Zapanuj nad aktualizacjami Windows – WSUS

Łukasz Kuźniewski, 2 listopada 2018

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

  1. Omówienie usług WSUS

Usługi WSUS oferują następujące funkcjonalności:

  • pobranie aktualizacji z serwerów Microsoft, przechowywanie ich lokalnie
    i dystrybucję w obrębie lokalnej sieci – pozwala to na redukcję obciążenia łącza internetowego;
  • zatwierdzanie i odrzucanie aktualizacji – pozwala to na kontrolę nad tym, które aktualizację będą lub nie będą instalowane;
  • grupowa dystrybucja aktualizacji – pozwala na określenie, które komputery mają otrzymać aktualizację, a które nie;
  • monitorowanie dystrybucji aktualizacji i generowanie raportów – pozwala na monitorowanie postępów instalacji i statusu aktualizacji danego komputera.
  1. Przykładowy scenariusz wdrożenia usług WSUS

W scenariuszu załóżmy, że firma ma 3 oddziały. Centrala ma 100 komputerów, oddział 2 ma 50 komputerów i 3 oddział, który jest obsługiwany przez lokalny dział IT, posiada 25 komputerów. Sytuację idealnie zobrazuje poniższy schemat:

Wdrożenie WSUS w centrali pozwoli na redukcję obciążenia łącza internetowego. Wyobraźmy sobie instalację aktualizacji zbiorczej do systemu Windows o rozmiarze 3 GB na każdym stanowisku osobno, pobranie tej aktualizacji dla 100 stacji roboczych będzie wymagało pobrania ok. 300 GB z serwerów Windows Update przez łącze internetowe. Po wdrożeniu WSUS aktualizacja będzie pobrana tylko raz z serwerów Microsoft, a wszystkie komputery pobiorą ją z serwera WSUS umieszczonego w tej lokalizacji.

            Wdrożenie serwera WSUS w oddziale 1 pozwoli na redukcję ilości przesyłanych danych pomiędzy oddziałami, 50 komputerów w tym oddziale nie będzie pobierać aktualizacji z centrali, tylko z lokalnego serwera. Dodatkowo opcja repliki pozwoli na centralne sterowanie z poziomu podstawowego serwera.

            Dodatkową funkcjonalnością WSUS jest możliwość przekazywania aktualizacji do następnego serwera WSUS. Tę możliwość wykorzystano przy wdrożeniu do oddziału 2. W tej konfiguracji serwer WSUS zainstalowany w tym oddziale pobiera aktualizację z serwera podstawowego w centrali, ale lokalny administrator może zatwierdzać aktualizację do instalacji. Raporty i statusy z instalacji aktualizacji będą widziane również z poziomu centralnego serwera WSUS.

3. Wymagania WSUS

Usługi WSUS,  jak każda inna rola w serwerach Windows, ma pewne wymagania sprzętowe i programowe, prezentują się one następująco:

  • System przynajmniej Microsoft Windows 2008 R2 – polecam użyć najnowszej dostępnej wersji systemu operacyjnego Windows 2016;
  • Działa również w dystrybucjach Foundation i Small Business lub Essentials
  • Partycja sformatowana w systemie NTFS i nie może być skompresowana;
  • Przynajmniej 2 GB pamięci RAM;
  • Przynajmniej 4 GB wolnej przestrzeni na partycji systemowej na potrzeby bazy danych WSUS i plików systemowych;
  • Przynajmniej 10 GB wolnej przestrzeni na magazyn aktualizacji – rekomenduję 300 GB – wykorzystanie miejsca zależy od tego, ile produktów i języków wybierzemy.

Przy instalacji usług WSUS na serwerze dodatkowo zostaną zainstalowane następujące role:

  • IIS – Internetowe usługi informacyjne – niezbędne do łączności
    z komputerami klienckimi;
  • Windows Internal Database – niezbędne do przechowywania konfiguracji, statusów i raportów usług WSUS, można go zastąpić zewnętrzną bazą MSSQL;
  • Opcjonalnie można zainstalować Microsoft Reports Viewer 2008 – pozwala na generowanie raportów z instalacji aktualiza.

4. Wdrożenie usług WSUS

Poniżej przedstawiony instruktaż jest podstawowym sposobem wdrożenia usług WSUS. Trzeba go dostosować do potrzeb i wymagań infrastruktury w danej firmie. Wdrożenie wykonamy na systemie Windows Server 2012 R2 Standard.

