Windows Server Update Services (WSUS): Konfiguration. WSUS Offline Update

For serverversioner af Windows kan opdatering af systemet og / eller softwaren installeret på barneterminalerne fra en relativt nylig tid udføres ved hjælp af et specielt værktøj, der forkortes som WSUS. Hvad er det? Faktisk er denne software en unik udgivelse, som giver dig mulighed for at nægte at bruge hver computer, der er inkluderet i det lokale netværk, en uafhængig internetkanal til installation af opdateringer. Om hvordan dette virker, og hvilke indstillinger skal indstilles, så fortsætter vi.

Windows Server Update Services: hvad er det og hvorfor?

Taler om denne tjeneste i almindeligt sprog kan det beskrives som software til automatisk opdatering af OS og software, der udelukkende er installeret på en server, som andre brugerterminaler er forbundet til et enkelt lokalt eller virtuelt netværk tilsluttet.

Da Microsoft opdaterer sine produkter med en misundelsesværdig regelmæssighed, skal de installeres på alle maskiner på netværket, hvilket er problematisk, hvis der er mere end et dusin af dem. For ikke at håndtere sådanne ting på hver enkelt terminal, kan du bruge funktionen WSUS Offline Update, når hovedopdateringen kun er installeret på serveren og derefter "distribueret" til alle andre computere.

Fordelene ved denne tilgang er indlysende, da brugen af internettrafik er reduceret (når du downloader netværket ikke er indlæst), og det sparer tid til at installere opdateringer, som, hvis de er korrekt konfigureret på den centrale server, vil blive udført automatisk.

Installationskrav

For WSUS er konfiguration og brug ikke mulig uden en række oprindelige betingelser. Her skal du være opmærksom på de vigtigste komponenter, som du skal downloade og installere på serveren, hvis de ikke er tilgængelige.

Følgende komponenter kan sondres som prioriteter:

• OS-modifikation af Windows Server er ikke lavere end 2003 (i det mindste med den første service pack);
• Platform. NET Framework version ikke lavere end 2,0;
• IIS 6.0-serverrollen eller højere
• Rapport Viewer fra Microsoft 2008;
• SQL Server 2005 med den anden service pack;
• Administrations Console fra Microsoft Modification 3.0.

Installationsproces

Faktisk forudsætter WSUS-installationen også, at der er ledig plads på serveren på ca. 100 GB (opdateringslagringsmappen er angivet i det første trin, efter at hovedinstallationsprogrammet starter).

Derefter er databasens placering angivet som en separat mappe (det er bedre at allokere omkring 2-4 GB).

Webserver database indstillinger

I princippet foreslår installationsprogrammet sig selv at installere interne databaser som standard, men du kan bruge den eksisterende databaseserver til at forenkle processen.

I dette tilfælde skal du registrere dit netværksnavn, der svarer til terminal ID i netværket. De to første indstillinger kan bruges enten til at modtage opdateringer fra en Microsoft-server eller fra en intern server. Der er dog også en tredje mulighed - installation af databaser på en ekstern terminal. Men denne ordning anvendes først og fremmest kun i tilfælde, hvor det er nødvendigt at distribuere opdateringer til fjerntliggende filialer fra en ekstra opdateringsserver.

Port valg

I den næste fase af WSUS-installationen forudsætter konfigurationen, at porten er valgt. Dette skal behandles meget omhyggeligt, da indtastningen af forkerte værdier kun kan føre til, at hele ordningen ikke fungerer.

Bemærk, at standardporten er 80. Du kan selvfølgelig forlade det, men det er bedre (og det bekræftes af praksis) at bruge portnummer 8530 (8531). Men denne tilgang er kun gældende, hvis manuel proxy konfiguration er påkrævet.

Valg af opdateringer

Det næste trin i WSUS-installationen konfigurerer indstillingerne for at få opdateringer fra opstrømsserveren. Med andre ord skal du angive, hvor opdateringerne downloades fra.

Der er to muligheder: enten at synkronisere med Microsoft Update-serveren eller med en anden fjernterminal. Det er bedre at bruge den første mulighed.

Konfigurer WSUS i domænet

Dernæst skal du vælge de sprog, der bruges på netværket, for at den service, der installeres, skal fungere korrekt.

Du kan installere en af de foreslåede lister, men engelsk skal vælges uden fejl, da det ikke er korrekt at læse og distribuere opdateringer ikke garanteres.

Produktvalg

Nu for WSUS Offline Update skal du angive, hvilke softwareprodukter der skal opdateres. Som de fleste eksperter mener, er det ønskeligt at være grådige og notere det maksimale antal elementer på listen, når de vælger det.

Men vær ikke involveret også. Det er bedre at bemærke, hvad der virkelig er nødvendigt. Hvis der f.eks. Ikke er installeret nogen version af Office 2003 på en hvilken som helst maskine på netværket, skal du ikke angive opdateringen.

WSUS-opdateringen i det næste trin vil bede dig om at vælge softwareklasserne, for hvilke opdateringerne først downloades. Der - efter eget valg. I princippet kan du ikke markere afkrydsningsfelterne for at installere opdateringer til drivere, værktøjer og nye funktioner. Når du er færdig, indstilles tiden, når de valgte opdateringer downloades og installeres.

