Главная System Center, Новое Управление обновлениями в System Center Configuration Manager 2007 (Часть 2)
  • Управление обновлениями в System Center Configuration Manager 2007 (Часть 2)

    AlienAqua windows update В первой части статьи я постарался рассказать о процессе управления обновлениями. Пора переходить к практике. В это статье я постараюсь описать механизм  взаимодействия Windows Software Update Services и Configuration Manager 2007.

    Для работы с обновлениями корпорация Microosft предлагает бесплатное решение Windows Software Update Services (WSUS). На момент написания статьи последней актуальной версией был WSUS 3 SP1.

    WSUS полностью самодостаточное решение, которое может удовлетворить потребности большинства организаций. Помимо прочего WSUS поддерживает иерархические отношений, таким образом можно централизованно управлять обновлениями, как в главном офисе, так и на филиалах.
    Развертывание и использование WSUS на предприятии очень хорошо описано и в официальной документации? и во многих статьях в интернете, поэтому я не буду заострять на нем внимание, а сразу же перейду к рассмотрению взаимодействия WSUS и Software Update в System Center Configuration Manager (SCCM).

    Подробнее о WSUS можно узнать:

    SCCM расширяет возможности WSUS делая механизм распространения обновлений намного более гибким и комфортным, как для администраторов, так и для конечных пользователей.

    Для работы с обновлениями в SCCM нам необходимо:

    • • WSUS сервер, собственно обновления с сайта Microsoft Update закачивает именно он;
      • Software Update Point – роль Configuration Manager’а;
      • свободное дисковое пространство под обновления (в зависимости от количества обновляемых продуктов).

    Теперь о каждом пункте поподробнее.

    WSUS сервер – отвечает за синхронизацию обновлений в вашей локальной базе с базой на серверах Microsoft Updates. Кроме этого именно с сервером WSUS клиенты сверяют необходимый список обновлений.
    Software Update Point  — роль SCCM, отвечающая за то, какие именно обновления будут загружены с сайтов Microsoft, за передачу обновлений на клиенты и их запуск на установку.
    Дисковое пространство – Microsoft рекомендует использовать как минимум 20Гб том для обновлений. Размер тома будет очень сильно зависеть от количества обновляемых продуктов. Так, обновления безопасности Windows  XP, Vista, Server 2003, Server 2008 (All x32)  занимают у меня порядка 4Гб. Однако SCCM дублирует все обновления, закаченные WSUS. Таким образом, нам нужно резервировать  двухкратное место на диске. Файлы обновлений будут храниться как в базе WSUS, так и в базе SCCM.

    Основная ошибка людей, которые только начинают работать с обновлениями через SCCM, это попытка использования консоли администрирования WSUS для каких либо действий. Главное что следует запомнить: либо мы используем для установки обновлений WSUS и тогда любые действия по управлению обновлениями мы осуществляем через консоль WSUS и соответственно напрочь забываем о существовании SCCM, либо мы используем SCCM, и тогда консоль администрирования WSUS после установки мы не трогаем вообще никогда.

    Общие моменты мы вроде бы прояснили. Давайте рассмотрим два самых распространенных сценария:
    1) у нас никогда не стояло никакой системы обновлений, мы решили установить SCCM;
    2) у нас успешно использовался WSUS, но мы хотим расширить его функционал за счет SCCM.

    Сценарий 1 – чистая установка

    Воспользуйтесь пошаговым руководством по установке WSUS и установите базовый сервер WSUS. При этом Microsoft рекомендует не проводить настройку свежеустановленного WSUS сервера – поскольку его настройки все равно будут затерты настройками из SCCM. Однако, я все предпочитают провести первоначальную синхронизацию WSUS с серверами Microsoft. Но только синхронизацию! Таким образом, мы можем удостовериться, что установка WSUS прошла успешно, что настройки связи не препятствуют работе механизма обновлений. Следует отметить, что если в вашей организации применяется прокси-сервер производства не Microsoft (например Squid), то при определенных сценариях, у вас могут возникнут проблемы с аутентификацией WSUS-сервера на вашем прокси-сервере. Во WSUS такую проблему можно решить, установкой галочки «Разрешить обычную проверку подлинности (пароль передается открытым текстом) ». В SCCM произвести такую аутентификацию невозможно, поэтому вам придется изменить настройки прокси-сервера так, чтобы он пропускал запросы от сервера WSUS+SUP SCCM без аутентификации.