Usługi WSUS instalujemy jako rolę systemu Windows. Jeśli rola WSUS jest niewidoczna w menedżerze serwera, należy pobrać wszystkie aktualizacje z Windows Update.

  1. W menedżerze urządzeń wybrać „Zarządzaj” i następnie „Dodaj role i funkcje”
  2. Po zapoznaniu się z ekranem powitalnym kreatora należy wybrać „instalacja oparta na rolach lub oparta na funkcjach”.
  3. Następnie należy wybrać serwer, który będzie pełnić rolę serwera WSUS.
  4. Następnie z listy ról należy wybrać „Windows Server Update Services”.
  5. Kreator zapyta się czy zainstalować dodatkowe role na serwer (tutaj będzie między innymi IIS i Windows Internal Database), należy potwierdzić to klawiszem „Dodaj funkcje”.

6. Następnie w kreatorze przechodzimy przez listę „Funkcji” bez zmian i przechodzimy do ekranu powitalnego WSUS. Po ekranie powitalnym możemy zdecydować czy baza danych ma być umieszczona w Windows Internal Database, czy na zewnętrznym serwerze. My zostawimy wdrożenie z pomocą Windows Internal Database.

7. Następnie należy określić, gdzie mają być przechowywane aktualizacje. Rekomenduję wybranie lokalizacji, w której jest dużo wolnej przestrzeni dyskowej zgodnie z wcześniejszymi zaleceniami.

8. Następnie będą ekrany odnośnie instalacji roli IIS, na nich nie należy nic zmieniać, na ekranie podsumowania można jeszcze przejrzeć wybrane role i jak wszystko się zgadza, to naciskamy przycisk „Zainstaluj”.

Po tym procesie udało się wdrożyć rolę WSUS. Następnym etapem jest wstępna konfiguracja usług WSUS na serwerze.

  1. W Menedżerze Serwera wybrać rolę „WSUS” i następnie po naciśnięciu przycisku „Więcej” należy kliknąć „Uruchom zadania poinstalacyjne”.
  2. Po zakończeniu procesu poinstalacyjnego można przejść do konfiguracji usług, w tym celu należy wybrać w oknie Menedżera Serwera „Narzędzia” i następnie „Windows Software Update Services”.
  3. Na starcie pojawi się „Kreator konfiguracji”, który pozwoli na skonfigurowanie usług wedle naszych potrzeb. Po przejściu ekranu powitalnego i określeniu czy chcemy przesyłać dane diagnostyczne do Microsoft, przejdziemy do ekranu, gdzie wybieramy serwer nadrzędny.
  4. W tym kroku możemy zdecydować czy:
    • Serwerem nadrzędnym będą Serwery Windows Update – wtedy jest to serwer podstawowy w organizacji;
    • Serwerem nadrzędnym będzie inny serwer WSUS – wtedy to będzie serwer podrzędny (tzw. Autonomiczny);
    • Jeśli zaznaczymy opcję „To jest replika serwera nadrzędnego” – wtedy serwer stanie się repliką serwera nadrzędnego i wszystkie ustawienia będą przenoszone z nadrzędnego serwera.

My w tym kroku wybierzemy serwer nadrzędny na serwery Windows Update, gdyż będzie to podstawowy serwer WSUS.

5. Następnie należy określić czy w organizacji używamy serwera Proxy do połączenia z serwerem Windows Update, jeśli tak to trzeba podać dane niezbędne do połączenia.

6. Po wprowadzeniu ustawień proxy, trzeba pobrać ustawienia z serwera nadrzędnego, ten proces trochę może potrwać.

7. Po pobraniu ustawień zostaniemy przekierowani do ekranu, gdzie można wskazać języki aktualizacji. Zalecam wybrać tylko te, które są wykorzystywane w organizacji. Im więcej wybierzemy, tym więcej przestrzeni dyskowej zajmą pobrane aktualizacje.

8. Następnie należy wybrać produkty, do których mają być instalowane aktualizacje. Zalecam wybrać tylko te, które są w organizacji.

9. W następnym ekranie trzeba określić klasyfikacje aktualizacji do pobrania. Zalecam pozostawić te opcje bez zmian. Im więcej wybierzemy, tym dłużej będzie trwała synchronizacja z serwerem nadrzędnym.

10. W następnych krokach należy skonfigurować harmonogram synchronizacji i następnie określić, kiedy ma być wykonana pierwsza synchronizacja. Zalecam ustawienie automatycznej synchronizacji raz dziennie i wykonanie jej po zakończeniu kreatora.

