Межсетевые экраны

Часть 2. Управление обновлениями

Теперь рассмотрим порядок действий по настройке сервера обновлений для эффективного использования в конкретной информационной системе.

Настройки делаются через оснастку Microsoft Windows Server Update Services 3.0 SP1, которая после установки должна появиться в разделе Administrative Tools меню Start ( рис. 13.11). Начнем с управления группами компьютеров. По умолчанию создается группа Unassigned Computers, в которую будут помещаться все компьютеры. С помощью контекстного меню узла All Computers можно создать новую группу, как это показано на рисунке.

увеличить изображение
Рис. 13.11. Создание новой группы компьютеров

увеличить изображение
Рис. 13.12. Настройка правил обновления

Если заранее создать группы, можно будет сразу определить, какие обновления устанавливать на компьютеры, относящиеся к той или иной группе. Можно сделать правило для автоматического одобрения ( approval ) установки обновлений для определенных групп или всех компьютеров. Делается это из раздела Options, пункт Automatic Approvals ( рис. 13.12). Там можно создать собственное правило или отредактировать правило по умолчанию ( Default Automatic Approval Rule ). Когда правила определены, можно провести синхронизацию с сервером Microsoft для получения перечня обновлений ( рис. 13.13). Синхронизация может быть запущена вручную из раздела Synchronizations или проводиться по расписанию (для успешной синхронизации должно быть установлено подключение к Интернет).

увеличить изображение
Рис. 13.13. Настройка синхронизации

увеличить изображение
Рис. 13.14. Одобрение обновлений вручную

После того как проведена синхронизация и сработало правило "автоматического одобрения", отдельные обновления могут оказаться не одобренными к распространению. Администратор может их одобрить вручную, выбрав в разделе Updates с помощью фильтра и воспользовавшись контекстным меню ( рис. 13.14).

Задание

Создайте группы компьютеров.

Подготовьте правило автоматического одобрения обновлений с учетом созданной структуры групп.

Проведите синхронизацию с сервером Microsoft.

Если какие-то из критических обновлений не одобрены автоматически, сделайте нужные настройки вручную.

Часть 3. Распространение обновлений

Как уже отмечалось выше, для эффективного использования WSUS нужно, чтобы компьютеры были организованы в домен Windows. Тогда с помощью доменной политики можно настроить службу обновлений компьютеров-членов домена на получение обновлений с сервера WSUS.

Для редактирования политики в меню Administrative Tools выберем оснастку Group Policy Management, в ней найдем доменную политику по умолчанию - Default Domain Policy, и в контекстном меню выберем пункт Edit. В открывшемся окне редактора политик раскроем узел Computer Configuration —>Policies —> Administrative Templates. В контекстном меню узла Administrative Templates выберем добавление шаблона Add/Remove Templates ( рис. 13.15).

увеличить изображение
Рис. 13.15. Добавление административного шаблона

увеличить изображение
Рис. 13.16. Добавление административного шаблона (продолжение)

В папке для шаблонов (например, C:\Windows\inf ) найдем шаблон wuau, записанный туда при установке WSUS ( рис. 13.17). После того как шаблон добавлен, понадобится настроить компьютеры на получение обновлений. Поочередно раскроем узлы политики Computer Configuration —> Administrative Templates —> Windows Components —> Windows Update. Двойным щелчком откроем Specify intranet Microsoft update service location, активируем политику (переключатель - в Enabled ) и пропишем URL сервера обновлений в строках Set the intranet update service for detecting updates и Set the intranet statistics server ( рис. 13.17). На рисунке представлена настройка для сервера обновлений Server1.

увеличить изображение
Рис. 13.17. Описываем путь к серверу обновлений

Среди прочих политик для службы Windows Update хотелось бы также отметить Automatic Updates detection frequency, позволяющую определить частоту проверки рабочей станцией наличия новых обновлений, и Configure Automatic Updates Properties, которая дает возможность указать правила работы с обновлениями - устанавливать, только уведомлять пользователя и т.д.

Когда настройки сделаны и сохранены, можно дождаться момента, когда они применятся, или ускорить это процесс, выполнив на компьютерах команду gpupdate /force. После того, как компьютер обратится за обновлениями, администратор сможет увидеть его в консоли управления и при необходимости переместить его из группы Unassigned Computers в какую-либо другую ( рис. 13.18). Также администратору доступна информация о числе обновлений, требующихся для данного компьютера, ошибках при установке обновлений и т.д. Чтобы увидеть общую картину, можно сформировать отчеты (узел Reports ).

увеличить изображение
Рис. 13.18. Перемещение компьютера в другую группу

Задание

Настройте политику распространения обновлений. Проверьте ее работу.

Сформируйте отчет о распространении обновлений.