Windows Server Update Services (WSUS): Configurare. Actualizare offline WSUS

Pentru versiunile de server de Windows actualizare sistem

Windows Server Update Services: ce este și de ce?

Dacă vorbim despre acest serviciu în termeni simpli, aceasta poate fi descrisă ca software-ul pentru a actualiza automat sistemul de operare și software-ul pe care este instalat numai pe serverul care se conectează la alte terminale de utilizator, combinate într-o singură rețea locală sau virtuală.

În timp ce Microsoft actualizează produsele sale cu o regularitate de invidiat, acestea trebuie să fie instalate pe toate mașinile din rețea, ceea ce este problematic dacă există mai mult de o duzină de ele. Pentru a nu se ocupa de astfel de lucruri la fiecare terminal individual, puteți utiliza funcția WSUS Offline Update, când actualizarea principală este instalată numai pe server și apoi "distribuită" către toate celelalte computere.

Avantajele acestei abordări sunt evidente, deoarece utilizarea redusă a traficului pe Internet (descărcarea rețeaua nu este încărcată), și de a salva timp pentru instalarea de actualizări, care, atunci când sunt configurate corect, software-ul de pe un server central se va face automat.

Cerințe de instalare

Pentru WSUS, configurarea și utilizarea nu sunt posibile fără o serie de condiții inițiale. Aici ar trebui să acordați atenție componentelor principale pe care va trebui să le descărcați și să le instalați pe server, dacă acestea nu sunt disponibile.

Următoarele componente pot fi distinse ca priorități:

• Modificarea OS a Windows Server nu este mai mică decât 2003 (cel puțin cu primul pachet service pack);
• platformă. Versiunea NET Framework nu este mai mică de 2.0;
• rolul serverului IIS 6.0 sau superior;
• Report Viewer de la Microsoft 2008;
• SQL Server 2005 cu cel de-al doilea pachet service pack;
• Consola de administrare de la versiunea 3.0 a Microsoft.

Procesul de instalare

De fapt, instalarea WSUS presupune și o rezervare a spațiului liber pe server în valoare de aproximativ 100 GB (locația folderului de stocare a actualizării este indicată în primul pas după pornirea instalatorului principal).

Apoi, locația bazei de date este setată ca un director separat (este mai bine să alocați aproximativ 2-4 GB).

Setările bazei de date pentru serverul Web

În principiu, programul de instalare propune instalarea în mod implicit a bazelor de date interne, însă puteți utiliza serverul de bază de date existent pentru a simplifica procesul.

În acest caz, va trebui să înregistrați numele rețelei dvs. care corespunde ID-ului terminalului din rețea. Primele două opțiuni pot fi utilizate fie pentru a primi actualizări de la un server Microsoft sau de la un server intern. Cu toate acestea, există și oa treia opțiune - instalarea bazelor de date pe un terminal la distanță. Dar această schemă este folosită în principal numai în cazurile în care este necesar să se distribuie actualizări către ramificațiile la distanță de la un server de actualizare suplimentar.

Selecția porturilor

În următoarea etapă a instalării WSUS, configurația presupune că portul este selectat. Acest lucru ar trebui tratat foarte atent, deoarece introducerea unor valori incorecte poate duce numai la faptul că întreaga schemă nu va funcționa.

Rețineți că, în mod prestabilit, portul 80 este oferit pentru utilizare. Desigur, puteți lăsa acest lucru, dar este mai bine (și acest fapt este confirmat de practică) să utilizați numărul de port 8530 (8531). Dar această abordare este aplicabilă numai dacă este necesară configurarea manuală a proxy-ului.

Selectarea actualizărilor

Următorul pas în instalarea WSUS este de a configura setările pentru obținerea de actualizări de la serverul din amonte. Cu alte cuvinte, trebuie să specificați de unde vor fi descărcate actualizările.

Există două opțiuni: să se sincronizeze cu serverul de actualizare Microsoft sau cu alt terminal la distanță. Este mai bine să utilizați prima opțiune.

Configurarea WSUS într-un domeniu

Apoi, pentru funcționarea corectă a serviciului care este instalat, trebuie să selectați limbile care sunt utilizate în rețea.

Puteți instala oricare dintre lista sugerată, însă limba engleză ar trebui să fie selectată fără nici o greșeală, deoarece fără aceasta nu este garantată încărcarea corectă și distribuirea actualizărilor.

Selecția produselor

Acum, pentru actualizarea offline WSUS, trebuie să specificați ce produse software trebuie să fie actualizate. După cum consideră majoritatea experților, atunci când alegeți, este de dorit să nu fiți lacomi și să notați numărul maxim posibil de articole din listă.

Dar nu te implica prea mult. Este mai bine să notați doar ceea ce este cu adevărat necesar. De exemplu, dacă nu este instalată nici o versiune de Office 2003 pe nicio mașină din rețea, nu este necesar să specificați actualizarea.

Actualizarea WSUS în pasul următor vă va solicita să selectați clasele de software pentru care vor fi descărcate mai întâi actualizările. Acolo - la alegerea ta. În principiu, nu puteți instala semne de verificare în fața instalării actualizărilor de drivere, a instrumentelor și a noilor caracteristici. Când ați terminat, timpul este setat când vor fi descărcate și instalate actualizările selectate.

Setări pentru consola

Acum trebuie să apelați consola și mai întâi setați sincronizarea manuală, astfel încât toate actualizările disponibile să fie descărcate.

După aceasta, trebuie să începeți configurarea grupurilor de terminale. Se recomandă crearea a două categorii de computere. Într-un singur server va fi localizat, în celălalt - stațiile de lucru obișnuite. Această setare va limita instalarea actualizărilor la servere.

Deoarece toate terminalele vizibile în rețea sunt în prezent în categoria computerelor neaseminate, acestea trebuie să fie atribuite manual grupurilor corespunzătoare.

Următorul pas este să configurați serviciul WSUS pentru a crea reguli de actualizare specială, care se face în secțiunea de aprobare automată. Pentru stațiile de lucru, este de dorit să se stabilească o regulă de auto-aprobare, iar pentru servere, se va nota o linie suplimentară. În plus, nu este recomandat ca serverele să selecteze absolut toate actualizările, deoarece acest lucru poate duce la defecțiuni.

Setarea opțiunilor de actualizare în politicile de grup

Când configurația preliminară a parametrilor principali este finalizată, trebuie efectuate mai multe alte acțiuni legate de permisiuni și aprobări.

Pentru aceasta trebuie să folosiți Group Policy Editor, care este mai ușor să apelezi consola "Run" (Win + R) cu comanda gpedit.msc și să nu folosești "Panoul de control" sau secțiunea de administrare.

Aici trebuie să ajungeți la șabloanele administrative prin configurația computerului și a politicii, unde să găsiți "Centrul de actualizare". În acesta, suntem interesați de parametrul responsabil pentru specificarea locației serviciului de actualizare pe intranet. Apelarea meniului de editare făcând dublu clic pe serviciu, trebuie să activați și să specificați adresa serverului, care de obicei arată ca http: // SERVER_NAME, unde SERVER_NAME este numele serverului din rețea. Nu puteți utiliza această combinație, ci pur și simplu să înregistrați un server IP. După ce configurația este finalizată, după un timp, mașinile copil vor primi pachetele de actualizare.

Erorile posibile

Erori WSUS sunt cel mai adesea atribuite faptului că există prea multe actualizări inutile pentru servere, așa cum am menționat mai sus.

Cu toate acestea, o problemă la fel de obișnuită este faptul că actualizările nu sunt instalate pe toate terminalele de rețea în rețea. În acest caz, trebuie să deschideți secțiunea de aprobări automate și să setați tipul de politici de grup pentru acestea, ceea ce corespunde instalării automate a actualizărilor critice ale sistemului de operare și ale sistemului de securitate. În consecință, puteți crea propria regulă nouă cu produsele și setările pentru instalarea actualizărilor (puteți utiliza și aprobarea manuală).

În cele din urmă, dacă nu efectuați un hard setări WSUS resetare, și apoi toți parametrii procedurii de instalare va trebui să producă din nou, se recomandă ca cel puțin o dată pe lună pentru a face serverul curat (aceasta oferă aceeași funcție ca „master“). Astfel de măsuri vor ajuta la eliminarea din sistem actualizările nerevendicate, precum și în mod semnificativ reduce dimensiunea bazei de date în sine (desigur, după aceea baza Bole, este necesar mai mult timp pentru a face apel la ea, plus - o sarcină excesivă asupra capacității de server și actualizarea rețelei de distribuție).

În unele cazuri, setarea politicilor implicite (Politica de grup implicită) poate ajuta, dar crearea unui nou tip cu toți parametrii activi din lista celor disponibili cu intrarea adresei de rețea a serverului (cu portul 8530 activat).

În cazul în care sunt utilizate așa-numitele stații de lucru mobile, setările similare pot fi făcute în secțiunea de politici locale de securitate, specificând parametrii corespunzători. Dacă totul este corect, pentru Server Terminal Services grup va fi instalat numai actualizări critice, precum și pentru computerele din grupul Workgroup (sau o categorie cu un alt nume), - absolut toate actualizările care au fost selectate în faza de configurare inițială.

În loc de total

De fapt, puteți încheia discuția despre configurarea serviciului de actualizare automată WSUS. Pentru a face ca totul să funcționeze și să nu vă îngrijoreze în viitor administratorul de sistem, ar trebui să acordați atenție condițiilor inițiale asociate instalării de componente suplimentare. Se crede că versiunea de server a sistemului de operare este mai bine să nu utilizeze 2003, dar 2008 R2 sau mai mare, și, de asemenea, să acorde atenție la .NET Framework versiunea 4, nu 2.0). În plus, ar trebui să acordați o atenție specială setărilor proxy și selecției portului, deoarece portul 80 nu poate funcționa în mod prestabilit. În cele din urmă, unul dintre aspectele cele mai importante ale configurației este selectarea grupurilor terminale și a actualizărilor instalate pe ele. În rest, de regulă, nu ar trebui să existe probleme, deși atunci când încărcați actualizări grele la scară largă, cu o calitate slabă a comunicațiilor, eșecurile de scurtă durată și erorile de distribuție în rețea pot fi totuși respectate. Apropo, trebuie să curățați serverul din când în când. Dacă instrumentul automat nu are un efect pozitiv din anumite motive, puteți încerca cel puțin să ștergeți manual fișierele temporare din directorul SDTemp. Cel puțin, chiar și un astfel de pas minuscule va reduce imediat sarcina nu numai pe serverul în sine, ci și pe terminalele fiice și pe rețea ca întreg.