Software Update Services

Instalowanie i konfigurowanie SUS

Administratorzy systemów od dawna potrzebowali metody utrzymywania bezpieczeństwa sieci poprzez automatyczne instalowanie poprawek serwisowych do zabezpieczeń na wszystkich komputerach w sieci. Kilka lat temu Microsoft wprowadził program Windows Update, ale jest on przeznaczony tylko dla użytkowników indywidualnych lub małych firm, gdyż nie zawiera funkcji optymalizacji wykorzystania pasma ani funkcji zarządzania ułatwiających testowanie i zatwierdzanie aktualizacji.

Na szczęście Microsoft wprowadził ostatnio produkt SUS (Software Update Services — usługi aktualizacji oprogramowania). Jest to jeden z pierwszych efektów inicjatywy pod nazwą Strategic Technology Protection Program (STPP). Chciałbym tu od razu wyrazić uznanie dla firmy Microsoft. Produkt SUS wypełnia dotkliwą lukę w zarządzaniu systemami z rodziny Windows oraz ich zabezpieczaniu. W niniejszym artykule omówię działanie produktu SUS oraz instalowanie i konfigurowanie różnych jego komponentów. W części 2 przedstawię bardziej skomplikowane konfiguracje SUS, na przykład umożliwiające śledzenie czynności związanych z instalowaniem aktualizacji, równoważenie zapotrzebowania na pasmo oraz skalowanie.

Zawartość strony

	Podstawy
	Instalowanie SUS
	Konfigurowanie serwera SUS

Podstawy

SUS umożliwia automatyczne instalowanie na komputerach kluczowych aktualizacji (poprawek usuwających błędy niezwiązane z zabezpieczeniami — hotfix), kluczowych aktualizacji zabezpieczeń oraz samych zabezpieczeń. Czynności te są wykonywane za pośrednictwem sieci, bez konieczności odwiedzania każdego komputera ani pisania jakichkolwiek skryptów. SUS to rozwiązanie dość elastyczne — administrator zachowuje kontrolę nad tym, jakie aktualizacje mają być zainstalowane, kiedy i na których komputerach. SUS nie instaluje pakietów serwisowych (service pack), ale ten brak nie stanowi problemu w przypadku domen Active Directory (AD), bowiem od wprowadzenia pakietu serwisowego SP1 do systemu Windows 2000, Microsoft umożliwia instalowanie pakietów serwisowych przy użyciu IntelliMirror i reguł grupowych. Działając łącznie, IntelliMirror i SUS umożliwiają pełną automatyzację procesu utrzymywania aktualnego stanu komputerów z systemami Windows XP i Windows 2000.

Jednak SUS nie jest idealnym rozwiązaniem, gdyż ma pewne ograniczenia:

•	nie obsługuje komputerów z systemami Windows NT i Windows 9x;
•	nie obsługuje produktów Microsoft Office i Microsoft BackOffice — aktualizacje dotyczą tylko systemu operacyjnego oraz produktów Microsoft IIS i Microsoft Internet Explorer (IE);
•	obsługuje obecnie wiele języków, ale nie wszystkie obsługiwane przez systemy XP i Windows 2000;
•	nie ma opcji odinstalowywania, która pozwalałaby automatycznie usuwać zainstalowane aktualizacje; oznacza to, że istotne jest przetestowanie aktualizacji przed ich zainstalowaniem przez SUS (możliwe jest jednak ręczne odinstalowywanie aktualizacji).

W skład SUS wchodzą trzy komponenty: SUS działający na serwerze, Automatic Updates (AU) działający na komputerach-klientach oraz ustawienia reguł grupowych w domenie Active Directory, które kontrolują klienty AU. Serwer SUS to w zasadzie normalna witryna udostępniająca usługi IIS. Za pomocą stron WWW można administrować usługą SUS i monitorować ją, a klienty AU mogą korzystać ze stron WWW do pobierania aktualizacji. Microsoft przechowuje aktualizacje na swoich serwerach Windows Update. Usługa Windows Update Synchronization Service zapewnia regularne synchronizowanie serwera SUS z serwerami Microsoft Windows Update.

Klienty AU komunikują się z serwerem SUS za pomocą protokołu HTTP. Serwer SUS wykorzystuje też HTTP do regularnego kontaktowania się z serwerami Windows Update i synchronizowania bazy danych o dostępnych do pobrania aktualizacjach. Baza ta nosi nazwę katalogu. Administrator może dokonać synchronizacji katalogu na żądanie lub zaplanować harmonogram automatycznej synchronizacji. Katalog nie zawiera samych aktualizacji, a jedynie ich opisy oraz informacje potrzebne klientom AU do ustalenia, czy dana aktualizacja ma zastosowanie do określonej instalacji systemu Windows XP lub Windows 2000.

