Háttér
A tavalyi év legvégén ebben a rovatban már részletesen szóltunk a SUS-ról (Software Update Services), a Microsoft első, kis- és közepes méretű számítógép-hálózatok számára fejlesztett ún. "patch management" megoldásáról. A cikkben szó volt az akkor már a bétateszt vége felé járó, a SUS-t felváltó megoldásról, amelyet akkor még WUS (Windows Update Services) néven említettünk. Azóta sok minden történt pl. az idei év elején átkeresztelték WSUS-ra (Windows Server Update Services), majd sorban jöttek ki a béták és RC-k, végül június 6-án a Microsoft kiadta az RTM (Release To Manufacture) változatot. MVP-ként egy szintén magyar kollégámmal együtt abban a szerencsés helyzetben voltunk, hogy majdnem a béta fázis legelejétől (2004 tavaszától) figyelemmel kísérhettük a WSUS fejlődését, változásait, illetve éles környezetben is kipróbálhattuk a lehetőségeit.
Nos, többéves SUS használat után igencsak megszerettük már a korai fázisában is ezt a megoldást, hiszen már akkor sejthető volt, hogy jóval komfortosabb, jóval többet tud majd, lényegesen jobban a hasznunkra válik, mint az elődje. Erről aztán tavaly nyár óta sokan meggyőződhettek, és a különböző magyar/angol levelezőlisták/fórumok WSUS-sal kapcsolatos levélforgalmából kiindulva magam is azt hiszem, hogy meg is tették. Ezért aztán ebben a cikkben egy rövid áttekintés után szeretnék inkább a felgyülemlett gyakorlati tapasztalatokból kérdés-válasz stílusban beszámolni.
A WSUS működése
Egy olyan megoldást ad az üzemeltető kezébe, amellyel - biztonsági szempontból - gyorsan és viszonylag egyszerűen naprakészen tarthatóak egy hálózat gépei (csak hogy biztosan tiszta legyen a kép: a WSUS szerveren kívül ez esetben minden gép kliensnek számít, tehát a többi, bármilyen funkciót betöltő szerver is, sőt maga a WSUS szerver is). A WSUS infrastruktúra láncszemei a következőek:
- Microsoft Update: a Microsoft azon szerverei, amelyekhez a mi WSUS szerverünk kapcsolódik a különböző súlyosságú és nyelvű javítások/frissítések - egyszeri - letöltése apropóján. Ne keverjük össze a webes Microsoft Update megoldással, ami manuális, választható (és nemcsak a kritikus biztonsági) frissítést tesz lehetővé, tipikusan szóló/otthoni gépeken.
- WSUS szerver: a kiszolgáló(inko)n működő, erről a címről letölthető komponens, amelyet kizárólag Windows 2000 Serverre vagy Windows Server 2003-ra (akár DC, SBS vagy tagkiszolgáló is lehet) telepíthetünk fel, tipikusan és javasolt módon a belső hálózatra, a vállalati tűzfal mögé.
Az IIS-be integrált WSUS webhelyen keresztül az üzemeltető a belső hálózatból, egy böngészőből kezelheti a frissítésekkel kapcsolatos teendőket, a letöltések kiválasztását, engedélyezését, terjesztését, visszahívását, valamint az esetleges többi - a telephelyeken vagy a vállalati hálózaton belüli - WSUS szerverrel történő szinkronizálást, feladatmegosztást.