Л а в а 31 Управление исправлениями



Скачать 200.03 Kb.

Дата24.12.2016
Размер200.03 Kb.
Просмотров129
Скачиваний0

Г
Л А В А
31
Управление исправлениями
У
правление исправлениями было процессом снижения до минимума уязвимостей организации за счет управления и развертывания обновлений программного обеспечения. С течением временем оно переместилось на поддержку обновлений компонентов и продукта в целом. Обновления могут развертываться и управляться с помощью нескольких продуктов и инструментов; примером может служить System
Center Configuration Manager (Диспетчер конфигурации системного центра). В этой главе мы сосредоточим внимание на комплекте инструментов, встроенном в инф- раструктуру Windows Server 2012 R2, и рассмотрим предлагаемые им возможности.
В современном мире информационных технологий, основами которого являются
Интернет и сотрудничество, внесение изменений в программное обеспечение стало повседневной задачей. Частота, с которой вы развертываете и проверяете актуаль- ность обновлений, может означать разницу между тратой выходных на восстанов- ление скомпрометированных или разрушенных систем и проведением их в кругу семьи или друзей.
Обновление программного обеспечения выглядит как бесконечный процесс, и если только вы не предпочитаете лично подходить к каждому компьютеру для уста- новки обновлений, то вам понадобятся инструменты, которые помогут справиться с этой работой. Помимо инструментов необходим также надежный процесс управ- ления исправлениями. Вам нужно знать, применимо ли каждое обновление к ком- пьютерам в сети, совместимо ли оно с существующими приложениями и насколько срочно следует развертывать данное обновление.
В настоящей главе мы обсудим установку и конфигурирование роли Windows
Server Update Services для Windows Server 2012 R2 и расскажем, что должно прини- маться во внимание при развертывании этого процесса управления исправлениями.
Кроме того, мы проанализируем обновления безопасности и подробно рассмотрим службу обновления сервера Windows ( Windows Server Update Services — WSUS), кото- рая теперь интегрирована в операционную систему в виде серверной роли. Вдобавок мы объясним, как перейти от WSUS версии Windows Server 2008 R2 к WSUS вер- сии Windows Server 2012 R2. Наконец, мы представим обзор доступных командлетов
PowerShell.

Г
ЛАВА
31
744
В этой главе вы изучите следующие темы:
использование автоматических обновлений Windows (Windows Automatic

Updates) для проверки наличия новых обновлений на компьютере, работаю- щем под управлением Windows 8;
применение автономной программы установки обновлений Windows (Windows

Update Standalone Installer) для молчаливой установки обновления безопасности;
идентификация четырех фаз управления исправлениями.

Что нового в Windows Server Update
Services версии Windows Server 2012 R2
Служба Windows Server Update Services (WSUS) теперь интегрирована в Windows
Server 2012 R2. Эта новая роль позволяет администраторам использовать диспет- чер серверов для конфигурирования и управления обновлениями; в новую версию
WSUS включены те же возможности генерации отчетов и обновления состояния, что и ранее, а также несколько новых средств и модификаций предыдущей функ- циональности.
Новые возможности WSUS v6 в Windows Server 2012 R2
В версию WSUS v6 было добавлено несколько новых возможностей, базовый пе- речень которых приведен ниже.
Службы можно добавлять или удалять с помощью диспетчера серверов.

Доступны командлеты PowerShell для управления десятком наиболее важных

задач в службе WSUS.
Для обеспечения дополнительной безопасности добавлена возможность хеши-

рования SHA256.
Обеспечивается разделение клиента и сервера. Версии агента обновления

Windows ( Windows Update Agent — WUA) могут поставляться независимо от
WSUS.
Требования к программному обеспечению
для серверов и клиентов WSUS
Прежде чем устанавливать WSUS в существующей среде, вы должны удостове- риться в том, что сервер (серверы) и клиенты WSUS удовлетворяют минимальным требованиям к программному обеспечению.
На серверах WSUS должно быть установлено, как минимум, следующее програм- мное обеспечение:
операционная система Windows Server 2012 R2;

службы Internet Information Services (IIS);

инфраструктура .NET Framework 4.0 или более новая версия;

если вы используете отдельный сервер базы данных, то должны иметь ком-

пьютер, на котором функционирует SQL Server 2012 R2 либо SQL Server 2008
R2 с пакетом обновлений SP1 или более новая версия.

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
745
Конечные точки WSUS должны быть основаны на версии 7.8 агента Windows
Update Agent (WUAgent 7.8). Клиенты WSUS должны работать под управлением од- ной из перечисленных далее операционных систем:
Windows 8

Windows RT

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows Server 2003 с пакетом обновлений SP1

Windows Vista

Ниже приведен список баз данных, поддерживаемых WSUS:
Windows Internal Database (WID)

Microsoft SQL Server 2012 R2 Standard Edition

Microsoft SQL Server 2012 R2 Enterprise Edition

Microsoft SQL Server 2012 R2 Express Edition

Microsoft SQL Server 2008 R2 SP1 Standard Edition

Microsoft SQL Server 2008 R2 SP1 Enterprise Edition

Microsoft SQL Server 2008 R2 SP 1 Express Edition

Предельный размер базы данных в SQL Server Express 2012 и SQL Server Express
2008 R2 составляет 10 Гбайт; для многих сред его может оказаться достаточно, но это ограничение очень важно учитывать при определении подходящего предельного раз- мера для вашей системы. Размышления по поводу размера всегда должны начинать- ся с числа клиентов, которое вы собираетесь поддерживать, и количества платформ.
Сценарии развертывания
Версия WSUS в Windows Server 2012 R2 была изменена так, чтобы сценарии раз- вертывания фокусировались не столько на размере предприятия, сколько на тре- бованиях в отношении емкости и местоположения. Тремя основными вариантами развертывания являются одиночный сервер WSUS, несколько серверов WSUS и от- ключенный сервер WSUS. Для организаций средних и крупных размеров или слож- ной инфраструктуры вы должны подумать о применении какого-то продукта из се- мейства System Center (
www.microsoft.com/systemcenter
).
Сценарий с развертыванием единственного экземпляра предполагает использова- ние одного главного сервера WSUS, который синхронизируется непосредственно со службой Microsoft Update. Клиенты WSUS могут быть разбросаны по разным географи- ческим регионам, но все они находятся за одним и тем же брандмауэром (рис. 31.1).
Многие организации средних и крупных размеров эксплуатируют многосервер- ную инфраструктуру, которая состоит из нескольких серверов WSUS, обслуживаю- щих множество географически распределенных клиентов. Один сервер WSUS мо- жет синхронизироваться с другим (рис. 31.2) или они могут получать обновления от
Microsoft Update по отдельности.

Г
ЛАВА
31
746
Клиентские устройства
Сеть
Сервер WSUS
Брандмауэр
Microsoft: Windows Update
Рис. 31.1.
Развертывание с одиночным сервером WSUS
Клиентские устройства
Сеть
Сервер WSUS
Клиентские устройства
Сеть
Сервер WSUS
Брандмауэр
Microsoft: Windows Update
Рис. 31.2.
Развертывание с несколькими серверами WSUS, в котором один сервер WSUS синхронизируется с другим

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
747
В этой конфигурации только один сервер виден из Интернета, а остальные настро- ены как нижестоящие серверы, которые должны синхронизироваться с первым серве- ром. Преимущество наличия единственного сервера, синхронизирующегося с Microsoft
Update, заключается в том, что другие серверы WSUS из Интернета не видны.
Сценарий с отключенной инфраструктурой предназначен для компьютеров, кото- рым не разрешен доступ в Интернет или которые располагают только ограниченным доступом к нему. Получать обновления для компьютеров, подключенных к такой изоли- рованной сети, можно путем настройки в этой отключенной сети сервера WSUS. После обработки всех исправлений для производственной сети их можно экспортировать на устройства наподобие USB-дисков. Ниже описаны базовые шаги этого процесса.
Экспортируйте исправления из консоли WSUS на USB-диск. Для их экспорта
1. необходимо воспользоваться командой
WSUTIL.exe
Импортируйте исправления на отключенный сервер WSUS.
2.
Настройте расписание и разверните исправления.
3.
Как только исправления будут экспортированы, их можно импортировать на от- ключенный сервер WSUS, как показано на рис. 31.3, а развертывание может произ- водиться на основе расписания для этого сервера WSUS.
Сервер WSUS
Клиентские устройства
Отключенная сеть
Сервер WSUS
Носитель импорта
Брандмауэр
Microsoft: Windows Update
Экспорт на носитель
Рис. 31.3.
Развертывание с отключенным сервером WSUS
Построение сложных иерархий с использованием WSUS
В зависимости от типа развертывания сервера и нужд организации существуют до- полнительные преимущества применения новой версии Windows Server. Это помогает минимизировать развертывания серверного оборудования (или виртуальные разверты- вания), требуемые для управления средой. Используя возможности Windows Server 2012
R2 и WSUS, вы можете сконфигурировать автономный (Autonomous) режим, режим реплики (Replica), а также настроить клиентов в филиалах и блуждающих клиентов.
Автономный режим, обычно называемый распределенным режимом, является стандартным вариантом установки для WSUS. В этой конфигурации (показанной на рис. 31.4) вышестоящий сервер используется для обмена обновлениями с одним или несколькими нижестоящими серверами, и за счет внедрения средств управления до- ступом вы можете предоставить локальным администраторам возможность управле- ния собственными средами.

Г
ЛАВА
31
748
Клиентские устройства
Сервер WSUS
в автономном режиме
Сервер WSUS
в автономном режиме
Целевые группы в головном офисе
Клиентские устройства
Целевые группы в филиале
Клиентские устройства
Целевые группы в филиале
Брандмауэр
Администратор
Microsoft: Windows Update
Администратор
Сервер WSUS в автономном режиме
Администратор
Рис. 31.4.
Автономный режим в многосайтовой среде
Режим реплики (рис. 31.5) представляет собой проектное решение с централи- зованным администрированием и позволяет вышестоящему серверу обмениваться своими обновлениями, клиентскими группами и другими компонентами с нижес- тоящими серверами.
Серверы реплики — это просто нижестоящие серверы, которые управляются посредством главного вышестоящего сервера. Такая конфигурация оказывается са- мой удобной, когда центральный IT-отдел управляет обновлениями в сценарии с несколькими сайтами или офисами филиалов.
Офисы филиалов — один из новейших сценариев, введенных в Windows
Server 2012 R2. В этой конфигурации используется средство BranchCache, доступ- ное в Windows Server 2012 R2 (
http://tinyurl.com/BranchCache
). С помощью средств BranchCache и Branch Office, реализованных в Windows, можно сократить нагрузку на канал WAN и улучшить показатель времени реакции системы.

