© 2008, Microsoft Corporation
Česká republika
Aktualizace a zabezpečení systémů Windows
pomocí služby Microsoft Windows Server
Update Services 3.0
Autoři:
František Hůlka, duben 2006 (popis služby WSUS 2.0)
Jan Krontorád, červen 2008, (úprava textu - popis služby WSUS 3.0)
Strana 2 Windows Server Update Services (WSUS) 3.0
Aktualizace a zabezpečení systémů Windows
pomocí služby Microsoft Windows Server
Update Services V současném světě počítačových sítí, zejména v globálním prostředí sítě Internet, je
jednou z nejdůležitějších činností běžné praxe správců počítačových sítí péče o
spolehlivost provozu a zabezpečení všech provozovaných systémů (serverů i
klientských stanic). Neuvažujeme-li v tuto chvíli základní zabezpečení celé sítě
například pomocí tzv. firewallu, rozumíme zajištěním spolehlivého provozu a
bezpečnosti serverů i stanic zejména instalaci a provoz kvalitního antivirového
softwaru, pravidelnou instalaci bezpečnostních oprav a aktualizací vlastních
operačních systémů.
Pro zjednodušení a usnadnění instalace bezpečnostních oprav a ostatních
aktualizací přináší společnost Microsoft všem správcům počítačových sítí bezplatně
novou verzi služby Windows Update, která je v současnosti dostupná pod názvem
Microsoft Windows Server Update Services (WSUS).
Microsoft Windows Server Update Services (WSUS) je službou, která významným
způsobem zvyšuje bezpečnost a spolehlivost provozu počítačové sítě se servery a
klientskými stanicemi používajícími operační systémy Microsoft Windows.
Zavedením služby WSUS v prostředí školní počítačové sítě získává správce úplné
řešení pro správu aktualizací v rámci lokální sítě, služba správcům počítačových sítí
přináší jednoduchou a přehlednou formou úplnou kontrolu stahování, testování a
nasazení aktualizací a oprav operačních systému společnosti Microsoft.
Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní
konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy
instalací aktualizací v lokální počítačové síti.
Strana 3 Windows Server Update Services (WSUS) 3.0
Obsah: Microsoft Windows Server Update Services .......................................................................... 4
Seznámení se službou Microsoft Windows Server Update Services (WSUS) ....................... 5
Příprava instalace služby WSUS, instalace ........................................................................... 6
Instalace webové služby (IIS 6.0) na serveru Windows Server 2003 ................................. 7
Instalace služby Microsoft Windows Server Update Services (WSUS) .............................. 9
Průvodce počátečního nastavení WSUS 3.0 ........................................................................14
Konzola pro správu, konfigurace .......................................................................................19
Konfigurace služby ...........................................................................................................22
Konfigurace klientů ...........................................................................................................27
Běžná správa služby WSUS .................................................................................................30
Výchozí pohled do konzole ...............................................................................................30
Panel Aktualizace .............................................................................................................31
Panel Počítače..................................................................................................................33
Panel Synchronizace ........................................................................................................34
Panel Sestavy ...................................................................................................................34
Shrnutí .................................................................................................................................37
Strana 4 Windows Server Update Services (WSUS) 3.0
Microsoft Windows Server Update Services Služba Microsoft Windows Server Update Services (WSUS, aktuálně verze 3.0 SP1) je
službou, která významným způsobem zvyšuje bezpečnost a spolehlivost provozu
počítačové sítě se servery a klientskými stanicemi používajícími operační systémy a
ostatní produkty Microsoft.
Služba WSUS poskytuje úplné řešení pro správu aktualizací v rámci lokální sítě,
správcům počítačových sítí přináší jednoduchou a přehlednou formou úplnou
kontrolu stahování, testování a nasazení aktualizací a oprav operačních systému
společnosti Microsoft (společnost Microsoft vydává aktualizace a opravy svých
produktů pravidelně každé 2. úterý v měsíci, výjimečně v případě mimořádně
důležitých aktualizací zabezpečení i v mimořádných termínech).
