TÌM HIỂU WINDOWS SERVER UPDATE SERVICE TRONG WINDOWS SERVER 2008 Managing Software Update ICT24H TEAM 2010
Công nghệ càng ngày càng phát triển dẫn đến máy tính càng ngày càng dễ dàng quản lý hơn. Phần cứng cũng như phần mềm đáng tin cậy hơn, các hệ điều hành dễ dàng sử dụng hơn và xuất hiện nhiều các công cụ quản trị tự động hóa hơn (chẳng hạn tự động chống phân mảnh ổ cứng). Tuy nhiên, các công cụ và ứng dụng ngày một phát triển và thay đổi, sửa lỗi, cập nhật.điều này kéo theo sự duy trì, cập nhật thường xuyên các ứng dụng. Hậu quả xảy ra là khá lớn nếu như không cập nhật các chương trình, các phần mềm. Nếu máy tính không được cập nhật, kẻ tấn công có thể khai thác các lỗ hổng và xâm nhập. Để giúp bạn có thể cập nhật tập trung hóa, giảm thiểu thời gian quản lý, Microsoft cung cấp công nghệ Windows Server Update Services (WSUS). WSUS cho phép bạn download, phê chuẩn (sau khi bạn đã kiểm nghiệm bản cập nhật) và phân phối các bản cập nhật này cho toàn bộ máy tính client trong hệ thống Những bài học trong chương này sẽ cho bạn cái nhìn tổng quát về WSUS cũng như lên kế hoạch triển khai cập nhật cho hệ thống. Chủ đề chính Cấu hình Windows Server Update Services (WSUS). Những bài học Bài học 1: Tìm hiểu về Windows Server Update Services. Bài học 2: Sử dụng Windows Server Update Services. Trước khi bắt đầu Để hoàn thành các bài học, bạn nên thực hiện các công việc sau: Cài đặt Windows Server 2008. Nâng cấp lên domain controller và join các máy tính vào domain. Tên server là SERVER và có domain là ict24h.net Page 1
BÀI HỌC 1: TÌM HIỂU VỀ WINDOWS SERVER UPDATE SERVICES Trước khi triển khai Windows Server Update Services (WSUS), bạn phải hiểu được các thành phần của client và server được cấu hình như thế nào trong các môi trường khác nhau. Nếu không có một kế hoạch cụ thể, việc cập nhật sẽ khiến bạn tốt nhiều thời gian, băng thông hoặc có thể thất bại trong việc cài đặt. Bài học này cung cấp cho bạn cái nhìn tổng quát và các thông tin về WSUS. Nếu bạn đã quen thuộc với những phiên bản WSUS trước, WSUS 3.0 Service Pack 1 cung cấp cho bạn khá nhiều chức năng. Hầu hết quản lý trên giao diện, bạn không còn phải quản lý trên trình duyệt Web. Thêm vào đó, WSUS cho phép bạn linh họat trong việc triển khai các bản cập nhật đến các máy tính. Sau bài học này, bạn sẽ: Hiểu được mục đích của WSUS. Cấu hình WSUS client. Thiết kế cấu trúc WSUS đáp ứng nhu cầu cho cả doanh nghiệp nhỏ cũng như quy mô lớn. Liệt kê các client và server cần thiết cho WSUS. Tìm hiểu các công cụ xác định trạng thái cập nhật của các máy tính client trong mạng. Thời lượng cho bài học: 15 phút. Tổng quan về WSUS Windows Server Update Services (WSUS) được phát triển từ dịch vụ Microsoft Update một dịch vụ trong Windows cho phép tự động download các bản cập nhật. Bạn có thể chạy WSUS trên mạng nội bộ và sử dụng nó để phân phối các bản cập nhật cho các máy tính, bạn có thể sử dụng băng thông hiệu quả và kiểm soát các bản cập nhật trên các máy tính client. Khi chạy WSUS, nó kết nối đến website Microsoft Update, download các thông tin về các bản cập nhật mới nhất, sau đó thêm chúng vào danh sách cập nhật để quản trị viên phê chuẩn. Sau khi quản trị viên chấp nhận và thiết lập ưu tiên cho các bản cập nhật này, WSUS sẽ tự động cài đặt chúng trên các máy tính chạy Windows. Dịch vụ Windows Update trong máy tính clien sẽ kiểm tra WSUS server và tự động download các bản cập nhật từ server về, cuối cùng là cài đặt các bản cập nhật này. Bạn có thể thiết lập WSUS cho đồng thời nhiều server và có thể mở rộng từ doanh nghiệp nhỏ cho đến doanh nghiệp lớn. Windows Update trên client Windows Update là một thành phần thuộc WSUS trên client có chức năng nhận các phần mềm, các bản cài đặt từ WSUS server, xác nhận bằng chữ kí tiện tử hoặc thuật toán Secure Hash Algorithm (SHA1), thông báo đến người dùng về các bản cập nhật và cài đặt nó (nếu được cấu hình). Windows Update cài đặt các bản cập nhật ở thời gian mà bạn thiết lập và có thể tự động khởi động lại máy tính nếu cần thiết. Nếu ở thời điểm hiện tại máy tính tắt, các bản cập nhật có thể cài đặt khi máy tính đã được bật. Chú ý: WSUS client ở các phiên bản Windows trước Trong Windows XP và Windows 2000, thành phần của WSUS trên client có tên gọi là Automatic Updates. Page 2
Vì các thiết lập Windows Update được áp dụng cho tất cả các máy tính trong doanh nghiệp nên sử dụng Group Policy để thiết lập là phương pháp tốt nhất. Thiết lập Windows Update tại Computer Configuration > Administrative Templates > Windows Components > Windows Update. Các thiết lập Windows Update trong Group Policy gồm : Do not display Install Update and Shut Down option in Shut Down Windows dialog box: cho phép bạn quản lý tùy chọn Install Updates và Shut Down hiển thị ở hộp thoại Shut Down của Windows. Do not adjust option to Install Updates and Shut Down in Shut Down Windows dialog box: thay đổi tùy chọn shut down mặc định Install Updates and Shut Down khi Windows Update chuẩn bị cài đặt một bản cập nhật. Enabling Windows Update Power Management to automatically wake up the system to install scheduled updates : nếu nhân viên trong công ty của bạn thường có thói quen shut down máy tính của họ khi rời khỏi văn phòng. Bật thiết lập này để cấu hình các máy tính hỗ trợ tự động khởi động và cài đặt các bản cập nhật ở một thời gian đã được lên lịch. Các máy tính sẽ không được bật nếu không có bản cập nhật nào để cài đặt. Nếu máy tính chạy với năng lượng của pin, máy tính sẽ tự động trở về trạng thái sleep sau 2 phút. Configure Automatic Updates: xác định những máy tính client sẽ được nhận các bản cập nhật bảo mật và các bản download quan trọng khác từ dịch vụ Windows Update. Bạn cũng có thể sử dụng thiết lập này để cấu hình nhắc nhở người dùng cài đặt các bản cập nhật hoặc từ động cài đặt thông qua Windows Update. Specify intranet Microsoft update service location: xác định WSUS server. Automatic Updates detection frequency: thiết lập thời gian để Windows Update kiểm tra những bản cập nhật mới. Thời gian mặc định là từ 17 đến 22 giờ. Allow non-administrators to receive update notifications: thiết lập cho tất cả người dùng hoặc chỉ có quản trị viên nhận được thông báo cập nhật. Page 3
