SUS és WUS II.
2005/01/26 13:56
584 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A köztes patch management megoldás

A SUS működéséről tömören

A SUS működése a kliens-szerver modell alapján történik. A SUS szerver ugyanazt a technológiát használja, mint amelyet a Microsoft alkalmaz a publikus Windows Update oldalnál, míg a SUS kliens gyakorlatilag ugyanazt az Automatic Update klienst jelenti, amellyel pl. a Windows XP (SUS hiányában) közvetlenül a Windows Update szerverekről végzi a frissítéseket. A két komponens van tehát, ezek közül a SUS szervert csak és kizárólag Windows 2000/2003 kiszolgálóra tehetjük, célszerűen a tűzfal mögé. Az AU klienst pedig a Windows 2000 SP2-tól bármelyik operációs rendszer futtathatja (természetesen a szerver verziók is). Az ügyfél operációs rendszerek között csupán annyi különbség van, hogy a Windows 2000 SP2, illetve a Windows XP RTM változatai nem tartalmazzák alapból az AU klienst, ezért fel kell rá telepítenünk (wuau22.msi), akár manuálisan, akár pl. a Csoportházirend segítségével. Még annyi érdekességképpen, hogy az Automatic Updates kliens 24 nyelven érhető el, míg a szerverből angol és japán változatok léteznek.

A működést egyik sarokpontja az, hogy kizárólag a SUS szerver fog szinkronizálni a Windows Update szerverekkel, az üzemeltető által kiválasztott módon (alkalomszerűen manuálisan indítva vagy időzítve). A szinkronizáció csak a fenti operációs rendszerek és gyári komponenseik (IIS, OE, Messenger, stb.) kritikus frissítéseire vonatkozik, plusz a csoportosított biztonsági javítócsomagokra (security rollups) és a szervizcsomagokra.
Amennyiben egy frissítést letöltünk, még nem települ automatikusan, hanem először engedélyeznünk kell (approve). Ez fáradságos munka :D, mert egyelőre egyesével kell megtennünk, a csoportos kijelölés a WUS egyik "jósága" lesz. Ha engedélyeztük, akkor a szerveroldalon kész vagyunk, viszont helyes beállítások esetén a kliensoldalon sem kell semmi továbbit cselekednünk, hiszen amikor a kliens legközelebb kapcsolatba lép a szerverrel, akkor egy gyors vizsgálat után kiderül, hogy a legutoljára letöltött csomagok közül jár-e neki valami, és ha igen, akkor a vonatkozó beállítások alapján letölti és/vagy telepíti is.

SUS előkészületek és telepítés

A SUS szerverhez feltétlenül kell ugyanazon a gépen egy IIS (és a szabad 80-as port, mert a kliensekkel csak ezen az egy porton keresztül tud kommunikálni), és pár GB-nyi háttértár. Ennek méretével kapcsolatban 6 GB az ajánlás, ám ez a nyelvektől függően kevesebb is lehet. Személyes tapasztalatom szerint egy kb. 100 gépes hálózatban, két nyelvvel, kétfajta klienssel és ugyancsak kétfajta kiszolgálószoftverrel a kezdetek óta működtetve, a helyfoglalás kb. 2,5 GB. Az előkészületekkel kapcsolatban maximum a letöltendő tartalom (Update Storage) külön partícióra helyezését indokolt megemlíteni. Maga a telepítés (a letölthető csomagból a Sus10sp1.exe indításával) "next-next-finish" típusú, nem okozhat problémát. Telepítés közben kiválaszthatjuk azokat a nyelveket, melyekhez passzoló nyelvű szoftvereinkhez a SUS a frissítéseket le fogja tölteni, valamint eldönthetjük azt is, hogy abban a kényes szituációban, amikor egy már engedélyezett javításhoz ad ki egy javítást a Microsoft, akkor annak terítését automatikusan engedélyezzük, vagy nem.
Automatikus vagy kézi engedélyezés a javított javításoknál?

A telepítéskor megadott beállításokat (a háttértárra vonatkozó kivételével, bár trükközni azért ott is lehet, lásd később), utólag is megváltoztathatjuk.
Egy fontos közlendő még hátravan a Windows 2000 Serverre telepített SUS-sal kapcsolatban. Mivel az IIS5 nem rendelkezik azokkal a biztonságosságot támogató megoldásokkal, mint a Windows Server 2003-ba integrált IIS6, ezért külső programokkal kell megtámogatni. Ilyen program pl. az IIS Lockdown és az URLScan is, amelyek a SUS telepítése közben automatikusan felkerülnek a rendszerünkre. Korlátozó hatásuk azonban az egész IIS-re kiterjed, ezért ezt vegyük figyelembe az esetleges későbbi webszerver problémák során. Ha volt már a rendszerünkön URLScan, akkor a frissítések letöltése is problémás lehet, ezért vagy szedjük le előtte, vagy az URLScan naplói alapján korrigáljuk a beállításait. Ezekről az eszközökről ezen a címen lehet informálódni. A telepítés utáni rögtön hozzáláthatunk a SUS szerver beállításához, amelyet egy IE-ből érhetünk el a következő címen: http://szerver_neve/susadmin. Célszerű a baloldali faszerkezetben a "Set Options" szakasszal kezdenünk. Először adjuk meg a szükséges proxy beállításokat, címet, portot és az esetleges fiókot is, amely nevében a SUS "kilát" majd a WU szerverekre. Ha a proxy szerverünk megköveteli (vagy nem tud mást) a Basic típusú hitelesítést, akkor pipáljuk ki a "Allow basic authentication when connecting to proxy server" négyzetet.

A proxy hitelesítéssel kapcsolatban két fontos dologról kell még beszámolni:

  1. Ha a SUS-t az ISA szerveren vagy egy (ISA-t is tartalmazó) SBS-en futtatjuk, akkor a felhasználói fiók kitöltésének formulája artománynévfióknév legyen.
  2. A proxy konfigurációs beállítást a SUS csak akkor használja, ha a WU szerverekhez kapcsolódik. Abban az esetben, ha több SUS szerverünk van egy hierarchikus rendszerben, és szinkronizációra lesz szükség közöttük akkor a WinHTTP alapértelmezés szerint a WINHTTP_ACCESS_TYPE_NO_PROXY függvényt hívja meg, ezzel megtiltva, hogy az adott kliens SUS a netről töltsön le bármilyen tartalmat vagy engedélyezési listát egy esetlegesen hamis SUS szerverről.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek