кодом 0x80244001. Проблему удалось решить только с помощью специалистов Microsoft, обратившись на сайт Beta News. Она заключалась в неправильной настройке компонентов Internet Explorer 5.0 на клиентском компьютере. После установки Internet Explorer 6.0 ошибка исчезла. Поэтому хотелось бы, чтобы содержание сообщений WSUS (особенно об ошибках) было более информативным.
Окончательный выход WSUS намечен на конец второго квартала 2005 года. Согласно информации от Microsoft, для пользователей WSUS RC будет возможно обновление до финальной версии. На данный момент WSUS RC доступен только на двух языках: английском и японском. Окончательная версия продукта будет локализована для всех языков, поддерживаемых серверными и клиентскими операционными системами Windows.
Развертывание службы WSUS в сети организации практически не связано с дополнительными затратами. Эту службу можно установить на уже существующий сервер, при этом нужно использовать либо имеющийся сервер баз данных MS SQL Server 2000, либо бесплатный MSDE. Службу можно настроить так, что пользователи даже не будут знать о ее существовании. Несмотря на явные выгоды от внедрения систем управления обновлениями, многие администраторы все еще не используют их в своих сетях. Думается, что с выходом такого мощного и в то же время простого и удобного в администрировании средства, как WSUS, количество организаций, использующих централизованные средства управления установкой обновлений, увеличится.