Deel 6 – Installatie en configuratie van Software Update Services (SUS)
In het kader van patchbeheer heeft Microsoft Software Update Services ontwikkeld, die gratis van internet kunnen worden gedownload. Het doel van SUS is een lokale updateserver die de door Microsoft geleverde updates centraal downloadt van het internet en distribueert naar de clients in het LAN. Inmiddels heet het Windows Server Update Services (WSUS).
Als beheerder krijgt u volledige controle over wanneer welke clients welke updates (moeten) installeren, omdat de distributie gebeurt via groepsbeleid.
Maar eerst het een en ander:
In het begin is er altijd de download. De SUS-software kan worden gedownload van http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx. De in het artikel beschreven procedure is eigenlijk uitsluitend gericht op DSL-gebruikers met een vast tarief – de 33 MB installatie voor de SUS-server zelf zou met ISDN nog acceptabel zijn, maar de > 2GB aan patches die de SUS-server vervolgens downloadt niet.
Voorwaarde voor de installatie is (volgens de officiële informatie van Microsoft) een Windows 2000 of Windows 2003 server met geïnstalleerde IIS (Internet Information Server).
Met een paar trucs kan de SUS-server echter ook worden geïnstalleerd en bediend op een notebook met bijvoorbeeld XP, zodat je altijd alle laatste patches bij je hebt en snel het netwerk van je vrienden kunt opschonen.
Hierover zal een apart artikel verschijnen, omdat het buiten het bestek van dit artikel zou vallen.
Terug naar het onderwerp:
Na het downloaden komt de installatie – aangezien IIS een basisvereiste is voor de SUS-server, moeten we die eerst installeren. Dus plaats de Windows 2003 Server CD en installeer IIS via Start => Configuratiescherm => Software => Componenten toevoegen/verwijderen => Applicatieserver => Details.
 |
|
IIS installeren |
Na de installatie van IIS controleren we of het correct draait. Daarvoor opent u de browser en voert u in de adresbalk http://localhost in. Het zou er dan zo uit moeten zien:
 |
|
IIS correct geïnstalleerd |
Nu kunnen we beginnen met de installatie van de SUS-server, dubbelklik op het exe-bestand, dit zal het pakket uitpakken en de installatie starten.
 |
|
SUS installeren |
Selecteer in de installatiedialoog “Typisch” en klik op NEXT, de rest gaat dan vanzelf, de SUS-server wordt geïnstalleerd op station C: in de directory SUS en zal daar ook de updates opslaan, de administratie-interface onder /wwwroot.
Als u hier andere waarden wilt invoeren, kunt u dat doen door tijdens de installatie “Custom” te kiezen. Dit is bijvoorbeeld aan te bevelen als u alleen station C: als systeempartitie hebt bestemd en uw gegevens bijvoorbeeld op station D: zijn opgeslagen.
De voltooiing van de installatie wordt aangegeven door dit dialoogvenster, waarin u ook kunt zien onder welke naam uw updateserver later toegankelijk zal zijn.
 |
|
SUS installeren |
Na het klikken op “Voltooien” start automatisch de administratie-interface van de SUS-server:
 |
|
Administratieve interface van de SUS-server |
Klik nu op “Set Options” om de server te configureren voor uw netwerk. Het dialoogvenster is vrij lang, dus hier zijn twee afbeeldingen van hoe het eruit zou kunnen/moeten zien:
 |
|
Beheerdersinterface van de SUS-server |
 |
|
Beheerinterface van de SUS-server |
De instellingen in detail:
- Selecteer een proxyserverconfiguratie:
Als u een proxyserver gebruikt voor internettoegang, voer deze dan hier in (eventueel met authenticatie). - Geef de naam op die uw clients gebruiken om deze updateserver te vinden:
Hier voert u de naam in waaronder de clients in het netwerk de server later zullen vinden. In principe hoeft u hier niets te veranderen, de NetBIOS-naam van de server staat hier al in. - Selecteer van welke server de inhoud moet worden gesynchroniseerd:
Hier stelt u in of de updates rechtstreeks van de Microsoft-servers moeten worden gehaald of van een andere SUS-server die al in het LAN aanwezig is. Hier stelt u “rechtstreeks van Microsoft” in – er is geen andere SUS-server in ons LAN. - Selecteer hoe u wilt omgaan met nieuwe versies van eerder goedgekeurde updates:
Microsoft stelt gecorrigeerde versies van eerder uitgebrachte patches beschikbaar om te downloaden – hier kunt u nu selecteren of deze versies automatisch moeten worden geïnstalleerd of dat u ze handmatig wilt goedkeuren. Automatische goedkeuring wordt aanbevolen. - Selecteer waar u updates wilt opslaan:
Hier kunt u instellen of de SUS-server de updates eenmalig zelf moet downloaden en lokaal moet opslaan of dat de clients rechtstreeks naar de MS-servers moeten gaan. Het laatste zou onnodig dataverkeer genereren, omdat elke client dan rechtstreeks van Microsoft zou downloaden, dus selecteren we “Updates opslaan in een lokale map”.
Verder kunnen hier de taalversies van de te downloaden updates worden opgegeven – aangezien ik uitga van Duitse systemen, is het voldoende om hier “Duits” aan te vinken (waarbij bijv. het .NET framework in alle talen wordt gedownload, ongeacht deze instelling).
Om de configuratie af te ronden, klikken we rechtsonder op “Toepassen” om de gemaakte instellingen op te slaan.