Клиентские устройства
Сервер WSUS
в режиме реплики
Сервер WSUS
в режиме реплики
Целевые группы в головном офисе
Клиентские устройства
Целевые группы в филиале 1
Целевые группы в филиале 1
Клиентские устройства
Целевые группы в филиале 1
Клиентские устройства
Целевые группы в филиале 2
Брандмауэр
Администратор
Адми нист ратор
Сервер WSUS
в режиме реплики
Администратор
Клиентские устройства
Целевые группы в филиале 2
Клиентские устройства
Клиентские устройства
Целевые группы в филиале 2
Клиентские устройства
Клиентские устройства
Micr osoft: Windows Update
Целевые группы в головном офисе
Целевые группы в головном офисе
Рис. 31.5.
Режим реплики в сценарии с несколькими офисами филиалов

Г
ЛАВА
31
750
Установка и конфигурирование
управления исправлениями
Установка обновлений на компьютерах в сети вашей организации критически важна для обеспечения безопасности этой сети и оптимального функционирования клиентских компьютеров организации. Распространение обновлений требует плани- рования и тестирования, гарантирующего успешную их установку. В Microsoft реко- мендуют применять поэтапный подход к управлению исправлениями; каждый этап подробно обсуждается на веб-сайте Microsoft TechNet по ссылке: https://technet.microsoft.com/en-us/library/cc700845.aspx
Установка роли WSUS в Windows Server 2012 R2
Одним из новых средств Windows Server 2012 R2 является возможность установ- ки серверной роли с автоматическим добавлением всех обязательных компонентов как части процесса установки. В предыдущих версиях Windows Server многие роли и компоненты приходилось конфигурировать как отдельные задачи.
Чтобы установить роль WSUS в Windows Server 2012 R2, выполните следующие шаги.
Откройте управляющую панель диспетчера серверов и щелкните на ссылке
1.
Add roles and features
(Добавить роли и компоненты), как показано на рис. 31.6.
Войдите в систему компьютера с использованием учетной записи из локаль-
2. ной группы
Administrators или администратора домена.
Запустите диспетчер серверов (по умолчанию в Windows Server 2012 R2 он за-
3. пускается автоматически).
Рис. 31.6.
Добавление ролей в Windows Server 2012 R2

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
751
В разделе
4.
Configure this local server
(Конфигурировать этот локальный сервер) щелкните на ссылке
Add
Roles and Features
На экране
5.
Before You Begin
(Прежде чем начать) щелкните на кнопке
Next
(Далее).
Выберите переключатель
6.
Role-Based or Feature-Based installation
(Установ- ка на основе ролей или на основе компонентов) для типа установки и щелкните на кнопке
Next
На экране
7.
Select Destination Server
(Выбор сервера назначения) оставьте выбранным ваш сервер, как предла- гается по умолчанию, и щелкните на кнопке
Next
Выполните прокрутку вниз до роли
8.
Windows Server Update Services
, отметьте флажок рядом с ней и щелкните на кнопке
Next
Для продолжения установки будет предложено добавить дополнительные ком-
9. поненты, как показано на рис. 31.7.
Щелкните на кнопке
10.
Add Features
(Добавить компоненты). Вы заметите, что компонент
Web Server (IIS)
также выбран; щелкните на кнопке
Next
Откроется экран
Features
(Компоненты) с заранее отмеченными флажками для следующих компонентов:
Remote Server Administration Tools (Инструменты дистанционного админис-

трирования серверов)
Windows Internal Database (Внутренняя база данных Windows)

Windows Process Activation (Активация процессов Windows)

Просмотрите выбранные параметры и щелкните на кнопке
11.
Next
Откроется экран
12.
Windows Server Update Services
(Службы обновления сервера
Windows); щелкните на кнопке
Next
В разделе
Role Services
(Службы роли) по умолчанию отмечены флажки
WID
Database (Windows Internal Database)
(База данных WID (внутренняя база дан- ных Windows)) и
WSUS Services
(Службы WSUS). Кнопка
Database
(База дан- ных) предусмотрена на тот случай, если вы намерены использовать базу дан- ных SQL на другом сервере; она предоставит дополнительные параметры.
Оставьте все без изменений и щелкните на кнопке
13.
Next
Следующий экран позволяет выбрать местоположение файлов Windows Update
(если вы решили сделать их доступными локально); в рассматриваемом при- мере снимите отметку с этого флажка. Тем самым вы получаете возможность сохранить все обновления на сервере Microsoft Update и применять их, когда это необходимо.
Рис. 31.7.
Обязательные компоненты для
Windows Server Update Services

Г
ЛАВА
31
752
После снятия отметки с флажка
14.
Store updates in the following location
(Сохранять обновления в следующем месте) щелкните на кнопке
Next
Откроется экран
15.
Web Server Role (IIS)
; щелкните на кнопке
Next
После этого отобразится экран
Role Services
(Службы роли), где будут заранее выбраны перечисленные ниже флажки.
Common HTTP Features

