در دو قسمت قبلی مقاله به شرح تعاریف مربوط به WSUS پرداختیم و انواع آپدیت های ارائه شده توسط شرکت مایکروسافت و نیز نصب کنسول WSUS را قدم به قدم با همدیگر مرور کردیم و باکنسول مدیریتی WSUS و چگونگی دریافت و مدیریت آپدیت توسط این کنسول آشنا شدیم .حال در قسمت پایانی نحوه عضویت کامپیوتر ها به این سرور و تنظیمات گروپ پالسی را برای کلاینت ها دنبال کرده و در نهایت به تایید و توزیع آپدیت ها در محیط شبکه می پردازیم.
عضویت و تنظیمات کلاینت ها در WSUS سرور
برای عضویت کامپیوتر ها در WSUS سرور آسان ترین راه استفاده از تنظیمات گروپ پالسی می باشد . اگر کامپیوترها عضو دومین باشند ،یک GPO ساخته و آن را به دومین لینک می دهیم و یا اینکه در کنسول Active Directory Users & Computers یک OU می سازیم و کامپیوتر های عضو دومین را به آن منتقل کرده و یک GPO ایجاد و به آن لینک می دهیم و تنظیمات WSUS سرور موجود در گروپ پالسی را برای آن انجام می دهیم . در بخش Computers کنسول WSUS نیز می شود ، یک گروه ایجادکرده و آن را به گروپ پالسی معرفی کنیم تا کامپیوتر هایی که عضو WSUS سرور می شوند ، با اعمال شدن تنظیمات گروپ پالسی برای کامپیوتر ها ، به جای اینکه به صورت پیش فرض در گروه Unassigned Computer قرار بگیرند مستقیما پس از عضویت ،به گروهی که ساختیم منتقل شوند. برای ایجاد یک گروه جدید تنها کافیست در کنسول WSUS به قسمت Computers رفته و روی زیر گره All Computers کلیک و گزینه Add computers Group را انتخاب کنیم. مراحل طی شده در تصویر زیر نمایش داده شده است .
پس از ساخت گروه به باید کاری کنیم تا کامپیوترها از تنظیمات گروپ پالسی تبعیت کنند به همین منظور با کلیک روی گره Option در کنسول گزینه آپشن Computers را در پنل وسط صفحه انتخاب و گزینه Use Group Policy or registry settings on computers را مارکدار می کنیم .پیشتر توضیح مربوط به این قابلیت در بخش بررسی آپشن های WSUS عنوان شده است.
حال که پیش نیازهای تنظیمات گروپ پالسی را فراهم کردیم برای انجام تنظیمات در Group policy management editor به مسیر زیر می رویم :
Computer Configuration => Administrative Templates => Windows Components => Windows Update
در قسمت Windows Update تنظیمات مربوط به WSUS قرار دارد در این مقاله ما به مهم ترین این تنظیمات اشاره می کنیم .
در جدول بالا تنظیماتی که باید در گروپ پالسی انجام شوند لیست شده است .در توضیحات این تنظیمات همراه با تصاویر مربوط به آنها مشاهده می کنیم :
Configure Automatic Updates
فعال کردن این پالسی آپشن هایی را در اختیار ما قرار می دهد که باید یکی از این آپشن ها را انتخاب کنیم در زیر به شرح هر کدام از این قابلیت ها می پردازیم :
- 2- Notify for Download and notify for install: اطلاع رسانی سرور قبل از دانلود آپدیت ها و نیز پیش از نصب آنها
- 3-Auto download and notify for install: تنظیمات پیش فرض ، دانلود اتوماتیک آپدیت ها و نیز اطلاع رسانی زمانیکه آپدیت ها آماده برای نصب هستند
- 4-Auto download and schedule the install: دانلود اتوماتیک آپدیت ها و نصب آنها طبق یک برنامه ی ویژه ی زمانی . اگر این آپشن را انتخاب کنیم باید روز و ساعت مورد نظر را نیز برای جستجوی آپدیت ها و نصب آنها مشخص کنیم .
- 5-Allow local admin to choose setting: این آپشن به ادمین های لوکال اجازه می دهد که پیغام های آپدیت اتوماتیک را دریافت کرده و آنها را نصب کنند ، انتخاب این گزینه قابلیت برنامه ریزی زمانی برای نصب آپدیت ها را در اختیار ادمین لوکال قرار می دهد.باید بخاطر داشت که ادمین لوکال اجازه ی غیر فعال کردن Automatic update را ندارد.
Specify intranet Microsoft Update service location
در این قسمت آدرس WSUS سرور را وارد می کنیم تا سایر کامپیوتر ها بتوانند برای دریافت آپدیت ها به جای برقراری ارتباط با سایت مایکروسافت از یک سیستم بروز رسانی مرکزی داخلی موجود در شبکه ی سازمان بهره گیرند.در این پالسی باید نام دو سرور را معرفی کنیم :
- Set the intranet update service for detecting updates: در این بخش آدرس و نام سروری را عنوان می کنیم که وظیفه ی تشخیص و دانلود آپدیت ها را بر عهده دارد.
- Set the intranet Statistics server: برای این قسمت نیز نام سروری را مشخص می کنیم که کلاینت ها اطلاعات مربوط به نصب آپدیت ها را به آن گزارش می دهند.
در بیشتر موارد یک سرور این دو وظیفه را بر عهده دارد. در اینجا نیز ما نام یک سرور را به دو بخش عنوان شده معرفی می کنیم .
Automatic updates detection frequency
برای پرسش کلاینت ها از WSUS سرور در مورد در دسترس بودن آپدیت ها یک فاصله زمانی را مشخص می کند بصورت پیشفرض برای این پالسی تعریف شده که کلاینتها برای این منظور هر 22 ساعت یکبار با سرور ارتباط برقرار کنند. در اینجا ما این زمان را به 12 ساعت تغییر داده ایم .باید بخاطر داشته باشیم که این پالسی در صورتی موثر است که Specify intranet Microsoft Update service location را Enable کرده باشیم .
Allow non-administrators to receive update notifications
فعال کردن این پالسی باعث می شود تا علاوه بر یوزر های ادمین ،کاربران دیگر نیز پیغام مبتنی بر نصب آپدیت را دریافت کرده و بتوانند آپدیت ها را نصب کنند .
Enable client-side targeting
فعال کردن این پالسی شرایطی را فراهم می آورد تا کامپیوتر ها به هنگام برقراری ارتباط با WSUS سرور به جای اینکه در قسمت Unassign computer قرار بگیرند به Computer Group ای که پیشتر ساختیم و نام آن را به این بخش معرفی کردیم ،منتقل شوند و WSUS سرور نیز آپدیت ها را برای این گروه ها Deploy کند.همچنین این پالسی موجب شده که تمامی تنظیماتی که در GPO انجام داده ایم ،تنها به گروه ذکر شده در این بخش اعمال شوند. باید توجه داشت که این تنظیم در صورتی کارایی دارد که پالسی Specify intranet Microsoft Update service location فعال باشد اگر چندین گروه برای کامپیوترها در WSUS سرور ایجاد کرده باشیم در صورتی که بخواهیم تنظیمات صورت گرفته به تمامی این گروه ها اعمال شوند، در این بخش می توانیم نام این گروه ها مشخص کنیم باید توجه داشت که نام گروه ها در این پالسی باید با نماد سمی کالن یا همان نقطه ویرگول از یکدیگر تفکیک شوند.
پس از انجام تنظیمات گروپ پالسی و اعمال شدن آنها به سرور و کلاینت های عضو دومین ، مجددا به سراغ کنسول WSUS می رویم . در پنل سمت چپ ، گره یComputers را باز می کنیم . همانگونه که در تصویر زیرمشخص است کامپیوترها به صورت اتوماتیک در گروهی که ایجاد کردیم قرار گرفته اند .
