Προσωπικά εργαλεία

Windows/2008/Server Client/Προχωρημένα/WSUS

Από WIKI Τεχνικής Στήριξης
Μετάβαση σε: πλοήγηση, αναζήτηση

Περιεχόμενα

Περιγραφή WSUS

Η υπηρεσία Windows Server Update Services (WSUS) έχει σκοπό την αποθήκευση σε ένα κεντρικό σύστημα των τελευταίων ανανεώσεων, patches, Service Packs των λειτουργικών συστημάτων και προγραμμάτων της Microsoft και την αυτόματη ενημέρωση των σταθμών εργασίας για αυτές τις αλλαγές.

Με τον τρόπο αυτό δεν χρειάζεται να ασχολούνται οι χρήστες με τον έλεγχο των απαραίτητων ανανεώσεων και τη μεταφόρτωση αυτών, ο καθένας ξεχωριστά από το site της Microsoft, γλιτώνοντας έτσι χρόνο και εξοικονομώντας bandwidth. Οι χρήστες ενημερώνονται αυτόματα για τα νέα updates εξασφαλίζοντας έτσι τακτικά ότι τα συστήματα είναι ενημερωμένα. Η υπηρεσία παρέχεται μέσω του εξυπηρετητή WSUS, στον οποίο κρατούνται και λεπτομερή στατιστικά για τις ανανεώσεις και τους σταθμούς εργασίας.

Με την υπηρεσία Windows Server Update Services (WSUS) οι διαχειριστές μπορούν να ρυθμίσουν τον εξυπηρετητή του ΣΕΠΕΗΥ να συγχρονίζεται άμεσα με το Microsoft Update και να διαμοιράζει τις ενημερώσεις στα συστήματα Windows, ανάλογα με τα εγκατεστημένα λογισμικά τους.

Διαδικασία εγκατάστασης

  • Λαμβάνουμε από το δικτυακό τόπο της Microsoft και εγκαθιστούμε το Microsoft Report Viewer 2008 Redistributable.
  • Από την εφαρμογή Application-windows-other.png Server Manager ενεργοποιούμε το ρόλο WSUS.
  • Επιλέγουμε Add required role services, ώστε να εγκατασταθούν πρόσθετες υπηρεσίες που απαιτούνται για τη λειτουργία του WSUS Server.
  • Eπιβεβαιώνουμε τις επιλογές εγκατάστασης.
  • Στη συνέχεια ο οδηγός πραγματοποιεί λήψη προγραμμάτων και ενημερώσεων προς εγκατάσταση.
  • Ξεκινά ο οδηγός εγκατάστασης του WSUS Server.
  • Αποδεχόμαστε την άδεια χρήσης.
  • Αποδεχόμαστε την επιλογή Store Updates Localy και το φάκελο εγκατάστασης c:\wsus.
  • Αποδεχόμαστε τη χρήση Windows Internal Database στο φάκελο C:\wsus.
  • Αποδεχόμαστε τη χρήση του Default εσωτερικού Web Site.
  • Η εγκατάσταση ολοκληρώνεται και ξεκινά ο WSUS Configuration Wizard.
  • Επιλέγουμε αρχικά να μη συμμετέχουμε στο Microsoft Update Improvement Program.
  • Αποδεχόμαστε την προεπιλογή του συγχρονισμού με το Microsoft Update.
  • Δεν ενεργοποιούμε τη χρήση proxy.
  • Επιλέγουμε ενημερώσεις μόνο για τις γλώσσες για τις οποίες έχουμε εγκατεστημένα προϊόντα στο ΣΕΠΕΗΥ (συνήθως Ελληνικά και Αγγλικά).
  • Επιλέγουμε τη λήψη ενημερώσεων μόνο για τα προϊόντα που έχουμε εγκατεστημένα στο ΣΕΠΕΗΥ. Ενδεικτικά αναφέρουμε τα Windows 7, Microsoft Security Essentials και Windows Server 2008.
  • Επιλέγουμε όλες τις κατηγορίες προϊόντων εκτός από Drivers, Tools και Feature Packs.
  • Αποδεχόμαστε την έναρξη άμεσου συγχρονισμού και εάν είναι εφικτό χρονοπρογραμματίζουμε το συγχρονισμό σε ώρες που το ΣΕΠΕΗΥ δε χρησιμοποιείται, για την πραγματοποίηση μαθημάτων.
  • Οι ρυθμίσεις ολοκληρώνονται.
  • Επιλέγουμε τα unapproved updates και κατόπιν ελέγχου πως χρειάζονται για τη λειτουργία των σταθμών εργασίας τα κάνουμε approve. Στη διαδικασία αυτή θα μας ζητηθεί να αποδεχθούμε τις άδειες χρήσεις για κάθε προϊόν που διαθέτει σχετική άδεια.

