Готовимся использовать Windows Update Services

Хотя первые обновления для Windows NT и Windows 95 появились еще в 1998 году, в то время системные инженеры не придавали им большого значения, предпочитая дожидаться очередного пакета обновлений. Когда компьютеры корпоративных сетей стали массово подключаться к Internet, началась эпоха взломов систем и вирусных эпидемий, получивших широкую огласку. А начиная с выхода Windows 2000 количество исправлений для систем и приложений начало расти как снежный ком, что значительно осложняло процесс эксплуатации систем.

Немного истории

Первым шагом для облегчения процесса обновления систем было создание портала Windows Update и выпуск набора свободно распространяемых утилит Security Toolkit, включавшего:

  • утилиту проверки установленных обновлений Microsoft Network Security Hotfix Checker (Hfnetchk);
  • утилиту Qchain.exe, используемую для безопасной последовательной установки нескольких обновлений без перезагрузки системы;
  • анализатор состояния системы Microsoft Baseline Security Analyzer (MBSA);
  • мастер Internet Information Services Lockdown Wizard (IISLockdown) и утилиту URLScan для усиления защиты Web-серверов IIS.

Позднее был выпущен клиент для автоматического обновления Automatic Update, включенных в пакет обновлений Service pack 3 для Windows 2000.

В рамках программы Microsoft Strategic Technology Protection Program (STPP) была построена служба Software Update Services (SUS), которая позиционировалась как средство управления обновлениями для организаций среднего размера. Через несколько месяцев был выпущен пакет обновлений Software Update Services Service Pack 1, который позволил устанавливать SUS на контроллерах домена Windows 2000 Server и Windows Server 2003, а также на серверах Small Business Server 2000.

С момента появления первой версии SUS прошло уже более двух лет, и за это время в ней был обнаружен целый ряд недостатков.

  • Нельзя было выбрать список обновляемых продуктов и их версии.
  • Не было возможности реализовать разные шаблоны обновлений для различных групп рабочих станций и серверов.
  • На сервере хранились все обновления, в том числе подлежащие замене более новыми версиями.

Что такое WUS

Как и предыдущая версия, Windows Update Services представляет собой серверную службу для загрузки и развертывания исправлений.

Основные отличия WUS

  • Развертывание исправлений для Microsoft Office, SQL Server, Exchange Server.
  • Возможность выбора классов исправлений для загрузки: Service Pack, Feature Pack, Critical Updates, Security Updates, Drivers.
  • Использование инкрементальных (дельта) обновлений.
  • Учет целевой ориентации групп компьютеров, на которых необходимо реализовать различные шаблоны обновлений.
  • Экономия полосы пропускания сети с помощью приоритизации трафика загрузки исправлений.
  • Создание отчетов о развертывании обновлений и состоянии систем.

Архитектура WUS

Архитектура WUS основана на службах Internet Information Server (IIS), Windows Background Intelligent Transfer Service (BITS) и Microsoft Windows Installer.

Передача обновлений с помощью службы BITS позволяет продолжить прерванную передачу данных с точки обрыва соединения. Для передачи данных используется свободная полоса пропускания в периоды низкой загрузки канала.

Хранилище метаданных, называемое WUS Catalog, базируется на Microsoft Data Engine (MSDE) или SQL Server 2000. Метакаталог содержит данные о доступных обновлениях, их описание и взаимозависимости. Клиентские компьютеры, настроенные на работу с WUS, получают доступ к хранилищу метаданных, извлекают из него информацию об имеющихся обновлениях, выполняют сканирование своих подсистем и возвращают серверу WUS отчеты о необходимости в обновлениях. Системные требования для работы сервера WUS перечислены во врезке «Требования для работы WUS»

Процедура установки

Перед развертыванием WUS необходимо установить IIS, обновленную версию Microsoft .Net Framework 1.1 Service Pack 1 и Background Intelligent Transfer Service (BITS) 2.0. Мастер установки предложит установить MSDE или использовать существующий экземпляр SQL Server.

В структуре IIS установка WUS может быть выполнена на место Default Web Site или в виде отдельного сайта Windows Update Services. В первом случае сайт WUS будет доступен клиентам Automatic Updates по стандартному пути http://servername/WusAdmin. Во втором случае сайт Windows Update Services будет доступен по пути http://servername/WusAdmin:8530/, но и в настройках клиентов нужно будет явно прописать порт сервера.

Подробнее о процедуре установки можно узнать из документа «Step-by-Step Guide to Getting Started with Microsoft Windows Update Services», опубликованного на сайте, посвященном WUS, http://www.microsoft.com/windowsserversystem/wus/.

