wsus

ICT VIETNAM COMMUNITY

TÌM HIỂU WINDOWS SERVER UPDATE SERVICE TRONG WINDOWS SERVER 2008 Managing Software Update ICT24H TEAM

2010

ICT24H.NET

ICT VIETNAM COMMUNITY Công nghệ càng ngày càng phát tri ể n dẫn đế n máy tính càng ngày càng d ễ dàng quản lý hơn. Phầ n cứ ng ng cũng như phầ n m ềm đáng tin cậy hơn, các hệ điều hành dễ dàng sử dụng hơn và xuấ t hiện nhi ề ều các ự động hóa hơn (chẳng h ạn t ự độ ự động chố ng công cụ quản tr ị tự động ng phân mảnh ổ cứ ng). ng). Tuy nhiên, các công cụ và ứ ng ng dụng ngày một phát tri ển và thay đổ i, s ử a lỗi , cập nhật….điều này kéo theo s ự duy trì, cập nhật thườ ng xuyên các ứ ng ng dụng. Hậu quả xảy ra là khá l ớn nếu như không cậ p nhật các chương trình, các phầ n m ềm. Nế u máy tính không được cập nhật, k ẻ tấ n công có thể khai thác các l ỗ hổng và xâm nhập.

Để giúp bạn có thể cập nh ật t ập trung hóa, giảm thiể u th ời gian quản lý, Microsoft cung c ấ p công nghệ Windows Server Update Services (WSUS) . WSUS cho phép bạn download, phê chuẩ n (sau khi bạn đã kiể m nghiệm b ản c ập nh ật) và phân phố i các bản c ập nh ật này cho toàn bộ máy tính client trong h ệ thố ng ng Nhữ ng ng bài học trong chương này sẽ cho bạn cái nhìn tổng quát v ề WSUS cũng như lên kế hoạch triể n khai cập nhật cho hệ thố ng. ng.

Chủ Ch ủ đề chính 

Cấ u hình Windows Server Update Services (WSUS).

Nhữ Nh ữ ng ng bài họ học  

Bài học 1: Tìm hiể u v ề Windows Server Update Services. Bài học 2: Sử dụng Windows Server Update Services.

Trướcc khi bắt Trướ bắt đầu đầu Để hoàn thành các bài học, bạn nên thự c hiện các công việc sau:



Cài đặt Windows Server 2008. Nâng cấ p lên domain controller và join các máy tính vào domain.



Tên server là SERVER và có domain là ict24h.net



ICT24H.NET

Page 1


BÀI HỌ HỌC 1: TÌM HIỂ HIỂ U V Ề WINDOWS SERVER UPDATE SERVICES Trướ c khi triể n khai Windows Server Update Services (WSUS), b ạn phải hiểu được các thành ph ần của client và server đượ c cấu hình như thế nào thế nào trong các môi trườ ng khác nhau. Nế u không có m ột k ế ế hoạch ều thời gian, băng thông hoặ c có thể thấ t bại trong việc cài đặ t. cụ thể , việc cập nhật sẽ khiế n bạn tố t nhi ề Bài học này cung cấ p cho bạn cái nhìn t ổng quát và các thông tin v ề WSUS. Nế u bạn đã quen thuộ c với nhữ ng ng phiên bản WSUS trướ c, WSUS 3.0 Service Pack 1 cung c ấ p cho bạn ều chức năng. Hầ u h ế t quản lý trên giao di ện, b ạn không còn phải qu ản lý trên trình duy ệt Web. khá nhi ề Thêm vào đó, WSUS cho phép bạ n linh họat trong việc triể n khai các bản cập nhật đế n các máy tính.

Sau bài họ học này, bạ bạn sẽ sẽ: Hiểu được mục đích của WSUS. Cấ u hình WSUS client. Thiế t k ế ng nhu c ầu cho cả doanh nghiệp nhỏ cũng như quy mô lớ n. ế cấu trúc WSUS đáp ứ ng Liệt kê các client và server c ần thiế t cho WSUS. Tìm hiể u các công c ụ xác định trạng thái cập nhật của các máy tính client trong m ạng. Thời Thời lượng lượng cho bài họ học: 15 phút.     

Tổ ng ng quan v ề WSUS Windows Server Update Services (WSUS) được phát tri ể n từ dịch vụ Microsoft Update – một dịch vụ trong Windows cho phép t ự độ ự động download các bản c ập nh ật. B ạn có thể chạy WSUS trên mạng n ội b ộ và sử dụng nó để phân phố i các bản cập nhật cho các máy tính, b ạn có thể sử dụng băng thông hiệ u quả và kiể m soát các b ản cập nhật trên các máy tính client.

ế t nối đế n website Microsoft Update, download các thông tin v ề các bản cập nhật Khi chạy WSUS, nó k ế mới nhất, sau đó thêm chúng vào danh sách cậ p nh ật để quản tr ị viên phê chuẩ n. n. Sau khi quản tr ị viên ự động cài đặt chúng trên các máy chấ p nh ận và thi ế t l ập ưu tiên cho các bả n c ập nh ật này, WSUS sẽ tự động ự động tính chạy Windows. Dịch vụ Windows Update trong máy tính clien s ẽ kiể m tra WSUS server và t ự độ download các bản c ập nhật t ừ server v ề, cuối cùng là cài đặ t các bản c ập nhật này. Bạn có thể thiế t l ập WSUS cho đồng thời nhi ề ều server và có thể mở rộng từ doanh nghiệp nhỏ cho đế n doanh nghiệp lớn.

Windows Update trên client Windows Update là m ột thành ph ần thuộc WSUS trên client có ch ức năng nhận các ph ần m ềm, các bản cài đặt từ WSUS server, xác nh ận bằng chữ kí tiện tử hoặc thuật toán Secure Hash Algorithm (SHA1), thông báo đến ngườ i dùng v ề các bản c ập nh ật và cài đặ t nó (nếu được c ấ u hình). Windows Update cài t. đặt các bản cập nhật ở thời gian mà bạn thiế t lập và có th ể tự độ ự động khởi động lại máy tính nế u c ần thiế t. ể cài đặt khi máy tính đã đượ c bật. Nế u ở thời điể m hiện tại máy tính t ắt, các bản cập nhật có thể cài

Chú ý: WSUS client ở các phiên bản bản Windows trước trước Trong Windows XP và Windows 2000, thành ph ần của WSUS trên client có tên g ọi là Automatic Updates.

ICT24H.NET

Page 2

ICT VIETNAM COMMUNITY Vì các thiế t lập Windows Update đượ c áp dụng cho tấ t cả các máy tính trong doanh nghi ệp nên sử dụng t. Thiế t lập Windows Update t ại Computer Group Policy để thiế t lập là phương pháp tố t nhấ t. Configuration > Administrative Templates > Windows Components > Windows Update. Các thiế t lập Windows Update trong Group Policy g ồm :









 



Do not display „Install Update and Shut Down‟ option in Shut Down Windows dialog t hị ở hộp thoại Shut box: cho phép bạn quản lý tùy chọn “Install Updates và Shut Down” hiể n th Down của Windows. Do not adjust option to “Install Updates and Shut Down” in Shut Down Windows dialog box: box: thay đổ i tùy chọn shut down mặc định Install Updates and Shut Down khi Windows Update chuẩ n bị cài đặt một bản cập nhật. Enabling Windows Update Power Management to automatically wake up the system to install scheduled updates : nế u nhân viên trong công ty c ủa bạn thường có thói quen shut down máy tính c ủa h ọ khi rời khỏi văn phòng. Bậ t thiế t l ập này để cấ u hình các máy tính h ỗ trợ ự động khởi động và cài đặ t các bản cập nhật ở một thời gian đã đượ c lên lịch. Các máy tính sẽ tự độ k hông hông đượ c b ật nế u không có bản c ập nhật nào để cài để cài đặt. N ế u máy tính chạy với năng lượ ng của pin, máy tính s ẽ tự độ ự động trở v ề trạng thái sleep sau 2 phút. Configure Automatic Updates: Updates : xác định nhữ ng ng máy tính client s ẽ được nhận các bản cập nhật bảo mật và các b ản download quan trọng khác từ dịch vụ Windows Update. B ạn cũng có thể sử dụng thiế t lập này để cấ u hình nhắc nhở người dùng cài đặ t các bản cập nhật hoặc từ động cài đặ t thông qua Windows Update. Specify intranet Microsoft update service location : xác định WSUS server. Automatic Updates detection frequency: thiế t lập thời gian để Windows Update ki ể m tra nhữ ng ng bản cập nhật mới. Thời gian mặc định là từ 17 ừ 17 đế n 22 giờ. Allow non-administrators to receive update notifications : thiế t l ập cho tấ t c ả người dùng hoặc chỉ có quản trị viên nhận được thông báo c ập nhật.

ICT24H.NET

Page 3

ICT VIETNAM COMMUNITY 

















Turn on Software Notification : thiế t lập cho phép bạn kiểm soát ngườ i dùng có thể nhận được thông báo v ề các tính năng của ph ần m ềm từ Microsoft Update. Allow Automatic Updates immediate installation: thiế t lập Automatic Update t ự độ ự động cài đặt các bản cập nhập mà không c ần phải khởi động lại máy tính. Turn on recommended updates via Automatic Updates: Updates : xác định các máy tính client cài ng bản cập nhật c ần thiế t và bản vá lỗi, bao g ồm cả cập nhật các driver. đặt cả nhữ ng No auto-restart with logged on users or scheduled automatic updates installations : thiế t lập lịch cài đặ t, Windows Update ch ờ người dùng khởi động máy tính khi h ọ đăng nhập vào, k ể ể cả tự độ ự động khởi động. Re-prompt for restart with scheduled installations : thiế t lập nhắc nhở người dùng khởi động lại máy tính trong khoảng thời gian nào đó. Tùy thuộ c vào một số thiế t lâp, thi ế t lập này có thể khiến người dùng ngừ ng ng việc t ự khởi động. Tuy nhiên, Windows Update s ẽ tự độ ự động yêu c ầu họ khởi động dự a trên thiế t lập này. Delay Restart for scheduled installations : thiế t l ập thời gian Windows Update ch ờ trước khi tự độ ự động khởi động lại. Reschedule Automatic Updates scheduled installations : thiế t l ập s ố ầ lần chờ của Windows Update trướ c khi tiế p tục theo lịch cài đặ t. Enable client-side targeting : thiế t lập các nhóm hoặc tên máy tính s ẽ được nhận các bản cập nhật từ dịch vụ Microsoft Update. Allow signed updates from an intranet Microsoft update service location : thiế t l ập cho phép cài đặt các bản cập nhật sử dụng chứ ng ng thự c. c.

Cấ u trúc WSUS WSUS có thể mở rộng từ doanh nghiệp nhỏ cho đế n doanh nghiệp lớn đa quố c gia. Trên th ự c tế , bạn c ần sử dụng mỗi WSUS cho một chi nhánh văn phòng với hơn 10 máy tính và một WSUS độ c lập cho mỗi phòng IT để kiể m soát cập nhật. Bạn cũng không cầ n thiế t ph ải có nhữ ng ng WSUS server dự phòng, tuy nhiên bạn cũng cần sao lưu cơ sở dữ liệu WSUS để có thể khôi phục khi gặp rủi ro.

Doanh nghiệ nghiệp vớ với một một văn phòng duy nhấ t Nế u doanh nghiệp chỉ có m ột văn phòng, bạ n có thể sử dụng một WSUS server duy nh ấ t mà không c ần quan tâm đế n số máy tính client trong doanh nghiệp là bao nhiêu.

Doanh nghiệ nghiệp vớ với nhi ều ều văn phòng Nế u b ạn s ử dụng m ột WSUS server duy nhất để hỗ trợ cho tấ t c ả client ở các văn phòng, mỗ i client sẽ ế t n ố i WAN. Việc download có thể tố n khoảng vài trăm c ần phải download các b ản c ập nh ật thông qua k ế MB. Vì k ế ế t nố i WAN sẽ làm đường truy ền chậm hơn so với k ế ế t nố i mạng LAN, download các bản cập nhật lớn thông qua WAN sẽ ảnh hưở ng không nhỏ đế n thời gian và đườ ng truy ền. Nếu băng thông củ a bạn thấ p, p, các client có th ể sẽ không nhận được các bản cập nhật.

Để cho phép các client nhận các bản c ập nh ật trong mạng LAN, cấ u hình một WSUS server cho m ỗi chi nhánh văn phòng và cấu hình WSUS server để nhận các bản cập nhật theo một cấ u trúc phân cấ p từ

ICT24H.NET

Page 4

ICT VIETNAM COMMUNITY nhữ ng ng server chính. Và với cách làm theo cấ u trúc phân cấ p s ẽ đem lại cho bạn s ự hiệu qu ả trong việc k ế ết nố i thông qua WAN.

Hệ thố ng ng WSUS server toàn c ầu.

ICT24H.NET

Page 5


Cấ u trúc phân cấ p WSUS server Trong cấ u trúc trên, ch ỉ có server WSUS tại Boston có thể nhận các bản cập nhật từ Microsoft. Tấ t cả server phía dướ i sẽ nhận thông tin công việc cập nhật được vận hành bởi server WSUS ở Boston. Các server cập nh ật t ừ nhữ ng ng server trên nó, ch ẳng h ạn v ới sơ đồ trên, server ở Los Angeles (downstream server) sẽ nhận các bản cập nhật từ server ở Boston (upstream server). Tương tự , server ở Argentina (downstream server) sẽ nhận các bản cập nhật từ server Costa Rica (upstream server).

Để cung cấ p các bản cập nhật cho văn phòng nhỏ không có WSUS server, bạn c ần phải cấ u hình các t. N ếu văn phòng củ a b ạn có đườ ng máy tính client để download bản c ập nh ật t ừ WSUS server g ần nhấ t. truy ền Internet nhanh, bạn có thể cân nhắc việc có hay không nên tri ể n khai bản sao v ề WSUS nội bộ để lưu trữ các bản cập nhật, bạn có thể cho các client nhận các bản cập nhật trự c tiế p từ Microsoft.

Các điều điều kiệ kiện c ầ ần n thiết thiết để tri để triể ể n khai WSUS Khi lên k ế ế hoạch triể n khai WSUS, bạn c ần có các điều kiện sau:  

 

WSUS server phải được k ế ế nố i Internet (truy c ập vào website Microsoft Update). ế t nố i với các upstream server và s ử dụng giao thứ c Các downstream server ph ải thiế t lập k ế HTTP (TCP port 80) hoặc sử dụng SSL (TCP port 443). Các máy tính client phải k ế ế t nố i mạng cục bộ (HTTP hoặc HTTPS) Các máy tính client phải là một trong các hệ điều hành sau: Windows 2000 Service Pack 3 hoặc Service Pack 4 o Windows XP Professional o Windows Vista o

ICT24H.NET

Page 6

ICT VIETNAM COMMUNITY Windows Server 2003 Windows Server 2008 o ế t nố i trong mạng trong khoảng thời gian nào đó (ví dụ nế u một Nếu máy tính client đứ t k ế chuyên gia nào đó nghỉ phép hoặc một nhân viên làm việc tại nhà trong một tháng và không k ế ế t nối đế n mạng VPN), client cũng sẽ không thể download các bản cập nhật. Bạn c ần cấ u hình các ự động cài đặ t các bản c ập nhật t ừ website Microsoft ho ặc s ử dụng NAP và yêu c ầu máy tính tự động các máy tính phải cập nhật trước khi k ế ế t nối đế n mạng cục bộ. o



Lên k ế ho ế hoạch ạch cài đặt đặt WSUS Trong suốt quá trình cài đặ t WSUS, bạn c ần lưu ý một số vấn đề sau: 



Cập nhậ nhật source: WSUS có thể nhận các bản cập nhật trự c tiế p từ trang web Microsoft Update hoặc t ừ một WSUS server khác. B ạn nên cân nhắc và chọn phương pháp để giảm băng thông. Nế u 2 WSUS server k ế ế t nố i trong LAN, có 1 trong 2 server nhận bản cập nhật từ Microsoft Update và server còn l ại có thể nhận b ản c ập nh ật t ừ server thứ nhấ t. t. N ế u b ạn s ử dụng WSUS cho 3 chi nhánh văn phòng và k ế ế t nố i VPN thông qua Internet, đây là cách hiệ u quả chi mỗi văn phòng khi download các b ản cập nhật trự c tiế p từ Microsoft – vì download các bản cập nhật c ần ế t nố i Internet. C ấ u trúc WSUS c ủa bạn phải có sự sắp xế p hợp lí, các downstream phải có k ế server sẽ nhận các bản cập nhật từ các upstream server. Phê chuẩ chuẩn và cấ cấ u hình nhân bả b ản: nế u bạn sử dụng nhi ề ều WSUS server và c ấ u hình các server nhận các bản cập nhật từ một WSUS server nào đó, bạ n có thể chọn việc đồng bộ các phê chuẩ n, n, thiế t lập, máy tính và các nhóm trong c ấ u trúc phân c ấ p WSUS server. Nế u bạn cấ u hình một server đóng vai trò là mộ t bản sao, bạn không c ần phê chuẩ n các bản cập nhật từ trên WSUS server.



Cập nhật nhật lưu trữ : WSUS có thể sao chép bản cập nhật từ Microsoft và lưu trữ chúng vào server hoặc lưu trữ vào chính các máy tính client download các b ản c ập nh ật t ừ Microsoft. Nế u bạn chọn lưu trữ các bản cập nhật trong server, WSUS server c ần tố i thiểu 6 GB dung lượ ng trố ng ng trong ổ cứ ng ng (mặc dù con số thự c t ế có thể lớn hơn, tùy thuộ c vào các bản c ập nh ật t ừ Microsoft cũng như các gói ngôn ngữ c ần thiế t). t). Việc lưu trữ các bản cập nhật trong server có thể đượ ể được xem là m ột cách giảm thiểu băng thông Internet vì các client nhậ n bản cập nhật thông qua LAN.



Cơ sở dữ liliệệu: mặc định WSUS lưu trữ danh sách các bản cập nhật trong Windows Internal để lưu trữ Windows Internal Database. Bạn c ần tố i thiểu 3 GB dung lượ ng trố ng ng trong ổ cứng để lưu Database mặc dù thự c tế khoảng 1 GB. Bạn có thể sử dụng server để lưu trữ cơ sở dữ liệu (chẳng hạn như Microsoft SQL Server).

Chú ý: Mặc định, đườ ng dẫn cơ sở dữ liệu trong WSUS C:\WSUS\UpdateServicesD C:\WSUS\UpdateServicesDbFiles\SUSDB.md bFiles\SUSDB.mdf f



Website: triể n khai WSUS c ần phải có IIS vì các máy tính client nh ận các bản cập nhật bằng cách sử dụng giao thứ c HTTP hoặc HTTPS. Nế u bạn không sử dụng IIS trên WSUS server để tạo ra website m ới vì một mục đích nào đó, bạ n có thể sử dụng website m ặc định trong IIS.

ICT24H.NET

Page 7




ng gói ngôn ng ữ riêng Ngôn ngữ ngữ : Các bản c ập nh ật có thể có nhữ ng ữ riêng đi kèm. Để giảm thiể u dung ng s ử dụng, bạn nên chọn download chỉ một gói ngôn ngữ c ần thiết để các máy tính lượng ổ cứ ng client có thể truy cập đế n WSUS server d ễ dàng. Bạn không nên chọn tấ t cả các ngôn ngữ vì tổng dung lượng và băng thông cầ n thiế t sẽ rấ t cao.

Sản phẩ phẩm: Microsoft Update cung cấ p cho bạn một thư việ n sản phẩm đa dạng không chỉ là các hệ điều hành Windows. Chẳng hạn là các bản cập nhật Exchange Server, ISA Server, SQL Server và Office. Bạn ch ỉ nên chọn nh ữ ng ng ứ ng ng d ụng và hệ điều hành c ần s ử dụng trong doanh nghi ệp ng. để giảm thiể u dung lượng ổ cứ ng.

Kiể Ki ể m nghiệ nghiệm việ việc cậ cập nhậ nhật Sau khi triể n khai WSUS, m ột số máy tính client có th ể sẽ không thể cập nhật đượ c vì việc cài đặ t các ể do các máy tính client này chưa đượ c cấ u hình, không thuộc bản cập nhật thấ t bại, nguyên nhân có th ể do Active Directory ho ặc đứ t k ế ế t nố i trong một thời gian dài. Bạn có thể sử dụng một số kĩ ố kĩ thuật để xác để xác định các trường hợp trên: 

Giao diệ diện Windows Update: bạn có thể sử dụng Computer and Report trong giao di ện này để xác định các máy tính client chưa được cài đặ t các bản cập nhật.



Microsoft System Center Configuration Manager 2007 (SCCM 2007): SCCM 2007 là phiên bản mới nhấ t của Microsoft trong h ệ thố ng ng các sản phẩ m quản trị hệ thố ng ng tập trung. SCCM 2007 cung cấ p cho bạn thông tin chi tiế t v ề các bản cập nhật và các ứ ng ng dụng trên các máy tính. SCCM 2007 là s ản phẩ m tố t nhấ t cho doanh nghiệp. Bạn có thể xem thêm v ề SCCM tại:http://www.microsoft.com/systemcenter/configurationmanager/en/us/sms.aspx



Microsoft Baseline Security Analyzer (MBSA): MBSA tự độ ự động kiểm tra và xác đị nh các vấ n đề lỗi v ề cập nhật và các lỗ hổng bảo mật trong cấ u hình. MBSA sẽ quét toàn mạng và cho phép bạn có thể xem ể xem được những máy tính nào chưa nằ m trong vùng ki ể m soát. Bạn có thể download MBSA tại : http://www.microsoft.com/mbsa/ http://www.microsoft.com/mbsa/..



Network Access Protection (NAP) : b ạn có thể sử dụng NAP và k ế ế t h ợp với công cụ xác thự c trạng thái của máy tính (Windows System Health Validator, công c ụ này có thể xác nhận các máy tính nào vừ a cài đặt các bản cập nhật.

Tổ ng ng quan bài họ học 



WSUS cho phép bạn lưu trữ và phân ph ố i các bản c ập nh ật t ừ Microsoft thông qua m ạng, giúp bạn giảm thiểu được băng thông Internet. Thêm vào đó, WSUS còn cho bạ n kiể m soát mỗi khi cập nhật và triể n khai trên các máy tính client. Dịch vụ Windows Update trên client nh ận các bản cập nh ật t ừ WSUS server. Tuy thu ộc vào cách ể thông báo đến ngườ i dùng nhữ ng cấ u hình Windows Update mà b ạn có thể thông ng bản cập nhật nào đã được cài đặt hoặc t ự động ự động cài đặt mà không c ần tương tác bởi ngườ i dùng. Bạn có thể cấ u hình Windows Update với Group Policy.

ICT24H.NET

Page 8




Bạn có thể sử dụng chỉ một WSUS server duy nh ấ t. t. Ngoài ra, triể n khai một WSUS server độ c lập cho mỗi văn phòng giúp bạ n gi ảm thiểu được băng thông Internet. Thêm vào đó, WSUS server được cấ u hình nhân bản hoặc có thể tự độ ự động. Với các trườ ng h ợp này, bạn c ần thiế t k ế ế cấ u trúc downstream và upstream như đã giớ i thiệu ở ph ần Cấ u trúc WSUS. Một số nguyên nhân có thể khiế n các máy tính client không th ể cài đặt các bản cập nhật. Để kiểm tra, xác định các client đó, bạ n có thể sử dụng giao diện WSUS, SCCM 2007, MBSA hoặc NAP.

Trắắc nghiệ Tr nghiệm ng cho doanh nghiệp cung cấ p các sản phẩ m video. Doanh nghi ệp của bạn có 1. Bạn là kĩ sư hệ thố ng 6 văn phòng và mộ t phòng IT quản lý tấ t cả 1200 máy tính client. Mỗi văn phòng có 200 máy ế t nố i tính. Mô hình WAN của bạn sử dụng cấ u trúc hub-and-spoke, với mỗi văn phòng đượ c k ế trự c tiếp đế n trụ sở chính. Bạn có thể thiế t k ế ế cấu trúc WSUS như thế nào? A. Triể n khai một WSUS server cho m ỗi văn phòng. Cấu hình các WSUS server này đượ c quản lý bởi mỗi văn phòng đó và đượ c hỗ trợ từ phòng IT. B. Triể n khai một WSUS server ở trụ sở chính. Cấ u hình tấ t cả các máy tính client nh ận các bản cập nhật trự c tiế p từ Microsoft. C. Triể n khai một WSUS server ở trụ sở chính. Cấ u hình tấ t cả các máy tính client nh ận các bản cập nhật trự c tiế p từ WSUS server. D. Triể n khai m ột WSUS server cho mỗi văn phòng. Cấ u hình một WSUS server là b ản sao của WSUS server ở trụ sở chính. 2. Bạn là kĩ sư hệ thố ng ng và công vi ệc c ủa b ạn là cấ u hình và quản lý cập nh ật cho doanh nghiệp. Bạn c ần sử dụng Group Policy để cấ u hình các client download các b ản cập nhật và cài đặ t chúng tự độ ự động mà không c ần nhắc nhở người dùng. Thiế t lập nào trong Group Policy giúp b ạn làm điề u này?

A. B. C. D.

Allow automatic update immediate installation. Configure Automatic Updates. No auto-restart for scheduled automatic updates. Enable client-side targeting. 3. Phiên bản nào mà bạn có thể sử dụng để triể n khai các máy tính client download các b ản cập nhật từ WSUS. A. Windows 95 B. Windows 98 C. Windows 2000 Professional D. Windows XP Professional

ICT24H.NET

Page 9


BÀI HỌ HỌC 2: SỬ SỬ D DỤNG WINDOWS SERVER UPDATE SERVICES Với Windows Server 2008, b ạn có thể cài ể cài đặt WSUS bằng cách sử dụng Server Manager và qu ản lý nó trong giao di ện Update Services. Phiên b ản mới WSUS chạy trên Windows Server 2008 cung c ấ p cho bạn ều tính năng cũng như giao diện ngườ i dùng thân thiện. nhi ều

Sau bài họ học, bạ bạn sẽ sẽ: Cài đặt WSUS trên Windows Server 2008. Cấ u hình các nhóm máy tính, phê chu ẩ n bản cập nhật và xem các báo cáo WSUS. Xử lí sự cố khi cho cả client và server khi g ặp vấn đề v ề cài đặt các bản cập nhật. Thời Thời lượng lượng bài họ học: 40 phút   

Cài đặt đặt Windows Server Update Servers Bạn có thể download WSUS miễn phí tại http://www.microsoft.com/wsus http://www.microsoft.com/wsus..

Sau khi cài đặ t bạn c ần đồng bộ cập nhật từ Microsoft Update. Thự c hiện các bướ c sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services . ế t Synchronize Now. 2. Chọn server và click vào liên k ế

Quá trình đồ ng b ộ diễn ra vài phút (cũng có thể nhi ều ều hơn 1 giờ). Sau khi đồng b ộ, b ạn có thể bắt đầu quản lý WSUS.

Cấ u hình Windows Server Update Services Sau khi cài đặ t WSUS và thự c hiện đồng bộ hóa, bạn bắt đầu thự c hiện cấ u hình WSUS: 1. 2. 3. 4. 5.

Mở bảng cấ u hình WSUS. Cấu hình các nhóm máy tính đượ c phân phố i các bản cập nhật ở nhữ ng ng thời điể m khác nhau. Cấ u hình các máy tính client nh ận các bản cập nhật từ WSUS server. Sau khi kiể m tra cập nhật, phê chuẩ n hoặc hủy bỏ các cập nhật. Xem các bảng báo cáo để xác nhận các bản cập nhật đã đượ c phân phối thành công và xác đị nh các vấn đề lỗi.

ICT24H.NET

Page 10


Cấ u hình WSUS Option

Bạn có thể cấ u hình các tùy chọn theo từ ng ng mục sau: 







Update Source and Proxy Server : c ấ u hình các upstream server ho ặc c ấ u hình WSUS server nhận các bản cập nhật từ Microsoft. Tại đây, bạ n có thể thay ể thay đổi các thiế t lập nế u không còn sử a lại cấ u trúc WSUS. Products and Classifications : chọn các bản cập nhật Microsoft mà b ạn muố n WSUS download. Bạn nên chọn thiế t lập này khi bắt đầu hỗ trợ cho một sản phẩ m mới từ Microsoft hoặc ngừ ng ng hỗ trợ đố i với m ột sản phẩm nào đó (chẳ ng h ạn là một phiên bản Microsoft Office cũ) Update Files and Languages : chọn nơi lưu trữ các bản cập nhật và gói ngôn ng ữ của bản cập nhật. ng upstream Synchronization Schedule: cấ u hình tự động ự động đồng bộ các bản cập nhật từ nhữ ng server.

ICT24H.NET

Page 11




Automatic Approval: cấ u hình tự độ ự động phê chuẩ n các bản cập nhật. Ví dụ, bạn có thể cấ u hình nhữ ng ng b ản c ập nh ật vá l ỗi b ảo m ật được t ự độ ự động phê chuẩn và cài đặ t. B ạn ch ỉ nên chọn thiế t lập này nếu như bạn đã quyết đị nh bỏ qua bướ c kiể m nghiệm cập nhật. Computer: chọn nhữ ng ừ nhóm nào đó thông qua giao diệ n Update Services ho ặc ng máy tính t ừ nhóm Group Policy.













Server Cleanup Wizard : WSUS sẽ tích lũy các bả n cập nh n hật không còn c ần thiế t và các máy tính không còn hoạt động trong thời gian ngoài giờ làm việc. Trong thiế t l ập này, bạn có thể xóa bỏ nhữ ng ng bản cập nhật đã quá hạ n hoặc không c ần thiế t với mục đích dọn dẹp ổ cứng cũng như giảm dung lượng cơ sở dữ liệu WSUS. Reporting Rollup: mặc định, downstream server sẽ gử i các bản báo cáo thông tin lên upstream server. Bạn có thể sử dụng thiế t l ập này để cấ u hình cho từ ng ng server có th ể quản lý đượ c các bản báo cáo dữ liệu. ng b ản c ập nh ật m ới được đồng b ộ E-mail Notifications: WSUS có thể gử i e-mail mỗi khi nhữ ng hóa, nhữ ng ng thông tin qu ản tr ị để phê chuẩ n, n, kiể m nghiệm các bản c ập nhật này. Thêm vào đó, sử dụng thiế t lập này để gử i các bản báo cáo trạng thái cập nhật hàng ngày ho ặc hàng tu ần.

Microsoft Update Improvement Program : mặc định bị vô hiệu hóa, bạn có thể bật thiế t lập ng thông tin chi ti ế t v ề quá trình cập nh ật trong doanh nghiệp này lên để gử i cho Microsoft nhữ ng của bạn, bao g ồm số lượ ố lượng máy tính đã hoàn thành và chưa hoàn thành càu đặt đố i với mỗi bản cập nhật. Microsoft sẽ sử dụng những thông tin này để nâng cao và cải thiện quy trình cập nhật. Personalization: trên trang này b ạn có thể cấ u hiện cho phép hiể n thị các dữ liệu từ downstream server. B ạn có thể chọn các thành ph ần nào được hiể n thị trong danh sách To do lisy that appears khi b ạn click chọn vào WSUS server trên giao diện Update Services. WSUS Server Configuration Wizard : cho phép b ạn cấ u hình lại WSUS.

Cấ u hình các nhóm máy tính Trong đa số các môi trườ ng, bạn sẽ không thể triể n khai tấ t cả các bản cập nhật đế n tấ t cả các client l ần. Để cho bạn kiểm soát đượ c khả năng nhận các bản cập nhật của máy tính, WSUS 3.0 cho trong một ần. phép bạn c ấ u hình các nhóm máy tính và tri ể n khai cập nh ật đế n m ột ho ặc nhi ề ều nhóm. Bạn có thể tạo thêm các nhóm phân loại theo nhãn hiệu máy tính hoặc các phòng ban trong doanh nghiệp. B ạn có thể ể như sau: tạo các nhóm theo các và áp d ụng các quy trình c ập nhật, có thể như 



Kiể Kiể m tra thử thử nghi nghiệệm: triể n khai cập nh ật trên mô hình lab để thử nghiệm. Việc này cho phép bạn xác định đượ c kh ả năng làm việ c ổn định hay không. Sau đó bạ n có thể kiể m nghiệm trên một máy tính sau khi cài đặ t các bản cập nhật. Thí điể m: sau khi kiể m nghiệm, bạn sẽ triể n khai cập nhật đế n một nhóm thí điểm nào đó. Nhóm này có thể là phòng ban IT ho ặc một nhóm phòng ban khác có am hi ể u v ề máy tính. Việc này giúp bạn thử nghiệm trên một nhóm máy tính và xem xét kh ả năng làm việ c.

ICT24H.NET

Page 12


Triể Triể n khai thậ thật: nế u triển khai thí điể m suôn sẻ, không gặp b ấ t c ứ vấ n đề nào sau 1 tu ần thì bạn có thể triển khai đế n tấ t cả các máy tính làm vi ệc trong công ty. Điề u này giúp b ạn giảm thiể u rủi ro.

Bạn có thể cấu hình các nhóm máy tính theo 1 trong 2 hướ ng sau: 



Server-side targeting : thích hợp đố i với doanh nghiệp nhỏ, bạn có thể thêm các máy tính vào nhóm bằng cách cấ u hình trên giao di ện Update Services. Client-side targeting : thích hợp đố i với doanh nghiệp lớn, bạn sử dụng Group Policy để cấ u hình các máy tính nào đó thuộc nhóm các máy tính. Các máy tính đượ c t ự động ự động đưa vào đúng nhóm khi chúng k ế ế t nối đế n WSUS server.

Cho dù bạn triể n khai bằng cách nào đi chăng nữ a thì việc đầu tiên bạn c ần làm là tạo nhóm máy tính. Mặc định có một nhóm máy tính duy nhấ t là: All Computer. Nhóm này bao g ồm tấ t cả các máy tính. Để tạo thêm nhóm, thự c hiện các bướ c sau: 1. 2. 3. 4.

Click Start > Administrative Tools > Microsoft Windows Server Update Services . Click Computer. R-click vào All Computers và chọn Add computer group . Add. Nhập tên nhóm và click Add Thự c hiện lại bước 2 và 3 nế u bạn muố n thêm các nhóm khác.

Server-side targeting : thêm các máy tính vào m ột nhóm. Thự c hiện các bướ c sau: 1. Trên giao diện Update Services , click Computer > All Computer và chọ chọn Unassigned computers. computers. Sau đó, r-click vào máy tính b ạn muốn đưa vào nhóm (bạ n có thể chọn nhi ề ều máy tính bằng cách click và gi ữ phím Ctrl) và chọn Change Membership . 2. Tại hộp thoại Set computer group membership, membership , đánh dấ u chọn vào nhóm mà b ạn muốn đưa máy tính vào. Click OK .

Client-side targeting : bạn có thể sử dụng Group Policy object (GPO) để thêm các máy tính vào các nhóm khi. Trướ c tiên, bạn c ần thiế t lập cho phép s ử dụng client-side targeting. Th ự c hiện các bướ c sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Updates Services . 2. Click Options > Computers. 3. Tại h ộp thoại Computer, chọn Use Group Policy or Registry Settings on Computers . Sau đó click OK click OK . Tiế p theo, cấ u hình GPO để di chuyển các máy tính đế n các nhóm. Bạn c ần tạo một GPO độc lập cho mỗi nhóm máy tính. Sau đó cấ u hình cho phép áp d ụng đố i với nhữ ng ng máy tính thích h ợp. 1. Tại Group Policy Management Editor , mở GPO. 2. Click Computer Configuration > Administrative Templates > Windows Components > Windows Update. 3. Double-click vào chính sách Enable Client-side targeting. Enabled. Sau đó nhập tên nhóm máy tính mà b ạn muố n áp dụng và 4. Hộp thoại hiể n thị, chọn Enabled. click OK . Sau khi các client đượ c áp dụng Group Policy, khởi động lại Windows Update Services.

ICT24H.NET

Page 13

ICT VIETNAM COMMUNITY Kiể Kiể m tra nhanh 1. Giao thứ c nào cho phép d ịch v ụ Windows Update c ủa client có th ể nhận đượ c các bản c ập nh ật từ server WSUS? 2. Bạn nên sử dụng cách triể n khai client-side targeting hay server-site targeting cho doanh nghi ệp lớn Trả Trả lời nhanh 1. HTTP. 2. Doanh ngiệp lớn thì nên sử dụng client-side targeting

Cấ u hình các máy tính client Ở bài học trướ c, b ạn đã được tìm hiể u v ề sự khác nhau của các chính sách Group Policy trong vi ệc c ấ u ều thao tác c ấ u hình sẽ khiế n bạn tố n thời hình các máy tính client nh ận các bản cập nhật. Việc có nhi ề gian, ph ần này bạn sẽ được hướng dẫn cấu hình để giảm thiểu các bướ c cấ u hình không c ần thiế t nh ằm mục đích các client có thể download các bản cập nhật từ WSUS server. 1. Mở GPO mà bạn muố n sử dụng để thự c hiện cấ u hình. Trong Group Policy Management Editor, click Computer Configuration > Administrative Templates > Windows Components > Windows Update. 2. Double-click vào Specify intranet Microsoft Update service location . 3. Chọn Enabled. Trên cả trườ ng Set the intranet update services for detecting updates và Set the intranet statistics server , nhập tên của WSUS server, chẳng hạn http://SERVER . Click OK .

ICT24H.NET

Page 14


4. Double-click vào chính sách Configure Automatic Updates . 5. Chọn Enabled. Cấ u hình thiế t lập tự động cập nhật. Tại Scheduled install day bạn có thể chọn t ấ t cả các ngày trong tu ần ho ặc một ngày c ụ thể trong tu ần áp dụng các chính sách. Thi ế t lập thời gian thự c hiện chính sách tại danh sách Scheduled install time . Notify for download and notify for install: install : thông báo download và cài đặt đế n người  dùng.  Auto download and notify for install: tự động ự động download và thông báo cài đặt đế n người dùng.  Auto download and schedule the install : tự độ ự động download và thiế t lập thời gian cài đặt.  Allow local admin to choose setting: setting: cho phép ngườ i dùng có thể tự chọn nhữ ng ng thiế t lập này. Với nhữ ng ng thiế t l ập trên, các máy tính client s ẽ nhận được các bản c ập nh ật t ừ WSUS server và t ự độ ự động cài đặt.

ICT24H.NET

Page 15


Phê chuẩ chuẩn các bả bản cậ cập nhậ nhật Mặc định, tấ t c ả các bản c ập nhật đều chưa đượ c phê chuẩ n. n. B ạn c ần ph ải c ấ u hình phê chuẩ n các bản cập nhật, thự c hiện các bướ c sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services . 2. Click vào WSUS server. Sau đó click Update, lự a chọn các tùy chọn sau: All updates: hiể n thị tấ t cả bản cập nhật. Việc làm này thuận lợi cho việc phê chuẩ n các bản cập nhật. ng bản cập nhật vá lỗi nghiêm trọng, nhữ ng ng bản vá lỗi Critical updates: chỉ hiể n thị nhữ ng để đảm b ảo an toàn hệ thống cũng này c ần được ưu tiên hàng đầ u trong việc c ập nh ật để đả như máy tính ngườ i dùng. Security updates : chỉ hiể n thị nhữ ng ng cập nhật liên quan đế n bảo mật. WSUS updates : hiể n thị nhữ ng ng bản cập nhật liên quan đế n quy trình x ử lý cập nhật. 3. Tại danh sách Appoval, ch ọn Unapproved. Bạn có thê sử dụng danh sách để xem các bản cập nhật được phê chuẩ n. n. 4. Từ danh sách Status, chọn Any. Click Refresh để làm mới hiể n thị các bản cập nhật. 



 

Để sắp xế p các bản cập nhật theo thứ tự ưu ự ưu tiên về ngày tháng, r-click vào m ột cột và chọn Release Date. Date. Sau đó, click và cộ t Release Date để sắp xế p lại. 5. Chọn nh ữ ng ng bản c ập nhật b ạn muố n phê chuẩ n, n, Bạn có thể chọn nhi ề ều bản c ập nh ật bằng cách click và gi ữ phím Ctrl. Ngoài ra bạn có thể chọn nhi ề ều bản cập nhật một lúc bằng cách click chuột và giữ phím shift. Nhấ n Ctrl +A để chọn tấ t cả các bản cập nhật. R-click vào b ản cập nhật đã chọn và chọn Approve (với mục đích phân phố i các bản cập nhật này đế n client vào thời điể m các client kiể m tra cập nhật) hoặc chọn Decline (không cho phân phố i bản cập nhật này). 6. Nế u hi ể n thị hộp thoại Approve Updates, ch ọn nhóm máy tính bạn mu ố n áp dụng cập nhật và chọn Approved for install. Click OK nế u bạn đã hoàn tấ t quá trình phê chu ẩ n Deadline, sau đó 7. Để thiế t l ập th ời h ạn c ập nh ật, b ạn có thể r-click vào nhóm máy tính và ch ọn Deadline, chọn thời hạn cập nhật. 8. Click OK .

Từ ừ ch chố ố i các bả bản cậ cập nhậ nhật Sau khi phê chuẩ n các bản cập nhật c ần thiế t, t, bạn có thể từ chố i phê chuẩ n nế u bạn không muố n cài đặt các bản cập nhật này trên máy tính. Vi ệc từ chố i các bản cập nhật không ảnh hưởng gì đế n các máy tính client. 1. Tại giao diện Update Services , r-click vào b ản cập nhật bạn muố n từ chố i và chọn Decline. Yes. 2. Tại hộp thoại Decline update, click Yes

Để xem lại các bản cập nhật đã bị từ chố i,i, tại danh sách Approval, chọn Declined. Declined. Sau đó click Refresh.

ICT24H.NET

Page 16


Xem các bả bảng báo cáo

Bạn có thể xem chi tiế t các bản cập nhật, máy tính ho ặc sự đồng bộ. Click Report trên giao di ện Update Services . WSUS cung cấ p cho bạn các thông tin sau: 





 





Update Status Summary : hi ể n th ị các thông tin v ề mỗi b ản c ập nh ật mà bạn ch ọn, bao g ồm mô tả đầy đủ v ề bản c ập nh ật (được cung cấ p bởi Microsoft), các bản cập nh ật được phê chuẩ n trên nhóm máy tính, số lượng ố lượng máy tính đã cài đặ t các bản cập nhật. Update Detailed Status : ngoài nhữ ng ng thông tin hi ể n thị ở Update Status Summary , mục này hiể n th ị trạng thái của t ấ t c ả máy tính cho m ỗi c ập nhật theo từ ng ng trang, cho phép b ạn xác ng thông tin hữ u ích giúp bạn có định chính sách máy tính này đã cài đặ t c ập nh ật. Đây là nhữ ng ể xác định nhữ ng thể xác ng lỗ hổng bảo mật cũng như các máy tính dính lỗ hổng bảo mật đó. ng dữ liệu của cả bảng Update Status Summary và Update Tabular Status : hiể n thị nhữ ng Update Detailed Status và xuấ t ra báo cáo dạng bảng tính. Computer Status Summary : hiể n thị nhữ ng ng thông tin cập nhật cho mỗi máy tính. ng thông tin ở Computer Status Summary , m ục này Computer Detailed Status : ngoài nhữ ng hiể n thị những máy tính nào đã cài đặ t nhữ ng ng bảng cập nhật nào. Computer Tabular Status: cung cấ p cho bạn thông tin của cả bảng Computer Status Summary và Computer Detailed Status và xuấ t ra báo cáo d ạng bảng tính. Syncronization Results : hiể n thị k ế ế t quả quá trình đồ ng bộ hóa mới nhấ t. t.

Khi bạn m ở một b ảng cáo cáo, bạn có thể cấu hình để lọc các thông tin hi ể n thị trong bảng báo cáo đó. Chẳng hạn như nhữ ng ng bảng báo cáo mà b ạn muố n hiể n thị theo tên sản phẩ m

ICT24H.NET

Page 17


Quảản lý đồ Qu đồng ng bộ bộ hóa Tại mục Synchronizations sẽ hiể n thị danh sách thời gian WSUS nhận danh sách các b ản cập nhật từ upstream server. B ạn có thể r-click vào m ột đồng bộ bấ t kì và ch ọn Synchronization để xem thông tin chi tiế t. t.

Khắắc phụ Kh phục sự sự ccố ố trong trong quá trình cậ cập nhậ nhật ố cài đặt nếu như gặp phải lỗi trong Thỉnh thoảng, bạn sẽ có thêm kinh nghi ệm trong việc khắc phục sự cố cài việc cập nhật. Bạn có thể sử dụng WSUS để xác để xác định các client nào đã được cài đặ t các bản cập nhật hoặc chưa cài đặ t.

Khắắc phụ Kh phục sự sự ccố ố WSUS WSUS WSUS tạo ra 3 bản ghi: 





Application event log : bản hi này lưu trữ các sự kiện liên quan đế n vấn đề đồng bộ hóa, lỗi trong Update Services, l ỗi cơ sở dữ liệu WSUS liên quan đến source cài đặ t WSUS. H ầu hế t các sự kiện đều cung cấ p thông tin chi ti ế t v ề nguyên nhân cũng như hướ ng dẫn khắc phục sự cố . http://support.microsoft.com.. Thêm vào đó, bạ n có thể tìm kiể m lỗi tại trang http://support.microsoft.com C:\Program Files\Update Services\LogFiles\Change.txt: một tập tin có định dạng *.txt lưu trữ các thông tin v ề cài đặt các bản cập nhật, đồng bộ và sự thay ự thay đổi cấ u hình WSUS. Các thông tin này không chi tiết nhưng cũng có thể cho bạn biế t nhữ ng ng thông tin quan tr ọng chẳng hạn nế u quản trị viên thay đổi một thiêt lập nào đó, tậ p tin sẽ ghi lại dòng chữ “ “WSUS confoguration has been changed ”. ”. C:\Program Files\Update Services\LogFiles\SoftwareDistribution.txt : hiể n thị thông tin chi tiết và đượ c hỗ trợ từ Microsoft.

Khắắc phụ Kh phục sự sự ccố ố Windows Windows Update trên client Để xác Để xác định các vấn đề là nguyên nhân khi c ập nhật thấ t bại, thự c hiện các bướ c sau: ể xem hướng dẫn 1. Mở tập tin %Systemroot%\WindowsUpdate.log để các thông báo l ỗi. Bạn có thể xem đọc WindowsUpdate.log t ại địa chỉ http://support.microsoft.com/kb/902093/ ế t nối đế n WSUS server b ằng cách mở trình duyệt Web và gõ đị a chỉ 2. Xác nhận client nào k ế http:///iuident.cab. Nế u khung nhắc nhở hiện ra thông báo b ạn c ần download tập tin, có nghĩa là client đó đã kế t nối đế n WSUS server. 3. Nế u bạn sử dụng Group Policy để cấ u hình Windows Update, bạn có thể sử dụng công cụ Resultant set of Policy (RSOP) để xác nhận các cấ u hình. Bạn vào Run vào gõ Rsop.msc để mở RSOP. Trong RSOP, click Computer Configuraion > Administrative Templates > Windows Components > Windows Update để xem và xác nh ận các thiế t lập. Nế u b ạn đã phát hiệ n ra một v ấn đề và sau đó cấ u hình lại để khắc ph p hục s ự cố , bạn c ần khởi động l ại dịch vụ Windows Update trên máy tính client để thay đổi có hiệu lự c. c. Bạn có thể sử dụng công cụ Services (services.msc ) hoặc sử dụng lệnh sau để khởi động lại dịch vụ Windows Update.

ICT24H.NET

Page 18

ICT VIETNAM COMMUNITY net stop wuauserv net start wuauserv

Trong khoảng 6 – 10 phút, Windows Update sẽ gử i thông tin lên server.

Để Windows Update bắt đầu truy vấn đế n WSUS server, sử dụng lệnh sau: wuauclt /a

Xóa bỏ bỏ các bả bản cậ cập nhậ nhật Thỉnh thoảng bạn vẫn gặp lỗi cập nhật, chẳng hạn sau khi bạn c ập nhật lên phiên bản mới thì ứ ng ng d ụng không còn tương thích, bạ n có thể xóa bỏ cập nhật đó, thự c hiện các bướ c sau: 1. 2. 3. 4. 5.

Click Start > Control Panel. Dưới Programs, click Uninstall a program. Dưới Tasks, click View View installed updates. Chọn bản cập nhật bạn muố n xóa bỏ. Click Uninstall. Khởi động lại nế u c ần thiế t. t.

ICT24H.NET

Page 19


THỰ TH Ự C HÀNH: TRIỂ TRIỂ N KHAI WSUS Trong bài thự c hành, bạn cấ u hình WSUS trên server, s ử dụng Group Policy để cấ u hình các máy tính client, sau đó phê chuẩ n và phân phố i các bản cập nhật.

Bài thực thực hành 1: cài đặt đặ t WSUS và thự thự c hiện hiện đồng đồng bộ bộ hóa Trong bài thự c hành này, bạn sẽ cài đặt WSUS. Để giảm thiểu dung lượng lưu trữ , bạn sẽ cấ u hình WSUS ế t nố i trự c tiếp đến client để nhận các bản cập nhật trự c tiế p từ Micrsoft. server k ế 1. Download WSUS tại địa chỉ http://www.microsoft.com/wsus/ 2. Tại trang License Agreement , click I accept the terms of the License agreement để chấ p nhận các điều khoản cài đặt và sử dụng. Click Next. 3. Tại trang Required Component to use administration UI , thông báo cho bạn c ần cài đặt ng dụng Microsoft Report Viewer 2008 Redistributable để xem các bảng báo cáo tr ự c ứ ng quan. Click Next. Source , đánh dấ u chọn Store updates locally để lưu trữ các bản 4. Tại trang Select Update Source, cập nhật trên server. Click Browse và chọn đường dẫn cho WSUS. Click Next.

5. Trên trang Database Options, c họn vào Install Windows Internal Database on Options, đánh dấ u ch this computer. Click Next.

ICT24H.NET

Page 20

ICT VIETNAM COMMUNITY 6. Tại trang Web Site Selection đánh dấ u chọn vào Create a Windows Server Update Services 3.0 SP2 Web site để sử dụng một website khác website mặc định trong IIS. Click

Next. 7. Tại trang Ready to Install Windows Server Update Services xem lại các thông tin cu ố i cùng trước khi cài đặ t. Click Next để tiến hành cài đặ t.

8. Click Finish để hoàn tấ t. t. 9. Đợi khoảng 2 phút, trang Before You Begin hiể n thị, click Next để tiế n hành cấ u hình WSUS server. 10. Tại trang Join the Microsoft Update Improvement Program, Program , đánh dấ u chọn Yes, I would like to join the Microsoft Update Improvement Program để đượ để được hỗ trợ từ Microsoft trong quá trình cập nhật. Click Next. Server , đánh dấ u chọn vào Synchronize from Microsoft 11. Tại trang Choose Upstream Server, m uốn đồng b ộ đế n Microsoft Update. Nế u b ạn mu ốn đồng b ộ đế n m ột WSUS Update nế u b ạn mu khác đánh dấ u chọn Synchronize from another Windows Server Update Services server , sau đó nhập tên server muốn đồng bộ và port. Ngoài ra, click vào Use SSL when ng thự c SSL trong quá trình synchronizing update information nế u bạn muố n sử dụng chứ ng đồng bộ. Đánh dấ u chọn This is a replica of the upstream server nế u bạn muố n server hiện tại đóng vai trò upstream server. Click Next. 12. Tại trang Specify Proxy Server , nế u bạn muố n sử dụng proxy server đánh dấ u chọn Use a proxy server when synchronizing . Click Next.

ICT24H.NET

Page 21

ICT VIETNAM COMMUNITY 13. Tại trang Connect to Upstream Server , click Start Connecting để bắt đầu k ế ế t nố i theo sự lự a chọn mà bạn đã chọn ở trang Choose Upstream Server . Đợi quá trình k ế ế t nố i hoàn tấ t và click Next. 14. Tại trang Choose Languages, đánh dấ u chọn vào Download updates only in these languages và chọn gói ngôn ngữ . Việc tùy chọn gói ngôn ngữ sẽ giúp bạn giảm được băng thông. Click Next. 15. Tại trang Choose Products, chọn sản phẩ m mà bạn muố n cập nhật. Click Next. Classifications, đánh dấ u chọn những đối tượ ng bạn muố n cập nhật. Click 16. Tại trang Choose Classifications, Next . 17. Tại trang Set Sync Schedule, Schedule , đánh dấ u chọn Synchronize automatically và thiế t lập thời gian đồng bộ hóa. Click Next. 18. Đợi quá trình đồ ng bộ hóa hoàn tấ t. t. Bạn cũng có thể thự c hiện cách sau để đồ để đồng bộ hóa. 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services . 2. Giao diện Update Services hiể n thị. 3. Chọn server là SERVER (tên server b ạn muốn cài đặt WSUS). Tại khung Details, click Synchronize Now để thự c hiện đồng bộ hóa với website Microsoft Update

Quá trình đồ ng bộ diễn ra trong vài phút (có thể là ể là hơn một giờ tùy đường truy ền của bạn)

Bài thự thự c hành 2: Cấu C ấu hình các máy tính client để nh để nhậận các bả bản cậ cập nhậật nh Trong bài thự c hành, bạn sẽ sử dụng Group Policy để cấ u hình các máy tính client nhận các bản cập nhật từ WSUS server thay vì tr ự c tiế p từ Microsoft. 1. Mở GPO bạn muố n áp dụng cấ u hình. Tại Group Policy Management Editor, click chọn Computer Configuration > Administrative Templates > Windows Components > Windows Update. 2. Double-click vào Specify intranet Microsoft Update services location. 3. Chọn Enabled. Trên cả hai trườ ng là Set the intranet update service for detecting http://server.. Click OK . updates và Set the intranet statistics server , gõ http://server 4. Double-click vào Configure Automatic Updates. 5. Chọn Enabled. Cấ u hình các thiế t lập tự độ ự động cập nhật. Click OK .

Đăng nhập vào máy tính client b ằng quy ền Administrator. Vào Run và gõ lệnh gpupdate dụng các chính sách v ừ a cấ u hình trên.

/force

để áp

Bài thự thự c hành 3: Phê chuẩ chu ẩn các bả bản cậ cập nhậ nhật Trong bài thự c hành này, b ạn sẽ phê chuẩ n một bản cập nhật để triển khai đế n máy tính client. 1. Trên WSUS server, t ại giao diện Update Services , click Updates. Chọn All Updates. 2. Tại danh sách Approval, chọn Unapproved. 3. Tại danh sách Status , chọn Any. Click Refresh để hiể n thị các bản cập nhật.

ICT24H.NET

Page 22

ICT VIETNAM COMMUNITY 4. Chọn nhữ ng ng bản cập nhật g ần đây nhất để áp dụng cho máy tính client. R-click vào bản cập nhật đã chọn và click Approve Approve. 5. Trên hộp thoại Approve updates, chọn All Computers và chọn Approved for install. Click

OK. 6. Nế u hiể n thị các vấn đề v ề bản quy ền, click I accept. 7. Xem các lỗi hiể n thị trong hộp thoại Approval progress để xác nhận các bản c ập nhật đã đượ c cài đặt đến client. Sau đó click Close. 8. Tại giao diện Update Services , chọn Computers > All Computers. Tại danh sách Status, chọn Any và click Refresh. Máy tính client lúc này s ẽ hiể n thị trên danh sách Trên máy tính client, khởi động lại dịch vụ Windows Update.

Tổ ng ng quan bài họ học  

 

Bạn có thể download WSUS từ Microsoft.com. ng bản cập nhật t ừ upstream server, b ạn nên cấ u hình các Sau khi cài đặt WSUS và đồ ng bộ nhữ ng nhóm máy tính để cho phép chúng nhận được các bản c ập nh ật. Tiế p theo, phê chu ẩ n ho ặc t ừ chố i các bản cập nhật và đợi cho chúng đượ c phân phố i xuố ng ng các client. Sử dụng bảng báo cáo để xác nhận quá trình cập nhật hoàn tất và xác đị nh những máy client nào đã hoặc chưa cài đặ t các bản cập nhật. Bạn có thể xem bản ghi log v ề quá trình cập nhật để khắc phục sự cố v ề WSUS hoặc trên client. Mặc dù bạn có thể xóa một s ố bản c ập nhật b ằng cách sử dụng WSUS, tuy nhiên bạn nên xóa các bản cập nhật từ nhữ ng ng máy tính client.

Trắắc nghiệ Tr nghiệm 1. Bạn là kĩ sư hệ thố ng ng m ạng của một doanh nghiệp chuyên v ề thiế t bị âm thanh ánh sáng. M ới đây, bạn sử dụng MBSA để kiể m tra các vấn đề cập nhật bảo mật của máy tính client. B ạn nhận thấ y có một số máy tính không th ể cài ể cài đặt đượ c các bản cập nhật. Bạn có thể xem thông tin các máy tính này ở đâu? (chọn tấ t cả các đáp án đúng) A. Xem ở System log trên máy tính client. B. Xem ở Application and Services logs \Microsoft\Windows\Windows UpdateClient\Operational trên máy tính client. C. Xem ở System log trên WSUS server. D. Xem ở %SystemRoot%\WindowsUpdate.log. ng của một công ty kiế n trúc. Bạn vừ a mới triể n khai WSUS và b ạn c ần xác 2. Bạn là kĩ sư hệ thố ng nhận các bản c ập nh n hật đã phân phố i thành công. Thông tin nào sau đây mà bạ n nh ận đượ c t ừ báo cáo Update Status Summary? A. Các nhóm máy tính đượ c phê chuẩ n các bản cập nhật. B. Các máy tính đã hoàn tất cài đặ t các bản cập nhật. C. Bản cập nhật bị xóa bỏ. D. Số lượ ố lượng máy tính không th ể cài ể cài đặt một bản cập nhật.

ICT24H.NET

Page 23

ICT VIETNAM COMMUNITY 3. Bạn đang tr iể n khai WSUS cho doanh nghi ệp lớn. Hiện tại, bạn cấ u hình các máy tính client thu ộc các nhóm khác nhau để bạn có thể triể n khai cập nhật. Bạn có thể cấu hình đưa máy tính vào nhóm bằng cách nào? (ch ọn tấ t cả các đáp án đúng) Autom atic Updates. A. Bật chính sách Configure Automatic B. Thiế t lập Client-side targeting trong Group Policy. C. Tại Update Services, r-click vào máy tính và ch ọn Change Membership. D. Tại Update Services, đưa máy tính vào nhóm thích hợ p.

Tóm tắt tắt chương 

WSUS cho phép b ạn ki ể m soát và phân phố i các bản cập nh ật t ừ Microsoft ừ Microsoft đế n máy tính client. ừ Microsoft và lưu trữ chúng tại server đó. Một WSUS server có th ể sao chép các bản c ập nh ật t ừ Microsoft Sau đó các máy tính client sẽ download các bản cập nhật từ WSUS server thay vì download chúng từ Microsoft thông qua Internet. Để hỗ trợ doanh nghiệp với nhi ều văn phòng, ể đồng bộ hóa các bản cập nhật, phê chuẩ n và cấ u hình thiế t lập downstream WSUS server có th ể đồ từ upstream WSUS server, cho phép b ạn có thể thiế t k ế ế cấ u trúc phân cấp để có thể mở rộng quy mô.



Cài đặt WSUS c ần phải cài đặt IIS và WSUS có th ể sử dụng site mặc định có sẵn khi mới cài đặt IIS là Default Web Site. Sau khi cài đặ t WSUS, bạn có thể quản lý WSUS với giao diện Update Services. Trướ c tiên, bạn nên đồng bộ WSUS server với website Microsoft Update. Sa u đó, tạo các nhóm máy tính để triể n khai. Tiế p theo, cấ u hình các máy tính client có thể download các bản cập nhật từ WSUS server thay vì download t ừ Microsoft Update server thông qua Internet.

Thuậật ngữ Thu ngữ   

Downstream server Upstream server Windows Server Update Services (WSUS)

ICT24H.NET

Page 24


Ngữ Ng ữ ccảnh ế hạ t ầ ầng WSUS. Trong nhữ ng ng ngữ cảnh sau đây, bạ n sẽ được áp d ụng thiế t k ế

Ngữ Ng ữ ccảnh 1: Lên k ế ho ế hoạạch triể triể n khai hạ hạ t ầng ầng WSUS cơ bản bản Bạn là một kĩ sư hệ thố ng ng của ICT24H. Hiện tại, bạn cấ u hình tấ t cả máy tính client download các bản ự động cài đặt các bản cập nh cập nhật trự c tiế p từ Microsoft và tự động n hật này. Tuy nhiên, sau khi m ột phiên bản mới được tung ra, b ạn nhận thấy hóa đơn dị ch vụ băng thông Internet tăng độ t biế n sau khi Microsoft tung ra phiên bản mới trên website Windows Update. Vì thế , b ạn s ử dụng WSUS để giảm băng thông sử dụng cho trụ sở chính – chứ a khoảng 250 máy tính. Thậm chí, bạn b ắt đầu ki ể m tra thử nghiệm c ập nh ật trước khi triể n khai thật. Tuy nhiên bạn không có nhân viên nào v ận hành việc ki ể m nghiệm , vì thế bạn đã chọ n cách tự độ ự động phê chuẩn và cài đặ t các bản cập nhật. Bạn tới phòng giám đốc để thảo luận v ề hóa đơn phí thuê bao từ ISP. Giám đố c yêu c ầu bạn tr ả lời một số câu hỏi sau: 1. Làm thế nào ế nào để giảm băng thông từ WSUS? 2. C ần bao nhiêu WSUS server? ế nào để cấ u hình WSUS t ự độ ự động phê chuẩ n các bản cập nhật? 3. Làm thế nào

Ngữ Ng ữ ccảnh 2: Lên k ế ho ế hoạạch triể triể n khai mộ một hạ hạ t ầng ầng WSUS phứ phứ c tạ tạp Bạn là kĩ sư hệ thố ng ng c ủa ICT24H, một t ập đoàn đa quố c gia với nhi ều ều chi nhánh văn phòng khắp năm châu. Trụ sở chính đặt t ại London và bạn có các chi nhánh văn phòng đặ t t ại New York, Mexico, Tokyo và France. Tấ t cả các văn phòng đều đượ c trang bị đường truy ền Internet tốc độ cao và chúng đượ c k ế ế t ế t n ố i nố i VPN theo cấ u trúc full-mesh (m ạng lưới khép kín). Hay nói m ột cách khác là m ỗi văn phòng k ế trự c tiếp đến 4 văn phòng còn lạ i. Hiện tại, phòng IT ở London quản lý cả văn phòng ở London và New York. Các văn phòng Mexico, Tokyo và France có các phòng IT c ủa riêng họ. B ạn bắt đầu triể n khai WSUS trên Windows Server 2008 và t ạo ế t nối cho 5 văn phòng. ra một cấ u trúc đáp ứ ng ng k ế

Sau đó là cuộ c trò chuyện giữa trườ ng phòng IT ở văn phòng Mexico và giám đố c của bạn. Nội dung như sau: 



Trưởng phòng IT ở văn phòng Mexico: “ Tôi đã nói chuyệ n với các trưở ng phòng IT ở Tokyo và France, và họ có nhữ ng ng yêu c ầu kĩ thuậ t , ngôn ngữ , h ệ điều hành và kiể m nghiệm riêng biệt. Vì thế , chúng tôi c ần quản lý việc phê chuẩ n c ập nhật. Tuy nhiên, chúng tôi ch ỉ đồng b ộ hóa cập nhật từ server ừ server trung tâm” Giám đố c của bạn: “Không thành vấn đề cho dù bạn có đồ ng b ộ cập nhật giữa các văn phòng hoặc từ Internet. Vì chúng ta s ử dụng VPN và t ấ t cả thông qua Internet.”

ICT24H.NET

Page 25


Câu hỏi: 1. Bạn c ần bao nhiêu WSUS server và cấu trúc như thế nào? 2. WSUS server nào s ẽ được nhân bản và đượ c quản lý độc lập? --- Hế t ---

ICT24H.NET

Page 26

wsus

Recommend Documents