Turn on Software Notification: thiết lập cho phép bạn kiểm soát người dùng có thể nhận được thông báo về các tính năng của phần mềm từ Microsoft Update. Allow Automatic Updates immediate installation: thiết lập Automatic Update tự động cài đặt các bản cập nhập mà không cần phải khởi động lại máy tính. Turn on recommended updates via Automatic Updates: xác định các máy tính client cài đặt cả những bản cập nhật cần thiết và bản vá lỗi, bao gồm cả cập nhật các driver. No auto-restart with logged on users or scheduled automatic updates installations: thiết lập lịch cài đặt, Windows Update chờ người dùng khởi động máy tính khi họ đăng nhập vào, kể cả tự động khởi động. Re-prompt for restart with scheduled installations: thiết lập nhắc nhở người dùng khởi động lại máy tính trong khoảng thời gian nào đó. Tùy thuộc vào một số thiết lâp, thiết lập này có thể khiến người dùng ngừng việc tự khởi động. Tuy nhiên, Windows Update sẽ tự động yêu cầu họ khởi động dựa trên thiết lập này. Delay Restart for scheduled installations: thiết lập thời gian Windows Update chờ trước khi tự động khởi động lại. Reschedule Automatic Updates scheduled installations: thiết lập số lần chờ của Windows Update trước khi tiếp tục theo lịch cài đặt. Enable client-side targeting: thiết lập các nhóm hoặc tên máy tính sẽ được nhận các bản cập nhật từ dịch vụ Microsoft Update. Allow signed updates from an intranet Microsoft update service location: thiết lập cho phép cài đặt các bản cập nhật sử dụng chứng thực. Cấu trúc WSUS WSUS có thể mở rộng từ doanh nghiệp nhỏ cho đến doanh nghiệp lớn đa quốc gia. Trên thực tế, bạn cần sử dụng mỗi WSUS cho một chi nhánh văn phòng với hơn 10 máy tính và một WSUS độc lập cho mỗi phòng IT để kiểm soát cập nhật. Bạn cũng không cần thiết phải có những WSUS server dự phòng, tuy nhiên bạn cũng cần sao lưu cơ sở dữ liệu WSUS để có thể khôi phục khi gặp rủi ro. Doanh nghiệp với một văn phòng duy nhất Nếu doanh nghiệp chỉ có một văn phòng, bạn có thể sử dụng một WSUS server duy nhất mà không cần quan tâm đến số máy tính client trong doanh nghiệp là bao nhiêu. Doanh nghiệp với nhiều văn phòng Nếu bạn sử dụng một WSUS server duy nhất để hỗ trợ cho tất cả client ở các văn phòng, mỗi client sẽ cần phải download các bản cập nhật thông qua kết nối WAN. Việc download có thể tốn khoảng vài trăm MB. Vì kết nối WAN sẽ làm đường truyền chậm hơn so với kết nối mạng LAN, download các bản cập nhật lớn thông qua WAN sẽ ảnh hưởng không nhỏ đến thời gian và đường truyền. Nếu băng thông của bạn thấp, các client có thể sẽ không nhận được các bản cập nhật. Để cho phép các client nhận các bản cập nhật trong mạng LAN, cấu hình một WSUS server cho mỗi chi nhánh văn phòng và cấu hình WSUS server để nhận các bản cập nhật theo một cấu trúc phân cấp từ Page 4
những server chính. Và với cách làm theo cấu trúc phân cấp sẽ đem lại cho bạn sự hiệu quả trong việc kết nối thông qua WAN. Hệ thống WSUS server toàn cầu. Page 5
