Workshop sul Calcolo e Reti dell’INFN
Otranto (Le) 6-9 Giugno 2006
WSUS: una soluzione per
l’Update Management Process
Francesca Del Corso - INFN Sez. Firenze
L’Update Management Process
1. Valutazione del proprio ambiente
2. Identificazione delle nuove
vulnerabilità
Task
A. Baseline del sistema
B. Valutare l’infrastruttura e
la configurazione
C. Individuare le risorse critiche
D. Inventario dei client
4. Distribuzione
degli aggiornamenti
1.
Valutazione
2.
Identificazione
3.
4. Rilascio
Task
A. Distribuire e installare le patch
B. Analisi dei report
C. Gestione delle eccezioni
D. Revisione del processo di distribuzione
Valutazione e
pianificazione
Task
A. Identificare le nuove patch
B. Determinarne la rilevanza
C. Verificare l’autenticità e
l’integrità delle patch
3. Valutazione e
pianificazione
Task
A. Approvazione della
distribuzione delle patch
B. Valutazione e test delle patch
C. Pianificazione dei rilasci
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Soluzioni di Update Management
Tipo di utenza
Scenario
Utente
casalingo
Sezione
medio piccola
Sezione
grande
Scelta
Microsoft/Office
Update
Nessun server Windows
Microsoft/Office
Update
da 1 a 3 server, 1-3 amministratori di sistema
MBSA,
WSUS
Soluzione di patch management con livello base di
controllo che aggiorna le ultime versioni del s.o.
WSUS
Singola soluzione di Patch Management con
elevato grado di controllo su aggiornamenti e
distribuzione del sw
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
SMS
Microsoft/Windows Update
1.
2.
3.
4.
5.
L’utente va sull’icona
Microsoft/Windows
Update e seleziona
Microsoft Update Service
‘Scan for updates’
Il codice Client-side nel
browser valida il server MU
e scarica il catalog metadata
Tale codice utilizza i
metadata per
identificare gli
aggiornamenti
mancanti
L’utente seleziona
gli aggiornamenti
mancanti
Il client scarica, valida,
installa gli aggiornamenti,
quindi aggiorna la history
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Automatic Update
1.
AU contatta il servizio
Microsoft Update per I
nuovi aggiornamenti
ogni 1722 ore
2.
AU valida il server MU e
scarica il Download Catalog
metadata
3.
AU utilizza i metadata per
identificare gli
aggiornamenti mancanti
4.
AU notifica all’utente o
scarica automaticamente
gli aggiornamenti
utilizzando BITS
5.
AU notifica all’utente o
installa automaticamente
gli aggiornamenti
6.
AU aggiorna la history e
le informazioni di
statistica
Microsoft Update Service
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Windows Server Update Services
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Architettura WSUS
Windows Update
WSUS
Internet
Microsoft
Update
Firewall
Database
Automatic Update Clients
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Requisiti WSUS
WSUS client (Automatic Update sw):
Windows 2000 SP3 e successivi
Windows XP e successivi
Windows Server 2003
WSUS Server:
Windows 2000 SP4 e successivi
Windows Server 2003
Prerequisiti: IIS 6.0, BITS 2.0, MS .NET Framwork 1.1 s.p. per Win
srv2003
Migrazione (non update!) da SUS 1.0 a WSUS
WSUSutil.exe in
WSUSInstallationDrive:\ProgramFiles\UpdateServices\Tools
http://WSUSInstallationServer:8530/WSUSAdmin/
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Caratteristiche WSUS
Controllo granulare sugli aggiornamenti da fare e da
scaricare, maggior controllo sul processo di upgrade
Introduzione dei gruppi, approvazione degli updates
personalizzata per gruppo
Export/Import data e aggiornamenti su media
API per estendere e personalizzare il pacchetto
secondo le esigenze
BITS 2.0 – miglioramento del consumo di banda,
ripresa delle sincronizzazioni interrotte
Miglioramento nella reportistica
UI in italiano
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Tipologia di aggiornamenti
Critical Updates #
Drivers
Feature Packs
Security Updates #
Service Packs
Tools
Updates (non-critici, non di security)
Update Rollups
# automaticamente approvati per detection
Non viene fatto il patch di sw di terze parti come Acrobat Reader, Firefox
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Prodotti supportati
Windows XP (32, 64 bit)
Windows Server 2003 (tutte le edizioni, 32 64 bit)
Windows 2000 (tutte le edizioni)
Applicazioni Office 2002/2003/XP (Project, Visio, ecc.)
