Case study systemy i administracja IT
Łukasz Kuźniewski | 2018-11-02

Zapanuj nad aktualizacjami Windows – WSUS

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

Omówienie usług WSUS

Usługi WSUS oferują następujące funkcjonalności:

  • pobranie aktualizacji z serwerów Microsoft, przechowywanie ich lokalnie
    i dystrybucję w obrębie lokalnej sieci – pozwala to na redukcję obciążenia łącza internetowego;
  • zatwierdzanie i odrzucanie aktualizacji – pozwala to na kontrolę nad tym, które aktualizację będą lub nie będą instalowane;
  • grupowa dystrybucja aktualizacji – pozwala na określenie, które komputery mają otrzymać aktualizację, a które nie;
  • monitorowanie dystrybucji aktualizacji i generowanie raportów – pozwala na monitorowanie postępów instalacji i statusu aktualizacji danego komputera.

Przykładowy scenariusz wdrożenia usług WSUS

W scenariuszu załóżmy, że firma ma 3 oddziały. Centrala ma 100 komputerów, oddział 2 ma 50 komputerów i 3 oddział, który jest obsługiwany przez lokalny dział IT, posiada 25 komputerów. Sytuację idealnie zobrazuje poniższy schemat:

Wdrożenie WSUS w centrali pozwoli na redukcję obciążenia łącza internetowego. Wyobraźmy sobie instalację aktualizacji zbiorczej do systemu Windows o rozmiarze 3 GB na każdym stanowisku osobno, pobranie tej aktualizacji dla 100 stacji roboczych będzie wymagało pobrania ok. 300 GB z serwerów Windows Update przez łącze internetowe. Po wdrożeniu WSUS aktualizacja będzie pobrana tylko raz z serwerów Microsoft, a wszystkie komputery pobiorą ją z serwera WSUS umieszczonego w tej lokalizacji.

            Wdrożenie serwera WSUS w oddziale 1 pozwoli na redukcję ilości przesyłanych danych pomiędzy oddziałami, 50 komputerów w tym oddziale nie będzie pobierać aktualizacji z centrali, tylko z lokalnego serwera. Dodatkowo opcja repliki pozwoli na centralne sterowanie z poziomu podstawowego serwera.

            Dodatkową funkcjonalnością WSUS jest możliwość przekazywania aktualizacji do następnego serwera WSUS. Tę możliwość wykorzystano przy wdrożeniu do oddziału 2. W tej konfiguracji serwer WSUS zainstalowany w tym oddziale pobiera aktualizację z serwera podstawowego w centrali, ale lokalny administrator może zatwierdzać aktualizację do instalacji. Raporty i statusy z instalacji aktualizacji będą widziane również z poziomu centralnego serwera WSUS.

Wymagania WSUS

Usługi WSUS,  jak każda inna rola w serwerach Windows, ma pewne wymagania sprzętowe i programowe, prezentują się one następująco:

  • System przynajmniej Microsoft Windows 2008 R2 – polecam użyć najnowszej dostępnej wersji systemu operacyjnego Windows 2016;
  • Działa również w dystrybucjach Foundation i Small Business lub Essentials
  • Partycja sformatowana w systemie NTFS i nie może być skompresowana;
  • Przynajmniej 2 GB pamięci RAM;
  • Przynajmniej 4 GB wolnej przestrzeni na partycji systemowej na potrzeby bazy danych WSUS i plików systemowych;
  • Przynajmniej 10 GB wolnej przestrzeni na magazyn aktualizacji – rekomenduję 300 GB – wykorzystanie miejsca zależy od tego, ile produktów i języków wybierzemy.

Przy instalacji usług WSUS na serwerze dodatkowo zostaną zainstalowane następujące role:

  • IIS – Internetowe usługi informacyjne – niezbędne do łączności
    z komputerami klienckimi;
  • Windows Internal Database – niezbędne do przechowywania konfiguracji, statusów i raportów usług WSUS, można go zastąpić zewnętrzną bazą MSSQL;
  • Opcjonalnie można zainstalować Microsoft Reports Viewer 2008 – pozwala na generowanie raportów z instalacji aktualiza.

Wdrożenie usług WSUS

Poniżej przedstawiony instruktaż jest podstawowym sposobem wdrożenia usług WSUS. Trzeba go dostosować do potrzeb i wymagań infrastruktury w danej firmie. Wdrożenie wykonamy na systemie Windows Server 2012 R2 Standard.

