Đề tài quản trị mạng tìm hiểu WSUS

Đề tài quản trị mạng tìm hiểu WSUS

I

Contents 1

I.LỜI MỞ ĐẦU 2

II.NỘI DUNG 3

1.Các thành phần chính bên trong WSUS 3

1.1 WSUS là một LAN nhỏ 3

1.2 WSUS trong LAN lớn 4

2.WSUS trong WAN 6

3.Cài đặt và cấu hình WSUS 7

Cài đặt WSUS 7

4 Cấu Hình WSUS 16

5.Cấu hình sao cho các máy trạm cập nhật update từ WSUS 33

Xác nhận, phân phối và kiểm tra trạng thái các bản updates Trong cửa sổ WSUS Administration console, nhấp vào Updates, chọn All Updates Trong danh sách các bản updates, chuột phải vào các bản updates mà chúng ta muốn chấp nhận để cài đặt chọn Approve 39

Hình 29: Lựa chọn bản update 39

III.KẾT LUẬN 41

I LỜI MỞ ĐẦU

Các dịch vụ nâng cấp máy chủ Windows (WSUS) của Microsoft là một giảipháp quản lý bản vá lỗi cho khối doanh nghiệp Sử dụng WSUS, các quản trị mạng cóthể quản lý và triển khai các nâng cấp phần mềm cho tất cả các sản phẩm trong mộtmạng của Microsoft Gồm có trong đó các hệ điều hành máy khách như Windows XP

và Windows Vista, Windows 7 các hệ điều hành máy chủ như Windows Server 2003

và Windows Server 2008, cùng với các sản phẩm khác như Microsoft Exchange, ISA

Server và Forefront Security

Page 2

II NỘI DUNG

1 Các thành phần chính bên trong WSUS

Có ba thành phần chính để triển khai WSUS Đầu tiên là thành phần quản lý củaMicrosoft, Microsoft Update, đây chính là thành phần quản lý và phân phối các nângcấp đến máy khách của Microsoft theo yêu cầu Tiếp đến là bản thân máy chủ WSUS,máy chủ cho phép các quản trị viên chỉ định các nâng cấp nào sẽ được download từMicrosoft Update và sau đó được triển khai tới mạng các máy khách Thành phần cuốicùng là Automatic Update, đây là thành phần được xây dựng trong Windows 2000SP4, Windows XP, Windows Server 2003 và Windows Server 2008, cho phép các hệđiều hành này có thể download các bản nâng cấp từ nguồn được chỉ định

Dù triển khai WSUS cho một LAN nhỏ hay một WAN phân tán về điều kiện địa

lý thì tất cả những gì liên quan đến ở đây là sử dụng ba thành phần này như thế nào.Chúng ta hãy xem xét một số kịch bản cần thiết để triển khai WSUS và cách có thểthực hiện hiệu quả như thế nào Tiếp sau đó sẽ xem xét đến quá trình cài đặt

1.1 WSUS là một LAN nhỏ

Đại đa số các cài đặt WSUS đều diễn ra trong một môi trường nhỏ hơn được đặttại một địa điểm và ít hơn 100 máy tính Trong cấu hình chung, một quản trị viênmạng sẽ quản lý một máy chủ WSUS để download các nâng cấp trực tiếp từ MicrosoftUpdate Do các lý do về ngân quỹ thường cản trở việc mua máy chủ cho WSUS, chính

vì vậy dịch vụ này sẽ chia sẻ phần cứng với máy chủ file hoặc máy chủ ứng dụng

Khi bạn đã thiết lập xong mọi thứ, lúc này chỉ còn gánh nặng đặt lên quản trị viênmạng là bảo đảm sự đồng bộ giữa máy chủ và Microsoft Update xuất hiện đúng cách,

Hình 1: Một triển khai WSUS đơn giản

1.2 WSUS trong LAN lớn

Một mạng lớn hơn sẽ có một số vấn đề khác phát sinh Các mạng này vẫn đượcđặt ở một địa điểm nhưng có số lượng máy tính, máy chủ và đoạn mạng lớn hơn nhiều

Thứ đầu tiên cần xem xét ở đây là không phải tất cả các máy tính đều nhậncùng một tập các nâng cấp Ví dụ, người dùng trong phòng tài chính có thể khôngquen với việc chạy các ứng dụng NET framework 3.0, ngược lại người dùng trongphòng khoa học lại yêu cầu đến nó Đây là một vấn đề khá đơn giản trong việc sửdụng các nhóm máy tính Mỗi máy tính báo cáo đến giao diện quản trị WSUS có thểđược xếp đặt vào một nhóm máy tính phụ thuộc vào những nhu cầu của riêng nó Mặcđịnh, tất cả các máy tính này đều được đặt trong nhóm máy tính “UnassignedComputers” khi chúng báo cáo lần đầu tiên với máy chủ WSUS Tuy vậy khi đã báocáo rồi thì bạn cũng có thể tạo một nhóm tùy chỉnh và đặt chúng vào trong nhóm đó

