Instalacja i konfiguracja serwera WSUS Program Windows Server Update Services 3.0 to zaawansowane narzędzie służące do zarządzania aktualizacjami w sieci. Głównym zadaniem serwera WSUS jest synchronizacja aktualizacji dla wyznaczonych produktów z serwerami Windows Update firmy Mircrosoft oraz zarządzanie nimi w lokalnej sieci. Zastosowanie serwera WSUS umożliwia administratorowi centralne zarządzanie aktualizacjami dla komputerów współpracujących z serwerem WSUS, a także zmniejsza ruch w sieci ponieważ aktualizację pobierane są z serwera WSUS, a nie serwera Windows Update. Celem ćwiczeń jest zapoznanie się z procesem instalacji oraz konfiguracji serwera WSUS, a także konfiguracji komputerów klienckich. Ćwiczenie 1 Instalacja serwera WSUS 0. Upewnić się, że komputer z zainstalowanym systemem Windows Server 2008 ma zapewniony dostęp do Internetu. Jeżeli wykorzystywana jest maszyna wirtualna z systemem Windows Server 2008 należy jej kartę sieciowa skojarzyć kartą sieciową hosta zapewniającą dostęp do Internetu. Należy także pamiętać o prawidłowej konfiguracji IP karty sieciowej (w pracowni z DHCP). 1. Aby skonfigurować serwer WSUS należy zalogować się do Windows Server 2008, a następnie uruchomić Start -> Programs -> Administrative Tools -> Server Manager. 2. Pojawi się okno do zarządzania serwerem. Należy ot wierzyć Roles, a następnie wybrać Add Roles. 1
3. Po otworzeniu okna pojawia się list ról serwera, które można zainstalować. Wybieramy Windows Server Update Services. Automatycznie powinna się również zaznaczyć rola Web Server (IIS), która jest niezbędna do funkcjonowania serwera WSUS. Jeżeli rola Windows Server Update Services nie jest widoczna na liście wyboru, należy zaznaczyć jedynie rolę Web Server (IIS), a po zakończeniu pracy instalatora ról uruchomić osobny instalator roli Windows Server Update Services. 4. W oknie wyboru usług Web Servera (IIS) należy wybrać przede wszystkim usługę ASP.NET, wszystkie usługi z grupy Security, usługę Dynamic Content Compression, wszystkie usługi z grupy Management Tools oraz inne wymagane do ich poprawnego funkcjonowania. Można również wybrać dodatkowe usługi. Opis każdej z nich jest wyświetlany w prawej części okna. (Jeżeli IIS był już wcześniej zainstalowany jego instalacja może przebiegać inaczej w zależności od wcześniejszej konfiguracji). 2
5. W oknie podsumowania sprawdzamy wybrane opcje instalacji. Na tym etapie można się cofnąć i dokonać stosowanych zmian lub jeśli wszystko zostało zaznaczone prawidłowo przejść do instalacji wybierając Install. 6. Jeżeli na liście wyboru ról była widoczna i została wybrana rola Windows Server Update Services zostanie uruchomiony kreator instalacji serwera WSUS. W przeciwnym wypadku po zakończeniu działania instalatora ról należy uruchomić osobny instalator roli Windows Server Update Services. 3
7. Jeżeli Microsoft Report Viewer 2008 nie jest zainstalowany zostanie wyświetlona informacja o konieczności jego instalacji, aby było możliwe przeglądanie raportów serwera WSUS. 8. Następne okno dotyczy wyboru folderu w którym będą przechowywane aktualizacje dla komputerów klienckich. Wymagany jest dysk sformatowany w systemie plików NTFS oraz minimum 6 GB wolnego miejsca. Po wskazaniu folderu C:\WSUS należy wybrać Next. 9. Kolejny etap to wskazanie bazy danych. Do wyboru są trzy opcje: instalacji nowej bazy na lokalnym komputerze; podanie ścieżki do istniejącej bazy na lokalnym komputerze; podanie ścieżki do bazy umieszczonej na innym serwerze. W ćwiczeniu należy wybrać instalację nowej bazy na lokalnym komputerze, tak jak na rysunku. 4
