Windows Server Update Services (WSUS): налада. WSUS Offline Update

Для серверных версій Windows абнаўленне сістэмы і / або праграмнага забеспячэння, усталяванага на даччыных тэрміналах, з адносна нядаўняга часу можа выконвацца пры дапамозе адмысловай прылады, які атрымаў скарочаны назоў ў выглядзе абрэвіятуры WSUS. Што гэта такое? Па сутнасці, дадзенае праграмнае забеспячэнне ўяўляе сабой унікальны рэліз, які дазваляе адмовіцца ад выкарыстання кожным кампутарам, якія ўваходзяць у лакальную сетку, самастойнага інтэрнэт-канала для ўстаноўкі апдэйтаў. Пра тое, як гэта ўсё працуе, і якія трэба ўсталяваць налады, далей і пойдзе гаворка.

Windows Server Update Services: што гэта і навошта трэба?

Калі казаць пра гэта сэрвісе простай мовай, яго можна апісаць як праграмнае забеспячэнне для аўтаматычнага абнаўлення АС і ПА, якое ўстанаўліваецца выключна на сервер, да якога падключаюцца астатнія карыстацкія тэрміналы, аб'яднаныя ў адзіную лакальную або віртуальную сетку.

Паколькі абнаўлення карпарацыя Microsoft для сваіх прадуктаў выпускае на зайздрасць рэгулярна, ўсталёўваць іх трэба на ўсіх машынах ў сетцы, што дастаткова праблематычна, калі іх больш за дзясятак. Каб не займацца падобнымі рэчамі на кожным асобна ўзятым тэрмінале, можна выкарыстоўваць функцыю WSUS Offline Update, калі асноўнае абнаўленне усталёўваецца толькі на сервер, а потым «раздаецца» на ўсе астатнія кампутары.

Перавагі такога падыходу відавочныя, бо зніжаецца выкарыстанне інтэрнэт-трафіку (пры запампоўцы сетка не нагружаецца) і эканоміцца час на ўстаноўку апдэйтаў, якая пры правільнай наладзе праграмнага забеспячэння на цэнтральным серверы будзе вырабляцца аўтаматычна.

Патрабаванні да ўсталёўкі

Для службы WSUS налада і выкарыстанне немагчымыя без захавання шэрагу пачатковых умоў. Тут варта звярнуць увагу на асноўныя кампаненты, якія спатрэбіцца першапачаткова спампаваць і ўсталяваць на сервер, калі яны адсутнічаюць.

У якасці прыярытэтаў можна вылучыць наступныя кампаненты:

• АС мадыфікацыі Windows Server не ніжэй за 2003 (хоць бы з першым сэрвіс-пакам);
• платформа .NET Framework версіі не ніжэй 2.0;
• ролі сервера IIS 6.0 або вышэй;
• Report Viewer ад Microsoft мадыфікацыі 2008;
• SQL Server версіі 2005 з другім сэрвіс-пакам;
• Management Console ад Microsoft мадыфікацыі 3.0.

працэс інсталяцыі

Уласна, ўстаноўка WSUS прадугледжвае таксама рэзерваванне вольнай дыскавай прасторы на сэрвэры ў памеры каля 100 Гб (размяшчэнне папкі захоўвання абнаўленняў паказваецца на першым кроку пасля запуску асноўнага ўсталёўніка).

Далей усталёўваецца месцазнаходжанне базы дадзеных у выглядзе асобнага каталога (лепш вылучыць каля 2-4 Гб).

Параметры баз дадзеных вэб-сервера

У прынцыпе, сам ўсталёўшчык па змаўчанні прапануе ўсталяваць ўнутраныя базы дадзеных, але для спрашчэння працэсу можна выкарыстоўваць і існуючы сервер баз дадзеных.

У дадзеным выпадку трэба будзе самастойна прапісаць яго сеткавае імя, якое адпавядае ідэнтыфікатару тэрмінала ў сетцы. Першыя два варыянты можна выкарыстаць альбо для атрымання апдэйтаў з сервера Microsoft, альбо з ўнутранага сервера. Праўда, ёсць яшчэ і трэці варыянт - ўстаноўка баз дадзеных на выдаленым тэрмінале. Але такая схема ўжываецца ў асноўным толькі ў тых выпадках, калі трэба размяркоўваць апдэйты па выдаленым філіялам з дадатковага сервера абнаўленняў.

