Zapanuj nad aktualizacjami Windows – WSUS

Wraz z rozwojem środowiska IT w firmie, wzrostem ilości stanowisk w firmie oraz otwieraniem kolejnych oddziałów, wzrasta ilość zadań administracyjnych dla administratorów IT. Szczególnie ważnym aspektem jest dbanie o poprawną dystrybucję aktualizacji i nowszych wersji systemu operacyjnego Windows,  pakietu biurowego Office i innych składników systemu operacyjnego Windows. Tutaj zadanie znacznie może ułatwić centralny punkt do zarządzania i dystrybucji oraz kontroli nad przebiegiem instalacji aktualizacji. Narzędziem, które spełnia te wymagania w 100% jest Windows Software Update Services – czyli WSUS.

Omówienie usług WSUS

Usługi WSUS oferują następujące funkcjonalności:

• pobranie aktualizacji z serwerów Microsoft, przechowywanie ich lokalnie
  i dystrybucję w obrębie lokalnej sieci – pozwala to na redukcję obciążenia łącza internetowego;
• zatwierdzanie i odrzucanie aktualizacji – pozwala to na kontrolę nad tym, które aktualizację będą lub nie będą instalowane;
• grupowa dystrybucja aktualizacji – pozwala na określenie, które komputery mają otrzymać aktualizację, a które nie;
• monitorowanie dystrybucji aktualizacji i generowanie raportów – pozwala na monitorowanie postępów instalacji i statusu aktualizacji danego komputera.

Przykładowy scenariusz wdrożenia usług WSUS

W scenariuszu załóżmy, że firma ma 3 oddziały. Centrala ma 100 komputerów, oddział 2 ma 50 komputerów i 3 oddział, który jest obsługiwany przez lokalny dział IT, posiada 25 komputerów. Sytuację idealnie zobrazuje poniższy schemat:

Wdrożenie WSUS w centrali pozwoli na redukcję obciążenia łącza internetowego. Wyobraźmy sobie instalację aktualizacji zbiorczej do systemu Windows o rozmiarze 3 GB na każdym stanowisku osobno, pobranie tej aktualizacji dla 100 stacji roboczych będzie wymagało pobrania ok. 300 GB z serwerów Windows Update przez łącze internetowe. Po wdrożeniu WSUS aktualizacja będzie pobrana tylko raz z serwerów Microsoft, a wszystkie komputery pobiorą ją z serwera WSUS umieszczonego w tej lokalizacji.

            Wdrożenie serwera WSUS w oddziale 1 pozwoli na redukcję ilości przesyłanych danych pomiędzy oddziałami, 50 komputerów w tym oddziale nie będzie pobierać aktualizacji z centrali, tylko z lokalnego serwera. Dodatkowo opcja repliki pozwoli na centralne sterowanie z poziomu podstawowego serwera.

            Dodatkową funkcjonalnością WSUS jest możliwość przekazywania aktualizacji do następnego serwera WSUS. Tę możliwość wykorzystano przy wdrożeniu do oddziału 2. W tej konfiguracji serwer WSUS zainstalowany w tym oddziale pobiera aktualizację z serwera podstawowego w centrali, ale lokalny administrator może zatwierdzać aktualizację do instalacji. Raporty i statusy z instalacji aktualizacji będą widziane również z poziomu centralnego serwera WSUS.

Wymagania WSUS

Usługi WSUS,  jak każda inna rola w serwerach Windows, ma pewne wymagania sprzętowe i programowe, prezentują się one następująco:

• System przynajmniej Microsoft Windows 2008 R2 – polecam użyć najnowszej dostępnej wersji systemu operacyjnego Windows 2016;
• Działa również w dystrybucjach Foundation i Small Business lub Essentials
• Partycja sformatowana w systemie NTFS i nie może być skompresowana;
• Przynajmniej 2 GB pamięci RAM;
• Przynajmniej 4 GB wolnej przestrzeni na partycji systemowej na potrzeby bazy danych WSUS i plików systemowych;
• Przynajmniej 10 GB wolnej przestrzeni na magazyn aktualizacji – rekomenduję 300 GB – wykorzystanie miejsca zależy od tego, ile produktów i języków wybierzemy.

Przy instalacji usług WSUS na serwerze dodatkowo zostaną zainstalowane następujące role:

• IIS – Internetowe usługi informacyjne – niezbędne do łączności
  z komputerami klienckimi;
• Windows Internal Database – niezbędne do przechowywania konfiguracji, statusów i raportów usług WSUS, można go zastąpić zewnętrzną bazą MSSQL;
• Opcjonalnie można zainstalować Microsoft Reports Viewer 2008 – pozwala na generowanie raportów z instalacji aktualiza.