Nu de server geconfigureerd is, kunnen we beginnen met de eerste download. Zoals in het begin vermeld, is dit momenteel > 2GB, dus het kan even duren. Klik hiervoor op “Server synchroniseren”:
 |
|
Admin-interface van de SUS-server |
“Synchronize Now” start een onmiddellijke synchronisatie met Microsoft, “Synchronization Schedule” laat ons toe de synchronisatie te plannen. We stellen nu een schema in voor wanneer onze SUS server updates van het netwerk moet downloaden. Aangezien Microsoft één keer per maand “patch day” heeft, namelijk altijd op de tweede dinsdag van de maand, selecteren we “Weekly” en “Wednesday”.
 |
|
Schema instellen |
Aangezien onze server de klok rond draait en we onze internetverbinding niet willen verstoppen met het downloaden van updates, is 3 uur ’s nachts een goed tijdstip voor deze downloads. De instelling van drie nieuwe pogingen in geval van synchronisatiefouten moet ook hetzelfde blijven.
Om de server onmiddellijk te synchroniseren, klikken we nu op “Nu synchroniseren” en wachten we tot de server alle updates heeft gedownload.
 |
|
Synchroniseren met de Microsoft Server |
Nadat alle updates zijn gedownload, geeft de SUS-server een bijbehorend bericht weer:
 |
|
Voltooiingsbericht na het synchronisatieproces |
Na het klikken op OK komen we op de pagina “Updates goedkeuren”; hier kunnen we nu beslissen welke updates worden goedgekeurd voor installatie.
 |
|
Updates goedkeuren |
In ons geval moeten we eerst alle beschikbare updates selecteren. Gezien de massa beschikbare updates na de eerste synchronisatie zou het zinloos zijn om alle updates afzonderlijk aan te klikken, dus gebruiken we een klein tooltje om ons te helpen: Autoapproveupdates.vbs
De configuratie van het script spreekt voor zich, het script wordt aangeroepen via de opdrachtregel (ik heb het script opgeslagen in de directory C:SUSAutoApprove):
 |
|
Goedkeuren via script |
 |
|
Goedkeuren via een script |
Na uitvoering van het script ziet de “Approve Updates” pagina van onze SUS server er ongeveer zo uit:
 |
|
Updates allemaal goedgekeurd |
Alle updates zijn nu goedgekeurd. Nu moeten we ervoor zorgen dat de clients in het netwerk deze updates ook downloaden van onze SUS server. Hiervoor gebruiken we de group policy functionaliteit die ons ter beschikking staat in de vorm van de template wuau.adm.
Daartoe openen we de GPMC en maken een nieuwe GPO aan met de naam SUSUpdates, die we in de GPO editor laden door rechts te klikken => Edit.
 |
|
GPO bewerken |
We navigeren nu in de linkerboom naar Computerconfiguratie => Administratieve sjablonen => Windows-onderdelen => Windows Update en dubbelklikken op de bovenste vermelding “Automatische updates configureren”. De configuratieopties worden uitgelegd in het tabblad “Uitleg”, dus dat bespaar ik hier.
Mijn voorkeursinstelling is te zien in de schermafbeelding:
 |
|
Groepsbeleid instellingen |
Na het klikken op “Toepassen” en “Volgende instelling” komen we bij het volgende configuratiepunt, hier wordt de naam van de te gebruiken SUS-server gedefinieerd. Merk op dat SUS werkt met de NetBIOS naam of met het IP adres, maar niet met een FQDN.
 |
|
Groepsbeleid instellingen |
Het volgende configuratiedialoog ziet er als volgt uit:
 |
|
Instellingen groepsbeleid |
En de vierde en laatste ziet er zo uit:
 |
|
Instellingen voor groepsbeleid |
Bij deze is het belangrijk te weten dat het uitschakelen ervan kan leiden tot gegevensverlies, omdat een gebruiker die alleen “gebruikers”-rechten heeft op een machine de automatische herstart NIET kan stoppen.
We beëindigen de configuratie door op OK te klikken en sluiten de GPO editor. Zoals momenteel de standaard delegatie is voor deze GPO, zouden alleen de gebruikers maar niet de domein-admins dit beleid overnemen, waardoor de server zelf niet wordt bijgewerkt.
Om dit te veranderen, roepen we het delegatiedialoogvenster op in de GPMC:
 |
|
GPO overnemen voor domein admin |
Door te klikken op “Advanced” krijgen we de instellingen voor wie deze GPO overneemt en wie niet, hier vinken we “Take over group policy” aan voor de groep “Domain Admins”.
 |
|
GPO overnemen voor domein admin |
Dit voltooit de configuratie voor de automatische installatie van updates. Zowel de clients als de server moeten nu na een herstart deze nieuwe instellingen laden en vervolgens de updates installeren.
De website http://technet.microsoft.com/de-de/windowsserver/bb332157.aspx biedt een aantal leuke tools voor het beheren en monitoren van een SUS-server, onder andere kun je hun tools gebruiken om bij te houden welke client wanneer welke update van de SUS-server heeft geladen en geïnstalleerd, enz.
Aangezien de systeemvereisten net zo verschillend zijn als de wensen van de gebruikers ten aanzien van wat moet worden bewaakt, zal ik ervan afzien alle tools hier te presenteren – dat zou het bestek van dit artikel ver te buiten gaan.
Tenslotte nog twee tips uit het WinTotal tip-archief.
- Maak een back-up van de SUS server bestanden tijdens een nieuwe installatie
- Sluit clients slechts korte tijd aan op de SUS-server.