Использование локального сервера обновлений (WSUS)
Для снижения объёма трафика, потребляемого подразделениями и уменьшения загрузки внешних каналов целесообразно использовать локальный сервер обновлений (Windows Server Update Services).
Предупреждение: после применения обновлений нелицензионная Winows XP или MS Office XP/2003 может потребовать активации или вообще отказаться работать по этой причине (Чаще всего после применения сервиспака). Такая реакция не зависит от источника обновлений (локальный WSUS или сайт Windows Update). Приобретайте лицензионное программное обеспечение или используйте свободно распространяемое!
Много полезной информации (будет) размещено в разделе, посвящённом лицензированию программного обеспечения.
В этом разделе:
Вопросы и пожелания направляйте администратору локального сервера обновлений.
Требования к клиентским компьютерам
Для использования локального сервера обновлений необходим компонент "Автоматическое обновление" ("Automatic Updates"). Использование данного компонента возможно в следующих ОС:
- Microsoft Windows 2000 Professional Service Pack 3 (SP3) или Service Pack 4 (SP4), Windows 2000 Server SP3 или SP4, или Windows 2000 Advanced Server SP3 или SP4.
- Microsoft Windows XP Professional RTM (необходима установка клиента SUS) или Service Pack 1 или Service Pack 2.
- Microsoft Windows Server 2003 RTM или Service Pack 1 (Standard Edition; Enterprise Edition; Datacenter Edition; Web Edition).
- Microsoft Windows Server 2003 R2 (в различных редакциях).
- Microsoft Windows Vista (в различных редакциях).
ПО, обновляемое с помощью WSUS
С помощью WSUS обновляются следующие программное обеспечение:
1. Операционные системы:
- Windows 2000 Professional, Server и Advansed Server (SP3 или SP4);
- Windows XP Professional (SP1 или SP2 или без SP);
- Windows XP Professional x64 Edition;
- Windows XP Professional 64-bit Edition version 2003;
- Windows Server 2003 в различных редакциях (SP1 или без SP), включая x64 Edition и версии для систем с процессорами Itanium;
- Windows Server 2003 R2 в различных редакциях, включая x64 Edition и версии для систем с процессорами Itanium;
- Windows Vista R2 в различных редакциях.
2. Windows Small Business Server 2003.
3. Windows Live:
- Windows Live Mail Desktop;
- Windows Live Toolbar.
4. Microsoft SQL server:
- SQL server 2000;
- SQL server Feature Pack;
- SQL server 2005.
5. Microsoft Office:
- Office 2002/XP;
- Office 2003.
6. Windows Defender.
7. Microsoft Internet Security and Acceleration Server (ISA):
И ещё ряд программных продуктов, которые являются специфичными.
Через WSUS могут распространяться следующие типы обновлений:
- драйверы;
- критические обновления;
- обновления системы безопасности;
- обновления;
- накопительные пакеты обновлений (например, кумулятивное обновление IE6 SP1);
- пакеты обновлений (например, сервиспаки);
- обновления определений (например, обновление базы адресов нежелательной почты для MS Outlook);
- средства (например, средство диагностики сети для Windows XP).
Конфигурирование Автоматического обновления на клиентах
Штатным способом конфигурирования компонентов в Widows является использование объектов групповой политики - Group Policy object (GPO). При наличии Active Directory необходимо создать новый GPO и подключить его на доменный уровень. Замечание: компания Microsoft не рекомендует использовать для подобных целей GPO Default Domain Policy. Отдельно стоящие машины (в рабочей группе или с эмуляцией домена через Samba) можно настроить через локальный GPO. Также для таких машин возможно использовать непосредственное редактирование реестра либо импорт предварительно созданного *.reg файла.
Рассмотрим процесс конфигурирования локального GPO для отдельно стоящей машины. Создание и подключение GPO в Active Directory рассматривать не будем, предполагая, что данные операции являются тривиальными для тех администраторов, у кого Active Directory развёрнута. Процесс редактирования GPO в обоих случаях ничем не отличается.
0. Проверяем, что имя компьтера содержит DNS-суффикс, то есть имеет вид "PCName.DeptName.susu.ac.ru":
Панель управления, апплет Система (или Свойства компьютера), страница Имя компьютера, строка Полное имя
Если имя компьтера имеет вид "PCName." то добавляем DNS-суффикс:
в этом же окне нажимаем кнопку "Изменить", в открывшемся окне нажимем кнопку "Дополнительно" и в следующем окне вводим DNS-суффикс.
Например, имя компьютера, (смотрим выданные подразделению "Данные для настройки сети") - oti.urc.ac.ru, DNS-суффикс в данном случае будет urc.ac.ru, а NetBIOS-имя компьютера - oti. Если имя компьютера имеет не такой формат, то нужно привести к такому виду и сообщить в ОГСТ по электронной почте.
Для компьютеров, имеющих "серые"адреса, имя компьютера также должно иметь такой формат, только сообщать имя в ОГСТ не нужно.
После изменения имени компьютера необходимо выполнить его перезагрузку.
1. Открываем редактор групповой политики:
Пуск -> Выполнить, набираем gpedit.msc, нажимаем Enter.
Редактор выполнен в виде оснастки MMC
2. В редакторе групповой политики распахиваем Конфигурация компьютера, затем Административные шаблоны, затем Компоненты Windows и щёлкаем на Windows Update (соответствует английскиму варианту Computer Configuration, Administrative Templates, Windows Components, Windows Update).
Если такого шаблона нет, то необходимо его добавить.
3. Настраиваем поведение Автоматического обновления:
В области сведений дважды щелкните на параметре "Настройка автоматического обновления" ("Configure Automatic Updates"). В открывшемся окне выбрать кнопку "Включен" и выбрать требуемый вариант. Возможные варианты:
- Уведомлять о загрузке и уведомлять об установке.
- Загружать автоматически и уведомлять об установке.
- Загружать автоматически и устанавливать по расписанию.
- Разрешать локальному администратору изменять настройки.
По умолчанию выбран вариант 3, которого в принципе достаточно.
4. Настраиваем клиентский компьютер на локальный сервер обновлений:
В области сведений дважды щелкните на параметре "Указать размещение службы обновлений Microsoft в интрасети" ("Specify intranet Microsoft update service location"), в открывшемся окне выбрать кнопку "Включен" и в обе строки ввода впечатать "http://wsus.susu.ac.ru:8530".
Эти шаги являются достаточными для корректного конфигурирования службы Автоматического обновления клиентов на локальный сервер обновлений.
После выполнения этих действий необходимо дождаться применения групповой политики и контакта клиента с WSUS. Для случая локального GPO политики применяются сразу после его редактирования. Как принудительно примененить политики или запустить обновление - в следующем разделе.
Принудительный запуск обновления
Эти шаги выполняются в командной строке, поэтому необходимо вызвать её: Пуск -> Выполнить, набираем cmd, нажимаем Enter. Все дальнейшие действия выполняются в командной строке.
Применение политик необходимо только при их изменении (как правило). Для принудительного применения
GPO команды отличаются для разных систем:
- Windows 2000: secedit /refreshpolicy machine_policy /enforce
- Windows XP и выше: gpupdate /target:computer /force
Принудительный запуск обновления:
wuauclt /detectnow
Поиск и устранение неисправностей
Проверка состояния служб, необходимых для работы Автоматического обновления
В первую очередь необходимо убедиться, что:
- разрешена и работает служба "Автоматическое обновление";
- разрешена служба "BITS - фоновая интеллектуальная служба передачи".
Для этого открываем оснастку "Службы" (Пуск -> Выполнить, набираем services.msc, нажимаем Enter), и проверяем:
- для службы "Автоматическое обновление" состояние - "работает", тип запуска - "Авто";
- для службы "BITS - фоновая интеллектуальная служба передачи" тип запуска - "Авто" или "Вручную".
Если указанные параметры отличаются, то необходимо их привести в соответствие требуемым значениям.
Удаление папки загрузки
Если компьютер до настройки на локальный сервер обновлений пытался обновляться с сайта Windows Update (неважно, успешно или нет), то нужно удалить папку загрузки Автоматического обновления.
- Запускаем командную строку: Пуск -> Выполнить, набираем cmd, нажимаем Enter.
- Останавливаем службу "Автоматическое обновление": net stop wuauserv
- Переходим в папку Windows: cd %windir%
- Переименовываем папку загрузки: ren SoftwareDistribution SDTemp
- Запускаем службу "Автоматическое обновление": net start wuauserv
Если обновление с WSUS заработало, то папку SDTemp можно удалить.
Настройка службы на клиентских компьютерах, подключенных через прокси-сервер
Если клиентские компьютеры подключены к ИВС ЮУрГУ через прокси-сервер, то может понадобиться явное его указание. Как правило, параметры подключения берутся из настроек системы (то, что обычно называется как "Свойства Интернета" в панели управления или "Свойства обозревателя" в Internet Explorer) либо этим занимается клиент прокси-сервера. И наоборот, если в качестве прокси-сервера указан proxcy.urc.ac.ru:3128, может понадобиться настройка клиентов напрямую.
Настройка подключния для службы обновления выполняется в командной строке:
- Запускаем командную строку: Пуск -> Выполнить, набираем cmd, нажимаем Enter.
- Для указания прокси сервера набираем: proxycfg -p <server-name>
- Для подключения напрямую набираем: proxycfg -d
- Для просмотра конфигурации набираем: proxycfg
В Windows 2000 эта программа отсутствует, однако достаточно скопировать файл %systemroot%\system32\proxycfg.exe из Windows XP (в папку %systemroot%\system32). %systemroot% - это папка, в которую установлена Windows, как правило - c:\Windows.
Дополнительные материалы
Добавление шаблона Windows Update
временно отсутствует
Конфигурирование Автоматического обновления через реестр
временно отсутствует
Установка клиента SUS
временно отсутствует
|