Использование локального сервера обновлений (WSUS)

Для снижения объёма трафика, потребляемого подразделениями и уменьшения загрузки внешних каналов целесообразно использовать локальный сервер обновлений (Windows Server Update Services).

Предупреждение: после применения обновлений нелицензионная Winows XP или MS Office XP/2003 может потребовать активации или вообще отказаться работать по этой причине (Чаще всего после применения сервиспака). Такая реакция не зависит от источника обновлений (локальный WSUS или сайт Windows Update). Приобретайте лицензионное программное обеспечение или используйте свободно распространяемое!

Много полезной информации (будет) размещено в разделе, посвящённом лицензированию программного обеспечения.

Требования к клиентским компьютерам

Для использования локального сервера обновлений необходим компонент «Автоматическое обновление» («Automatic Updates»). Использование данного компонента возможно в следующих ОС:

• Microsoft Windows 2000 Professional Service Pack 3 (SP3) или Service Pack 4 (SP4), Windows 2000 Server SP3 или SP4, или Windows 2000 Advanced Server SP3 или SP4.
• Microsoft Windows XP Professional RTM (необходима установка клиента SUS) или Service Pack 1 или Service Pack 2.
• Microsoft Windows Server 2003 RTM или Service Pack 1 (Standard Edition; Enterprise Edition; Datacenter Edition; Web Edition).
• Microsoft Windows Server 2003 R2 (в различных редакциях).
• Microsoft Windows Vista (в различных редакциях).

ПО, обновляемое с помощью WSUS

С помощью WSUS обновляются следующие программное обеспечение:

1. Операционные системы:

• Windows 2000 Professional, Server и Advansed Server (SP3 или SP4);
• Windows XP Professional (SP1 или SP2 или без SP);
• Windows XP Professional x64 Edition;
• Windows XP Professional 64-bit Edition version 2003;
• Windows Server 2003 в различных редакциях (SP1 или без SP), включая x64 Edition и версии для систем с процессорами Itanium;
• Windows Server 2003 R2 в различных редакциях, включая x64 Edition и версии для систем с процессорами Itanium;
• Windows Vista R2 в различных редакциях.

2. Windows Small Business Server 2003.

• Windows Live Mail Desktop;
• Windows Live Toolbar.

4. Microsoft SQL server:

• SQL server 2000;
• SQL server Feature Pack;
• SQL server 2005.

5. Microsoft Office:

6. Windows Defender.

7. Microsoft Internet Security and Acceleration Server (ISA):

И ещё ряд программных продуктов, которые являются специфичными.

Через WSUS могут распространяться следующие типы обновлений:

• драйверы;
• критические обновления;
• обновления системы безопасности;
• обновления;
• накопительные пакеты обновлений (например, кумулятивное обновление IE6 SP1);
• пакеты обновлений (например, сервиспаки);
• обновления определений (например, обновление базы адресов нежелательной почты для MS Outlook);
• средства (например, средство диагностики сети для Windows XP).

Конфигурирование Автоматического обновления на клиентах

Штатным способом конфигурирования компонентов в Widows является использование объектов групповой политики — Group Policy object (GPO). При наличии Active Directory необходимо создать новый GPO и подключить его на доменный уровень. Замечание: компания Microsoft не рекомендует использовать для подобных целей GPO Default Domain Policy. Отдельно стоящие машины (в рабочей группе или с эмуляцией домена через Samba) можно настроить через локальный GPO. Также для таких машин возможно использовать непосредственное редактирование реестра либо импорт предварительно созданного *.reg файла.

Рассмотрим процесс конфигурирования локального GPO для отдельно стоящей машины. Создание и подключение GPO в Active Directory рассматривать не будем, предполагая, что данные операции являются тривиальными для тех администраторов, у кого Active Directory развёрнута. Процесс редактирования GPO в обоих случаях ничем не отличается.

