Javítás kezelés: Hogyan és miért álljunk át WSUS-ról Configuration Manager alapú javítás kezelésre.

  • Article

A kérdés több helyen is felmerült mostanában, így gondoltam leírom a gondolataimat ezzel kapcsolatban.

Szerencsére a legtöbb infrastruktúrában már jelen van legalább egy WSUS alapú javítás kezelés amellyel a Windows, Office és még néhány Microsoft termék frissítésérol gondoskodnak. Ezzel a nagyvállalati szükséges javítás detektálás és terítési infrastruktúrával a Microsoft egy egyedül álló eszközt biztosít a nagyvállalatok számára. Valószínuleg ennek is köszönheto, hogy a 2012 harmadik negyedévi Kaspersky Top 10-es sérülékenységi listájában nincs egyetlen egy Microsoft termék sem.
Szóval a Microsoft termékek automatizált és nagytömegu javítás kezelése megoldott, hála a Windows Update/Microsoft Update és a WSUS-nak. A Windows Software Update Services (WSUS) hosszú utat tett meg a Software Update Service 1.0 (SUS) óta, mire a 3.0 SP2-es verzióra már egy kifinomult és a javítás kezelést teljes körben ellátni képes eszköz lett. Így eloször is, összefoglalnám mért érdemes a „sima” WSUS alapú frissítési módszerrol a WSUS+Configuration Manager alapú frissítési módszerre áttérni:

  • Az egyik legfontosabb érv hogy a Configuration Manager integrált javítás kezelés esetében a szoftver frissítések disztribúciója a Configuration Manager infrastruktúrán (disztribúciós pontokon keresztül történik). A szoftver terítés végett egyébként is van egy kialakított infrastruktúránk, amely lehetové teszi, hogy a nagyméretu telepíto készleteket a leheto „legközelebb” eljuttassuk a kliensekhez. Csak WSUS alapú terítés esetében a kliensek minden esetben a WSUS kiszolgálóról töltik le a javításokat. Configuration Manager infrastruktúra esetében minden esetben a disztribúciós pontokat használják. Ez nagy méretu és kiterjedt (több fizikai telephellyel rendelkezo) infrastruktúrában nagy mértéku egyszerusítést és hálózati sávszélesség megtakarítást, tud eredményezni különösen, ha figyelembe vesszük az, hogy hány termék hány verziójának hány javítását (és hogy ezek összesen mekkora méretet jelentenek) kell tárolni, hálózaton az érintett klienshez eljuttatni.
  • Alapértelmezetten az operációs rendszer telepítés esetén integrálni tudjuk a frissítések telepítését az új gép keltetése lépésbe. Vagy ha ezt a lépést kihagyjuk a Configuration Manager kliens az elso feléledés után detektálja a szükséges frissítéseket és záros határidon belül gondoskodik a javítások telepítésérol. A lejárt határideju frissítéseket azonnal telepíti. Itt ismét elojön az elony hogy nem a WSUS kiszolgálóról hanem a közelben levo disztribúciós pontról történik ezen javítások letöltése.
  • Jobb felhasználói élmény. A Configuration Manager esetében a felhaszálóóknak a rendszer értesítést küld az elérheto új frissítésekrol, illetve a kötelezo telepítési határidorol, amely után a frissítések automatikusan települnek függetlenül a felhasználói beavatkozástól. Azon túl, hogy a felhasználó értesítést kap folyamatosan, ahogy közeledik a kötelezo telepítési határido lehetosége van egy számára alkalmas idopontban (pl.: az ebédszünet alatt) elvégezni a javítások telepítését, hogy késobb ezzel ne legyen gondja. A felhasználók ilyen mértéku önrendelkezésének támogatása fontos eleme a Felhasználó központú üzemeltetés megteremtésének. Ez a funkció egyébként kiegészül a karbantartási ablakok (Maintanance window) és a felhasználó által beállított munkaido ablak funkciókkal, a javítások telepítése ezek figyelembe vételével történik.
  • A Configuration Manager integrált javítás kezelés ezen felül integrálódik jelentés készítésben a Configuration Manager Reporting Services alapú jelentéseibe, automatizált, akár idoszakosan automatikus e-mailben vagy egyéb helyen publikált jelentések állíthatók be a javítás terítés státuszáról.
  • Ezen felül a Configuration Manager alapú javítás kezelés integrálódik olyan egzotikus Configuration Manager-ben ritkán használt funkciókkal, mint a Network Access Protection remediation server használat képesség, vagy Wake-on-LAN és az Intel AMT (vPro) integráció, amivel a kikapcsolt munkaállomások az éjszaka bekapcsolhatóak, hogy a szükséges szoftver terítési és karbantartási feladatokat el tudjuk végezni 