پس از انجام تنظیمات گروپ پالسی و عضویت کلاینت ها در WSUS سرور، حال نوبت به نصب متمرکز آپدیت ها می رسد. در این بخش به بررسی شیوه ی مرور وضعیت آپدیت ها و کامپیوتر ها و نیز مدیریت و نصب متمرکز آپدیت ها تحت شبکه می پردازیم.پس از عمل Synchronization ، آپدیت های دریافتی در قسمت Updates قرار می گیرند. همچنین انتخاب گزینه Updates در کنسول WSUS ،با نمایش یک overview از انواع آپدیت ها در صفحه ،یک راه سریع برای آگاهی از وضعیت آپدیت ها در محیط شبکه برای ما فراهم می آورد. برای بدست آوردن اطلاعات بیشتر در رابطه با جزئیات آپدیت ها از زیر گره های گزینه Updates (نوع آپدیت ها )بهره می گیریم با کلیک روی هر کدام از انواع آپدیت ها ، لیست آپدیت های دانلود شده ی آن نمایش داده می شود .برای تحلیل وضعیت آپدیت ها باید از تعاریف مربوط به وضعیت آپدیت ها و نیز تصدیق آنها آگاهی داشته باشیم .
انواع Status های تعریف شده برای آپدیت ها
failed: معرف آپدیت هایی است که بهنگام تشخیص و نصب آنها توسط کامپیوتر ، خطا رخ داده است.
needed: بدین معنیست که آپدیت سازگار با کامپیوتر و مورد نیاز آن است بنابراین باید نصب شود.
Update Install / not applicable: بیانگر تعداد آپدیت هایی است که روی سیستم نصب شده اما قابل اجرا شدن نیست .مثلا نصب آپدیت های یک نرم افزار روی سیستم، در صورتی که این نرم افزار در سیستم موجود نیست، بنابر این این آپدیت قابلیت اجرا ندارد.
no status: معمولا بیانگر این مطلب است که از زمانی که WSUS سرور آپدیتی را Synchronize کرده ، هیچ کامپیوتری برای دریافت و نصب آن با WSUS سرور ارتباط برقرار نکرده است
علاوه بر موارد ذکر شده ،WSUS سرور از ترکیبی از وضعیت آپدیت ها مثلا Failed or Needed, Installed/Not Applicable, No Status برای مشخص کردن وضعیت آپدیت های موجود بهره می گیرد.
انواع تائیدیه(Approvals) برای آپدیت ها
پس از اینکه آپدیت ها توسط WSUS سرور دریافت شدند بصورت اتوماتیک برای ارتباط با کامپیوتر های عضو WSUS سرور اسکن می شوند با این حال قبل از Deploy شدن آپدیت ها در شبکه برای نصب ، باید آنها را به صورت دستی Approve و تایید کرد. انتخاب هر کدام از گزینه های ذکر شده در زیر برای WSUS سرور تعریف می کند که چه رفتاری با آپدیت ها داشته باشد.
Approved: آپدیت های دانلود شده ،برای نصب تائید شده اند.
Unapproved: جهت عدم تائید آپدیت ها برای نصب از این گزینه استفاده می کنیم ، اما آپدیت مذکور در لیست پیش فرض آپدیتها باقی خواهد ماند.
Declined:انتخاب این گزینه باعث می شود که آپدیت به کلی از لیست آپدیت ها حذف شود ، بنابراین WSUS سرور قادر نخواهد بود این آپدیت را برای ارزیابی و نصب به کامپیوتر ها عرضه کند.
همانطور که پیشتر ذکر کردیم در زیر گره Update انواع آپدیت ها نمایش داده شده است که مراجعه به آنها شرایط را برای بررسی آپدیت هایی که قصد Deploy کردن آنها را داریم ، فراهم می کند.بعنوان مثال با استفاده از بخش Critical Update می توانیم مروری بر آپدیت های حساس داشته و آنها را Deploy نماییم. اگر روی قسمت All Update کلیک کنیم و از منوی کشویی موجود در صفخه ) منوی Approval) گزینه Unapproved را انتخاب کرده و سپس رویRefresh کلیک کنیم ،لیستی از آپدیت های تایید نشده ی آماده برای Deploy شدن برای ما نمایش داده خواهد شد.
با کلیک روی هر کدام از آپدیت ها و هایلایت کردن آنها اطلاعات و جزئیات بیشتر در مورد آن آپدیت ، در بخش پایین پنل میانی کنسول ظاهر می شود.
پس از دریافت لیست آپدیتها از سایت مایکروسافت و بررسی وضعیت آنها برای deploy شدن در شبکه نوبت به فراهم آوردن شرایط لازم برای دریافت آپدیت ها توسط کامپیوتر های تحت شبکه می رسد. باید در نظر داشت که Deploy کردن آپدیت ها در شبکه بصورت متمرکز ممکن است مشکلاتی جدی برای شبکه ایجاد کند و بهتر است که پیش از دریافت آپدیت ها توسط کاربران شبکه ، این آپدیت ها در یک محیط تست روی چند سیستم که همانند سیستم های موجود در سازمان هستند ، آزمایش شده و در صورت عدم بروز مشکل در کل شبکه Deploy شوند. برای این منظور باید علاوه بر Computer group در نظر گرفته شده برای کامپیوتر های تحت شبکه ، یک Computer group هم برای کامپیوتر هایی که قصد تست کردن آپدیت ها را روی آنها داریم (در اینجا ITPro-Test Lab ) را ایجاد کنیم . در کنسول Active Directory users & computers نیز دو OU یکی برای کامپیوتر هایی که برای تست عضو دومین شده اند و دیگری برای کامپیوترهای شبکه ایجاد می کنیم و به هرکدام GPO لینک داده و تنظیمات مربوط به Windows update را روی آنها اعمال می کنیم . تصویر زیر طرح مورد نظر ما برای توزیع آپدیت ها در شبکه را نمایش می دهد.
برای نصب آپدیت ها تنها کافیست در کنسول WSUS به بخش Updates رفته و زیر گره ی All Updates را باز کنیم .در پنل میانی که لیست آپدیت ها در آن موجود است روی آپدیت مورد نظر کلیک کرده و گزینه Approve را انتخاب کنیم . پس از آن پنجره ای باز می شود که لیست تمامی Computer Group های موجود را در بر دارد روی Computer Group ای که می خواهیم آپدیت را برای آن نصب کنیم کلیک کرده و گزینه Approve for install را انتخاب می کنیم .
در نتیجه فرایند Approve شدن آپدیت آغاز می شود .پس از تایید موفیت آمیز آپدیت روی گزینه Close کلیک می کنیم .
بدین ترتیب آپدیت ها توسط کامپیوتر هایی که عضو Computer Group انتخاب شده هستند دریافت می شوند . کامپیوتر ها تا زمانیکه برای نصب آپدیت در پالسی ها تعیین کردیم ، در انتظار برای نصب آپدیت باقی می مانند و در زمان معین شده به نصب آپدیت می پردازند .پس از نصب آپدیت کامپیوتر کلاینت Reboot خواهد شد.
نکته: از آنجایی اکثرسازمانها در ایران از ویندوز های کرک شده و غیر ارجینال استفاده می کنند باید مراقب باشیم که آپدیت های مربوط به اکتیویت ویندوز ها Approve نشوند در غیر اینصورت ویندوز های سازمان دچار مشکل می شوند. دو شمار کد برای اکتیویت آپدیت ها موجود است که باید از نصب این دو آپدیت جلو گیری کنیم به این آپدیت ها اصطلاحا WGA می گویند که مخفف عبارت Windows Genuine Advantage می باشد .(هر آپدیت یک شماره ی کد مشخص با پسوند KB به معنی Knowledge Base دارد ).شماره ی KB971033 برای Activation Update ویندوز 7 و شماره ی KB905474 برای ویندوز XP می باشد.پس از اینکه آپدیت ها روی کامپیوتر های مورد آزمایش نصب شدند .در صورت اطمینان از عدم بروز خطا و ایجاد اختلال، می توانیم با خیالی آسوده آپدیت ها را در شبکه Deploy کنیم . بنابراین تمامی مراحل ذکر شده برای Approve و نصب آپدیت را برای Computer Group در بردارنده کامپیوتر های موجود در شبکه نیز انجام می دهیم .
نویسنده: مریم حیات رمضانی
منبع : انجمن تخصصی فناوری اطلاعات ایران