У многих администраторов, впервые установивших службу Software Update Services, возникает масса однотипных вопросов. Ответы на них можно найти в ряде публикаций, посвященных данному продукту («Системный подход к обеспечению безопасности», Windows 2000 Magazine/RE #6 за 2002 год, «Служба Software Update Services», Windows & .Net Magazine/RE №3 и №4 за 2003 год). В данной статье приведены ответы на некоторые часто задаваемые вопросы, не рассматривавшиеся ранее.

Установка пакетов обновлений

В сервер SUS включена поддержка установки пакетов обновлений начиная с Service Pack 4 для Windows 2000 и Service Pack 1 для Windows XP. Такое решение Microsoft вызвало бурное обсуждение в списке рассылки NtBugtraq.

Прежде всего это связано с большим объемом данных, которые сервер SUS неожиданно загружает из Internet. Вторая потенциальная проблема связана с чрезмерной загрузкой локальной сети при одновременной установке пакетов обновлений на рабочие станции. Кроме того, чрезмерная автоматизация такого ответственного мероприятия, как установка пакетов обновлений, вызывает недоверие со стороны администраторов в связи с высокой вероятностью сбоев.

В текущей версии SUS мы не имеем возможности управлять теми обновлениями, которые сервер будет загружать с сайта Microsoft. Поэтому придется смириться с тем, что все пакеты обновлений будут загружаться сервером. Можно посоветовать администраторам использовать для развертывания пакетов обновления образы, загруженные сервером SUS.

Опасения о чрезмерной загрузке локальной сети в процессе установки пакетов обновления безосновательны. При загрузке обновлений с сервера SUS клиент Automatic Updates использует службу Background Intelligent Transfer Service. Данная служба передает данные в фоновом режиме, задействуя сеть только в те моменты, когда она свободна от данных других приложений. Подробнее об этой службе можно узнать из документа Microsoft, доступного по адресу (http://www.microsoft.com/windowsserver2003/ techinfo/overview/bits.mspx).

При развертывании пакетов обновлений посредством SUS в крупных разнородных сетях произошло несколько сбоев, вызвавших «голубой экран смерти». Как правило, это происходило с компьютерами, давно стоящими в очередь на переустановку операционной системы. В связи с этим рекомендуется планировать развертывание пакетов обновления и на начальном этапе осуществить контролируемую установку на как можно большее число компьютеров в сети, используя стандартные средства — ручную установку с сетевого диска или установку через групповые политики. После этого нужно подтвердить возможность установки пакета обновлений на сервере SUS (approve) для автоматизированного развертывания на неохваченных компьютерах. Не стоит устанавливать пакеты обновлений в автоматическом режиме на серверы. Как правило, это приводит к многочасовым операциям восстановления системы.

Загрузка ненужных обновлений

В существующей версии сервера SUS нет возможности указать, какие версии программ и операционных систем работают в сети и нуждаются в обновлении. Поэтому сервер загружает обновления для всех поддерживаемых версий Windows и всех версий Internet Explorer. Это приводит к чрезмерному росту трафика и переполнению хранилища сервера.

В том случае если мы указываем в настройках сервера «Maitain the updates on a Microsoft Windows Update Server», загружаются только необходимые обновления, затребованные клиентскими машинами, однако загрузка канала Internet только увеличивается. Поскольку обновления на диске не сохраняются, они загружаются с сервера Microsoft при каждом обращении клиентов.

Существует способ обойти это ограничение, однако он требует некоторых усилий со стороны администратора. Чтобы снизить трафик и сохранять только необходимые обновления, можно установить между сервером SUS и Internet кэширующий сервер-посредник HTTP и настроить его на сохранение больших исполняемых файлов в кэше. Сервер SUS настраивается на работу через сервер-посредник, и в параметрах сохранения обновлений указывается «Maitain the updates on a Microsoft Windows Update Server».

Таким образом, будут загружаться только востребованные клиентами обновления, полученные через Internet с серверов Microsoft только при первом обращении. При последующих запросах будет использоваться файл из кэша сервера-посредника.

Обновления компьютеров пользователями

Иногда некоторые особо сознательные пользователи в благом порыве повышения уровня безопасности корпоративной сети самостоятельно настраивают клиента обновления на работу непосредственно с сервером Windows Update или задействуют его Web-интерфейс для загрузки и установки обновлений. Это, естественно, приводит к чрезмерной нагрузке на канал связи с Internet.

Чтобы избежать подобных ситуаций, необходимо запрещать на межсетевом экране доступ к серверам Windows Update для всех компьютеров, кроме сервера SUS.

