Instalacja i konfiguracja serwera WSUS Ćwiczenie 1 – Instalacja

Transkrypt

Projektowanie Bezpieczeństwa Sieci i Serwerów
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
Instalacja i konfiguracja serwera WSUS
Program Windows Server Update Services 3.0 to zaawansowane narzędzie służące do
zarządzania aktualizacjami w sieci. Głównym zadaniem serwera WSUS jest synchronizacja aktualizacji
dla wyznaczonych produktów z serwerami Windows Update firmy Mircrosoft oraz zarządzanie nimi
w lokalnej sieci. Zastosowanie serwera WSUS umożliwia administratorowi centralne zarządzanie
aktualizacjami dla komputerów współpracujących z serwerem WSUS, a także zmniejsza ruch w sieci
ponieważ aktualizację pobierane są z serwera WSUS, a nie serwera Windows Update.
Celem ćwiczeń jest zapoznanie się z procesem instalacji oraz konfiguracji serwera WSUS, a także
konfiguracji komputerów klienckich.
Ćwiczenie 1 – Instalacja serwera WSUS
0. Upewnić się, że komputer z zainstalowanym systemem Windows Server 2008 ma zapewniony
dostęp do Internetu. Jeżeli wykorzystywana jest maszyna wirtualna z systemem Windows Server
2008 należy jej kartę sieciowa skojarzyć kartą sieciową hosta zapewniającą dostęp do Internetu.
Należy także pamiętać o prawidłowej konfiguracji IP karty sieciowej (w pracowni z DHCP).
1. Aby skonfigurować serwer WSUS należy zalogować się do Windows Server 2008, a następnie
uruchomić Start -> Programs -> Administrative Tools -> Server Manager.
2. Pojawi się okno do zarządzania serwerem. Należy ot wierzyć Roles, a następnie wybrać
Add Roles.
1
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
3. Po otworzeniu okna pojawia się list ról serwera, które można zainstalować. Wybieramy Windows
Server Update Services. Automatycznie powinna się również zaznaczyć rola Web Server (IIS),
która jest niezbędna do funkcjonowania serwera WSUS.
Jeżeli rola Windows Server Update Services nie jest widoczna na liście wyboru, należy zaznaczyć
jedynie rolę Web Server (IIS), a po zakończeniu pracy instalatora ról uruchomić osobny instalator
roli Windows Server Update Services.
4. W oknie wyboru usług Web Servera (IIS) należy wybrać przede wszystkim usługę ASP.NET,
wszystkie usługi z grupy Security, usługę Dynamic Content Compression, wszystkie usługi z grupy
Management Tools oraz inne wymagane do ich poprawnego funkcjonowania. Można również
wybrać dodatkowe usługi. Opis każdej z nich jest wyświetlany w prawej części okna. (Jeżeli IIS był
już wcześniej zainstalowany jego instalacja może przebiegać inaczej w zależności od wcześniejszej
konfiguracji).
2
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
5. W oknie podsumowania sprawdzamy wybrane opcje instalacji. Na tym etapie można się cofnąć
i dokonać stosowanych zmian lub jeśli wszystko zostało zaznaczone prawidłowo przejść do
instalacji wybierając Install.
6. Jeżeli na liście wyboru ról była widoczna i została wybrana rola Windows Server Update Services
zostanie uruchomiony kreator instalacji serwera WSUS. W przeciwnym wypadku po zakończeniu
działania instalatora ról należy uruchomić osobny instalator roli Windows Server Update Services.
3
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
7. Jeżeli Microsoft Report Viewer 2008 nie jest zainstalowany zostanie wyświetlona informacja
o konieczności jego instalacji, aby było możliwe przeglądanie raportów serwera WSUS.
8. Następne okno dotyczy wyboru folderu w którym będą przechowywane aktualizacje dla
komputerów klienckich. Wymagany jest dysk sformatowany w systemie plików NTFS oraz
minimum 6 GB wolnego miejsca. Po wskazaniu folderu C:\WSUS należy wybrać Next.
9. Kolejny etap to wskazanie bazy danych. Do wyboru są trzy opcje:
•
instalacji nowej bazy na lokalnym komputerze;
•
podanie ścieżki do istniejącej bazy na lokalnym komputerze;
•
podanie ścieżki do bazy umieszczonej na innym serwerze.
W ćwiczeniu należy wybrać instalację nowej bazy na lokalnym komputerze, tak jak na rysunku.
4
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
10. Następnie trzeba wybrać ustawienia dla strony Web serwera WSUS. Można wykorzystać już
istniejącą domyślna stronę serwera IIS lub utworzyć nową tylko dla serwera WSUS.
W ćwiczeniu należy wybrać utworzenie nowej strony.
11. Następnie należy sprawdzić wszystkie ustawienie i potwierdzić je wybierając Next lub poprawić
cofając się do poprzednich okien korzystając z przycisku Back. Po zatwierdzeniu następuje
instalacja serwera WSUS.
12. Po zakończonej instalacji należy zainstalować Microsoft Report Viewer 2008 (jeżeli został
uruchomiony kreator konfiguracji serwera WSUS nie należy go zamykać).
5
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
2. Konfiguracja serwera WSUS
1. Po zakończeniu instalacji zostanie uruchomiony kreator konfiguracji serwera WSUS.
Pierwszą czynnością jaka należy wykonać w trakcie konfiguracji jest podanie serwera aktualizacji,
z którego zainstalowany serwer WSUS ma pobierać aktualizacje (proces ten jest nazywany
synchronizowaniem). Można ustawić synchronizację z serwera Microsoft Update lub z innym
serwerem WSUS, który będzie serwerem nadrzędnym. W ramach ćwiczenia należy wybrać
synchronizację z serwerem Microsoft Update.
2. Nastąpi synchronizacji serwera WSUS, w trakcie której zostaną pobrane informacje o produktach
dla których są dostępne aktualizacje.
3. Kolejny krok to wybór języka aktualizacji, które mają być pobierane.
Należy wybrać jak na rysunku.
4. W oknie wyboru produktów dla których mają być pobierane aktualizacje należy wybrać całą
rodzinę systemów Windows.
6
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
5. Następnie można sprecyzować, które klasy aktualizacji chcemy synchronizować.
6. Synchronizacja może być uruchamiana ręcznie lub automatycznie.
W ćwiczeniu należy wybrać automatycznie o godzinie 3:00 każdego dnia (w nocy serwer jest
mniej obciążony, a także zapotrzebowanie na przepustowość sieci jest mniejsze).
7
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
7. Można także wybrać uruchomienie synchronizacji po zakończeniu kreatora konfiguracji
(w warunkach laboratoryjnych powinno być odznaczone).
8. Należy zakończyć działanie kreatora.
9. Jeżeli do serwera WSUS nie jest podłączony żaden komputer kliencki może pojawić się
komunikat, że żaden komputer nigdy nie kontaktował się z serwerem.
8
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
3. Zarządzanie serwerem WSUS i aktualizacjami
1. Do zarządzania serwerem WSUS oraz aktualizacjami służy konsola Windows Server Update
Services. Można ja uruchomić z narzędzi administracyjnych lub uruchamiając mmc.exe i dodając
przystawkę (Snap-in) Update Services.
2. Dodaj nową grupę komputerów o nazwie Workstations.
9
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
3. W opcjach komputerów (patrz rysunek) ustaw aby komputery były dołączane do grup przy użyciu
konsoli Update Services.
4. Otwórz reguły automatycznego zatwierdzania aktualizacji (patrz rysunek) i utwórz nową regułę o
nazwie Critical and Security Updates for Workstations.
5. Reguła ma zapewniać zatwierdzanie aktualizacji krytycznych oraz aktualizacji zabezpieczeń dla
produktów z rodziny Windows dla wszystkich komputerów z grupy Workstations.
10
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
6. Ustaw powiadamianie e-mailem raz dziennie o godzinie 23:00 na adres [email protected], gdzie
N to nr komputera w pracowni. Jako serwer smtp podaj smtp.kis1.local a jako nadawcę WSUS z
adresu e-mail [email protected].
7. W ustawieniach personalizacji można sprawdzić jakie czynności jeszcze powinny zostać
wykonane.
8. Uruchom kreator oczyszczania serwera z domyślnymi parametrami.
11
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
9. Sprawdź status przeprowadzonych synchronizacji.
10. Wygeneruj raport podsumowujący status aktualizacji (Update Status Summary).
12
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
4. Konfigurowanie klientów do korzystania z serwera WSUS