(Общие компоненты HTTP):
Default Document

(Стандартный документ)
Static Content

(Статическое содержимое)
Performance

(Производительность):
Dynamic Content Compression

(Динамическое сжатие содержимого)
Security

(Безопасность):
Request Filtering

(Фильтрация запросов)
Windows Authentication

(Аутентификация Windows)
Application Development

(Разработка приложений):
.NET Extensibility 4.5

(.NET Extensibility 4.5)
ASP.NET 4.5

ISAPI Extensions

(Расширения ISAPI)
ISAPI Filters

(Фильтры ISAPI)
Management Tools

(Инструменты управления):
IIS Management Console

(Консоль управления IIS)
IIS 6 Management Compatibility

(Совместимость с управлением IIS 6)
IIS 6 Metabase Compatibility

(Совместимость с метабазой IIS 6)
Просмотрите выбранные параметры и щелкните на кнопке
16.
Next
Подтвердите выбранные параметры установки и щелкните на кнопке
17.
Install
(Установить).
Операционная система Windows Server 2012 R2 позволяет выбирать и экспорти- ровать любые настройки конфигурации, сделанные в ходе установки ролей и компо- нентов (рис. 31.8). Вы найдете ссылку
Export configuration settings
(Экспортировать настройки конфигурации) в нижней части экрана очень удобной, когда вы создаете множество идентичных конфигураций серверов или настроили специфичную кон- фигурацию и хотите ее сохранить.
Конфигурирование WSUS для развертывания
После завершения установки серверной роли WSUS вы можете запустить службу
Windows Server Update Services из начального экрана (рис. 31.9) и приступить к кон- фигурированию.
Чтобы начать конфигурирование сервера WSUS, необходимо настроить обновле- ния, требуемые для вашей среды. После открытия консоли Update Services запустит- ся мастер конфигурирования службы обновления сервера Windows (Windows Server
Update Services Configuration Wizard), который проведет через последовательность шагов по настройке параметров обновлений для последующего развертывания.

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
753
Рис. 31.8.
Экспорт настроек конфигурации
Рис. 31.9.
Доступ к службе Windows Server
Update Services на начальном экране
Первым экраном мастера является
Before You Begin
(Прежде чем начать); до на- чала процесса вы должны удостовериться в том, что удовлетворены перечисленные ниже условия.
Сконфигурирован ли брандмауэр сервера на разрешение клиентам доступа к

серверу?
Может ли этот компьютер подключиться к вышестоящему серверу (такому как

Microsoft Update)?

Г
ЛАВА
31
754
Располагаете ли вы пользовательскими учетными данными для прокси-серве-

ра, если в этом есть необходимость?
Убедившись в том, что эти условия выполнены, можете переходить к следующим действиям.
Приступите к начальному конфигурированию Windows Update Services, щелк-
1. нув на кнопке
Next
(Далее).
Вам будет предложено присоединиться к программе по улучшению Microsoft
Update (Microsoft Update Improvement Program); при желании можете оставить соответствующий флажок отмеченным.
Для продолжения щелкните на кнопке
2.
Next
Вам понадобится выбрать вышестоящий сервер, и вы задействуете на нем
Microsoft Update, если это самый первый сервер. Любые дополнительные сер- веры, которые вы добавите впоследствии, могут ссылаться на этот сервер для синхронизации с ним. В нашем примере мы будем применять Microsoft Update в качестве партнера синхронизации.
Примите настройки, предложенные по умолчанию, и щелкните на кнопке
3.
Next
Укажите прокси-сервер. Если в организации используется прокси-сервер, за-
4. полните все обязательные поля, как показано в примере на рис. 31.10, и щел- кните на кнопке
Next
Теперь вы подключитесь к вышестоящему серверу, чтобы можно было начать получение доступных обновлений продуктов, языков и других типов обновле- ний для вашего сервера обновлений.
Чтобы начать этот процесс, щелкните на кнопке
5.
Start Connecting
(Начать под- ключение), представленной на рис. 31.11. Процесс подключения к вышестоя- щему серверу в первый раз может занять несколько минут.
Рис. 31.10.
Конфигурирование прокси-сервера

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
755
Когда этот процесс завершится, щелкните на кнопке
6.
Next
На экране
Product Updates
(Обновления продуктов) будет приведен список всех продуктов, доступных на вашем вышестоящем сервере. Вы можете вы- брать целый продукт или конкретную его версию.
В этом примере мы отметили флажки только для Office 2013 и всех версий
7.
Silverlight (рис. 31.12). Выберите желаемые продукты и щелкните на кнопке
Next
Рис. 31.11.
Подключение к вышестоящему серверу
Рис. 31.12.
Выбор продуктов для обновления

Г
ЛАВА
31
756
Далее понадобится выбрать классификации ваших обновлений для синхро- низации. Перечень простирается от важных обновлений (
Critical Updates
) до обычных обновлений (
Updates
), как показано на рис. 31.13.
Рис. 31.13.
Выбор классификаций обновления
Сделав нужный выбор, щелкните на кнопке
8.
Next
Следующий экран позволяет настроить расписание синхронизации. Здесь есть два варианта: первым является ручная синхронизация, которую можно выпол- нять посредством консоли службы обновления, а вторым — автоматическая синхронизация в определенный день и время. (За день можно также выпол- нять несколько синхронизаций.)
Установив расписание синхронизации, щелкните на кнопке
9.
Next
В завершение вы можете инициировать начальную синхронизацию, отметив
10. соответствующий флажок, и щелкнуть на кнопке
Finish
(Готово).
В качестве альтернативы можете щелкнуть на кнопке
Next и перейти на экран
What’s Next
(Что дальше), где можно задать дополнительные параметры конфи- гурации, такие как SSL, и назначить компьютеры для обновления с помощью групповой политики (подробнее об этом речь пойдет в следующем разделе).
Обновления Windows начнут синхронизироваться с сервером Microsoft Update и заполнять консоль Update Services.
Прежде чем приступить к развертыванию обновлений и конфигурированию объ- ектов групповой политики (GPO), давайте рассмотрим несколько других параметров в этой консоли, которые должны приниматься во внимание на завершающих шагах конфигурирования. Первым параметром, на который мы хотим взглянуть, являются компьютеры. Каким образом вы хотите добавлять свои устройства к WSUS? Открыв раздел
Options
(Параметры) консоли Update Services (рис. 31.14), вы можете выбрать объект
Computers
(Компьютеры); это позволит либо использовать консоль Update

