2.2.2 Software Update Services

SUS (Software Update Services) и SMS для автоматизированной установки обновлений, возможности SUS, настройка клиентов Windows для работы с SUS

Существуют два решения, которые Microsoft рекомендует использовать для управления патчами на предприятиях: Software Update Services (SUS) - для небольших и средних предприятий и Systems Management Server (SMS) - для крупных предприятий. SMS - это универсальное решение, которое, кроме управления патчами, можно также использовать для автоматизированной установки и обновления приложений, проведения инвентаризаций, получения доступа к рабочим столам пользователей и т.п. SMS - приложение достаточно дорогостоящее и ресурсоемкое (кроме того, обязательно требует наличия SQL Server для хранения своей информации), кроме того, он менее удобен для управления патчами, чем специализированные приложения. Скорее всего, SMS удобнее устанавливать не для управления патчами, а как часть общей IT-инфраструктуры предприятия, если такая потребность существует. Для удобства управления патчами для SMS предназначено специальное дополнение - SUS Feature pack.

Software Update Services позиционируется как бесплатное решение для небольших и средних предприятий. Как было написано в рейтинге одного из журналов, его бессмысленно сравнивать с коммерческими системами patch management - слишком много функциональных возможностей отсутствуют. Тем не менее это - вполне работоспособное, простое и надежное решение, которое может пригодиться на многих предприятиях (хотя за счет ведения централизованной базы данных обновлений и автоматизации установки патчей). SUS обладает следующими возможностями:

·        ведение централизованного каталога обновлений (по умолчанию в каталоге C:\SUS\Content, можно определить и другой каталог);

·        есть возможность утверждать патчи (автоматически или вручную), прежде чем они будут доставлены клиентам;

·        возможность указывать одному серверу SUS в качестве источника обновлений другой сервер SUS - экономится сетевой трафик в распределенных сетях: на каждой площадке можно поставить свой сервер SUS и качать обновления из Интернета только один раз;

·        клиент SUS интегрирован в операционные системы Windows (подробнее про это - ниже);

·        все управление производится через Web-интерфейс. Страница администратора - http://имя_сервера/SUSAdmin, а клиенты обращаются на сервер напрямую.

К большим недостаткам SUS можно отнести то, что у него нет фильтра для скачиваемых патчей (кроме языковых) - он скачивает все подряд, и количество загружаемых из Интернета патчей измеряется сотнями (при среднем размере в несколько Мбайт). Кроме того, нет возможности разделять клиентов на группы, чтобы устанавливать патчи в соответствии со своими правилам, нет возможности производить откат установленных изменений, нет возможности устанавливать обновления для Office, Exchange, продуктов третьих фирм, нет многих других возможностей, которые имеются у платных корпоративных средств.

Как производится установка и настройка SUS:

1) Вначале нужно установить сервер SUS. Он устанавливается очень быстро и просто, и после окончания перезагрузка не требуется. В процесс установки можно настроить некоторые параметры (например, путь к каталогу патчей), которые потом при желании можно изменить. Единственный момент, который требует внимания - нет ли на сервере SUS установленного Web-приложения (если оно находится на Web-сервере по умолчанию, оно будет отключено);

2) после установки необходимо открыть страницу /susadmin на сервере, на котором был установлен SUS, настроить параметры сервера (например, прокси-сервер, через который будет происходить загрузка обновлений) и синхронизировать сервер, скачав с сайта Microsoft все обновления. Лучше запланировать синхронизацию (встроенными средствами) на ночь, поскольку потребуется скачать сотни мегабайт обновлений;

3) следующее, что нужно сделать - настроить клиентов SUS. Клиенты SUS (официальное название - Automatic Updates) встроены в Windows 2000 SP3, Windows XP SP1 и Windows 2003. Другие операционные системы не поддерживаются, для Windows 2000 и XP до установленных соответствующих SP можно скачать отдельный клиент. Элементарные возможности настройки Automatic Updates доступны из свойств системы, однако самой важной возможности - указать имя сервера SUS при помощи графического интерфейса вы не сможете. Изменить параметры клиентов можно при помощи групповых политик, но чтобы получить такую возможность, нужно взять из каталога c:\windows\inf на компьютере, где установлен SUS, шаблон wuau.adm, поместить его в такой же каталог на контроллере домена - PDC Emulator, и импортировать этот шаблон (контекстное меню к контейнеру Administrative Templates под Computer Configuration в редакторе групповых политик). Если же компьютер не входит в домен или у вас нет возможности использовать групповые политики, то придется редактировать реестр. Файл *.reg, который можно использовать в качестве шаблона при внесении изменений в реестр, можно найти в каталоге Управление патчами\SUS на компакт-диске. Желательно также при этом при помощи групповой политики отключить ярлык Windows Update на компьютерах пользователей.

В 2005 году Microsoft планирует выпустить программный продукт, который должен заменить SUS - Windows Update Service. Этот продукт, судя по всему, будет похож на урезанную версию SMS. Он потребует минимум 512 Мбайт оперативной памяти (рекомендуется 1 Гбайт) и SQL Server или MSDE и сможет устанавливать обновления не только для операционных систем, но и для Office, Exchange и SQL Server. В нем предполагается реализовать возможность автоматического отката изменений, специальный алгоритм минимизации трафика (будут передаваться только изменения в файлах), некоторые возможности сканирования клиентов, возможность указания клиентов, механизм генерации отчетов и т.п.

Получить учебные материалы по этому курсу