Развертывание служб обновления Microsoft Windows Server

Что такое WSUS?

Проще говоря, Microsoft Windows Server Update Services (WSUS) — это решение Microsoft для управления исправлениями на предприятии. Используя WSUS, сетевые администраторы могут управлять обновлениями программного обеспечения для всех продуктов Microsoft в сети и развертывать их. Сюда входят клиентские операционные системы, такие как Windows XP и Windows Vista, серверные операционные системы, такие как Windows Server 2003 и Windows Server 2008, и другие продукты, включая Microsoft Exchange, ISA Server и Forefront Security.

Глядя под капот

Есть три основных компонента, которые объединяются для обеспечения работы развертывания WSUS. Первым из них является управляемый Microsoft компонент Microsoft Update, который управляет обновлениями и распространяет их среди клиентов Microsoft по запросу. Далее идет сам сервер WSUS, который позволяет администраторам указывать, какие обновления загружаются из Центра обновления Майкрософт, а затем развертываются на сетевых клиентах. Последним компонентом является автоматическое обновление, встроенное в Windows 2000 SP4, Windows XP, Windows Server 2003 и Windows Server 2008 и позволяющее этим операционным системам загружать обновления из указанного источника.

Будь то развертывание WSUS для небольшой локальной сети или крупной географически рассредоточенной глобальной сети, все, что необходимо, — это использовать эти три компонента. Давайте рассмотрим некоторые сценарии, в которых вам может понадобиться развернуть WSUS, и то, как мы можем эффективно это сделать. После этого мы фактически пройдем процесс установки.

WSUS в небольшой локальной сети

Большинство установок WSUS выполняются в небольшой среде, состоящей из одного расположения и менее сотни компьютеров. В этой конфигурации сетевой администратор будет управлять одним сервером WSUS, который загружает обновления непосредственно из Центра обновления Майкрософт. Чаще всего бюджетные соображения не позволяют покупать сервер исключительно для WSUS, поэтому служба будет делить аппаратное обеспечение с чем-то вроде файлового сервера или сервера приложений.

После того, как вы все настроили, единственное бремя сетевого администратора — обеспечить правильную синхронизацию между сервером и Центром обновления Майкрософт и время от времени утверждать загруженные обновления. Клиенты будут автоматически загружать и устанавливать обновления с помощью компонента автоматического обновления.

Рис. 1. Простое развертывание WSUS

WSUS в большой локальной сети

Более крупная сеть приносит несколько новых проблем. Эти сети по-прежнему находятся в одном месте, но имеют гораздо большее количество компьютеров, серверов и сетевых сегментов.

Первое, что нужно учитывать, это то, что не все компьютеры должны получать одинаковый набор обновлений. Например, пользователи вашего бухгалтерского отдела могут запускать приложение, которое несовместимо с.NET framework 3.0, в то время как пользователям инженерного отдела оно требуется. Это довольно простое решение с помощью групп компьютеров. Каждый компьютер, который отчитывается перед консолью администрирования WSUS, может быть помещен в группу компьютеров в зависимости от его индивидуальных потребностей. По умолчанию все компьютеры помещаются в группу «Неназначенные компьютеры», когда они впервые отправляют отчет на сервер WSUS. Однако после того, как они сообщили, вы можете создать пользовательскую группу и поместить их в эту группу. Обновления утверждаются для каждой группы, что позволяет настраивать обновления, устанавливаемые на группу компьютеров, в зависимости от потребностей пользователя.

Помимо этого, следующим соображением здесь является нагрузка на управление несколькими серверами WSUS. Мониторинг синхронизации, утверждение обновлений и обеспечение успешной установки обновлений — обычно довольно простая задача. Однако, если у вас есть пять отдельных серверов WSUS, то управление ими может занять много времени у одного человека… не говоря уже о том, что это утомительно. К счастью, WSUS был разработан с учетом использования нескольких серверов и предотвращает эту проблему за счет использования иерархий серверов WSUS. Эта модель иерархии позволяет одному серверу WSUS выступать в качестве вышестоящего сервера и навязывать свою конфигурацию тем серверам, которые настроены как подчиненные серверы ниже него.

Иерархия WSUS поддерживает два режима: автономный режим (который мы обсудим позже) и режим реплики. В режиме реплики вышестоящий сервер является единственным сервером WSUS, который загружает свои обновления из Центра обновления Майкрософт. Кроме того, это единственный сервер, на котором администратору приходится вручную настраивать группы компьютеров и обновлять утверждения. Вся информация, загруженная и настроенная на вышестоящем сервере, реплицируется непосредственно на все устройства, сконфигурированные как подчиненные серверы. Используя этот метод, вы значительно сэкономите пропускную способность, так как только один компьютер постоянно обновляется из Интернета. Однако, что еще более важно, вы сэкономите бесчисленное количество времени, поскольку теперь вы управляете только одним сервером с точки зрения программного обеспечения.