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
757
Services для распределения компьютеров по группам, либо применять для назначе- ния компьютеров групповую политику (или настройки реестра).
Рис. 31.14.
Параметры консоли Update Services
В разделе
Synchronizations
(Синхронизации) вы должны проверить успешность синхронизации, но если она не начиналась, можете запустить ее вручную, щел- кнув на элементе
Synchronize Now
(Синхронизировать сейчас) в панели
Actions
(Действия). Дополнительные детали приведены на рис. 31.15.
Рис. 31.15.
Консоль Update Services, параметры синхронизации и задачи

Г
ЛАВА
31
758
Развертывание обновлений
и миграция для WSUS
Чтобы получать обновления WSUS, у вас должна функционировать одна из следующих операционных систем: Windows 8, Windows 7, Windows Server 2012 R2,
Windows Server 2008 R2, Windows Vista, Windows Server 2008 или Windows Server 2003.
Также поддерживается Windows 8 RT, но с ограниченными возможностями.
Конфигурирование групповой политики для Windows Update
Использование объектов групповой политики (GPO) является наиболее рас- пространенным и рекомендуемым подходом к управлению Windows Server Update
Services. В этом разделе вы сконфигурируете параметры, необходимые для того, что- бы вытолкнуть обновления Windows с помощью объекта GPO. Для этого примера мы создаем совершенно новый объект GPO и применяем его к организационной едини- це
Workstations
(Рабочие станции) в Active Directory. Этот вновь созданный объект
GPO называется
BigFirmUpdates
(рис. 31.16). Чтобы сконфигурировать настройки автоматического обновления Windows, выполните перечисленные ниже шаги.
Щелкните правой кнопкой мыши на объекте GPO и выберите в контекс-
1. тном меню пункт
Edit
(Редактировать), чтобы открыть редактор управления групповыми политиками (Group Policy Management Editor), как показано на рис. 31.17.
Рис. 31.16.
Консоль Group Policy Management

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
759
Рис. 31.17.
Редактор Group Policy Management Editor
В редакторе
2.
Group Policy Management Editor перейдите в папку
Computer
Configuration \ Administrative Templates \ Windows Components \ Windows Update
(Конфигурация компьютера \ Административные шаблоны \ Компоненты
Windows \ Обновление Windows).
Дважды щелкните на настройке
3.
Configure Automatic Updates
(Конфигури- ровать автоматические обновления), показанной на рис. 31.18, и выберите для нее переключатель
Enabled
(Включить).
Рис. 31.18.
Конфигурирование автоматических обновлений

Г
ЛАВА
31
760
а. В поле со списком
Configure automatic updating
(Конфигурировать автома- тическое обновление) выберите подходящий вариант из числа доступных:
Notify for download and notify for install
(Уведомления о загрузке и установке),
Auto download and notify for install
(Автоматическая загрузка и уведомление об установке),
Auto download and schedule the install
(Автоматическая загруз- ка и установка по расписанию),
Allow local admin to choose setting
(Локаль- ный администратор может менять параметр).
б. Если вы выбрали вариант
Auto download and schedule the install
, то должны указать день и время установки по расписанию.
Выберите настройку
4.
Specify intranet Microsoft update service location
(Указать размещение службы обновлений Microsoft в интрасети). Здесь вам предстоит указать клиентам WSUS на сервер WSUS.
а. Выберите переключатель
Enabled
(Включить).
б. В полях
Set the intranet update service for detecting updates
(Укажите службу обновлений в интрасети для поиска обновлений) и
Set the intranet statistics server
(Укажите сервер статистики в интрасети) введите имя сервера WSUS, как показано на рис. 31.19.
в. Щелкните на кнопке
OK
Все это условия, которые обеспечат выталкивание обновлений на ваши кли- ентские устройства и использование только что созданной инфраструктуры
WSUS.
Рис. 31.19.
Конфигурирование сервера WSUS

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
761
В разделе Windows Update редактора Group Policy Object Editor (рис. 31.20) лег- ко заметить несколько других настроек, которые помогают существенно повысить эффективность администрирования и применения Windows Update. Они предостав- ляют возможность изменять график автоматических обновлений, включать выбор целей на клиентской стороне и отключать отображение на клиентах параметра уста- новки обновлений, когда они доступны.
Конфигурирование клиентов для обновлений Windows
В этом разделе мы расскажем о конфигурировании и проверке того, что ком- пьютер Windows 8 (по имени
WIN8CLIENT
), получает обновления из нашего серве- ра WSUS версии Windows Server 2012 R2. Настройка на клиентской стороне очень проста и требует только наличия самих обновлений или конфигурирования объекта
GPO для получения этих обновлений. Если вы провели модернизацию до нового сервера Windows Server 2012 R2, то останется лишь модифицировать объекты GPO из предыдущего раздела.
Вообще говоря, внесение изменений в объекты GPO является единственной серьезной задачей для конфигурирования клиентов на получение обновлений из нового сервера WSUS. Ниже мы раскроем некоторые основы проверки и гарантии того, что клиент получает свои обновления и нацелен на правильный сервер.
Обновление групповой политики, которое происходит после указания клиентам нового сервера WSUS, может занять от 90 до 120 минут. Стандартное обновление объекта GPO занимает 90 минут.
Рис. 31.20.
Дополнительные настройки групповой политики Windows Update

Г
ЛАВА
31
762
Если вы хотите протестировать клиент, выполните следующие шаги.
На клиентском компьютере Windows откройте окно командной строки.
1.
Введите команду
2.
wuauclt.exe


/detectnow


/reportnow
Это приведет к немедленному переходу клиента на сервер WSUS, проверке доступности его обновлений и выдаче отчета, по сути, подтверждающего их существование.
Чтобы проверить наличие ошибок или проблем с локальным клиентом, вы мо- жете запустить средство Event Viewer локальной системы и перейти в нем к узлу
\ Applications and Services Logs \ Microsoft \ Windows \ Windows Update Client \
(\ Журналы приложений и служб \ Microsoft \ Windows \ Клиент обновлений Windows \).
Здесь вы увидите информационные сообщения, сообщения об ошибках и предуп- реждения клиентской системы, касающиеся обновлений (рис. 31.21).
Вдобавок вы всегда можете открыть инструмент Windows Update (Центр обнов- ления Windows) из панели управления на клиенте и проверить, получает ли клиент- ский компьютер обновления. Средство Windows Update отобразит, когда выполня- лись самые последние проверки наличия обновлений, укажет, какие обновления были установлены и как производится управление обновлениями (рис. 31.22).
В следующем разделе собираемся перейти от клиентских настроек к обзору про- цесса миграции вашей текущей реализации WSUS в Windows Server 2012 R2 и встро- енной роли для Windows Server Update Services.
Рис. 31.21.
Журнал Windows Applications and Services для обновлений клиентской стороны

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
763
Рис. 31.22.
Инструмент Windows Update в Windows 8
Миграция из WSUS 3.0 на Windows Server 2012 R2
Служба WSUS 3.0 упакована как автономный модуль установки, доступный в центре загрузки Microsoft (Microsoft Download Center), тогда как служба WSUS v6
(или WSUS 4.0, как иногда на нее ссылаются) представляет собой встроенную роль в Windows Server 2012 R2. В этом разделе вы узнаете, каким образом перейти от те- кущей установки WSUS 3.0 к новой встроенной платформе Windows Server 2012 R2.
В Microsoft предоставили четырехэтапный процесс для выполнения миграции из существующей реализации WSUS на новый целевой сервер, функционирующий под управлением Windows Server 2012 R2. Описание этого процесса можно найти в
TechNet по ссылке: https://technet.microsoft.com/ru-ru/library/hh852339.aspx
Прежде чем выполнять любой переход в производственной среде, понадобится принять во внимание множество разных факторов. Наличие достоверной исходной информации и перечня всех имеющихся серверов уступает по своей значимости лишь знанию вами всех возможных сценариев перехода.
Редакции Windows Server 2012 R2 Standard и Datacenter поддерживаются в качест- ве целевых серверов; возможен также переход с физической операционной системы на виртуальную. Модернизация будет поддерживать переход от SQL или Windows
Internal Database (WID) как составную часть этого процесса миграции. Вдобавок можно переходить от WID к SQL Server.
Процесс перехода от службы WSUS 3.0 SP2 на инфраструктуру WSUS в Windows
Server 2012 R2 требует определенных усилий, и очень важно иметь план резерв- ного копирования/отката, если что-то не заработает, как ожидалось. При запуске процесса миграции, прежде всего, необходимо переместить все обновления WSUS

Г
ЛАВА
31
764
со старого исходного сервера на новый целевой сервер Windows Server 2012 R2.
Использование инструментов вроде XCopy или Robocopy является жизнеспособ- ным вариантом, но гораздо важнее понимать командлеты и управление с помощью
PowerShell. Применение PowerShell для переноса таких объектов, как двоичные фай- лы, более подробно объясняется здесь: https://technet.microsoft.com/ru-ru/library/hh852349.aspx
Создание резервной копии базы данных WSUS
Прежде чем приниматься за решение серьезной задачи миграции, вы должны позаботиться о создании резервной копии конфигурации, примененных исправ- лений и баз данных. Перед выполнением любых крупных задач модернизации или миграции, понадобится протестировать процесс резервного копирования и восста- новления.
Частью рекомендуемой стратегии миграции является резервное копирование базы данных WSUS 3.0 SP2 и последующее восстановление этих данных на новом целевом сервере. После восстановления базы данных WSUS 3.0 SP2 на новом серве- ре WSUS v6 в Windows Server 2012 R2 процесс переноса должен завершиться успеш- но и вам не придется решать проблемы с утраченными отчетами, совместимостью данных или отменой примененных ранее исправлений.
Резервные копии информации и базы данных WSUS будут зависеть от типа вы- полняемого резервного копирования. Существует один процесс для резервного ко- пирования и восстановления Windows Internal Database и другая последовательность действий, если в качестве сервера базы данных используется SQL Server. Создание резервной копии базы данных SQL Server описано по ссылке: https://technet.microsoft.com/ru-ru/library/ms175477.aspx
Базу данных WID можно просмотреть в проводнике объектов (Object Explorer); после того как вы раскроете узлы баз данных, она будет обозначаться во всех экзем- плярах как SUSDB.
За дополнительной информацией о создании резервных копий WSUS и пошаго- вым руководством по этому процессу обращайтесь по ссылке: http://tinyurl.com/c31widbackup
Дополнительные соображения
Помимо разработки плана резервного копирования для новой среды WSUS и подтверждения того, что все клиенты в организации получают обновления от но- вого сервера WSUS на основе Windows Server 2012 R2, вам необходимо разработать исчерпывающую документацию по всем настройкам, определенным для вашей ор- ганизации. Уделите время включению сценариев PowerShell, приведению ссылок на любые компоненты и перечислению предварительных условий.
Как вы видели во многих приведенных ранее примерах, основными соображени- ями являются интенсивное использование PowerShell и количество новых процес- сов, выполняемых в его командной строке. Удостоверьтесь в том, что располагаете четким планом тестирования и списком задач в той или иной форме, что поможет создать контрольные точки на всем пути миграции.