    В SQUID это можно сделать, внеся в конфигурационный файл следующую запись:

    acl wsus scr ip_adress_wsus_server

    http_access allow wsus

    Очень важно! Не одобряйте для установки обновления, ни настраивайте групповую политику, не предпринимайте никаких действий по настройке WSUS окружения, кроме установки сервера и первоначальной синхронизации. Иначе вы  рискуете получить нерабочее решение, ошибки в работе которого будет очень сложно отследить. SCCM для настройки использует локальную политику компьютеров, настраиваемую агентом SCCM автоматически.  Поэтому все упоминания о WSUS из групповой политики (Group Policy) необходимо удалить.

    Сценарий 2 – модернизация уже работающего WSUS сервера

    Если у вас уже существует WSUS инфраструктура, и вы просто решили ее расширить за счет SCCM, то выполните следующие действия:

    • • снимите все выставленные вами одобрения для обновлений;
      • удалите из групповой политики все настройки WSUS.

    Если вы используете иерархическую структуру WSUS, и возможности центрального сервера будут расширены за счет установки Configuration Manager, убедитесь что все зависимые сервера WSUS, переведены из режима «реплики» в режим  «синхронизации с Microsoft Update». Иначе после снятия одобрений на центральном сервере, эти настройки будут переданы на подчиненные сервера.

    Теперь оба наших сценария приведены к общему знаменателю – у нас есть рабочий, не настроенный сервер WSUS. Пора расширить его возможности за счет установки Software Update Point SCCM.

    Установка Software Update Point

    Запустите консоль SCCM. Выберите:
    Site Management – Site Code – Site Settings – Site Systems – New Server или Server-New Role
    в зависимости от того, установлен WSUS сервер на сервер SCCM или находится на отдельном сервере.

    Использование WSUS на отдельном сервере, я считаю целесообразным, только в случае модернизации уже существующей инфраструктуры обновлений, либо если вы собираетесь использовать сервер для обновления очень большого количества клиентов.

    Введите короткое и FQDN имя сервера. Если установка производится на отдельный сервер, и при этом учетная запись сервера SCCM не внесена на WSUS-сервере в группу локальных администраторов, то укажите учетную запись для установки «Use another account for install this site system».

    capture_04132009_161414 Рисунок 1 Выбор сервера для установки роли

    Указываем для установки роль “Software update point

    capture_04132009_161425 Рисунок 2 Выбор роли Software Update Point (SUP)

    Задаем используемые порты. Должны быть выбраны порты,  указанные при установке WSUS сервера.

    capture_04132009_161529 Рисунок 3 Используемые порты WSUS

    Выбираем иерархию. Поскольку наш сервер, высший в локальной иерархии, — указываем синхронизацию с серверами Microsoft. Так же указываем, будут ли наши клиенты посылать оповещения на WSUS сервер. Я обычно ставлю пересылку всех событий “Create all wsus reporting events”. Хотя "отчеты в SCCM даюn более полное представление о судьбе обновлений, иногда бывает полезным получить эту же информации из консоли WSUS.

    capture_04132009_161537 Рисунок 4 Выбор иерархии обновлений

    Задаем расписание синхронизации. Большинство обновлений Microsoft выпускает во второй вторник месяца, однако критически важные обновления могут быть выпушены внепланово. Если количество генерируемого интернет трафика два вас критично, то выставьте синхронизацию раз в месяц, каждую вторую среду. Я предпочитаю ежедневную синхронизацию.

    capture_04132009_161549 Рисунок 5 Расписание синхронизации

    Выбираем необходимые нам типы обновлений. Подробнее о классификации обновлений.

