آموزش: آموزش گام به گام نصب و راه اندازی سرویس WSUS- قسمت اول

در این مقاله قصد داریم در رابطه با بروزرسانی محصولات مایکروسافت صحبت کنیم . همانطور که می دانیم بیشتر سیستم عامل هایی که در حال حاضر در جهان استفاده می شوند مایکروسافتی هستند بنابراین طبیعی است که bug ها و ضعف های موجود در آنها برای کاربران مشکل ایجاد کند این Bug ها با وجود کابران زیاد، بسیار سریع شناسایی می شوند . هستند افرادی که از این نقاط ضعف برای Attack به یک سیستم استفاده کنند. بنابراین مایکروسافت برای جلوگیری از بروز مشکلات ، درصدد رفع نقص محصولات برآمد و در سایت خود یک Update Center را ایجاد کرد تا کاربران بتوانند آپدیت های مربوط به رفع نقص محصول مورد نظر خود را از آن دانلود کنند. با این راهکار کاربران با نصب یک فایل دانلود شده می توانند مشکل موجود در سیستم عامل ها و Office Product ها و سایر محصولات مایکروسافت را برطرف کنند.
این راهکار کمک شایان توجهی به کاربران مایکروسافت برای برطرف کردن نقاط ضعف محصولاتی که مورد استفاده ی آنان بود ، کرد . اما مشکلاتی را نیز به همراه داشت . دانلود آپدیت ها از سایت مایکروسافت توسط کاربران خانگی و حتی شرکت های کوچک نتیجه بخش بود اما تصور کنید که در یک سازمان با بیش از هزار کلاینت ،هر کاربر ی برای دانلود آپدیت مورد نظر خود با سایت مایکروسافت ارتباط بر قرار کند چه اتفاقی خواهد افتاد؟بدون شک این وضعیت برای پهنای باند اینترنت سازمان ها یک معضل محسوب می شود. در چنین شرایطی مایکروسافت وارد عمل شده و سرویسی بنام SUS یا Software Update Services را به کاربران خود عرضه کرد .این سرویس موجب شد تا کاربران یک سازمان بتوانند آپدیت های خود را به جای سایت مایکروسافت از یک سرور مرکزی دریافت کنند بدین ترتیب دریافت آپدیت ها توسط کلاینت های سازمان تحت مدیریت متمرکز خواهد بود . ادمین سازمان می تواند با توجه به نو ع سیستم عاملهای سازمان و نیز نرم افزار های موجود، آپدیت های مورد نیاز را به صورت متمرکز در اختیار کلاینت ها قرار دهد.
مدیریت آپدیت ها موجب می شود که تنها آپدیت های مورد نیاز دانلود و نصب شود بنابراین حافظه سیستم ها نیز با ذخیره داده هایی که بلا استفاده هستند ، اشغال نخواهد شد هم چنین WSUS با مدیریت پهنای باند، باعث می شود که از سرعت اینترنت سازمان به دلیل ترافیک بالا کاسته نشود.
  
مایکروسافت متعهد شده بود که از SUS تا تاریخ 6 دسامبر 2006 پشتیبانی خواهد کرد اما به دلیل استقبال مشتریان خود از این سرویس این تاریخ به 10 جولای 2007 تغییر یافت. SUS دارای این نقطه ضعف بود که تنها شرایط دانلود Hotfix ها و Patch های مربوط به سیستم عامل ویندوز را برای کاربران فراهم می کرد با این اوصاف کاربران یک شبکه از دریافت آپدیت سایر محصولات مایکروسافت بی بهره بودند . با بروزرسانی این سرویس به ورژن جدید تحت عنوان WSUS 2.0 این مشکل برطرف شد چرا که WSUS علاوه بر دانلود آپدیت های سیستم عامل ویندوز ،دانلود اتوماتیک آپدیت ها ،Hotfix ها ، Service Pack ها ، Device Driver ها و Feature Pack های سایر محصولات مایکروسافت را از یک سرور مرکزی ،برای کاربران سازمان ها ممکن می سازد.WSUS نیز مخفف عبارت Windows Server Update Services می باشد.

پیشتر کار با SUS و WSUS تحت وب بود بدین معنی که می بایست Component مربوط به این سرویس را نصب کرده و از طریق وب سایتی که در IIS ایجاد می شد، بصورت تحت وب از آن استفاده می کردیم .اما از سال 2006 به بعد WSUS در قالب یک نرم افزار ارائه شد که با نصب آن براحتی می توان از طریق کنسول ،دریافت و توزیع آپدیت ها را مدیریت کرد.در جدول زیر تاریخچه ی بروزرسانی سرویس WSUS بیان شده است.

بروز رسانی SUS به WSUS
باید توجه داشت که Upgrade کردن SUS به WSUS ممکن نیست اما می توانیم آپدیت های دانلود و تایید شده در SUS را به WSUS انتقال دهیم (Migrate کردن از SUS به WSUS). این راهکار باعث می شود که با نصب WSUS نیازی به دانلود مجدد آپدیتها و نیز Approve کردن آپدیت هایی که قبلا در SUS تایید شده ، نداشته باشیم.تنها Migrate کردن SUS 1.0 به WSUS 2.0 امکان پذیر است آپدیتها قادر به انتقال از SUS1.0 به WSUS 3.0 نخواهند بود پس باید SUS 1.0 را قبل از نصب WSUS 3.0 ،حذف کرد .اما WSUS 2.0 را به WSUS 3.0 می توان Upgrade کرد.

---

انواع آپدیت ها

---

• Critical Update: یک بروز رسانی در نظر گرفته شده برای رفع مشکلی در نرم افزار است که بروز این مشکل در محصولات ، شرایطی بحرانی را ایجاد می کند.
• Driver: یک جزء نرم افزاری است که برای پشتیبانی از یک سخت افزار جدید طراحی شده است.
• Hotfix : آپدیتی است که برای رفع یک مشکل خاص ارائه می شود. با Hotfix می توان به رفع مشکل ، بدون Restart و یا متوقف کردن سرویس و سیستم دچار اختلال پرداخت.عموما Hotfix را با Patch یکسان می دانند اما تفاوت این دو در این است که Hotfix به طور ویژه برای رفع مشکل یک مشتری در نظر گرفته شده و برای عموم کاربران توزیع نمی شود. باید در نظر داشت که Hotfix ،آپدیت های امنیتی را شامل نمی شود. همچنین Hotfix قابلیت های ارائه شده برای رفع یک مشکل که بصورت خاص مورد آزمایش قرار گرفته تا در اختیار عموم کاربران قرار گیرد را شامل می شود.
• Update: در این نوع آپدیت یک قابلیت جدید برای محصولات مایکروسافت در نظر گرفته می شود و این آپدیت برای رفع مشکلات امنیتی و اختالات مربوط به سیستم عامل ها و نرم افزار ها نمی باشد ،باید در نظر داشت که Update الزاما امنیتی نیست .
• Security Update: کاربران مایکروسافت جمعیت بالایی را تشکیل می دهند بنابراین نقاط ضعف امنیتی بسیاری در محصولات آن مشاهده خواهد شد و مایکروسافت این نقاط ضعف را شناسایی کرده و آپدیت رفع نقاط ضعف و مشکلات امنیتی محصولات خود را در اختیار کاربران قرار می دهد. آسیب پذیری های امنیتی در بولتن امنیتی مایکروسافت در سطوح حساس ،مهم ، متوسط و ضعیف یا پایین طبقه بندی می شوند.
• Feature Packs: بسته ای است که قابلیت های جدید ارائه شده برای یک محصول را در بر می گیرد.
• Update Rollups: مجموعه ای است از Hotfix ها،Security آپدیت ها ، critical آپدیت ها ونیز آپدیت هاست که برای سهولت در Deploy شدن در یک پکیج قرار گرفته اند.Rollup ها عموما یک هدف خاص مانند امنیت محصول و یا یک Component از یک محصول مثلا IIS را پشتیبانی می کند.
• Service Pack : پکیجی است در بردارنده ی همه ی Hotfix ها ،Critical آپدیت ها ، Security آپدیت ها و همچنین آپدیت هابرای سیستم عامل ها و نرم افزار ها.علاوه بر این Service Pack را ه حل مشکلات و نقاط ضعفی که پس از عرضه محصول توسط گروهی محدودی از مشتریان شناسایی شده و نیز درخواست آنان مبنی بر تغییر در Design و قابلیت های یک محصول را شامل می شود.
• Definition Update: این نوع از آپدیت ها برای بروز رسانی نرم افزارهای امنیتی استفاده می شود .نرم افزارهایی مثل آنتی ویروس و Anti Malware که توسط شرکت مایکروسافت ارائه شده اند .در واقع یک Definition Update روش حذف و یا برخورد با یک کد مخرب را برای این محصولات ، نمایش می دهد. این آپدیت ها بیشتر برای محصولاتی که دارای پایگاه داده هستند ، کاربرد دارد.
• Tool: ابزار یا قابلیتی است که به انجام رساندن و تکمیل یک وظیفه و یا مجموعه ای از وظایف کمک می کند.

---

انواع استراتژی پیاده سازی WSUS سرور

---

سه ساختار پیاده سازی سیستم بروز رسانی مرکزی برای سیستم های تحت شبکه وجود دارد ، در نوع اول WSUS سرور به شبکه داخلی و اینترنت متصل بوده و آپدیت ها را مستقیما از Update Center سایت مایکروسافت دانلود کرده در نهایت کاربران شبکه با WSUS سرور ارتباط برقرار کرده و آپدیت ها را از آن دریافت می کنند.

در ساختار دوم حداقل دو WSUS سرور وجود دارد اما در سازمانهای بزرگ این ساختار چندین WSUS سرور را در بر می گیرد. فرض را بر پیاده سازی سیستم به روز رسانی مرکزی برای یک دانشگاه می گذاریم دانشگاه دارای یک ساختمان مرکزی و چندین دانشکده می باشد .برای اینکه ترافیک شبکه بالا نرود یک WSUS سرور را در ساختمان مرکزی قرار می دهیم که به اینترنت متصل بوده و از سایت مایکروسافت آپدیت ها را دانلود می کند که اصطلاحا به آن Upstream سرور می گویند و در هر دانشکده نیز WSUS سرور هایی با عنوان Downstream سرور قرار می دهیم که این Downstream ها آپدیت های مورد نیاز را از Upstream سرور دریافت می کنند. و در نهایت کلاینت ها آپدیت ها را از Downstream سرور ها دریافت و نصب می کنند .

در استراتژی سوم برای سازمانهای نظامی ،اطلاعاتی و هر سازمانی که محرمانه باقی ماندن اطلاعات برای آن امری ضروریست، شبکه ای ایزوله در نظر گرفته می شود. در چنین شرایطی امکان اتصال به اینترنت و دانلود آپدیت ها در شبکه ممکن نیست در حالی که سیستم های چنین سازمانهایی هم نیازمند بروزرسانی می باشند. بنابراین از یک WSUS سرور متصل به اینترنت در خارج از محدوده شبکه سازمان برای دانلود آپدیت ها استفاده می کنند و در نتیجه آپدیت ها را به کمک حافظه های جانبی همچون DVD و فلش ، بصورت آفلاین به WSUS سرور موجود در شبکه ایزوله سازمان انتقال می دهند تا کاربران شبکه بتوانند آپدیت های مورد نیاز خود را در محیطی امن دریافت کنند.

---

نصب رول WSUS

---

در اکثر مواقع نصب این سرویس از طریق Server Manager با مشکل مواجه می شود بنابراین بهتر این است که به جای نصب از طریق Server Manager فایل نصب WSUS را دانلود و اجرا کنیم . همانطور که می دانیم لازمه ی استفاده از WSUS سرور نصب رول IIS است که آموزش نصب این رول در مقاله جناب مهندس نصیری آورده شده است. بهنگام نصب سرویس WSUS سیستم پیغام نصب IIS را می دهد برای منظم طی شدن روند کار قبل نصب این سرویس ، رول IIS را نصب می کنیم.
همچنین برای اینکه سیستم برای دانلود آپدیت ها قادر به استفاده از پهنای باند بیکار اینترنت باشد و سرعت اینترنت سازمان دچار اختلال نشود قابلیت BITS یا (Background Intelligent Transfer Service) را از طریق مسیر زیر فعال می کنیم :

Sever Manager => Features => Add Features => Background Intelligent Transfer Service (BITS)

پس از نصب پیش نیاز های مورد نظر حال روی فایل WSUS دانلود شده برای نصب کلیک می کنیم تا ویزارد مربوط نمایش داده شود روی گزینه Next کلیک می کنیم . در این مرحله دو گزینه برای انتخاب نوع نصب WSUS پیش روی ماست . با انتخاب گزینه اول می توان هم WSUS و هم کنسول مدیریتی آن را نصب کرد و با انتخاب گزینه دوم می شود تنها از کنسول مدیریتی برای مدیریت چندین WSUS بصورت متمرکز استفاده کرد.

در این بخش متن مبنی بر توافقنامه مربوط به License این سرویس را خوانده و با تایید آن به مرحله بعد می رویم.

در صورتی که Microsoft Report Viewer روی سرور نصب نباشد در این قسمت پیغام مبنی بر عدم نصب این برنامه نمایش داده خواهد شد که می توانیم این نرم افزار را از سایت مایکروسافت به صورت رایگان دانلود و نصب کنیم.

در این مرحله هارد دیسک و فولدری که می خواهیم آپدیت های دانلود شده روی آن ذخیره شوند را به سیستم معرفی می کنیم با توجه به توضیحات این بخش از ویزارد ، باید از هاردی با حداقل 6GB فضای آزاد استفاده کنیم که بسته به نوع و حجم دریافت آپدیت های مورد نظر ما این مقدار می تواند از حداقل فضای پیشنهاد شده بیشتر باشد. توصیه می شود که درایو در نظر گرفته شده برای ذخیره ی آپدیت ها با درایوی که سیستم عامل روی آن قرار دارد یکسان نباشد.

برای تعیین یک پایگاه داده داخلی برای WSUS باید درایوی را انتخاب کنیم که حداقل 2GB فضای آزاد داشته باشد. اگر در شبکه SQL Server موجود باشد در اینجا با مارک دار کردن گزینه Using an existing database server on a remote computer می توان آن را بعنوان یک پایگاه داده خارجی برای سرویس معرفی کرد.و نیز با کلیک روی گزینه Browse باید آدرس SQL سرور را به سیستم معرفی کنیم این گزینه زمانی می تواند مفید باشد که یک SQL سرور ی را اختصاص دهیم که توسط مدیران پایگاه داده مدیریت شود.

همانگونه که ذکر شد مبنای کار WSUS بر اساس IIS است در اینجا می توان IIS پیشفرض سرور را انتخاب کرد و یا یک IIS ویژه برای WSUS در نظر گرفت .انتخاب گزینه Use the existing IIS Default Web site از سوی مایکروسافت توصیه شده است.

در این صفحه خلاصه ای از تنظیماتی که تاکنون انجام دادیم نمایش داده شده است روی گزینه Next کلیک می کنیم تا فرایند نصب آغار شود.

در پایان روی گزینه Finish کلیک می کنیم تا این مرحله از نصب WSUS با موفقیت صورت گرفته باشد.

پس از پایان یافتن نصب از طریق ویزارد ، بصورت خودکار ویزارد مربوط به پیکربندی WSUS نمایان می شود که در اولین صفحه از آن مواردی که باید پیش از انجام تنظیمات رعایت شود را یاد آوری کند از قبیل انجام تنظیمات فایروال سرور برای دسترسی داشتن کلاینت ها به آن ، مشخص کردن Up Stream سرور برای WSUS سرور در حال پیکربندی و انجام تنظیمات پروکسی در صورتیکه از آن برای اتصال به اینترنت استفاده می کنیم . پس از اطمینان از این موارد روی گزینه Next کلیک می کنیم.

در این بخش می توان تعیین کرد که در صورت بروز مشکل در روند کار WSUS ، اطلاعات را برای مایکروسافت ارسال کرده تا درصدد رفع مشکل برآید .بدین منظور باید گزینه ی Yes ,I would like to join the Microsoft Update Improvement Program را مارکدار کنیم .

در این بخش برای سرور تعیین می کنیم که آپدیت ها را با سایت مایکروسافت و یابا یک WSUS دیگر (Up Stream Server ) تطبیق دهد. که در صورت انتخاب یک Upstream Server برای Sync کردن آپدیت ها باید نام و پورت مربوط به آن سرور را نیز مشخص کنیم . با برگزیدن یک WSUS دیگر بعنوان Upstream سرور دو گزینه فعال خواهند شد که شرح آنها به قرار زیر است:
در صورتیکه که از SSL استفاده می کنیم باید تیک مربوط به گزینه Use SSL when synchronizing update information را فعال کنیم اما باید در نظر داشته باشیم که در صورت استفاده از SSL روی این سرور ، Upstream سرور نیز باید از SSL پشتیبانی کند.
با انتخاب گزینه This is a replica of the Up Stream server سرور ی که در حال پیکربندی آن هستیم تبدیل به نسخه ثانویه Up Stream سرور انتخابی خواهد شد.