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
765
Еще одно важное соображение касается построения собственного плана миг- рации и документации, чтобы иметь определенный процесс с указанием всех ос- новных предварительных условий и диаграммы существующей инфраструктуры.
Наличие такой документации становится исключительно полезным, если в будущем вам понадобится перейти на более крупный сервер или вы решили перейти с WID на SQL.
Операционное управление и инструменты
Клиентские компьютеры используют для получения обновлений WSUS клиент автоматического обновления Windows и могут быть сконфигурированы с примене- нием объекта групповой политики. Объект GPO резко сокращает административные накладные расходы, поскольку один такой объект можно однократно развернуть на всех компьютерах в среде Active Directory. Конфигурирование автоматического об- новления Windows посредством GPO производится с помощью редактора объекта групповой политики (Group Policy Object Editor).
PowerShell и WSUS
Управлять всеми аспектами WSUS можно посредством PowerShell, который пре- доставляет великолепный набор инструментов, ориентированных на повседневное управление обновлениями. Замечательным примером того, что можно делать с по- мощью этих инструментов, а также функций PowerShell в WSUS является возмож- ность перехода от установки роли WSUS на сервере Windows Server 2012 R2, как по- казано здесь:
...\Install-WSUSServ.ps1 -ComputerName BF1 -StoreUpdatesLocally
-ContectDirectory "E:\Packages\WSUS" -InstallDatabasePatch "E:\"
-CreateDatabase -Verbose к управлению клиентом и настройками реестра с помощью командлетов
Get-WSUSClientSettings и
Set-ClientWSUSSettings
. Получить более подроб- ную информацию о любом из этих командлетов можно по команде
Get-Help или в
Интернете. По ссылке http://tinyurl.com/c31pswsus доступна отличная статья по управлению WSUS и PowerShell.
Обновление с учетом кластеров
В Windows Server 2012 R2 предлагается новый компонент, который называется обновлением с учетом кластеров ( Cluster-Aware Updating — CAU). Этот компонент позволяет обновлять кластеры без потери доступности в рамках окна обновлений.
Когда компонент CAU запускается внутри окна обновлений, он переводит первый узел в режим обслуживания и передает рабочую нагрузку другим серверам в клас- тере, пока выполняется установка обновлений и при необходимости перезагрузка.
После того как первый узел возвращается в рабочее состояние, CAU выводит дан- ный сервер из режима обслуживания, возвращает ему исходные роли и переходит к следующему узлу. Например, при наличии кластера из двух узлов все роли или серверы из узла 1 будут перенесены в узел 2. После внесения исправлений в узел 1 и его перезагрузки он вернется к исполнению своих исходных ролей, а затем примет роли, размещенные в узле 2. Узел 2 будет переведен в режим обслуживания и пере- несет свои серверы в узел 1.

Г
ЛАВА
31
766
Д
ОПОЛНИТЕЛЬНЫЕ

ИНСТРУМЕНТЫ

УПРАВЛЕНИЯ

ИСПРАВЛЕНИЯМИ
,
ПРЕДОСТАВЛЯЕМЫЕ
M
ICROSOFT
Хотя в этом разделе внимание было сосредоточено на WSUS, доступно еще несколь- ко инструментов производства Microsoft, которые могут содействовать в управлении обновлениями внутри организации.
Microsoft Update


(Центр обновления Microsoft). Компонент Microsoft Update те- перь включен в панель управления и позволяет просматривать текущие настрой- ки, выяснять, когда применяются обновления, и видеть действие, которое пред- принимается при обнаружении обновлений.
Microsoft Update Catalog


(Каталог центра обновления Microsoft). Все файлы, до- ступные в Microsoft Update, имеются и в Microsoft Update Catalog, в том числе драйверы, исправления, безопасность и другие обновления продуктов Microsoft.
Важной особенностью Microsoft Update Catalog является возможность добавле- ния нескольких в корзину и загрузки их всех за раз. Каталог центра обновления
Microsoft находится по ссылке http://catalog.update.microsoft.com
Командлеты PowerShell для службы Windows Server Update Services. В Windows
Server 2012 R2 доступна обширная библиотека командлетов PowerShell, которые при- меняются для решения общих и повторяющихся задач внутри инфраструктуры WSUS.
С полным списком этих командлетов PowerShell можно ознакомиться в TechNet
(
http://tinyurl.com/c31pscmdlets
). Возможность управления компонен- тами и классификациями исправлений из PowerShell позволяет дополнительно автоматизировать процесс управления многосерверными инфраструктурами и оказывать более тонкое влияние на процесс обновления (например, запрещать применение определенного исправления к конкретному развертыванию).
Инструменты для поддержки безопасности Microsoft.


В клиентах Windows
Server 2012 R2 и Windows 8 вместо MBSA (Microsoft Baseline Security Analyzer — анализатор базовых уровней безопасности Microsoft) используются инструмен- ты оценки безопасности (Security Assessment Tools), которые обеспечивают под- держку Windows 7, Windows Server 2008, Windows XP, Windows Vista и Windows
Server 2008 R2.
Доступно несколько инструментов: Microsoft Security Assessment Tool 4.0,
Microsoft Baseline Security Analyzer 2.2 и Microsoft Security Compliance Manager.
Все эти инструменты и дополнительные сведения о них можно найти на веб- сайте Microsoft.
Блог центра реагирования на проблемы безопасности Microsoft.


