Windows Server Update Services (WSUS): налаштування. WSUS Offline Update

Для серверних версій Windows оновлення системи та/або програмного забезпечення, встановленого на дочірніх терміналах, з відносно недавнього часу може виконуватися за допомогою спеціального інструменту, який отримав скорочену назву у вигляді абревіатури WSUS. Що це таке? По суті, це програмне забезпечення являє собою унікальний реліз, що дозволяє відмовитися від використання кожним комп'ютером, що входять в локальну мережу, самостійного інтернет-каналу для встановлення апдейтів. Про те, як це все працює, і які потрібно встановити налаштування, далі і піде мова.

Windows Server Update Services: що це і навіщо потрібно?

Якщо говорити про це сервісі простою мовою, його можна описати як програмне забезпечення для автоматичного оновлення ОС і ПЗ, встановлюється виключно на сервер, до якого підключаються інші користувальницькі термінали, об'єднані в єдину локальну або віртуальну мережу. Оскільки оновлення корпорація Microsoft для своїх продуктів випускає з завидною регулярністю, встановлювати їх потрібно на всіх машинах в мережі, що досить проблематично, якщо їх більше десятка. Щоб не займатися подібними речами на кожному окремо взятому терміналі, можна використовувати функцію WSUS Offline Update, коли основне оновлення встановлюється тільки на сервер, а потім «лунає» на всі інші комп'ютери. Переваги такого підходу очевидні, адже знижується використання інтернет-трафіку (при скачуванні мережа не навантажується) і економиться час на установку апдейтів, яка при правильному налаштуванні програмного забезпечення на центральному сервері буде здійснюватися автоматично.

Вимоги до встановлення

Для WSUS налаштування та використання неможливі без дотримання низки початкових умов. Тут слід звернути увагу на основні компоненти, які потрібно спочатку завантажити та інсталювати на сервер, якщо вони відсутні. В якості пріоритетів можна виділити наступні компоненти: ОС модифікації Windows Server не нижче 2003 (хоча б з першим сервіс-паком); платформа .NET Framework версії не нижче 2.0; ролі сервера IIS 6.0 або вище; Report Viewer від Microsoft модифікації 2008; SQL Server версії 2005 з другим сервіс-паком; Management Console від Microsoft модифікації 3.0.

Процес інсталяції

Власне, установка WSUS передбачає також резервування вільного дискового простору на сервері в розмірі близько 100 Гб (розташування папки зберігання оновлень вказується на першому кроці після запуску основного інсталятора). Далі встановлюється місцезнаходження бази даних у вигляді окремого каталогу (краще виділити близько 2-4 Гб).

Параметри баз даних веб-сервера

В принципі, сам установник за замовчуванням пропонує встановити внутрішні бази даних, але для спрощення процесу можна використовувати і наявний сервер баз даних. В даному випадку потрібно буде самостійно прописати його ім'я, що відповідає ідентифікатору терміналу в мережі. Перші два варіанти можна використовувати або для отримання апдейтів з сервера Microsoft, або з внутрішнього сервера. Правда, є ще і третій варіант – установка баз даних на віддаленому терміналі. Але така схема застосовується в основному тільки в тих випадках, коли потрібно розподіляти апдейти по віддалених філій з додаткового сервера оновлень.

Вибір порту

На наступному етапі установки WSUS настройка передбачає здійснити вибір порту. До цього потрібно поставитися дуже уважно, оскільки введення некоректних значень може призвести тільки до того, що вся схема працювати не буде. Зверніть увагу, що за замовчуванням до використання пропонується 80-й порт. Можна, звичайно, залишити його, але краще (і це підтверджується практикою) використовувати порт під номером 8530 (8531). Але такий підхід застосовний тільки в тому випадку, коли потрібно налаштування проксі.

Вибір оновлень

Наступний крок в інсталяції WSUS – налаштування параметрів отримання апдейтів з вищого сервера. Іншими словами, потрібно вказати, звідки саме будуть завантажуватися оновлення. Тут є два варіанти: або робити синхронізацію з сервером оновлень Microsoft, або з іншим віддаленим терміналом. Краще використовувати перший варіант.

Налаштування WSUS в домені

Далі для коректної роботи встановлюється служби необхідно вибрати мови, які використовуються в мережі. Встановлювати можна будь-який із запропонованого списку, але англійська повинен бути вибраний в обов'язковому порядку, оскільки без цього коректна завантаження і розподіл апдейтів не гарантується.

Вибір продуктів

Тепер для WSUS Offline Update слід вказати, які саме програмні продукти підлягають оновленню. Як вважає більшість фахівців, при виборі бажано не скупитися і відзначити максимально можлива кількість пунктів у списку. Але і захоплюватися теж не варто. Краще відзначити тільки те, що дійсно необхідно. Наприклад, якщо ні на одній машині в мережі версія «Офісу» 2003 не встановлена, то і вказувати її оновлення не варто. Оновлення WSUS на наступному етапі запропонує вибрати класи програмного забезпечення, для яких апдейти будуть завантажувати в першу чергу. Тут – на свій вибір. В принципі, можна не встановлювати галочки навпроти установки оновлень драйверів, засобів і нових функцій. По завершенні встановлюється час, коли обрані оновлення будуть завантажуватися і інсталюватися.

