WSUS: serwer aktualizacji w Windows Server 2012

Wstęp

Aktualizacje to temat dość drażliwy. Dla niektórych jest to zło konieczne i indentyfikują to jako nieporadność autora oprogramowania, z drugiej jednak strony domagają się szybkiej odpowiedzi producenta na np. wykrycie krytycznej dziury w systemie operacyjnym.

W przypadku Windows przez lata zarzucano Microsoftowi dość dużą opieszałość w łatananiu swoich produktów. Dość sporą rewolucją było wprowadzenie w WindowsME automatycznej aktualizacji przez internet. Usługa o której mowa to Windows Update - darmowe narzędzie dla posiadaczy licencji. W największym uproszczeniu: Windows Update jest repozytorium aktualizacji dla produktów Microsoft. Każdy, kto chociaż raz instalował Windows i uruchomił usługę WindowsUpdate wie, że jest to złożonym czasem nawet irytujący cykl:


  • wygenerowanie na lokalnym komputerze "słowa" z informacjami, jakie są obecnie zainstalowane produkty i ich aktualizacje,
  • zapytanie do usługi WindowsUpdate,
  • odpowiedź serwisu WU, jakie są dostępne poprawki dla danego stanu systemu,
  • decyzja użytkownika, jakie elementy mają zostać zakutalizowane,
  • pobranie aktualizacji,
  • instalacja.

Cykl zakończony jest najczęściej komunikatem o konieczności restartu systemu, następnie można ponownie sprawdzić, czy obecny stan systemu umożliwia pobranie dodatkowych łatek... i tak kilka razy :>

Microsoft publikuje najnowsze łatki w cyklu miesięcznym (wtorki), oraz te najbardziej krytyczne także w innych dniach tygodnia. Co pewien czas pojawiają się "duże" aktualizacje w postaci "paczek serwisowych" - Service Pack. Zawierają one kilkadziesiąt drobniejszych łatek, dodatkowo potrafią wnieść sporo do działania systemu (co miało miejsce w przypadku SP dla XP, czy Windows 7).

Kontrola musi być

W przypadku użytkownika domowego jest to genialne i proste w użyciu narzędzie. Co jednak, gdy:


  • mamy w firmie 4000 komputerów
  • ,
  • w sytuacji, gdy kilkadziesiąt z nich zacznie pobierać SP "ważący" 500MB - zapcha się nawet najszerszą rura do internetu,
  • przez przypadek zaktualizują elementy, które mogą być krytyczne dla funcjonowania biznesu (np. źle napisany CRM, który tylko poprawnie działa w Internet Exporer 6 i nie może być aktualizacji dla .NET),
  • aktualizacja unieruchomi całkowicie kilkadziesiąt komputerów.

Z pomącą przychodzi Server Update Service, znany obecnie jako WSUS. W początkach swojego istnienia (2005 rok) było to dość proste i kolokwialnie mówiąc... uperdliwe narzędzie. WSUS z czasem wyrusł z pieluch i w obecniej (3.0) jest dużym darmowym narzędziem usprawniającym zarządzenie stacjami roboczymi.

Z nieznanych mi przyczyn niektórzy administratorzy... boją się WSUSa, uznając usługę za mało wnoszącą do ich pracy i dodatkowo skomplikowana w działaniu. Nie do końca wiem skąd są się wzięły te miejskie legendy, postaram się przybliżyć działanie programu.

Jak to działa

Windows Server Update Services do prawidłowego działania wymaga:


  • serwerowej wersji OS (min. MS Windows 2003),
  • miejsca na dysku na aktualizacje (o tym później...),
  • kilku składników w postaci usługi IIS, MMS, .Net Framework i silnika DB (SQL, lub WID).

WSUS dd wprowadzenia Windows 2008R2 jest jedną z możliwych usług serwera- tyczy to się także Windows 2012.

Sama idea serwera WSUS to lokalny serwer aktualizacji: administrator więc decyduje, jakie aktualizacje będą dostarczone do komputerów (pobieranie tylko raz).

Załóżmy, że mamy już zainstalowany Windows 2012, oraz skonfigurowane najważniejsze elementy (DNS, w miarę możliwości Active Directory itd.). Dodajmy więc rolę WSUS:

"Czarodziej" grzecznie nas poinformuje o konieczności dodania wyżej wymienionych składników i po zatwierdzeniu puści nas w dalszą część konfiguracji:

Konfiguracja następnej opcji powinna być dobrze przemyślana: repozytorium aktualizacji. Możemy całkowicie wyłączyć opcję trzymania plików na lokalnym serwerze (konieczność pobierania łatek przez stacje robocze z internetu), lub wskazać ścieżkę, gdzie zapisywać pliki.

Objętość tego folderu będzie zależała:


  • od tego, ile mamy rożnych systemów operacyjnych w sieci (XP, Vista, 7/8, 32/64bit, MS Office, wersje językowych, itd.)
  • ,
  • umiejętności posługowania się WSUSem.
  • .