Page 4

Các nâng cấp được cho phép trên mỗi nhóm cơ bản sẽ cho phép bạn tùy chỉnh cácnâng cấp được cài đặt đối với mỗi nhóm máy tính dựa trên những nhu cầu người dùng Vấn đề cần xem xét tiếp đến ở đây là gánh nặng quản lý đã được áp đặt bởinhiều máy chủ WSUS Việc kiểm tra đồng bộ hóa, cho phép nâng cấp, bảo đảm cài đặtthành công các nâng cấp là một nhiệm vụ khá đơn giản Tuy vậy nếu bạn có đến 5 máychủ WSUS tách biệt thì vấn đề quản lý chúng có thể gây tốn nhiều thời gian đối vớimột Tuy nhiên WSUS đã được thiết kế để có thể sử dụngnhiều máy chủ và khắc phục được vấn đề này thông qua sử dụng WSUS ServerHierarchies Mô hình kiến trúc thứ bậc này cho phép một máy chủ WSUS hành đọngnhư một máy chủ upstream và áp đặt cấu hình của nó trên các máy chủ đã được cấuhình downstream nằm bên dưới nó

Kiến trúc WSUS hỗ trợ hai chế độ, chế độ tự trị (chúng ta sẽ thảo luận sau)

và chế độ bản sao Trong chế độ bản sao, máy chủ upstream chỉ là máy chủ WSUSdownload các nâng cấp của nó từ Microsoft Update Nó cũng là máy chủ mà một quảntrị viên phải cấu hình một cách thủ công các nhóm máy tính và các cho phép nâng cấp.Tất cả các thông tin đã được download và cấu hình đối với máy chủ upstream đềuđược tạo bản sao một cách trực tiếp đến tất cả các thiết bị đã được cấu hình như cácmáy chủ downstream Sử dụng phương pháp này bạn sẽ tiết kiệm được băng thông khichỉ có một máy tính nâng cấp từ Internet Tuy nhiên quan trọng hơn ở đây là bạn sẽ tiếtkiệm được thời gian vì chỉ quản lý một máy chủ hiện hành từ một phần mềm

Hình 2: Triển khai WSUS trong LAN rộng

2 WSUS trong WAN

Kịch bản cuối cùng và cũng là kịch bản phức tạp nhất là WSUS được cài đặttrong một WAN Các WAN này được đặc trưng bởi một số lượng lớn các thiết bị trảirộng trên một số điểm khác nhau về điều kiện địa lý

Không giống như các kịch bản bên trên của chúng ta, các WAN thường có mộtmodel quản lý CNTT Thay cho một quản trị viên phải quản lý tất cả các hành độngWSUS, mỗi địa điểm đều có một quản trị viên để quản lý các nhóm máy tính và cáccho phép nâng cấp tách biệt với văn phòng chính Đây là một kịch bản hoàn toàn khác,

ở đây chúng ta có thể sử dụng các máy chủ upstream và downstream hoặc đặc biệt hơn

là chế độ tự trị

Bằng cách sử dụng chế độ tự trị, máy chủ upstream có thể phát các file nângcấp lên máy chủ downstream Điều này có nghĩa rằng các nhóm máy tính riêng lẻ vàcác cho phép nâng cấp phải được cấu hình cho mỗi máy chủ downstream Trong triểnkhai này, bạn sẽ có lợi về hiệu suất băng thông với khả năng linh hoạt của việc cho

Page 6

phép các quản trị viên site riêng lẻ có thể quản lý các nhóm máy tính và các cho phépnâng cấp

Một kịch bản khác của WAN được tạo bởi sự hạn chế về băng thông Nhìnchung các địa điểm mạng điều khiển từ xa đều có kết nối tốc độ cao với Internet nhưnglại có liên kết tốc độ khá thấp với văn phòng chính, như thông qua VPN chẳng hạn.Trong hoàn cảnh này, máy chủ upstream có thể quản lý các cho phép nâng cấp, nhưngcác máy chủ downstream quản lý từ xa có thể được cấu hình để download các nângcấp được phép trực tiếp từ Internet trái với máy chủ upstream

Hình 3: Triển khai WSUS đã được thiết kế cho WAN

3 Cài đặt và cấu hình WSUS

Ở đây có thể cài đặt toàn bộ gói có chứa các thành phần chương trình WSUS

và giao diện quản lý hoặc chỉ bản thân mỗi giao diện quản lý Trong trường hợp nàychúng sẽ cài đặt tất cả các thành phần

