GIỚI THIỆU
Trong hệ thống mạng chuyên nghiệp, nhu cầu cập nhật các bản vá lỗi cho Windows và các ứng dụng là hết sức cần thiết để hệ thống có thể hoạt động ổn định nhất có thể. Trên các phiên bản Windows đều có chức năng Automatic Update cho phép tự động tải và cài đặt các bản vá lỗi (hotfix) từ Server Microsoft Update. Tuy nhiên trong trường hợp hệ thống lớn có rất nhiều máy tính đề cập nhật từ Server Microsoft Update sẽ gây ra hiệu ứng xấu cho đường truyền Internet như tốn băng thông và chậm chạp. Giải pháp sử dụng một Server cập nhật các hotfix từ Server Microsoft Update để cung cấp cho tất cả các máy tính trong mạng là hết sức cần thiết. Bài viết này sẽ giới thiệu thao tác cấu hình Windows Server Update Services (WSUS) trên Windows Server 2012 cho phép thực hiện giải pháp đó
Trong bài viết này tôi sẽ hướng dẫn thao tác cài đặt và cấu hình Windows Server Update Services (WSUS) trên Windows Server 2012.
Bài LAB sử dụng các máy tính sau
– 1 Máy Windows Server 2012 Domain Controller của domain mcthub.local (DC2012, IP 172.16.0.10) (Máy này sẽ đảm nhận WSUS và cập nhật các hotfix từ Server Microsoft Update và phục vụ cho toàn bộ máy tính trong mạng).
– 1 hoặc 2 Máy Windows 8 đã join domain (CLIENT1 và CLIENT2): Các máy này đóng vai trò Client sẽ cập nhật hotfix từ Server (DC2012)
Bài LAB gồm các bước chính sau đây
– Cài đặt WSUS
– Cấu hình WSUS
– Cấu hình Client bằng Group Policy Object (GPO)
– Tạo Computer Group
– Approve updates
TRIỂN KHAI CHI TIẾT
1- Cài đặt WSUS
Do WSUS sử dụng account NETWORK SERVICE để lưu trữ các file tạm nên bạn cần phân quyền Full Control cho account này trên 2 thư mục C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files và C:\Windows\Temp
Phân quyền Full Control cho account NETWORK SERVICE trên 2 thư mục C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files
Phân quyền Full Control cho account NETWORK SERVICE trên 2 thư mục C:\Windows\Temp
Tiếp theo bạn tiến hành cài đặt WSUS bằng cách mở Server Manager – Manage – Add Roles and Features
Hộp thoại Select server roles: Chọn Windows Server Update Services
Cài đặt các Feature cần thiết cho WSUS – Nhấn Add Features
Hộp thoại Select role services: Chấp nhận 2 thành phần mặc định là WID (Windows Internal Database) và WSUS Servies – Next
Hộp thoại Content location selection: Chỉ định một thư mục tùy ý để lưu trữ các bản update – Next
Nhấn nút Install để bắt đầu cài đặt
Sau khi quá trình cài đặt hoàn tất, nhấn Launch Post-Installation task
Chờ đợi quá trình cấu hình server
Khi quá trình thành công, hộp thoại sẽ hiển thị "Configuration successfully completed" – Nhấn Close
2- Cấu hình WSUS
Mở WSUS từ Server Manager
Bắt đầu tiến trình cấu hình WSUS. Màn hình Before You Begin, bạn nhấn Next.
Màn hình Join the Microsoft Update Improvement Program, bỏ chọn ô Yes, I would like to join the Microsoft Update Improvement Program. Nhấn Next
Màn hình Choose Upstream Server, bạn chọn ô Synchronize from Microsoft Update để download các bản cập nhật từ Server Microsoft – Nhấn Next
Màn hình Specify Proxy Server, do truy cập Internet trược tiếp không thông qua Proxy server nên bạn không cần chọn dấu chọn ở ô Use a proxy server when synchronizing – Nhấn Next
Màn hình Connect to Upstream Server, bạn nhấn vào nút Start Connecting để kết nối đến server Microsoft update
Chờ đợi quá trình kết nối, quá trình này mất khá nhiều thời gian và phụ thuộc vào tốc độ đường truyền Internet.
Sau khi kết nối thành công, nhấn Next
Màn hình Choose Languages, bạn chọn Download Updates only in these languages, sau đó lựa chọn ngôn ngữ cho bản cập nhật, tôi chỉ chọn English – Nhấn Next
Màn hình Choose Products, bạn lựa chọn sản phẩm cần download các bản Update. Trong bài LAB này tôi chỉ muốn cập nhật cho các máy tính chạy Windows 8 nên tôi bỏ tất cả các dấu check có sẵn và chỉ đánh dâu Windows 8 – Nhấn Next
Màn hình Choose Classifications, bạn chọn loại Update. Trong bài LAB này, để tiết kiệm thời gian download nên tôi chỉ chọn Critical Updates. Nhấn Next
Màn hình Set Sync Schedule, bạn chọn Synchronize automatically, sau đó đặt thời gian để lập lịch tùy ý để WSUS server tự động cập nhật với Microsoft Update, tôi chọn 1 giờ sáng và mỗi ngày thực hiện đồng bộ 1 lần – Nhấn Next
Màn hình Finish, bạn đánh dấu chọn vào ô Begin initial synchronization, chương trình sẽ bắt đầu download các bản update đã chỉ định ở bước trước
Chọn Synchronizations, quan sát và chờ đợi quá trình download hoàn tất, thời gian chờ đợi phụ thuộc vào số lượng Update được chọn và tốc độ đường truyền Internet của bạn.
