Windows Server Update Services (WSUS)
Usluga je umirovljena 01.05.2013.
Windows server update services (WSUS) pruža uslugu nadogradnje (update) za Microsoft Windows operativne sustave i drugi softver.
WSUS je centralizirano upravljana alternativa za Microsoft Update sustav. Korištenjem WSUS-a administratoru se pruža mogućnost potpunog upravljanja zakrpama prema računalima u korporativnom okruženju tj. lokalnoj mreži.
WSUS je potekao iz SUS-a, servisa koji je omogućavao nadogradnju samo operativnog sustava korištenjem zakrpi (patch / hotfix)
U odnosu na SUS, WSUS nudi sljedeće prednosti:
- veći broj podržanih zakrpi za Microsoft proizvode, podijeljenih u više kategorija
- mogućnost automatskog skidanja zakrpi za Microsoft Update servisa prema proizvodu i vrsti zakrpi
- podržan veći broj jezika
- bolja iskoristivost mrežnih resursa korištenjem Background Intelligent Transfer Service (BITS) 2.0
- mogućnost nadogradnje pojedinog računala ili grupe računala
- mogućnost provjeravanja da li su željene zakrpe primjenjive na izabrano računalo
- fleksibilnija distribucija zakrpi
- izvještavanje (reporting)
- mogućnosti migracije i exporta/importa baze zakrpi
Najnovija verzija WSUS 3.0 donosi sljedeće novosti:
- još jednostavnije administrativno sučelje kroz Microsoft MMC konzolu- lakša administracija geografski razdvojenih lokacija i mreža
- koristi novi BITS 3.0 protokol za bolju iskoristivost bandwitha (posebno kod korisnika Windows Viste)
- dolazi u 32bit i 64bitnoj verziji
- podržava Network Load Balancing (NLB)
- podržava MS SQL 2005 Cluster
- bolja integracija sa ISA i SBS servisima
WSUS je nadogradio SUS proširenjem asortimana softvera koji je moguće nadograđivati.
Trenutno WSUS 3.0 podržava nadogradnju sljedećih operativnih sustava i programa:
- Windows 2000
- Windows XP (32-bit, IA-64 i x64 Editions)
- Windows Vista
- Windows Server 2003
- Windows Small Business Server 2003
- Exchange Server 2000
- Exchange Server 2003
- SQL Server
- SQL Server 2005
- Office XP
- Office 2003
- Microsoft ISA Server 2004
- Data Protection Manager 2006
- Windows Live Mail Desktop
- Windows Live Toolbar
- Forefront Client Utility
CARNet kao jednu od svojih usluga nudi i servis WSUS, sa svim mogućnostima i podržanim proizvodima koji su gore navedeni.
Preporučamo da za nadogradnju vaših korisničkih računala i servera koristite upravo CARNetov server za nadogradnju, dostupan preko adrese http://windowsupdate.carnet.hr. Zbog linkova velikih brzina kojima su ustanove članice spojeni na CARNet te geografske blizine, preuzimanje zakrpi obavljat će se i nekoliko puta brže od preuzimanja sa službenog Microsoftovog servera (tu su naravno i višestruko manji broja korisnika).
Ukoliko imate veći broj računala u svojoj lokalnoj mreži preporučamo da razmislite o vlastitom WSUS serveru, čime bi smanjili količinu vanjskog prometa prema Internetu i dobili mogućnost detaljnije administracije i distribucije zakrpi po računalima na vašoj lokalnoj mreži. Imajte na umu da prilikom prve sinkronizacije, ovisno o broju operativnih sustava, aplikacija i podržanih jezika, količina zakrpi može narasti i do 15 GB. Iako će BITS pomoći da prijenos zakrpi ne ometa ostali promet, nemojte zaboraviti osigurati dovoljno resursa (prije svega mjesta na hard disku) i pripremite se da prijenos, ovisno o brzi veze, može trajati i nekoliko dana.
Instalacija WSUS servera
U sljedećim poglavljima bit će detaljno objašnjena instalacija i konfiguracija WSUS servera.
Područja koja su pokrivena su konfiguracija firewalla, odabir baze podataka, priprema diska i particija i instalacija softvera koji je potrebno instalirati na server da bi WSUS ispravno radio.
U nastavku je opisan korak po korak proces instalacije WSUS servera.
Konfiguracija firewalla
Ukoliko postoji firewall između WSUS servera i Interneta provjerite da li su propušteni potrebni portovi i prometi kako bi WSUS server mogao preuzimati nadogradnje.