Ρυθμίσεις Υπηρεσίας WSUS σε ένα περιβάλλον με Active Directory

Σε ένα περιβάλλον εργασίας στο οποίο υπάρχει Κεντρική Υπηρεσία Καταλόγου με τη μορφή Active Directory όπως το ΣΕΠΕΗΥ, η ρύθμιση των αυτόματων ανανεώσεων μπορεί να γίνει χρησιμοποιώντας πολιτικές ομάδας.

Σημείωση: Οι ρυθμίσεις αυτής της πολιτικής καθορίζουν πώς λειτουργούν οι Αυτόματες Ανανεώσεις. Πρέπει να καθορίσουμε ότι οι αυτόματες ανανεώσεις θα κατεβάζουν ανανεώσεις από τον WSUS εξυπηρετητή και όχι από Microsoft/Windows Update. Προτείνουμε η πολιτική να εφαρμοστεί στο σύνολο του domain school.local.

  • Στο Application-windows-other.png Group Policy Management δημιουργούμε για το domain school.local νέα πολιτική, όπου τροποποιούμε τις ακόλουθες ρυθμίσεις: Στη διαδρομή  Computer Configuration  Administrative Templates  Windows Components  Windows Update .
  • Επιλέγουμε Configure Automatic Updates.
  • Επιλέγουμε Enabled και κατόπιν Auto download and notify for install. Αυτή η επιλογή αυτόματα ξεκινά τη μεταφόρτωση των ανανεώσεων και στη συνέχεια ειδοποιεί έναν logged-on χρήστη με δικαιώματα διαχειριστή πριν προχωρήσει στην εγκατάσταση των ανανεώσεων.
  • Επιλέγουμε Specify Microsoft Intranet Update Location
  • Επιλέγουμε Enabled και κατόπιν ορίζουμε Intranet Update Service και Intranet Statistics Server το όνομα του εξυπηρετητή πχ http://server.school.local:80/.
  • Επίσης κάνουμε Enable τα εξής:
  • Allow Automatic updates immediate installation
  • Allow non-administrators to receive update notifications
  • Automatic Updates detection frequency (επιλέγουμε 4 ώρες)
  • No auto-restart with logged on users for scheduled automatic

updates installations

  • Και Disable τα εξής:
  • Do not adjust default option to “Install Updates and Shutdown”

in Shut Down Widnows dialog box

  • Do not display “Install Updates and Shut Down” option in Shut

Down Widnows dialog box

  • Επιλέγουμε OK

Ρυθμίσεις Υπηρεσίας WSUS σε PCs που δεν ανήκουν στο Active Directory του ΣΕΠΕΗΥ (π.χ. pc γραφείου καθηγητών)

Σε ένα περιβάλλον εργασίας στο οποίο δεν υπάρχει Κεντρική Υπηρεσία Καταλόγου με τη μορφή Active Directory, η ρύθμιση των αυτόματων ανανεώσεων μπορεί να γίνει χρησιμοποιώντας οποιαδήποτε από τις ακόλουθες μεθόδους:

  • Με χρήση του Group Policy Object Editor, τροποποιώντας το αντικείμενο Local Group Policy ανά υπολογιστικό σύστημα
  • Με χρήση του Επεξεργαστή Μητρώου (Regedit.exe) και απευθείας επεξεργασία του μητρώου ανά μηχάνημα
  • Με χρήση κατάλληλα διαμορφωμένων .reg αρχείων τα οποία ενσωματώνονται στο μητρώο κάθε μηχανήματος. Αυτά τα αρχεία μπορεί να είναι αποθηκευμένα σε κεντρικό εξυπηρετητή όπου έχουν πρόσβαση όλα τα μηχανήματα.