    Критические обновления: Указывает на широко распространяемое обновление для решения отдельной проблемы, связанной с критической ошибкой, не касающейся вопросов безопасности.
    Обновления определений: Указывает на обновление, связанное с вирусными или иными файлами определения.
    Драйверы: Указывает на обновление компонентов программного обеспечения, разработанного для поддержки аппаратных ресурсов.
    Пакеты дополнительных компонентов: Указывает на дополнительные компоненты новых продуктов, которые распространяются вне данной версии продукта и, как правило, включаются в следующую полную версию продукта.
    Обновления для системы безопасности: Указывает на широко распространяемое обновление для проблемы в конкретном продукте, касающейся вопросов безопасности.
    Пакеты обновления: Указывает на накопительный пакет исправлений, применимых к приложению. Эти исправления могут включать обновления для систем безопасности, критические обновления, обновления программного обеспечения и т.д.
    Средства: Указывает на программу или функцию, помогающую выполнять одну или несколько задач.
    Накопительные пакеты обновления: Указывает на накопительный пакет исправлений, упакованных вместе для упрощения развертывания. Эти исправления могут включать обновления для систем безопасности, критические обновления, обновления и т.д. Накопительный пакет обновлений обычно относится к определенной области, например, к системам безопасности или к компоненту продукта.
    Обновления: Указывает на обновление приложения или файла, установленного в настоящий момент.

    capture_04132009_161557 Рисунок 6 Выбор загружаемых классов обновлений

    Выбираем продукты, для которых мы закачиваем обновления. Выбирайте только те продукты, которые действительно используются в данный момент. В будущем вы легко сможете изменить эти настройки.

    capture_04132009_161611 Рисунок 7 Выбор обновляемых продуктов

    Выбираем язык обновлений. Если все продукты в вашей системе русскоязычные выбираем только русский язык, иначе выбираем дополнительные языки. Не в коем случае не выбирайте не нужные вам языки – размер обновлений в таком случае будет очень сложно предсказать.

    capture_04132009_161621 Рисунок 8 Выбор языка обновлений

    Проверяем страницу summary, Next-Finish.

    capture_04132009_161628 Рисунок 9 Итоговая страница

    После этого проверяем настройки агента
    Site Management – Site Code – Site Settings-Client Afents – Software Updates Client Agents
    Главное для нас это галочка «Enable software updates on clients”, и интервал сканирования.

    capture_04132009_164707 Рисунок 10 Настройки агента SCCM

    На этом настройку Software update point можно считать законченной. Следует дождаться синхронизации с серверами обновлений Microsoft и после этого назначать обновления для клиентов.
    Кстати, рекомендую настроить  в WSUS отправку оповещений о новых обновлениях на e-mail. В консоли WSUs выбираем Параметры – Уведомления на e-mail
    В следующей статье я расскажу, о том, как работать с обновлениями, назначать их на коллекции, а пока рассмотрим механизм взаимодействия WSUS и SCCM.

    Механизм взаимодействия WSUS-SCCM

    За загрузку обновлений отвечает WSUS. Именно он связывается с серверами Microsoft, производит закачку необходимых файлов в папку WSUSContent. Именно из этой папки обновления будут скопированы в каталоги распространения (Deployment Packeg) SCCM. Следует отметить, что если одно и тоже обновление будет входить в несколько таких пакетов, то физически оно будет скопировано один раз, в остальных папках будет храниться ссылка на него.  Именно файлы обновлений из папок Deployment Packeg будут передаваться на клиентов.

