SUS és WUS V.
2005/01/26 14:09
569 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A köztes patch management megoldás

Az Automatic Updates kliensről (folytatás)

A kliens beállításainak ellenőrzéséhez pedig remekül használhatjuk a fenti képen látható eszközt (AUBehave.vbs), amely több más alkalmazással és információval együtt egy MVP kolléga, Scott Korman weboldalán található. Az AUBehave.vbs hasznos ellenőrző eszköz Van más módszer is az AU kliensek működésének ellenőrzésére, mégpedig az IIS naplóállományain keresztül. Amennyiben nem akarunk sokat mazsolázni, akkor megtehetjük, hogy megváltoztatjuk IIS naplózást, úgy, hogy csak az AU kliensek forgalmát tartalmazza:

  1. Nyissuk meg az IIS Admin MMC-t.
  2. Válasszuk ki a Default Web Site-ot, majd a tulajdonságait, majd a Home Directory fülön töröljük a "Log Visits" négyzetet és OK.
  3. A Default Web Site-ot kiválasztva keressük meg a jobboldali ablakban a wutrack.bin állományt.
  4. A tulajdonságai között kattintsuk be a "Log Visits" négyzetet. Innentől más nem lesz az IIS naplókban, csak a SUS-AU forgalom részletei.

További SUS extrák

Több SUS szerver

Ha a tartományunk mérete, vagy földrajzi elhelyezkedése vagy éppen a hálózat szegmentáltsága megkívánja, akkor tetszetős SUS hierarchiát építhetünk fel. Ekkor mindig ki kell jelölni egy elsődleges SUS szerver-t, amely kapcsolatban lesz a WU szerverekkel, és a többi SUS szerverrel is. Ez a szerver fogja letölteni a frissítéseket, amelyet a többi leszinkronizál. Ilyenkor a kliens SUS-on a "Set Options" részben be kell állítanunk a hierarchiában fentebb lévő SUS szerver nevét. Megtehetjük még azt is, hogy csak az elsődleges SUS szerveren engedélyezünk frissítéseket és a kliensen meg bepipáljuk a "Set Options" alatt található erre vonatkozó jelölőnégyzetet szervereken (Synchronize list of approved items updated from this location (replace mode)). Ebben az esetben, az engedélyezési listában a frissítések pipálási helye "kiszürkül", azaz ez sem lesz változtatható a kliens SUS-ban. Laborkörülmények között kitűnően működött ez a felállás, és van meg egy előnye: ezzel a módszerrel költöztetni is lehet az egyik gépről a másikra a SUS-t, anélkül, hogy töltögetnünk kellene a WU szerverekről.

Betelt a partíció?

Ha netalántán elkövettük az azt a hibát, hogy egy kevés hellyel rendelkező partícióra tettük a SUS Update Storage-t és betelt, akkor akár a frissítések letöltése közben, akár később ezzel a kipróbált módszerrel tudunk helyet csinálni (feltéve, ha van szabad vagy felszabadítható partíciónk még a rendszerben):

  1. Készítsünk egy új partíciót a Disk Management-ben.
  2. Mozgassuk át a SUSContent mappa tartalmát az új partíció gyökerébe.
  3. A Disk Management-ben kattintsunk a jobb gombbal az új partícióra, majd válasszuk ki a "Change Drive Letter and Path" menüpontot.
  4. Válasszuk az "Add" parancsot, majd a "Mount in the following empty NTFS folder"-t.
  5. Tallózzuk be a jelenleg már üres Content mappát (pl. C:SUSContent) és készen is vagyunk. Ezután a SUS vígan töltöget majd az eredeti helyre, persze mi tudjuk, hogy az már egy másik partíció.

A SUSAdmin HTTPS-en keresztül

Csak azok a felhasználók érhetik el a SUSAdmin oldalt, akik helyi rendszergazdai joggal rendelkeznek az adott SUS szerveren. Viszont nem mindig lehetséges a szerveren helyben dolgozni, vagy éppen sokkal kényelmesebb távolról, mondjuk a rendszergazda 21"-os monitora előtt kezelni a SUS-t. De mivel közismert, hogy a HTTP-n keresztüli forgalom abszolút nem biztonságos, ezért célszerű és lehetséges HTTPS-en keresztül használni a SUS kezelőfelületét. Magával a tanúsítvány létrehozásával és hozzárendelésével nem foglakoznék, erről található részletes leírás ezeken a helyeken. Ami viszont fontos, hogy a tanúsítványt a következő IIS virtuális mappákhoz kell hozzárendelni:

  • AutoupdateAdministration
  • AutoupdateDictionaries
  • Shared
  • ContentEULA

Értesítések

Ha jelentkezünk a Microsoft "SUS e-mail notification" szolgáltatására, akkor e-mailben azonnal informálnak bennünket arról, hogy dolgunk lesz, azaz szinkronizálnunk kell vagy legalábbis engedélyeznünk biztosan (bár van egy nem támogatott megoldás az automatikus engedélyezésre, kipróbáltam, működik, bátraknak részletek itt), mert frissítések érkeznek/érkezni fognak a SUS szerverünkre. Erre a szolgáltatásra ezen a címen lehet jelentkezni.

Összegzés (de még nincs vége)

A SUS egy remek és egyszerűen csatasorba állítható eszköz, ráadásul ingyenes (a licenszekkel sincs gondunk). Ha egyszer sikeresen beüzemeljük meg végképp kellemes, hiszen nincs vele utólag szinte semmi tennivaló. Viszont nem csodaszer, és amellett hogy van pár bosszantó hibája és hiánya, sok egyéb fontos műveletre nem alkalmas. Nem lehet vele az operációs rendszerhez eszközmeghajtókat vagy nem kritikus besorolású szoftverfrissítéseket sem telepíteni, és nem alkalmas Exchange, SQL vagy Office frissítések terítésére sem. De ne csüggedjünk, itt (lesz) a másik!

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE pilot Program iskoláknak a bullying ellen
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek