Что такое WSUS?
Если говорить простым языком, то службы Microsoft Windows
Server Update Services (WSUS) – это предоставленное компанией
Microsoft решение для управления обновлениями и патчами в
производственной среде. Используя WSUS, сетевые администраторы
могут управлять и устанавливать обновления ПО для всей линейки
продуктов компании Microsoft в сети. Сюда входят клиентские
ОС, такие как Windows XP и Windows Vista, серверные ОС, такие
как Windows Server 2003 и Windows Server 2008, и другие
продукты, включая Microsoft Exchange, ISA Server и Forefront
Security.
Более подробно
Есть три основных компонента, которые идут вместе и
необходимы для того, чтобы решение WSUS работало. Первым из
них является управляемый Microsoft компонент, Microsoft
Update, который управляет и распределяет обновления клиентам
Microsoft по требованию. Далее идет сам сервер WSUS,
позволяющий администраторам определять, какие обновления
загружены с Microsoft Update, а затем установлены на сетевых
клиентах. И последний компонент – это автоматическое
обновление (Automatic Update), интегрированное в Windows 2000
SP4, Windows XP, Windows Server 2003 и Windows Server 2008 и
позволяющее этим ОС загружать обновления из указанных
источников.
Независимо от того, устанавливается ли решение WSUS для
малой локально сети LAN или для большой географически
разбросанной сети WAN, оно включает лишь управление тремя
этими компонентами. Давайте рассмотрим некоторые из сценариев,
в которых вам может понадобиться установка WSUS, и как нам
сделать это максимально эффективно. Затем мы рассмотрим шаги
процесса установки.
WSUS в малой сети LAN
Большинство из установок WSUS используются в малых средах,
находящихся в одном месте, и включающих менее сотни
компьютеров. В такой конфигурации сетевому администратору
предстоит управлять одним WSUS сервером, который скачивает
обновления непосредственно с Microsoft Update. Обычно
ограниченный бюджет не позволяет приобретать сервер
исключительно для WSUS, поэтому данной службе придется
совместно использовать оборудование с чем-то еще, например, с
файловым сервером или сервером приложений.
Как только вы все установили, единственным бременем
сетевого администратора будет отслеживание того, что
синхронизация между сервером и Microsoft Update работает
должным образом, и время от времени подтверждать скачанные
обновления. Клиенты будут загружать и устанавливать обновления
автоматически, используя компонент Automatic Update.
Рисунок 1: Установка одного WSUS
WSUS в больших сетях LAN
В больших сетях есть несколько моментов, нуждающихся в
рассмотрении. Эти сети также располагаются в одном месте, но
включают большее количество компьютеров, серверов и сетевых
сегментов.
Первое, что нужно учесть, это то, что не всем компьютерам
требуются одинаковые обновления. Например, пользователи
бухгалтерского отдела могут использовать приложение, которое
несовместимо с .NET framework 3.0, в то время как
пользователям инженерного отдела эта программа может быть
необходима. Это очень легко исправить, используя компьютерные
группы. Каждый компьютер, подотчетный администраторской
консоли WSUS, может быть помещен в компьютерную группу в
зависимости от его индивидуальных потребностей. По умолчанию
все компьютеры находятся в группе 'Unassigned Computers',
когда впервые подключаются к серверу WSUS. Как только они
соединились, вы можете создавать группы и помещать туда
компьютеры. Обновления одобряются для каждой группы, что
позволяет вам настраивать эти обновления, установленные для
группы компьютеров, основываясь на потребностях их
пользователей.
Помимо этого, следующим моментом, требующим внимания,
является бремя управления несколькими серверами WSUS. Контроль
синхронизации, принятия обновлений и обеспечение успешной
установки этих обновлений обычно является довольно простой
задачей. Однако если у вас есть пять отдельных WSUS серверов,
то управление ими может отнимать много времени у одного
человека, не говоря уже о мыслительных затратах. К счастью,
WSUS был создан с учетом использования нескольких серверов и
предотвращает эту проблему с помощью иерархии серверов WSUS.
Модель этой иерархии позволяет одному серверу WSUS работать в
качестве главного сервера и применять свою конфигурацию к тем
серверам, которые расположены на более низких уровнях этой
иерархии.
Иерархия WSUS поддерживает два режима, автономный режим (о
котором мы поговорим позже) и режим точной копии (replica). В
режиме точной копии головной сервер является единственным
сервером WSUS, загружающим обновления с Microsoft Update. Это
также единственный сервер, на котором администратору
необходимо вручную настраивать компьютерные группы и одобрения
обновлений. Вся информация, загружаемая и настраиваемая на
головном сервере, копируется непосредственно на все
устройства, настроенные в качестве подчиненных серверов.
Используя этот метод, вы сэкономите большую часть пропускной
способности сети, поскольку только один компьютер будет
загружать обновления из глобальной сети. Однако, что более
важно, вы сможете сэкономить уйму времени, поскольку с точки
зрения ПО вам нужно управлять только одним сервером.
Рисунок 2: Установка WSUS в большой сети
LAN
WSUS в сети WAN
Последний и самый сложный сценарий, в котором WSUS может
быть установлен, это большая сеть WAN. Эти WAN сети
характеризуются большим количеством устройств, разбросанных
географически.
В отличие от других сценариев, такие сети очень часто имеют
распределяемую модель управления ИТ. Вместо того чтобы
использовать одного администратора, управляющего всей
деятельностью WSUS, каждое отдельное географическое место
может иметь отдельного администратора, который будет управлять
компьютерными группами и принятием обновлений независимо от
головного офиса. Как вы догадались, это второй сценарий, в
котором можно использовать иерархию, то есть автономный
режим.
Используя автономный режим главный сервер передает файлы
обновлений на подчиненные серверы, и ничего более. Это
означает, что отдельные компьютерные группы и принятие
обновлений будет настраиваться для каждого подчиненного
сервера отдельно. В таком типе установки, вы имеете
преимущество оптимального использования пропускной способности
сети, а также гибкость, позволяющую администраторам в этих
отделах компании самостоятельно управлять компьютерными
группами и принятием обновлений.
Еще один типичный сценарий WAN является результатом
ограничений пропускной способности сети. Очень часто удаленные
филиалы, связанные по сети, будут иметь высокоскоростное
подключение к глобальной сети, но довольно низкоскоростное
подключение к головному офису, например через VPN. В этих
случаях главный сервер может управлять принятием обновлений, а
удаленные подчиненные серверы могут быть настроены на загрузку
принятых обновлений непосредственно из глобальной сети без
участия главного сервера.
Рисунок 3: Установка WSUS, созданная для сетей
WAN
Установка WSUS
После того, как вы решили, какой сценарий установки
подходит для вашей сети, вам нужно перейти к процессу
установки. Мы рассмотрим шаги по установке WSUS на ваш
сервер.
Прежде чем начать, вам необходимо загрузить последний
выпуск WSUS непосредственно с сайта компании Microsoft.
После скачивания WSUS 3.0 на сервер, просто запустите файл
.exe, чтобы начать. Здесь вам будет дано уведомление, если
ваша система не соответствует требованиям установки WSUS
(требования можно проверить наWSUS
Installation Requirements). Если все нормально, то вам
будет задан вопрос о том, какие компоненты WSUS вы хотите
установить. Вы можете установить либо пакет, содержащий
программные компоненты и консоль управления WSUS полностью,
либо одну консоль управления. В нашем случае мы будем
устанавливать все компоненты. После этого появится окно с
лицензионным соглашением.
В следующем окне вам будет предложено выбрать источник
обновлений. Именно отсюда клиентские компьютеры буду скачивать
обновления. В данном примере мы выбрали опцию «Хранить
обновления локально», а также выбрали место с 20 GB свободного
места на диске (или больше, если вы используете широкий
перечень продуктов, требующих обновлений). Если вы не выберете
эту опцию, то клиентские компьютеры будут использовать WSUS
только для определения того, какие обновления были приняты, а
загружать их будут непосредственно с Microsoft Update через
Интернет.
Рисунок 4: Выбор источника обновлений во время
установки WSUS
Следующая страница будет страницей выбора опций базы
данных. Здесь вы выбираете технологию базы данных, которую
WSUS будет использовать для сохранения информации клиентских
обновлений. По умолчанию установка выберет внутреннюю базу
данных Windows Internal Database. Эта база данных отлично
работает, однако если на эту машину установлен сервер SQL, то
вы можете использовать и его, нужно лишь ввести эту информацию
на данной странице.
Следующее окно позволяет вам выбирать, как WSUS будет
использовать IIS. Вы можете использовать стандартный веб сайт
на порте 80 или разрешить WSUS создать свой сайт, используя
порт 8530. Использование порта 8530 рекомендуется, поскольку
оно предполагает определенную гибкость в том случае, если вы в
будущем установите на этом физическом сервере другие веб
приложения.
Рисунок 5: Выбор IIS веб сайта, который будет
использоваться WSUS
Это все настройки, требуемые здесь. На всех последующих
страницах нажимайте «Далее», а в конце нажмите
«Завершить».
Заключение
Итак, мы рассмотрели возможные опции использования WSUS, а
также процесс его установки. Конечно, есть еще множество
полезной информации о WSUS, но предоставленной здесь
информации должно быть достаточно для того, чтобы вы смогли
определиться с тем, как устанавливать и использовать эту
технологию Microsoft, чтобы повысить эффективность обновлений
и снизить общие перегрузки администрирования.