выбар порта

На наступным этапе ўстаноўкі WSUS налада мяркуе ажыццявіць выбар порта. Да гэтага трэба паставіцца вельмі ўважліва, паколькі ўвод некарэктных значэнняў можа прывесці толькі да таго, што ўся схема працаваць не будзе.

Звярніце ўвагу, што па змаўчанні да выкарыстання прапануецца 80-й порт. Можна, вядома, пакінуць і яго, але лепш (і гэта пацвярджаецца практыкай) выкарыстоўваць порт пад нумарам 8530 (8531). Але такі падыход выкарыстоўваецца і ў дачыненні толькі ў тым выпадку, калі патрабуецца ручная налада проксі.

выбар абнаўленняў

Наступны крок у інсталяцыі WSUS - налада параметраў атрымання апдэйтаў з вышэйстаячага сервера. Іншымі словамі, трэба паказаць, адкуль менавіта будуць загружацца абнаўлення.

Тут ёсць два варыянты: альбо вырабляць сінхранізацыю з серверам абнаўлення Microsoft, альбо з іншым выдаленым тэрміналам. Лепш выкарыстоўваць першы варыянт.

Настройка WSUS у дамене

Далей для карэктнай працы ўсталёўванай службы неабходна выбраць мовы, якія выкарыстоўваюцца ў сеткі.

Ўсталёўваць можна любы з прапанаванага спісу, але англійская павінен быць выбраны ў абавязковым парадку, паколькі без гэтага карэктная загрузка і размеркаванне апдэйтаў не гарантуецца.

выбар прадуктаў

Зараз для WSUS Offline Update варта паказаць, якія менавіта праграмныя прадукты падлягаюць абнаўленню. Як лічыць большасць спецыялістаў, пры выбары пажадана не скнарнічаць і адзначыць максімальна магчымая колькасць пунктаў у спісе.

Але і захапляцца таксама не варта. Лепш адзначыць толькі тое, што сапраўды неабходна. Напрыклад, калі ні на адной машыне ў сетцы версія «Офіса» 2003 не ўстаноўлена, то і паказваць яе абнаўленне не варта.

Абнаўленне WSUS на наступным этапе прапануе абраць класы праграмнага забеспячэння, для якіх апдэйты будуць загружаць у першую чаргу. Тут - на свой выбар. У прынцыпе, можна не ўсталёўваць галачкі насупраць ўстаноўкі абнаўленняў драйвераў, сродкаў і новых функцый. Па завяршэнні усталёўваецца час, калі выбраныя абнаўлення будуць загружацца і ўсталёўвацца.

налады кансолі

Зараз варта выклікаць кансоль і перш за ўсё ўсталяваць ручную сінхранізацыю, каб адбылася загрузка ўсіх наяўных на дадзены момант апдэйтаў.

Пасля гэтага прыйдзецца заняцца наладай груп тэрміналаў. Рэкамендуецца стварыць дзве катэгорыі кампутараў. У адной будуць знаходзіцца серверы, у другой - звычайныя рабочыя станцыі. Такая налада дазволіць абмежаваць інсталяцыю абнаўленняў на серверы.

Паколькі ўсе бачныя ў сетцы тэрміналы на дадзены момант знаходзяцца ў катэгорыі непрызначаны кампутараў, размяркоўваць іх па адпаведных груп прыйдзецца ўручную.

На наступным этапе налада WSUS прадугледжвае стварэнне спецыяльных правілаў абнаўлення, што робіцца ў раздзеле аўтаматычнага адабрэння. Для працоўных станцый пажадана ўсталяваць правіла аўтаматычнага адабрэння, а для сервераў трэба будзе дадаткова адзначыць яшчэ адну адпаведны радок. Акрамя таго, менавіта для сервераў не рэкамендуецца выбіраць абсалютна ўсе абнаўлення, паколькі гэта можа прывесці да збояў у працы.

Ўстаноўка параметраў абнаўлення ў групавых палітыках

Калі папярэдняя налада асноўных параметраў завершана, варта выканаць яшчэ некалькі дзеянняў, звязаных з дазволамі i адобраны.

Для гэтага трэба выкарыстоўваць рэдактар групавых палітык, які прасцей за ўсё выклікаць праз кансоль «Выканаць» (Win + R) камандай gpedit.msc, а не выкарыстоўваць «Панэль кіравання» або раздзел адміністравання.