Usługi WSUS instalujemy jako rolę systemu Windows. Jeśli rola WSUS jest niewidoczna w menedżerze serwera, należy pobrać wszystkie aktualizacje z Windows Update.

  1. W menedżerze urządzeń wybrać „Zarządzaj” i następnie „Dodaj role i funkcje”
  2. Po zapoznaniu się z ekranem powitalnym kreatora należy wybrać „instalacja oparta na rolach lub oparta na funkcjach”.
  3. Następnie należy wybrać serwer, który będzie pełnić rolę serwera WSUS.
  4. Następnie z listy ról należy wybrać „Windows Server Update Services”.
  5. Kreator zapyta się czy zainstalować dodatkowe role na serwer (tutaj będzie między innymi IIS i Windows Internal Database), należy potwierdzić to klawiszem „Dodaj funkcje”.

Lista funkcji

Następnie w kreatorze przechodzimy przez listę „Funkcji” bez zmian i przechodzimy do ekranu powitalnego WSUS. Po ekranie powitalnym możemy zdecydować czy baza danych ma być umieszczona w Windows Internal Database, czy na zewnętrznym serwerze. My zostawimy wdrożenie z pomocą Windows Internal Database.

Przechowywanie aktualizacji

Następnie należy określić, gdzie mają być przechowywane aktualizacje. Rekomenduję wybranie lokalizacji, w której jest dużo wolnej przestrzeni dyskowej zgodnie z wcześniejszymi zaleceniami.

instalacji roli IIS

Następnie będą ekrany odnośnie instalacji roli IIS, na nich nie należy nic zmieniać, na ekranie podsumowania można jeszcze przejrzeć wybrane role i jak wszystko się zgadza, to naciskamy przycisk „Zainstaluj”.

Po tym procesie udało się wdrożyć rolę WSUS. Następnym etapem jest wstępna konfiguracja usług WSUS na serwerze.

  1. W Menedżerze Serwera wybrać rolę „WSUS” i następnie po naciśnięciu przycisku „Więcej” należy kliknąć „Uruchom zadania poinstalacyjne”.
  2. Po zakończeniu procesu poinstalacyjnego można przejść do konfiguracji usług, w tym celu należy wybrać w oknie Menedżera Serwera „Narzędzia” i następnie „Windows Software Update Services”.
  3. Na starcie pojawi się „Kreator konfiguracji”, który pozwoli na skonfigurowanie usług wedle naszych potrzeb. Po przejściu ekranu powitalnego i określeniu czy chcemy przesyłać dane diagnostyczne do Microsoft, przejdziemy do ekranu, gdzie wybieramy serwer nadrzędny.
  4. W tym kroku możemy zdecydować czy:
    • Serwerem nadrzędnym będą Serwery Windows Update – wtedy jest to serwer podstawowy w organizacji;
    • Serwerem nadrzędnym będzie inny serwer WSUS – wtedy to będzie serwer podrzędny (tzw. Autonomiczny);
    • Jeśli zaznaczymy opcję „To jest replika serwera nadrzędnego” – wtedy serwer stanie się repliką serwera nadrzędnego i wszystkie ustawienia będą przenoszone z nadrzędnego serwera.

My w tym kroku wybierzemy serwer nadrzędny na serwery Windows Update, gdyż będzie to podstawowy serwer WSUS.

5. Następnie należy określić czy w organizacji używamy serwera Proxy do połączenia z serwerem Windows Update, jeśli tak to trzeba podać dane niezbędne do połączenia.

6. Po wprowadzeniu ustawień proxy, trzeba pobrać ustawienia z serwera nadrzędnego, ten proces trochę może potrwać.

7. Po pobraniu ustawień zostaniemy przekierowani do ekranu, gdzie można wskazać języki aktualizacji. Zalecam wybrać tylko te, które są wykorzystywane w organizacji. Im więcej wybierzemy, tym więcej przestrzeni dyskowej zajmą pobrane aktualizacje.

8. Następnie należy wybrać produkty, do których mają być instalowane aktualizacje. Zalecam wybrać tylko te, które są w organizacji.