Konsolindstillinger

Nu skal du ringe til konsollen og først og fremmest indstille den manuelle synkronisering, så alle tilgængelige opdateringer downloades.

Derefter skal du begynde at konfigurere terminalgrupperne. Det anbefales at oprette to kategorier af computere. I en server vil blive placeret, i den anden - de sædvanlige arbejdsstationer. Denne indstilling begrænser installationen af opdateringer til servere.

Da alle terminalerne, der er synlige i netværket, for øjeblikket er i kategorien af ikke-tildelte computere, skal de manuelt tildeles de tilsvarende grupper.

Det næste skridt er at konfigurere WSUS til at oprette særlige opdateringsregler, som er gjort i sektionen for automatisk godkendelse. For arbejdsstationer er det ønskeligt at indstille en automatisk godkendelsesregel, og for servere skal man desuden markere en tilsvarende linje. Desuden anbefales det ikke for servere at vælge absolut alle opdateringer, da dette kan føre til funktionsfejl.

Indstilling af opdateringsindstillinger i gruppepolitikker

Når forudindstillingen af hovedparametrene er gennemført, skal du udføre flere handlinger relateret til tilladelser og godkendelser.

For at gøre dette skal du bruge gruppepolicyeditoren, som er nemst at ringe via Run (Win + R) -konsollen med kommandoen gpedit.msc, i stedet for at bruge kontrolpanelet eller administrationsafsnittet.

Her skal du komme til de administrative skabeloner gennem computer- og politikkonfigurationen, hvor du finder "Opdateringscenter". Her er vi interesserede i den parameter, der er ansvarlig for at angive placeringen af opdateringstjenesten på intranettet. Hvis du ringer til redigeringsmenuen ved at dobbeltklikke på tjenesten, skal du aktivere og angive serveradressen, som normalt ser ud som http: // SERVER_NAME, hvor SERVER_NAME er navnet på serveren på netværket. Du kan ikke bruge denne kombination, men blot registrere en IP-server. Efter konfigurationen er afsluttet, efter lidt, modtager børnemaskinerne opdateringspakkerne.

Mulige fejl

WSUS-fejl skyldes oftest den kendsgerning, at der er for mange unødvendige opdateringer til servere, som nævnt ovenfor.

Et lige så stort problem er imidlertid, at opdateringer ikke er installeret på alle netværksbaserede børneterminaler. I dette tilfælde skal du åbne sektionen for automatiske godkendelser og indstille typen af gruppepolitikker for dem, hvilket svarer til den automatiske installation af kritiske opdateringer af operativsystemet og sikkerhedssystemet. Derfor kan du oprette din egen nye regel med produkter og indstillinger til installation af opdateringer (du kan endda bruge manuel godkendelse).

Endelig, hvis du ikke udfører en fuldstændig nulstilling af WSUS-indstillingerne, skal hele proceduren for indstilling af parametre gøres på ny, det anbefales kraftigt, at serveren rengøres mindst en gang om måneden ("Master" -funktionen med samme navn er angivet til dette). Sådanne trin hjælper med at fjerne uopfordrede opdateringer fra systemet, samt at reducere størrelsen af selve databasen væsentligt (det er forståeligt, at jo mere databasen er, jo mere tid det tager at få adgang til det, plus den store belastning på serverens computerkapacitet og fordelingen af opdateringer via netværket).

I nogle tilfælde kan det være muligt at bruge standardgruppepolitikken, men at oprette en ny type med alle de aktiverede parametre fra listen over tilgængelige enheder med serverens netværksadresse (med port 8530 aktiveret).

Hvis der benyttes såkaldte mobile arbejdsstationer, kan der laves lignende indstillinger i afsnittet af lokale sikkerhedspolitikker, der angiver de relevante parametre. Hvis alt er gjort korrekt, installeres kun kritiske opdateringer til Terminal Server-gruppen, og for computere, der er en del af arbejdsgruppen (eller en kategori med et andet navn), er absolut alle opdateringer, der blev valgt i den indledende fase af konfigurationen.

I stedet for den samlede

Faktisk, her kan du afslutte spørgsmålet om opsætning af den automatiske opdateringstjeneste WSUS. For at alt skal virke og ikke forårsage nogen bekymring for systemadministratoren i fremtiden, skal du være opmærksom på de oprindelige betingelser i forbindelse med installation af yderligere komponenter. Det antages, at serverversionen af operativsystemet er bedre at bruge ikke 2003, men 2008 R2 eller højere, og også være opmærksom på .NET Framework version 4, ikke 2.0). Derudover skal du være særlig opmærksom på proxyindstillingerne og valg af porte, da port 80 som standard ikke fungerer. Endelig er et af de vigtigste aspekter ved konfigurationen valget af terminalgrupper og de opdateringer, der er installeret på dem. I resten skal der som regel ikke være problemer, men når der lægges store omfattende opdateringer med ringe kommunikationskvalitet, kan kortvarige fejl og distributionsfejl på netværket stadig overholdes. Forresten skal du rengøre serveren fra tid til anden. Hvis det automatiske værktøj af en eller anden grund ikke har nogen positiv effekt, kan du i det mindste forsøge at slette de midlertidige filer manuelt fra SDTemp-mappen. I det mindste vil selv et trivielt trin straks reducere belastningen ikke kun på serveren selv, men også på datterterminalerne og på netværket som helhed.