Tento dokument seznamuje s podrobnostmi služby WSUS, instalací, základní
konfigurací, konfigurací klientských stanic a s potřebnými kroky běžné rutinní správy
instalací aktualizací v lokální počítačové síti:
- seznámení se službou Microsoft Windows Server Update Services (WSUS)
- příprava instalace služby WSUS
- instalace služby WSUS
- základní konfigurace služby WSUS
- konfigurace klientských počítačů pro aktualizace lokální službou WSUS
- rutinní kroky při používání služby WSUS
Strana 5 Windows Server Update Services (WSUS) 3.0
Seznámení se službou Microsoft Windows
Server Update Services (WSUS) Služba Microsoft Windows Server Update Services (WSUS) výrazně zjednodušuje a
sjednocuje proces instalace aktualizací na libovolném počtu serverů a klientských
operačních systémů v lokální počítačové síti.
Služba WSUS vytvoří v lokální síti pro všechny své klienty (servery i stanice) místní
aktualizační server, který pro všechny konfigurované klienty v podstatě nahrazuje
server www.windowsupdate.com společnosti Microsoft. Toto řešení přináší několik
základních výhod procesu aktualizace klientů:
jednoduchou možnost společné konfigurace instalace aktualizací na libovolném
počtu systémů Windows
přehled o instalovaných aktualizacích na jednotlivých stanicích (serverech)
možnost výrazné úspory přenosové kapacity připojení LAN do sítě Internet
(schválené aktualizace ze serveru Windows Update společnosti Microsoft jsou
stahovány pouze 1x pro potřebu všech klientů služby WSUS)
Na zvoleném lokálním serveru je prostřednictvím webové služby (IIS 6.0) provozován
lokální server WindowsUpdate, který se dle konfigurace stará o zjišťování dostupných
aktualizací (s možností výběru aktualizací pouze pro určité operační systémy a jejich
jazykové varianty) a případné automatické stahování zvolených aktualizací do
vybraného lokálního úložiště.
Současná služba „Microsoft Update“ společnosti Microsoft (vyšší verze služby
Windows Update, která slučuje zdroj aktualizací nejen pro operační systémy, ale i pro
další produkty do jednoho aktualizačního centra) je i služba WSUS schopna stahovat
a distribuovat na klientské stanice aktualizace dalších produktů - např. pro Microsoft
Office, Windows Defender, Microsoft Exchange, SQL Server a další.
Základní princip a výhody fungování služby WSUS v lokální počítačové síti vysvětluje
obrázek:
klienti klienti
server Microsoft Update
aktualizace klientů
v lokální síti
bez služby WSUS
aktualizace klientů
v lokální síti
se službou WSUS
lokální
server WSUS (Windows Server 2003)
- zatížení linky +
stažení
aktualizací
pouze 1x
Strana 6 Windows Server Update Services (WSUS) 3.0
Příprava instalace služby WSUS, instalace Služba WSUS 3.0 může být provozována na serverových operačních systémech
Windows Server 2003 a novějších.
Služba WSUS 3.0 lze nainstalovat na následující operační systémy, které musejí
splňovat uvedené požadavky:
- operační systém Windows Server 2003 SP1
o Webová služba (Internetová informační služba) IIS 6.0 – součást
operačního systému
(základní popis instalace je uveden dále v textu)
o Služba Background Intelligent Transfer Service (BITS) 2.0
služba BITS je inteligentní služba pro stahování (přenos) souborů
v prostředí internetu, tato služba využívá pouze nevyužitou kapacitu
přenosové linky (připojení k internetu), stahování aktualizačních
souborů díky tomu nezpomaluje jinou činnost a přenos souborů. Služba
zároveň podporuje pokračování přenosu souborů po přerušení
stahování.
(službu lze stáhnout a nainstalovat z webu Windows Update
http://go.microsoft.com/fwlink/?LinkID=47251)
o Microsoft .NET Framework 2.0
(lze stáhnout a nainstalovat z webu Windows update
http://go.microsoft.com/fwlink/?LinkID=68935)
o Microsoft Report Viewer Redistributable 2005
slouží k práci se zprávami (sestavami), generovanými službou WSUS.
(lze stáhnout a nainstalovat z webu Windows Update
http://go.microsoft.com/fwlink/?LinkID=70410)
o Microsoft Management Console 3.0
služba WSUS je spravovaná z doplňku (plug-in) MMC konzole 3.0.
