Serverskolen del 7: Automatiske oppdateringer med WSUS

WSUS er enkelt og greit din egen windows update server. Det er en Windows Server 2008 R2 server som du setter opp med rollen WSUS som blir det ene punktet i ditt nett som laster ned windows updates. Deretter vil denne serveren kommunisere med alle maskinene som er medlem av domenet ditt og gi disse de oppdateringene de trenger. Dette innebærer at hver oppdatering blir kun lastet ned en gang og siden det er allmenn IT-kunnskap at virtuelle maskiner formerer seg som kaniner så blir det fort en god del nedlastingstrafikk. Ved å ha ett sentralt punkt som laster ned oppdateringer så reduserer du båndbreddebruken din drastisk. Bruk av WSUS gjør det også lettere å holde kontroll på hva som skal oppdateres og når det skal gjøres.

Hva er WSUS?

  • Windows Server Update Services
  • Enkel, lavkost løsning for distribusjon av Microsoft oppdatering
  • Distribuerer bare MS Oppdateringer (Skal du distribuere tredjepartsoppdateringer trenger du Configuration Manager 2007)

WSUS kan benyttes i fire mulige oppsett, enkel, sentralisert, distribuert og offline.

Enkel

  • En enkelt server kan håndtere 25 000 klienter.
  • Remote SQL løsning gir bedre last for WSUS-serveren

WSUS Enkel

Sentralisert

  • Her lastes alle oppdateringene ned til en sentralisert WSUS-server som da replikerer innholdet sitt til andre WSUS-servere som er eksakt kopier av den sentralie serveren.

WSUS Sentralisert

Distribuert

  • Her har du en topologi med flere WSUS-servere hvor hver av en av de laster ned oppdateringer fra en sentral WSUS-server i nettverket, men som samtidig kan inneholde ulike subsett av disse oppdateringene. Dette krever mer administrasjon, men sparer samtidig båndbredde.

WSUS Distribuert

Offline

  • I situasjoner hvor nettverket du jobber med ikke er online så funger denne modellen hvor oppdateringene manuelt flyttes over på en USB-minnepenn eller liknende. Dette er for å øke sikkerheten på anlegg som ikke skal være koblet til nettet.

WSUS Offline

 

Installasjon av WSUS

Installasjonen av WSUS er todelt, først installasjon av rollen på serveren og så konfigurasjon group policy på domenekontrolleren for at alle maskinene i domenet skal bli automatisk konfigurert med wsus-serveren sin IP og reglene som er satt for oppdatering. Som før så har du valget mellom å legge denne tjenesten på en eksisterende server eller opprette en ny virtuell server som du kaller WSUS. Jeg har en server som heter Systemcenter som jeg har blant annet WSUS og andre administrasjonsserverroller fra Microsoft. Akkurat her blir det litt opp til deg og hvor mye ressurser du har på systemet ditt, men det er ikke noe problem å samle litt tjenester sammen i en hjemmelab. I et produksjonsmiljø derimot så er det ønskelig å separere tjenestene så tydelig som mulig fra hverandre for å skape redundans og minske lasten på maskinene.

Steg for steg installasjon:

Installer Microsoft Report Viewer Redistributable 2008
http://www.microsoft.com/download/en/details.aspx?id=6576

Nettverk:
Port: 80 og 443
Er serveren brannmur konfigurert slik at klienter for tilgang?
Kan serveren kontakte upstream server (Microsoft Update)?

Installer WSUS:
Installasjon av WSUS kan startes fra nedlastet WSUSSetup.exe eller gjennom Server Manager. (Server Manager laster ned). Vi bruker server manager og installerer den som en rolle.

Bruk følgende valg:

  • Full server installation including Administration Console
  • Store updates locally (feks E:\WSUS)
  • Use an exisiting database server on this computer (feks SQLEXPRESS )
  • Use the existing IIS Default Web site (recommended)
  • På Mirror update settings så hopper du bare over dette valget da dette er vår første WSUS server og vi ikke har et hierarki av de.

WSUS Configuration Wizard:
Bruk følgende valg:

  • Choose Upstream Server
    • Syncronize from Microsoft Update
  • Chose languages
    • English
    • Norwegian
  • Choose Products – Her velger du produktene som WSUS skal laste ned oppdateringer for.
  • Choose Classification – Her velger du hvilke typer oppdateringer som du ønsker å laste ned.
  • Configure Sync Schedule – Og her bestemmer du når ting skal skje.

Etter konfigurasjon må WSUS synkroniseres. Start Update Services (WSUS-GUI), høyreklikk på Synchronization og velg Synchronize Now (dette tar tid…).s
Konfigurer klienter til å motta oppdateringer fra WSUS:
Vi skal styre klientoppgraderingene våre med Group Policy slik at klientene velger å laste ned oppdateringer fra din WSUS. I ett lite miljø kan det være enklest å legge til en ny Administrative Template for WSUS.

Vi skal endre følgende innstillinger:

  • Configure Automatic Updates
    • Enable og Auto download and notify for install (eller annet hvis ønsket)
    • Specify intranet Microsoft update service location.
      • Enavle og skriv inn din WSUS server med http://
      • Enable client-side targeting
        • Enable og velg gruppe(r) hvor klientene skal tilhøre for oppdateringer.
        • Resterende GPO konfigurasjon kan tilpasses deres miljø.

Edit policyen du ønsker å endre og utvid Computer Configuration>Administrative Templastes>Windows Componentes og velg Windows Updates.

Hvis maskin som ikke er med i AD domenet skal oppdateres med WSUS serveren, velg  local group policy.
Opprett Computer Groups
Det bør opprettes en testgruppe for oppdateringer. I WSUS Admin Console velg Computers og opprett ny testgruppe. For eksempel test. Legg til maskiner du ønsker å ha i testgruppa.
Utrulling av oppdateringer
I WSUS Admin Console velg Updates.  Approve de oppdateringer du ønsker installert og velg hvilken gruppe du ønsker oppdateringen installert til. På det tidspunktet du har bestemt i Group Policy så vil da oppdateringene lastes ned og installeres på maskinene som trenger de.
Feilkoder…:

  • 0x8DDD0018 hvis en av disse services er Disabled
    • Automatic Updates
    • BITS
    • Event Log
    • 0x80072EE2, 0x80072EFD typisk hvis proxy, firewall eller trusted host er problemet
    • 0x80246008, 0x8024402C BITS
      • Bitsadmin /util /repairservice /force
      • Eventuel BITS re-installasjon
      • 0x80244019 Årsaken er som oftest feil ved proxy konfigurasjon
        • Sjekk at proxy server ønsker anonym aksess til disse adressene:
          • http://windowsupdate.microsoft.com
          • http://*.windowsupdate.microsoft.com
          • https://*.windowsupdate.microsoft.com
          • http://*.update.microsoft.com
          • https://*.update.microsoft.com
          • http://*.windowsupdate.com
          • http://download.windowsupdate.com
          • http://download.microsoft.com
          • http://*.download.windowsupdate.com
          • http://wustat.windows.com
          • http://ntservicepack.microsoft.com

1. Hvorfor bygge egen server?
2. Budsjett, hardware og planlegging
3. Bygging og installasjon av OS
4. Installasjon av hyper-v, syspreppet image og domenekontroller
5. Installasjon av TMG (Threat Managment Gateway)
6. Hvordan sette opp VPN på TMG
7. Automatiske oppdateringer med WSUS
8. Backup av virtuelle maskiner
9. 13 må ha applikasjoner for en hjemmeserver