اگر شبکه ملزم به استفاده از پروکسی سرور برای دسترسی به اینترنت است اطلاعات مربوط به آن را در این قسمت وارد کرده در غیر اینصورت از این تنظیمات چشم پوشی و با انتخاب Next به مرحله بعد می رویم.

حال نیاز است که ویزارد WSUS برای تشخیص محصولاتی که WSUS می تواند آپدیت کند ، زبانهایی که پشتیبانی کند و نیز شناسایی انواع آپدیت ها به اینترنت متصل شود. بنابراین باید روی گزینه Start Connecting کلیک کنیم تا ارتباط سرور با Update Server های مایکروسافت برقرار شود . پس از تکمیل فرایند اتصال اولیه روی گزینه Next کلیک می کنیم .

در اینجا زبان مورد نظر را برای آپدیت هایی که قصد دانلود آنها را داریم ، انتخاب می کنیم اگر در شبکه سیستم هایی موجودند که از محصولاتی با چندین زبان پشتیبانی می کنند باید Patch هایی برای ساپورت همه زبانها را دانلود کنیم در غیر اینصورت بر حسب نیاز ، زبان مورد نظر خود را انتخاب می کنیم که این کار باعث استفاده کمتر از فضای دیسک و افزایش سرعت دانلود خواهد شد.

محصولاتی که قصد دانلود آپدیت برای آنها را داریم در این مرحله انتخاب می کنیم . می توان با انتخاب تمامی گزینه ها شرایط دانلود آپدیت تمامی محصولات را فراهم آورد و یا اینکه با مارکدار کردن محصولاتی که در شبکه ما موجودند ،تنها آپدیت مربوط به آنها را دریافت کنیم. گزینش محصولات مورد نظر برای دریافت آپدیت آنها علاوه بر اشغال فضای کمتری از حافظه به افزایش سرعت و کاهش زمان دانلود آپدیت ها از سایت مایکروسافت نیز کمک می کند. همچنین می توان محصول جدیدی که در آینده در سازمان به کار گرفته می شود را به لیست برنامه های که قصد دانلود آپدیت آنها را داریم در این قسمت اضافه کنیم. در اینجا ما با توجه به سناریو مورد نظر ، ویندوز 7 و ویندوز سرور 2008 R2 را برای دریافت آپدیت هایشان مارکدار می کنیم .

در این قسمت طبقه بندی و نوع آپدیت مورد نظر را برحسب نیاز انتخاب می کنیم انواع آپدیت ها در ابتدای مقاله توضیح داده شد.

می توان به صورت دستی و یا اتوماتیک تعیین کرد که WSUS سرور در چه زمانی آپدیت ها را با سایت مایکروسافت Sync کند .از آنجایی که بسته به سرعت اینترنت شبکه دانلود آپدیت ها میزان قابل توجهی از پهنای باند را به خود اختصاص می دهد می توان برنامه ریزی کرد که WSUS سرور آپدیت ها را طی ساعاتی که میزان استفاده از اینترنت شبکه پایین است مثلا در طول شب دریافت کند. در این مرحله ما گزینه Synchronize Manually را انتخاب می کنیم .

پس از انجام تنظیمات ذکر شده حال زمان آن است که WSUS سرور برای دانلود آپدیت ها ، برای اولین بار با سایت مایکروسافت و یا هر Up Stream سروری که برای آن تعیین شده ، ارتباط برقرار کند . دانلود آپدیت ها برای اولین بار از سایت مایکروسافت زمان و پهنای باند زیادی را مصرف می کندو بسته به تعداد محصولات انتخاب شده و نیز زبان ها و طبقه بندی های در نظر گرفته شده برای آنها متفاوت می باشد . همچنین می توان تعیین کرد که دریافت آپدیت ها از طریق کنسول مدیریتی و در زمانی دیگر صورت گیرد در اینجا ما گزینه Begin initial synchronization را مارکدار می کنیم .

اکنون خلاصه ای از مراحلی که برای سایر تنظیمات باید طی شود برای ما نمایش داده می شود . برای بسته شدن ویزارد روی گزینه Finish کلیک می کنیم .

تا بدین جای کار به شرح تاریخچه و معماری سیستم بروزرسانی مرکزی ،معرفی انواع آپدیت ها و نصب مرحله به مرحله ی WSUS از طریق ویزارد پرداختیم . در قسمت بعدی مقاله به بررسی کنسول مدیریتی WSUS خواهیم پرداخت.