triển khai wsus windows server update services
TRANSCRIPT
Triển khai WSUS Windows Server Update Services
Giới thiệuThông tin và dữ liệu đóng vai trò quan trọng trong hoạt động sản xuất kinh doanh cũng như sự phát triển của doanh nghiệp. Một trong những phương pháp quan trọng để bảo mật thông tin và dữ liệu là cập nhật thường xuyên các bản vá lỗi hệ điều hành Windows, các phần mềm của Microsoft trên các PC và ServerVới số lượng PC và Server tại các cơ quan tương đối lớn, việc thực hiện cập nhật (update) các bản vá lỗi (hotfixes), các bản nâng cấp cho các hệ điều hành, các phần mềm của Microsoft là một điều đáng được quan tâm. Hiện tại, việc cập nhật cho các PC và Server tại các cơ quan phần lớn được thực hiện một cách thủ công (từng người dùng thực hiện cập nhật riêng lẻ). Điều này dẫn đến các vấn đề như sau:
Người dùng không thực hiện cập nhật các bản vá lỗi hoặc thực hiện cập nhật các bản vá lỗi không đầy đủ, dẫn đến nguy cơ bị tấn công vào các lỗ hổng bảo mật.
Người quản trị chưa kiểm soát được tình trạng cập nhật các bản vá lỗi, các bản nâng cấp các hệ điều hành, các ứng dụng Microsoft của người dùng.
Mỗi người dùng cập nhật một cách riêng lẻ các chương trình, hệ điều hành của Microsoft sẽ dẫn đến việc tiêu tốn băng thông, đặc biệt là băng thông quốc tế.
Trong trường hợp đường truyền Internet bị chậm hoặc gián đoạn sẽ dẫn đến việc cập nhật các hệ điều hành, các chương trình của Microsoft cho PC và Server diễn ra lâu hơn, làm cho PC và Server chạy chậm hơn.
Do đó, giải pháp chính là cài đặt một Server trung gian (WSUS Server) thực hiện cập nhật các bản vá lỗi từ Internet về, sau đó các máy PC trong mạng LAN kết nối đến Server này để cập nhật các bản vá lỗi. Sau khi triển khai giải pháp này sẽ đạt được các mục tiêu sau:
Tất cả các máy tính Client trong mạng LAN đều được cập nhật các bản vá lỗi kịp thời, nâng cao khả năng bảo mật, an toàn cho máy tính người dùng (Client).
Thời điểm cập nhật của các Client được đặt lịch phù hợp với hiệu suất hoạt động mạng LAN.
Tiết kiệm được băng thông truy cập Internet: trước đây tất cả các Client đều phải truy cập Internet để cập nhật (mỗi lần cập nhật phải tải về từ vài chục đến vài trăm Mega
byte dữ liệu), nhưng bây giờ chỉ có 1 Server kết nối Internet để cập nhật online còn các Client thực hiện cập nhật bên trong mạng LAN.
Nội dung thực hiện
Cài đặt WSUS Server thực hiện chức năng tự động cập nhật online các bản vá lỗi, các bản nâng cấp hệ điều hành, các phần mềm của Microsoft để cung cấp cho tất cả các máy tính trong mạng LAN (PC và Server).
Thiết lập các chính sách trên WSUS Server như: thời gian cập nhật các bản vá lỗi từ Microsoft hoặc từ các nguồn khác, loại bản vá được cập nhật (critical, security…), phân nhóm hệ điều hành các máy tính Client,...
Thiết lập các chính sách trên Domain Controller để áp đặt các PC và Server trong Domain cập nhật các bản vá (tải và cài đặt) một cách tự động, thời điểm các Client trong mạng LAN thực hiện cập nhật,…
1. Cài đặt WSUS và IIS trên Windows Server 2008 Quá trình cài đặt WSUS và IIS gồm:
Cài đặt role Web Server (IIS) và các role services liên quan
Cài đặt role Windows Server Update Services (WSUS)
Các bước thực hiện như sau:VàoComputer > Manager, trong cửa sổ Server Manager, chuột phải Roles >Add Roles. Sau đó chọn Next
Chọn Windows Server Update Services. Tại cửa sổ Add role services required for Windows Server Update Services ?, chọn Add Required Role Services. Sau đó chọnNext liên tục
Chọn Install và chờ cài đặt WSUS, IIS
Tại cửa sổ Windows Server Update Services 3.0 sp2 Setup Wizard, chọn Next. Sau đó chọn Next liên tục cho đến khi quá trình cài đặt hoàn thành
Chọn Finish. Chúng ta đã cài đặt 2 role IIS và WSUS
2. Cấu hình WSUS Server
Quá trình cấu hình WSUS server gồm:
Chọn cập nhật từ Server của Microsoft
Chọn cập nhật qua Proxy Server:
Chọn ngôn ngữ bản cập nhật: English
Chọn sản phẩm cập nhật: windows 7, 8, windows server 2003, 2008, 2012, FEP..
Chọn bản cập nhật: critical updates, security updates
Chọn cách đồng bộ: theo lịch có sẵn 9h00 hàng ngày
Các bước thực hiện như sau:
Tại cửa sổ Windows Server Update Services Configuration Wizard, chọn Next
Chọn Next, để WSUS server đồng bộ từ Microsoft
Chọn Use a proxy server when synchronizing khi có hệ thống sử dụng proxy server, sau đó chọn NextHoặc không chọn Use a proxy server when synchronizing khi có hệ thống không proxy server, sau đó chọn Next
Chọn Start Connecting
Chọn ngôn ngữ của bản cập nhật là tiếng Anh (English), sau đó chọn Next
Chọn sản phẩm (products) của Microsoft cần cập nhật như loại hệ điều hành, phần mềm…, sau đó chọn Next
Chọn nhóm bản cập nhật cần thiết (Classification), sau đó chọn Next
Chọn thời gian thiết lập đồng bộ và số lần thiết lập đồng bộ trong ngày giữa WSUS Server và Microsoft Server, sau đó chọn Next
Chọn Finish
3. Cấu hình chính sách người dùngCấu hình chính sách trên Domain Controller:
Cho phép các máy PC tự đông tải và cài đặt các bản cập nhật theo lịch thiết lập sẵn
Cài đặt địa chỉ của WSUS Server
Các bước thực hiện như sau:Cấu hình chính sách (Group Policy) trên Domain Controller
- Vào Start > Programs > Administrative Tools > Group Policy Management. - Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest: tên_miền > Domains > tên _miền.- chuột phải Default Domain Policy, chọn Edit
Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Windows Update, chuột phải Configure Automatic Updates, chọn Edit
Tại cửa sổ Configure Automatic Updates, thiết lập chính sách, sau đó chọn OK
Tiếp tục chuột phải Specify internet Microsoft update service location, chọn Edit
Tại cửa sổ Specify internet Microsoft update service location, chọn Edit, thiết lập ip của WSUS Server, sau đó chọn OK
Vào Run, thực hiện lệnh gpupdate /force để cập nhật ngay các chính sách mới
4. Quản lý các máy tính trong mạng LAN và WSUS ServerQuá trình quản lý các máy tính trong mạng LAN và WSUS Server gồm:
Kiểm tra các máy tính trong mạng LAN đã kết nối đến WSUS Server chưa. Nếu các PC chưa kết nối đến WSUS Server, thực hiện các lệnh đồng bộ bằng tay từ các máy PC chưa kết nối
Kiểm tra phiên bản WSUS Server và cập nhật WSUS Server lên bản mới nhất
Thực hiện đồng bộ thông tin các bản cập nhật từ Microsoft Server về WSUS Server
Cho phép WSUS Server tải các bản cập nhật cần thiết cho hệ điều hành và các phần mềm từ Server của Microsoft. Sau đó kiểm tra WSUS Server đã tải hết các bản cập nhật đã được chọn hay chưa
Kiểm tra tình trạng cập nhật của các PC trong mạng LAN
Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN trên WSUS
Các bước thực hiện như sau:
Kiểm tra kết nối của các máy tính trong mạng LAN đến WSUS ServerKiểm tra cấu hình WSUS Server ban đầu. Vào All Programs > Adminitrative Tools > Windows Server Update Services
Mặc định, các máy tính trong mạng LAN sẽ được đưa vào nhóm Unassigned Computers. Có thể tạo ra các Group Computer phân loại các hệ điều hành Windows và các Group Computer phân loại PC các Ban để dễ dàng quản lý. Chúng ta có thể kết hợp thêm với Active Directory Users and Computers, Group Policy Mangagement để thực hiện cập nhật cho từng Ban vào các thời điểm khác nhau.Thực hiện đồng bộ giữa máy client và WSUS server. Nhận thấy, khi mới cài đặt WSUS Server, có một số máy PC chưa kết nối đến WSUS Server. Khi đó, có thể vào PC đó, vào Run, thực hiện lệnhwuauclt /resetauthorization /detectnow để thực hiện kết nối PC đó đến WSUS Server. Trong trường hợp này, vào máy PC Windows 7 thực hiện lệnh:
Sau khi thực hiện đồng bộ, chúng ta có kết quả máy PC Windows 7 đã được thêm vào mục Unassigned Computers trong WSUS Server
