triển khai wsus windows server update services
TRANSCRIPT
![Page 1: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/1.jpg)
Triển khai WSUS Windows Server Update Services
Giới thiệuThông tin và dữ liệu đóng vai trò quan trọng trong hoạt động sản xuất kinh doanh cũng như sự phát triển của doanh nghiệp. Một trong những phương pháp quan trọng để bảo mật thông tin và dữ liệu là cập nhật thường xuyên các bản vá lỗi hệ điều hành Windows, các phần mềm của Microsoft trên các PC và ServerVới số lượng PC và Server tại các cơ quan tương đối lớn, việc thực hiện cập nhật (update) các bản vá lỗi (hotfixes), các bản nâng cấp cho các hệ điều hành, các phần mềm của Microsoft là một điều đáng được quan tâm. Hiện tại, việc cập nhật cho các PC và Server tại các cơ quan phần lớn được thực hiện một cách thủ công (từng người dùng thực hiện cập nhật riêng lẻ). Điều này dẫn đến các vấn đề như sau:
Người dùng không thực hiện cập nhật các bản vá lỗi hoặc thực hiện cập nhật các bản vá lỗi không đầy đủ, dẫn đến nguy cơ bị tấn công vào các lỗ hổng bảo mật.
Người quản trị chưa kiểm soát được tình trạng cập nhật các bản vá lỗi, các bản nâng cấp các hệ điều hành, các ứng dụng Microsoft của người dùng.
Mỗi người dùng cập nhật một cách riêng lẻ các chương trình, hệ điều hành của Microsoft sẽ dẫn đến việc tiêu tốn băng thông, đặc biệt là băng thông quốc tế.
Trong trường hợp đường truyền Internet bị chậm hoặc gián đoạn sẽ dẫn đến việc cập nhật các hệ điều hành, các chương trình của Microsoft cho PC và Server diễn ra lâu hơn, làm cho PC và Server chạy chậm hơn.
Do đó, giải pháp chính là cài đặt một Server trung gian (WSUS Server) thực hiện cập nhật các bản vá lỗi từ Internet về, sau đó các máy PC trong mạng LAN kết nối đến Server này để cập nhật các bản vá lỗi. Sau khi triển khai giải pháp này sẽ đạt được các mục tiêu sau:
Tất cả các máy tính Client trong mạng LAN đều được cập nhật các bản vá lỗi kịp thời, nâng cao khả năng bảo mật, an toàn cho máy tính người dùng (Client).
Thời điểm cập nhật của các Client được đặt lịch phù hợp với hiệu suất hoạt động mạng LAN.
Tiết kiệm được băng thông truy cập Internet: trước đây tất cả các Client đều phải truy cập Internet để cập nhật (mỗi lần cập nhật phải tải về từ vài chục đến vài trăm Mega
![Page 2: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/2.jpg)
byte dữ liệu), nhưng bây giờ chỉ có 1 Server kết nối Internet để cập nhật online còn các Client thực hiện cập nhật bên trong mạng LAN.
Nội dung thực hiện
![Page 3: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/3.jpg)
Cài đặt WSUS Server thực hiện chức năng tự động cập nhật online các bản vá lỗi, các bản nâng cấp hệ điều hành, các phần mềm của Microsoft để cung cấp cho tất cả các máy tính trong mạng LAN (PC và Server).
Thiết lập các chính sách trên WSUS Server như: thời gian cập nhật các bản vá lỗi từ Microsoft hoặc từ các nguồn khác, loại bản vá được cập nhật (critical, security…), phân nhóm hệ điều hành các máy tính Client,...