Za preuzimanje nadogradnji WSUS server koristi port 80 za HTTP protokol i port 443 za HTTPS protokol. Ovi portovi nisu konfigurabilni.
Ukoliko vam politika upravljanja mrežom ne dozvoljava propuštanje ovih portova prema svim IP adresama na Internetu, možete suziti pristup samo na sljedeće domene koje koristi WSUS za komunikaciju sa Micorost Updateom:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
Odabir baze podataka za WSUS
Da bi ste koristili WSUS ne trebate kupovati posebnu licencu za neku od baza podataka , niti trebate biti administrator baza kako bi ste administrirali WSUS. Također bez obzira na koju verziju Windowsa instalirate WSUS, postoji besplatna verzija Microsoft SQL Servera kojeg će WSUS koristiti. Karakteristika ovih besplatnih verzija je da su dizajnirane tako da zahtijevaju nikakvo ili vrlo malo znanje o upravljanju i korištenja od strane WSUS administratora.
WSUS baza podataka sadrži slijedeće informacije u sebi:
- postavke WSUS servera
- Metadata sa opisima zakrpi
- Informacije o klijentskim računalima, zakrpama i interakciji računala sa zakrpama.
Upravljanje WSUS-om preko direktnog ulaska u bazu podataka nije podržano.
WSUS-om upravljajte preko WSUS konzole ili pozivanjem WSUS API-a
WSUS podržava slijedeće baze podataka:
- Microsoft Windows SQL Server 2000 Desktop Engine (WMSDE) - dolazi sa instalacijom WSUS-a i podržan je samo u slučaju da WSUS instalirate na računalo instalirano sa MS Windows Server 2003. WMSDE je vrlo sličan MS SQL Server 2000 Desktop Engine (MSDE), ali bez limita oko veličine baze i broja istovremenih konekcija. Ni WMSDE ni MSDE nemaju korisničko sučelje, a administracija je moguća jedino kroz WSUS konzolu.
- Microsoft SQL Server 2000 Desktop Engine (MSDE) - baziran je na MS SQL 2000, ali sa nekim ograničenjima koje smanjuju performanse i najveću veličinu baze na 2 GB. MSDE instalacija besplatna je za korištenje i možete ju skinuti sa Microsoft sitea. Ukoliko WSUS instalirate na računalo sa MS Windows Server 2000 preporuka je da koristite MSDE bazu.
- Microsoft SQL Server 2000 -ukoliko koristite ovu najpotpuniju verziju Microsoft softvera za baze podataka, WSUS zahtjeva da imate instalirani Service Pack 3a ili noviji. Prije instalacije WSUS-a na SQL serveru uključite opciju nested triggers. Prilikom instalacije WSUS uključuje opciju recursive triggers, koja je specifična za bazu, dok je nested triggers opcija vezana za sam server.
- Microsoft SQL Server 2005 - Ukoliko instalirate WSUS 2.0 sa SP1, možete koristiti ovu najnoviju verziju Microsoft softvera za baze podataka. Prije instalacije WSUS-a na SQL serveru uključite opciju nested triggers. Prilikom instalacije WSUS uključuje opciju recursive triggers, koja je specifična za bazu, dok je nested triggers opcija vezana za sam server.
WSUS podržava da se softver za bazu podataka nalazi na računalu na kojem nije instaliran i sam WSUS, ali uz neke restrikcije. Više informacija možete pronaći u dokumentu "Appendix C: Remote SQL" (http://technet2.microsoft.com/WindowsServer/en/library/9e01d057-6b39-4eb7-b151-dff7ad0cd6381033.mspx).
Bez obzira koji softver za baze podataka koristite, WSUS podržava samo Windows autentikaciju, dok SQL autentikacija nije podržana.
Ukoliko WSUS instalirate na računalo sa instaliranim MS Windows Server 2003 preporuka je da koristite WMSDE kao softver za bazu podataka, dok je za Windows Server 2000 preporuka korištenje MSDE sofvera.
Priprema diska i particija
Kod pripreme diska i particija na računalu na kojem će biti instaliran WSUS, vodite se sljedećim preporukama:
- Sistemska particija i particija gdje će bit instaliran WSUS moraju biti formatirane na NTFS file system
- Minimalno 1 GB slobodnog prostora osigurajte za sistemsku particiju
- Minimalno 6 GB slobodnog prostora osigurajte za particiju gdje će se nalaziti WSUS sadržaj, preporučena vrijednost 30 GB
- Minimalno 2 GB slobodnog prostora osigurajte za particija na kojoj WSUS setup instalira Microsoft SQL Server 2000 Desktop Engine (WMSDE)
Instalacija potrebnog softvera
U nastavku je popis softvera koji je potrebno instalirati prije instalacije WSUS-a za sve operativne sustave koji su podržani. Provjerite da li je sav softver instaliran prije instalacije samog WSUS-a. Ukoliko prilikom instalacije nekog od zahtijevanih programa računalo zahtijeva restart, obavite resetiranje prije instalacije WSUS-a.
Windows Server 2003:
Ukoliko instalirate WSUS na Windows Server 2003 potrebno je prethodno instalirati:
- Microsoft Internet Information Services (IIS) 6.0
- Background Intelligent Transfer Service (BITS) 2.0
- Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003
Windows Server 2000:
Ukoliko instalirate WSUS na Windows Server 2000 potrebno je prethodno instalirati:
- Windows 2000 Server Service Pack 4
- Microsoft Internet Information Services (IIS) 5.0
- Background Intelligent Transfer Service (BITS) 2.0
- Database softver 100% kompatibilan sa Microsoft SQL
- Microsoft Internet Explorer 6.0 Service Pack 1
- Microsoft .NET Framework Version 1.1
- Microsoft .NET Framework 1.1 Service Pack 1
Instalacija WSUS server softvera
Ako ste prošli sva dosadašnja poglavlja i zadovoljili potrebne uvijete, možete započeti sa instalacijom WSUS servera.
Da bi ste instalirali WSUS server morate biti ulogirani sa accountom koji ima lokalne administratorske ovlasti na računalu na kojem instalirate WSUS.
Posljednja verzija WSUS servera dostupna je za besplatan download na Microsoft stranici http://go.microsoft.com/fwlink/?LinkId=47374
Instalacija se pokreće pokretanjem instalacije datoteke WSUSSetup.exe.
Nakon pokretanja instalacijske datoteke otvara se prozor sa uvjetima o licenciranju (Licence Agreement).
Nakon što ste označili da prihvaćate sve navedene uvijete o licenciranju otvara se prozor u kojem definirate od kuda će računala skidati zakrpe.
Ukoliko izaberete opciju Store updates localy, zakrpe će se nalaziti na WSUS serveru, te možete odrediti na kojem disku i u kojem direktoriju će se zakrpe biti smještene. Ukoliko zakrpe ne smještate lokalno, klijenti će zakrpe skidati sa Microsoft Update stranica.
Na stranici Database options izabirete softver koji koristite za upravljanje sa WSUS bazom. Po defaultu, WSUS nudi instalaciju WMSDE ukoliko WSUS instalirate na računalo sa Windows Serverom 2003. Također na istoj stranici birate lokaciju na disku na koju će WSUS instalirati WMSDE.
Ukoliko nemožete koristiti WMSDE izaberite opciju Use an existing database server on this computer i izaberite instancu iz ponuđenog popisa.
Na stranici Web Site Selection izaberite Web site koji će WSUS koristiti.
Primijetite dva važna URLa: URL koji klijentska računala upućuje na WSUS i URL prema WSUS konzoli sa koje administrirate WSUS.
Na Mirror Update Settings stranici izabirete koju će upravljačku funkciju imati vaš WSUS server. Ukoliko će te koristiti topologiju centralnog upravljanja ovdje upisujete ime lokalnog servera od kojeg će vaš WSUS server skidati zakrpe. Ako je ovo vaš prvi WSUS server na mreži ili će te imati distribuiranu topologiju, preskočite opcije na ovom ekranu.
Na posljednjem ekranu prikane su sve opcije koje ste unijeli te pritiskom na Next započinjete samu instalaciju.
Da bi ste uspješno završili proces instalacije root diska na kojem će WSUS pohranjivati zakrpe mora imati određene dozvole za pravo pisanja po disku da bi ispravno WSUS funkcionirao. WSUS kod instalacije ne mijenja dozvole na disku na kojem sprema zakrpe.
Da bi ste provjerili dozvole za pisanje po disku na kojem se WSUS sprema zakrpe, otvorite prozor My Computer i sa desnim klikom na disku gdje WSUS sprema zakrpe izaberite opciju Sharing and Security.
Da bi WSUS ispravno radio, na disku gdje se nalaze zakrpe read ovlasti moraju imati članovi grupe NT Authority\Network Service (Windows Server 2003), odnosno članovi grupe Users (Windows Server 2000).