Po tych krokach mamy wstępnie przygotowany serwer WSUS do pracy. Następnym krokiem jest opublikowanie go w organizacji i zatwierdzenie aktualizacji po zsynchronizowaniu z serwerem nadrzędnym.

Publikowanie serwera w organizacji polega na stworzeniu obiektu zasad grupowych (GPO) i ustawieniu go w domenie Active Directory. W tym celu na kontrolerze Active Directory tworzymy nowy obiekt zasad grupy i potem otwieramy go w edytorze zasad grupowych. Po otwarciu, trzeba wejść w: Computer Configuration > Polices> Administrative Settings > Windows Components > Windows Update. Następnie w tym folderze trzeba wybrać ustawienie „Specify intranet Microsoft update service location”.

W tym ustawieniu trzeba określić adres IP serwera, który wdrażamy, w tym przypadku to będzie: http://SRV-WSUS-01:8530

Dodatkowo rekomenduję skonfigurowanie przez GPO automatycznych aktualizacji i wyłączenie automatycznego restartu komputerów.

Po skonfigurowaniu zasad grupowych GPO należy przypisać tę zasadę do jednostki organizacyjnej w Active Directory – można to wykonać w konsoli „Group Policy Management” na kontrolerze domeny Active Directory.

Po skonfigurowaniu zasad GPO należy zatwierdzić aktualizację do instalacji.
W tym celu na serwerze WSUS należy wejść w konsolę zarządzania Windows Software Update Services i po wybraniu nazwy serwera w drzewie konsoli po lewej stronie można zobaczyć status synchronizacji z serwerami Windows Update. Należy pamiętać, że pierwsza synchronizacja długo trwa.

Jeśli wynik ostatniej synchronizacji to „Powodzenie”, tak jak na załączonym zdjęciu, to należy przejść w drzewie konsoli do sekcji „Aktualizacje”. Zatwierdzanie aktualizacji zalecam rozpocząć od widoku „aktualizacje krytyczne”. W tej sekcji polecam zaznaczenie wszystkich aktualizacji i wybranie opcji „Zatwierdź”.

Następnie można przejść do widoku „aktualizacje zabezpieczeń” i tam wybrać tylko te aktualizacje, które zgłosiły komputery klienckie jako „potrzebne”. W ten sposób zaoszczędzimy dużo miejsca na dyskach serwera WSUS i nie będziemy ich zaśmiecać zbędnymi aktualizacjami.

Postępy instalacji aktualizacji można obserwować po wybraniu opcji „Wszystkie komputery” w drzewie konsoli. W tym widoku widać, które aktualizacje zostały już zainstalowane na danym komputerze.

W ramach zadań administracyjnych, co pewien czas należy przeglądać aktualizacje potrzebne do zatwierdzenia i status synchronizacji z serwerami Microsoft. Można stworzyć grupy do dystrybuowania aktualizacji np. do testów. Pozwala to zoptymalizować kontrolę nad dystrybucją aktualizacji i stopniowanie dystrybucji aktualizacji.

Powyżej przedstawiony sposób jest uproszczonym sposobem wdrożenia. Pozwala to na szybkie i poprawne uruchomienie usług w ramach organizacji, bardziej szczegółowy jest opisany w materiałach źródłowych, np. na stronach Microsoft.

Autor: Łukasz Kuźniewski

Źródło:

BLOG

Zobacz inne nasze artykuły

Kopie zapasowe – jak to zaplanować?

Kopie zapasowe – jak to zaplanować?

Tworzenie kopii zapasowych jest jednym z najważniejszych procesów w działających środowiskach IT. Mają uchronić przed utratą kluczowych danych dla działania organizacji. Poprawna konfiguracja kopii zapasowej gwarantuje, że po uszkodzeniu infrastruktury IT właściciel...

Sposób na monitorowanie serwerów

Sposób na monitorowanie serwerów

Ciągłe monitorowanie serwerów zapewnia bezpieczeństwo oraz ciągłość działania infrastruktury IT. Sprawdzanie i wychwytywanie najważniejszych wskaźników, takich jak zużycie pamięci, utylizacja procesora, kondycja dysków i podzespołów, zapobiega nieprawidłowościom....

Helpdesk – jak to robią profesjonaliści

Helpdesk – jak to robią profesjonaliści

Czym jest i jak działa Helpdesk w Support Online? Helpdesk, PLW, IT Support Desk czy pierwsza linia – nazewnictwo jest różne, lecz rola jednakowa. To właśnie te grupy wystawione są na pierwszy kontakt z klientem. Niezależnie od tego, jaką drogą dociera do nas...