zaloguj się POBIERZ

Zapanuj nad aktualizacjami Windows – WSUS. Łukasz Kuźniewski

 
02
 
lis
 
2018

„Zapanuj nad aktualizacjami Windows – WSUS.” Łukasz Kuźniewski

 

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

  1. Omówienie usług WSUS

Usługi WSUS oferują następujące funkcjonalności:

  • pobranie aktualizacji z serwerów Microsoft, przechowywanie ich lokalnie
    i dystrybucję w obrębie lokalnej sieci – pozwala to na redukcję obciążenia łącza internetowego;
  • zatwierdzanie i odrzucanie aktualizacji – pozwala to na kontrolę nad tym, które aktualizację będą lub nie będą instalowane;
  • grupowa dystrybucja aktualizacji – pozwala na określenie, które komputery mają otrzymać aktualizację, a które nie;
  • monitorowanie dystrybucji aktualizacji i generowanie raportów – pozwala na monitorowanie postępów instalacji i statusu aktualizacji danego komputera.
  1. Przykładowy scenariusz wdrożenia usług WSUS

W scenariuszu załóżmy, że firma ma 3 oddziały. Centrala ma 100 komputerów, oddział 2 ma 50 komputerów i 3 oddział, który jest obsługiwany przez lokalny dział IT, posiada 25 komputerów. Sytuację idealnie zobrazuje poniższy schemat:

Wdrożenie WSUS w centrali pozwoli na redukcję obciążenia łącza internetowego. Wyobraźmy sobie instalację aktualizacji zbiorczej do systemu Windows o rozmiarze 3 GB na każdym stanowisku osobno, pobranie tej aktualizacji dla 100 stacji roboczych będzie wymagało pobrania ok. 300 GB z serwerów Windows Update przez łącze internetowe. Po wdrożeniu WSUS aktualizacja będzie pobrana tylko raz z serwerów Microsoft, a wszystkie komputery pobiorą ją z serwera WSUS umieszczonego w tej lokalizacji.

            Wdrożenie serwera WSUS w oddziale 1 pozwoli na redukcję ilości przesyłanych danych pomiędzy oddziałami, 50 komputerów w tym oddziale nie będzie pobierać aktualizacji z centrali, tylko z lokalnego serwera. Dodatkowo opcja repliki pozwoli na centralne sterowanie z poziomu podstawowego serwera.

            Dodatkową funkcjonalnością WSUS jest możliwość przekazywania aktualizacji do następnego serwera WSUS. Tę możliwość wykorzystano przy wdrożeniu do oddziału 2. W tej konfiguracji serwer WSUS zainstalowany w tym oddziale pobiera aktualizację z serwera podstawowego w centrali, ale lokalny administrator może zatwierdzać aktualizację do instalacji. Raporty i statusy z instalacji aktualizacji będą widziane również z poziomu centralnego serwera WSUS.

3. Wymagania WSUS

Usługi WSUS,  jak każda inna rola w serwerach Windows, ma pewne wymagania sprzętowe i programowe, prezentują się one następująco:

  • System przynajmniej Microsoft Windows 2008 R2 – polecam użyć najnowszej dostępnej wersji systemu operacyjnego Windows 2016;
  • Działa również w dystrybucjach Foundation i Small Business lub Essentials
  • Partycja sformatowana w systemie NTFS i nie może być skompresowana;
  • Przynajmniej 2 GB pamięci RAM;
  • Przynajmniej 4 GB wolnej przestrzeni na partycji systemowej na potrzeby bazy danych WSUS i plików systemowych;
  • Przynajmniej 10 GB wolnej przestrzeni na magazyn aktualizacji – rekomenduję 300 GB – wykorzystanie miejsca zależy od tego, ile produktów i języków wybierzemy.

Przy instalacji usług WSUS na serwerze dodatkowo zostaną zainstalowane następujące role:

  • IIS – Internetowe usługi informacyjne – niezbędne do łączności
    z komputerami klienckimi;
  • Windows Internal Database – niezbędne do przechowywania konfiguracji, statusów i raportów usług WSUS, można go zastąpić zewnętrzną bazą MSSQL;
  • Opcjonalnie można zainstalować Microsoft Reports Viewer 2008 – pozwala na generowanie raportów z instalacji aktualiza.