Тут трэба праз канфігурацыю кампутара і палітыкі дабрацца да адміністрацыйных шаблонаў, дзе знайсці «Цэнтр абнаўлення». У ім нас цікавіць параметр, які адказвае за ўказанне размяшчэння службы абнаўлення ў інтрасеткі. Выклікаліся падвойным клікам меню рэдагавання, службы трэба ўключыць і паказаць адрас сервера, які звычайна выглядае як http: // SERVER_NAME, дзе SERVER_NAME - імя сервера ў сеткі. Можна не выкарыстоўваць такую камбінацыю, а проста прапісаць IP сервера. Па завяршэнні налады праз некаторы час даччыныя машыны пачнуць атрымліваць пакеты апдэйтаў.

магчымыя памылкі

Памылкі WSUS часцей за ўсё звязваюць з тым, што для сервераў ўключана занадта шмат непатрэбных абнаўленняў, пра што было сказана вышэй.

Аднак не менш распаўсюджанай праблемай з'яўляецца і той момант, што абнаўлення ўсталёўваюцца не на ўсіх сеткавых даччыных тэрміналах. У дадзеным выпадку неабходна адкрыць раздзел аўтаматычных адабрэнняў і ўсталяваць для іх менавіта тып групавых палітык, які адпавядае аўтаматычнай інсталяцыі крытычных апдэйтаў аперацыйнай сістэмы і сістэмы бяспекі. Адпаведна, можна стварыць і сваё новае правіла з указаннем прадуктаў і параметраў ўстаноўкі абнаўленняў (можна выкарыстоўваць нават ручное адабрэнне).

Нарэшце, калі не вырабляць поўны скід налад WSUS, пасля чаго ўсю працэдуру ўстаноўкі параметраў прыйдзецца вырабляць зноўку, настойліва рэкамендуецца хоць бы раз у месяц рабіць ачыстку сервера (для гэтага прадугледжана аднайменная функцыя ў выглядзе «Майстры»). Такія крокі дапамогуць выдаліць з сістэмы незапатрабаваныя апдэйты, а таксама істотна паменшыць памер самой базы дадзеных (зразумела ж, што чым больш за база, тым большы час патрабуецца на зварот да яе, плюс - празмерная нагрузка на вылічальныя здольнасці сервера і размеркаванне абнаўленняў па сетцы).

У некаторых выпадках можа дапамагчы ўстаноўка палітык не па змаўчанні (Default Group Policy), а стварэнне новага тыпу з усімі актываванымі параметрамі са спісу даступных з уводам сеткавага адрасу сервера (пры задзейнічанай партэ 8530).

У выпадку калі выкарыстоўваюцца так званыя мабільныя працоўныя месцы, аналагічныя налады можна зрабіць у раздзеле лакальных палітык бяспекі, паказаўшы адпаведныя параметры. Калі ўсё выканана правільна, для групы тэрміналаў Server будуць ўсталёўвацца выключна крытычныя апдэйты, а для кампутараў, якія ўваходзяць у групу Workgroup (ці ў катэгорыю з іншым імем), - абсалютна ўсе абнаўлення, якія былі выбраны на пачатковым этапе налады.

замест выніку

Уласна, на гэтым разгляд пытання пра наладу службы аўтаматычнага апдэйта WSUS можна і скончыць. Каб усё зарабіла і не выклікала турботы ў сістэмнага адміністратара ў далейшым, варта звярнуць увагу на пачатковыя ўмовы, звязаныя з устаноўкай дадатковых кампанентаў. Як лічыцца, серверную версію АС лепш выкарыстаць не 2003 г., а 2008 R2 або вышэй, а таксама звярнуць увагу на платформу .NET Framework чацвёртай версіі, а не 2.0). Акрамя таго, асабліва ўважліва варта паставіцца да налад проксі і выбару партоў, паколькі порт 80 па змаўчанні можа і не працаваць. Нарэшце, адным з самых важных аспектаў налады з'яўляецца выбар груп тэрміналаў і усталёўваных на іх абнаўленняў. У астатнім жа, як правіла, праблем быць не павінна, хоць пры загрузцы цяжкавагавых апдэйтаў вялікага памеру пры дрэнным якасці сувязі кароткачасовыя збоі і памылкі размеркавання абнаўленняў па сетцы назірацца ўсё-такі могуць. Дарэчы, і чысціць сервер час ад часу таксама трэба. Калі аўтаматычны інструмент па нейкіх прычынах станоўчага эфекту не падзейнічае, можна паспрабаваць хаця б выдаліць часовыя файлы ўручную з дырэкторыі SDTemp. Прынамсі, нават такі трывіяльны крок дазволіць адразу ж знізіць нагрузку не толькі на сам сервер, але і на даччыныя тэрміналы, і на сетку ў цэлым.