Wdrożenie usług WSUS

Poniżej przedstawiony instruktaż jest podstawowym sposobem wdrożenia usług WSUS. Trzeba go dostosować do potrzeb i wymagań infrastruktury w danej firmie. Wdrożenie wykonamy na systemie Windows Server 2012 R2 Standard.

Usługi WSUS instalujemy jako rolę systemu Windows. Jeśli rola WSUS jest niewidoczna w menedżerze serwera, należy pobrać wszystkie aktualizacje z Windows Update.

1. W menedżerze urządzeń wybrać „Zarządzaj” i następnie „Dodaj role i funkcje”
2. Po zapoznaniu się z ekranem powitalnym kreatora należy wybrać „instalacja oparta na rolach lub oparta na funkcjach”.
3. Następnie należy wybrać serwer, który będzie pełnić rolę serwera WSUS.
4. Następnie z listy ról należy wybrać „Windows Server Update Services”.
5. Kreator zapyta się czy zainstalować dodatkowe role na serwer (tutaj będzie między innymi IIS i Windows Internal Database), należy potwierdzić to klawiszem „Dodaj funkcje”.

Lista funkcji

Następnie w kreatorze przechodzimy przez listę „Funkcji” bez zmian i przechodzimy do ekranu powitalnego WSUS. Po ekranie powitalnym możemy zdecydować czy baza danych ma być umieszczona w Windows Internal Database, czy na zewnętrznym serwerze. My zostawimy wdrożenie z pomocą Windows Internal Database.

Przechowywanie aktualizacji

Następnie należy określić, gdzie mają być przechowywane aktualizacje. Rekomenduję wybranie lokalizacji, w której jest dużo wolnej przestrzeni dyskowej zgodnie z wcześniejszymi zaleceniami.

instalacji roli IIS

Następnie będą ekrany odnośnie instalacji roli IIS, na nich nie należy nic zmieniać, na ekranie podsumowania można jeszcze przejrzeć wybrane role i jak wszystko się zgadza, to naciskamy przycisk „Zainstaluj”.

Po tym procesie udało się wdrożyć rolę WSUS. Następnym etapem jest wstępna konfiguracja usług WSUS na serwerze.

1. W Menedżerze Serwera wybrać rolę „WSUS” i następnie po naciśnięciu przycisku „Więcej” należy kliknąć „Uruchom zadania poinstalacyjne”.
2. Po zakończeniu procesu poinstalacyjnego można przejść do konfiguracji usług, w tym celu należy wybrać w oknie Menedżera Serwera „Narzędzia” i następnie „Windows Software Update Services”.
3. Na starcie pojawi się „Kreator konfiguracji”, który pozwoli na skonfigurowanie usług wedle naszych potrzeb. Po przejściu ekranu powitalnego i określeniu czy chcemy przesyłać dane diagnostyczne do Microsoft, przejdziemy do ekranu, gdzie wybieramy serwer nadrzędny.
4. W tym kroku możemy zdecydować czy:
   • Serwerem nadrzędnym będą Serwery Windows Update – wtedy jest to serwer podstawowy w organizacji;
   • Serwerem nadrzędnym będzie inny serwer WSUS – wtedy to będzie serwer podrzędny (tzw. Autonomiczny);
   • Jeśli zaznaczymy opcję „To jest replika serwera nadrzędnego” – wtedy serwer stanie się repliką serwera nadrzędnego i wszystkie ustawienia będą przenoszone z nadrzędnego serwera.

My w tym kroku wybierzemy serwer nadrzędny na serwery Windows Update, gdyż będzie to podstawowy serwer WSUS.

5. Następnie należy określić czy w organizacji używamy serwera Proxy do połączenia z serwerem Windows Update, jeśli tak to trzeba podać dane niezbędne do połączenia.

6. Po wprowadzeniu ustawień proxy, trzeba pobrać ustawienia z serwera nadrzędnego, ten proces trochę może potrwać.

7. Po pobraniu ustawień zostaniemy przekierowani do ekranu, gdzie można wskazać języki aktualizacji. Zalecam wybrać tylko te, które są wykorzystywane w organizacji. Im więcej wybierzemy, tym więcej przestrzeni dyskowej zajmą pobrane aktualizacje.

8. Następnie należy wybrać produkty, do których mają być instalowane aktualizacje. Zalecam wybrać tylko te, które są w organizacji.

9. W następnym ekranie trzeba określić klasyfikacje aktualizacji do pobrania. Zalecam pozostawić te opcje bez zmian. Im więcej wybierzemy, tym dłużej będzie trwała synchronizacja z serwerem nadrzędnym.

10. W następnych krokach należy skonfigurować harmonogram synchronizacji i następnie określić, kiedy ma być wykonana pierwsza synchronizacja. Zalecam ustawienie automatycznej synchronizacji raz dziennie i wykonanie jej po zakończeniu kreatora.

Po tych krokach mamy wstępnie przygotowany serwer WSUS do pracy. Następnym krokiem jest opublikowanie go w organizacji i zatwierdzenie aktualizacji po zsynchronizowaniu z serwerem nadrzędnym.

Publikowanie serwera w organizacji polega na stworzeniu obiektu zasad grupowych (GPO) i ustawieniu go w domenie Active Directory. W tym celu na kontrolerze Active Directory tworzymy nowy obiekt zasad grupy i potem otwieramy go w edytorze zasad grupowych. Po otwarciu, trzeba wejść w: Computer Configuration > Polices> Administrative Settings > Windows Components > Windows Update. Następnie w tym folderze trzeba wybrać ustawienie „Specify intranet Microsoft update service location”.

W tym ustawieniu trzeba określić adres IP serwera, który wdrażamy, w tym przypadku to będzie: http://SRV-WSUS-01:8530

Dodatkowo rekomenduję skonfigurowanie przez GPO automatycznych aktualizacji i wyłączenie automatycznego restartu komputerów.

Po skonfigurowaniu zasad grupowych GPO należy przypisać tę zasadę do jednostki organizacyjnej w Active Directory – można to wykonać w konsoli „Group Policy Management” na kontrolerze domeny Active Directory.

Po skonfigurowaniu zasad GPO należy zatwierdzić aktualizację do instalacji.
W tym celu na serwerze WSUS należy wejść w konsolę zarządzania Windows Software Update Services i po wybraniu nazwy serwera w drzewie konsoli po lewej stronie można zobaczyć status synchronizacji z serwerami Windows Update. Należy pamiętać, że pierwsza synchronizacja długo trwa.

Jeśli wynik ostatniej synchronizacji to „Powodzenie”, tak jak na załączonym zdjęciu, to należy przejść w drzewie konsoli do sekcji „Aktualizacje”. Zatwierdzanie aktualizacji zalecam rozpocząć od widoku „aktualizacje krytyczne”. W tej sekcji polecam zaznaczenie wszystkich aktualizacji i wybranie opcji „Zatwierdź”.

Następnie można przejść do widoku „aktualizacje zabezpieczeń” i tam wybrać tylko te aktualizacje, które zgłosiły komputery klienckie jako „potrzebne”. W ten sposób zaoszczędzimy dużo miejsca na dyskach serwera WSUS i nie będziemy ich zaśmiecać zbędnymi aktualizacjami.

Postępy instalacji aktualizacji można obserwować po wybraniu opcji „Wszystkie komputery” w drzewie konsoli. W tym widoku widać, które aktualizacje zostały już zainstalowane na danym komputerze.

W ramach zadań administracyjnych, co pewien czas należy przeglądać aktualizacje potrzebne do zatwierdzenia i status synchronizacji z serwerami Microsoft. Można stworzyć grupy do dystrybuowania aktualizacji np. do testów. Pozwala to zoptymalizować kontrolę nad dystrybucją aktualizacji i stopniowanie dystrybucji aktualizacji.

Podsumowanie

Powyżej przedstawiony sposób jest uproszczonym sposobem wdrożenia. Pozwala to na szybkie i poprawne uruchomienie usług w ramach organizacji, bardziej szczegółowy jest opisany w materiałach źródłowych, np. na stronach Microsoft.

Support Online to firma świadcząca usługi informatyczne od 2002 roku. Współpracujemy z wieloma firmami w zakresie kompleksowej opieki informatycznej, w skład której wchodzą m.in.:

• administracja serwerami
• outsourcing it
• rozwiązania chmurowe (chmura dla firm)
• helpdesk (wsparcie techniczne)
• i wiele innych.

Zachęcamy do kontaktu, oferujemy rozwiązania szyte na miarę. Pozwól nam zadbać o bezpieczeństwo Twojego biznesu.

Autor: Łukasz Kuźniewski

Źródło:

• Opracowanie i doświadczenie własne
• Materiały prasowe – Czasopismo PC World Computer
• Dokumentacja Microsoft: https://docs.microsoft.com/en-us/windows-server/administration/windows-server-update-services/get-started/windows-server-update-services-wsus