Cấu trúc phân cấp WSUS server Trong cấu trúc trên, chỉ có server WSUS tại Boston có thể nhận các bản cập nhật từ Microsoft. Tất cả công việc cập nhật được vận hành bởi server WSUS ở Boston. Các server phía dưới sẽ nhận thông tin cập nhật từ những server trên nó, chẳng hạn với sơ đồ trên, server ở Los Angeles (downstream server) sẽ nhận các bản cập nhật từ server ở Boston (upstream server). Tương tự, server ở Argentina (downstream server) sẽ nhận các bản cập nhật từ server Costa Rica (upstream server). Để cung cấp các bản cập nhật cho văn phòng nhỏ không có WSUS server, bạn cần phải cấu hình các máy tính client để download bản cập nhật từ WSUS server gần nhất. Nếu văn phòng của bạn có đường truyền Internet nhanh, bạn có thể cân nhắc việc có hay không nên triển khai bản sao về WSUS nội bộ để lưu trữ các bản cập nhật, bạn có thể cho các client nhận các bản cập nhật trực tiếp từ Microsoft. Các điều kiện cần thiết để triển khai WSUS Khi lên kế hoạch triển khai WSUS, bạn cần có các điều kiện sau: WSUS server phải được kế nối Internet (truy cập vào website Microsoft Update). Các downstream server phải thiết lập kết nối với các upstream server và sử dụng giao thức HTTP (TCP port 80) hoặc sử dụng SSL (TCP port 443). Các máy tính client phải kết nối mạng cục bộ (HTTP hoặc HTTPS) Các máy tính client phải là một trong các hệ điều hành sau: o Windows 2000 Service Pack 3 hoặc Service Pack 4 o Windows XP Professional o Windows Vista Page 6
o Windows Server 2003 o Windows Server 2008 Nếu máy tính client đứt kết nối trong mạng trong khoảng thời gian nào đó (ví dụ nếu một chuyên gia nào đó nghỉ phép hoặc một nhân viên làm việc tại nhà trong một tháng và không kết nối đến mạng VPN), client cũng sẽ không thể download các bản cập nhật. Bạn cần cấu hình các máy tính tự động cài đặt các bản cập nhật từ website Microsoft hoặc sử dụng NAP và yêu cầu các máy tính phải cập nhật trước khi kết nối đến mạng cục bộ. Lên kế hoạch cài đặt WSUS Trong suốt quá trình cài đặt WSUS, bạn cần lưu ý một số vấn đề sau: Cập nhật source: WSUS có thể nhận các bản cập nhật trực tiếp từ trang web Microsoft Update hoặc từ một WSUS server khác. Bạn nên cân nhắc và chọn phương pháp để giảm băng thông. Nếu 2 WSUS server kết nối trong LAN, có 1 trong 2 server nhận bản cập nhật từ Microsoft Update và server còn lại có thể nhận bản cập nhật từ server thứ nhất. Nếu bạn sử dụng WSUS cho 3 chi nhánh văn phòng và kết nối VPN thông qua Internet, đây là cách hiệu quả chi mỗi văn phòng khi download các bản cập nhật trực tiếp từ Microsoft vì download các bản cập nhật cần phải có kết nối Internet. Cấu trúc WSUS của bạn phải có sự sắp xếp hợp lí, các downstream server sẽ nhận các bản cập nhật từ các upstream server. Phê chuẩn và cấu hình nhân bản: nếu bạn sử dụng nhiều WSUS server và cấu hình các server nhận các bản cập nhật từ một WSUS server nào đó, bạn có thể chọn việc đồng bộ các phê chuẩn, thiết lập, máy tính và các nhóm trong cấu trúc phân cấp WSUS server. Nếu bạn cấu hình một server đóng vai trò là một bản sao, bạn không cần phê chuẩn các bản cập nhật từ trên WSUS server. Cập nhật lưu trữ: WSUS có thể sao chép bản cập nhật từ Microsoft và lưu trữ chúng vào server hoặc lưu trữ vào chính các máy tính client download các bản cập nhật từ Microsoft. Nếu bạn chọn lưu trữ các bản cập nhật trong server, WSUS server cần tối thiểu 6 GB dung lượng trống trong ổ cứng (mặc dù con số thực tế có thể lớn hơn, tùy thuộc vào các bản cập nhật từ Microsoft cũng như các gói ngôn ngữ cần thiết). Việc lưu trữ các bản cập nhật trong server