Настрока SUS-сервера
В каждой крупной организации с сотнями компов обновления виндузни сгружаются не с сайта Microsoft, а с выделенного сервера под названием SUS. Это выгодно не только из-за экономии трафика (ну-ка 200-300 машин сгрузят SP4 на 130 метров), сколько из-за возможности централлизованной удаленной разливки обновлений по глупым юзерам, которые бы лучше даже ничего не знали об этом (чтобы не доставали админа своими дурацкими вопросами). Если не наладить на фирме эту службу, то админу ручками придется (только для Win2000 и старше) разливать 5478 обновлений виндузни - и это для сотен компов! Пожалуй эта та самая служба, в подъеме которой системный администратор заинтересован даже больше хозяина фирмы, который платит за трафик, ибо чем больше хотфиксов установлено у юзеров - тем реже ему собственными ручками надо переустанавливать упавшие из-за вирусни компы...
Для того, чтобы поставить SUS для начала заходим в раздел SUS на сайте Microsoft: http://www.microsoft.com/sus и сгружаем со странички SUS сервер, клиент и документашку. Далее на выбранный компец во внутренней сети инсталлируем SUS-сервер.
Если ранее сервер был загашен с помощью IISLockDown Tools, то мы получим вот такое сообщение. Тогда с помощью опять же IISLockDown надо разрешить использование IIS. После завершения инсталляции SUS может не запуститься, особенно на серверах со множеством сетевых карт - тогда надо вручную привязать SUS-Сервис на определенный интерфейс. Кроме работоспособного каталога IIS должна также нормально запуститься Windows-служба SUS, а на диске должна образоваться файловая структура SUS. Если все прошло нормально - то запрос http://сервер/susadmin должен завершиться знакомым по MBSA окошком.
Далее можно начинать выполнять синхронизацию. Обычно без дополнительной настойки SUS валится. В этом случае рекомендую выпонять не дурацкие микрософтовские рекомендации, типа выполнения патча к WSH или патча к SUS, а зайти в настройки SUS и повнимательнее их выставить. И если настройка выполнена правильно то начинается загрузка патчей.
Второй этап работы - настройка параметров клиента SUS-сервера. Для этого сгружаем с майкрософтовского сайта (или отсюда) административный шаблон wuau.adm, управляющий настройками клиента автоматического обновления. Этот клиент уже входит в состав Win2000 SP3 и WinXP SP1. Для более ранних систем его надо доставлять отдельно, как показано в следующем абзаце. Но вернемся к его настройкам. Они выполняются на контроллере домена. Без административного шаблона wuau.adm, групповые политики выглядят так и настройки клиента недоступны, и только после загрузки этого шаблона настройки становятся доступными.
Отдельный вопрос - как поставить клиента SUS (wuau22rus.msi) только на виндузню, древнее чем Win2000 SP3 и WinXP SP1. Дело в том, что на Win2000 SP3 и WinXP SP1 wuau22rus.msi не пойдет. Как отобрать такие тачки без помощи SMS - я не знаю, а простая разливка политиками здесь не совсем подходит. Можно также просто выложить wuau22rus.msi на расшаренный ресурс и ставить его первым при изготовлении новых клиентских тачек (а дальше wuau22rus.msi сам скачает с SUS-сервера все обновления). Кроме того, чтобы wuau22rus.msi нормально встал на клиентских машинах, на них, конечно, должна работать служба Windows Installer и должна быть разрешена запись в корневую директорию диска.
Но если все сварилось нормально - то вам остается только наслаждаться записями в журналах клиентских компов и записями в журналах IIS на SUS-сервере. При этом начальство полностью уверено, что вы это делали для них для экономии трафика, но вы-то точно знаете, что вы это сделали лично для себя, чтобы вам поменьше возиться с упавшими от вирусни тачками!
Дополнительные источники информации
- В инете уже присутствует статья на эту тему (на всякий случай, если ссылка умрет, то здесь лежит локальная копия этой статьи).
- В журнале "Системный администратор" есть хорошая статья на шести страницах (1,2,3,4,5,6) - кстати в этой статье обратите внимание на коммерческие альтернативы SUS.
- И наконец, сам Microsoft распространяет три вордовских документа и одну Excel-ную таблицу с описанием SUS Deploying Microsoft Software Update Services, Software Update Services Overview, Patch Management Using Microsoft Software Update Services , Test Plan for Patch Management (SUS).
|