 

4. Wdrożenie usług WSUS

Poniżej przedstawiony instruktaż jest podstawowym sposobem wdrożenia usług WSUS. Trzeba go dostosować do potrzeb i wymagań infrastruktury w danej firmie. Wdrożenie wykonamy na systemie Windows Server 2012 R2 Standard.

Usługi WSUS instalujemy jako rolę systemu Windows. Jeśli rola WSUS jest niewidoczna w menedżerze serwera, należy pobrać wszystkie aktualizacje z Windows Update.

  1. W menedżerze urządzeń wybrać „Zarządzaj” i następnie „Dodaj role i funkcje”
  2. Po zapoznaniu się z ekranem powitalnym kreatora należy wybrać „instalacja oparta na rolach lub oparta na funkcjach”.
  3. Następnie należy wybrać serwer, który będzie pełnić rolę serwera WSUS.
  4. Następnie z listy ról należy wybrać „Windows Server Update Services”.
  5. Kreator zapyta się czy zainstalować dodatkowe role na serwer (tutaj będzie między innymi IIS i Windows Internal Database), należy potwierdzić to klawiszem „Dodaj funkcje”.

 

6. Następnie w kreatorze przechodzimy przez listę „Funkcji” bez zmian i przechodzimy do ekranu powitalnego WSUS. Po ekranie powitalnym możemy zdecydować czy baza danych ma być umieszczona w Windows Internal Database, czy na zewnętrznym serwerze. My zostawimy wdrożenie z pomocą Windows Internal Database.

7. Następnie należy określić, gdzie mają być przechowywane aktualizacje. Rekomenduję wybranie lokalizacji, w której jest dużo wolnej przestrzeni dyskowej zgodnie z wcześniejszymi zaleceniami.

 

8. Następnie będą ekrany odnośnie instalacji roli IIS, na nich nie należy nic zmieniać, na ekranie podsumowania można jeszcze przejrzeć wybrane role i jak wszystko się zgadza, to naciskamy przycisk „Zainstaluj”.

Po tym procesie udało się wdrożyć rolę WSUS. Następnym etapem jest wstępna konfiguracja usług WSUS na serwerze.

  1. W Menedżerze Serwera wybrać rolę „WSUS” i następnie po naciśnięciu przycisku „Więcej” należy kliknąć „Uruchom zadania poinstalacyjne”.
  2. Po zakończeniu procesu poinstalacyjnego można przejść do konfiguracji usług, w tym celu należy wybrać w oknie Menedżera Serwera „Narzędzia” i następnie „Windows Software Update Services”.
  3. Na starcie pojawi się „Kreator konfiguracji”, który pozwoli na skonfigurowanie usług wedle naszych potrzeb. Po przejściu ekranu powitalnego i określeniu czy chcemy przesyłać dane diagnostyczne do Microsoft, przejdziemy do ekranu, gdzie wybieramy serwer nadrzędny.
  4. W tym kroku możemy zdecydować czy:
    • Serwerem nadrzędnym będą Serwery Windows Update – wtedy jest to serwer podstawowy w organizacji;
    • Serwerem nadrzędnym będzie inny serwer WSUS – wtedy to będzie serwer podrzędny (tzw. Autonomiczny);
    • Jeśli zaznaczymy opcję „To jest replika serwera nadrzędnego” – wtedy serwer stanie się repliką serwera nadrzędnego i wszystkie ustawienia będą przenoszone z nadrzędnego serwera.

My w tym kroku wybierzemy serwer nadrzędny na serwery Windows Update, gdyż będzie to podstawowy serwer WSUS.

 

5. Następnie należy określić czy w organizacji używamy serwera Proxy do połączenia z serwerem Windows Update, jeśli tak to trzeba podać dane niezbędne do połączenia.

6. Po wprowadzeniu ustawień proxy, trzeba pobrać ustawienia z serwera nadrzędnego, ten proces trochę może potrwać.

7. Po pobraniu ustawień zostaniemy przekierowani do ekranu, gdzie można wskazać języki aktualizacji. Zalecam wybrać tylko te, które są wykorzystywane w organizacji. Im więcej wybierzemy, tym więcej przestrzeni dyskowej zajmą pobrane aktualizacje.