Thiết lập các chính sách trên Domain Controller để áp đặt các PC và Server trong Domain cập nhật các bản vá (tải và cài đặt) một cách tự động, thời điểm các Client trong mạng LAN thực hiện cập nhật,…
1. Cài đặt WSUS và IIS trên Windows Server 2008 Quá trình cài đặt WSUS và IIS gồm:
Cài đặt role Web Server (IIS) và các role services liên quan
Cài đặt role Windows Server Update Services (WSUS)
Các bước thực hiện như sau:VàoComputer > Manager, trong cửa sổ Server Manager, chuột phải Roles >Add Roles. Sau đó chọn Next
![Page 4: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/4.jpg)
Chọn Windows Server Update Services. Tại cửa sổ Add role services required for Windows Server Update Services ?, chọn Add Required Role Services. Sau đó chọnNext liên tục
![Page 5: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/5.jpg)
Chọn Install và chờ cài đặt WSUS, IIS
![Page 6: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/6.jpg)
Tại cửa sổ Windows Server Update Services 3.0 sp2 Setup Wizard, chọn Next. Sau đó chọn Next liên tục cho đến khi quá trình cài đặt hoàn thành
![Page 7: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/7.jpg)
Chọn Finish. Chúng ta đã cài đặt 2 role IIS và WSUS
2. Cấu hình WSUS Server
![Page 8: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/8.jpg)
Quá trình cấu hình WSUS server gồm:
Chọn cập nhật từ Server của Microsoft
Chọn cập nhật qua Proxy Server:
Chọn ngôn ngữ bản cập nhật: English
Chọn sản phẩm cập nhật: windows 7, 8, windows server 2003, 2008, 2012, FEP..
Chọn bản cập nhật: critical updates, security updates
Chọn cách đồng bộ: theo lịch có sẵn 9h00 hàng ngày
Các bước thực hiện như sau:
Tại cửa sổ Windows Server Update Services Configuration Wizard, chọn Next
![Page 10: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/10.jpg)
Chọn Next, để WSUS server đồng bộ từ Microsoft
![Page 11: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/11.jpg)
Chọn Use a proxy server when synchronizing khi có hệ thống sử dụng proxy server, sau đó chọn NextHoặc không chọn Use a proxy server when synchronizing khi có hệ thống không proxy server, sau đó chọn Next
![Page 12: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/12.jpg)
Chọn Start Connecting
![Page 14: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/14.jpg)
Chọn ngôn ngữ của bản cập nhật là tiếng Anh (English), sau đó chọn Next
![Page 15: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/15.jpg)
Chọn sản phẩm (products) của Microsoft cần cập nhật như loại hệ điều hành, phần mềm…, sau đó chọn Next
![Page 16: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/16.jpg)
Chọn nhóm bản cập nhật cần thiết (Classification), sau đó chọn Next
![Page 17: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/17.jpg)
Chọn thời gian thiết lập đồng bộ và số lần thiết lập đồng bộ trong ngày giữa WSUS Server và Microsoft Server, sau đó chọn Next
![Page 20: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/20.jpg)
Chọn Finish
3. Cấu hình chính sách người dùngCấu hình chính sách trên Domain Controller:
Cho phép các máy PC tự đông tải và cài đặt các bản cập nhật theo lịch thiết lập sẵn
Cài đặt địa chỉ của WSUS Server
Các bước thực hiện như sau:Cấu hình chính sách (Group Policy) trên Domain Controller
![Page 21: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/21.jpg)
- Vào Start > Programs > Administrative Tools > Group Policy Management. - Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest: tên_miền > Domains > tên _miền.- chuột phải Default Domain Policy, chọn Edit
Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies > Administrative Templates: Policy Definations (ADMX files retrieved from local machine) > Windows Components > Windows Update, chuột phải Configure Automatic Updates, chọn Edit
![Page 22: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/22.jpg)
Tại cửa sổ Configure Automatic Updates, thiết lập chính sách, sau đó chọn OK
![Page 23: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/23.jpg)
Tiếp tục chuột phải Specify internet Microsoft update service location, chọn Edit
![Page 24: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/24.jpg)
Tại cửa sổ Specify internet Microsoft update service location, chọn Edit, thiết lập ip của WSUS Server, sau đó chọn OK
![Page 25: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/25.jpg)
Vào Run, thực hiện lệnh gpupdate /force để cập nhật ngay các chính sách mới
![Page 26: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/26.jpg)
4. Quản lý các máy tính trong mạng LAN và WSUS ServerQuá trình quản lý các máy tính trong mạng LAN và WSUS Server gồm:
Kiểm tra các máy tính trong mạng LAN đã kết nối đến WSUS Server chưa. Nếu các PC chưa kết nối đến WSUS Server, thực hiện các lệnh đồng bộ bằng tay từ các máy PC chưa kết nối
Kiểm tra phiên bản WSUS Server và cập nhật WSUS Server lên bản mới nhất
Thực hiện đồng bộ thông tin các bản cập nhật từ Microsoft Server về WSUS Server
Cho phép WSUS Server tải các bản cập nhật cần thiết cho hệ điều hành và các phần mềm từ Server của Microsoft. Sau đó kiểm tra WSUS Server đã tải hết các bản cập nhật đã được chọn hay chưa
Kiểm tra tình trạng cập nhật của các PC trong mạng LAN
Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN trên WSUS
Các bước thực hiện như sau:
Kiểm tra kết nối của các máy tính trong mạng LAN đến WSUS ServerKiểm tra cấu hình WSUS Server ban đầu. Vào All Programs > Adminitrative Tools > Windows Server Update Services
![Page 27: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/27.jpg)
Mặc định, các máy tính trong mạng LAN sẽ được đưa vào nhóm Unassigned Computers. Có thể tạo ra các Group Computer phân loại các hệ điều hành Windows và các Group Computer phân loại PC các Ban để dễ dàng quản lý. Chúng ta có thể kết hợp thêm với Active Directory Users and Computers, Group Policy Mangagement để thực hiện cập nhật cho từng Ban vào các thời điểm khác nhau.Thực hiện đồng bộ giữa máy client và WSUS server. Nhận thấy, khi mới cài đặt WSUS Server, có một số máy PC chưa kết nối đến WSUS Server. Khi đó, có thể vào PC đó, vào Run, thực hiện lệnhwuauclt /resetauthorization /detectnow để thực hiện kết nối PC đó đến WSUS Server. Trong trường hợp này, vào máy PC Windows 7 thực hiện lệnh:
![Page 28: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/28.jpg)
Sau khi thực hiện đồng bộ, chúng ta có kết quả máy PC Windows 7 đã được thêm vào mục Unassigned Computers trong WSUS Server
![Page 29: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/29.jpg)
Kiểm tra phiên bản WSUS ServerKhi máy PC và Server mới được thêm vào WSUS Server, phần Installed/ Not Applicable Percentage (phần trăm update đã được cài đặt/ không thích hợp) là 0% do WSUS server đang thực hiện phân tích trạng thái cập nhật của các máy PC và Server. Lúc này trạng thái của các PC và Server là Not yet Reported. Để thực hiện thông tin ngay tình trạng cập nhật đến WSUS Server, vào các PC và Server chưa gửi thông tin trạng thái cập nhật, vào Run, gõ lênh wuauclt /reportnow. Các PC và Server sẽ gửi ngay thông tin trạng thái cập nhật đến WSUS Server.Đôi khi, do phiên bản của WSUS Server thấp hơn so với phiên bản của PC và Server trong mạng LAN, nên trạng thái của PC và Server vẫn là Not yet Reported. Lúc này, cần cập nhật phiên bản cho WSUS Server, tối thiểu là phiên bản 3.2.7600.251. Để xem phiên bản WSUS Server, vào Help > About Update Service…
Nếu phiên bản hiện tại thấp hơn 3.2.7600.251, bạn thực hiện cập nhật WSUS Server
Để thực hiện cập nhật WSUS Server, chạy gói cập nhật KB2734608
![Page 30: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/30.jpg)
Sau khi chạy gói cập nhật, phiên bản hiện tại của WSUS Server là 3.2.7600.256
![Page 31: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/31.jpg)
Đồng bộ thông tin các bản cập nhật từ Microsoft Server về WSUS ServerSau khi các máy PC và Server đã được nằm trong Unassigned Computers của WSUS Server và đã thông báo tình trạng cập nhật đến WSUS Server, chúng ta có thông tin như sau:
![Page 32: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/32.jpg)
Ví dụ trong trường hợp trên: đối với máy PC Windows 7: tỉ lệ phần trăm số bản cập nhập đã được cài đặt hoặc không thích hợp là 90%, số bản cập nhật cần thiết là 234 bản tương ứng với 10%. Chúng ta tiến hành đồng bộ (Synchronize now) để xem thông tinsố bản cập nhật cần thiết cho các máy tính trong mạng LAN từ trang chủ Microsoft về WSUS Server có thay đổi không.
