192 Shares 2630 views

Windows Server Update Services (WSUS): Konfiguration. WSUS Offline Update

Für Server-Versionen von Windows kann die Aktualisierung des Systems und / oder der Software, die auf den untergeordneten Terminals von einer relativ neuen Zeit installiert wird, mit einem speziellen Tool durchgeführt werden, das als WSUS abgekürzt wurde. Was ist das? In der Tat ist diese Software eine einzigartige Version, so dass Sie sich weigern, jeden Computer im lokalen Netzwerk enthalten, einen unabhängigen Internet-Kanal für die Installation von Updates verwenden. Über das, wie das alles funktioniert und welche Einstellungen gesetzt werden müssen, dann gehen wir weiter.


Windows Server Update Services: Was ist das und warum?

Wenn man von diesem Service in Klartext spricht, kann er als Software für die automatische Aktualisierung von OS und Software beschrieben werden, die ausschließlich auf einem Server installiert ist, an den andere Benutzerterminals angeschlossen sind, die mit einem einzigen lokalen oder virtuellen Netzwerk verbunden sind.

Als Microsoft für seine Produkte mit einer beneidenswerten Regelmäßigkeit aktualisiert, müssen sie auf allen Maschinen im Netzwerk installiert werden, was problematisch ist, wenn es mehr als ein Dutzend davon gibt. Um nicht mit solchen Dingen an jedem einzelnen Terminal umzugehen, können Sie die WSUS Offline Update Funktion verwenden, wenn das Hauptupdate nur auf dem Server installiert ist und dann auf alle anderen Computer "verteilt" wird.

Die Vorteile dieses Ansatzes liegen auf der Hand, weil die Nutzung des Internetverkehrs reduziert wird (beim Herunterladen des Netzes wird nicht geladen) und es spart Zeit, um Updates zu installieren, die, wenn richtig konfigurierte Software auf dem zentralen Server automatisch gemacht wird.

Installationsanforderungen

Für WSUS sind Konfiguration und Nutzung ohne eine Reihe von Anfangsbedingungen nicht möglich. Hier sollten Sie die Hauptkomponenten beachten, die Sie auf dem Server herunterladen und installieren müssen, falls sie nicht verfügbar sind.

Folgende Komponenten können als Prioritäten unterschieden werden:

  • OS-Änderung von Windows Server ist nicht niedriger als 2003 (zumindest mit dem ersten Service Pack);
  • Plattform NET Framework Version nicht niedriger als 2.0;
  • Die IIS 6.0 Serverrolle oder höher;
  • Berichts-Viewer von Microsoft 2008;
  • SQL Server 2005 mit dem zweiten Service Pack;
  • Managementkonsole von Microsoft Modification 3.0.

Installationsprozess

Tatsächlich übernimmt die WSUS-Installation auch die Reservierung von freiem Festplattenspeicher auf dem Server in Höhe von etwa 100 GB (der Speicherort des Updatespeicherordners wird im ersten Schritt nach dem Start des Hauptinstallateurs angezeigt).

Als nächstes wird der Datenbankstandort als separates Verzeichnis gesetzt (es ist besser, etwa 2-4 GB zuzuordnen).

Webserver-Datenbankeinstellungen

Grundsätzlich schlägt der Installateur selbst vor, interne Datenbanken standardmäßig zu installieren, aber Sie können den vorhandenen Datenbankserver verwenden, um den Prozess zu vereinfachen.

In diesem Fall müssen Sie Ihren Netzwerknamen entsprechend der Terminal-ID im Netzwerk registrieren. Die ersten beiden Optionen können entweder zum Empfangen von Updates von einem Microsoft-Server oder von einem internen Server verwendet werden. Allerdings gibt es auch eine dritte Möglichkeit – die Installation von Datenbanken auf einem entfernten Terminal. Aber dieses Schema wird hauptsächlich nur in Fällen verwendet, in denen es notwendig ist, Updates auf entfernte Zweige von einem zusätzlichen Update-Server zu verteilen.

Portauswahl

In der nächsten Phase der WSUS-Installation geht die Konfiguration davon aus, dass der Port ausgewählt ist. Dies sollte sehr sorgfältig behandelt werden, da die Eingabe von falschen Werten nur dazu führen kann, dass das ganze Schema nicht funktioniert.

Beachten Sie, dass der Standardanschluss 80 ist. Sie können es natürlich überlassen, aber es ist besser (und dies wird durch die Praxis bestätigt), um die Portnummer 8530 (8531) zu benutzen. Aber dieser Ansatz ist nur anwendbar, wenn manuelle Proxy-Konfiguration erforderlich ist.

Updates auswählen

Der nächste Schritt in der WSUS-Installation besteht darin, die Einstellungen für das Aktualisieren von Upstream-Servern zu konfigurieren. Mit anderen Worten, Sie müssen angeben, wo die Updates heruntergeladen werden.

Es gibt zwei Möglichkeiten: entweder mit dem Microsoft Update Server oder mit einem anderen Remote Terminal zu synchronisieren. Es ist besser, die erste Option zu benutzen.

Konfiguriere WSUS in der Domäne

Als nächstes müssen Sie für den korrekten Betrieb des installierten Dienstes die im Netzwerk verwendeten Sprachen auswählen.

Sie können eine der vorgeschlagenen Liste installieren, aber Englisch muss unbedingt ausgewählt werden, da ohne korrektes Laden und Verteilen von Updates nicht garantiert ist.

Produktauswahl

Jetzt für WSUS Offline Update, sollten Sie angeben, welche Softwareprodukte aktualisiert werden sollen. Wie die meisten Experten glauben, bei der Auswahl ist es wünschenswert, nicht gierig zu sein und die maximal mögliche Anzahl von Artikeln auf der Liste zu notieren.

Aber auch nicht mitmachen. Es ist besser, nur das zu beachten, was wirklich nötig ist. Wenn zum Beispiel keine Version von Office 2003 auf einem beliebigen Computer im Netzwerk installiert ist, müssen Sie dessen Aktualisierung nicht angeben.

Das WSUS-Update im nächsten Schritt fordert Sie auf, die Softwareklassen auszuwählen, für die die Updates zuerst heruntergeladen werden. Dort – nach deiner Wahl Grundsätzlich können Sie die Checkboxen nicht festlegen, um Updates für Treiber, Tools und neue Funktionen zu installieren. Wenn Sie fertig sind, wird die Uhrzeit eingestellt, wenn die ausgewählten Updates heruntergeladen und installiert werden.

Konsoleneinstellungen

Jetzt müssen Sie die Konsole anrufen und zunächst die manuelle Synchronisation so einstellen, dass alle verfügbaren Updates heruntergeladen werden.

Danach müssen Sie mit der Konfiguration der Terminalgruppen beginnen. Es wird empfohlen, zwei Kategorien von Computern zu erstellen. In einem Server befindet sich in der anderen – die üblichen Workstations. Diese Einstellung beschränkt die Installation von Updates auf Servern.

Da alle im Netzwerk sichtbaren Terminals derzeit in der Kategorie der nicht zugewiesenen Rechner sind, müssen sie manuell den entsprechenden Gruppen zugeordnet werden.

Der nächste Schritt besteht darin, WSUS so zu konfigurieren, dass er spezielle Update-Regeln erstellt, die im Abschnitt "Auto-Genehmigung" durchgeführt werden. Für Workstations ist es wünschenswert, eine automatische Genehmigungsregel einzustellen, und für Server muss man zusätzlich eine entsprechende Zeile markieren. Darüber hinaus ist es nicht empfehlenswert für Server, alle Updates auszuwählen, da dies zu Fehlfunktionen führen kann.

Festlegen von Aktualisierungsoptionen in Gruppenrichtlinien

Wenn die Voreinstellung der Hauptparameter abgeschlossen ist, sollten Sie mehrere Aktionen im Zusammenhang mit Berechtigungen und Genehmigungen durchführen.

Um dies zu tun, müssen Sie den Gruppenrichtlinien-Editor verwenden, der am einfachsten über den Befehl Ausführen (Win + R) mit dem Befehl gpedit.msc angerufen wird, anstatt die Systemsteuerung oder den Administrationsbereich zu verwenden.

Hier müssen Sie die Administratorvorlagen über die Computer- und Richtlinienkonfiguration erhalten, wo das "Update Center" zu finden ist. Dabei interessieren wir uns für den Parameter, der für die Angabe des Standorts des Aktualisierungsdienstes im Intranet zuständig ist. Wenn Sie das Bearbeitungsmenü durch einen Doppelklick auf den Dienst aufrufen, müssen Sie die Serveradresse aktivieren und angeben, die normalerweise wie http: // SERVER_NAME aussieht, wobei SERVER_NAME der Name des Servers im Netzwerk ist. Sie können diese Kombination nicht verwenden, sondern einfach einen IP-Server registrieren. Nachdem die Konfiguration abgeschlossen ist, erhalten die untergeordneten Maschinen nach einer Weile die Update-Pakete.

Mögliche Fehler

WSUS-Fehler werden am häufigsten auf die Tatsache zurückgeführt, dass es zu viele unnötige Updates für Server gibt, wie oben erwähnt.

Allerdings ist ein ebenso häufiges Problem die Tatsache, dass Updates nicht auf allen vernetzten untergeordneten Terminals installiert sind. In diesem Fall müssen Sie den Abschnitt der automatischen Genehmigungen öffnen und die Art der Gruppenrichtlinien für sie festlegen, was der automatischen Installation von kritischen Updates des Betriebssystems und des Sicherheitssystems entspricht. Dementsprechend können Sie mit den Produkten und Einstellungen für die Installation von Updates Ihre eigene neue Regel erstellen (Sie können sogar die manuelle Genehmigung verwenden).

Wenn Sie also einen vollständigen Reset der WSUS-Einstellungen nicht durchführen, dann muss die gesamte Vorgehensweise zur Einstellung der Parameter neu gemacht werden. Es wird dringend empfohlen, dass mindestens einmal im Monat der Server aufgeräumt wird (hierfür ist die "Master" -Funktion mit demselben Namen). Solche Schritte werden dazu beitragen, nicht beanspruchte Updates aus dem System zu entfernen sowie die Größe der Datenbank selbst signifikant zu reduzieren (es ist verständlich, dass je mehr die Datenbank ist, desto mehr Zeit, um sie zugreifen zu können, sowie die übermäßige Belastung der Rechenfunktionen des Servers und die Verteilung der Updates über das Netzwerk).

In manchen Fällen kann die Standardrichtlinieneinstellung durch die Erstellung eines neuen Typs mit allen aktivierten Parametern aus der Liste der verfügbaren durch die Eingabe der Netzwerkadresse des Servers (mit Port 8530 aktiviert) unterstützt werden.

In dem Fall, in dem sogenannte mobile Workstations verwendet werden, können ähnliche Einstellungen im Abschnitt der lokalen Sicherheitsrichtlinien vorgenommen werden, wobei die entsprechenden Parameter angegeben sind. Wenn alles korrekt ausgeführt wird, werden nur kritische Updates für die Terminal Server-Gruppe installiert und für Computer, die Teil der Workgroup-Gruppe sind (oder eine Kategorie mit einem anderen Namen), absolut alle Updates, die im Anfangsstadium der Konfiguration ausgewählt wurden.

Anstelle der Summe

Eigentlich können Sie hier die Frage der Einrichtung des automatischen Update Service WSUS beenden. Für alles zu arbeiten und keine Sorge für den Systemadministrator in der Zukunft, sollten Sie die Aufmerksamkeit auf die ursprünglichen Bedingungen mit der Installation von zusätzlichen Komponenten verbunden zu beachten. Es wird angenommen, dass die Server-Version des Betriebssystems besser ist, um nicht die 2003, aber 2008 R2 oder höher zu verwenden, und achten Sie auch auf die .NET Framework Version 4, nicht 2.0). Darüber hinaus sollten Sie den Proxy-Einstellungen und der Auswahl der Ports besondere Aufmerksamkeit widmen, da Port 80 standardmäßig nicht funktioniert. Schließlich ist einer der wichtigsten Aspekte der Konfiguration die Auswahl der Terminalgruppen und die Updates, die auf ihnen installiert sind. Im Übrigen sollte es in der Regel keine Probleme geben, obwohl beim Laden von großflächigen schweren Updates mit schlechter Kommunikationsqualität kurzfristige Fehler und Verteilungsfehler im Netzwerk noch beobachtet werden können. Übrigens müssen Sie den Server von Zeit zu Zeit reinigen. Wenn das automatische Tool aus irgendeinem Grund keinen positiven Effekt hat, können Sie zumindest versuchen, die temporären Dateien manuell aus dem SDTemp-Verzeichnis zu löschen. Zumindest wird auch ein solch trivialer Schritt die Belastung nicht nur auf den Server selbst, sondern auch auf die Tochterterminals und auf das Netzwerk als Ganzes reduzieren.