Οι ρυθμίσεις του μητρώου (registry) για την υπηρεσία WSUS εντοπίζονται στα υποκλειδιά της κατηγορίας: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WSUS. Αναλυτικές πληροφορίες ρυθμίσεων υπάρχουν στη σελίδα Configure Automatic Updates in a Non–Active Directory Environment.

Ακολουθεί ένα ενδεικτικό αρχείο .reg που θα μπορούσε να ενσωματωθεί πολύ εύκολα και γρήγορα στο μητρώο ενός σταθμού εργασίας, ώστε να λαμβάνει στο συγκεκριμένο παράδειγμα τις ανανεώσεις από τον εξυπηρετητή http://10.x.y.10 (αντικαταστήστε τα x και y, ώστε να ταιριάζουν με το δίκτυό σας). Επίσης ο σταθμός εργασίας θα ενταχθεί στην ομάδα υπολογιστών "Grafeio":

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate]

"WUServer"="http://10.x.y.10"

"WUStatusServer"="http://10.x.y.10"

"TargetGroupEnabled"=dword:00000001

"TargetGroup"="Grafeio"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU]

"NoAutoUpdate"=dword:00000000

"AUOptions"=dword:00000003

"ScheduledInstallDay"=dword:00000000

"ScheduledInstallTime"=dword:00000003

"UseWUServer"=dword:00000001

Ρυθμίσεις υπηρεσίας WSUS με ταυτόχρονη λειτουργία proxy server (squid)

Σε περίπτωση που στο περιβάλλον εργασίας του ΣΕΠΕΗΥ λειτουργεί παράλληλα και διακομιστής μεσολάβησης Squid, θα πρέπει οι σταθμοί εργασίας να επικοινωνούν άμεσα με το server και όχι μέσω του proxy, τόσο μέσα από τους web browsers, όσο και μέσα από το ΛΣ Windows. Πέρα από την αποτροπή της διπλής αποθήκευσης των ενημερώσεων τόσο στην υπηρεσία proxy όσο και στην υπηρεσία WSUS, ο WSUS δυσλειτουργεί όταν φθάνουν σε αυτόν κλήσεις από σταθμούς εργασίας μέσω της IP address του server (proxy).

Οι ρυθμίσεις που έχουν γίνει κατά την ενεργοποίηση του squid (ρυθμίσεις άμεσης επικοινωνίας στο τοπικό δίκτυο στο αρχείο wpad.dat και και στην εντολή netsh winhttp στο αντίστοιχο κεφάλαιο) δεν παραβιάζουν την παραπάνω απαίτηση, επιτρέποντας στην υπηρεσία WSUS να λειτουργεί κανονικά.

Έλεγχος καλής λειτουργίας WSUS

Στον εξυπηρετητή

Από το εργαλείο διαχείρισης Application-windows-other.png Server Manager στην περιοχή  Roles  Windows Server Update Services  Update Servies 

  • στην περιοχή    Updates  βλέπουμε μια συνολική αναφορά των ενημερώσεων που έχουν εγκατασταθεί ή των ενημερώσεων που έχουν παρουσιάσει σφάλματα.
  • στην περιοχή    Updates  All Updates  βλέπουμε την αναλυτική λίστα των ενημερώσεων και μπορούμε να επιλέξουμε να μην παρέχουμε για εγκατάσταση κάποιο από αυτά, με  δεξί κλικ  Decline .
  • στην περιοχή    Computers  βλέπουμε μια συνολική αναφορά των υπολογιστών που έχουν συνδεθεί στο wsus server και της κατάστασής τους, π.χ. εάν υπάρχουν ενημερώσεις στο wsus server που πρέπει να εγκατασταθούν στους σταθμούς εργασίας.
  • στην περιοχή    Computers  All Computers  βλέπουμε τη λίστα των σταθμών εργασίας με αναλυτικές πληροφορίες για τον καθένα, ενώ αναλυτική αναφορά για καθένα μπορύμε να ζητήσουμε με  δεξί κλικ  Status Report  σε επιλεγμένο υπολογιστή.
  • Στην περιοχή    Synchronizations  βλέπουμε τη λίστα με τους συγχρονισμούς που έχουν μέχρι στιγμής πραγματοποιηθεί και μπορούμε να απαιτήσουμε άμεσο συγχρονισμού του WSUS Server με τους update servers της Microsoft ανεξάρτητα από τον ορισμένο χρονοπρογραμματισμό συγχρονισμών.
  • Στην περιοχή    Options  μπορούμε να αλλάξουμε βασικές ρυθμίσεις που ορίσαμε κατά την εγκατάσταση του WSUS όπως για παράδειγμα:
  • Τα προϊόντα για τα οποία θέλουμε να λαμβάνουμε ενημερώσεις (Products and Classifications)
  • Το χρονοδιάγραμμα που ο WSUS θα ελέγχει για νέες ενημερώσεις καθώς και πόσους συγχρονισμούς ανά ημέρα επιθυμούμε να πραγματοποιεί. (Synchronization Shedule)
  • Από το Server Cleanup Wizard ελέγχουμε ότι δεν υπάρχουν περιττές ενημερώσεις που πλέον είναι out-of-date καθώς και σταθμοί εργασίας που πλέον δεν είναι ενεργοί.

