WSUS یا Windows server update service
سرویسی به نام wsus داریم که با فعال آن Update Server داخل یک شبکه انجام میشود. بدون شک کلیه نرم افزارها و OS را مرتب باید Update کنیم. نرم افزارهایی که همیشه باید اپدیت باشند مثل OS و پک Office است. همچنین آنتی ویروس ها نیز باید همیشه اپدیت باشند. برای مثال در یک شبکه ای که 200 تا کامپیوتر دارد وقتی بخواهند از اینترنت آپدیت بگیرند اگر هرکدام جداگانه بخواهند صدها مگ آپدیت بگیرند حجم وسیعی از اینترنت مصرف و همچنین پهنای باند خط WAN نیز به شدت اشغال میشوند. در این موقع باید یک Update Manager یا یک WSUS راه اندازی کنیم تا یکبار برای مثال آپدیت ویندوز 10 را از اینترنت دانلود کند و سپس کامپیوترهای داخل شبکه همگی از این WSUS آپدیت ها را بگیرند. در این شرایط فقط یک بار یک آپدیت را دانلود میکنیم و کل سیستم ها استفاده میکنند. برای گرفتن آپدیت ها به Update Manager متصل میشوند. با این سرویس یک Dashboard مانیتورینگ خوب هم داریم که چه کسانی آپدیت گرفتند و چه کسانی نگرفتند. بنابراین ما باید یک WSUS نصب بکنیم تا آپدیت ها را دانلود کند و در شبکه LAN ما آن را propagate کند. نکته ای که باید به آن توجه داشته باشید این است که WSUS فقط آپدیت های ویندوز و محصولات مایکروسافت را میگیرد. همچنین آپدیت درایورها هم به این وسیله دانلود میشود. در گذشته wsus را باید به صورت یک اپلیکیشن دانلود میکردیم اما از ویندوز 2008 R2 به بعد wsus به صورت یک Roll به ویندوز سرور اضافه شده است. برای نصب wsus یک سری Requirements احتیاج داریم. به اولین چیزی که نیاز است IIS است. ما یک web داریم که به آن وصل میشویم و آن را میبینیم اما یک سری web هم هست که برای دیدن آن وصل نمیشویم بلکه پشت آن یک سرویس است. Wsus ، IIS را میخواهد نه برای اینکه ما به آن وبسایت وصل شویم و چیزی را visit کنیم بلکه کلاینت هایی که میخواهند آپدیت ها را از wsus روی خودشان دانلود کنند باید به یک وبسایت روی IIS وصل شوند که پشت ان وبسایت سرویس wsus نشسته است و سرویس wsus آپدیت ها را به آنها بدهد.
جالب توجه است که آپدیت ها با پروتکل HTTP یا HTTPS از WSUS گرفته میشود که قابل تنظیم است. بنابراین کلاینت ها آپدیت ها را Http Base آپدیت ها را از وبسایت wsus که پشت آن سرویس wsus نشسته است دانلود میکنند. به دومین چیزی که برای راه اندازی wsus نیاز داریم یک Database Server است.نسخه ی رایگان SQL Server که sql espress است را میتوان برای شبکه های کوچک به کار برد. نسخه ی sql express در ویندوز موجود است به نام Windows Internal Database یا WID. سومین چیزی که برای راه اندازی wsus نیاز داریم یک پارتیشن NTFS ای است. خود مایکروسافت 7 گیگ جای خالی باید داشته باشد، اما بهتر است حداقل 50 گیگ برای آن باید در نظر بگیرید.