Hình 4:Installation Mode SelectionQuá trình được bắt đầu từ việc đồng ý thỏa thuận đăng ký (License agreement)

Page 8

Hình 5: License AgreementCửa sổ tiếp theo sẽ nhắc nhở chúng ta chọn tài nguyên nâng cấp Đây chính lànơi các máy khách của bạn sẽ download các nâng cấp Chúng ta sẽ chọn Store UpdatesLocally và chọn một địa điểm với ít nhất 20GB ổ cứng còn trống Nếu chúng ta khôngchọn tùy chọn này thì các máy client sẽ chỉ sử dụng WSUS để quản lý những nâng cấpđược cho phép và sẽ download các nâng cấp này trực tiếp từ Microsoft Update trênInternet.

Hình 6:Nơi lưu trữ các bản UpdateCửa sổ tiếp theo là các tùy chọn cơ sở dữ liệu Đây chính là nơi chúng ta có thểchọn công nghệ cơ sở dữ liệu mà WSUS sẽ sử dụng để duy trì các thông tin nâng cấp

về client Mặc định cài đặt sẽ sử dụng cơ sở dữ liệu bên trong Windows Cơ sở dữ liệunày cũng rất tốt tuy nhiên nếu có phần mềm SQL Server đã được cài đặt sẵn trên máythì chúng ta có thể sử dụng bằng cách nhập vào các thông tin trong cửa sổ này

Page 10

Hình 7:Cơ sở dữ liệu sử dụngCửa sổ tiếp theo sẽ cho phép chúng ta chọn WSUS sẽ sử dụng IIS như thế nào.Chúng ta có thể sử dụng web site mặc định trên cổng 80 hoặc tạo một site riêng bằng

sử dụng cổng 8530 Sử dụng cổng 8530 được khuyến khích ở đây vì nó cho phép cómột số linh động nếu kết thúc việc bổ sung các ứng dụng web khác vào cùng một máychủ vật lý sau đó

Hình 8: WSUS Sử dụng IISTại cửa sổ Ready to Install Windows Server Update Services,chúng ta xem lại các thông tin trước khi cài đặt, cần chú ý đến

- Content folder : C:\WSUS\WsusContent

- Database files : C:\WSUS

- Client self update site: http://UTEHY-684ACBD97/selfupdate

rồi nhấn Next

Page 12

Hình 9: Thông tin cà đặt

Quá trình cài đặt diễn ra

Hình 10: Quá trình cài đặt

Page 14

Kết thúc quá trình cài đặt

Hình 11: Cài đặt thành công

4 Cấu Hình WSUS

Sau khi cài đặt xong WSUS 3.0, chương trình WSUS Configuration Wizard sẽ

tự động kích hoạt Chúng ta có thể sử dụng chương trình này để cấu hình WSUS hoặc

có thể bỏ qua mọi cấu hình trong Wizard này và có thể cấu hình lại trong mục Options

Page 16

của công cụ WSUS Administration console.

Mặc định, WSUS được cấu hình để sử dụng Microsoft Update là nơi để cập nhật Nhưng nếu chúng ta có một máy WSUS khác server trong mạng nội bộ, chúng ta

có thể cấu hình WSUS sử dụng máy WSUS server này Nếu có tường lửa giữa WSUS

và Internet, chúng ta cần cấu hình để tường lửa cho phép WSUS có thể nhận được các bản updates

Chúng ta chọn dấu check Yes, I would like to join the Microsoft Update Improvement Program Nếu chúng ta muốn gửi thông tin về chất lượng của việc updates đến Microsoft

Page 18

Tại cửa sổ Choose Upstream Server, chúng ta có thể chọn nơi đồng bộ các bản updates từ Microsoft Update hay từ một WSUS khác.

Page 20

Tại cửa sổ Specific Proxy Server, chúng ta chỉ định tên hoặc địa chỉ IP của proxy server nếu trong mạng sử dụng proxy server

Page 22

Hình 15: Lựa chọn Proxy ServerTại cửa sổ Connect to Upstream Server, nhấn chọn Start Connecting.

Hình 16: Start ConnectingTại cửa sổ Choose Languages, chúng ta lựa chọn ngôn ngữ cho các bản updates.

Hình 17:Ngôn ngữ của bản UpdateTại cửa sổ Choose Products, lựa chọn các sản phẩm của Microsoft cần updates

Ở đây giả sử chúng ta chỉ cần updates cho Windows 7 Chúng ta check vào mục

Page 24

Hình 18: Sản phẩm updateTại cửa sổ Choose Classifications, chúng ta lựa chọn loại updates ở đây giả sử chúng ta chỉ cần chọn Security Updates rồi nhấp Next.