(je součástí balíku Service Pack 2 pro Windows Server 2003. Samostatně
lze stáhnout a nainstalovat z webu Windows Update
http://go.microsoft.com/fwlink/?LinkID=70412)
- operační systém Windows Server 2008
o webová služba IIS 7.0 s povolenými komponentami:
Windows autentizace
ASP.NET
6.0 Management Compatibility
IIS Metabase Compatibility
o Microsoft Report Viewer Redistributable 2005
(http://go.microsoft.com/fwlink/?LinkID=70410)
Pro úspěšnou instalaci je potřeba mít systémový diskový oddíl, a oddíl, kam se
instaluje služba WSUS, formátovaný souborovým systémem NTFS: Na systémovém
oddíle je doporučeno minimálně 1GB volného prostoru a minimálně 20GB volného
prostoru je doporučeno na diskovém oddíle, kde je umístěno úložiště služby WSUS.
Strana 7 Windows Server Update Services (WSUS) 3.0
2GB volného diskového prostoru jsou doporučeny pro oddíl, kam instalátor WSUS
umístí doplňkovou službu Windows® Internal Database.
Jako datové úložiště doporučujeme použít diskový oddíl s volným místem o velikosti
minimálně 30GB (NE systémový oddíl), formátovaný souborovým systémem NTFS.
Pro použití služby WSUS 3.0 v síti do 500 počítačů je doporučeno nainstalovat tuto
službu na server s procesorem alespoň 1GHz a s operační pamětí alespoň 1GB.
Instalace webové služby (IIS 6.0) na serveru Windows
Server 2003
Pokud není na serveru určeném pro službu WSUS 3.0 instalována a provozovaná
webová služba IIS, je potřeba ji nainstalovat pomocí volby z Nabídky Start:
Start -> Nastavení -> Ovládací panely -> Přidat nebo odebrat programy
V zobrazeném dialogovém okně zvolíme v levé části ikonu Přidat nebo odebrat
součásti systému. V následujícím dialogovém okně zvolíme Aplikační server a
stiskneme tlačítko Podrobnosti:
V dalším dialogu je nutno zvolit k instalaci položku Služba IIS (Internet Information
Services) a potvrdit tlačítkem OK.
Strana 8 Windows Server Update Services (WSUS) 3.0
Po výběru požadovaných součástí systému dojde k jejich instalaci: Je
pravděpodobné, že budete požádáni o vložení instalačního média operačního
systému (Windows Server 2003), odkud bude třeba zkopírovat soubory instalované
služby IIS.
Strana 9 Windows Server Update Services (WSUS) 3.0
Podrobnější popis instalace webové služby IIS naleznete například v Nápovědě a
odborné pomoci v systému Windows Server 2003
Po dokončení instalace webové služby IIS lze přistoupit k vlastní instalaci služby WSUS.
Instalace služby Microsoft Windows Server Update
Services (WSUS)
Instalační balíček služby WSUS je společností Microsoft distribuován formou
spustitelného souboru WSUSSetup_30SP1_x86.exe. Instalační balíček služby WSUS 3.0
je možné stáhnout z webového serveru Microsoft - http://technet.microsoft.com/cs-
cz/wsus. Tamtéž je i instalační balíček pro 64-bitové operační systémy.
Instalační balíček je distribuován ve formě jediného spustitelného souboru
WSUSSetup_30SP1_x86.exe o velikosti cca 80MB.
Vlastní instalace je provedena pomocí průvodce, který Vás provede základními
volbami instalace služby:
Na následující stránce průvodce můžete zvolit, zda instalovat službu WSUS 3.0, nebo
pouze konzolu pro správu služby WSUS. Konzolu správy služby WSUS můžete
nainstalovat na svojí pracovní stanici a spravovat tak službu vzdáleně.
Strana 10 Windows Server Update Services (WSUS) 3.0
Vyberte možnost Úplná instalace na serveru včetně konzoly pro správu a pokračujte
dalším krokem instalace. Tím je licenční smlouva k použití produktu WSUS 3.0.
Pokud s licenční smlouvou souhlasíte, potvrďte ji a pokračujte dalším krokem
instalace.
Strana 11 Windows Server Update Services (WSUS) 3.0
V nastavení služby WSUS lze nyní (případně později v administrátorské konzole)
ovlivnit zásadní chování služby WSUS 3.0. Ve výchozím nastavení stahuje služba
z webu Microsoft Update balíčky s aktualizacemi a ukládá je na místní disk. Odtud
jsou dále distribuovány klientům v interní síti. Pokud nemáte možnost (nebo nechcete
ukládat aktualizační balíčky místně), slouží služba WSUS jen jako správce aktualizací
klientů a pouze rozhoduje, které aktualizace si který klient může stáhnout a
nainstalovat.