    схема обновлений Рисунок 11 Схема взаимодействия WSUS и SCCM

    В SCCM, в отличии от WSUS, нет возможности автоматического ободрения обновлений. Процесс распространения обновлений должен происходить под руководством системного администратора (описанию процесса управления обновлениями посвящена первая статья). Администратор, просматривает новые обновления, выносит свое решение о необходимости применения тех или иных обновлений, и в ручную добавляет их к пакетам распространения.

    Установка обновлений происходит примерно по следующему сценарию:

    • • получение информации об  обновления на сервере WSUS и передача это информации в базу SCCM;
      • одобрение, загрузка и назначение на установку Администратором;
      • информирование пользователя о выходе обновления;
      • период, когда пользователь может установить или не установить обновление по своему выбору;
      • обязательная установка обновления, по наступлению времени принудительной установки (deadline).

    Два последних пункта могут отсутствовать, в зависимости от настроек распространения обновления.

    И так,  что делает WSUS:

    • • получает обновления от сайтов Microsoft Update;
      • по запросу клиента проводит выдачу информации о применимых к клиенту обновлениях;
      • запускает и устанавливает полученные от агента SCCM файлы обновлений.

    Что  делает SCCM:

    • • запускает процесс синхронизации WSUS с серверами Windows Update в интернете, при этом определяет какие классы обновлений и для каких продуктов необходимы;
      • предоставляет Администратору возможность управлять обновлениями: загрузка, одобрение, расписание установки;
      • запускает процесс синхронизации клиентского компьютера с базой WSUS, таким образом мы получаем сведения о необходимых для клиента обновлениях;
      • передает файлы обновлений на клиентские компьютеры, в зависимости от настроек распространения обновления (по запросу\принудительно);
      • запускает Update Agent на клиентских машинах для установки обновлений;
      • строит все отчеты относящиеся к Software Update (необходимые обновления, процесс установки, отчет об установке).

    Заключение

    Механизм взаимодействия WSUS и Configuration Manager почти не описана ни в документации, ни в статьях. Данная статья выжимка личного опыта, книг и статей об SCCM и дискуссий на форумах. Надеюсь, что она поможет вам лучше ориентироваться в процессах, происходящих при работе с обновлениями в SCCM. В следующей статье я наконец расскажу о том, как одобрять обновления для клиентов, устанавливать и удалять обновления, работать с отчетами.

    Алексей Тараненко

    MCP/MCTS: SCCM 2007

    altaranenco@gmail.com

    • Рубрика: System Center,Новое
    • Автор: Алексей Тараненко
    • Дата: Понедельник 13 Апр 2009

Комментарии

  1. MS часто выпускает новые редакции для обновления XXX. WSUS обрабатывает такую ситуацию практически автоматом, а что делать в такой ситуации администратору SCCM?

  2. Речь идет насколько я понимаю о Definition Updates.

    Скажу честно, сам я их не применяю, потребности нет. Но могу предложить вам два варианта:

    1) официально рекомендованный Microsoft technet.microsoft.com/en- ...ry/dd185652.aspx — на примере Forefront updates. Тут правда мы хитрим и используем для таких обновлений раздачу через WSUS

    2) скрипт на powerhsell или любом другом языке, работающий через WMI — который будет автоматом загражать-одобрять нужные вам обновления.

    Скрипта, к сожалению пока предложить не могу 🙂 надеюсь к выходу третьей части успею приготовить.

    А вообще, в мае будет бетатестирование SCCM SP2 — можно попробовать попросить такую доработку через сайт connect.microsoft.com — думаю если просящих будет очень много — то МС могут и внести такой функционал

  3. «Механизм взаимодействия WSUS и Configuration Manager почти не описана ни в документации, ни в статьях.» 🙂

    и самое главное: в чем преимущества/плюсы над чисто wsus схемой? судя по статье «зачем нам кузнец?! не...нам кузнец не нужен...» кузнец это конечно SCCM

  4. Дождитесь третьей части 😉 если и потом останутся вопросы, то напомните и я постараюсь на них ответить 🙂

  5. Спасибо! Все отлично написано, ждем 3-й части!

  6. <>

    Это работает:

    social.technet.microsoft...bf-ff201e798e34

    blogs.technet.com/carloss...8/05/how-can-we-

    enable-basic-proxy-authentication-on-the-software-update-points.aspx

  7. Вы хоть говорили бы, к чему это 😉

  8. это относилось к:

    ...В SCCM произвести такую аутентификацию невозможно, поэтому вам придется изменить настройки прокси-сервера так, чтобы он пропускал запросы от сервера WSUS+SUP SCCM без аутентификации...

  9. Спасибо за дополнение, не видел этого скрипта.

  10. А где сл. обещанная Вами статья про :как работать с обновлениями, назначать их на коллекции?))))

  11. Не поверите 🙂 на этом же сайте

    itband.ru/tag/update/

  12. Ой,а я даже не заметил, что это в той же статье под номером 3)))

    Спасибо большое!.

  13. У нас имеется вышестоящий сеовое ВСУс-каким образом ССМ знает как к ниму добраться, если это нигде не указывается? Кроме того что ССМ будет брать все с вышестоящего сервера...

  14. 2 kilo

    Что-то я не понял сути вашего вопроса. Или у вас все настроено, и тогда ConfgMgr знает как «добраться» к вашему WSUS серверу, или у вас не настроено, и соответственно никто ничего не знает.

  15. Ну я установил ВСУС, Установил и прописал все что было указано для ССМ. В настройках ССМ я просто нигде не видел где прописывать адрес вышестоящего ВСУса...Как он его находит-я имею ввиду ССМ?

  16. Консоль администрирования ConfigMgr — Site Managment — Site SEttings — Componetn Configuration — Software Update Point Component. Помимо прочего, тут вы указываете какой WSUS сервер использовать. Естествено для этой у вас должна быть установлена роль SUP SCCM и как минимум консоль администрирования WSUS сервера или сам WSUS сервер.

  17. Не совсем понял, как указать удаленный ВСУС явно...только вышестоящий есть, а где путь к этому вышестоящему указать то?)

  18. >Отзыв от kilo — 14 Декабрь 2009 в 7:44

    >Не совсем понял, как указать удаленный ВСУС явно...только вышестоящий есть, >а где путь к этому вышестоящему указать то?)

    Ну во-первых если вы устанавливали роль, а не добавляли новый сервер, то SUP привязывается к локальному серверу обновлений. Ну а чтобы узнать точно чего да как, посмотрите соответствующие логи от SUP, в таком порядке — SUPSetup.log, WsusCtrl.log, WsyncMgr.log

    Ну и ответом на то где указать — добавьте сервер и добавьте ему роль в консоле SCCM.

  19. Будет ли работать связка Wsus и Sccm Secondaryт site?

    Или обязательно Wsus и Sccm Primary site?

  20. Только Primary. На Secondary нет БД, с чем предполагается WSUS синхронизировать то? 🙂

  21. Т.о. все обновления на машинки Secondary site будут протягиваются из Primary site (папки WSUSContent и Deployment Packeg).

    А можно настроить полосу пропускания между Primary и Secondary сайтами средствами SCCM?

  22. Доброго дня. У меня стоял WSUS. Однажды он навернулся и восстановить его не получилось. Я поставил SCCM2007 на Win2008. Работает он уже несколько месяцев, но есть одна беда. Очень хотелось бы чтобы обновления ставились автоматом и пользователь об этом даже не подозревал. А у меня на клиентах при распространении отображается список обновлений с неотмеченными позициями.

    Окно с предложением вида установки Express\Custom не появляется.

    В GPO доменных убрал все упоминания о WSUS.

    Обновления ставятся нормально, если их отметить и нажать Install

  23. 22й отзыв относится к 3й статье. Промахнулся 🙁

Опубликовать

Я не робот.