Развертывание WSUS на предприятии

Как получить мощное и надежное решение управления обновлениями

В прошлом для применения программ-исправлений было достаточно собственных импровизированных решений. Но в настоящее время опасные программы распространяются очень быстро, и администратору нельзя полагаться на самостоятельные посещения пользователями Web-узла Microsoft Windows Update, чтобы поддерживать приемлемый уровень безопасности предприятия. 14 июня 2005 г. компания Microsoft выпустила очередные ежемесячные обновления, среди которых — десять бюллетеней безопасности. Три уязвимых места были отнесены к критическим, и аналитики предсказывали, что вредоносные программы, нацеленные на эти лазейки, появятся в течение недели. К счастью, несколькими днями раньше компания Microsoft выпустила первые компоненты новой инфраструктуры развертывания обновлений, в состав которых вошло надежное решение для управления исправлениями, Windows Server Update Services (WSUS).

Наряду с обновлением Windows и исправлениями для системы безопасности, WSUS обеспечивает развертывание драйверов, инструментов, пакетов обновлений, пакетов дополнительных функциональных возможностей, Microsoft Office 2003, Windows XP, Microsoft SQL Server и Microsoft Exchange Server. Но перед развертыванием WSUS на предприятии необходимо составить проект с учетом ключевых факторов и выбрать соответствующую топологию. В данной статье объясняются этапы подготовки плана развертывания WSUS на предприятии, но не уточняются детали установки WSUS; эта процедура подробно описана в статье Дугласа Тумбса «WSUS решает проблемы» (Windows IT Pro/RE № 6 за 2005 год).

В документе «Deploying Microsoft Windows Server Update Services», который можно загрузить с Web-узла WSUS компании Microsoft (http://www.microsoft.com/ windowsserversystem/updateservices), намечены основные принципы проектирования. Во-первых, необходимо сформулировать план обновления, в том числе стратегию, цели, ресурсы и процедуры. Затем необходимо выбрать ядро базы данных для WSUS, определить оптимальное местоположение серверов WSUS, выбрать файлы с исправлениями, которые следует получить, и место их хранения, и наметить план обслуживания групп клиентов. Ответив на эти вопросы, можно приступать к проектированию топологии WSUS.

Этап 1. Формулируем план обновления

Прежде чем приступить к работе, следует достичь соглашения между группой разработчиков и руководителями организации о необходимости управлять обновлениями, целях и способах применения WSUS. WSUS поддерживает разнообразные обновления для важнейших платформ и приложений Microsoft, а также развертывание исправлений для клиентов Windows 2000 и более новых версий. WSUS может работать и с продуктами независимых компаний, но пока ни один поставщик не воспользовался его возможностями, поэтому следует подумать, какие инструменты следует применять для обновления технологий и продуктов, не поддерживаемых WSUS.

Необходимо также определить типы обновлений, развертываемых через WSUS (например, исправления для системы безопасности, функциональные пакеты, драйверы, сборные пакеты и пакеты обновлений), и процедуру для идентификации, оценки, тестирования, развертывания и, при необходимости, диагностики и удаления обновлений. Следует учесть требования к отчетам о совместимости и определить соответствие отчетов WSUS стандартам предприятия. И наконец, назначить сотрудников, ответственных за управление.

Этап 2. Выбор базы данных

WSUS загружает обновления из службы Microsoft Update. Они состоят из файла обновления, распространяемого клиентам для установки, и метаданных, в которых указаны имя обновления, дата выпуска, номер редакции, целевые продукты и требования к перезагрузке. Метаданные загружаются в базу данных, выделенную для сервера WSUS, в которой также хранятся параметры настройки WSUS. По мере того как клиенты связываются WSUS, сервер вводит основные инвентарные сведения в базу данных. Статус процесса обновления также сохраняется в базе данных.

Для каждого сервера WSUS требуется особый экземпляр базы данных. Возможны следующие варианты базы данных:

• Microsoft SQL Server 2000 Desktop Engine (MSDE) с пакетом Service Pack 4 (SP4) на сервере WSUS, работающем с Windows Server 2003 или Windows 2000 SP4.
• Windows MSDE (WMSDE) на сервере WSUS с Windows 2003. WMSDE, поставляемая вместе с WSUS, представляет собой специальную усовершенствованную версию MSDE и эффективное решение для многих реализаций WSUS.
• SQL Server 2005 или SQL Server 2000 SP4 на сервере WSUS или внутреннем сервере. Необходимо активизировать режим вложенных триггеров, а экземпляр SQL Server должен использовать проверку подлинности Windows Authentication. Данные WSUS могут храниться в экземпляре SQL Server на другой системе; подробности см. в документации по WSUS.

Выбор оптимальной базы данных для сервера обновления зависит от аппаратной платформы, числа клиентов, которое поддерживает сервер, и готовности предприятия платить за лицензии. Для каждого сервера WSUS требуется особый экземпляр SQL Server, MSDE или WMSDE; удаленная централизованная система SQL Server не обеспечивает работу нескольких серверов WSUS. Рекомендуется начать с WMSDE на системе Windows 2003 и отслеживать производительность.