có thể được xem là một cách giảm thiểu băng thông Internet vì các client nhận bản cập nhật thông qua LAN. Cơ sở dữ liệu: mặc định WSUS lưu trữ danh sách các bản cập nhật trong Windows Internal Database. Bạn cần tối thiểu 3 GB dung lượng trống trong ổ cứng để lưu trữ Windows Internal Database mặc dù thực tế khoảng 1 GB. Bạn có thể sử dụng server để lưu trữ cơ sở dữ liệu (chẳng hạn như Microsoft SQL Server). Chú ý: Mặc định, đường dẫn cơ sở dữ liệu trong WSUS C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf Website: triển khai WSUS cần phải có IIS vì các máy tính client nhận các bản cập nhật bằng cách sử dụng giao thức HTTP hoặc HTTPS. Nếu bạn không sử dụng IIS trên WSUS server để tạo ra website mới vì một mục đích nào đó, bạn có thể sử dụng website mặc định trong IIS. Page 7
Ngôn ngữ: Các bản cập nhật có thể có những gói ngôn ngữ riêng đi kèm. Để giảm thiểu dung lượng ổ cứng sử dụng, bạn nên chọn download chỉ một gói ngôn ngữ cần thiết để các máy tính client có thể truy cập đến WSUS server dễ dàng. Bạn không nên chọn tất cả các ngôn ngữ vì tổng dung lượng và băng thông cần thiết sẽ rất cao. Sản phẩm: Microsoft Update cung cấp cho bạn một thư viện sản phẩm đa dạng không chỉ là các hệ điều hành Windows. Chẳng hạn là các bản cập nhật Exchange Server, ISA Server, SQL Server và Office. Bạn chỉ nên chọn những ứng dụng và hệ điều hành cần sử dụng trong doanh nghiệp để giảm thiểu dung lượng ổ cứng. Kiểm nghiệm việc cập nhật Sau khi triển khai WSUS, một số máy tính client có thể sẽ không thể cập nhật được vì việc cài đặt các bản cập nhật thất bại, nguyên nhân có thể do các máy tính client này chưa được cấu hình, không thuộc Active Directory hoặc đứt kết nối trong một thời gian dài. Bạn có thể sử dụng một số kĩ thuật để xác định các trường hợp trên: Giao diện Windows Update: bạn có thể sử dụng Computer and Report trong giao diện này để xác định các máy tính client chưa được cài đặt các bản cập nhật. Microsoft System Center Configuration Manager 2007 (SCCM 2007): SCCM 2007 là phiên bản mới nhất của Microsoft trong hệ thống các sản phẩm quản trị hệ thống tập trung. SCCM 2007 cung cấp cho bạn thông tin chi tiết về các bản cập nhật và các ứng dụng trên các máy tính. SCCM 2007 là sản phẩm tốt nhất cho doanh nghiệp. Bạn có thể xem thêm về SCCM tại:http://www.microsoft.com/systemcenter/configurationmanager/en/us/sms.aspx Microsoft Baseline Security Analyzer (MBSA): MBSA tự động kiểm tra và xác định các vấn đề lỗi về cập nhật và các lỗ hổng bảo mật trong cấu hình. MBSA sẽ quét toàn mạng và cho phép bạn có thể xem được những máy tính nào chưa nằm trong vùng kiểm soát. Bạn có thể download MBSA tại : http://www.microsoft.com/mbsa/. Network Access Protection (NAP): bạn có thể sử dụng NAP và kết hợp với công cụ xác thực trạng thái của máy tính (Windows System Health Validator, công cụ này có thể xác nhận các máy tính nào vừa cài đặt các bản cập nhật. Tổng quan bài học WSUS cho phép bạn lưu trữ và phân phối các bản cập nhật từ Microsoft thông qua mạng, giúp bạn giảm thiểu được băng thông Internet. Thêm vào đó, WSUS còn cho bạn kiểm soát mỗi khi cập nhật và triển khai trên các máy tính client. Dịch vụ Windows Update trên client nhận các bản cập nhật từ WSUS server. Tuy thuộc vào cách cấu hình Windows Update mà bạn có thể thông báo đến người dùng những bản cập nhật nào đã được cài đặt hoặc tự động cài đặt mà không cần tương tác bởi người dùng. Bạn có thể cấu hình Windows Update với Group Policy. Page 8
Bạn có thể sử dụng chỉ một WSUS server duy nhất. Ngoài ra, triển khai một WSUS server độc lập cho mỗi văn phòng giúp bạn giảm thiểu được băng thông Internet. Thêm vào đó, WSUS server được cấu hình nhân bản hoặc có thể tự động. Với các trường hợp này, bạn cần thiết kế cấu trúc downstream và upstream như đã giới thiệu ở phần Cấu trúc WSUS. Một số nguyên nhân có thể khiến các máy tính client không thể cài đặt các bản cập nhật. Để kiểm tra, xác định các client đó, bạn có thể sử dụng giao diện WSUS, SCCM 2007, MBSA hoặc NAP. Trắc nghiệm 1. Bạn là kĩ sư hệ thống cho doanh nghiệp cung cấp các sản phẩm video. Doanh nghiệp của bạn có 6 văn phòng và một phòng IT quản lý tất cả 1200 máy tính client. Mỗi văn phòng có 200 máy tính. Mô hình WAN của bạn sử dụng cấu trúc hub-and-spoke, với mỗi văn phòng được kết nối trực tiếp đến trụ sở chính. Bạn có thể thiết kế cấu trúc WSUS như thế nào? A. Triển khai một WSUS server cho mỗi văn phòng. Cấu hình các WSUS server này được quản lý bởi mỗi văn phòng đó và được hỗ trợ từ phòng IT. B. Triển khai một WSUS server ở trụ sở chính. Cấu hình tất cả các máy tính client nhận các bản cập nhật trực tiếp từ Microsoft. C. Triển khai một WSUS server ở trụ sở chính. Cấu hình tất cả các máy tính client nhận các bản cập nhật trực tiếp từ WSUS server. D. Triển khai một WSUS server cho mỗi văn phòng. Cấu hình một WSUS server là bản sao của WSUS server ở trụ sở chính. 2. Bạn là kĩ sư hệ thống và công việc của bạn là cấu hình và quản lý cập nhật cho doanh nghiệp. Bạn cần sử dụng Group Policy để cấu hình các client download các bản cập nhật và cài đặt chúng tự động mà không cần nhắc nhở người dùng. Thiết lập nào trong Group Policy giúp bạn làm điều này? A. Allow automatic update immediate installation. B. Configure Automatic Updates. C. No auto-restart for scheduled automatic updates. D. Enable client-side targeting. 3. Phiên bản nào mà bạn có thể sử dụng để triển khai các máy tính client download các bản cập nhật từ WSUS. A. Windows 95 B. Windows 98 C. Windows 2000 Professional D. Windows XP Professional Page 9
BÀI HỌC 2: SỬ DỤNG WINDOWS SERVER UPDATE SERVICES Với Windows Server 2008, bạn có thể cài đặt WSUS bằng cách sử dụng Server Manager và quản lý nó trong giao diện Update Services. Phiên bản mới WSUS chạy trên Windows Server 2008 cung cấp cho bạn nhiều tính năng cũng như giao diện người dùng thân thiện. Sau bài học, bạn sẽ: Cài đặt WSUS trên Windows Server 2008. Cấu hình các nhóm máy tính, phê chuẩn bản cập nhật và xem các báo cáo WSUS. Xử lí sự cố khi cho cả client và server khi gặp vấn đề về cài đặt các bản cập nhật. Thời lượng bài học: 40 phút Cài đặt Windows Server Update Servers Bạn có thể download WSUS miễn phí tại http://www.microsoft.com/wsus. Sau khi cài đặt bạn cần đồng bộ cập nhật từ Microsoft Update. Thực hiện các bước sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services. 2. Chọn server và click vào liên kết Synchronize Now. Quá trình đồng bộ diễn ra vài phút (cũng có thể nhiều hơn 1 giờ). Sau khi đồng bộ, bạn có thể bắt đầu quản lý WSUS. Cấu hình Windows Server Update Services Sau khi cài đặt WSUS và thực hiện đồng bộ hóa, bạn bắt đầu thực hiện cấu hình WSUS: 1. Mở bảng cấu hình WSUS. 2. Cấu hình các nhóm máy tính được phân phối các bản cập nhật ở những thời điểm khác nhau. 3. Cấu hình các máy tính client nhận các bản cập nhật từ WSUS server. 4. Sau khi kiểm tra cập nhật, phê chuẩn hoặc hủy bỏ các cập nhật. 5. Xem các bảng báo cáo để xác nhận các bản cập nhật đã được phân phối thành công và xác định các vấn đề lỗi. Page 10
Cấu hình WSUS Option Bạn có thể cấu hình các tùy chọn theo từng mục sau: Update Source and Proxy Server: cấu hình các upstream server hoặc cấu hình WSUS server nhận các bản cập nhật từ Microsoft. Tại đây, bạn có thể thay đổi các thiết lập nếu không còn sửa lại cấu trúc WSUS. Products and Classifications: chọn các bản cập nhật Microsoft mà bạn muốn WSUS download. Bạn nên chọn thiết lập này khi bắt đầu hỗ trợ cho một sản phẩm mới từ Microsoft hoặc ngừng hỗ trợ đối với một sản phẩm nào đó (chẳng hạn là một phiên bản Microsoft Office cũ) Update Files and Languages: chọn nơi lưu trữ các bản cập nhật và gói ngôn ngữ của bản cập nhật. Synchronization Schedule: cấu hình tự động đồng bộ các bản cập nhật từ những upstream server. Page 11
Automatic Approval: cấu hình tự động phê chuẩn các bản cập nhật. Ví dụ, bạn có thể cấu hình những bản cập nhật vá lỗi bảo mật được tự động phê chuẩn và cài đặt. Bạn chỉ nên chọn thiết lập này nếu như bạn đã quyết định bỏ qua bước kiểm nghiệm cập nhật. Computer: chọn những máy tính từ nhóm nào đó thông qua giao diện Update Services hoặc Group Policy. Server Cleanup Wizard: WSUS sẽ tích lũy các bản cập nhật không còn cần thiết và các máy tính không còn hoạt động trong thời gian ngoài giờ làm việc. Trong thiết lập này, bạn có thể xóa bỏ những bản cập nhật đã quá hạn hoặc không cần thiết với mục đích dọn dẹp ổ cứng cũng như giảm dung lượng cơ sở dữ liệu WSUS. Reporting Rollup: mặc định, downstream server sẽ gửi các bản báo cáo thông tin lên upstream server. Bạn có thể sử dụng thiết lập này để cấu hình cho từng server có thể quản lý được các bản báo cáo dữ liệu. E-mail Notifications: WSUS có thể gửi e-mail mỗi khi những bản cập nhật mới được đồng bộ hóa, những thông tin quản trị để phê chuẩn, kiểm nghiệm các bản cập nhật này. Thêm vào đó, sử dụng thiết lập này để gửi các bản báo cáo trạng thái cập nhật hàng ngày hoặc hàng tuần. Microsoft Update Improvement Program: mặc định bị vô hiệu hóa, bạn có thể bật thiết lập này lên để gửi cho Microsoft những thông tin chi tiết về quá trình cập nhật trong doanh nghiệp của bạn, bao gồm số lượng máy tính đã hoàn thành và chưa hoàn thành càu đặt đối với mỗi bản cập nhật. Microsoft sẽ sử dụng những thông tin này để nâng cao và cải thiện quy trình cập nhật. Personalization: trên trang này bạn có thể cấu hiện cho phép hiển thị các dữ liệu từ downstream server. Bạn có thể chọn các thành phần nào được hiển thị trong danh sách To do lisy that appears khi bạn click chọn vào WSUS server