SQL Server
Exchange Server 2003
Tutti i prodotto sono supportati in lingue diverse
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS - Requisiti HW
Fino a 500 Client
Minimo
Raccomandato
CPU
750 MHz
1 GHz o superiore
RAM
512 MB
1 GB
Database
WMSDE/MSDE
WMSDE/MSDE
Da 500 a 15.000 Client
Minimo
Raccomandato
CPU
1 GHz o superiore
dual processor (per n. client
> 10.000) a 3 GHz
o superiore
RAM
1 GB
1 GB
Database
WMSDE/SQL Server 2000 con SP3a
WMSDE/SQL Server 2000 con
Service Pack 3a
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Impostazioni WSUS Client
client in workgroup
Local Computer Policy (gpedit.msc)
in Computer Configuration / Administrative Templates / Windows
Windows Registry
Version 5.00
Components
/ Editor
Windows
Update (template
c:\windows\inf\wuau.adm)
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="http://wsus"
Regedit.exe "WUStatusServer"="http://wsus"
"ElevateNonAdmins"=dword:00000000
"TargetGroup"=“INFN-FI"
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window
"TargetGroupEnabled"=dword:00000001
s\WindowsUpdate
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window
"AUOptions"=dword:00000004
s\WindowsUpdate\AU
"AutoInstallMinorUpdate"=dword:00000001
"DetectionFrequencyEnabled"=dword:00000001
script wsus.reg
"DetectionFrequency"=dword:00000004
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
"RebootRelaunchTimeout"=dword:000005A0
"RebootRelaunchTimeoutEnabled"=dword:00000001
"RebootWarningTimeout"=dword:0000001e
"RebootWarningTimeoutEnabled"=dword:00000001
"RescheduleWaitTimeEnabled"=dword:00000001
"RescheduleWaitTime"=dword:0000001e
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000010
"UseWUServer"=dword:00000001
"LastWaitTimeout"="DetectionStartTime"=-
C:\> gpupdate /force
C:\> wuauclt.exe /detectnow
client in dominio AD
Group Policy Object a livello di dominio o OU
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS – Pagina iniziale
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: Aggiornamenti
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: Rapporti
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: Rapporti: - stato degli aggiornamenti
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: Rapporti - Stato dei computer
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: stato dei computer
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: risultati di sincronizzazione
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS - Computers
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS - Opzioni
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: Opzioni di sincronizzazione
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS: Opzioni di approvazione automatica
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS Tools
WSUS Client Diagnostic Tool (ClientDiag.exe)
WSUS Server Debug Tool (WsusDebugTool.exe)
Check WSUS (Check_WSUS_1.05.04.1.vbs)
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS Client Diagnostic Tool
ClientDiag.exe [/t]
/? -? = Help
/t -t = Print to file
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS Server Debug Tool
WsusDebugTool [/OutputCab:<value>] /Tool:<value>
Per /Tool <value>:
ResetAnchors
PurgeUnneededFiles
ResetForegroundDownload
GetBitsStatus
GetConfiguration
GetLogs
SetForegroundDownload
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Check WSUS
Check_WSUS_1.05.04.1.vbs
Verifica impostazioni AU
WSUS server name
WSUS status server
TargetGroup
Opzioni in accordo con GPO
Modalità autoinstallazione
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Ottimizzazione delle Performance
Scaricare gli aggiornamenti in modalità express
MU
~300MB
~30MB
Express enabled
~100MB
~100MB
Express disabled
WSUS
CLIENT
Usare una macchina dedicata per WSUS
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Ambiente di produzione
alla sezione INFN di Firenze
Architettura
Microsoft
Update
Internet
WSUS
Server
Upstream
Server
WSUS
Server
Downstream
Server
WSUS-TEST
INFN-FI
GGI
PORTATILI
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS Client nel dominio AD
GPO a livello
di dominio o
OU tramite
gpmc.msc:
Local Group
Policy object
in Group
Policy Object
Editor
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
I dati
Macchine gestite dal WSUS Upstream Server:
INFN-FI: 25 client
Portatili: 2
WSUS-TEST: 3 (1 MS Win XP SP2, 1 MS Vista , 1 MS Srv 2003)
Macchine gestite da WSUS Downstream Server:
GGI: 28 client, 1 server
Tutte le macchine nei domini AD sono gestite da WSUS
TO DO: impostare l’AU tramite WSUS per le macchine che sono nei
workgroup (sono tante!)
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
Proposte di lavoro
Verifica problematiche WSUS
http://blogs.technet.com/WSUS
Sistemi alternativi di full-patch management
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006
WSUS Documentazione
Microsoft Windows Server Update Services Overview:
http://go.microsoft.com/fwlink/?LinkID=42213
Step-by-Step Guide to Getting Started with Microsoft Windows
Server Update Services:
http://go.microsoft.com/fwlink/?LinkID=41774
Deploying Microsoft Windows Server Update Services:
http://go.microsoft.com/fwlink/?linkid=41777
Windows Update Agent Software Developer's Kit:
http://go.microsoft.com/fwlink/?LinkID=43101
WSUS Communities
http://www.microsoft.com/wsus
http://www.wsuswiki.com
Francesca Del Corso - Workshop sul Calcolo e Reti - Otranto (Le) 6-9 Giugno 2006