Mając przykładowo w sieci tylko Win7/32bit z preinstalowanymi SP1, będzie to niewiele ponad 0.5GB - widziałem jednak foldery mające więcej, niż 100GB. Przy dobrych wiatrach nie powinien jednak zająć więcej, niż 7-15GB.

Kolejny etap to rząd ustawień, które później będziemy mogli bez problemu zmodyfikować:

Upstream Server

Źródło łatek dla naszego WSUSa. Domyślną opcją jest serwer Microsoft, jednak nic nie stoi na przeszkodzie używać kilku serwerów WSUS w jednej sieci, gdzie jeden jest np. źródłem danych dla innych.

Specify Proxy

Jest to o tyle warta uwagi funkcja, gdyż po zatwierdzeniu zmian następuje pierwsze połączenie ze źródłowym serwerem aktualizacji - może to potrwać dobre kilkanaście minut:

Choose language

W większości przypadku wystarczy wybrać język lokalny i angielski - zależne od naszych stacji roboczych. Jest to jedna z tych opcji, która może wyraźnie "nadmuchać" repozytorium. W niektórych firmach (np. programistyczne, tłumaczenie tekstów itd.) pracownicy używają różnych wersji systemu i jest to spore obciążenie dla zasobów dyskowych.

Choose products

Tutaj wybór jest spory, warto poświęcić czas tej sekcji:


  • systemy operacyjne (od 2000 kończąc na Windows 8 i RT, z uwzględnieniem edycji serwerowych)
  • program antywirusowy (MS Security Essentials),
  • pakiety biurowe (Works, Office 2002/XP-2013),
  • SQL,Exchange,
  • inne produkty MS (Forefront, Visual Studio łącznie ze Skype itd.).

Choose Classifications

Podział logiczny (kategoryzacja) aktualizacji. Jest to raczej kwestia kosmetyczna, polecam zaznaczyć: Critical Updates, Definition Updates, Security Packs, Security Updates.

Configure Sync Schedule

Sync Schedule, czyli jak często WSUS ma aktualizować bazę łatek z serwera źródłowego:

Uruchomienie

Załóżmy że instalacja powiodła się - urchamiamy więc konsolę WSUS:

Główny ekran prezentuje najważniejsze informacje:


  • komputery wymagające aktualizacji,
  • status synchronizacji,
  • możliwe "szybkie akcje" w postaci zaakceptowania oczekujących łatek.
    • Po rozwinięciu instancji WSUS (w tym przypadku jest jeden serwer, w złożonych środowiskach może ich być więcej) ukaże się siedem głównych sekcji:


      • aktualizacje: tu będziemy zatwierdzać (lub wycofywać...) łatki,
      • downstream servers: serwery replikujące (czyli inne serwery WSUS),
      • synchronizacje: status połączeń do serwera źródłowego (czas trwania sesji, rezultat w postaci informacji o nowych aktualizacjach, lub wycofanych).
      • raporty: numerki, którymi możemy się pochwalić na spotkaniu firmowym ("w dniu X nastąpiła 2334 desktopów zakończona sukcesem),
      • Opcje:czyli konfiguracja WSUSa.

      Do dokładniejszego omówienia wrócę w dalszej części, najpierw należy dodać komputery do zasobów serwera aktualizacji.

      WSUS okiem klienta, czyli stacji roboczej

      Jak już wspomniałem, Windows przy ustawieniach domyślnych pobiera aktualizacje z internetu. Status tego procesu można śledzić w logach znajdujących się w głównym katalogu Windowsa:

      Microsoft udostępnia też proste, ale bardzo pomocne narzędzie: Client Diagnostics Tool, które w działaniu wygląda następująco:

      Zmianę w konfiguracji zapewni konfiguracja polis: Group Policy. W komputerze, który nie jest podłączony do domeny wystarczy (uprawnienia administratora lokalnego) wywołać konsolę gpedit.msc.
      Gałąź wymagająca edycji to Windows Update:

      COMPUTER CONFIGURATION
      -> Administrative Templates
      -> Windows Componets
      ->Windows Update

      W przypadku kontrolera domeny należy:


      • utworzyć nowy obiekt GPO (można także wyedytować isniejący, jednak dobra praktyką zapewniającą przejrzystość i elastyczność konfiguracji jest utworzenie nowego)
      • podlinkować ("przeciągnąć") obiekt GPO do domeny:
      • wyedytować ustawienia

      Podsumowanie

      Jak widać powyżej, temat jest mimo wszystko dość złożony. W drugiej części poruszę tematy dotyczące:


      • konfiguracji i opisu opcji klienta,
      • konfiguracja komputerów i grup w konsoli,
      • automatycznych zadań na przykładzie aktualizacji programu antywirusowego,
      • diagnostyki i dobrych praktyk w przypadku serwera WSUS.