Pokud neukládáte aktualizace místně, připojují se klientské počítače k serveru
Microsoft Update, kde získávají aktualizace, které jim správce WSUS služby umožnil
nainstalovat. Tímto postupem však služba WSUS nevyužije jednu ze základních
výhod, kterou je úspora kapacity připojení k Internetu vytvořením lokálních kopií
potřebných aktualizací.
Z tohoto důvodu v prostředí školních sítí (mnoho počítačů a relativně pomalé
připojení školní sítě k internetu) doporučujeme ponechat zatrženu volbu „Ukládat
aktualizace místně“.
V dalším kroku instalačního průvodce je zobrazen požadavek na databázový
software kompatibilní se serverem Microsoft SQL Server. Pokud není požadovaný
software na serveru instalován, je při instalaci nabídnuta možnost instalace Interní
Databáze Windows – Microsoft SQL Server 2005 Embedded Edition (SSEE).
Při použiti interního databázového serveru zvolte umístění souborů databáze pro
službu WSUS.
Strana 12 Windows Server Update Services (WSUS) 3.0
Další krok instalačního průvodce nabízí volbu pro vytvoření webového serveru IIS pro
správu aktualizací a distribuci aktualizací klientským počítačům.
Strana 13 Windows Server Update Services (WSUS) 3.0
V případě, že na serveru, na který je instalována služba WSUS není provozován jiný
webový server, lze ponechat první doporučenou variantu.
Pokud již je na serveru webový server provozován, lze zvolit druhou variantu,
průvodce vytvoří nový webový server služby WSUS, který bude po instalaci dostupný
na jiném portu (8530). Další informace o spuštění služby WSUS na jiném portu jsou
obsaženy v dokumentu Deploying Microsoft Windows Server Update Services
(Nasazení služby Microsoft Windows Server Update Services) na stránkách společnosti
Microsoft.
Závěrečný krok průvodce je shrnutím voleb pro instalaci a výchozích parametrů
služby WSUS po instalaci.
Po stisknutí tlačítka další dojde k vlastní instalaci služby WSUS. Jakmile je instalace
úspěšně dokončena, spustí se průvodce, který Vám pomůže s počátečním
nastavením služby WSUS 3.0.
Strana 14 Windows Server Update Services (WSUS) 3.0
Průvodce počátečního nastavení WSUS 3.0
První co můžete nastavit je zapojení do programu zlepšování softwaru. Služba WSUS
pak může odesílat informace o způsobu jejího používání a o chybách, které
pomohou při vývoji další generace služby.
Na další stránce průvodce nastavíte, odkud bude služba WSUS získávat informace o
aktualizacích a stahovat opravné balíčky. Ve většině případů ponechte možnost
Synchronizace z webu Microsoft Update. Pokud máte k dispozici nadřízený server
WSUS, můžete jej použít zadáním názvu serveru a čísla portu, ne kterém nadřízená
služba WSUS pracuje.
Strana 15 Windows Server Update Services (WSUS) 3.0
V další části průvodce nastavte, jak se bude lokální služba WSUS připojovat k serveru
Microsoft Update. Jestliže pro přístup k internetu používáte proxy server (např. MS ISA
server), zadejte název proxy serveru a číslo portu, na kterém proxy služba pracuje.
Pokud Váš proxy server vyžaduje autentizaci přístupu, můžete ještě nastavit
přihlašovací údaje pro připojení k proxy serveru.
Většinou postačuje nechat toto nastavení prázdné, nebo zadat adresu serveru se
službou MS ISA server (např. ISA1.domena.local, port 8080). Podrobnější informaci
byste získali od Vašeho správce ISA (proxy) serveru.
Následuje část průvodce, která se pokusí spojit se službou Microsoft Update a získat
informace o produktech (a jazykových variantách), jejichž aktualizační balíčky jsou
dostupné pomocí WSUS služby.
Strana 16 Windows Server Update Services (WSUS) 3.0
Pokud předchozí krok skončí úspěšně, zobrazí se Vám aktuální seznamy jazyků,
produktů a typů balíčků, které lze z Microsoft Update stahovat a ukládat na server se
službou WSUS. Pokud stažení informací selhalo (např. nemáte momentálně k dispozici
připojení k internetu), nemusí být zmíněné seznamy aktuální (kompletní). Tento krok
lze provést ručně i později, případně se toto děje i automaticky v pravidelných
intervalech.