Этап 3. Выбор местоположения серверов WSUS

WSUS может работать с Windows 2003 или Windows 2000 Server SP4, в том числе Small Business Server (SBS) 2003. Служба WSUS несовместима с 64-разрядными платформами Windows 2003. Такие системы могут получать обновления из WSUS, но не поддерживают развертывание обновлений для других клиентов. Специалисты Microsoft рекомендуют использовать Windows 2003 вместо Windows 2000 Server SP4, так как базовый исходный код Windows 2003 более надежно защищен и располагает WMSDE.

Для WSUS также необходимы инфраструктура Windows .NET Framework 1.1 с пакетом SP1, Background Intelligent Transfer Service (BITS) 2.0, Windows HTTP Services (Win-HTTP) 5.1, Microsoft Internet Information Services (IIS) 6.0 (for Windows 2003) или IIS 5.0 с IIS Lockdown (для Windows 2000 Server), Microsoft Internet Explorer (IE) 6.0 с SP1 и локальная база данных (за исключением конфигурации с удаленным SQL Server). Эти требования к программному обеспечению могут определить выбор сервера, так как влияют на ранее установленные службы и приложения на существующем сервере.

WSUS необходимо установить на автономном сервере, а не на контроллере домена (DC). Применение WSUS на DC приемлемо для малой компании или филиала, но при таком подходе на любом предприятии снижается производительность и возникают проблемы с безопасностью. Если WSUS установлен на контроллере домена Windows 2000, то следует изучить конкретные проблемы DC по документации. WSUS можно установить и на SBS, но при этом следует обратиться к документации, чтобы избежать конфликтов между WSUS, Web-сервером компании и Windows SharePoint Services. Лучший вариант — установить WSUS на автономном сервере.

Для администрирования WSUS и управления исправлениями учетная запись должна входить в локальную группу Administrators. Нельзя делегировать права администрирования WSUS или обновления без делегирования административных полномочий для всего сервера, поэтому необходимо установить WSUS на выделенном сервере.

Для повышения производительности серверы WSUS следует разместить так, чтобы они минимально загружали сетевые каналы. Сервер WSUS должен загружать метаданные обновления и, в большинстве случаев, файлы обновления от службы Microsoft Update или вышестоящего сервера WSUS. Каждый клиент, направляемый на сервер WSUS, опрашивает и, как правило, загружает файлы обновления с сервера, поэтому типовое решение — размещать серверы WSUS в офисах, соединенных медленными каналами. Необходимо также учитывать число пользователей каждого WSUS-сервера и отслеживать узкие места, влияющие на производительность сервера.

Этап 4. Выбор файлов обновлений

После того как клиенты установят соединение с сервером WSUS, они получают от него список подтвержденных обновлений, сообщают, нужны ли обновления, и информируют сервер о статусе установки обновлений. Клиентов можно настроить на загрузку обновлений с сервера WSUS или от службы Microsoft Update.

Преимущество локального хранения файлов обновлений заключается в снижении нагрузки на внешние каналы связи: сервер WSUS загружает файлы обновления в сеть, а затем распространяет их среди клиентов. BITS 2.0, технология загрузки обновлений от Microsoft Update на сервер WSUS а затем на клиентские компьютеры, более эффективно использует пропускную способность сети, чем служба Microsoft Software Update Services (SUS). Если из-за местоположения клиента в сети процесс загрузки обновлений с WSUS-сервера неэффективен, можно настроить WSUS таким образом, чтобы клиенты получали список подтвержденных обновлений от сервера, но загружали обновления самостоятельно через службу Microsoft Update.

Полезная функция — файлы экспресс-установки, с помощью которых через WSUS распространяются только изменившиеся биты, а не целые обновления. Измененные биты применяются к существующим файлам в клиентах. Экспресс-установку обновлений иногда называют дельта-доставкой, так как на клиентские системы пересылаются только различия между версиями файлов.

Недостаток экспресс-установки заключается в том, что WSUS-сервер должен загружать различные дельта-варианты для каждой версии файла. Вместо загрузки одного файла обновления сервер загружает файл, содержащий все возможные варианты. Тем не менее экспресс-установка экономит ресурсы сетевых каналов связи, так как клиенты загружают лишь биты, необходимые для изменения текущей версии файла. На рис. 1 показаны различия между обновлением с полными файлами и экспресс-установкой.

Этап 5. Подготовка группового плана

WSUS позволяет организовать целевые группы клиентов и применять исправления к конкретным группам. Состав групп должен соответствовать стратегии обновления на предприятии. Типовые стратегии группирования клиентов — по типу (серверы, настольные компьютеры, ноутбуки), роли (руководитель, разработчик), фазе применения исправлений (тестирование, пилотный этап, развертывание, не устанавливать исправления), конфигурации клиента (простая/управляемая, сложная/неуправляемая — компьютеры со сложной конфигурацией трудно диагностировать или вернуть в прежнее состояние) и приоритету обновления (критическая, нормальная, низкая).