![Page 33: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/33.jpg)
Sau khi đồng bộ, chương trình sẽ thông báo thời gian cập nhật lần gần nhất và trạng thái cập nhật là thành công
![Page 34: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/34.jpg)
Tải các bản cập nhật từ Microsoft Server về WSUS ServerHiện tại, các máy PC (windows 7) và máy Server (windows server 2008) có 1840 security updates và 403 critical updates cần cập nhật.
![Page 35: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/35.jpg)
Thực hiện chấp nhật (Approve) các bản cập nhật cho máy PC, máy Server để tải các bản cập nhật từ trang chủ Microsoft về WSUS Server.
![Page 36: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/36.jpg)
Tại cửa sổ Approve Updates, chọn All Computers, Chọn Approved for Install,
![Page 37: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/37.jpg)
Sau đó chọn OK
Chờ quá trình chấp nhận các bản cập nhật
![Page 38: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/38.jpg)
Quá trình chấp nhận các bản cập nhật diễn ra thành công, sau đó chọn Close
Chờ các bản cập nhật được tải từ Microsoft Server về WSUS server
![Page 39: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/39.jpg)
Sau khi WSUS Server tải các bản cập nhật về xong, chúng ta nhận thấy số bản cập nhật cần thiết (needed) chưa được chấp nhật (Unapproved) là 0
![Page 40: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/40.jpg)
Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LANKiểm tra máy PC Windows 7. Trước khi cập nhật cho máy PC Windows 7
![Page 41: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/41.jpg)
Khi đến thời gian đồng bộ các bản cập nhật từ WSUS Server xuống PC Windows 7 (được thiết lập trong Group Policy của Domain Controller). Các bản cập nhật sẽ được tự động tải xuống PC. Sau khi các bản cập nhật đã được tải xuống PC, nếu chính sách trên Domain Controller là Auto Download and Notify for Install thì một thông báo sẽ được hiện lên yêu cầu bạn cập nhật các bản vá (với máy PC Windows 7).
Chọn Install updates,
![Page 42: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/42.jpg)
Quá trình cài đặt các bản cập nhật. Chú ý:bạn sẽ không nhận thấy quá trình này khi thực hiện cập nhật tự động theo lịch.
![Page 43: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/43.jpg)
Sau khi cài đặt xong, chọn Restart Now và chờ PC thực hiện hiện cài đặt
![Page 44: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/44.jpg)
Sau khi cập nhật xong, trạng thái cập nhật của PC Windows 7 như sau:
![Page 45: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/45.jpg)
Sau khi các bản cập nhật đã được tải xuống, nếu chính sách trên Domain Controller làAuto Download and Schedule for Install thì các bản vá sẽ được cập nhật một cách tự động theo thời gian đã định sẵn (với máy Windows Server 2008).Máy Windows Server tự động cài đặt bản cập nhật, thông báo đã cài đặt xong và yêu cầu restart.
![Page 46: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/46.jpg)
Chọn Restart Now và chờ máy Windows Server 2008 thực hiện cài đặt
![Page 47: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/47.jpg)
Sau khi cập nhật xong, trạng thái cập nhật của máy Windows Server 2008 như sau:
![Page 48: Triển khai wsus windows server update services](https://reader036.vdocuments.mx/reader036/viewer/2022081503/58a531de1a28aba8628b5e1f/html5/thumbnails/48.jpg)
Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN trên WSUS ServerSau khi các máy tính trong mạng LAN đã được cập nhật xong, chúng ta sẽ nhận được thông báo các máy tính đã ở trong tình trạng 100% được cập nhật, các bản cập nhật cần thiết là 0 (Update needed)