Настройка WUS

После установки первым делом нужно задать параметры сервера WUS. Для этого в окне администрирования необходимо нажать кнопку Options и выбрать пункт Synchronization Options (см. экран 1). На этом экране требуется выбрать время для синхронизации, параметры proxy-сервера, источник синхронизации и язык загружаемых обновлений. В отличие от SUS, здесь можно выбрать классы обновлений (см. экран 2): обновления для системы безопасности, критические обновления, кумулятивные обновления, пакеты обновлений, драйверы и многое другое. Выбор необходимой комбинации классов исправлений позволит значительно сократить Internet-трафик и проверять загружаемые обновления.

Как говорилось выше, WUS поддерживает загрузку исправлений не только для операционных систем, но и для других продуктов, и предоставляет возможность выбора тех продуктов Microsoft, которые требуется обновлять. Сразу после установки в списке продуктов присутствуют только операционные системы, но после выполнения первой процедуры синхронизации можно выбирать и другие продукты (см. экран 3).

В окне Advanced Synchronization Options можно не только задать язык для загружаемых исправлений. Там имеются параметры, которые указывают место хранения исправлений. Стоит обратить внимание на параметр Download update files to this server only when updates is approved (см. экран 4). WUS способен загрузить отдельно метаданные исправлений и бинарные файлы исправлений. В этом случае после того, как вы одобрите исправление, WUS инициирует загрузку всех файлов, используемых для установки исправлений на клиентском компьютере. Это позволяет экономить полосу пропускания и дисковое пространство на сервере WUS.

Параметр Express installation files регулирует механизм распространения исправлений. Можно задействовать специальные файлы установки (имеющие больший размер), чтобы уменьшить нагрузку на локальную сеть ценой более высокой нагрузки на канал Internet. Обычные исправления состоят из новых версий файлов, которые обновляют аналогичные файлы на компьютере. Указав параметр Express Installation files, администратор запускает процесс передачи по сети только данных, составляющих разницу между текущим и обновляемым файлом, которая вычисляется на бинарном уровне. Этот процесс и называется дельта-обновлением.

Важным улучшением в службе обновления является возможность создания целевых групп компьютеров, на которых применяются разные наборы исправлений. По умолчанию в сервере WUS присутствуют две группы All Computes и Unassigned Computers. Каждый клиентский компьютер состоит в группе All Computers. Клиентские компьютеры, которые не включены в целевую группу, входят в группу Unassigned Computers. Существует два способа добавить клиентские компьютеры в целевую группу: на сервере (server-side targeting) и на клиенте (client-side targeting). Назначение методом server side targeting производится вручную через консоль сервера WUS, и каждый клиентский компьютер приходится отдельно добавлять в свою группу. Способ client-side targeting позволяет добавить клиентов в группу посредством настройки групповой политики или параметров в реестре. Способ назначения компьютеров целевой группе можно выбрать в консоли сервера WUS, нажав на кнопку Options, выбрав Client Computer Options и далее Use the Move computers task in Windows Update Services или Use Group Policy or registry settings on client computers.

Новый интерфейс WUS

Интерфейс WUS существенно изменился. Как показано на экране 5, на главной странице отображается краткая статистика работы сервера. Отсюда же вручную можно запустить синхронизацию. В окне управления исправлениями можно применять сортировку и фильтрацию по группе продуктов, утвержденные и неутвержденные, а также по дате выпуска. Работа с большой базой исправлений в SUS была очень утомительна, фильтрация и сортировка в WUS значительно ее упрощают. В этом же окне можно утвердить исправление и назначить его установку в целевых группах. По умолчанию сервер WUS настроен на синхронизацию метаданных с сайтом Microsoft Update, код обновлений не загружается. После синхронизации в каталоге появляется список исправлений. В консоли сервера имеется несколько статусов утверждения исправлений. В режиме утверждения approve for detection метакаталог заполняется, но обновления с сайта Microsoft Update не загружаются. Клиент Automatic Update, взаимодействуя с сервером WUS, сканирует локальную систему, используя полученные метаданные, и передает серверу информацию о необходимых исправлениях. Пользуясь отчетами, можно оценить необходимость в проведении модернизации. Приняв решение о тестировании или развертывании исправления, следует изменить его статус на approve for installation. После изменения статуса исправление будет загружено сервером WUS и доступно для клиентов Automatic Updates.

Для разных целевых групп можно задать различные статусы обновления, что позволяет создавать гибкие шаблоны для групп компьютеров.

Полную статистику работы можно просмотреть, нажав кнопку Reports. Здесь можно получить отчет о результатах развертывания исправлений и синхронизации с сервером Windows Update (см. экран 6).

И новый клиент

Для работы с сервером WUS требуется новый клиент Automatic Updates, поддерживающий все функции WUS. Новый клиент уже включен в Windows XP Service Pack 2. В системах, обновленных с использованием пакета Windows XP Service Pack 2, предусмотрена поддержка новой функции, «установка при выключении». Эта функция обеспечивает автоматическую установку исправлений, требующих перезагрузки, после выполнения обычной процедуры отключения системы, что позволяет не прерывать работу при проведении модернизации. После включения система начинает функционировать уже в обновленном состоянии.

Первоначальный клиент SUS, работавший ранее на клиентских компьютерах, периодически проверяет сервер на наличие более новых клиентов Automatic Updates. При соединении с сервером WUS клиентская часть SUS автоматически обновит себя с сайта WUS до новой версии клиента Automatic Updates. Самообновление клиента Automatic Updates поддерживают Windows 2000 c Service Pack 3 или выше, Windows XP с Service Pack 1 или выше, Windows 2003.

Windows XP без пакетов обновлений содержит клиента Automatic Updates, но этот клиент самообновление не поддерживает. Для его обновления рекомендуется установить клиент от SUS, который поддерживает самообновление.

Новое в политиках

В локальных политиках Windows XP до Service Pack 2 и шаблонах групповой политики для первой версии SUS было всего два пункта настройки клиента Automatic Updates: настройка периодичности загрузки обновлений и имя сервера обновлений.

В локальной политике Windows XP с Service Pack 2 и шаблонах групповой политики для WUS появились следующие пункты настройки клиента Automatic Updates.

Do not display ?Install Updates and Shut Down? option in Shut Down Windows dialog box — пункт управляет отображением параметра Install Updates and Shut Down в меню Shut Down Windows. Этот пункт активен, когда появляются новые обновления на сервере WUS.

Do not adjust default options to ?Install Updates and Shut Down? Windows dialog box — параметр настраивает в качестве выбора по умолчанию в диалоговом меню Shut Down Windows вариант Install Updates and Shut Down.

Enable Client-Side targeting — параметр задает целевое имя группы.

Reschedule Automatic Updates scheduled installations — параметр задает период ожидания после запуска системы для запланированных ранее, но пропущенных установок исправлений.

No auto-restart for scheduled Automatic Updates installations — параметр предписывает клиенту Automatic Updates ожидать перезагрузки компьютера пользователем для завершения запланированной установки вместо принудительного автоматического перезапуска.

Automatic Updates detection frequency — параметр задает промежуток времени в часах между операциями поиска доступных исправлений.

Allow Automatic Updates immediate installation — параметр указывает, будут ли автоматически устанавливаться исправления, которые не прерывают работу операционной системы и ее служб.

Delay Restart for scheduled installations — параметр задает промежуток времени, через который начнется запланированная перезагрузка системы.

Re-prompt for restart with scheduled installations — параметр задает промежуток времени, через который появится запрос о запланированной перезагрузке системы.

Взгляд в будущее

Взявшая все лучшее из SUS и обогащенная новыми возможностями, WUS позволяет сократить стоимость владения продуктами Microsoft за счет более качественного управления исправлениями, большей гибкости и снижения нагрузки на каналы Internet.

В ближайшее время совместно с WUS планируется выпуск MBSA 2.0. Прежняя версия MBSA 1.2 несовместима с WUS. MBSA 2.0, WUS и Automatic Updates будут использовать единую базу метаданных.

Один из компонентов архитектуры обновлений Windows Installer 3.0 доступен с ноября 2004 года и входит в состав Service pack 2 для Windows XP. Новые обновления будут создаваться с использованием MSI 3.0, что позволит упростить установку, уменьшить количество перезагрузок и размер обновлений. Кроме того, WUS предполагается включить в состав следующей версии Windows Server 2003 R2.


Требования для работы WUS

Аппаратные

Минимальные:

  • Процессор 300 МГц.
  • Память 256 Мбайт.
  • Свободное место на жестком диске:

1 Гбайт на системном диске, 2 Гбайт

на разделе с базой данных, 6 Гбайт

под хранение обновлений.

Рекомендуемые (для 500 пользователей)
  • Процессор 1Гц.
  • Память 1 Гбайт.
  • Свободное место на жестком диске:

1 Гбайт на системном диске, 2 Гбайт на разделе с базой данных, 30 Гбайт под хранение обновлений.

Программные
  • Операционная система Windows 2000 Server или Windows Server 2003.
  • IIS 5.0 или выше.
  • Microsoft .NET Framework 1.1 Service Pack 1 (необходимо обновление с Download Center по ссылке http://go.microsoft.com/fwlink/?LinkId=35326).
  • Background Intelligent Transfer Service (BITS) 2.0 (необходимо обновление с Microsoft Beta Web Site по ссылке http://go.microsoft.com/fwlink/?LinkId=3626).
  • Microsoft Internet Explorer 6 Service Pack 1.
  • Windows SQL Server 2000 Desktop Engine или MS SQL Server 2000.

Системный инженер, MCSE NT 4.0, MCSA 2000/2003. shtir@spamtest.ru