Рисунок 2. Развертывание WSUS в большой локальной сети

WSUS в глобальной сети

Последний и самый сложный сценарий, в котором можно установить WSUS, — это большая глобальная сеть. Эти глобальные сети характеризуются большим количеством устройств, разбросанных по нескольким географическим точкам.

В отличие от других наших сценариев, такие сети часто имеют распределенную модель управления ИТ. Вместо единого администратора, управляющего всеми действиями WSUS, в каждом конкретном месте может быть отдельный администратор, которому нужно будет управлять группами компьютеров и утверждениями обновлений отдельно от главного офиса. Как и следовало ожидать, это еще один сценарий, в котором мы можем использовать восходящие и нисходящие серверы, или, точнее, автономный режим.

В автономном режиме вышестоящий сервер передает файлы обновлений нижестоящим серверам, но не более того. Это означает, что отдельные группы компьютеров и утверждения обновлений должны быть настроены для каждого конкретного подчиненного сервера. В этом типе развертывания вы получаете преимущество оптимизированного использования полосы пропускания с гибкостью, позволяющей администраторам отдельных сайтов управлять группами компьютеров и самостоятельно обновлять утверждения.

Другой типичный сценарий WAN связан с ограничением пропускной способности. Обычно удаленные сетевые местоположения имеют высокоскоростное соединение с Интернетом, но довольно низкоскоростное соединение с главным офисом, например, через VPN. В этих случаях вышестоящий сервер может управлять утверждениями обновлений, но эти удаленные нижестоящие серверы можно настроить для загрузки утвержденных обновлений непосредственно из Интернета, а не с вышестоящего сервера.

Рис. 3. Развертывание WSUS, предназначенное для глобальной сети

Установка WSUS

После того, как вы решите, какой сценарий развертывания подходит для вашей сети, вы захотите приступить к его установке. Мы собираемся пройти через процесс установки WSUS на ваш сервер.

Прежде чем приступить к работе, вам необходимо загрузить последнюю версию WSUS непосредственно с сайта Microsoft. После загрузки WSUS 3.0 на сервер просто запустите исполняемый файл, чтобы начать работу. На этом этапе вы будете уведомлены, если вам не хватает каких-либо требований для установки WSUS (ознакомьтесь с ними в Требованиях к установке WSUS). Если вы в курсе, то вас спросят, какие компоненты WSUS вы хотите установить. Вы можете установить как полный пакет, содержащий программные компоненты WSUS и консоль управления, так и только саму консоль управления. В этом случае мы будем устанавливать все компоненты. Продолжайте, приняв лицензионное соглашение.

На следующем экране вам будет предложено выбрать источник обновления. Отсюда ваши клиентские компьютеры будут загружать обновления. Для наших целей здесь мы выберем «Хранить обновления локально» и выберем место с не менее 20 ГБ свободного места на диске (больше, если у вас очень разнообразный ассортимент продуктов, которые вы будете обновлять). Если вы не выберете этот параметр, клиентские компьютеры будут использовать WSUS только для управления утвержденными обновлениями и будут загружать эти обновления непосредственно из Центра обновления Майкрософт через Интернет.

Рис. 4. Выбор источника обновлений во время установки WSUS

Страница параметров базы данных следующая. Здесь вы выбираете технологию базы данных, которую WSUS будет использовать для обновления информации о клиентах. По умолчанию программа установки будет использовать внутреннюю базу данных Windows. Это прекрасно работает, но если на машине установлено программное обеспечение SQL Server, вы также можете использовать его, введя информацию о нем на этой странице.

Следующий экран позволяет вам выбрать, как WSUS будет использовать IIS. Вы можете использовать веб-сайт по умолчанию на порту 80 или позволить WSUS создать свой собственный сайт с использованием порта 8530. Рекомендуется использовать порт 8530, поскольку он дает вам некоторую гибкость, если вы в конечном итоге добавите другие веб-приложения на тот же физический сервер позже.

Рисунок 5: Выбор того, какой веб-сайт IIS будет использовать WSUS

Это все настройки, которые требуются на данный момент. Нажмите «Далее» на оставшихся экранах и выберите «Готово», чтобы завершить установку.

Заворачивать

Мы только что рассмотрели множество возможных вариантов развертывания WSUS, а также способы его установки. О WSUS нужно знать еще немного, но представленная здесь информация должна дать вам хороший толчок в определении того, как следует развертывать эту технологию Microsoft, чтобы повысить эффективность обновлений и снизить административные издержки.