Hình 19:Lựa chọn loại Update

Page 26

Tại cửa sổ Set Sync Schedule, chúng ta chọn Do not display user policy settings

in the results rồi nhấp Next

Hình 20: Synchronize manually

Tại cửa sổ Finished nếu chúng ta muốn khởi động WSUS và bắt đầu đồng bộ với Microsoft bạn thì để mặc định và nhấp Next.

Page 28

Tại cửa sổ What’s Next, là thông tin hướng dẫn giúp chúng ta cấu hình thêm các phần khác của WSUS Ta nhấn Finish để kết thúc quá trình hướng dẫn cấu hình

WSUS

Page 30

Hình 22: Quá trình cấu hình két thúc

Trong trường hợp bạn bỏ qua việc sử dụng chương trình WSUS Configuration

Wizard để cấu hình hoặc bạn muốn lựa chọn lại các tùy chọn đã cấu hình thì bạn có

thể cấu hình lại trong mục Options của công cụ WSUS Administration console.

Để mở công cụ WSUS Administration console: Bạn

vào Start > Programs > Administrative Tools > Microsoft Windows Server

Update Services.

Hình 23:Update Service

Để cấu hình đồng bộ WSUS server, trong cửa sổ WSUS Administration

console, lựa chọn Synchronizations Chuột phải hoặc sử dụng Actions bên cửa sổ bên

phải và chọn Synchronize now Sau khi đồng bộ xong, nhấp vào mục Updates để

xem danh sách các bản updates

Page 32

Hình 24:Cấu hình đồng bộ

Trên WSUS server bạn cấu hình để cho phép Client update thông qua GPO.

Tại cửa sổ WSUS Administration console,phía bên phải bạn chọn Options, phía bên trái bạn nhấp chọn vào mục Computers Chọn vào User Group Policy or registry

settings on computers.

Hình 25:Sử dụng Group Policy

Tại máy trạm Client, chúng ta mở công cụ Local Group Policy để thêm

vào WSUS Administrative Template

Chúng ta nhấp chuột phải vào mục Administrative Template,

chọn Add/Remove Templates Tại cửa sổ Add/Remove Templates nhấp

nút Add chọn wuau.adm.

Page 34

Hình 26: Add/Remove Templates

Hình 27: Enable

Để chính sách Automatic Updates có tác dụng nhanh chóng bạn có thể sử dụng lệnh gpupdate /force hoặc để chương trình Automatic Updates trên client kết nối với WSUS server ngay lập tức bạn có thể dùng lệnh wuauclt.exe /detectnow

Tạo nhóm Computer để phân loại cập nhật.

Có hai nhóm máy tính mặc định: All Computers và Unassigned Computers

Tuy nhiên chúng ta có thể tạo thêm các nhóm máy tính khác tùy theo mục đích của

Page 36

mình Các máy tính sau khi kết nối vào WSUS thì chúng ta có thể di chuyển vào các nhóm máy tính thích hợp

Để tạo nhóm máy tính mới, trong WSUS Administration console, mở rộng mục Computers, chuột phải vào All Computers chọn Add Computer Group Trong cửa sổ Add Computer Group đặt tên cho nhóm máy tính mới là TestComputer rồi nhấn nút Add.

Hình 28:Tạo nhóm máy tính mới

Trong cửa sổ WSUS Administration console, nhấp vào Computers Chọn

nhóm máy tính bạn muốn di chuyển đến, trong danh sách các máy tính chuột phải máy

tính bạn muốn di chuyển chọn Change Membership Trong cửa sổ Set Computer

Group Membership, chọn vào nhóm bạn muốn di chuyển computer vào

Page 38

Xác nhận, phân phối và kiểm tra trạng thái các bản updates.

Trong cửa sổ WSUS Administration console, nhấp

vào Updates, chọn All Updates Trong danh sách các bản updates, chuột phải vào các bản updates mà chúng ta muốn chấp nhận để cài đặt chọn Approve.

Page 40

III KẾT LUẬN

Chúng ta đã thực hiện rất nhiều tùy chọn triển khai có thể cho WSUS cũng nhưcách cài đặt nó Có khá nhiều vấn đề về WSUS nhưng các thông tin được cung cấp ởđây sẽ cho phép bạn có được sự khởi đầu tốt trong việc xác định cách triển khai côngnghệ Microsoft này như thế nào để có thể tăng hiệu quả nâng cấp và giảm những gánhnặng trong vấn đề quản trị mạng