Offline-репликация

Иногда бывает необходимо перенести базу обновлений с одного сервера на другой, не используя при этом сеть. Например, требуется установить сервер SUS в другой сети или подчиненный сервер SUS, соединенный с основным посредством медленных каналов связи. Для этого на устанавливаемый сервер необходимо скопировать содержимое папки Cabs и файл catalog.cab из папки InetPubWWWroot. После этого устанавливаемый сервер настраивается на получение обновлений с самого себя и запускается процесс загрузки обновлений. Через несколько минут сервер подхватит скопированные обновления, после чего его можно будет настроить на работу с Windows Update или вышестоящим сервером SUS.

Установка обновлений на клиентские места

Наиболее удобным методом установки обновлений на клиентские места является метод автоматической загрузки и автоматической установки обновлений в определенное время (Auto Download and Schedule to Install). Следует понимать, что загрузка обновлений в этом режиме будет происходить по мере их появления на сервере SUS, а установка — в выбранное время. Важно, что при этом существует возможность отказаться от обязательной перезагрузки машины после установки обновлений (No auto-restart for scheduled Automatic Updates installations). При использовании данного параметра установка произойдет автоматически в указанное время, но компьютер после этого не перезагрузится, и пользователь сможет закончить работу. Для использования данного метода к объекту групповой политики требуется подключить новый административный шаблон wuau.inf, который можно загрузить с сервера Microsoft (http://support.microsoft.com/?kbid=328010).

Кроме того, следует помнить о том, что при установке обновлений используется служба Windows Installer, и ее настройки могут влиять на процесс установки обновлений. Например, если параметр групповой политики Computer Configuration — Administrative Templates — Windows Components — Windows Installer имеет значение Disable Windows Installer, обновления будут устанавливаться только в том случае, если пользователь, вошедший в систему, имеет на машине привилегии администратора.

Дополнительные средства

Для быстрого развертывания обновлений без использования SUS или установки исправлений для программных компонентов системы, не поддерживаемых SUS, к примеру Office, можно воспользоваться рекомендациями статьи из базы знаний Microsoft Q827227 (http://support.microsoft.com/default.aspx?kbid=827227). В статье приведен сценарий на VBScript, использующий WMI для определения версии системы, загрузки необходимого исправления и запуска программы установки.

Еще одним полезным средством в инструментарии администратора может стать утилита MbsaFu (http://sourceforge.net/projects/mbsafu/). Данная утилита анализирует файлы отчетов Microsoft Baseline Security Analyzer, загружает необходимые обновления и устанавливает их на компьютеры с операционной системой Windows NT 4.0, Windows 2000/XP/2003. Пошаговое описание ее использования можно найти в статье «Automatically patching machine with hotfix KB824146 using mbsafu» (http://www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0309&L=NTBUGTRAQ&P=R4211).

Восстановление после сбоев

Если после установки обновления система не загружается, необходимо загрузиться в любом доступном режиме (например, в режиме защиты от сбоев, в режиме консоли восстановления или с дискеты с драйвером NTFSDOS) и запустить сценарий отмены обновления spuninst.bat. Сценарии оформляются в виде командного файла и располагаются в папке %Systemroot%$NtUninstall$spuninst. К примеру, программа отмены обновления MS03-039, описанного в статье базы знаний KB824146, будет располагаться в папке C:WINDOWS$NtUninstallKB824146$spuninst.

Сергей Гордейчик — инструктор учебного центра MCSE. С ним можно связаться по адресу: Gordey@infosec.ru

Исправление для ошибки переименования файла по FTP

Проблема с определением времени в компоненте FTP в Microsoft Internet Information Services (IIS) 6.0 может помешать переименовать файл после его загрузки в каталог FTP. По словам специалистов Microsoft, IIS выдает запрос на переименование файла до того, как полностью завершится операция загрузки файла. Когда описанная проблема возникает, FTP отвечает на запрос о переименовании кодом ошибки 550: The process cannot access the file because it is being used by another process. Если посмотреть журнал IIS, можно увидеть три сообщения, следующие одно за другим, со ссылкой на сбой при переименовании файла. Первое сообщение показывает, что IIS занимается переименованием из (строчка со ссылкой на RNFR); второе — переименованием в (RNTO); третье сообщение — QUIT, что означает сбой при выполнении операции переименования. В PSS имеется новая версия службы FTP, ftpsvc2.dll, которая устраняет проблему с определением времени. Исправление датировано 5 сентября и доступно только через PSS. Дополнительная информация содержится в статье Microsoft «FIX: You Cannot Rename a File After You Upload the File to an FTP Server» (http://support.microsoft.com/?kbid=828086).

Паула Шерик — редактор Windows & .NET Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей. С ней можно связаться по адресу: paula@winnetmag.com.