Vyberte jazykové verze, které používáte, dále vyberte produkty, pro které chcete
distribuovat aktualizace a zvolte typy balíčků, které chcete stahovat.
Neuváženým stahováním zbytečných aktualizací pro velké množství produktů a
velké množství jazykových verzí může vést k značné zátěži diskového prostoru serveru.
Strana 17 Windows Server Update Services (WSUS) 3.0
Strana 18 Windows Server Update Services (WSUS) 3.0
Následuje nastavení synchronizace služby WSUS. Synchronizace spočívá
v kontaktování serveru Microsoft Update a zjištění informací o nově dostupných
aktualizacích pro Vámi zvolené produkty. Synchronizovat lze ručně, nebo
automaticky jednou nebo i vícekrát denně. Doporučujeme nastavit automatickou
synchronizaci.
Na předposlední stránce průvodce máte možnost spustit konzolu pro správu WSUS
služby a zahájit počáteční synchronizaci serveru. V závislosti na počtu zvolených
produktů, jazyků a typů balíčků může synchronizace trvat delší dobu.
Strana 19 Windows Server Update Services (WSUS) 3.0
Dokončete průvodce nastavením služby WSUS 3.0. Na poslední stránce můžete vidět
odkazy do nápovědy na další typické kroky při konfiguraci služby.
Konzola pro správu, konfigurace
Po dokončení instalace a průvodce s nastavením se na základě Vašeho přání může
spustit konzole pro správu WSUS 3.0 služby a počáteční synchronizace se servery
Microsoft Update.
Konzolu též můžete spustit z Nástrojů pro správu nabídky Start nebo Ovládacích
panelů. Pokud používáte vlastní MMC konzolu s často spravovanými možnostmi,
můžete si přidat do MMC konzole doplněk (snap-in) Update Services. Oproti
předchozí verzi služby (WSUS 2.0), která byla spravována z webového rozhraní
pomocí prohlížeče internetu, je služba WSUS 3.0 spravována ze standardního
prostředí MMC konzole.
Strana 20 Windows Server Update Services (WSUS) 3.0
Konzola pro správu WSUS 3.0 (jakkoliv spuštěná), se pokusí automaticky připojit ke
službě WSUS lokálního počítače. Pokud konzolu spustíte z pravotní stanice, máte
možnost ji připojit k zvolenému serveru – samozřejmě za předpokladu, že máte
oprávnění tuto službu spravovat.
Strana 21 Windows Server Update Services (WSUS) 3.0
Strana 22 Windows Server Update Services (WSUS) 3.0
Konfigurace služby
Nastavení základní konfigurace služby WSUS se provádí z panelu Možnosti. Tady
máte možnost nastavit chování služby WSUS nebo spustit znovu průvodce
počátečním nastavením.
Zdroj aktualizací a proxy server
Tato část konfigurace umožňuje nastavit, odkud se bude služba WSUS synchronizovat
a stahovat aktualizace. Výchozí možností je server Microsoft Update. Alternativou je
použít vlastní (nadřízený) WSUS server.
Dále zde můžete nastavit, jestli bude služba WSUS používat proxy server. Příkladem
může být interní síť, která používá MS ISA server jako router/firewall/proxy server. Pak
nastavte adresu proxy serveru a číslo portu podle instrukcí správce ISA serveru.
Produkty a klasifikace a Jazyky a soubory aktualizací
Tuto část nastavení již také máte zkonfigurovánu pomocí počátečního průvodce.
V případě jakéhokoliv požadavku na změnu produktů, jazyků nebo typů aktualizací,
které chcete nabízet pomocí služby WSUS, můžete zde provést příslušné úpravy.
Strana 23 Windows Server Update Services (WSUS) 3.0
Nové produkty, které je možno nabízet službou WSUS, se zjišťují v rámci synchronizace
serveru a jste na ně upozorněni např. na hlavní stránce konzole pro správu
v seznamu úkolů.
Máte zde k dispozici širokou nabídku operačních systému Microsoft (pro pracovní
stanice i servery), aktualizace pro kancelářské aplikace, pro Windows Defender,
serverové služby (např. Exchange, SQL, ISA) a mnoho dalšího. Na dalším obrázku
můžete vidět upozornění na nový produkt, jehož aktualizace můžete pomocí WSUS
služby řídit.
Výběr produktů, jazykových verzí a typů balíčků je obdobný, jako v průvodci
počáteční konfiguraci (viz. Předchozí kapitoly).
V okně Jazyky a soubory aktualizací můžete také nastavit, jak bude služba WSUS
stahovat aktualizace. Doporučenou možností je ukládat aktualizační balíčky lokálně
na serveru (ušetření kapacity internetové linky) a tyto balíčky stahovat poté, co je
administrátor WSUS služby schválí k instalaci na nějakou skupinu počítačů.
Strana 24 Windows Server Update Services (WSUS) 3.0
Plán synchronizace
Synchronizace – zjišťování nově dostupných balíčků – může probíhat ručně, nebo
automaticky. Ruční synchronizaci lze spustit z panelu Synchronizace WSUS konzole.
Automatická synchronizace probíhá každý den a můžete nastavit čas synchronizace
a kolikrát denně má být synchronizace provedena.
Doporučuje se naplánovat automatickou synchronizaci a zvolte čas, kdy není
server/síť příliš vytížena (mimo pracovní dobu nebo vyučování).
Upozornění: Výchozí nastavení je Synchronizovat ručně, tzn. že služba WSUS
automaticky nezjišťuje nové aktualizace!
Automatické schvalování
Balíček s aktualizací není nabídnut klientům k instalaci (a ve výchozím nastavení ani
stáhnut do lokálního úložiště), pokud není schválen administrátorem WSUS serveru.
Schvalování aktualizací má význam, když potřebujeme zajistit bezproblémovou
funkčnost počítačů. Může např. dojít ke konfliktu, kdy instalace aktualizace může
způsobit neočekávané chování některých aplikací a značně omezit produktivitu
práce. Proto je možné nové aktualizace nejdříve schválit k instalaci na několik
testovacích stanic a po ověření, že aktualizace nezpůsobuje konflikty s jinými
aplikacemi (účetní, výukový software) je schválit k instalaci pro ostatní počítače.
Po instalaci existuje Výchozí pravidlo automatického schvalování, které však není
aktivováno. Toto pravidlo je nastaveno tak, že automaticky schválí nainstalovat
aktualizace zabezpečení a důležité aktualizace na všechny počítače.
Tlačítkem Nové pravidlo lze například vytvořit pravidlo, které automaticky schválí
instalaci všech typů aktualizací pro produkt Windows XP na počítače v učebnách.
Toto pravidlo pracuje pro nově zjištěné aktualizace (po další synchronizaci).
Tlačítkem Spustit pravidlo můžete ovlivnit (schválit) i dříve oznámené aktualizace.
Strana 25 Windows Server Update Services (WSUS) 3.0
Na záložce Upřesnit okna Automatické schvalování lze nastavit další položky. Výchozí
možnosti jsou vidět na dalším obrázku. Dochází k automatickému schvalování
aktualizací pro samotný produkt (službu) WSUS a jsou automaticky schvalovány
novější verze již schválených balíčků.
Počítače
Okno Počítače z nastavení WSUS umožňuje specifikovat, jak bude služba WSUS
pracovat s nově připojenými klienty. Nově zaregistrované počítače ve službě WSUS
jsou ve výchozím stavu zařazeny do skupiny počítačů Nezažazené počítače. Pokud
používáte službu Active Directory a zásady skupin ke konfiguraci počítačů, můžete
pomocí skupinové politiky počítačům přidělit, do jaké skupiny počítačů se mají
zaregistrovat. Skupiny počítačů pak můžete využít při schvalování aktualizací pro
určité počítače, nebo v pravidlech pro automatické schvalování.
Strana 26 Windows Server Update Services (WSUS) 3.0
Průvodce vyčištěním serveru
Pomocí vyčištění serveru WSUS můžete redukovat velikost obsazeného diskového
prostoru odstraněním starých, nepotřebných balíčků a vyčistit databázi
s informacemi o počítačích, které již služby WSUS nepoužívají.
Souhrn hlášení
Lze použít pro sběr informací z ostatních WSUS serverů. Tímto se zde nebudeme
zabývat.
E-mailová hlášení
Pokud budou v rámci synchronizace zjištěny nové aktualizace, může Vás o tomto
WSUS služba informovat zasláním e-mialové zprávy. Je nutné nastavit e-mailové
adresy adresátů upozornění a konfiguraci SMTP serveru pro odchozí poštu.
Program zlepšování služby Microsoft Update
Zde se můžete zapojit do programu zlepšování software.
Přizpůsobení
Zde si můžete nastavit, jaké informace se mají zobrazovat na úvodní stránce konzole
v seznamu úkolů. Zobrazují se např. nové produkty a jazykové verze balíčků, kritické
aktualizace čekající na schválení, neaktivní klienti atd.
Průvodce konfigurací služby serveru WSUS
Poslední možností z nastavení je nové spuštění průvodce pro počáteční konfiguraci.
Strana 27 Windows Server Update Services (WSUS) 3.0
Konfigurace klientů
Nejvhodnější způsob konfigurace automatických aktualizací závisí na konkrétním
síťovém prostředí.
V prostředí služby Active Directory (školní síť s řadičem domény Windows 2000 Server,
popř. Windows Server 2003) je vhodné použít objekt zásad skupiny (GPO) založený
na službě Active Directory a připojit jej k organizační jednotce, která spravuje
počítačové účty.
V prostředí jiném než Active Directory - bez serveru (řadiče domény) je nutné
konfigurovat objekt zásad místní skupiny. Editor zásad místní skupiny lze spustit např.
pomocí příkazu Start -> Spustit -> gpedit.msc. Bez Active Directory, nebo pro
počítače, které nejsou členy domény, musíte nastavit lokální zásady skupin na všech
klientech.
V obou případech je potřeba směrovat klientské počítače na server WSUS a potom
konfigurovat automatické aktualizace.
Konfigurace se v objektu GPO i v „Zásadách místní skupiny“ provádí v sekci
„Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows ->
Windows Update“.
Strana 28 Windows Server Update Services (WSUS) 3.0
Zde je potřeba nastavit minimálně vlastnosti:
- Umístění místního intranetového serveru
nastavit adresu vytvořeného serveru WSUS – např. http://srv01.domena.local
- Konfigurace automatických aktualizací
nastavit např. na možnost Automaticky stahovat a plánovat instalaci
Strana 29 Windows Server Update Services (WSUS) 3.0
Zároveň je vhodné zkontrolovat, případně nastavit další vlastnosti pro chování
klientů, např. chování s ohledem na přihlášeného uživatele, chování v případě
vypnutého počítače v čase automatické aktualizace, chování v případě nutnosti
restartu PC a další). Dále je možné (dle nastavení WSUS služby) směřovat klientské
počítače do zvolených skupin počítačů na WSUS serveru (politika Povolit cílení na
klientské straně).
Strana 30 Windows Server Update Services (WSUS) 3.0
Běžná správa služby WSUS
Výchozí pohled do konzole
Po spuštění konzole pro správu WSUS 3.0 služby se zobrazí následující okno:
Zde je seznam úkolů, na které byste měli reagovat a přehled stavu služby WSUS.
V seznamu úkolů se pravidelně objevují informace, kolik balíčku aktualizací čeká na
schválení k instalaci. V přehledu se nacházejí následující údaje s kruhovými grafy:
- stav počítače
informace o počtu plně aktualizovaných a neaktualizovaných počítačů.
- stav aktualizace
informace o počtu nainstalovaných aktualizací, nebo o počtu aktualizací,
které počítače žádají, ale nejsou zatím nainstalované
- stav synchronizace
informace o poslední synchronizaci
- stav stahování
informace o počtu balíčků a jejich velikosti, které jsou schváleny k instalaci a
zatím čekají na stažení ze serveru Microsoft Update – nejsou zatím uloženy
lokálně
Strana 31 Windows Server Update Services (WSUS) 3.0
Panel Aktualizace
Stránka Aktualizace obsahuje různé pohledy na všechny dostupné balíčky:
Vyhledávat jednotlivé aktualizace můžete výběrem parametrů v záhlaví panelu. Na
následujícím obrázku jsou zobrazeny potřebné, neschválené aktualizace. Kliknutím
na danou aktualizaci lze zobrazit podrobnější informace ve spodní části okna.
Kliknutím pravého tlačítka myši na záhlaví sloupců tabulky aktualizací lze do tabulky
přidat další užitečné sloupce.