Administrator może skonfigurować serwer SUS w taki sposób, by pobierał i instalował aktualizacje w obsługiwanych przez system językach, ewentualnie aby aktualizacje pozostały na serwerze Windows Update i były pobierane oraz instalowane przez klienty AU. Bez względu na wybraną konfigurację, SUS sprawdza aktualizacje pod kątem wiarygodności publicznego certyfikatu firmy Microsoft i dopiero wtedy dopuszcza do ich pobrania i zainstalowania. Zapobiega to użyciu SUS przez hakerów w celu wprowadzenia szkodliwego kodu do komputerów.

Chociaż pobieranie i instalowanie w wielu programach często odbywa się w jednym kroku, w SUS są to dwa oddzielne procesy. Załóżmy na przykład, że chcemy, aby klienty AU pobierały i instalowały aktualizacje. Klient AU okresowo sprawdza, czy na serwerze SUS są jakieś nowe zatwierdzone aktualizacje. Jeśli stwierdzi, że istnieje aktualizacja wymagająca pobrania, rozpoczyna proces pobierania; w tym celu łączy się z odpowiednim serwerem Windows Update. W zależności od sposobu skonfigurowania klienta AU, może on automatycznie pobrać aktualizacje z serwera Windows Update albo tylko powiadomić użytkownika, że istnieje aktualizacja gotowa do pobrania. W tym drugim przypadku klient AU czeka, aż użytkownik zainicjuje pobieranie.

Gdy klient AU pobierze aktualizacje do tymczasowego folderu, rozpoczyna się proces instalowania. Klient AU sprawdza ustawione przez administratora opcje i na tej podstawie określa, kiedy aktualizacja ma zostać zainstalowana. Znowu w zależności od konfiguracji klienta AU, może on instalować aktualizacje automatycznie, zgodnie z ustalonym przez administratora harmonogramem, bądź powiadamiać użytkownika o dostępności aktualizacji do zainstalowania i czekać na zainicjowanie przez niego operacji instalowania. Po zainstalowaniu aktualizacji klient AU w razie potrzeby restartuje komputer. Jeśli w systemie zalogowany jest użytkownik, klient AU daje mu 5 minut na zapisanie pracy, zamknięcie wszystkich programów i wylogowanie się, po czym dopiero restartuje komputer. Ponieważ klient AU używa narzędzia Qchain, wymagany jest tylko jednokrotny restart komputera, nawet jeśli zostało zainstalowanych kilka aktualizacji.

Do początku strony

Instalowanie SUS

Obecnie, po zapoznaniu się z podstawami działania SUS, omówimy proste instalowanie tego produktu w domenie Active Directory. Do korzystania z SUS potrzebny będzie serwer, na którym produkt ten ma być uruchomiony, czyli serwer SUS. Serwerem SUS nie może być kontroler domeny Active Directory ani komputer, na którym działa Microsoft Small Business Server (SBS).

Na serwerze SUS, a także na kontrolerach domen i stacjach roboczych zarządzanych przez SUS, musi działać system Windows 2000 SP2 (lub nowsza wersja) oraz Internet Explorer 5.5 (lub nowsza wersja). Ponadto na serwerze SUS musi działać IIS 5.0 (lub nowsza wersja). SUS można zainstalować na serwerze IIS, na którym już znajdują się inne witryny WWW. Współistnienie SUS z innymi witrynami WWW jest możliwe dzięki temu, że SUS używa tylko trzech komponentów IIS: folderu Common Files, modułu dodatkowego (snap-in) Microsoft Management Console Internet Information Services oraz serwera WWW.

Zazwyczaj SUS jest instalowany w domyślnej witrynie WWW. Jeśli nie ma domyślnej witryny WWW bądź jeśli port 80 jest zajęty przez inną witrynę WWW, należy zapoznać się z Dodatkiem A do artykułu firmy Microsoft „Deploying Microsoft Software Update Services” (Wdrażanie usługi Microsoft SUS). Artykuł ten można pobrać po kliknięciu łącza Software Update Services Deployment White Paper na stronie internetowej produktu SUS (http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp).

