Установка Windows 7 - часть 28: Управление обновлениями ПО

При установке Windows на целевые компьютеры необходимо, чтобы эти целевые машины содержали все последние обновления сразу после установки для их защиты с самого начала. Однако это может быть довольно сложной задачей, поскольку обновления безопасности и другие типы обновлений выпускаются компанией Microsoft для их продукции регулярно. К счастью, можно использовать службы обновлений Windows Server Update Services (WSUS) для распределения таких программных обновлений во время процесса LTI установки и после него. В этой статье речь пойдет о том, как устанавливать и настраивать WSUS и как включать WSUS в свою установочную инфраструктуру MDT 2010.

Использование WSUS в тестовой и производственной среде

Следует использовать WSUS в своих обеих установочных средах MDT: тестовой и производственной. Ваша тестовая среда представляет собой изолированную лабораторию, в которой вы устанавливаете и создаете снимки своих эталонных машин, а затем тестируете установку этих образов на различные типы ПК, имеющиеся в вашей среде предприятия. Использование WSUS в вашей тестовой среде позволяет вам обновлять свои эталонные образы во время их создания. Если вы не обновляете свои эталонные образы таким способом, ваши установки в среде предприятия будут занимать больше времени на выполнение, поскольку все доступные обновления придется устанавливать на них во время установки.

Иногда может потребоваться работа по поддержанию образов в обновленном состоянии после их создания. Для этой цели можно использовать DISM, но на это потребуется время и силы (смотрите 2 часть этого цикла об использовании DISM). В результате, вам, возможно, придется использовать WSUS в своей среде предприятия, чтобы применять обновления на целевые машины во время их установки с помощью MDT. В этом случае все недостающие обновления будут применены во время процесса развертывания, и на выходе вы получите полностью обновленный и защищенный образ. С другой стороны, еще одним подходом в этой ситуации является использование MDT для повторного создания всех эталонных образов всякий раз, когда выходит новое обновление от Microsoft. Если вам приходится работать только с небольшим количеством эталонных образов, это вполне приемлемый подход. В этом случае вам придется использовать WSUS только в тестовой среде, а не в среде предприятия. Так или иначе, шаги по установке и настройке WSUS, а также настройке MDT на использование WSUS, применимы как к тестовой среде, так и к среде предприятия.

Установка WSUS

На платформе Windows Server 2008 R2 службы WSUS доступны в качестве устанавливаемой роли сервера. Для предыдущих версий платформы Windows Server необходимо получить WSUS с Microsoft Download Center. В данном руководстве мы установим роль WSUS на сервер участник под названием SEA-MDT-01 в домене CONTOSO, который является сервером, использовавшимся нами в качестве MDT 2010 сервера в этом цикле статей. Прежде чем устанавливать WSUS, необходимо установить базу данных для службы. Это может быть Microsoft SQL Server 2008 Express или Standard, а также Enterprise версия SQL Server 2005 SP2 или SQL Server 2008. Если у вас нет SQL Server или SQL Server Express базы данных в наличии, WSUS автоматически установит минимальную базу данных Windows Internal Database. Поскольку мы будем устанавливать роль WSUS на наш MDT сервер SEA-MDT-01, на котором уже установлен SQL Server 2008 Express SP1 для базы данных MDT, мы будем использовать эту существующую базу данных во время установки WSUS. Смотрите 15 часть этого цикла о том, как устанавливать SQL Server Express на MDT сервер.

Начинаем с запуска мастера добавления ролей (Add Roles) из окна oobe.exe или из диспетчера сервера (Server Manager) и выбираем роль WSUS в низу списка доступных ролей (это автоматически установит роль веб сервера на ваш сервер):

В начале работы мастера установки WSUS Setup указываем место, где будут храниться загружаемые обновления на сервере (в данном руководстве мы будем использовать том U, который выделен под хранение обновлений):

Выбираем установленную базу данных SQL Server Express на сервере:

На следующем окне показано, что мастер установки WSUS Setup успешно подключился к SQL базе данных SQLEXPRESS:

Мы будем использовать стандартный веб сайт (Default Web Site) для этой роли WSUS:

Нажимаем Далее на странице подтверждения для завершения установки WSUS:

Настройка WSUS

Когда установка WSUS завершена, автоматически запускается мастер настройки WSUS Configuration:

Нажимаем Далее и (необязательно) присоединяемся к программе Microsoft Update Improvement Program:

В стандартной конфигурации WSUS будет загружать обновления с веб сайта Microsoft Update (MU):

В больших компаниях, возможно, придется создавать иерархию серверов WSUS, чтобы серверы в подразделениях могли получать свои обновления с серверов в головных офисах, которые, в свою очередь, будут загружать эти обновления с сайта MU.