9. W następnym ekranie trzeba określić klasyfikacje aktualizacji do pobrania. Zalecam pozostawić te opcje bez zmian. Im więcej wybierzemy, tym dłużej będzie trwała synchronizacja z serwerem nadrzędnym.

10. W następnych krokach należy skonfigurować harmonogram synchronizacji i następnie określić, kiedy ma być wykonana pierwsza synchronizacja. Zalecam ustawienie automatycznej synchronizacji raz dziennie i wykonanie jej po zakończeniu kreatora.

Po tych krokach mamy wstępnie przygotowany serwer WSUS do pracy. Następnym krokiem jest opublikowanie go w organizacji i zatwierdzenie aktualizacji po zsynchronizowaniu z serwerem nadrzędnym.

Publikowanie serwera w organizacji polega na stworzeniu obiektu zasad grupowych (GPO) i ustawieniu go w domenie Active Directory. W tym celu na kontrolerze Active Directory tworzymy nowy obiekt zasad grupy i potem otwieramy go w edytorze zasad grupowych. Po otwarciu, trzeba wejść w: Computer Configuration > Polices> Administrative Settings > Windows Components > Windows Update. Następnie w tym folderze trzeba wybrać ustawienie „Specify intranet Microsoft update service location”.

W tym ustawieniu trzeba określić adres IP serwera, który wdrażamy, w tym przypadku to będzie: http://SRV-WSUS-01:8530

Dodatkowo rekomenduję skonfigurowanie przez GPO automatycznych aktualizacji i wyłączenie automatycznego restartu komputerów.

Po skonfigurowaniu zasad grupowych GPO należy przypisać tę zasadę do jednostki organizacyjnej w Active Directory – można to wykonać w konsoli „Group Policy Management” na kontrolerze domeny Active Directory.

Po skonfigurowaniu zasad GPO należy zatwierdzić aktualizację do instalacji.
W tym celu na serwerze WSUS należy wejść w konsolę zarządzania Windows Software Update Services i po wybraniu nazwy serwera w drzewie konsoli po lewej stronie można zobaczyć status synchronizacji z serwerami Windows Update. Należy pamiętać, że pierwsza synchronizacja długo trwa.

Jeśli wynik ostatniej synchronizacji to „Powodzenie”, tak jak na załączonym zdjęciu, to należy przejść w drzewie konsoli do sekcji „Aktualizacje”. Zatwierdzanie aktualizacji zalecam rozpocząć od widoku „aktualizacje krytyczne”. W tej sekcji polecam zaznaczenie wszystkich aktualizacji i wybranie opcji „Zatwierdź”.

Następnie można przejść do widoku „aktualizacje zabezpieczeń” i tam wybrać tylko te aktualizacje, które zgłosiły komputery klienckie jako „potrzebne”. W ten sposób zaoszczędzimy dużo miejsca na dyskach serwera WSUS i nie będziemy ich zaśmiecać zbędnymi aktualizacjami.

Postępy instalacji aktualizacji można obserwować po wybraniu opcji „Wszystkie komputery” w drzewie konsoli. W tym widoku widać, które aktualizacje zostały już zainstalowane na danym komputerze.

W ramach zadań administracyjnych, co pewien czas należy przeglądać aktualizacje potrzebne do zatwierdzenia i status synchronizacji z serwerami Microsoft. Można stworzyć grupy do dystrybuowania aktualizacji np. do testów. Pozwala to zoptymalizować kontrolę nad dystrybucją aktualizacji i stopniowanie dystrybucji aktualizacji.

Podsumowanie

Powyżej przedstawiony sposób jest uproszczonym sposobem wdrożenia. Pozwala to na szybkie i poprawne uruchomienie usług w ramach organizacji, bardziej szczegółowy jest opisany w materiałach źródłowych, np. na stronach Microsoft.

Support Online to firma świadcząca usługi informatyczne od 2002 roku. Współpracujemy z wieloma firmami w zakresie kompleksowej opieki informatycznej, w skład której wchodzą m.in.:

Zachęcamy do kontaktu, oferujemy rozwiązania szyte na miarę. Pozwól nam zadbać o bezpieczeństwo Twojego biznesu.

Autor: Łukasz Kuźniewski

Źródło:

Łukasz Kuźniewski -
Powiązane artykuły
Artykuł
| Bezpieczeństwo IT i cyberbezpieczeństwo Bezpieczeństwo firmy w dobie ataków hakerskich Bezpieczeństwo danych to podstawa działania wielu firm z sektora księgowego, prawnego, produkcyjnego, handlowego czy szeroko pojętego konsultingu. Czytaj dalej
Artykuł
| Bezpieczeństwo IT i cyberbezpieczeństwo Czym jest malware i jak się przed nim chronić? Zagrożenia związane z cyberprzestępczością stają się coraz bardziej powszechne. Jednym z najpoważniejszych problemów, z jakimi muszą zmagać się użytkownicy komputerów i urządzeń Czytaj dalej
Artykuł
| Bezpieczeństwo IT i cyberbezpieczeństwo Google Cloud Platform – opis platformy Google Cloud Platform (GCP) to platforma chmurowa oferowana przez firmę Google, która dostarcza szeroki zakres usług obliczeniowych, przechowywania danych, analityki i sztucznej inteligencji. Czytaj dalej
Twoje IT.
nasze
wsparcie.
Skontaktuj
się z nami

Administratorem Państwa danych osobowych jest Support Online sp. z o.o. Państwa dane osobowe będą przetwarzane w celu udzielenia odpowiedzi na Państwa zapytanie oraz w przypadku udzielenia stosownej zgody również w celu wysyłki biuletynu informacyjnego SOL. O szczegółowych zasadach przetwarzania danych osobowych przez naszą organizację mogą Państwo przeczytać w naszej Polityce prywatności.

FAQ
Firma IT czym się zajmuje? W jakich technologiach IT pracujemy w Support Online? Kiedy warto skorzystać z firmy informatycznej (IT)? Czemu warto wynająć firmę informatyczną, a nie informatyka freelancer'a? Jakie są zalety współpracy z naszą firmą IT Support Online?

Firma IT, czyli firma informatyczna, zajmuje się szeroko pojętymi technologiami informacyjnymi. Obejmuje to między innymi:

  1. Projektowanie i tworzenie oprogramowania: Firma IT może tworzyć aplikacje na zamówienie dla innych firm lub produkty oprogramowania dla masowego rynku. W zależności od specjalizacji mogą to być aplikacje mobilne, aplikacje desktopowe, aplikacje webowe czy systemy wbudowane.
  2. Usługi konsultingowe: Firma IT często dostarcza ekspertów w celu doradztwa w zakresie wdrażania nowych technologii, optymalizacji procesów biznesowych czy też wyboru odpowiednich rozwiązań technologicznych.
  3. Rozwiązania chmurowe: Wiele firm IT specjalizuje się w wdrażaniu i zarządzaniu rozwiązaniami w chmurze, takimi jak przechowywanie danych, hosting aplikacji czy platformy do analizy danych.
  4. Bezpieczeństwo informatyczne: Ochrona przed cyberatakami, audyt bezpieczeństwa, wdrażanie polityk bezpieczeństwa oraz monitorowanie sieci to tylko niektóre z zadań firm IT w tej dziedzinie.
  5. Zarządzanie infrastrukturą IT: W tym zakresie firma może zajmować się zarządzaniem serwerami, bazami danych, sieciami czy urządzeniami końcowymi użytkowników.
  6. Wsparcie techniczne i serwis: Firma IT może dostarczać wsparcie dla swoich produktów lub ogólnie wsparcie IT dla innych firm, zarządzając ich technologią na co dzień.
  7. Szkolenia: Wielu dostawców technologii informacyjnych oferuje również szkolenia w zakresie korzystania z oprogramowania czy bezpiecznego korzystania z technologii.
  8. Rozwiązania hardware: Niektóre firmy IT mogą także zajmować się dostarczaniem i konfiguracją sprzętu komputerowego, serwerowego czy sieciowego.

W zależności od specjalizacji i wielkości, firma IT może oferować jedno, kilka lub wszystkie z powyższych rozwiązań. Ważne jest, aby przy wyborze dostawcy dokładnie zrozumieć zakres ich usług i dopasować je do indywidualnych potrzeb.

W Support Online od lat wspieramy firmy w

  1. kompleksowym wsparciu użytkowników (zarówno na miejscu jak również zdalnie),
  2. obsługujemy komputery, telefony, tablety oraz problemy sieciowe z nimi związane,
  3. specjalizujemy się w administracji serwerami: Windows, Linux/Unix,
  4. obsługujemy wirtualizatory takie jak: KVM, Hyper-V, VMWare czy Proxmox,
  5. obsługujemy serwisy chmurowe w szczególności rozwiązania: Azure, Microsoft 365 oraz AWS,
  6. monitorujemy serwery oraz urządzenia w sieci internetowej,
  7. konsultujemy rozwój, DRP oraz wspieramy stabliność przedsiębiorstwa w warstwie informatycznej,

Jeśli szukasz dobrej firmy informatycznej to myślmy, że Support Online to dobre miejsce dla rozwoju Twojego biznesu.

Warto skorzystać z firmy informatycznej (IT) taka jak Support Online gdy:

  1. Planujesz wdrażać nowe technologie lub oprogramowanie w swojej firmie.
  2. Potrzebujesz specjalistycznego doradztwa w zakresie technologii.
  3. Chcesz zoptymalizować istniejące procesy informatyczne.
  4. Zmagasz się z problemami bezpieczeństwa cyfrowego.
  5. Potrzebujesz wsparcia w zarządzaniu infrastrukturą IT.
  6. Brakuje Ci wewnętrznych zasobów lub kompetencji do realizacji pewnych projektów technologicznych.

Korzystanie z ekspertów zewnętrznych IT może przynieść korzyści w postaci oszczędności czasu, zasobów oraz zapewnienia wysokiej jakości rozwiązań.

Wynajęcie firmy informatycznej takiej jak Support Online w porównaniu z freelancerem IT oferuje kilka kluczowych korzyści:

  1. Wsparcie całego zespołu: Firma informatyczna IT dysponuje pełnym zespołem specjalistów od DevOps, Cyber Security Specialist po Helpdesk IT Specialist, którzy posiadają różnorodne umiejętności i doświadczenie, umożliwiając szybsze rozwiązanie problemów i realizację bardziej złożonych projektów.
  2. Wiarygodność i stabilność: Firmy IT mają ustaloną reputację i historię, co może przekładać się na większą pewność i stabilność usług.
  3. Utrzymanie i wsparcie: Firma informatyczna może oferować umowy serwisowe, gwarancje i wsparcie posprzedażowe, które mogą być trudniejsze do uzyskania od indywidualnego freelancera.
  4. Zasoby: Firmy mają dostęp do większej ilości zasobów, narzędzi i technologii, które mogą przyspieszyć i ulepszyć realizację projektu.
  5. Dłuższa dostępność: Ryzyko zniknięcia freelancera lub zmiany zawodu jest większe niż ryzyko likwidacji stabilnej firmy.

Jednakże warto zaznaczyć, że wybór pomiędzy firmą a freelancerem zależy od konkretnych potrzeb i sytuacji. Jeśli cenisz sobie spokój i szybką reakcję na niespodziewane problemy warto postawić na firmę IT taką jak Support Online.

Współpraca z firmą IT Support Online oferuje następujące zalety:

  1. Profesjonalny outsourcing IT: Firma gwarantuje wysoką jakość świadczonych usług w zakresie outsourcingu IT dla przedsiębiorstw różnej wielkości.
  2. Kompleksowe wsparcie informatyczne: IT Support Online dostarcza wszechstronne wsparcie informatyczne, które odpowiada na różne potrzeby przedsiębiorstw.
  3. Oszczędność czasu i pieniędzy: Dzięki wsparciu firmy, klient może skoncentrować się na swoich głównych działaniach biznesowych, jednocześnie redukując koszty związane z zarządzaniem technologią informacyjną.
  4. Obsługa różnorodnych firm: Firma specjalizuje się w obsłudze zarówno małych i średnich przedsiębiorstw, jak i dużych korporacji, co świadczy o jej elastyczności i zdolności dostosowywania się do różnorodnych wymagań klientów.
  5. Lider w obszarze outsourcingu IT: Firma jest uznawana za lidera w dziedzinie outsourcingu IT, zwłaszcza w regionie Poznania i Warszawy.

Współpracując z naszą firmą IT Support Online, przedsiębiorstwa mogą liczyć na wysoki standard obsługi oraz profesjonalizm na każdym etapie współpracy.

Bezpłatna konsultacja
22 335 28 00