8. Następnie należy wybrać produkty, do których mają być instalowane aktualizacje. Zalecam wybrać tylko te, które są w organizacji.

9. W następnym ekranie trzeba określić klasyfikacje aktualizacji do pobrania. Zalecam pozostawić te opcje bez zmian. Im więcej wybierzemy, tym dłużej będzie trwała synchronizacja z serwerem nadrzędnym.

 

10. W następnych krokach należy skonfigurować harmonogram synchronizacji i następnie określić, kiedy ma być wykonana pierwsza synchronizacja. Zalecam ustawienie automatycznej synchronizacji raz dziennie i wykonanie jej po zakończeniu kreatora.

Po tych krokach mamy wstępnie przygotowany serwer WSUS do pracy. Następnym krokiem jest opublikowanie go w organizacji i zatwierdzenie aktualizacji po zsynchronizowaniu z serwerem nadrzędnym.

Publikowanie serwera w organizacji polega na stworzeniu obiektu zasad grupowych (GPO) i ustawieniu go w domenie Active Directory. W tym celu na kontrolerze Active Directory tworzymy nowy obiekt zasad grupy i potem otwieramy go w edytorze zasad grupowych. Po otwarciu, trzeba wejść w: Computer Configuration > Polices> Administrative Settings > Windows Components > Windows Update. Następnie w tym folderze trzeba wybrać ustawienie „Specify intranet Microsoft update service location”.

W tym ustawieniu trzeba określić adres IP serwera, który wdrażamy, w tym przypadku to będzie: http://SRV-WSUS-01:8530

Dodatkowo rekomenduję skonfigurowanie przez GPO automatycznych aktualizacji i wyłączenie automatycznego restartu komputerów.

Po skonfigurowaniu zasad grupowych GPO należy przypisać tę zasadę do jednostki organizacyjnej w Active Directory – można to wykonać w konsoli „Group Policy Management” na kontrolerze domeny Active Directory.

Po skonfigurowaniu zasad GPO należy zatwierdzić aktualizację do instalacji.
W tym celu na serwerze WSUS należy wejść w konsolę zarządzania Windows Software Update Services i po wybraniu nazwy serwera w drzewie konsoli po lewej stronie można zobaczyć status synchronizacji z serwerami Windows Update. Należy pamiętać, że pierwsza synchronizacja długo trwa.

Jeśli wynik ostatniej synchronizacji to „Powodzenie”, tak jak na załączonym zdjęciu, to należy przejść w drzewie konsoli do sekcji „Aktualizacje”. Zatwierdzanie aktualizacji zalecam rozpocząć od widoku „aktualizacje krytyczne”. W tej sekcji polecam zaznaczenie wszystkich aktualizacji i wybranie opcji „Zatwierdź”.

 

Następnie można przejść do widoku „aktualizacje zabezpieczeń” i tam wybrać tylko te aktualizacje, które zgłosiły komputery klienckie jako „potrzebne”. W ten sposób zaoszczędzimy dużo miejsca na dyskach serwera WSUS i nie będziemy ich zaśmiecać zbędnymi aktualizacjami.

Postępy instalacji aktualizacji można obserwować po wybraniu opcji „Wszystkie komputery” w drzewie konsoli. W tym widoku widać, które aktualizacje zostały już zainstalowane na danym komputerze.

W ramach zadań administracyjnych, co pewien czas należy przeglądać aktualizacje potrzebne do zatwierdzenia i status synchronizacji z serwerami Microsoft. Można stworzyć grupy do dystrybuowania aktualizacji np. do testów. Pozwala to zoptymalizować kontrolę nad dystrybucją aktualizacji i stopniowanie dystrybucji aktualizacji.

Powyżej przedstawiony sposób jest uproszczonym sposobem wdrożenia. Pozwala to na szybkie i poprawne uruchomienie usług w ramach organizacji, bardziej szczegółowy jest opisany w materiałach źródłowych, np. na stronach Microsoft.

 

Autor: Łukasz Kuźniewski

Źródło:

REFERENCJE

ARTYKUŁY IT

PARTNERZY

CERTYFIKATY IT

Alpiq energia