Устанавливаем и настраиваем Windows Server Update Services

СЕРГЕЙ СЕРГЕЕВ

Устанавливаем и настраиваем Windows Server Update Services

В компьютерной сети любого масштаба обновление всех программных продуктов без специального средства будет занимать значительную часть вашего рабочего времени. Внедрение службы управления этим процессом освободит ваше время для решения других задач, облегчит отслеживание выхода новых версий программ, позволит своевременно устанавливать обновления и, как следствие, повысит уровень безопасности информационной системы вашей компании.

В июне этого года вышла официальная версия службы Windows Server Update Services (WSUS), предназначенной для централизованного управления обновлениями и исправлениями корпоративных продуктов Microsoft: Windows XP Professional, Windows 2000, Windows Server 2003, Office XP, Office 2003, SQL Server 2000, Exchange Server 2000 и Exchange Server 2003.

С большинством возможностей WSUS мы уже познакомили читателя в обзоре «Windows Server Update Services» (см. №4, 2005 г). А сегодня займемся установкой и первоначальной настройкой сервера WSUS на компьютер с операционной системой Windows Server 2003 в среде Active Directory. Установка на компьютер с Windows 2000 Server несколько отличается. Так, Microsoft SQL Server 2000 Desktop Engine (MSDE) для Windows 2000 Server не входит в состав дистрибутива WSUS, в отличие от Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE) для Windows Server 2003. Подробнее об этом можно прочитать в документации к WSUS.

Ссылки на все необходимые для установки WSUS программы и документацию (в основном на английском языке) можно найти на домашней странице WSUS (http://www.microsoft.com/windowsserversystem/updateservices/default.mspx).

Готовим все необходимое к установке

Для работы сервера WSUS, обслуживающего до 500 клиентов, Microsoft рекомендует использовать компьютер с процессором частотой не ниже 1 ГГц, оперативной памятью не менее 1 Гб.

Для установки WSUS файловая система сервера должна соответствовать следующим требованиям:

• системный раздел и раздел, предназначенный для установки WSUS, должны быть отформатированы в файловой системе NTFS;
• для системного раздела требуется не менее 1 Гб свободного пространства;
• необходимо не менее 6 Гб свободного пространства на диске, где хранятся данные WSUS; рекомендуется 30 Гб;
• необходимо не менее 2 Гб свободного пространства на диске, куда программой установки WSUS устанавливается Windows SQL Server 2000 Desktop Engine (WMSDE).

На компьютере, предназначенном для сервера WSUS, предварительно необходимо установить следующие компоненты Windows Server 2003:

• Microsoft Internet Information Services (IIS) 6.0;
• Microsoft .NET Framework 1.1 с пакетом обновления 1 для Windows Server 2003;
• Background Intelligent Transfer Service (BITS) 2.0.

На клиентских компьютерах должна функционировать служба автоматического обновления. Она существует для операционных систем:

• Семейство Microsoft Windows 2000 с пакетом обновления 3 или выше;
• Microsoft Windows XP Professional с пакетами обновления SP1 и SP2 или без них;
• Семейство серверов Microsoft Windows Server 2003.

Приступаем к установке

Установку WSUS могут выполнить только члены локальной группы «Администраторы». Размер дистрибутива WSUS – около 125 МБ. Для запуска мастера установки необходимо выполнить файл WSUSSetup.exe.

После принятия лицензионного соглашения вам будет предложено выбрать источник обновлений клиентских компьютеров: либо они будут храниться локально на сервере, либо каждый раз по запросу клиента будут загружаться с узла Microsoft Update. Гораздо рациональнее представляется хранить обновления локально. Во-первых, в этом случае уменьшаются затраты на интернет-трафик. Во-вторых, клиентские компьютеры будут обновляться быстрее. В любом случае при желании эту настройку вы сможете позже изменить.

В следующем окне необходимо выбрать параметры базы данных: можно установить WMSDE вместе с WSUS или использовать существующий Microsoft SQL Server 2000. Поскольку WMSDE входит в состав дистрибутива WSUS и является бесплатным продуктом, вряд ли найдутся причины отказаться от его установки.

Следующее окно позволяет выбрать веб-узел для использования сервером WSUS. Microsoft рекомендует использовать существующий веб-узел IIS по умолчанию и 80й порт. Если этот порт уже занят, потребуется создать отдельный узел IIS (специально для WSUS), работающий по настраиваемому порту.

В окне «Параметры зеркального обновления» можно указать управляющую роль этого сервера. Если это первый сервер WSUS в сети, пропускаем это окно. Иначе, ставим флажок и вводим имя сервера верхнего уровня в поле «Имя сервера». После установки WSUS будет предложено запустить консоль администрирования, которая также доступна с других компьютеров сети по адресу: http://<имя сервера WSUS>/wsusadmin. Для запуска консоли администрирования необходимо быть членом группы «Администраторы WSUS» или членом локальной группы безопасности «Администраторы» на сервере WSUS.

Настраиваем WSUS

Теперь мы выполним первоначальную настройку сервера WSUS: создадим группу компьютеров, на которых будем тестировать обновления, установим параметры синхронизации и автоматического одобрения. А затем с помощью групповых политик настроим службу автоматического обновления клиентских компьютеров.

Создаём группы компьютеров

Важным моментом в настройке WSUS является создание групп компьютеров. Хорошей практикой является тестирование вновь полученных с узла Microsoft Update обновлений на небольшой группе типичных для сети компьютеров. Затем в случае успешного функционирования тестовых компьютеров в течение некоторого времени, распространение обновлений на остальные компьютеры сети.

Для начала нужно настроить способ назначения компьютеров в группы: либо они будут добавляться в группы со стороны сервера (т.е. вручную через консоль WSUS), либо со стороны клиента (т.е. с помощью групповых политик или настроек реестра Windows).

Для этого откроем страницу «Параметры компьютеров», щелкнув по ссылке «Параметры» в верхней части консоли администрирования WSUS, затем «Параметры компьютеров». На открывшейся странице можно выбрать способ назначения компьютеров в группы. Если сеть небольшая и количество групп WSUS невелико, можно оставить значение по умолчанию. (Использовать задание «Переместить компьютеры» в Windows Server Update Services.)

Для создания группы необходимо щелкнуть по ссылке «Компьютеры» в консоли администрирования WSUS. Затем на открывшейся странице нажать на ссылку «Создать группу компьютеров» и ввести ее имя. В нашем случае назовем группу Тест. В нее необходимо включить несколько типичных по конфигурации компьютеров, находящихся в сети. Однако сделать это можно будет только после настройки параметров службы автоматического обновления клиентских компьютеров.

Параметры синхронизации

Теперь необходимо настроить типы загружаемых обновлений. Для этого на странице консоли администрирования WSUS щёлкаем по ссылке «Параметры  Параметры синхронизации». Откроется страница с настройками синхронизации WSUS (рис. 1).

Рисунок 1. Параметры синхронизации

В разделе «Расписание» можно выбрать ручную либо автоматическую ежедневную синхронизацию в определенное время. Пока оставляем ручной режим запуска процесса синхронизации.

В разделе «Продукты и классы» можно указать программные продукты и типы обновлений для них. Щёлкнув по кнопке «Изменить» в левой части раздела, открываем окно со списком программ, для которых можно загружать обновления (рис. 2). Отмечаем продукты, которые есть в нашей сети и которые хотим обновлять.

Рисунок 2. Добавление и удаление продуктов

Таким же образом, щелкнув по кнопке «Изменить» под перечнем классов обновлений, в открывшемся окне (рис.  3) отмечаем нужные типы (классы). Для загрузки доступны следующие классы: драйверы, критические обновления, накопительные пакеты обновления, обновления системы безопасности и пакеты новых функций. Для каждого типа приводится описание. По умолчанию загружаются только критические обновления и обновления системы безопасности. На первое время можно оставить загрузку обновлений только этих классов.

Рисунок 3. Добавление и удаление классов

Следующий раздел – «Прокси-сервер». Если в сети для доступа в интернет используется прокси-сервер, заполняем необходимые поля этого раздела.

Следующий раздел – «Источник обновления». Если это первый сервер WSUS в сети, оставляем загрузку с узла Microsoft Update. В противном случае указываем адрес и порт вышестоящего сервера WSUS, с которого будут загружаться обновления.

Последний раздел – «Файлы обновлений и языки». Нажав на кнопку «Дополнительно», попадаем в окно настройки дополнительных параметров синхронизации (рис. 4). В группе параметров «Файлы обновлений» задаётся место хранения и в случае выбора места на локальном сервере указывается способ загрузки и тип файлов обновлений. В большинстве случаев оптимальным вариантом будет локальное хранение файлов обновлений при включенном флажке «Загружать файлы обновлений на этот сервер, только если они одобрены». В этом случае обновления будут загружаться с узла Microsoft Update только в случае одобрения установки (администратором или автоматически). Файлы так называемой экспресс-установки имеют больший размер, т.е. будут увеличивать трафик интернет-соединения, и соответственно увеличится время их загрузки на сервер, но обновления клиентских компьютеров будут происходить быстрее. Здесь нужно сделать выбор в зависимости от конкретной конфигурации сети, скорости, загруженности и стоимости интернет-соединения. Пока можно не включать параметр «Загружать файлы экспресс-установки».

Рисунок 4. Дополнительные параметры синхронизации

Параметры автоматического одобрения

Далее необходимо настроить автоматическое одобрение обнаружения и установки обновлений. Под обнаружением понимается проверка необходимости и возможности установки обновления для клиентского компьютера. В консоли WSUS щелкаем ссылку «Параметры  Параметры автоматического одобрения». На открывшейся странице (рис. 5) в разделе «Обновления» настраиваем параметры автоматического одобрения для обнаружения и установки обновлений. Пожалуй, будет вполне логичным автоматически обнаруживать все синхронизируемые с узлом Microsoft Update классы обновлений для всех компьютеров сети, но автоматически устанавливать их пока не будем.

Рисунок 5. Параметры автоматического одобрения

В разделе «Новые редакции обновлений» устанавливается реакция сервера WSUS на выход новых версий уже одобренных обновлений. Полагаю, что вполне естественным будет установить параметр «Автоматически одобрять новейшую редакцию этого обновления».

В разделе «Обновления Windows Server Update Services» настраивается автоматическая загрузка обновлений самого сервера WSUS. Естественно, нужно включить этот параметр для своевременной установки обновлений и исправлений WSUS.

Брандмауэр

Если между сетью организации и интернетом находится брандмауэр, возможно, понадобится его настроить. Для получения обновлений с узла Microsoft Update сервер WSUS использует 80-й порт при подключении по протоколу HTTP и 443-й при подключении по HTTPS. Поэтому эти порты должны быть открыты на брандмауэре для исходящих соединений.

Если политикой информационной безопасности организации запрещен доступ к этим портам, можно разрешить доступ только для определенных доменов, список которых приведен в документации к WSUS.

Параметры службы автоматического обновления клиентских компьютеров

Теперь можно приступить к настройке службы автоматического обновления клиентских компьютеров. Если в сети используется служба каталогов Active Directory, можно и нужно использовать объекты групповой политики (GPO) для настройки клиентов. При отсутствии в сети развернутой службы каталогов можно использовать локальную групповую политику.

Для этого в редакторе объектов групповой политики нужно открыть узел «Конфигурация компьютера  Административные шаблоны  Компоненты Windows  Windows Update» (рис. 6). Если этого узла нет, то необходимо самостоятельно добавить административный шаблон wuau.adm. Каждый из параметров достаточно подробно описан, поэтому остановимся только на тех, которые необходимы для первоначальной настройки.

Рисунок 6. Настройка автоматического обновления

Откройте свойства параметра «Настройка автоматического обновления» (рис. 7).

Рисунок 7. Настройка автоматического обновления

Во включенном состоянии этот параметр может принимать одно из четырех значений:

• Уведомлять перед загрузкой обновлений и уведомлять повторно перед их установкой. При выборе этого варианта зарегистрированный в системе пользователь с правами администратора уведомляется перед началом загрузки и установки обновлений на компьютер.
• Загружать автоматически и уведомлять перед установкой. Если установить это значение параметра, обновления начинают загружаться автоматически, а зарегистрированный в системе пользователь с правами администратора оповещается перед началом установки.
• Загружать автоматически и устанавливать по заданному расписанию. В этом случае нужно указать дни и время принудительной установки обновлений на клиентские компьютеры. Выберем это значение параметра и назначим время, к примеру, на начало обеденного перерыва (12:00). Это позволит нам выполнять установку обновлений в часы наименьшей загрузки сети и компьютеров, и без вмешательства и лишних вопросов со стороны пользователей.
• Разрешить локальному администратору указывать настройки. Если вы решите доверить локальным администраторам самим настраивать параметры автоматического обновления, выберите это значение.