1. Używając Server Manager utwórz OU o nazwie Laboratorium bezpośrednio w domenie kisN.local,
gdzie N to nr komputera w pracowni (należy użyć Roles->Active Directory Domain
Services->Active Directory Users and Computers)
2. Utwórz nowe GPO o nazwie Updates from WSUS i podepnij je do OU Laboratorium
(należy użyć Features->Group Policy Management)
3. Edytuj stworzone GPO.
4. Rozwiń węzeł Computer Configuration, nastepnie węzeł Policies, Administrative Templates,
Windows Components, a następnie kliknij pozycję Windows Update.
5. W okienku szczegółów kliknij dwukrotnie pozycję Configure Automatic Updates.
6. Kliknij pozycję Enabled, a następnie kliknij jedną z następujących opcji:
•
(2) Powiadom o pobieraniu i powiadom o instalacji. Ta opcja służy do powiadamiania
zalogowanego użytkownika administracyjnego przed pobraniem i przed zainstalowaniem
aktualizacji.
•
(3) Pobierz automatycznie i powiadom o instalacji. W przypadku tej opcji pobieranie
aktualizacji rozpoczyna się automatycznie, a następnie zalogowany użytkownik
administracyjny jest powiadamiany o zamiarze ich zainstalowania.
•
(4) Pobierz automatycznie i zaplanuj instalację. W przypadku tej opcji aktualizacje są
pobierane automatycznie, po czym są instalowane w określonym dniu i o określonej
godzinie.
•
(5) Zezwalaj lokalnemu administratorowi na wybranie ustawienia.
W przypadku tej opcji administratorzy lokalni mogą wybierać opcje konfiguracji za
pomocą apletu Aktualizacje automatyczne w Panelu sterowania. Na przykład mogą oni
wybrać własną planowaną godzinę instalacji. Administratorzy lokalni nie mogą wyłączać
Aktualizacji automatycznych.
7. Wybierz Auto download and notify for install, ustaw harmonogram codziennie o godzinie 8:00,
a następnie kliknij przycisk OK.
13
Łódź, 11.12.2009
Mariusz Witczak
Bartosz Matusiak
8. W okienku szczegółów kliknij dwukrotnie pozycję Specify intranet Microsoft update service
location.
9. Kliknij pozycję Enabled. W polach adresów wprowadź adres serwera WSUS
http://serwerN.kisN.local, gdzie N to nr komputera w pracowni. Potwierdź ustawienia klikając
przycisk OK.
Uwaga
Jeśli do wskazywania komputerowi serwera WSUS jest używany lokalny obiekt zasad grupy, to
ustawienie jest stosowane natychmiast i wkrótce nazwa tego komputera jest wyświetlana w konsoli
administracyjnej programu WSUS. Ręcznie inicjując cykl wykrywania, można przyspieszyć ten proces.
Po skonfigurowaniu komputera klienckiego i upływie kilku minut jego nazwa zostanie
wyświetlona na stronie Komputery w konsoli administracyjnej programu WSUS. W przypadku
komputerów klienckich skonfigurowanych przy użyciu zasad grupy opartych na domenie odświeżenie
zasad grupy (czyli zastosowanie nowych ustawień zasad do komputera klienckiego) może potrwać
około 20 minut. Domyślnie zasady grupy są aktualizowane w tle co 90 minut z losowym
przesunięciem od 0 do 30 minut. Aby szybciej zaktualizować zasady grupy, można przejść do wiersza
polecenia na komputerze klienckim i wpisać polecenie gpupdate /force.
W przypadku komputerów klienckich skonfigurowanych za pomocą lokalnego obiektu zasad
grupy zasady grupy są stosowane natychmiast, a aktualizowanie trwa około 20 minut.
W przypadku ręcznego zainicjowania wykrywania nie trzeba czekać 20 minut na nawiązanie przez
komputer kliencki połączenia z programem WSUS.
Aby ręcznie zainicjować wykrywanie przez serwer WSUS
1. Na komputerze klienckim kliknij przycisk Start, a następnie kliknij polecenie Uruchom.
2. W polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.
3. W wierszu polecenia wpisz polecenie wuauclt.exe /detectnow. Ta opcja wiersza polecenia
instruuje funkcję Aktualizacje automatyczne o konieczności natychmiastowego nawiązania
połączenia z serwerem WSUS.
14

Instalacja i konfiguracja serwera WSUS Ćwiczenie 1 – Instalacja

Transkrypt

Podobne dokumenty

dla sportowców i sympatyków sportu

Wydział Artystyczny - Wyższa Szkoła Umiejętności Społecznych