Info-32.pngΠεριοδικά και για να μην γεμίσει το Partition στο οποίο κατεβαίνουν τα updates θα πρέπει να σβήνετε τα expired updates κλπ όπως συμβουλεύει ο Server Cleanup Wizard.

Στους σταθμούς εργασίας

Με την ολοκλήρωση των ρυθμίσεων του WSUS Server, πρέπει να ελέγξουμε πως οι σταθμοί εργασίας λαμβάνουν από αυτόν τις διαθέσιμες ενημερώσεις.

  • Στο σταθμό εργασίας και από το λογαριασμό του διαχειριστή λαμβάνουμε την εφαρμογή WSUS Client Diagnostics Tool και την εκτελούμε, με αποτέλεσμα την εξαγωγή του αρχείου ClientDiag.exe σε φάκελο της επιλογής μας.
  • Από τη γραμμή εντολών εκτελούμε το αρχείο ClientDiag.exe, το οποίο πραγματοποιεί τους απαραίτητους διαγνωστικούς ελέγχους, ώστε να διαπιστωθεί πως ο σταθμός εργασίας επικοινωνεί και συνεργάζεται σωστά με το WSUS Server. Πιθανά λάθη πρέπει να διορθωθούν πριν συνεχίσουμε τη διαδικασία ελέγχου. Με την παράμετρο /t τα αποτελέσματα εγγράφονται και στο αρχείο C:\ClientDiag.log.
WSUS Client Diagnostics Tool


Checking Machine State
Checking for admin rights to run tool . . . . . . . . . PASS
Automatic Updates Service is running. . . . . . . . . . PASS
Background Intelligent Transfer Service is running. . . PASS
Wuaueng.dll version 7.6.7600.256. . . . . . . . . . . . PASS
This version is WSUS 2.0

Checking AU Settings
AU Option is 3 : Notify Prior to Install. . . . . . . . PASS
Option is from Policy settings

Checking Proxy Configuration

Checking for winhttp local machine Proxy settings . . . PASS
Winhttp local machine access type
<Direct Connection>
Winhttp local machine Proxy. . . . . . . . . . PASS
Winhttp local machine ProxyBypass. . . . . . . PASS
Checking User IE Proxy settings . . . . . . . . . . . . PASS
User IE Proxy. . . . . . . . . . . . . . . . . PASS
User IE ProxyByPass. . . . . . . . . . . . . . PASS
User IE AutoConfig URL Proxy . . . . . . . . . PASS
User IE AutoDetect
AutoDetect in use


Checking Connection to WSUS/SUS Server

WUServer = http://server
WUStatusServer = http://server
UseWuServer is enabled. . . . . . . . . . . . . . . . . PASS
Connection to server. . . . . . . . . . . . . . . . . . PASS
SelfUpdate folder is present. . . . . . . . . . . . . . PASS
  • Από τη γραμμή εντολών αναγκάζουμε το σταθμό εργασίας να επικοινωνήσει με το WSUS Server και να λάβει ενημερώσεις, εκτελώντας την εντολή:

Terminal.pngwuauclt /detectnow /reportnow

  • Σε σύντομο χρονικό διάστημα πρέπει να λάβουμε ειδοποίηση ύπαρξης ενημερώσεων στη Notification Area, ενώ και στο αρχείο %WINDIR%\WindowsUpdate.log, θα δούμε εγγραφές επικοινωνίας με το WSUS Server και λήψης των διαθέσιμων ενημερώσεων.

Παραλλαγές
Ενέργειες
Πλοήγηση
Εργαλεία