0. Проверяем, что имя компьтера содержит DNS-суффикс, то есть имеет вид «PCName.DeptName.susu.ac.ru»:

Панель управления, апплет Система (или Свойства компьютера), страница Имя компьютера, строка Полное имя

Если имя компьтера имеет вид «PCName.» то добавляем DNS-суффикс:

в этом же окне нажимаем кнопку «Изменить», в открывшемся окне нажимем кнопку «Дополнительно» и в следующем окне вводим DNS-суффикс.

Например, имя компьютера, (смотрим выданные подразделению «Данные для настройки сети») — oti.urc.ac.ru, DNS-суффикс в данном случае будет urc.ac.ru, а NetBIOS-имя компьютера — oti. Если имя компьютера имеет не такой формат, то нужно привести к такому виду и сообщить в ОГСТ по электронной почте.

Для компьютеров, имеющих «серые»адреса, имя компьютера также должно иметь такой формат, только сообщать имя в ОГСТ не нужно.

После изменения имени компьютера необходимо выполнить его перезагрузку.

1. Открываем редактор групповой политики:

Пуск -> Выполнить, набираем gpedit.msc, нажимаем Enter.

Редактор выполнен в виде оснастки MMC

2. В редакторе групповой политики распахиваем Конфигурация компьютера, затем Административные шаблоны, затем Компоненты Windows и щёлкаем на Windows Update (соответствует английскиму варианту Computer Configuration, Administrative Templates, Windows Components, Windows Update).

Если такого шаблона нет, то необходимо его добавить.

3. Настраиваем поведение Автоматического обновления:

В области сведений дважды щелкните на параметре «Настройка автоматического обновления» («Configure Automatic Updates»). В открывшемся окне выбрать кнопку «Включен» и выбрать требуемый вариант. Возможные варианты:

1. Уведомлять о загрузке и уведомлять об установке.
2. Загружать автоматически и уведомлять об установке.
3. Загружать автоматически и устанавливать по расписанию.
4. Разрешать локальному администратору изменять настройки.

По умолчанию выбран вариант 3, которого в принципе достаточно.

4. Настраиваем клиентский компьютер на локальный сервер обновлений:

В области сведений дважды щелкните на параметре «Указать размещение службы обновлений Microsoft в интрасети» («Specify intranet Microsoft update service location»), в открывшемся окне выбрать кнопку «Включен» и в обе строки ввода впечатать «http://wsus.susu.ac.ru:8530».

Эти шаги являются достаточными для корректного конфигурирования службы Автоматического обновления клиентов на локальный сервер обновлений.

После выполнения этих действий необходимо дождаться применения групповой политики и контакта клиента с WSUS. Для случая локального GPO политики применяются сразу после его редактирования. Как принудительно примененить политики или запустить обновление — в следующем разделе.

Принудительный запуск обновления

Эти шаги выполняются в командной строке, поэтому необходимо вызвать её: Пуск -> Выполнить, набираем cmd, нажимаем Enter. Все дальнейшие действия выполняются в командной строке.

Применение политик необходимо только при их изменении (как правило). Для принудительного применения GPO команды отличаются для разных систем:

• Windows 2000: secedit /refreshpolicy machine_policy /enforce
• Windows XP и выше: gpupdate /target:computer /force

Принудительный запуск обновления:

Поиск и устранение неисправностей

Проверка состояния служб, необходимых для работы Автоматического обновления

В первую очередь необходимо убедиться, что:

• разрешена и работает служба «Автоматическое обновление»;
• разрешена служба «BITS — фоновая интеллектуальная служба передачи».

Для этого открываем оснастку «Службы» (Пуск -> Выполнить, набираем services.msc, нажимаем Enter), и проверяем:

• для службы «Автоматическое обновление» состояние — «работает», тип запуска — «Авто»;
• для службы «BITS — фоновая интеллектуальная служба передачи» тип запуска — «Авто» или «Вручную».

Если указанные параметры отличаются, то необходимо их привести в соответствие требуемым значениям.

Удаление папки загрузки

Если компьютер до настройки на локальный сервер обновлений пытался обновляться с сайта Windows Update (неважно, успешно или нет), то нужно удалить папку загрузки Автоматического обновления.

1. Запускаем командную строку: Пуск -> Выполнить, набираем cmd, нажимаем Enter.
2. Останавливаем службу «Автоматическое обновление»: net stop wuauserv
3. Переходим в папку Windows: cd %windir%
4. Переименовываем папку загрузки: ren SoftwareDistribution SDTemp
5. Запускаем службу «Автоматическое обновление»: net start wuauserv

Если обновление с WSUS заработало, то папку SDTemp можно удалить.

Настройка службы на клиентских компьютерах, подключенных через прокси-сервер

Если клиентские компьютеры подключены к ИВС ЮУрГУ через прокси-сервер, то может понадобиться явное его указание. Как правило, параметры подключения берутся из настроек системы (то, что обычно называется как «Свойства Интернета» в панели управления или «Свойства обозревателя» в Internet Explorer) либо этим занимается клиент прокси-сервера. И наоборот, если в качестве прокси-сервера указан proxcy.urc.ac.ru:3128, может понадобиться настройка клиентов напрямую.

Настройка подключния для службы обновления выполняется в командной строке:

• Запускаем командную строку: Пуск -> Выполнить, набираем cmd, нажимаем Enter.
• Для указания прокси сервера набираем: proxycfg -p
• Для подключения напрямую набираем: proxycfg -d
• Для просмотра конфигурации набираем: proxycfg

Настройка компьютера на обновление через WSUS

Windows Server Update Services (WSUS) — сервер обновлений ОС и продуктов Microsoft. Программа бесплатно может быть скачана с сайта Microsoft и установлена на серверную ОС семейства Windows Server. Сервер обновлений синхронизируется с сайтом Microsoft, скачивая обновления, которые могут быть распространены внутри локальной сети. Это экономит внешний трафик компании и позволяет быстрее устанавливать исправления ошибок и уязвимостей в операционных системах Windows на рабочих местах, а также позволяет централизованно управлять обновлениями серверов и рабочих станций.

Для настройки компьютера на обновление через WSUS: нажать WIN+R ввести gpedit.msc, откроется консоль управления групповыми политиками.

Перейти: Computer Configuration (Конфигурация компьютера) — Administrative Templates (Административные шаблоны) — Windows Update (Обновления Windows) — Specify intranet Microsoft update services location (Специфическое месторасположение сервисов обновления Microsoft).
Переставляем шар на Enable (Включено) и вписываем ip адрес вашего wsus сервера или его доменное имя, такое как указано в файле «c:\WINDOWS\system32\drivers\etc\hosts» либо назначено в DNS.
Альтернативным способом является правка ключей в реестре, например можно использовать готовый файл реестра с содержимым и расширением .reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
«WUServer»=»http://*.*.*.*»
«WUStatusServer»=»http://*.*.*.*»

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
«NoAutoUpdate»=dword:00000000
«AUOptions»=dword:00000004
«ScheduledInstallDay»=dword:00000000
«ScheduledInstallTime»=dword:0000000c
«UseWUServer»=dword:00000001
«RescheduleWaitTime»=dword:0000000a

Для скорейшего отображения нового добавленного клиента в оснастке wsus необходимо запустить команду на данном клиенте:

Этап 5. Настройка обновлений клиентов

В Windows Server Update Services 3.0 (WSUS 3.0) с пакетом обновления 2 (SP2) программа установки WSUS автоматически настраивает IIS на распространение последней версии службы автоматического обновления на каждый клиентский компьютер, подключающийся к серверу WSUS.

Оптимальный способ настройки службы автоматического обновления зависит от сетевой среды. В среде, использующей службу каталогов Active Directory®, можно использовать существующий объект групповой политики для домена или создать новый. Если служба каталогов Active Directory не развернута, применяются объекты локальной групповой политики. На этом этапе выполняется настройка службы автоматического обновления, затем задайте сервер WSUS для клиентских компьютеров.