Налаштування консолі

Тепер слід викликати консоль і насамперед встановити ручну синхронізацію, щоб відбулася завантаження всіх наявних на даний момент апдейтів. Після цього доведеться зайнятися налаштуванням груп терміналів. Рекомендується створити дві категорії комп'ютерів. В одній будуть перебувати сервери, в іншій – звичайні робочі станції. Така настройка дозволить обмежити інсталяцію оновлення на сервери. Оскільки всі видимі в мережі термінали на даний момент знаходяться в категорії призначеними комп'ютерів, розподіляти їх по відповідним групам доведеться вручну. На наступному етапі налаштування WSUS передбачає створення спеціальних правил оновлення, що робиться в розділі автоматичного схвалення. Для робочих станцій бажано встановити правило автоматичного схвалення, а для серверів потрібно буде додатково зазначити ще одну відповідний рядок. Крім того, саме для серверів не рекомендується вибирати абсолютно всі оновлення, оскільки це може призвести до збоїв в роботі.

Установка параметрів оновлення в групових політиках

Коли попереднє налаштування основних параметрів завершена, потрібно виконати ще кілька дій, пов'язаних з дозволами і схваленнями. Для цього потрібно використовувати редактор групових політик, який найпростіше викликати через консоль «Виконати» (Win + R) командою gpedit.msc, а не використовувати «Панель управління» або розділ адміністрування. Тут потрібно через конфігурацію комп'ютера і політики дістатися до адміністративних шаблонів, де знайти «Центр оновлення». У ньому нас цікавить параметр, який відповідає за вказівку розташування служби оновлення в інтрамережі. Викликавши подвійним кліком меню редагування, служби потрібно включити і вказати адресу сервера, який зазвичай виглядає як http://SERVER_NAME, де SERVER_NAME – ім'я сервера в мережі. Можна не використовувати таку комбінацію, а просто прописати IP сервера. По завершенні установки через деякий час дочірні машини почнуть отримувати пакети апдейтів.

Можливі помилки

Помилки WSUS найчастіше пов'язують з тим, що для серверів включено занадто багато непотрібних оновлень, про що було сказано вище. Однак не менш поширеною проблемою є і той момент, що оновлення встановлюються не на всіх мережевих дочірніх терміналах. В даному випадку необхідно відкрити розділ автоматичних схвалень і встановити для них саме тип групових політик, який відповідає автоматичної інсталяції критичних апдейтів операційної системи і системи безпеки. Відповідно, можна створити своє нове правило з зазначенням продуктів і параметрів установки оновлень (можна використовувати навіть ручне схвалення). Нарешті, якщо не виробляти повний скидання налаштувань WSUS, після чого всю процедуру установки параметрів доведеться робити заново, настійно рекомендується хоча б раз на місяць робити очищення сервера (для цього передбачена однойменна функція у вигляді «Майстра»). Такі кроки допоможуть видалити з системи незатребувані апдейти, а також істотно зменшити розмір бази даних (адже зрозуміло, що чим більше база, тим більший час потрібно на звернення до неї, плюс – надмірне навантаження на обчислювальні здатності сервера і розподіл оновлення по мережі). У деяких випадках може допомогти установка політик не за замовчуванням (Default Group Policy), а створення нового типу з усіма активованими параметрами зі списку доступних з введенням мережевої адреси сервера (при задіяному порте 8530). У разі коли використовуються так звані мобільні робочі місця, аналогічні налаштування можна зробити в розділі локальних політик безпеки, вказавши відповідні параметри. Якщо все виконано правильно, для групи терміналів Server буде інсталюватися виключно критичні апдейти, а для комп'ютерів, що входять в групу Workgroup (або категорію з іншим ім'ям), – абсолютно всі оновлення, які були обрані на початковому етапі налаштування.

Замість підсумку

Власне, на цьому розгляд питання про настроювання автоматичного апдейта WSUS можна і закінчити. Щоб все запрацювало і не викликало занепокоєння у системного адміністратора в подальшому, слід звернути увагу на початкові умови, пов'язані з встановленням додаткових компонентів. Як вважається, серверну версію ОС краще використовувати не 2003 а 2008 R2 або вище, а також звернути увагу на платформу .NET Framework четвертої версії, а не 2.0). Крім того, особливо уважно слід поставитися до налаштувань проксі і вибору портів, оскільки порт 80 за замовчуванням може і не працювати. Нарешті, одним з найбільш важливих аспектів установки є вибір груп терміналів і встановлюваних на них оновлень. В іншому ж, як правило, проблем бути не повинно, хоча при завантаженні великовагових апдейтів великого розміру при поганій якості зв'язку короткочасні збої і помилки розподілу оновлення по мережі спостерігатися все-таки можуть. До речі, і чистити сервер час від часу теж потрібно. Якщо автоматичний інструмент з якихось причин позитивного ефекту не матиме, можна спробувати хоча б видалити тимчасові файли вручну з директорії SDTemp. Принаймні, навіть такий тривіальний крок дозволить відразу ж знизити навантаження не тільки на сам сервер, але і на дочірні термінали, і на мережу в цілому.