Переход от SUS к WUS
За последние несколько лет управление исправлениями превратилось из относительно неважной задачи в абсолютно важную для безопасности организации. Хотя служба обновления Windows (WUS) все еще находится в стадии бета-тестирования, пора приступить к планированию перехода вашей организации от служб обновления программного обеспечения (SUS) к WUS. В этой статье я расскажу вам, что вам нужно знать, чтобы обеспечить плавный переход.
Прежде чем я начну
Прежде чем я начну, я хочу дать вам небольшую справочную информацию о WUS на тот случай, если вы еще не знакомы с ним. WUS — это, по сути, следующая версия SUS. Как вы, наверное, уже знаете, SUS — это бесплатное решение Microsoft для управления исправлениями. Другим основным решением Microsoft по управлению исправлениями является SMS Server. SMS Server, как правило, дорог и сложен в развертывании, но предлагает более широкие возможности управления исправлениями, чем SUS. WUS был разработан для замены SUS, но не предназначен для конкуренции с SMS Server. SMS Server по-прежнему останется первоклассным решением Microsoft для управления исправлениями.
Зачем обновляться до WUS?
WUS загружен новыми функциями, но есть три особенности, которые действительно делают обновление стоящим. Первая и, пожалуй, самая важная особенность — более широкая поддержка продуктов. SUS проделала большую работу по обновлению Windows, но WUS сможет обновлять и другие продукты, такие как Microsoft Office, Exchange Server и ISA Server. Со временем WUS сможет поддерживать все текущие серверные продукты Microsoft в актуальном состоянии.
Вторая функция, которая действительно делает WUS стоящим, — это так называемая дельта-исправление. Идея состоит в том, что многие обновления безопасности требуют изменения нескольких файлов. Представьте, что вы применили обновление, которое изменило три системных файла. Теперь представьте, что на следующий день вы загрузили другое обновление, в котором были изменены те же три файла плюс еще один файл. Если бы новейший патч привел три уже измененных файла к их текущей версии (что случается часто), то технически нужно было бы применить только один файл из всего обновления. WUS достаточно умен, чтобы применять только те файлы, которые действительно необходимы. Это помогает сохранить полосу пропускания, особенно на медленных каналах.
Третьей важной особенностью является то, что WUS позволяет создавать подробные отчеты о том, какие именно исправления были применены к каждой машине. Это отлично подходит для тех, кто должен беспокоиться о вопросах соответствия. WUS также имеет десятки других мелких улучшений. Например, WUS позволяет развертывать обновления только для выбранной группы клиентов, если вы того пожелаете. WUS также предназначен для уменьшения частоты, с которой пользователи должны перезагружать свои машины после применения обновлений.
Сосуществование с SUS
Преимущество перехода с SUS на WUS заключается в том, что вы можете делать это в своем собственном темпе. Как вы, наверное, знаете, SUS работает через Интернет. Клиенты направляются на веб-сервер в вашей организации для загрузки обновлений. WUS также основан на сети и может сосуществовать с SUS без проблем совместимости. Это позволяет вам переносить клиентов на WUS по своему усмотрению.
Развертывание BITS 2.0
Одно из основных архитектурных различий между SUS и WUS заключается в том, что для WUS требуются BITS 2.0 и WinHTTP 5.1, а для SUS — нет. BITS — это аббревиатура от Background Intelligent Transfer Service. Хотя BITS существует уже некоторое время, WUS не будет работать без версии 2.0 (которая все еще находится в стадии бета-тестирования).
Я не хочу тратить слишком много места на описание всех технических деталей, лежащих в основе BITS, но я скажу вам, что BITS разработан для облегчения процесса передачи файлов. Как вы, наверное, знаете, Windows ограничивает количество файлов, которые вы можете загружать одновременно. BITS позволяет WUS загружать файлы обновлений в фоновом режиме, даже если другие файлы загружаются на переднем плане. BITS также позволяет ограничить использование полосы пропускания, а также поддерживает загрузку диапазона и блоки сообщений сервера (SMB).
Другим фоновым компонентом, который требуется для WUS, является WinHTTP 5.1. WinHTTP — это, по сути, фоновая служба, которая помогает упростить связь между серверами Windows и HTTP-серверами. Причина, по которой требуется WinHTTP, заключается в том, что BITS предназначен для использования WinHTTP для отправки HTTP-запросов и обработки ответов.