В дальнейших действиях предполагается, что в сети работает служба каталогов Active Directory. Кроме того, предполагается, что администратор хорошо знаком с групповыми политиками и применяет их для управления сетью.

Дополнительные сведения о групповых политиках см. на странице Tech Center (http://go.microsoft.com/fwlink/?LinkID=47375) (на английском языке).

Этап 5. Процедуры

На этапе 4 была завершена настройка обновлений для загрузки. Используйте данный набор процедур для настройки службы автоматического обновления на клиентских компьютерах.

1. Настройте службу автоматического обновления с помощью групповой политики.
2. Задайте сервер WSUS для клиентских компьютеров.
3. Запустите обнаружение на сервере WSUS вручную.

Первые две процедуры можно выполнить на объекте групповой политики для домена по выбору, а третью — в командной строке на клиентском компьютере.

Чтобы настроить автоматические обновления

В консоли управления групповыми политиками выберите объект групповой политики, для которого необходимо настроить WSUS, затем нажмите кнопку Изменить.

В консоли управления групповыми политиками разверните узлы Конфигурация компьютера, Административные шаблоны, Компоненты Windows и выберите Центр обновления Windows.

В области сведений дважды щелкните компонент Настройка автоматического обновления.

Установите режим Включено и выберите один из следующих вариантов:

• Уведомлять перед загрузкой обновлений и уведомлять повторно перед их установкой. Перед загрузкой и перед установкой обновлений вошедшему в систему пользователю с правами администратора выдается уведомление.
• Загружать автоматически и уведомлять перед установкой. Загрузка обновлений начинается автоматически, а перед их установкой вошедшему в систему пользователю с правами администратора выдается уведомление.
• Загружать автоматически и устанавливать по заданному расписанию. Загрузка обновлений начинается автоматически, установка обновлений выполняется в указанные день и время.
• Лок. админ. может менять параметр. Этот вариант позволяет локальным администраторам устанавливать конфигурацию по своему усмотрению с помощью окна «Автоматическое обновление» в панели управления. Например, они могут выбрать свое расписание для установки. Локальные администраторы не могут отключить автоматическое обновление.

Нажмите кнопку ОК.

Задание сервера WSUS для клиентских компьютеров

В области сведений Центра обновления Windows дважды щелкните значок Указать размещение службы обновлений Майкрософт в интрасети.

Установите режим Включено и введите URL-адрес сервера WSUS в оба поля Укажите службу обновлений в интрасети для поиска обновлений и Укажите сервер статистики в интрасети. Например, введите в оба текстовых поля http://имя_сервера и нажмите кнопку ОК.

Примечание
Если сервер WSUS для компьютера задан с помощью объекта локальной групповой политики, то этот параметр немедленно вступит в силу, а сам компьютер вскоре появится в административной консоли WSUS. Можно ускорить процесс, запустив цикл обнаружения вручную.

Через несколько минут после настройки клиентского компьютера он появится на странице Компьютеры в консоли администрирования WSUS. Если для настройки клиентских компьютеров используются объекты групповой политики для доменов, то на это может потребоваться около 20 минут с момента обновления службы групповой политики (то есть вступления в силу новых параметров на клиентском компьютере). По умолчанию групповая политика обновляется в фоновом режиме через каждые 90 минут со случайным смещением от 0 до 30 минут. Если необходимо обновить групповую политику быстрее, на клиентском компьютере можно ввести в командной строке команду gpupdate /force.

На клиентских компьютерах, настроенных с помощью локальных объектов групповой политики, новые параметры политики вступают в силу немедленно, а обновление занимает около 20 минут.

В этом случае не нужно будет ждать 20 минут, чтобы клиентский компьютер подключился к серверу WSUS.

Запуск обнаружения сервером WSUS вручную

На клиентском компьютере нажмите кнопку Пуск и выберите команду Выполнить.

В поле Открыть введите cmd и нажмите кнопку ОК.