Двигаемся далее и указываем прокси-сервер, если таковой имеется:

Нажимаем кнопку Подключиться (Start Connecting) для подключения сервера WSUS к внешнему серверу, коим в данном случае является веб сайт MU:

Теперь выбираем язык(и) загружаемых обновлений:

Выбираем только те продукты Microsoft, к которым будут применяться обновления во время процесса установки. В данном руководстве мы будем загружать обновления только для Windows 7:

По умолчанию все критические обновления и обновления безопасности будут загружаться, а также дефиниции обновлений будут применяться и к самому серверу WSUS:

При желании можно загружать другие типы обновлений для установки во время процесса развертывания. Хорошим выбором здесь будут два последних элемента в вышеуказанном списке, а именно Update Rollups и Updates.

На следующей странице указано, что стандартная конфигурация позволяет вам вручную синхронизировать WSUS при необходимости:

Если хотите, можете изменить эту опцию в предыдущем окне, чтобы WSUS синхронизировался по графику, например, каждую ночь в 2 часа.

В следующем окне по умолчанию настроена немедленная синхронизация, но мы отменим эту опцию, поскольку нам нужно выполнить дальнейшую настройку:

По окончании работы мастера открываем консоль администрирования WSUS из меню Администрирование (Administrative Tools) и выбираем Опции (Options):

Нажимаем на пункт Автоматические одобрения (Automatic Approvals) с правой стороны в вышеприведенном окне, чтобы открыть диалог Automatic Approvals:

Нажимаем кнопку Изменить (Edit), чтобы изменить правило Default Automatic Approval Rule:

Нажимаем на первую гиперссылку в поле второго шага (Step 2) внизу. У нас открывается новый диалог, который позволяет указывать, какие обновления будут автоматически одобрены, чтобы вам не приходилось вручную подтверждать их. Automatic Approval будет подходящим вариантом для организаций, в которых сотрудникам ИТ отдела не нужно иметь возможность проверять и тестировать каждое выпускаемое обновление на своих машинах (в реальности, это большинство организаций). По умолчанию только критические обновления и обновления безопасности будут одобряться автоматически:

Если вы настроили WSUS на загрузку Update Rollups и Updates, то вам придется отметить последние две опции в вышеуказанном диалоге флажками. Нажимаем OK, чтобы вернуться в диалог Automatic Approvals, и отмечаем опции, позволяющие включить автоматическое одобрение для указанных нами типов обновлений:

Нажимаем OK для завершения настройки WSUS.

Синхронизация WSUS

Следующим шагом будет синхронизация WSUS сервера с внешним сервером, коим в данном случае является веб сайт MU. В консоли администрирования WSUS нажимаем правой клавишей на узле синхронизации (Synchronization) и выбираем опцию Синхронизировать сейчас (Synchronize Now):

По окончании процесса синхронизации вы увидите результаты в панели подробностей консоли:

Обратите внимание, что заметка "Успешно (Succeeded)" не означает, что все обновления были загружены. Поскольку WSUS использует BITS для загрузки обновлений в фоновом режиме, на это требуется некоторое время. Для проверки прогресса загрузки обновлений выберите узел всех обновлений (All Updates) в узле Обновления (Updates). Все обновления, для которых в первом столбце имеется значок, как тот, что показан для двух нижних элементов на рисунке ниже, все еще загружаются с сайта MU и поэтому в данный момент недоступны для установки:

Перейдя в раздел Обновления (Updates), вы получаете краткую картину различных категорий обновлений:

Дополнительную информацию можно сгенерировать в узле Отчетов (Reports):

На данном этапе WSUS настроен и обновления для Windows 7 загружены.

Настройка MDT на использование WSUS

Теперь нам нужно настроить MDT так, чтобы целевые компьютеры получали обновления с WSUS во время процесса LTI установки. Открываем Deployment Workbench и выбираем последовательность задач для тестовой или производственной среды в зависимости от того, в какой среде вы сейчас работаете. Открываем свойства последовательности задач и выбираем закладку Последовательность задач (Task Sequence). Выбираем задачу Windows Update (Pre-Application Installation) в группе задач State Restore, и в закладке Опции (Options) для этой задачи убираем флажки с опций, показанных ниже, чтобы позволить использование WU (или WSUS в данном случае) для обновления целевых машин во время установки:

Применяем изменения, затем проделываем то же самое для задачи Windows Update (Post-Application Installation) двумя шагами ниже в группе задач, после чего закрываем свойства последовательности задач.

Теперь открываем CustomSettings.ini файл установочного ресурса и добавляем следующую строку в раздел [Default]:

WSUSServer=http://SEA-MDT-01

Это скажет целевым компьютерам, с какого сервера им нужно получать обновления во время процесса установки:

Нажимаем OK, чтобы применить изменения, и все готово. Теперь пытаемся использовать MDT для развертывания Windows 7 на целевой компьютер и по окончании процесса установки открываем Программы и Функции (Programs and Features) из панели управления, нажимаем пункт Показать установленные обновления (View Installed Updates) слева, в результате чего мы должны увидеть ряд обновлений, установленных на компьютер во время процесса развертывания ОС:

Заключение

В следующей и заключительной статье этого цикла мы добавим службы Windows Deployment Services в общую конфигурацию и свяжем все вместе для нашей установочной LTI инфраструктуры.