Wsus در دو mode میتواند نصب بشود:
UpStream
DownStream
تصور کنید سازمان ما چند شعبه دارد که این شعب با خط WAN به هم وصل هستند. حالا در شعبه ی مرکزی که مثلا تهران باشد wsus راه انداختیم که از اینترنت آپدیت ها را دانلود میکند. حالا این Branch office ها میتوانند از wsus ای که در شعبه ی مرکزی راه اندازی کردیم آپدیت ها را بگیرند. عیب اینکه بخواهند از این wsus آپدیت ها را بگیرند این است که خط WAN درگیر میشود. بنابراین یک راه این است که برای این branch office ها نیز wsus راه اندازی میکنیم. یعنی میتوانند از اینترنت خودشان از سایت مایکروسافت دانلود کنند. میتوانیم شب ها کهکسی استفاده نمیکند، WSUS ای که برای این Branch office ها راه اندازی کردیم به جای اینکه از اینترنت بگیرند بیان به شعبه مرکزی تهران وصل شوندو آپدیت ها را از WSUS تهران بگیرند. حالا در Branch 1 یک WSUS آپدیت شده داریم که در شبکه خودش آپدیت ها را به همه میدهد. در نتیجه ما باز یک هزینه اینترنت میدهیم و یکبار از اینترنت دانلود میکنیم.
به حالتی که شما wsus ای هستید و آپدیت ها را از یک wsus دیگر دانلود میکنید Down Stream میگویند و بحالتی کهشما wsus ای هستید که آپدیت ها را مستقیما از سایت مایکروسافت دانلود میکنید Up Stream گویند. پس در هر شعبه ی سازمانمان یک wsus ئه down stream داریم.
حالا Down Stream خودش میتواند در Mode نصب شود:
Autonomous:
در این حالت WSUS ئه Branch فقط آپدیت ها را از WSUS ئه Upstream دانلود میکند. حالا configuration ئه wsus مثلا branch 1 چی باشد توسط ادمین همان branch 1 مشخص میشود اما wsus آن اپدیت ها را از upstream شان میگیرد.
Replica:
در این Mode، wsus ئه branch هم آپدیت ها را از بالادست میگیرد و هم configuration ها را .و در wsus ئه branch امکان تنظیمات مستقل و جداگانه ای دیگر وجود ندارد. چون replica شده تمام تنظیمات بالا دست را پایین دست هم میگیرد و حق تغییر هم ندارد.
نصب wsus :
بهتر است اسم This Pc را اسمی بگذاریم که با یک نگاه بفهمیم پشت چه سروری نشستیم. برای نمونه در این سناریو:
برای نصب:
به server manger رفته و Add role and feature را میزنیم. Next میزنیم و از لیست Roll ها roll مربوطه زیر را نصب میکنیم:
سپس برای نصب یک سری Feature نیاز دارد که خودش به صورت اتوماتیک نصب میکند. سپس Next میزنیم و در مرحله ی بعد سرویس های Roll مربوطه را که میخواهیم نصب میکنیم:
Windows Internal Database که در مورد آن صحبت کردیم و WSUS را نصب میکنیم و Next میزنیم:
در اینج یک پارتیشن 6 گیگی باید بدهیم که به صورت NTFS هم فرمت شده باشد و این پارتیشنی است که قرار است دانلود ها در آن ذخیره شود. همانطور که قبلا گفتیم باید حداقل 50 GB فضای خالی را برای این پارتیشن در نظر بگیریم. حالا آدرس پارتیشن (فولدری که قرار است آپدیت ها را در خود نگه دارد ) باید در این قسمت وارد بکنیم؛ برای مثال:
حال اگر این تیک را برداریم دیگر آدرسی هم نمیتوانیم وارد کنیم؛ سوالی که پیش می آید این است که اگر این تیک را برداریم چه بلایی سر آپدیت ها می آید؟
در یک شرایطی که پهنای باند عالی دارید شاید wsus هدفش این نیست که سیستم ها را آپدیت کند؛ هدف این است که ببیند چه آپدیت هایی را دارند و وضعشون چطور است. اصطلاحا Statistic جمع آوری کند.بنابراین اگر این تیک را برداریم wsus اصلا چیزی را دانلود نمیکند. سپس Next میزنیم و در آخر Install را میزنیم.
نکته ی مهم این است که WSUS از جمله سرویس هایی است که بعد از نصب نیاز به Post Deployment دارد. یعنی:
میتوانیم در همینجا Close را بزنیم و از Notification های server manager این عمل را انجام دهیم:
طی این مرحله دیتابیس و زیرساخت ها ایجاد میشوند تا بتوانیم از آن ها استفاده کنیم.
توجه داشته باشید که هر error ای در post deployment بقیه مراحل را نمیتوانید انجام دهید و در حال حاضر برای حل این مسئله ساده ترین کار تعویض ویندوز است.
سوال: WSUS را روی چه سروری نصب کنیم بهتر است؟ میتوانیم روی DC نصب کنیم اما خوب نیست. بهترین سروری که میتواند نقش WSUS را همزمان داشته باشد File Server است یا اصلا میتوانیم برای این کار به سراغ یک VM یا کامپیوتر جدید برویم مختص این کار.
بعد از کلیه مراحل نصب به Administrative tools برویم و shortcut مربوط به WSUS را ببینیم:
که میتوانیم برای راحتی کار یک آیکون از آن برای خود روی Desktop بسازیم.
برای اولین بار که کنسول wsus باز میکنیم یک wizard ای باز میشود. طی این wizard باید wsus را کانفیگ کنیم.
کلاینت ها قرار است که به این سرور وصل شوند و آپدیت ها را دانلود کنند. از چه پورتی این کار میکنند؟ از پورت های 80 یا 443 که http و https هستند. بدین منظور باید فایروال کلاینت ها درست کانفیگ شده باشد.
Proxy
میدانیم که راه متصل شدن به اینترنت در IPv4 ، NAT است، عمل NAT قطعا به Default Gateway نیاز دارد. اما یک راه دیگر به جای اینکار Proxy Server است. ما برای مثال به مرورگر خود آدرس Proxy Server مربوطه را میدهیم و از آن به بعد دیگر به Default gateway و حتی DNS هم احتیاجی نداریم و مرورگر ما میدانید برای اتصال به اینترنت پکت های خود را به proxy server بدهد.
این ارتباط مربوط به لایه 3 نیست و لایه 7 ای خواهد بود. نکته ای که در proxy وجود دارد این است که شما وقتی از لایه 3 ای به اینترنت وصل میشوید کل OS اینترنت دارد، اما وقتی به وسیله ی proxy وصل میشوید در این حالت فقط browser ای که برایش proxy را set کردیم اینترنت دارد. این به لحاظ امنیتی ممکن است خوب باشد زیرا فقط آن app ای اینترنت دارد که باید داشته باشد. در حالتی که با proxy به اینترنت وصل میشوید فقط پروتکل های HTTP و HTTPS و FTP کار میکنند. اما وقتی لایه 3 ای وصل میشوید همه ی پروتکل ها را دارید. یکی از مزایایی که proxy به ما میدهد Authentication است. یعنی باید Username و Password وارد کرد.
گزینه ی سوم در تصویر بالا نیز بیانگر این است که اگر به وسیله ی proxy به اینترنت وصل شویم account ای داشته باشیم که به وسیله ی آن ارتباطمان به اینترنت وصل شود (البته در صورت نیاز؛ چون ممکن است proxy ، username و password نخواهد).
در مرحله ی بعدی این wizard سوال میکند که دانلود ها را ازکجا بردارم ؟ گزینه ی اول سایت مایکروسافت است و دوم از یک Upstream server است.
گزینه بعدی از مامیپرسد که میخواهید Replica انجام گیرد؟ یعنی از upstream خود هم آپدیت و هم کانفیگ را بگیرد. اما اگر این تیک را نزنیم autonomous میشویم. اگر هم قرار است با HTTPS به Upstream وصل شویم تیک SSL را میزنیم. وقتی Replica کسی میشویم تمامی تنظیمات برای ما Gray out میشود و نمیتوانیم تنظیمی را تغییر دهیم.
در مرحله ی بعد اگر میخواهیم با Proxy مثلا به سایت Microsoft وصل شویم آدرس proxy را میدهیم:
اگر قرار است که این wsus خودش به اینترنت وصل شود و از proxy استفاده کند در اینجا آدرس proxy را وارد میکند. اگر Proxy ما TMG باشد پورت آن 8080 و اگر Kerio باشد پورت آن 3128است. اگر قرار باشد که از proxy احراز هویت شویم Username و Password و Domain مربوطه را وارد میکنیم که هروقت خواست وصل شود با این Username و Password لاگین کند. اگر هم اصلا از proxy استفاده نکنیم این مرحله را رد میکنیم و Next میزنیم:
در مرحله ی بعدی:
Wsus اول کار اصطلاحا باید یک Catalog دانلود کند. Catalog چیست؟ Wsus قرار است به ما بگوید آپدیت چه محصولاتی را برای ما بیاورد.بنابراین در ابتدا باید به سایت مایکروسافت وصل شود تا لیست محصولات را چک کند و بررسی کند که توانایی دانلود چه آپدیت هایی را دارد. لیستی که قرار است تهیه کند را Catalog میگویند. البته Catalog یک بخش دیگر هم دارد. آپدیت های ویندوز طبقه بندی های مختلف دارد. برای مثال Security update که مربوط به مسائل امنیتی است، Critical update که آپدیت هایی هستند که با نصب آنها پایداری سیستم بالا میرود، Roll up که آپدیت های نهایی که بعد از آنها آپدیتی نمی آید، service pack و update و Definition update که آپدیت های windows Defender است، Driver update و… هرکدام از این آپدیت ها حوزه ی مخصوصی دارند.
در تصویر بالا Start Connection را میزنیم و این مرحله ممکن است کمی طول بکشد.
این IP ی Update Server مایکروسافت هست و بعد از زدن Start connection متوجه میشویم که با این IP ارتباط برقرار میکند. همانطور که مشاهده میکنید به پورت 443 آن وصل شدیم یعنی Update server مایکروسافت با Https سرویس میدهد. ممکن است به دلایلی این مرحله به انتها نرسد. اگر چنین اتفاقی افتاد میتوانیم برای رد کردن این مرحله VPN بزنیم چون تا این مرحله تکمیل نشود wsus ما ready to use نمیشود. وقتی این مرحله تمام شود باید انتخاب کنیم که آپدیت ها به چه زبانی دانلود شوند:
توجه داشته باشید که گزینه ی اول را نزنید زیرا از یک آپدیت N بار دانلود میکند (برای همه ی زبان ها را دانلود میکند).
سپس بعد از این مرحله به همان Catalogمیرسیم:
در اینجا گفته میشود که آپدیت این محصولات را میتواند دانلود کند که باید آپدیت هایی که میخواهیم را تیک بزنیم :
گروه بندی Update ها را مشاهده میکنیم و آنهایی که میخواهیم را انتخاب میکنیم. توجه کنید که Security و Critical ها آپدیت هایی هستند که ما باید حتما نصب بکنیم. اما نکته ی مهم:
شما برای نصب آپدیت ها باید یک محیط پایلوت (Pilot) ایجاد کنید، این یعنی مجموعه ای از کامپیوترهایی که شرایط کامپیوترهای سازمان را دارند و میتوانید ابتدا روی آن تست انجام دهید .زیرا خیلی وقت ها ممکن است با نصب یک آپدیت incompatibility به وجود آید و که بعضی برنامه ها از کار بیوفتد. بنابراین ما ابتدا اپدیت ها را در محیط پایلوت نصب میکنیم و اگر مشکلی نبود روی کل سازمان نصب میکنیم.
اتفاقی که در اینجا می افتد این است که وقتی ما این آپدیت ها را انتخاب میکنیم باز هم آنها را آپدیت نمی کند، بلکه یک کاتالوگ دیگر مثلا از آپدیت های Security ئه windows server 2016 می آورد و برررسی میکند که کدام یکی از این آپدیت ها را دانلود کند. در مرحله بعد میپرسد ، چه زمانی این catalog را آپدیت کنم( نه اینکه چیزی دانلود ککند). اگر به این کاتالوگ گزینه جدیدی اضافه شده و آپدیت جدید آمده باشد، در اینجا می پرسد چه زمانی این کاتالوگ را چک کنم؟
سپس Next میزنیم و میپرسد همین الان شروع کنم؟
و در نهایت Finish میزنیم.
در اینجا کنسول WSUS برایمان باز میشود:
ادامه دارد . . .
برای مطالعه بخش دوم WSUS اینجا کیلیک کنید.
نویسنده : مهندس محمد آجورلو
بسیار عالی بود ، خیلی ممنونم مهندس
pingback WSUS یا WINDOWS SERVER UPDATE SERVICE (بخش دوم) - گروه آموزشی AdminPro