Главная Security, Windows, Без рубрики, Новое Развертывание и использование WSUS сервера
  • Развертывание и использование WSUS сервера

    WSUS Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

    Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

    В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

    Установка WSUS

    В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

    Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

    • Операционная система: Windows Server 2003 SP1 и выше.
    • Дополнительные роли сервера: IIS 6.0 и выше
    • Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
    • Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

    Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.

    Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).

    Настройка сервера WSUS

    Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»

    В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

    При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

    В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

    В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

    В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7).

    В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт»

    После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)

    Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс – установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.

    После всех настроек необходимо добавить компьютеры в службу WSUS.

    Добавление компьютеров в службу WSUS

    Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

    Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

    В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

    В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

    Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13)

    В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

    Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

    В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.

    Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).

    Управление обновлениями

    Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

    После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

    Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

    Господа, удачных вам обновлений!

    Васильев Денис

Комментарии

  1. статья вроде чтобы помочь “новичкам избежать ряда «подводных камней»”, а не потрудилисть описать процес установки, на мой взгляд самый критичный момент (ведь переставлять всё заново несколько накладно, а описаный вами процес настройки, при наличии ошибки, легко исправить, без значительных телодвижений и времязатрат), все впервые устанавливающие wsus задаются вопросом “что использовать Microsoft Report Viewer или SQL Server” и какраз анализа этого волевого решения начинающего админа wsus нету. за последние годы, видимые мною статьи про wsus с использованием sql сервера были поставлены на SQL Server 2005, радосно было бы видеть использование 2008го с анализом сего внедрения.

    пошаговая статья по установке wsus есть у microsoft
    http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=df628245-8449-4b93-948c-0926deb1197a

    два бала за статью

  2. Простите, а как взаимосвязано
    >Так как мы хотим уменьшить размер Интернет трафика
    и
    >ОБЯЗАТЕЛЬНО! выбираем … «Загружать файлы экспресс — установки»
    ?

  3. ИМХО, использование SQL сервера целесообразно только для средних и крупных организаций, всему остальному большинству вполне подойдет встроенная база данных Windows.
    Единственное с чем соглашусь – это надо было сделать ацент на то, что при установке лучше руками указать место расположения базы данных и загруженных файлов и сказать, что разместить все это добро лучше на отдельном разделе, отличном от системного.
    Ещё надо заметить, что WSUS достаточно не тороплив, так что не стоит паниковать если у вас сразу не находятся все компы, даже gpupdate /force и wuauclt.exe /detectnow не всегда могут его заставить ворочаться быстрее.
    В целом получился хороший Step-By-Step для тех, кто в первый раз видит WSUS.

  4. ЗЫ. Кстати, если у вас на серваке с WSUS-ом крутится на пример служба SharePoint, то придется в GPO для него указывать другие порты, уточнить которые можно в осначтке IIS.

  5. Вот это конструктивный диалог.

    Вот с точки зрения бизнеса. Какая разница на чем будет крутится WSUS? По моему мнению, никакой.
    С точки зрения установки в Windows 2008 достаточно выбрать роль WSUS и сервер сам установится. В 2003 придется повозится. Далее выплывает окно в предложением настройки. И это самое основное. Потому что в первых раз я слил с нета порядка 25 гигов. Что есть не “комильфо”. Есть разъяснения по пунктам выбора меню.

    В данной статье аккумированы сведения не только по установке WSUS? но информация о том каким образом добавлять компьютеры без использования доменной политики. Применения командной строки.

  6. В какой версии 2008 возможно выбрать эту роль? В Standard обычного 2008 её нет. А вот в 2008 R2 эта роль есть.
    Ещё можно было бы добавить про тулзу с codeplex, которая позволяет базу чистить, иначе там очень много избыточного объема закачанных старых обновлений остается.

  7. для 2008 rtm надо обновление ролей качать, чтобы появился WSUS. в 2008 sp2 он уже вроде как есть по умолчанию.

  8. Может быть кому-то пригодится как “чинить” работу со wsus у клиентов

    http://itpadla.wordpress.com/tag/wsus/

  9. Да ставился на основе Windows 2008 r2.

    Во WSUS своя тулза есть, встроенная для очистки ненужных обновлений

  10. А где же траблшутинг?

    Что делать, если ГП применятеся, а компа не видно во WSUS.

    Что делать если не устанавливается обновление, снятие статистики об установленных обновлениях и прочее.

    Не раскрыт вопрос управлением назначенными директориями, для ПК.Как “таргетировать” ПК в определенные папки во WSUS.

    Ждем продолжения статьи 🙂

  11. WSUS это круть.. особенно когда не работает…)
    >А где же траблшутинг?
    миллион различных фокусов требуется применить…)
    wuauclt /detectnow это вообще семечки.

    сильно хочется WSUS 4, где можно будет обрезать лог СИНХРОНИЗАЦИИ, или ограничить на отображение, где можно будет НОРМАЛЬНО чистить базу, где можно зафорсить установку заплаток повторно…

  12. Основные траблы возникают когда с образов восстанавливаешь машины/ Там SID надо менять, Основная проблема текущей реализации WSUS это отсутствие обратной связи, то есть нельзя принудительно заставить ставится обновления и многое другое.
    Что делать когад применил ГП и не видно во WSUS было описано при добавлении машин без использовании доменной структуры. Достаточно посмотреть ГП на локальной машине

  13. А резервное копирование базы, а её обслуживание (переиндексирование)?

  14. Интересует вопрос: Как обратно добавить клиента, который был случайно удален из списка появившихся компьютеров?

  15. wuauclt.exe /resetauthorization /detectnow

  16. Есть возможность WSUS на 2008 без подключения к интернету (в локалке)?
    Начинаем добавлять роль WSUS, он на этом шаге пытается законектиться к SUS и вываливается в ошибку. Есть хитрость?

  17. Началось мое изучение wsus с этой статьи, потом 2 недели проблем и вот заработало. Здесь описана стандартная установка, но в итоге куча проблем и куча исписанных постов в интернете.

  18. Так и не смог поднять WSUS со встроенных фич , плясал долго и упорно . В итоге просто слил дистрибутив с нета , и все завелось.

  19. Небольшой хинт для тех у кого на работе ограничен трафик. У меня он был ограничен всегда, вот такой я везунчик))) Так как обновления WSUS занимают прилично места и 10 и 20 и 40 гигов, в зависимости от разношерстности вашего зоопарка я делаю следующий финт. Поднимаю дома на виртуалке копию WSUS, спокойно скачиваю все обновления на быстром и безлимитном интернете и потом несу это на диске на работу. На рабочей копии WSUS указываю обновляться с вышестоящего виртуального сервера. В качестве траблшутинга, от многих проблем часто помогает удаление роли WSUS и установка его повторно. Обновления и настройки при этом у меня не слетают. Но от греха подальше лучше иметь виртуалочку со всеми обновками о которой говорилось выше. Если что то глюкнет, можно будет восстановить обратно

  20. Добалю свои 5 копеек: Скрпит для оптимизации работы БД WSUS https://gallery.technet.microsoft.com/scriptcenter/6f8cde49-5c52-4abd-9820-f1d270ddea61/view/Discussions#content