Как и BITS, WinHTTP существует уже некоторое время. Версия 5.1 очень похожа на предыдущую версию, но содержит некоторые незначительные обновления безопасности. Дополнительные технические сведения о BITS и WinHTTP можно найти по адресу http://support.microsoft.com/default.aspx?scid=kb;en-us;842773.
Вы можете загрузить необходимые обновления для BITS и WinHTTP с веб-сайта WUS (http://www.microsoft.com/windowsserversystem/wus/default.mspx). Оба компонента включены в один файл, который в настоящее время только указан как БИТ 2.0. Однако существуют отдельные версии обновления для Windows 2000 Server и Windows Server 2003. Одно предостережение: обновление требует перезагрузки сервера.
После загрузки обновления BITS дважды щелкните его, чтобы запустить мастер установки. Щелкните Далее, чтобы пропустить экран приветствия мастера. Когда вы это сделаете, вам будет предложено принять лицензионное соглашение с конечным пользователем. Выберите вариант «Я согласен» и нажмите «Далее». Мастер установки скопирует все необходимые файлы. Когда процесс копирования файла завершится, нажмите «Готово», чтобы перезагрузить сервер.
Развертывание WUS
По большей части требования WUS очень похожи на требования SUS. WUS имеет очень низкие накладные расходы, поэтому почти любая машина, способная работать под управлением Windows 2000 Server или Windows Server 2003, может работать с WUS. Единственное существенное требование, которое отличается от SUS, заключается в том, что WUS использует базу данных SQL Server. Прежде чем вы перестанете читать из-за того, что у вас либо нет бюджета на SQL Server, либо вам нужно бежать и покупать лицензию SQL Server, у меня есть хорошие новости. Если вы устанавливаете WUS на Windows Server 2003, вы можете воспользоваться преимуществами встроенного ядра базы данных Microsoft (MSDE). MSDE — это упрощенная версия SQL Server, входящая в состав Windows Server 2003. Если у вас полноценный SQL Server, у вас будут более совершенные средства администрирования базы данных и улучшенные возможности отчетности. Если у вас нет SQL Server, ничего страшного, потому что MSDE будет работать нормально.
Перед установкой WUS также необходимо убедиться, что на вашем сервере установлен пакет обновления 1 для.NET Framework версии 1.1. Самый простой способ сделать это — запустить Центр обновления Windows на вашем сервере и обязательно установить все критические обновления. Поскольку Service Pack 1 для платформы.NET считается критическим обновлением, его следует установить.
Чтобы установить WUS, дважды щелкните загруженный файл WUSSETUP.EXE, и Windows извлечет необходимые файлы и запустит мастер установки WUS. Щелкните Далее, чтобы пропустить экран приветствия мастера, и вам будет предложено принять лицензионное соглашение с конечным пользователем. Выберите вариант «Я принимаю» и нажмите «Далее».
На этом этапе программа установки предложит вам указать место для хранения обновлений. Внимательно рассмотрите расположение, поскольку WUS потенциально может хранить 6 ГБ файлов обновлений в указанном вами расположении (возможно, со временем даже больше). Сделайте свой выбор и нажмите Далее. Теперь программа установки спросит вас, хотите ли вы использовать существующий SQL-сервер или предпочитаете установить MSDE. Сделайте свой выбор и нажмите Далее. Теперь программа установки сообщит вам, что вы можете управлять WUS, введя http://server_name/WusAdmin в свой веб-браузер. Клиенты могут загружать обновления по адресу http://server_name. Дважды нажмите «Далее», а затем «Готово», чтобы завершить процесс установки.
Использование WUS
Работа с WUS очень похожа на работу с SUS. Оба используют веб-интерфейс для администрирования. Очевидно, что в WUS есть много новых функций, но, пользовавшись SUS в прошлом, я без труда нашел способ обойти WUS. Если вы хотите узнать больше о новых функциях WUS и о том, как их использовать, есть отличная статья на эту тему по адресу: http://www.windowsecurity.com/articles/Windows-Update-Services-Review.html.
Вывод
Хотя WUS все еще находится в стадии бета-тестирования, сейчас стоит серьезно взглянуть на WUS, потому что WUS сможет поддерживать практически все ваши продукты Microsoft в актуальном состоянии. Поскольку WUS может сосуществовать с SUS, я рекомендую настроить сервер WUS и подключить к нему небольшое подмножество ваших клиентов. Это позволит вам начать привыкать к WUS. Когда период бета-тестирования истечет и WUS будет выпущен, вы уже будете готовы двигаться дальше. Вам просто нужно будет перенаправить остальных клиентов с сервера SUS на сервер WUS.