Следующий параметр – «Указать размещение службы обновлений Microsoft в интрасети» (рис. 8). Включаем и вводим путь к серверу WSUS в виде: http://<Имя сервера WSUS>.

Рисунок 8. Размещение службы обновлений Microsoft в интрасети

Параметр Разрешать пользователям, не являющимися администраторами, получать уведомления об обновлениях. Не стоит обременять пользователей лишней информацией, они и без того постоянно загружены работой. Отключим этот параметр. Заодно уменьшим количество входящих телефонных звонков на наше рабочее место.

Теперь откроем страницу Компьютеры консоли WSUS. Через некоторое время, после применения рабочими станциями групповых политик, на этой странице начнут появляться имена компьютеров. После этого можно переместить несколько в созданную ранее группу Тест для установки и проверки обновлений. Для этого выделим нужные компьютеры в списке, нажмём ссылку «Перемещение выбранных компьютеров» и в открывшемся окне выберем группу Тест.

Синхронизация

После настройки параметров щелкаем по ссылке «Синхронизировать сейчас» на домашней странице консоли WSUS или на странице настройки параметров синхронизации. Сервер WSUS подключится к узлу Microsoft Update для проверки новых доступных обновлений. После окончания синхронизации сервер начнет процесс обнаружения. Откроем страницу со списком обновлений, щелкнув по ссылке «Обновления» (рис. 9).

Рисунок 9. Список обновлений

В соответствии с нашими настройками автоматически были одобрены для обнаружения все синхронизируемые обновления для всех компьютеров. А для группы Тест автоматически разрешена установка критических пакетов и обновлений системы безопасности (у них в столбце «Одобрение» указан тип «Смешанное»). После тестирования эти обновления можно установить на остальные компьютеры сети. Естественно, изменив настройки, можно возложить обязанности по одобрению на сервер WSUS, тем самым сделав процесс установки обновлений полностью автоматическим.

После синхронизации, сбора данных о требуемых для клиентских компьютеров обновлениях и их одобрения для установки (автоматического или ручного) начнётся процесс загрузки необходимых файлов с узла Microsoft Update на сервер WSUS. В списке обновления помечаются характерными значками в зависимости от состояния загрузки. Естественно, первоначальная загрузка всех требуемых файлов обновлений может занять достаточно долгое время. Это зависит от многих факторов: разнообразия операционных систем, программных продуктов, настроек параметров синхронизации, пропускной способности интернет-канала.

При выборе обновления в списке в нижней части страницы (вкладка «Подробности») появится соответствующая дополнительная информация: название, описание, дата, класс, оценка критичности, и т. д. На вкладке «Состояние» приводится информация о текущем состоянии установки данного исправления на клиентские компьютеры. На вкладке «Редакции» выводится список всех версий данного обновления. Для изменения статуса одобрения необходимо щелкнуть по ссылке «Изменить одобрение» в левой верхней части страницы в разделе «Задачи обновлений».

В разделе «Представление страницы обновления» можно задать условия для фильтра отображения списка обновлений.

Щелкнув по ссылке «Отчеты», попадем на страницу со списком доступных для генерации отчетов. С их помощью можно получить информацию о состоянии обновлений, компьютеров, результатах синхронизации, а также параметрах настройки сервера WSUS. Работа с системой генерации отчетов достаточно понятна, поэтому не будем рассматривать ее подробно.

В самом простом случае настройка сервера WSUS практически закончена. Осталось поменять ручной режим запуска синхронизации на выполнение в определенное время, например, ночью, в часы наименьшей загрузки сети. В списке загружаемых классов обновлений в параметрах синхронизации можно отметить Пакеты обновления. Также можно включить автоматическое одобрение установки обновлений на компьютеры из группы Тест. Но здесь необходимо быть осторожным, так как в результате интернет-трафик может оказаться значительным (сотни мегабайт и даже гигабайты), поскольку локальная база ещё не содержит файлов обновлений. При последующих загрузках, разумеется, объем входящего трафика будет значительно меньше.

В большинстве случаев установка и настройка службы WSUS достаточно проста и понятна и не должна вызвать особых трудностей у системных администраторов.