- Telepítés a SUS segítségével
Mivel a SUS SP1 óta van lehetőségünk a szervizcsomagok a biztonsági frissítésekhez hasonló egyszerű és központi (és akár automatikus) telepítésére, ezért augusztus 16-a óta (ekkor jelent meg a WU szervereken a csomag) az SP2-t is feltehetjük a kliens gépekre ezzel a módszerrel. Nincs semmilyen különbség, szinkronizálunk, engedélyezzük a csomagot (approve) és várunk :D. Pár körülményt azért tartsunk szem előtt. pl. a letöltéssel járó esetleges sávszélesség problémát, illetve a "terítéssel" járó hálózati forgalmat. De ezeket összegezve (és beleértve a korábban említett AU kliens önálló működését is) is megéri a SUS-t használni egy tartományban az SP2 telepítésére, mert:
- csak egyszer kell letölteni,
- kizár(hat)ja a WU és AU féle telepítést
- a SUS segítségével az ún. "silent" azaz, bevatkozás nélküli telepítés hajtódik végre a klienseken.
Ez utóbbi lehetőség egy utólagos SUS korrekció (08.19.) miatt létezik, ti. az első SP2-es csomag (08.16.) SUS-on keresztüli telepítésekor még szükség volt felhasználói interakcióra a klienseken, azonban ezt korrigálták. Természetesen az új szinkronizálás után, az egész csomagot nem kell még egyszer letöltenünk, hanem csak egyetlen elemet (aurtf.cab), amely kevesebb mint 1 MB méretű és amely tartalmazza a bevatkozás nélküli telepítéshez szükséges frissített telepítési paramétereket.
A SUS és az SP2 kapcsolatáról, a tervezési és méretezési feladatokról szóló hosszú-hosszú dokumentumot megtekinthetjük itt.
- Telepítés az SMS segítségével
Természetesen van lehetőség a legütőképesebb nagyvállalati megoldás, az SMS segítségével is telepíteni a Windows XP SP2-t, de ennek részleteibe helyhiány miatt ezeken a hasábokon nem térünk ki. Viszont a következő oldalon bőséges információt találhatunk erről a telepítési módról is.
- Telepítés a Csoportházirenddel
Active Directory környezetben rendelkezésünkre áll a Szoftvertelepítés funkció, egyetemben a Windows Installer technológiával a szervizcsomag központi telepítéséhez. Ebben az esetben az Update.msi csomag tartalmazza azokat az információkat, amelyek szükségesek a Windows Installer számára a telepítéshez (vagy akár az eltávolításhoz). Természetesen bármilyen a Csoportházirend hatókörén belül eső körben (telephelyek, tartományok vagy szervezeti egységek) beállíthatjuk a szoftvertelepítést, bár a csomag mérete miatt ügyeljünk a megfelelő célpont kiválasztására. A Windows Server 2003-ban van lehetőségünk WMI filterekkel behangolni a csomag célpontjait, egy olyan szerverzeti egységben is, ahol nemcsak Windows XP kliens számítógép fiókok találhatóak. Viszont az SP2 esetében csak a gépekhez való hozzárendelést (Assign) választhatjuk ki a mint telepítési metódust. A szokásos megosztás elkészítése (vagy DFS használata), illA Windows Firewall beállítása a telepítés előtt/után
Bármelyik módszerrel is telepítjük, felmerülhet a probléma, hogy ha alapértelmezés szerint be van kapcsolva a tűzfal, akkor hogyan fogunk kapcsolatba lépni akár a telepítés alatt, akár később a klienssel? Hiszen egy sima pinget sem fog megengedni, és nincs olyan kerülő, intelligens megoldás, mint egy az RDP-n keresztüli ISA 2004 távtelepítés esetén. Van viszont több ajánlott manuálisan végrehajtható megoldás, itt most három különböző variációról szeretnék említést tenni.
- Unattend.txt: Egy - esetlegesen - központi helyen tárolt, válaszadás nélküli telepítést szabályozó válaszállományban megtalálható egy szakasz és ezen belül több alszakasz is, ami a tűzfal beállításait teszi lehetővé, akár profilonként (Domain, Standard) különválasztva. Találunk benne beállításokat a tűzfal teljes kikapcsolására, a Remote Assistance, a Remote Desktop, a WebService komponensekre vonatkozóan, vagy akár az alkalmazásokra, portokra, szolgáltatásokra, vagy az ICMP parancsokra is. Egyszóval, átfogó előzetes konfigurációs beállításokat határozhatunk meg.
- Netfw.inf állomány: A tűzfal ezzel a módosítható INF állománnyal érkezik, amely a regisztrációs adatbázisban található alapértelmezett beállításokat tartalmazza. Mindkét fajta telepítés (standalone és integrated) és a későbbi működés során is ez az állomány használatos, ennek alapján "lövi be" a tűzfalat az operációs rendszer. A módosítása gyakorlatilag megfelel a tűzfal GUI-n történő konfigurálásához. A Netfw.inf első két szakaszát (verzió- és konfiguráció információ), nem célszerű módosítani, viszont jól láthatóan elkülönül benne a két profilra vonatkozó szakasz, amelybe bevezethetjük a szükséges beállításainkat. Az innen letölthető olvasnivalóban a bejegyzések konkrét formájához alapos segítséget és számos példát is kapunk. A módosítás előtt célszerű az alap INF állományról egy másolatot készíteni, majd az általunk készítettel kicserélni, az azonnali érvényesítést pedig a következő paranccsal kikényszeríteni: "netsh firewall reset".
Folytatjuk...
Gál Tamás
gtamas@tjszki.hu