10. Następnie trzeba wybrać ustawienia dla strony Web serwera WSUS. Można wykorzystać już istniejącą domyślna stronę serwera IIS lub utworzyć nową tylko dla serwera WSUS. W ćwiczeniu należy wybrać utworzenie nowej strony. 11. Następnie należy sprawdzić wszystkie ustawienie i potwierdzić je wybierając Next lub poprawić cofając się do poprzednich okien korzystając z przycisku Back. Po zatwierdzeniu następuje instalacja serwera WSUS. 12. Po zakończonej instalacji należy zainstalować Microsoft Report Viewer 2008 (jeżeli został uruchomiony kreator konfiguracji serwera WSUS nie należy go zamykać). 5
2. Konfiguracja serwera WSUS 1. Po zakończeniu instalacji zostanie uruchomiony kreator konfiguracji serwera WSUS. Pierwszą czynnością jaka należy wykonać w trakcie konfiguracji jest podanie serwera aktualizacji, z którego zainstalowany serwer WSUS ma pobierać aktualizacje (proces ten jest nazywany synchronizowaniem). Można ustawić synchronizację z serwera Microsoft Update lub z innym serwerem WSUS, który będzie serwerem nadrzędnym. W ramach ćwiczenia należy wybrać synchronizację z serwerem Microsoft Update. 2. Nastąpi synchronizacji serwera WSUS, w trakcie której zostaną pobrane informacje o produktach dla których są dostępne aktualizacje. 3. Kolejny krok to wybór języka aktualizacji, które mają być pobierane. Należy wybrać jak na rysunku. 4. W oknie wyboru produktów dla których mają być pobierane aktualizacje należy wybrać całą rodzinę systemów Windows. 6
5. Następnie można sprecyzować, które klasy aktualizacji chcemy synchronizować. 6. Synchronizacja może być uruchamiana ręcznie lub automatycznie. W ćwiczeniu należy wybrać automatycznie o godzinie 3:00 każdego dnia (w nocy serwer jest mniej obciążony, a także zapotrzebowanie na przepustowość sieci jest mniejsze). 7
7. Można także wybrać uruchomienie synchronizacji po zakończeniu kreatora konfiguracji (w warunkach laboratoryjnych powinno być odznaczone). 8. Należy zakończyć działanie kreatora. 9. Jeżeli do serwera WSUS nie jest podłączony żaden komputer kliencki może pojawić się komunikat, że żaden komputer nigdy nie kontaktował się z serwerem. 8
3. Zarządzanie serwerem WSUS i aktualizacjami 1. Do zarządzania serwerem WSUS oraz aktualizacjami służy konsola Windows Server Update Services. Można ja uruchomić z narzędzi administracyjnych lub uruchamiając mmc.exe i dodając przystawkę (Snap-in) Update Services. 2. Dodaj nową grupę komputerów o nazwie Workstations. 9
3. W opcjach komputerów (patrz rysunek) ustaw aby komputery były dołączane do grup przy użyciu konsoli Update Services. 4. Otwórz reguły automatycznego zatwierdzania aktualizacji (patrz rysunek) i utwórz nową regułę o nazwie Critical and Security Updates for Workstations. 5. Reguła ma zapewniać zatwierdzanie aktualizacji krytycznych oraz aktualizacji zabezpieczeń dla produktów z rodziny Windows dla wszystkich komputerów z grupy Workstations. 10
6. Ustaw powiadamianie e-mailem raz dziennie o godzinie 23:00 na adres admin@kisn.local, gdzie N to nr komputera w pracowni. Jako serwer smtp podaj smtp.kis1.local a jako nadawcę WSUS z adresu e-mail wsus@kisn.local. 7. W ustawieniach personalizacji można sprawdzić jakie czynności jeszcze powinny zostać wykonane. 8. Uruchom kreator oczyszczania serwera z domyślnymi parametrami. 11
9. Sprawdź status przeprowadzonych synchronizacji. 10. Wygeneruj raport podsumowujący status aktualizacji (Update Status Summary). 12
4. Konfigurowanie klientów do korzystania z serwera WSUS 1. Używając Server Manager utwórz OU o nazwie Laboratorium bezpośrednio w domenie kisn.local, gdzie N to nr komputera w pracowni (należy użyć Roles->Active Directory Domain Services->Active Directory Users and Computers) 2. Utwórz nowe GPO o nazwie Updates from WSUS i podepnij je do OU Laboratorium (należy użyć Features->Group Policy Management) 3. Edytuj stworzone GPO. 4. Rozwiń węzeł Computer Configuration, nastepnie węzeł Policies, Administrative Templates, Windows Components, a następnie kliknij pozycję Windows Update. 5. W okienku szczegółów kliknij dwukrotnie pozycję Configure Automatic Updates. 6. Kliknij pozycję Enabled, a następnie kliknij jedną z następujących opcji: (2) Powiadom o pobieraniu i powiadom o instalacji. Ta opcja służy do powiadamiania zalogowanego użytkownika administracyjnego przed pobraniem i przed zainstalowaniem aktualizacji. (3) Pobierz automatycznie i powiadom o instalacji. W przypadku tej opcji pobieranie aktualizacji rozpoczyna się automatycznie, a następnie zalogowany użytkownik administracyjny jest powiadamiany o zamiarze ich zainstalowania. (4) Pobierz automatycznie i zaplanuj instalację. W przypadku tej opcji aktualizacje są pobierane automatycznie, po czym są instalowane w określonym dniu i o określonej godzinie. (5) Zezwalaj lokalnemu administratorowi na wybranie ustawienia. W przypadku tej opcji administratorzy lokalni mogą wybierać opcje konfiguracji za pomocą apletu Aktualizacje automatyczne w Panelu sterowania. Na przykład mogą oni wybrać własną planowaną godzinę instalacji. Administratorzy lokalni nie mogą wyłączać Aktualizacji automatycznych. 7. Wybierz Auto download and notify for install, ustaw harmonogram codziennie o godzinie 8:00, a następnie kliknij przycisk OK. 13
8. W okienku szczegółów kliknij dwukrotnie pozycję Specify intranet Microsoft update service location. 9. Kliknij pozycję Enabled. W polach adresów wprowadź adres serwera WSUS http://serwern.kisn.local, gdzie N to nr komputera w pracowni. Potwierdź ustawienia klikając przycisk OK. Uwaga Jeśli do wskazywania komputerowi serwera WSUS jest używany lokalny obiekt zasad grupy, to ustawienie jest stosowane natychmiast i wkrótce nazwa tego komputera jest wyświetlana w konsoli administracyjnej programu WSUS. Ręcznie inicjując cykl wykrywania, można przyspieszyć ten proces. Po skonfigurowaniu komputera klienckiego i upływie kilku minut jego nazwa zostanie wyświetlona na stronie Komputery w konsoli administracyjnej programu WSUS. W przypadku komputerów klienckich skonfigurowanych przy użyciu zasad grupy opartych na domenie odświeżenie zasad grupy (czyli zastosowanie nowych ustawień zasad do komputera klienckiego) może potrwać około 20 minut. Domyślnie zasady grupy są aktualizowane w tle co 90 minut z losowym przesunięciem od 0 do 30 minut. Aby szybciej zaktualizować zasady grupy, można przejść do wiersza polecenia na komputerze klienckim i wpisać polecenie gpupdate /force. W przypadku komputerów klienckich skonfigurowanych za pomocą lokalnego obiektu zasad grupy zasady grupy są stosowane natychmiast, a aktualizowanie trwa około 20 minut. W przypadku ręcznego zainicjowania wykrywania nie trzeba czekać 20 minut na nawiązanie przez komputer kliencki połączenia z programem WSUS. Aby ręcznie zainicjować wykrywanie przez serwer WSUS 1. Na komputerze klienckim kliknij przycisk Start, a następnie kliknij polecenie Uruchom. 2. W polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK. 3. W wierszu polecenia wpisz polecenie wuauclt.exe /detectnow. Ta opcja wiersza polecenia instruuje funkcję Aktualizacje automatyczne o konieczności natychmiastowego nawiązania połączenia z serwerem WSUS. 14