Kiểm tra phiên bản WSUS ServerKhi máy PC và Server mới được thêm vào WSUS Server, phần Installed/ Not Applicable Percentage (phần trăm update đã được cài đặt/ không thích hợp) là 0% do WSUS server đang thực hiện phân tích trạng thái cập nhật của các máy PC và Server. Lúc này trạng thái của các PC và Server là Not yet Reported. Để thực hiện thông tin ngay tình trạng cập nhật đến WSUS Server, vào các PC và Server chưa gửi thông tin trạng thái cập nhật, vào Run, gõ lênh wuauclt /reportnow. Các PC và Server sẽ gửi ngay thông tin trạng thái cập nhật đến WSUS Server.Đôi khi, do phiên bản của WSUS Server thấp hơn so với phiên bản của PC và Server trong mạng LAN, nên trạng thái của PC và Server vẫn là Not yet Reported. Lúc này, cần cập nhật phiên bản cho WSUS Server, tối thiểu là phiên bản 3.2.7600.251. Để xem phiên bản WSUS Server, vào Help > About Update Service…
Nếu phiên bản hiện tại thấp hơn 3.2.7600.251, bạn thực hiện cập nhật WSUS Server
Để thực hiện cập nhật WSUS Server, chạy gói cập nhật KB2734608
Sau khi chạy gói cập nhật, phiên bản hiện tại của WSUS Server là 3.2.7600.256
Đồng bộ thông tin các bản cập nhật từ Microsoft Server về WSUS ServerSau khi các máy PC và Server đã được nằm trong Unassigned Computers của WSUS Server và đã thông báo tình trạng cập nhật đến WSUS Server, chúng ta có thông tin như sau:
Ví dụ trong trường hợp trên: đối với máy PC Windows 7: tỉ lệ phần trăm số bản cập nhập đã được cài đặt hoặc không thích hợp là 90%, số bản cập nhật cần thiết là 234 bản tương ứng với 10%. Chúng ta tiến hành đồng bộ (Synchronize now) để xem thông tinsố bản cập nhật cần thiết cho các máy tính trong mạng LAN từ trang chủ Microsoft về WSUS Server có thay đổi không.
Sau khi đồng bộ, chương trình sẽ thông báo thời gian cập nhật lần gần nhất và trạng thái cập nhật là thành công
Tải các bản cập nhật từ Microsoft Server về WSUS ServerHiện tại, các máy PC (windows 7) và máy Server (windows server 2008) có 1840 security updates và 403 critical updates cần cập nhật.
Thực hiện chấp nhật (Approve) các bản cập nhật cho máy PC, máy Server để tải các bản cập nhật từ trang chủ Microsoft về WSUS Server.
Tại cửa sổ Approve Updates, chọn All Computers, Chọn Approved for Install,
Sau đó chọn OK
Chờ quá trình chấp nhận các bản cập nhật
Quá trình chấp nhận các bản cập nhật diễn ra thành công, sau đó chọn Close
Chờ các bản cập nhật được tải từ Microsoft Server về WSUS server
Sau khi WSUS Server tải các bản cập nhật về xong, chúng ta nhận thấy số bản cập nhật cần thiết (needed) chưa được chấp nhật (Unapproved) là 0
Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LANKiểm tra máy PC Windows 7. Trước khi cập nhật cho máy PC Windows 7
Khi đến thời gian đồng bộ các bản cập nhật từ WSUS Server xuống PC Windows 7 (được thiết lập trong Group Policy của Domain Controller). Các bản cập nhật sẽ được tự động tải xuống PC. Sau khi các bản cập nhật đã được tải xuống PC, nếu chính sách trên Domain Controller là Auto Download and Notify for Install thì một thông báo sẽ được hiện lên yêu cầu bạn cập nhật các bản vá (với máy PC Windows 7).
Chọn Install updates,
Quá trình cài đặt các bản cập nhật. Chú ý:bạn sẽ không nhận thấy quá trình này khi thực hiện cập nhật tự động theo lịch.
Sau khi cài đặt xong, chọn Restart Now và chờ PC thực hiện hiện cài đặt
Sau khi cập nhật xong, trạng thái cập nhật của PC Windows 7 như sau:
Sau khi các bản cập nhật đã được tải xuống, nếu chính sách trên Domain Controller làAuto Download and Schedule for Install thì các bản vá sẽ được cập nhật một cách tự động theo thời gian đã định sẵn (với máy Windows Server 2008).Máy Windows Server tự động cài đặt bản cập nhật, thông báo đã cài đặt xong và yêu cầu restart.
Chọn Restart Now và chờ máy Windows Server 2008 thực hiện cài đặt
Sau khi cập nhật xong, trạng thái cập nhật của máy Windows Server 2008 như sau:
Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN trên WSUS ServerSau khi các máy tính trong mạng LAN đã được cập nhật xong, chúng ta sẽ nhận được thông báo các máy tính đã ở trong tình trạng 100% được cập nhật, các bản cập nhật cần thiết là 0 (Update needed)