شرح دقیق نحوه عملکرد wsus. استقرار و استفاده از سرور WSUS

20.07.2019 تلویزیون (تلویزیون هوشمند)

نصب به روز رسانی ها و وصله ها یک جزء امنیتی بسیار مهم است. برای همه متخصصان امنیت اطلاعات، نیاز اصلی نظارت، تجزیه و تحلیل و حذف آسیب پذیری های نرم افزار است. مایکروسافت فرصتی رایگان برای استفاده از سرویس به روز رسانی برای محصولات نرم افزاری خود در طول کل دوره پشتیبانی از محصول نرم افزاری فراهم می کند. به روز رسانی های لازم از طریق اینترنت برای همه کاربران محصولات نرم افزاری در دسترس است.

اعمال به روز رسانی در یک محیط شرکتی به کنترل های اضافی نیاز دارد. مایکروسافت پیشنهاد می کند از محصول رایگان قدرتمند Windows Server Update Services (WSUS) در یک محیط شرکتی استفاده کنید که به شما امکان می دهد در ترافیک اینترنت صرفه جویی کنید، به روز رسانی ها را برای سرورها و ایستگاه های کاری مدیریت کنید.

این مقاله تجربه نصب و نگهداری WSUS در یک محیط شرکتی را مورد بحث قرار می‌دهد که به مبتدیان امکان می‌دهد از تعدادی "تله" اجتناب کنند.

نصب WSUS

در سیستم عامل Windows Server 2008، نقش سرور Windows Server Update Services وجود دارد (شکل 1).

برای Windows Server 2003، سیستم مورد نیاز برای نصب WSUS 3.0 SP1 به شرح زیر است:

سیستم عامل: Windows Server 2003 SP1 و بالاتر.

نقش های سرور اضافی: IIS 6.0 و بالاتر

به روز رسانی های اضافی سیستم عامل: Microsoft .NET Framework 2.0، Microsoft Management Console 3.0.

برنامه های اضافی: Microsoft Report Viewer، SQL Server 2005 SP1 (WSUS قادر به نصب سرویس پایگاه داده داخلی ویندوز است).

علیرغم این واقعیت که این سرویس عملاً برای پردازنده و رم نیازی ندارد، به سهم عادلانه ای از فضای دیسک نیاز دارد. ترجیحاً 40 گیگابایت یا بیشتر. در نهایت، مقدار فضای دیسک مصرف شده به تعداد محصولاتی که باید به روز شوند و تعداد به روز رسانی های زیرساخت مورد نیاز بستگی دارد.

اگر در حین نصب سرور الزامات سیستم را برآورده نکند، یک پنجره هشدار ظاهر می شود که آنچه را که باید نصب شود توضیح می دهد (شکل 2).

راه اندازی سرور WSUS

برای عملکرد عادی سرور، باید تعدادی پارامتر را مشخص کنید که با استفاده از "Windows Server Update Services Configuration Wizard" انجام می شود.

در پنجره "انتخاب سرور بالادست"، باید مورد "همگام سازی با Microsoft Update" را انتخاب کنید (شکل 3).

هنگام اعمال یک سرور پراکسی در یک محیط شرکتی، در پنجره "تنظیمات سرور پروکسی"، باید آدرس IP، شماره پورت و تنظیمات احراز هویت را در سرور پروکسی مشخص کنید (شکل 4).

در پنجره "انتخاب زبان ها" باید مورد "دانلود به روز رسانی ها فقط در زبان های زیر" را انتخاب کنید، حتما "English" را انتخاب کنید. انتخاب زبان های دیگر باید بر اساس سیستم های نصب شده در شرکت انجام شود، معمولاً "روسی" نیز اضافه می شود (شکل 5). نیازی به انتخاب «دانلود به‌روزرسانی‌ها در همه زبان‌ها، از جمله زبان‌های جدید» نیست، زیرا با این کار تعداد به‌روزرسانی‌های ذخیره شده در فضای دیسک افزایش می‌یابد.

در پنجره "انتخاب محصولات" باید محصولات نصب شده در محیط شرکت را مشخص کنید. توجه! هرگز همه محصولات را نصب نکنید، زیرا این کار می تواند اندازه به روز رسانی های ذخیره شده را افزایش دهد و به روز رسانی ها استفاده نخواهند شد. لازم است فقط محصولاتی که در محیط شرکت مورد استفاده قرار می گیرند به طور روشمند و پیوسته انتخاب شوند (شکل 6).

در پنجره «انتخاب کلاس‌ها»، باید فقط کلاس‌هایی را مشخص کنید که نیاز به به‌روزرسانی دارند. از آنجایی که نشان دادن کلاس های اضافی اندازه به روز رسانی های ذخیره شده را به شدت افزایش می دهد (شکل 7).

در پنجره "تنظیم برنامه همگام سازی" باید زمان همگام سازی را انتخاب کنید (شکل 8). در WSUS، همگام‌سازی شامل دانلود به‌روزرسانی‌ها نمی‌شود. در این حالت، همگام سازی فقط اطلاعات را از سرور Microsoft Update به روز می کند.

پس از اولین همگام سازی، باید کنسول WSUS را باز کرده و گزینه ها را انتخاب کنید. در "تنظیمات" مورد "به روز رسانی فایل ها و زبان ها" را باز کنید (شکل 9)

در تب «به‌روزرسانی فایل‌ها» در پنجره «به‌روزرسانی فایل‌ها و زبان‌ها»، باید نحوه ذخیره‌سازی فایل‌های به‌روزرسانی را مشخص کنید. از آنجایی که می خواهیم حجم ترافیک اینترنت را کاهش دهیم، لازم است گزینه "Store update files locally on this server" و REQUIRED را انتخاب کنیم! موارد «دانلود فایل‌های به‌روزرسانی در سرور فقط پس از تأیید به‌روزرسانی» و «دانلود فایل‌های نصب سریع» (شکل 10) را انتخاب کنید. مورد «آپلود فایل‌های به‌روزرسانی در سرور فقط پس از تأیید به‌روزرسانی» ضروری است، زیرا به‌طور پیش‌فرض سرور تمام به‌روزرسانی‌هایی را که برای محصولات انتخاب‌شده ضروری می‌داند، دانلود می‌کند. با این حال، از آنجایی که با گذشت زمان به روز رسانی های زیادی در Service Pack جمع می شود، به احتمال زیاد به آنها نیازی نخواهد بود و فضای دیسک را اشغال خواهند کرد.

پس از انجام تمام تنظیمات، باید کامپیوترها را به سرویس WSUS اضافه کنید.

افزودن کامپیوتر به WSUS

اگر دامنه دارید، کافی است سرویس WSUS را در خط مشی گروه آن ثبت کنید و قوانین به روز رسانی رایانه ها را انتخاب کنید.

این کار به روش زیر انجام می شود " شروع - ابزارهای اداری - مدیریت خط مشی گروه". ما سیاستی را انتخاب می کنیم که در دامنه عمل می کند (Default Group Policy به طور پیش فرض). کلیک راست کرده و "Edit" را انتخاب کنید.

در پنجره «ویرایشگر مدیریت خط مشی گروه»، به « پیکربندی کامپیوتر - سیاست ها - قالب های اداری - اجزای ویندوز - به روز رسانی ویندوز". مورد را انتخاب کنید "محل سرویس به روز رسانی را در اینترانت مشخص کنید" (شکل 11)

در پنجره «Properties: Specify location of the update service on the intranet»، پارامتر «Enabled» را مشخص کنید و در خط «Specify the update service on the intranet to search for updates» خطی مانند این بنویسید: http:/ / [ آدرس IP یا نام DNS سرور به روز رسانی در شبکه]. آدرس را در پنجره "Specify the statistics server on the intranet" کپی کنید (شکل 12). در ویرایشگر خط مشی گروه، نکاتی در پنجره توضیح وجود دارد (شکل 12).

همچنین باید یک خط مشی به روز رسانی تعریف کنید. این کار از طریق آیتم «پیکربندی به‌روزرسانی‌های خودکار» (شکل 13) انجام می‌شود.

در پنجره "Properties: Automatic Updates Settings" گزینه "Enabled" و پارامترهای "Automatic Updates Settings"، "Scheduled install - day"، "Scheduled install - time" را مشخص کنید. در پنجره "توضیح" توضیحاتی در مورد تمام پارامترها برای سرورها وجود دارد و مطلوب است که پارامتر "2 - اطلاعیه های دانلود و نصب" را تنظیم کنید، که به مدیران اجازه می دهد زمان نصب به روز رسانی ها بر روی سرورها را انتخاب کنند (شکل 14).

اگر در زیرساخت مشاغلی وجود دارد که بخشی از دامنه نیستند (مثلاً مشاغل تلفن همراه)، اما سرویس به روز رسانی برای این مشاغل مورد نیاز است، می توان این سرویس را در "خط مشی امنیت محلی" مشخص کرد.

در خط فرمان، gpedit.msc را تایپ می کنیم و همان عملیاتی را انجام می دهیم که در بالا برای خط مشی گروه در دامنه توضیح داده شد.

پس از مدتی، کامپیوتر در پنجره ظاهر می شود " رایانه ها - همه رایانه ها - رایانه های اختصاص داده نشده» با «وضعیت: هر» (شکل 15).

مدیریت به روز رسانی

برای مشاهده و تأیید به‌روزرسانی‌های لازم، باید موارد فیلتر زیر را در «به‌روزرسانی‌ها - همه به‌روزرسانی‌ها» انتخاب کنید: «تأیید: تأیید نشده» و وضعیت: مورد نیاز» و روی «به‌روزرسانی» کلیک کنید (شکل 16). توجه! برای بررسی به‌روزرسانی‌های مورد نیاز، همیشه مطمئن شوید که تنظیمات فیلتر روی «تأیید شده: تأیید نشده» و وضعیت: مورد نیاز است، در غیر این صورت خطر دانلود به‌روزرسانی‌هایی را که به آن‌ها نیاز ندارید یا اصلاً دانلود نمی‌کنید، دارید. اگر فیلتر در تنظیمات "تأیید: تایید نشده" و وضعیت: مورد نیاز" یک فیلد خالی را نشان داد، پس تمام به روز رسانی های لازم برای رایانه ها قبلاً تأیید شده است و روی سرور است.

پس از تایید، طبق قوانین پیکربندی شده در خط مشی امنیتی، به روز رسانی ها پس از مدتی در رایانه ظاهر می شوند.

اغلب اوقات، نیاز به بررسی اجباری به‌روزرسانی‌ها در سرور به‌روزرسانی از رایانه وجود دارد. یک برنامه برای این وجود دارد. wuauclt.exe، که از طریق خط فرمان اجرا می شود. برای بررسی به روز رسانی، باید با کلید اجرا شود /تشخیص (wuauclt.exe /detectnow). برای ارسال گزارش وضعیت (اغلب هنگام اتصال به سرور به روز رسانی برای اولین بار ضروری است)، باید با کلید اجرا کنید /گزارش کن (wuauclt.exe /reportnow).

آقایان، با به روز رسانی های خود موفق باشید!

واسیلیف دنیس

نحوه نصب این سرویس شبکه را توضیح داد. این پست نحوه پیکربندی رایانه‌ها را برای به‌روزرسانی از سرورهای WSUS در دسترس شما شرح می‌دهد.

پیکربندی کامپیوترهای گروه کاری یا سرورهای مستقل

برای پیکربندی رایانه‌ها در این مورد، به ویرایشگر شیء Group Policy نیاز دارید. برای باز کردن آن، موارد زیر را انجام دهید:

1. منوی Start - Run را باز کنید. در خط "open" - "mmc" را تایپ کنید - سپس OK
2. در کنسول MMC، منوی File - Add or remove snap-in را باز کنید ...
3. snap-in "Group Policy Object Editor" را انتخاب کنید - انجام شد - OK
4. می خواهیم یک قانون برای به روز رسانی سیستم عامل کامپیوتر ایجاد کنیم. بنابراین، در سمت راست ویرایشگر در "Computer Configuration"، شاخه Policies - Administrative Templates - Windows Components - Windows Update را باز کنید.
5. در قسمت سمت راست پنجره ویرایشگر، قوانینی را مشاهده می کنید که رفتار رایانه ها را در مورد فرآیندهای به روز رسانی توضیح می دهد. قانون «پیکربندی به‌روزرسانی‌های خودکار» را انتخاب کنید.
6. در پنجره تنظیمات به روز رسانی خودکار، قانون را فعال کرده و تنظیمات را مشخص کنید. به طور پیش فرض، حالت راه اندازی شماره 3 انتخاب می شود - اعلان دانلود و نصب خودکار. در این صورت نصب تنها پس از تایید آپدیت انجام می شود. به روز رسانی های برنامه ریزی شده نیز می توانند نصب شوند. پس از انجام تنظیمات، روی دکمه های «اعمال» و «گزینه بعدی» کلیک کنید
7. پارامتر بعدی قانون "مشخص کردن مکان سرویس به روز رسانی مایکروسافت در اینترانت" خواهد بود، که در آن باید مکان سرویس به روز رسانی و همچنین سرور آمار (معمولا همان سرور) را مشخص کنید. روی OK کلیک کنید در اصل همین کافی است. اما می‌توانید فرآیند به‌روزرسانی را نیز تنظیم کنید. پس از خواندن نکات داخلی به قوانین، متوجه خواهید شد که به چه چیزی نیاز دارید.
8. بستن ضربه محکم و ناگهانی

همه ... قوانین بلافاصله اعمال می شود.

به طور کلی رایانه های دامنه را نیز می توان به این روش پیکربندی کرد. اما اگر مدیر شبکه قبلاً این تنظیمات را در سطح دامنه انجام داده باشد، قوانین فوق کار نمی کنند، زیرا توسط خط مشی های گروه دامنه لغو می شوند.

راه اندازی کامپیوترهای دامنه

برای پیکربندی رایانه های دامنه برای به روز رسانی از سرور WSUS شرکتی، باید یک سرپرست دامنه ویندوز باشید.

برای پیکربندی به کنسول مدیریت خط مشی گروه (GPMC) نیاز دارید.

در رایانه های دارای ویندوز 7، بهتر است Snap-in را با کیت مدیریت از راه دور RSAT نصب کنید (نسخه محلی سازی شده وجود دارد). پس از نصب کیت مدیریت از راه دور، فراموش نکنید که اجزای مدیریتی لازم را فعال کنید (کنترل پنل - برنامه ها و ویژگی ها - روشن یا خاموش کردن ویژگی های ویندوز)

شما باید موارد زیر را انجام دهید:
1. با استفاده از منوی Start - Run - GPMC.msc اجرا کنید

2. شاخه Domains - Domain_Name - Group Policy Objects را باز کنید و روی منوی "Create" کلیک راست کنید.
3. در قسمت "Name"، نام GPO جدید را مشخص کنید (بگذارید "WSUS Group Policy" باشد)، سپس OK
4. در پنجره سمت راست Snap-in، نام شیء خود را پیدا کرده و روی منوی «Edit» کلیک راست کنید. ویرایشگر مدیریت خط مشی گروه باز می شود.
5. در مرحله بعد، همان مراحلی را که در قسمت قبل توضیح داده شد، دنبال کنید.

بنابراین، Group Policy Object (GPO) ایجاد شده است، اما GPO ایجاد شده تنها یک بیانیه ساده است. برای اینکه دستورالعمل کار کند، باید این GPO را به کانتینر Windows AD مربوطه متصل کنید. این رایانه های دامنه هستند که در این ظرف هستند که این دستورالعمل ها را اجرا می کنند (یعنی به روز رسانی). این کانتینر می تواند کل دامنه، سایت یا واحد سازمانی باشد.
اینکه کدام ظرف را انتخاب کنید به شما بستگی دارد. اما معیارها عبارتند از:

-- اگر می خواهید همه رایانه های دامنه شما به روز شوند، GPO را به دامنه پیوند دهید
- اگر می خواهید فقط بخشی از رایانه ها را به روز کنید، به عنوان مثال، سرورهای فردی، یک OU در دامنه ایجاد کنید، سرورهای لازم را در آنجا قرار دهید و به این OU متصل شوید.
- اگر شبکه شما دارای چندین سایت در شهرهای مختلف است، به خوبی زیرشبکه های این سایت ها باید متعلق به سایت های جداگانه باشند. در این حالت، برای اینکه کانال های ارتباطی بین سایت ها بارگذاری نشود، منطقی است که سرور WSUS خود را در هر سایت نصب کنید و برای هر اشاره به آن یک GPO جداگانه ایجاد کنید. در آینده باید آنها را به سایت های مربوطه پیوند دهید (شکل زیر را ببینید)

مراحل زیر فرآیند پیوند دادن GPOهایی را که ایجاد کرده اید به کانتینرهای مناسب ویندوز AD توضیح می دهد.

فرض کنید تصمیم دارید همه رایانه های موجود در دامنه را به روز کنید.

1. سپس، در اسنپ-این "Group Policy Management" که قبلا باز شده بود، در قسمت سمت چپ پنجره، شاخه "Forest: Forest_Name - Domains - Domain_Name" را باز کنید.
2. روی نام دامنه خود کلیک راست کنید، منوی "Link an exist group policy object ..." را انتخاب کنید.
3. در پنجره «Group Policy Object Selection»، GPO مناسب را که قبلاً نام آن را «WSUS Group Policy» گذاشته بودیم، پیدا کنید و روی OK کلیک کنید.

فیلترهای WMI برای GPOها

به‌روزرسانی سیستم‌عامل‌های سرویس گیرنده و سرور با استفاده از خط‌مشی‌های گروه دامنه جداگانه، عمل خوبی است. در این مورد، من فرض می کنم:

- سیستم عامل سروربهتر است به عنوان بخشی از کارهای تعمیر و نگهداری برنامه ریزی شده به صورت دستی به روز رسانی شود (در این مورد، احتیاط کاملاً مناسب است).
- سیستم عامل مشتریبه طور خودکار به روز رسانی بهتر است. به روز رسانی دستی آنها با ناوگان بزرگ رایانه بسیار مشکل است و بعید است که کاربران این کار را انجام دهند (حتی اگر به آنها نشان داده شود که چگونه).

چه کاری باید انجام دهم؟

ابتدا، به عنوان مثال، در Snap-in GPMC.msc، GPOهای جداگانه ایجاد کنید

خط مشی گروه ServerOS WSUS
سیاست گروه ClientOS WSUS

و آنها را به ترتیب روی حالت دستی (اعلان دانلود و نصب خودکار) و به روز رسانی خودکار سیستم عامل قرار دهید.

در مرحله دوم، در همان اسنپ این، دو فیلتر WMI ایجاد کنید. این فیلترها هستند که تعیین می‌کنند کدام یک از GPOهای بالا هنگام به‌روزرسانی هر رایانه در شبکه شما عمل می‌کنند.

ثالثاً، فیلترهای WMI را به GPOهای مربوطه پیوند دهید، و هر دوی این GPOها می توانند مستقیماً به یک دامنه یا سایت (به دلخواه) پیوند داده شوند.

نحوه ایجاد فیلتر

در Snap-in GPMC که قبلاً باز شده است، به شاخه Forest - Domains - _Domain_Name_ - WMI Filters بروید. روی "ایجاد" کلیک راست کنید و یک فیلتر با نام ایجاد کنید سیستم عامل سرور و DC

در فضای root\CIMv2 یک درخواست به آن اضافه کنید

خط مشی گروه ServerOS WSUS"فقط با رایانه های دارای سیستم عامل سرور ویندوز (از جمله کنترل کننده های دامنه) کار کنید.

به طور مشابه، ما یک فیلتر با نام ایجاد می کنیم سیستم عامل مشتری

یک درخواست در root\CIMv2 به آن اضافه کنید

این فیلتر به یک GPO به نام " سیاست گروه ClientOS WSUS"فقط با کامپیوترهایی که دارای سیستم عامل ویندوز کلاینت هستند بدون در نظر گرفتن نسخه (Windows 2000 pro، Windows XP، Vista، Windows 7 و Windows 8) کار می کنند.

فیلترها آماده هستند.

همانطور که قبلاً نوشتیم، باید GPO را پیوند دهید خط مشی گروه ServerOS WSUSو سیاست گروه ClientOS WSUSبا فیلترهای مناسب به عنوان مثال، این کار را می توان به صورت زیر انجام داد: در شاخه "Group Policy Objects"، GPO مورد نظر را انتخاب کنید، سپس در سمت راست، "WMI Filter" فیلتر مورد نظر را از لیست کشویی انتخاب کنید.

بنابراین، اکنون رایانه های مشتری دامنه به طور خودکار به روز می شوند و سرورها محترمانه منتظر توجه شما خواهند بود.

این راه اندازی را کامل می کند.

چگونه نتیجه را بررسی کنیم؟

در نتیجه تمام اقدامات فوق، ما منتظر به روز رسانی آن قسمت از رایانه های موجود در دامنه هستیم که به نظر ما باید تحت پوشش خط مشی پیکربندی شده قرار گیرد.

ابتدا، می توانید در گزارش های مدیریت سرور WSUS به دنبال سوابق وضعیت مشتریان به روز رسانی خودکار باشید.

دوم، می‌توانید تأیید کنید که خط‌مشی پیکربندی‌شده روی مشتریان WSUS تأثیر دارد. کنترل پنل - Windows Update را باز کنید و مطمئن شوید که پیام زیر در قسمت سمت راست پنجره Update Center ظاهر می شود: "Controlled by the system administrator" (برای Windows 7/Vista/2008/2008R2) اگر اینطور نیست ، سیاست کار نمی کند.

اما این بدان معنا نیست که شما در جایی اشتباه کرده اید. ممکن است رایانه هنوز تنظیمات خود را از کنترل کننده دامنه به روز نکرده باشد.

این به این دلیل است که سیاست‌های گروهی در رایانه‌های دامنه بلافاصله اعمال نمی‌شوند (به‌روزرسانی GP در شبکه محلی به طور پیش‌فرض در فاصله زمانی 15 دقیقه رخ می‌دهد، و تکرار بین‌سایتی حتی کمتر اتفاق می‌افتد)
بنابراین، می‌توانید به سادگی منتظر بمانید یا سیاست‌های گروه را در رایانه‌ها با دستور به‌روزرسانی کنید

سرویس‌های مورد نیاز در رایانه سرویس گیرنده WSUS اجرا نمی‌شوند (مانند Windows Update و Group Policy Client و غیره)

GPO را برای رایانه های جداگانه انجام نداد. در این مورد، شما باید با هر یک به طور جداگانه برخورد کنید. من توصیه می‌کنم یک اقدام خط‌مشی گروهی را برای رایانه‌های مشکل‌دار با استفاده از همان Snap-in GPMC.msc شبیه‌سازی کنید. این اطمینان حاصل می کند که GPO ایجاد شده در رایانه تجزیه و تحلیل شده اعمال شده است. متأسفانه، عیب یابی Group Policy Windows AD خارج از محدوده این پست است.

و مهمتر از همه... گزارش مشتری WSUS اینجاست --> c:\Windows\WindowsUpdate.log

پنجره ها سرور به روز رسانی خدمات (WSUS) یک سرویس به‌روزرسانی است که به مدیران اجازه می‌دهد تا توزیع وصله‌ها و به‌روزرسانی‌های امنیتی محصولات مایکروسافت (سیستم‌های عامل Widows، Office، SQL Server، Exchange و غیره) را بر روی رایانه‌ها و سرورها در یک شبکه شرکتی به‌طور متمرکز مدیریت کنند. بیایید به طور خلاصه نحوه عملکرد WSUS را به یاد بیاوریم: سرور WSUS قرار است با سرور به روز رسانی مایکروسافت در اینترنت همگام شود و به روز رسانی های جدید را برای محصولات انتخاب شده دانلود کند. مدیر WSUS انتخاب می‌کند که کدام به‌روزرسانی‌ها در ایستگاه‌های کاری و سرورهای شرکت نصب شوند. مشتریان WSUS طبق خط مشی های پیکربندی شده، به روز رسانی های مورد نیاز را از سرور به روز رسانی شرکتی دانلود و نصب می کنند. استفاده از سرور به روز رسانی WSUS به شما امکان می دهد در ترافیک اینترنت صرفه جویی کنید و نصب به روز رسانی ها را در شرکت خود با انعطاف بیشتری مدیریت کنید.

مایکروسافت ابزارهای دیگری مانند SCCM 2007/2012 را برای نصب به روز رسانی برای محصولات خود ارائه می دهد. با این حال، بر خلاف بسیاری از محصولات دیگر، سرور WSUS کاملا رایگان است (در واقع سرویس به روز رسانی در SCCM - SUP Software Update Point نیز بر اساس WSUS است).

قبل از انتشار Windows Server 2012، آخرین نسخه به روز Microsoft Update Server پنجره هاسروربه روز رسانیخدمات3.0SP2 - WSUS 3.2 که از سیستم عامل های مدرن پشتیبانی نمی کند (). همزمان با عرضه پلتفرم سرور جدید، مایکروسافت نسخه جدیدی را ارائه کرد WSUS 6.0 (که عجیب است، زیرا منطقاً این نسخه باید WSUS 4.0 نامیده شود ...).

اساساً هیچ چیز در نسخه جدید WSUS در Windows Server 2012R2 / 2016 تغییر نکرده است. توجه داشته باشید که اکنون بسته نصب WSUS را نمی توان به طور جداگانه از وب سایت مایکروسافت دانلود کرد، این بسته در توزیع سرور ویندوز ادغام شده و به عنوان یک نقش سرور جداگانه نصب می شود. علاوه بر این، WSUS 6.0 توانایی مدیریت نصب به روز رسانی با استفاده از PowerShell را معرفی کرد.

در این مقاله به مسائل اساسی نصب و پیکربندی سرور WSUS بر اساس Windows Server 2012 R2 / Windows Server 2016 می پردازیم.

نصب نقش WSUS در Windows Server 2012 R2 / 2016

در ویندوز سرور 2008، سرویس WSUS به یک نقش مجزا تقسیم شد که می‌توان آن را از طریق کنسول مدیریت سرور نصب کرد. در ویندوز سرور 2012 / R2، این نقطه تغییر نکرده است. کنسول را باز کنید و نقش را علامت بزنید پنجره هاسروربه روز رسانیخدمات(سیستم به طور خودکار اجزای مورد نیاز وب سرور IIS را انتخاب و پیشنهاد می کند).

Windows Server 2012 R2 از انواع زیر پایگاه داده های SQL برای سرور WSUS پشتیبانی می کند:

Microsoft SQL Server 2008 R2 SP1، 2012، 2014، 2016 در نسخه های Enterprise / Standard / Express.
Microsoft SQL Server 2012 Enterprise / Standard / Express Edition.

بر این اساس، می توانید از پایگاه داده WID داخلی ویندوز (پایگاه داده داخلی ویندوز) استفاده کنید که رایگان است و نیازی به مجوز اضافی ندارد. یا می توانید از پایگاه داده SQL Server اختصاصی محلی یا راه دور (در سرور دیگری) برای ذخیره داده های WSUS استفاده کنید.

پایه WID پیش فرض نامیده می شود SUSDBام دی افو در دایرکتوری ذخیره می شود ویندیر%\wid\داده ها\. این پایگاه داده فقط از احراز هویت ویندوز (نه SQL) پشتیبانی می کند. نمونه پایگاه داده داخلی (WID) برای WSUS نامگذاری شده است سرور_نام\ مایکروسافت##WID. پایگاه داده WSUS تنظیمات سرور به روز رسانی، ابرداده به روز رسانی و اطلاعات مشتری را برای سرور WSUS ذخیره می کند.

پایگاه داده داخلی ویندوز توصیه می شود اگر:

سازمان برنامه ای برای خرید مجوز برای SQL Server ندارد.
برنامه ریزی برای استفاده از تعادل بار در WSUS (NLB WSUS) وجود ندارد.
اگر قصد دارید یک سرور WSUS کودک را مستقر کنید (به عنوان مثال، در دفاتر شعبه). در این مورد، استفاده از پایگاه داده داخلی WSUS در سرورهای ثانویه توصیه می شود.

پایگاه داده WID را می توان از طریق SQL Server Management Studio (SSMS) با تعیین \\.\pipe\MICROSOFT##WID\tsql\query در رشته اتصال مدیریت کرد.

توجه داشته باشید که در نسخه های رایگان SQL Server 2008/2012 Express، حداکثر حجم پایگاه داده به 10 گیگابایت محدود شده است. به احتمال زیاد این محدودیت محقق نخواهد شد (مثلاً حجم پایگاه داده WSUS برای 2500 مشتری حدود 3 گیگابایت است). محدودیت پایگاه داده داخلی ویندوز 524 گیگابایت است.

در مورد نصب نقش WSUS و سرور پایگاه داده بر روی سرورهای مختلف، تعدادی محدودیت وجود دارد:

سرور SQL با پایگاه داده WSUS نمی تواند یک کنترل کننده دامنه باشد.
سرور WSUS همچنین نمی تواند یک سرور پایانه با نقش خدمات دسکتاپ از راه دور باشد.

اگر قصد دارید از یک پایگاه داده تعبیه شده استفاده کنید (این یک گزینه بسیار توصیه شده و قابل اجرا حتی برای زیرساخت های بزرگ است)، گزینه را علامت بزنید پایگاه داده.

سپس باید دایرکتوری را مشخص کنید که فایل های به روز رسانی در آن ذخیره می شوند (توصیه می شود که دیسک انتخاب شده حداقل 10 گیگابایت فضای خالی داشته باشد).

اندازه پایگاه داده WSUS بسیار به تعداد محصولات و سیستم عامل ویندوزی که قصد ارتقاء آن را دارید بستگی دارد. در یک سازمان بزرگ، فایل های به روز رسانی در سرور WSUS می توانند صدها گیگابایت حجم داشته باشند. به عنوان مثال، فهرست به‌روزرسانی WSUS من حدود 400 گیگابایت طول می‌کشد (به‌روزرسانی‌های Windows 7، 8.1، 10، Windows Server 2008 R2، 2012 / R2 / 2016، Exchange 2013، Office 2010 و 2016، SQL Server 2008/2016/2008/2016 ذخیره می‌شوند) . این را هنگام برنامه ریزی برای قرار دادن فایل های WSUS خود در نظر داشته باشید.

اگر قبلاً استفاده از یک SQL DB اختصاصی جداگانه را انتخاب کرده اید، باید نام سرور DBMS، نمونه DB را مشخص کرده و اتصال را آزمایش کنید.

همچنین می توانید با استفاده از دستور PowerShell زیر یک سرور WSUS با پایگاه داده داخلی نصب کنید:

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services-IncludeManagementTools

راه اندازی اولیه سرور WSUS Update در Windows Server 2012 R2 / 2016

اولین باری که کنسول WSUS را راه اندازی می کنید، جادوگر پیکربندی سرور به روز رسانی به طور خودکار شروع به کار می کند. بیایید مراحل اولیه پیکربندی سرور WSUS را با استفاده از ویزارد طی کنیم.

مشخص کنید که آیا سرور WSUS به‌روزرسانی‌ها را مستقیماً از سایت Microsoft Update دریافت می‌کند یا باید آن را از یک سرور WSUS بالادست دانلود کند (معمولاً این گزینه در شبکه‌های بزرگ برای پیکربندی سرور WSUS از یک بخش بزرگ منطقه‌ای استفاده می‌شود که به‌روزرسانی‌ها را از WSUS دریافت می‌کند. دفتر مرکزی، که به طور قابل توجهی بار کانال های ارتباطی بین دفتر مرکزی و شعبه را کاهش می دهد).

اگر سرور WSUS شما باید به‌روزرسانی‌ها را از سرورهای Windows Update دانلود کند و از طریق یک سرور پراکسی به اینترنت دسترسی دارید، باید آدرس سرور پراکسی، پورت و ورود / رمز عبور را برای مجوز روی آن مشخص کنید.

سپس باید زبان‌هایی را که WSUS به‌روزرسانی‌ها را برای آن‌ها دانلود می‌کند، انتخاب کنید. نشان خواهیم داد انگلیسیو روسی(لیست زبان ها را می توان بعداً از کنسول WSUS تغییر داد).

سپس فهرستی از محصولاتی را که WSUS باید به‌روزرسانی‌ها را برای آنها دانلود کند، مشخص می‌کند. شما باید تمام محصولات مایکروسافت را که در شبکه شرکتی شما استفاده می شود انتخاب کنید. به خاطر داشته باشید که همه به روز رسانی ها فضای دیسک اضافی را اشغال می کنند، بنابراین نباید محصولات اضافی را بررسی کنید. اگر مطمئن هستید که کامپیوتر ویندوز XP یا ویندوز 7 در شبکه شما باقی نمانده است، این گزینه ها را انتخاب نکنید. بنابراین، فضای دیسک قابل توجهی را در سرور WSUS ذخیره خواهید کرد.

در صفحه طبقه بندیصفحه، باید انواع به روز رسانی هایی که از طریق WSUS توزیع می شوند را مشخص کنید. توصیه می‌شود موارد زیر را مشخص کنید: به‌روزرسانی‌های حیاتی، به‌روزرسانی‌های تعریف، بسته‌های امنیتی، بسته‌های خدمات، مجموعه‌های به‌روزرسانی، به‌روزرسانی‌ها.

به روز رسانی نسخه ها (بیلد) ویندوز 10 (1709، 1803، 1809، و غیره) در کنسول WSUS در کلاس Upgrades گنجانده شده است.

در مرحله بعد، باید برنامه همگام سازی به روز رسانی را مشخص کنید - توصیه می شود از همگام سازی روزانه خودکار سرور WSUS با سرورهای Microsoft Update استفاده کنید. منطقی است که در شب همگام سازی کنید تا کانال دسترسی به اینترنت در ساعات کاری بارگیری نشود.

همگام سازی اولیه سرور WSUS با سرور به روز رسانی بالادست ممکن است چندین روز طول بکشد، بسته به تعداد محصولاتی که قبلاً انتخاب کرده اید و سرعت اتصال به اینترنت شما.

پس از اتمام جادوگر، کنسول WSUS شروع به کار می کند.

به منظور بهبود عملکرد سرور WSUS در سرور ویندوز، توصیه می شود پوشه های زیر را از محدوده اسکن آنتی ویروس حذف کنید:

\WSUS\WSUSCcontent;
%windir%\wid\data;
\SoftwareDistribution\دانلود.

مشتریان اکنون می توانند با اتصال به سرور WSUS در پورت 8530 به روز رسانی ها را دریافت کنند (Windows Server 2003 و 2008 به طور پیش فرض از پورت 80 استفاده می کنند). با تعداد زیادی رایانه (بیش از 1500)، عملکرد IIS WsusPoll pool که به‌روزرسانی‌های مشتری را توزیع می‌کند، می‌تواند مطابق با تنظیم شود.

برای اینکه بتوانید گزارش‌های به‌روزرسانی‌های نصب‌شده را روی سرور WSUS مشاهده کنید، باید مؤلفه‌های اضافی Microsoft Report Viewer 2008 SP1 Redistributable (یا بالاتر) را نصب کنید، که می‌توانید به‌صورت رایگان از وب‌سایت مایکروسافت دانلود کنید.

در مقالات دیگر، به پیکربندی بیشتر سرور WSUS در Windows Server 2012 R2 / 2016 و ویژگی ها و ویژگی ها خواهیم پرداخت.