Wspomniana strona internetowa zawiera także łącze umożliwiające pobranie produktu SUS. Po jego pobraniu należy otworzyć plik sussetup.msi, co spowoduje uruchomienie kreatora instalacji. Teraz należy przeczytać i potwierdzić stronę powitalną oraz umowę licencyjną z użytkownikiem (umowę EULA), wybrać opcję Typical installation (Instalacja typowa), po czym kliknąć Next (Dalej). Gdy kreator wyświetli adres internetowy serwera SUS, należy go zanotować. Informacja ta będzie potrzebna do skonfigurowania klientów AU. Na koniec należy kliknąć Install (Instaluj).

SUS podczas instalacji uruchamia program IIS Lockdown, który wprowadza zabezpieczenia do usług IIS na serwerze SUS. Zabezpieczenia te uniemożliwiają dostęp do klientów AU hakerowi, który włamałby się do serwera SUS. IIS Lockdown wyłącza opcje, które mogłyby stwarzać zagrożenie bezpieczeństwa. Jednak może to spowodować wadliwą pracę innych istniejących aplikacji internetowych. Problemy mogą się pojawić, jeśli serwer SUS udostępnia inne aplikacje internetowe, które wymagają takich komponentów, jak WWW Distributed Authoring and Versioning (WebDAV), Microsoft FrontPage Server Extensions bądź FTP. Chociaż SUS może współistnieć z takimi aplikacjami, po jego zainstalowaniu niezbędne będzie ponowne włączenie niektórych opcji. Pełny opis zmian wprowadzanych przez SUS do usług IIS jest podany w Dodatku A do wyżej wspomnianego artykułu „Deploying Microsoft Software Update Services”.

Po zakończeniu pracy kreator wyświetla stronę końcową oraz adres internetowy strony administracyjnej SUS. Adres ten należy zanotować, gdyż będzie w przyszłości potrzebny do administrowania serwerem SUS.

Do początku strony

Konfigurowanie serwera SUS

Kolejnym krokiem jest skonfigurowanie serwera SUS. W wyniku tej operacji administrator określa, w jaki sposób i kiedy serwer SUS synchronizuje się z serwerami Windows Update, a także które aktualizacje mają być zatwierdzone do instalowania.

Serwer SUS można skonfigurować z dowolnego komputera podłączonego do sieci, na którym działa przeglądarka IE 5.5 (lub nowsza wersja). Należy otworzyć IE i wprowadzić jako adres lokalną nazwę intranetową (np. //server/SUSAdmin) albo nazwę DNS (np. server.acme.com/SUSAdmin). Pojawi się strona powitalna pokazana na rysunku 1. Lewy panel tej strony zawiera kilka ważnych łączy, m.in. Set options (Ustaw opcje), Synchronize server (Synchronizuj serwer) i Approve updates (Zatwierdź aktualizacje).

Rys. 1. Strona powitalna administracji SUS
Zobacz powiększony zrzut ekranu

Łącze Set options (Ustaw opcje): po kliknięciu tego łącza wyświetlana jest strona ustawiania opcji. Znajduje się tam przewijane okno zawierające pięć sekcji:

•	Sekcja Select a proxy server configuration (Wybierz konfigurację serwera proxy) — tu należy określić, czy będzie używana konfiguracja serwera proxy. Jeśli dana sieć musi uzyskiwać dostęp do Internetu za pośrednictwem serwera proxy, to można tak skonfigurować SUS, by uwierzytelniał się w serwerze proxy i używał go do łączenia się z serwerami Windows Update. Jednak w tym przykładzie wybierzemy opcję Do not use a proxy server to access the Internet (Nie używaj serwera proxy przy dostępie do Internetu).
•	Sekcja Specify the name your clients use to locate this update server (Podaj nazwę, której używają klienty w celu zlokalizowania tego serwera aktualizacji) — zawiera ona pole, w którym można w razie potrzeby wprowadzić nazwę serwera SUS. Standardowo pole Server name (Nazwa serwera) zawiera nazwę serwera SUS używaną przez NetBIOS. Można ją jednak zmienić na nazwę DNS lub adres IP, jeśli w danej sieci jest wyłączone tłumaczenie nazw używanych przez NetBIOS. Nazwę serwera SUS trzeba będzie także wprowadzić ponownie przy konfigurowaniu klientów AU. Nie jest jasne, dlaczego nazwa ta musi być skonfigurowana w dwóch miejscach — na serwerze i na kliencie.
•	Sekcja Select which server to synchronize content from (Wybierz serwer, z którego będą synchronizowane treści) — tutaj należy określić źródło danych, z którym ma być synchronizowany serwer SUS. Do wyboru są dwie opcje: Synchronize directly from the Microsoft Windows Update servers (Synchronizuj bezpośrednio z serwerów Microsoft Windows Update), ustawiona domyślnie, oraz Synchronize from a local Software Update Services server (Synchronizuj z lokalnego serwera Software Update Services), która umożliwia synchronizację danego serwera SUS z innym serwerem SUS, co pozwala na uzyskanie skalowania. W przypadku synchronizacji z innym serwerem SUS należy wprowadzić nazwę (NetBIOS albo DNS) tego serwera. Dostępna jest także opcja Synchronize list of approved items updated from this location (replace mode) (Synchronizuj listę zatwierdzonych elementów zaktualizowanych z tej lokalizacji (tryb zastępowania)). Po jej wybraniu dany serwer SUS nie tylko będzie synchronizować swój katalog aktualizacji z innym serwerem SUS, lecz także będzie używać listy zatwierdzonych aktualizacji, pochodzącej z tego innego serwera.
•	Sekcja Select how you want to handle new versions of previously approved updates (Wybierz sposób postępowania z nowymi wersjami uprzednio zatwierdzonych aktualizacji) — tu należy określić, co SUS ma robić w sytuacji, gdy pojawiają się nowe wersje aktualizacji. Czasem się zdarza, że w aktualizacji zostanie wykryty błąd i wtedy Microsoft wydaje jej poprawioną wersję. Co się dzieje, jeśli taka aktualizacja została już uprzednio zatwierdzona? Czy SUS ma spowodować automatyczną instalację nowej wersji przez klienty AU? Jeśli tak, to należy wybrać opcję Automatically approve new versions of previously approved updates (Zatwierdzaj automatycznie nowe wersje uprzednio zatwierdzonych aktualizacji). Natomiast jeśli SUS powinien traktować nową wersję aktualizacji jak nową aktualizację wymagającą zatwierdzenia przed zainstalowaniem, to należy wybrać opcję Do not automatically approve new versions of previously approved updates. I will manually approve these later (Nie zatwierdzaj automatycznie nowych wersji uprzednio zatwierdzonych aktualizacji; będę je później zatwierdzać ręcznie).
•	Sekcja Select where you want to store updates (Wybierz, gdzie mają być przechowywane aktualizacje) — tu określa się miejsce przechowywania aktualizacji. Należy pamiętać, że SUS zawsze pobiera katalog, ale administrator może kontrolować, czy same aktualizacje mają być pobierane do serwera SUS, czy też mają pozostawać na serwerach Windows Update. W naszym przykładzie wybierzemy opcję Maintain the updates on a Microsoft Windows Update server (Trzymaj aktualizacje na serwerze Microsoft Windows Update). Jeśli natomiast chcemy pobrać aktualizacje do serwera SUS, należy ustawić opcję Save the updates to a local folder (Zapisz aktualizacje do folderu lokalnego), po czym wybrać języki, dla których mają być utrzymywane aktualizacje.

Po ustawieniu potrzebnych opcji we wszystkich pięciu sekcjach, należy kliknąć przycisk Apply (Zastosuj), co spowoduje zapisanie ustawień. Teraz jesteśmy już gotowi do skonfigurowania harmonogramu synchronizacji SUS i zatwierdzenia aktualizacji, które mają zostać zainstalowane.

Łącze Synchronize server (Synchronizuj serwer): po kliknięciu tego łącza wyświetlana jest strona synchronizacji serwera. Znajdują się na niej dwie opcje: Synchronize Now (Synchronizuj teraz), która powoduje ręczne zainicjowanie natychmiastowej synchronizacji, oraz Synchronization Schedule (Harmonogram synchronizacji), umożliwiająca ustawienie harmonogramu automatycznych synchronizacji. W naszym przykładzie klikamy opcję Synchronization Schedule. Pojawi się okno dialogowe Schedule Synchronization (Synchronizacja według harmonogramu) pokazane na rysunku 2. Jak widać, SUS można skonfigurować tak, by synchronizacja była wykonywana dopiero po jej zainicjowaniu przez administratora (tzn. bez harmonogramu). Można też ustalić harmonogram wykonywania synchronizacji — raz dziennie o określonej godzinie lub raz na tydzień w określonym dniu o określonej godzinie. Jeśli postanowimy użyć harmonogramu, zalecałbym zmienić godzinę ustawioną domyślnie (tj. 3.00 w nocy) — serwery Windows Update będą prawdopodobnie o tej porze bardzo zajęte obsługą żądań pobrania aktualizacji z wielkiej liczby serwerów SUS, w których pozostawiono ustawienie domyślne. Można także skonfigurować liczbę prób ponownej synchronizacji w przypadku, gdy za pierwszym razem operacja ta się nie powiedzie. Ustawienie domyślne wynosi trzy próby, z czasem oczekiwania 30 minut między nimi.

Rys. 2. Okno dialogowe Schedule Synchronization

Jako ćwiczenie skonfigurujmy SUS tak, aby synchronizacja następowała codziennie o godzinie 1.00 w nocy. Po wpisaniu takiego ustawienia klikamy OK. Zauważmy, że teraz na stronie synchronizowania serwera wyświetlana jest data i godzina następnej zaplanowanej synchronizacji. Na koniec należy kliknąć przycisk Synchronize Now (Synchronizuj teraz). Zauważmy, że SUS podaje informację o systemie, z którym się synchronizuje, oraz wyświetla postęp synchronizacji.

Łącze Approve updates (Zatwierdź aktualizacje): kliknięcie tego łącza powoduje wyświetlenie listy wszystkich aktualizacji w katalogu oraz umożliwia skonfigurowanie ich statusu, tak jak pokazano na rysunku 3. Katalog można sortować według daty lub tytułu aktualizacji, platformy (XP lub Win2K) bądź statusu. Aktualizacja może mieć status Approved (zatwierdzona do dystrybucji do odpowiednich klientów AU), Not Approved (niezatwierdzona do dystrybucji do żadnych klientów AU), New (nowa, dopiero co pobrana aktualizacja, jeszcze niezatwierdzona), Updated (nowa wersja wcześniej wydanej aktualizacji) bądź Temporarily Unavailable (aktualizacja chwilowo niedostępna do pobrania).

Rys. 3. Okno dialogowe Approve updates
Zobacz powiększony zrzut ekranu

Jeśli przewiniemy listę aktualizacji pokazaną na rysunku 3, to zobaczymy, że zatwierdzono już wszystkie 5 aktualizacji zabezpieczeń IE związanych z biuletynem 321232; dotyczą one wersji IE 6.0 (do XP), IE 6.0 (do Win2K), IE 5.5 SP2, IE 5.5 SP1 oraz IE 5.01. Chociaż wszystkie te aktualizacje zostały zatwierdzone, każdy klient AU zainstaluje tylko tę, która jest odpowiednia dla działającej na danym komputerze wersji IE.

W celu zatwierdzenia jednej lub więcej aktualizacji, należy zaznaczyć pole wyboru obok każdej z nich, po czym kliknąć Approve (Zatwierdź). Pojawi się okno dialogowe potwierdzenia, w którym należy kliknąć Yes (Tak). Z kolei SUS wyświetli okno dialogowe z listą zatwierdzonych aktualizacji i pytaniem, czy użytkownik akceptuje odnoszącą się do ich umowę EULA. W zależności od rozdzielczości ekranu oraz ustawień przeglądarki, przyciski Accept (Akceptuję) i Don't Accept (Nie akceptuję) mogą nie być widoczne, jeśli okno dialogowe okaże się zbyt małe, by wyświetlić wszystkie aktualizacje. Wielkości okna dialogowego nie można zmienić. W takiej sytuacji należy umieścić wskaźnik myszki na polu listy i nacisnąć klawisz Tab, co spowoduje pojawienie się niewidocznych wcześniej przycisków. Kliknięcie Accept zakończy proces zatwierdzania aktualizacji do dystrybucji do klientów AU.

Do początku strony

1 z 9

Zawartość artykułu

•	Instalowanie i konfigurowanie SUS
•	Instalowanie i konfigurowanie Automatic Updates
•	Wdrażanie aktualizacji w środowisku eksploatacyjnym przy użyciu SUS
•	Kwestia przepustowości pasma
•	Użycie więcej niż jednego serwera SUS
•	Monitorowanie aktywności
•	Zapobieganie ingerencji użytkowników
•	Odbieranie powiadomień pocztą elektroniczną
•	Copyright

Pobierz

Przyspiesz proces aktualizowania swoich komputerów z systemami Windows 2000, Windows XP lub Windows Server™ 2003, pobierając najnowsze krytyczne uaktualnienia.

SUS z Service Pack 1 (j.ang.)

Rozmiar: 33 MB

Windows automatic updating to funkcja powiadamiająca o udostępnieniu nowych uaktualnień dla Twojego komputera. Pobierz i zainstaluj ten plik, aby otrzymywać powiadomienia o krytycznych aktualizacjach systemu Windows.

SUS-Client

Rozmiar: 1 MB