Következo lépésben nézzük át magas szinten hogyan történik a kliensek javítás terítése Configuration Manager integrált használat esetében:

  1. A kliens a Configuration Manager infrastruktúrában Software Update Point-ként (SUP) beállított WSUS kiszolgálóról letölti a WSUS katalógust. Ezt a Configuration Manager úgy teszi meg, hogy a Configuration Manager kliens komponens (ccmexec) a helyi házirendben (Local Policy) konfigurálja az intranet WSUS kiszolgáló elérési útját a SUP szerepkört betölto kiszolgálóra mutatva.
  2. A kliensen a Windows Update agent segítségével letölti a katalógust, majd megtörténik a WSUS-ról letöltött katalógus kiértékelése. Ennek során megállapításra kerül hogy a WSUS katalógusban levo termékekhez elérheto frissítések közül mi az ami szükséges az adott épen. Ezt a kiértékelést ugyan az a komponens végzi, mint amit a WSUS és a Microsoft Update is használ a szükséges frissítések detektálására és telepítésére.
  3. A Windows Update agent frissítés keresésnek eredménye letárolásra kerül a gép WMI adatbázisában.
  4. A Configuration Manager kliens ezen WMI adatbázis alapján egy desired configuration management (DCM) configuration item (CI)-okat hoz létre frissítésekrol és a géprol hiányzó frissítések listáját így küldi fel a kiszolgálónak. A Configuration Manager telephelyi kiszolgálón ezekbol áll össze, hogy mely frissítések hiányoznak az infrastruktúrából.
  5. A kiszolgálón jóváhagyott frissítések telepítése a javítások lokális letöltésével kezdodik, a javítások a háttérben (BITS) a disztribúciós pontról letöltésre kerülnek a lokális Configuration Manager cache-be.
  6. Ha elérkezik a kötelezo lejárati határido (vagy a felhasználó maga kezdeményezi a frissítések telepítését) akkor a Configuration Manager cache-bol a Windows Update Agent segítségével történik a javítások telepítése.
  7. A javítások telepítése után a következo Windows Update Agent scannelés eredménye szintén a WMI-os letároláson keresztül eljut a kiszolgálóra ahhol így megjelenik hogy milyen frissítések kerültek fel a gépre.

Mint látható a 2. (detektálás) és a 6. (javítások telepítése) lépés a klienseken a Windows Update agent révén történik a klienseken, vagyis a Configuration Manager nem találja fel a kereket, a megbízható, bevált és a Windows csapat által kialakított javítás detektálási és telepítési infrastruktúra köré építette a saját bovített képességu felügyeletét.
Ha felidézzük az Active Directory MCP vizsgára felkészülés során tanultakat, akkor a fentiekbol már következik az eredeti kérdésre a válasz, hogy hogyan lehet a bevált és muködo WSUS alapú javítás kezelésrol fokozatosan átállni a Configuration Manager alapúra. A csoport házirend beállítások kapcsán ugyebár a kiértékelés sorrendje az LSDOU..OU, vagyis eloször a Local Policy-ban levo beállítások, majd a Site szinten, majd a Domain szinten, majd az OU szinten beállított házirendek kerülnek kiértékelésre és az több OU szint esetén pedig az objektumhoz közeledve (fentrol lefelé) kerül kiértékelésre a csoport házirend objektum (GPO) beállítás. A GPO beállítások pedig „last-write-win” elvuek, vagyis ha egy érték több szinten, különbözo csoport házirend objektumokban is beállításra került akkor a legutoljára kiértékelésre kerülo GPO értéke lesz érvényes. (tehát ha egy beállítást OU szinten tiltok, Domain szinten engedélyezek akkor a beállítás a kliensen tiltva lesz).
Másik fontos hogy megértsük az átállás lépéseit az, hogy egy Windows Update agent-nek egy operációs rendszeren csak egy beállítása lehet, nem tud több különbözo intranet update server beálltást kezelni.
Ebbol kifolyólag mivel a Configuration Manager kliens a helyi házirendben (Local Policy) konfigurálja a SUP pont WSUS kiszolgálóját, ezt felül írja a GPO-val terített WSUS beállításunk. A fokozatos bevezetés és átálláshoz tehát nem kell mást tennünk, mint:

  1. Kialakítani a Confguration Manager-ben a SUP konfigurációt.
  2. Amint ez megvan azokat a gépeket, amiket szeretnénk ha átkerülnének a WSUS alapú javítás kezelésbol a Configuration Manager által kezelt javítás kezelésbe egyszeruen ki kell vonnunk annak a GPO-nak a hatókörébol amely a WSUS beállításokat konfigurálja a klienseken, és ezután a kliensek fel fogják venni a Local Policy-ban definiált (Configuration Manager-hez tartozó) SUP kiszogáló konfigurációját