Strana 32 Windows Server Update Services (WSUS) 3.0
Dvojklikem na zvolenou aktualizaci lze vygenerovat podrobné (až několikastránkové)
hlášení o stavu konkrétní aktualizace.
Důležitou činností při správě WSUS serveru je schvalovat aktualizace k instalaci na
vybrané skupiny počítačů (nebo na všechny počítače).
Schválení můžete provést tak, že si zobrazíte dosud neschválené aktualizace.
Zvolené aktualizace označte myší a z kontextové nabídky (pravé tlačítko myši) zvolte
možnost schválit.
Následně se zobrazí seznam skupin počítačů, kterým můžete schválit instalaci
aktualizace, případně schválit instalaci na všechny počítače. Po provedení
schvalovacího procesu dostanete informaci o výsledku.
Strana 33 Windows Server Update Services (WSUS) 3.0
Panel Počítače
Panel Počítače je určena k zobrazení přehledu klientských počítačů využívajících
službu WSUS a jejich členění do skupin. Pokud jsou skupiny počítačů používány, lze
následně proces schvalování a instalace aktualizací na klientské počítače
přizpůsobit různým skupinám počítačů.
Strana 34 Windows Server Update Services (WSUS) 3.0
Nabídkou možností z panelu Akce v pravé části konzole můžete vytvořit novou
skupinu počítačů a z kontextové nabídky jednotlivých počítačů můžete volbou
Změnit členství zvolený počítač zařadit do některé skupiny.
Panel Synchronizace
Na panelu Synchronizace můžete vidět různé informace o provedených
synchronizacích. Dvojklikem na vybranou synchronizaci, nebo tlačítkem Hlášení o
synchronizaci si můžete zobrazit podrobné informace k jednotlivým synchronizacím.
Panel Sestavy
Stránka Sestavy slouží pro generování a tisk libovolných přehledů o dostupných
aktualizacích, statistiku jejich instalací na klientských počítačích apod. Tyto přehledy
(hlášení) lze generovat i přímo z jednotlivých panelů konzole pomocí tlačítka
Strana 35 Windows Server Update Services (WSUS) 3.0
v panelu akcí na pravé straně konzole (Hlášení o stavu). Jednotlivá hlášení lze
vytisknout nebo uložit do souboru Excel nebo PDF:
Na dalším obrázku je ukázka sestavy o stavu aktualizací v tabulkovém výpisu.
Nabídkou Možnosti hlášení otevřete záhlaví s parametry o generované sestavě.
Nastavte, co Vás zajímá a následně v nabídce v horní části zvolte Spustit hlášení.
Zobrazí se seznam aktualizací a jejich instalace na počítačích jako na následujícím
obrázku. Pokud zmodifikujete kritéria pro generování hlášení, můžete volbou Spustit
hlášení vygenerovat nové hlášení. V nabídce Úkoly na horní liště můžete vybrané
aktualizace schválit k instalaci na vybrané skupiny počítačů.
Strana 36 Windows Server Update Services (WSUS) 3.0
Na dalším obrázku je hlášení o stavu počítačů a podrobnosti o počítači xp-4.
Strana 37 Windows Server Update Services (WSUS) 3.0
Shrnutí Nasazení služby WSUS v prostředí školní počítačové sítě osobně považuji za obrovský
přínos ke zvýšení bezpečnosti a spolehlivosti provozu sítě a jednotlivých klientských
stanic. Správce školní sítě zároveň získává úplný přehled o stavu jednotlivých
klientských PC a úspěšnosti instalace každé aktualizace.
Vlastní instalaci služby WSUS a její základní konfiguraci lze s běžnými zkušenostmi
správce školní sítě úspěšně realizovat v průběhu několika hodin (2-3 hodiny).
Po stažení aktualizací („přes víkend“) a snadné společné konfiguraci klientů pro
příjem aktualizací (pomocí GPO) již pak pouze stačí (s vědomím spousty ušetřené
práce) sledovat úspěšnost aktualizací a občas řešit drobné problémy na
jednotlivých stanicích.
Ve školní síti, v jejímž prostředí vzniká tento dokument, je pro použití služby WSUS
z lokálního serveru konfigurováno více než 60 PC, služba funguje bez sebemenších
problémů.
Praha, duben 2006 František Hůlka
úprava: Brno, červen 2008 Jan Krontorád