Центр реагиро- вания на проблемы безопасности Microsoft ( Microsoft Security Response Center —
MSRC) предназначен для выдачи обновлений безопасности для продуктов
Microsoft. Этот сайт также предоставляет сводки о проблемах, которые еще не решены, но изучаются. Блог MSRC можно использовать для получения текущей информации. Он доступен по ссылке http://blogs.technet.com/b/msrc/
Отслеживание этой группы в Твиттере (
@MSFTSecResponse
) позволит быть в курсе актуальных обновлений.
Инструменты Cluster-Aware Updating можно устанавливать на компьютерах
Windows Server 2012 R2 и Windows 8. После установки инструментов вы конфигу- рируете нужный сценарий CAU; примеры таких сценариев можно найти по ссылке http://tinyurl.com/c31cluster

Р
АСШИРЕННОЕ
УПРАВЛЕНИЕ
ПОЛЬЗОВАТЕЛЬСКИМИ
УЧЕТНЫМИ
ЗАПИСЯМИ
767
В руководствах по сценариям Cluster-Aware Updating вы заметите, что компонент
CAU работает в двух основных режимах.
Самообновление.


Эта конфигурация выполняется на узле кластера, который вы хотите обновить. Вам понадобится только настроить расписание обновле- ния и позволить CAU обновить кластер.
Дистанционное обновление.


Вы запускаете CAU из автономного сервера или клиента, не входящего в кластер, например, из настольного компьютера
Windows 8 с установленными инструментами CAU. Затем вы подключаетесь к нужному кластеру и обновляете его согласно расписанию.
В ходе установки и управления компонентом Cluster-Aware Updating вы обнару- жите набор командлетов PowerShell, которые помогут выяснить, готов ли сервер, за- пустить необходимый процесс и проверить общее состояние кластеров. Выбрав под- ходящий метод применения компонента CAU, а также установив расписание, вы получите в свое распоряжение расширенные возможности Windows Server 2012 R2 и новую роль WSUS v6.
Диспетчер конфигурации системного центра
Диспетчер конфигурации системного центра (
System Center Configuration
Manager — SCCM) — это инструмент централизованного управления, построенный на основе комплекта программного обеспечения System Center (Системный центр) от Microsoft. В число основных областей внимания SCCM входит управление кли- ентами (серверами и рабочими станциями), применение исправлений, защита ко- нечных точек, развертывание приложений и автоматизированная доставка операци- онных систем.
Анализ самой последней версии этого продукта, SCCM 2012 SP1, можно найти по ссылке: https://www.microsoft.com/ru-ru/server-cloud/products
/system-center-2012-r2-configuration-manager/default.aspx
Диспетчер конфигурации системного центра предлагает более широкие возмож- ности генерирования отчетов и поддержания совместимости по сравнению с WSUS.
Для любой средней и крупной организации обычно рекомендуется использовать
SCCM в качестве основного инструмента применения исправлений. Ниже перечис- лены некоторые дополнительные преимущества внедрения SCCM.
Возможность централизованного отката исправления, которое уже было раз-

вернуто.
Оценка совместимости, позволяющая выполнять поиск программного обеспе-

чения или обновлений, которые необходимы для обеспечения совместимости.
Один унифицированный клиент: вы можете использовать клиент SCCM для

установки обновлений, управления или регулировки обновлений и существен- ного упрощения единичных развертываний.
Усовершенствованные отчеты и возможность определять подписки, которые

помогают оценивать совместимость.

Г
ЛАВА
31
768
Возможность определения окон обслуживания для выталкивания исправле-

ний; использование групповой политики обеспечивает только строгий подход в стиле “все или ничего” к применению исправлений в системах. С помощью
SCCM и окон обслуживания вы можете вносить исправления в подгруппы компьютеров только на протяжении определенных часов.
Издатель обновлений системного центра (System Center Update Publisher) поз-

воляет собирать загрузочные файлы исправлений от Adobe, Java и производи- телей оборудования. Эти исправления легко интегрируются в развертывание и расписание.
Автономное обслуживание позволяет обновлять файл WIM (Windows Image

File Format — файловый формат для образа Windows) после его сохранения, избавляя от необходимости развертывать и обновлять образ вручную. Это га- рантирует, что образы развертывания ОС всегда развертываются с самыми последними исправлениями.
Резюме
Используйте Windows Automatic Updates для проверки наличия новых обновлений на
компьютере, работающем под управлением Windows 8. Компонент Windows Automatic
Updates входит в состав панели управления и применяется для проверки наличия на сайте Microsoft Update любых обновлений для вашего компьютера.
Контрольный вопрос. Воспользуйтесь Windows Automatic Updates на компьюте- ре Windows 8, чтобы проверить наличие для него доступных обновлений.
Применяйте Windows Update Standalone Installer для молчаливой установки обновле-
ний безопасности. Инструмент Windows Update Standalone Installer применяется для установки обновлений безопасности во всех операционных системах Windows, начи- ная с Windows Vista и Windows Server 2008.
Контрольный вопрос. Установите в молчаливом режиме обновление безопас- ности и отложите требуемую перезагрузку с использованием Windows Update
Standalone Installer.
Идентифицируйте четыре фазы управления исправлениями. Согласно рекоменда- циям Microsoft, существуют четыре фазы при планировании стратегии управления исправлениями.
Контрольный вопрос. Какое из перечисленных ниже действий не имеет отно- шения к четырем фазам управления исправлениями?
Идентификация
1.
Поиск и устранение проблем
2.
Оценка и планирование
3.
Оценка
4.
Развертывание
5.


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2017
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал