Windows Server Update Services – Wprowadzenie

Windows Server Update Services (w skrócie WSUS) to lokalne repozytorium dla naszych aktualizacji oraz centrum kontroli i monitoringu. Jest dostępny w serwerowych wersjach systemów Microsoftu – Windows Server. Specjalizuje się w pozyskiwaniu aktualizacji z oficjalnych serwerów Windows Update, a następnie dostarczaniu ich do stacji roboczych w sieci. Administrator z poziomu konsoli centralnego zarządzania decyduje, które poprawki i gdzie mają zostać zainstalowane. Może je odrzuć w przypadku wadliwych wydań, albo opóźnić implementację, aby przetestować je najpierw w środowisku testowym. Wszystkie operacje w lokalnym repozytorium są rejestrowane. Dzięki temu jesteśmy w stanie generować raporty i wydobywać z nich cenne informacje na temat statusu aktualizacji zainstalowanych w naszych systemach operacyjnych.

WSUS pełni rolę lokalnego magazynu. Stanowiska odpowiednio skonfigurowane pobierają pakiety bezpośrednio z naszego serwera nie obciążając w ten sposób łącza szerokopasmowego. Poza tym są dostępne jeszcze inne konfiguracje pracy. Może pełnić rolę serwera nadrzędnego, w którym podstawowy serwer serwuje zawartość innym serwerom WSUS, czy serwera alternatywnego jako drugi zapasowy na wypadek awarii pierwszego. Istnieje również tak zwany tryb proxy. Oznacza on, że w tym trybie konfiguracji WSUS nie przechowuje pakietów bezpośrednio na dyskach lokalnych, a jest tylko pośrednikiem w ich dystrybucji. Pobierane są bezpośrednio z serwerów Microsoftu. Troszeczkę mija to się z przeznaczeniem tej usługi, ale taka możliwość istnieje.

Jak działa WSUS?

WSUS w pierwszej kolejności pobiera informacje na temat dostępnych aktualizacji do poszczególnych produktów z oficjalnych repozytoriów Microsoftu. Wyniki zwracany jest w konsoli centralnego zarządzania. Administrator musi je najpierw zaakceptować. Kiedy tak się stanie WSUS rozpoczyna pobieranie i zapis na dysku lokalnym. Czas operacji zależy od prędkości naszego łącza szerokopasmowego. Dystrybucja paczek rozpocznie się od momentu kiedy wszystkie będą dostępne lokalnie.

Każde stanowisko w sieci z systemem Windows musi być odpowiednio skonfigurowane, a dokładnie jego usługa Windows Update. Robi się to za pomocą polityk zasad grupy. Można to zrobić albo lokalnie lub za pomocą domeny Active Directory. Jak to zrobić opiszę w dalszych częściach tego poradnika. W konfiguracji definiujemy adres naszego serwera WSUS. Usługa Windows Update od tego momentu będzie łączyć się z naszym lokalnym serwerem. Przy pierwszym połączeniu zgłasza swój status informując serwer o produktach jakie są zainstalowane. I pamiętajmy, że WSUS nie tylko aktualizuje sam system operacyjny Windows, ale i również inne produkty należące do Microsoftu takie jak Microsoft Office czy SQL Server. Po zameldowaniu klienta, na serwerze generowana jest odpowiedź zwrotna, w której zamieszczane są brakujące i dostępne poprawki. Gdy tylko agent Windows Update ją dostanie może zacząć pobierać i instalować poprawki.

Tak w dużym uproszczeniu można opisać zasadę działania usługi Windows Server Update Services. Od strony administracyjnej poznasz ją w dalszych częściach tego poradnika. Zanim jednak zaczniesz ją instalować poznaj jej wymagania i warunki wdrożenia. Być może sens implementacji serwera WSUS w twoją infrastrukturę jest mały i kosztowny.

Wymagania

Tradycyjnie, jak wiele tego typu rozwiązań, sens jego wdrożenia jest wtedy kiedy zarządzamy pokaźną liczbą stanowisk. WSUS ma stanowić narzędzie administracyjne, ułatwiające kontrolę aktualizacji na wielu komputerach jednocześnie. Pod warunkiem, że są to systemy Windows. Zatem inne platformy nie wchodzą w grę. Lokalne repozytorium to duża oszczędność łącza internetowego. WSUS może pobierać aktualizacje na przykład w nocy, przechowywać je, a w ciągu dnia wdrażać na stacjach.

Jednym z często poruszanych tematów, który stanowi jeden z warunków wdrożenia, jest domena Active Directory. Jak przy większości usług serwerowych Microsoftu, również przy WSUS zalecana jest jej obecność. Ale czy koniecznie? Otóż nie. Za pobieranie aktualizacji odpowiada Windows Update Agent. Działa niezależnie i zawsze tak samo czy to w domenie czy bez niej. Przekierowanie na WSUS można przeprowadzić za pomocą lokalnych zasad grup. Odpowiedni wpis w konfiguracji wystarczy, aby agent zaczął pobierać aktualizacje z lokalnego repozytorium. Jak się zapewne domyślacie, wadą takiego podejścia jest czasochłonna praca, ponieważ na każdym stanowisku taką akcję trzeba przeprowadzić osobno.

Wiemy już, że konfiguracja agenta odbywa się za pomocą konsoli lokalnych zasad grup. Wiąże się to z kolejnym wymaganiem jaki trzeba spełnić. Otóż zakres obsługiwanych systemów operacyjnych Windows zaczyna się dopiero od edycji Professional. Wszystkie wersje domowe, czyli Home lub niższe nie będą w stanie współpracować z usługą WSUS. Wspominam o tym, ponieważ już nie raz spotkałem się z sytuacją, gdzie na służbowych komputera w ramach oszczędności były kupowane domowe edycje systemów, a na koniec okazywało się, że przy pokaźnej ich liczbie nie można było wprowadzić żadnego do lokalnego repozytorium aktualizacji.

Tylko środowiska powyżej 25 stacji roboczych

Liczba 25 to ogólna liczba stanowisk obecnych w jednym oddziale zakładu i w każdym wypadku może być inna. Wpływa na nią przede wszystkim:

  • typ infrastruktury – czy posiadamy słabe lub szybkie łącze internetowe oraz ogólna struktura sieci,
  • pełnione funkcje i kontrola nad komputerami – Czy istnieją komputery, których postój może być wrażliwy w funkcjonowaniu przedsiębiorstwa. Czasami w takich wypadkach nie podłącza się wewnętrznego repozytorium, a aktualizuje się je ręcznie. Może być również tak, że komputery są obsługiwane przez zewnętrzne firmy. Wtedy od razu skreślamy ich z listy.
  • Bezpieczeństwo – czy jest ono dla nas istotne. Na przykład jeśli sieć nie jest dostępna na zewnątrz i kontrolujemy napływ danych lub odwrotnie.

Osobiście wdrażałem usługę WSUS w dwóch przypadkach. W małym i średnim przedsiębiorstwie. Doradzałem ją jeszcze innym administratorom. Sam przekonałem się, że bez dokładniej analizy nie jesteśmy w stanie ocenić czy warto się pchać w to rozwiązanie. W moim przypadku okazało się, że w małej firmie sens jest znacznie większy niż w niektórych środowiskach korporacyjnych. Gdy przebadamy wszystkie urządzenia za chwilę się okaże, że 50% z nich obsługiwane są systemowo przez firmy zewnętrzne, a pozostałe nie mają w ogóle dostępu do sieci. Zostaje wtedy tylko kilka komputerów pracowników biurowych, gdzie chwilowa konserwacja nie wpływa znacząco na pracę innych. Trzeba na to zwracać uwagę. Zaoszczędzi tam to wiele pracy.