Ukoliko te dozvole nisu postavljene manualno ih dodajte.
Podešavanje WSUS klijenta
Dva su načina na koja se računala konfiguriraju da preuzimaju zakrpe sa drugog WSUS servera, i to ovisno o tome da li su računala članovi domene ili ne.
Konfiguracija računala koja su članovi domene (Active Directory okolina) obavlja se editiranjem Group Policy Objecta (GPO) povezanog na AD organizacijsku jedinicu (OU) u kojoj se nalaze računala na koja želite primijeniti nove postavke.
Microsoft ne preporuča mijenjanje "Default Domain" ni "Default Domain Controller" GPO-a dodavanjem WSUS postavki.
U jednostavnoj okolini, sa manjim brojem računala, povežite GPO sa WSUS postavkama na domenu, čime će sva računala koja su na domeni imati istu politiku nadogradnje. U slučaju kompleksnije okoline, sa većim brojem i vrstom računala, kreirajte više GPO i povežite ih sa različitim organizacijskim jedinicama (OU), čime dobivate više politika nadogradnje primjenjivih na različite vrste računala (laptopi, desktop računala, serveri.).
Nakon podešavanja klijentskog računala potrebno je nekoliko minuta prije nego se ono pokaže u WSUS administracijskoj konzoli na stranici Computers. Za klijentska računala konfigurirana preko GPO potrebno je oko 20 minuta nakon što se GP postavke osvježe (refresh). U originalnim postavkama GP se osvježava svakih 90 minuta, sa slučajnim odmakom od 0-30 minuta. Ukoliko želite osvježiti GP prije, iz komandne linije pokrenite naredbu gpupdate /force (Na Windows 2000 računalima pokrenite naredbu secedit /refreshpolicy machine_policy enforce)
Prije podešavanja bilo kakvih opcija za WSUS, provjerite da li imate učitane posljednje WSUS administrativne template na računalu sa kojeg administrirate GPO. Administrativni template sa WSUS opcijama zove se Wuau.adm. Iako postoje dodatne GP opcije vezane za Windows Update Web site, sve nove WSUS opcije nalaze se unutar Wuau.adm datoteke.
Ukoliko računalo koje koristite za konfiguriranje GP ima posljednju verziju datoteke Wuau.adm, nema potrebe za ponovnim učitavanjem datoteke. Nova verzija datoteke Wuau.adm je dostupna sa Windowsima XP sa SP2. Administrativni template se po defaultu nalaze u direktoriju %windir%\Inf.
Da bi ste učitali posljednju verziju WSUS administrativnog templatea, otvorite GPO u kojem će te podešavati WSUS opcije i izaberite Administrative templates. Pod opcijama Action pokrenite Add/Remove Templates. Izaberite template wuau i otvorite datoteku wuau.adm. Ukoliko već imate učitane neku wuau.adm datoteku, računalo će vas pitati da li novom datotekom želite pregaziti postojeću. Ukoliko je nova datoteka ujedno i nova verzija pregazite postojeću, u suprotnom prekinite postupak i zatvorite "Administrative templates" prozor.
Konfiguraciju računala koja nisu na domeni moguće je obaviti na sljedeće načine:
- korištenjem Group Policy Object Editora i editiranjem Local Group Policy objekta
- editiranjem registrya korištenjem registry editora (regedit.exe)
Za konfiguraciju računala koja nisu na domeni preporučljivo je koristiti Group Policy Object Editor. Dobiva se pokretanjem Microsoft Management Console (mmc.exe) i dodavanjem (add snap-in) Group Policy Object Editora.
Postavke se nalaze pod opcijama Computer Configuration - Administrative Templates - Windows Components - Windows Update
Iste postavke moguće je mijenjati i u samom registryu koristeći neki od registry editora (regedit.exe).
Popis i opis ključeva koje je potrebno promijeniti možete pronaći na Microsoft Technet siteu
http://technet2.microsoft.com/WindowsServer/en/library/75ee9da8-0ffd-400c-b722-aeafdb68ceb31033.mspx
Odgovore na često postavljena pitanja vezana uz konfiguraciju WSUS servera i klijenata možete pronaći na stranici WSUS Client FAQ http://www.microsoft.com/windowsserversystem/updateservices/evaluation/faqs.mspx
- Logirajte se za dodavanje komentara
- Inačica za ispis
- PDF version