Sau khi hoàn tất, chọn Synchronizations, kiểm tra trạng thái thành công (Succeeded).
Chọn Updates – All Updates . Mục Approval chọn Any Except Declined, mục Status chọn Any. Nhấn nút Refresh bạn sẽ thấy các bản update đã download được từ Microsoft.
3- Cấu hình Client bằng Group Policy Object (GPO)
Mở Active Directory Users and Computers, tạo OU tên là WSUS Clients, sau đó bạn di chuyển các Computers Client vào OU này
Tiếp theo, mở Group Policy Management, nhấn chuột phải vào OU WSUS Clients, chọn Create a GPO in this domain, and Link it here
Ở khung New GPO, bạn đặt tên GPO và nhấn OK
Chuột phải vào GPO vừa tạo, chọn Edit.
Ở khung bên trái, bạn lần lượt bung Computer Configuration – Policies – Administrative Templates – Windows Components – Windows Update, ở khung bên phải, bạn nhấn chuột phải vào mục Configure Automatic Updates, chọn Edit
Qui định các Client sẽ tự động Download Update và cài đặt vào lúc 1 giờ trưa hằng ngày – Nhấn OK
Chuột phải vào mục Specify intranet Microsoft update service location, chọn Edit.
Do WSUS sử dụng HTTP port 8530, bạn nhập vào URL WSUS Server cho 2 mục Set the intranet update service for detecting services và Set the Intranet static server là http://IP của server:8530 – Nhấn OK
Cập nhật policy bằng lệnh GPUPDATE /FORCE
Sang máy client, kiểm tra client có được áp đặt policy hay không bằng lệnh GPRESULT /R và bảo đảm trong mục COMPUTER SETTINGS có GPO Configure WSUS
Sau khi cấu hình GPO, sẽ mất một khoảng thời gian khá lâu để các máy client có thể xuất hiện trong mục Computers trên WSUS Console. Đối cới những client được áp dụng GPO, sẽ mất khoảng 20 phút để GPO được cập nhật. Để không phải chờ đợi lâu, trên các máy client bạn có thể dùng lệnh GPUPDATE /FORCE để cập nhật policy và lệnh WUAUCTL /DETECTNOW để tiến hành cập nhật nhanh. Tuy nhiên quá trình này cũng có thể mất khá nhiều thời gian, bạn nên kiển nhẫn chờ đợi hoặc thực hiện tiếp các bước tiếp theo và quay lại kiểm tra sau.
Sau khi cập nhật client, chuyển sang server, chọn Computers – All Computers – Mục Status chọn Any – Nhấn nút Refresh bạn sẽ thấy danh sách các client đã được cập nhật. Nếu chưa cập nhật, bạn có thể thực hiện tiếp các bước tiếp theo (bỏ qua bước đưa client vào group) và quay lại kiểm tra sau.
4- Tạo Computer Group
Trong hệ thống mạng, các client có thể chạy nhiều hệ điều hành khác nhau (Windows 8, Windows 7, Windows XP hay Windows Server 2012). Mỗi Hệ điều hành cần cập nhật các bản update khác nhau. Vì vậy bạn cần phân loại các client dựa vào hệ điều hành bằng cách tạo các Computer Group
Bung mục Computers, nhấn chuột phải vào All Computers, chọn Add Computer Group
Hộp thoại Add Computer Group, ở mục Name, đặt tên cho Computer Group – Nhấn OK
Chọn máy tính Client để đưa vào Computer Group, nhấn phải chuột chọn Change Membership
Chọn Group Windows 8 Clients sau đó nhấn OK.
Kiểm tra máy Client đã được đưa vào Computer Group Windows 8 Clients.
5- Approve updates
Để cho phép các máy client download và cài đặt các update, bạn cần approve các ban update cho các computer group chỉ định. Chọn Updates – All Updates, chọn các bản Update cần Approve – Chuột phải và chọn Approve
Chỉ định Computer Group cần Approve – Chọn Approved for install
Nhấn OK
Chờ đợi quá trình approve, quá trình này có thể nhanh hay chậm tùy thuộc vào số lượng các bản update mà bạn approve
Kiểm tra các Update đã được Approve – Nhấn Close
Như vậy dựa vào các cấu hình vừa rồi, WSUS server hàng ngày vào lúc 1 giờ sáng sẽ tự động đồng bộ với server của Microsoft để cập nhật các bản update mới, các máy client sẽ tự động download các bản update từ WSUS server và tự động cài đặt các bản update đó vào lúc 1 giờ trưa hàng ngày.