trên giao diện Update Services. WSUS Server Configuration Wizard: cho phép bạn cấu hình lại WSUS. Cấu hình các nhóm máy tính Trong đa số các môi trường, bạn sẽ không thể triển khai tất cả các bản cập nhật đến tất cả các client trong một lần. Để cho bạn kiểm soát được khả năng nhận các bản cập nhật của máy tính, WSUS 3.0 cho phép bạn cấu hình các nhóm máy tính và triển khai cập nhật đến một hoặc nhiều nhóm. Bạn có thể tạo thêm các nhóm phân loại theo nhãn hiệu máy tính hoặc các phòng ban trong doanh nghiệp. Bạn có thể tạo các nhóm theo các và áp dụng các quy trình cập nhật, có thể như sau: Kiểm tra thử nghiệm: triển khai cập nhật trên mô hình lab để thử nghiệm. Việc này cho phép bạn xác định được khả năng làm việc ổn định hay không. Sau đó bạn có thể kiểm nghiệm trên một máy tính sau khi cài đặt các bản cập nhật. Thí điểm: sau khi kiểm nghiệm, bạn sẽ triển khai cập nhật đến một nhóm thí điểm nào đó. Nhóm này có thể là phòng ban IT hoặc một nhóm phòng ban khác có am hiểu về máy tính. Việc này giúp bạn thử nghiệm trên một nhóm máy tính và xem xét khả năng làm việc. Page 12
Triển khai thật: nếu triển khai thí điểm suôn sẻ, không gặp bất cứ vấn đề nào sau 1 tuần thì bạn có thể triển khai đến tất cả các máy tính làm việc trong công ty. Điều này giúp bạn giảm thiểu rủi ro. Bạn có thể cấu hình các nhóm máy tính theo 1 trong 2 hướng sau: Server-side targeting: thích hợp đối với doanh nghiệp nhỏ, bạn có thể thêm các máy tính vào nhóm bằng cách cấu hình trên giao diện Update Services. Client-side targeting: thích hợp đối với doanh nghiệp lớn, bạn sử dụng Group Policy để cấu hình các máy tính nào đó thuộc nhóm các máy tính. Các máy tính được tự động đưa vào đúng nhóm khi chúng kết nối đến WSUS server. Cho dù bạn triển khai bằng cách nào đi chăng nữa thì việc đầu tiên bạn cần làm là tạo nhóm máy tính. Mặc định có một nhóm máy tính duy nhất là: All Computer. Nhóm này bao gồm tất cả các máy tính. Để tạo thêm nhóm, thực hiện các bước sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services. 2. Click Computer. R-click vào All Computers và chọn Add computer group. 3. Nhập tên nhóm và click Add. 4. Thực hiện lại bước 2 và 3 nếu bạn muốn thêm các nhóm khác. Server-side targeting: thêm các máy tính vào một nhóm. Thực hiện các bước sau: 1. Trên giao diện Update Services, click Computer > All Computer và chọn Unassigned computers. Sau đó, r-click vào máy tính bạn muốn đưa vào nhóm (bạn có thể chọn nhiều máy tính bằng cách click và giữ phím Ctrl) và chọn Change Membership. 2. Tại hộp thoại Set computer group membership, đánh dấu chọn vào nhóm mà bạn muốn đưa máy tính vào. Click OK. Client-side targeting: bạn có thể sử dụng Group Policy object (GPO) để thêm các máy tính vào các nhóm khi. Trước tiên, bạn cần thiết lập cho phép sử dụng client-side targeting. Thực hiện các bước sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Updates Services. 2. Click Options > Computers. 3. Tại hộp thoại Computer, chọn Use Group Policy or Registry Settings on Computers. Sau đó click OK. Tiếp theo, cấu hình GPO để di chuyển các máy tính đến các nhóm. Bạn cần tạo một GPO độc lập cho mỗi nhóm máy tính. Sau đó cấu hình cho phép áp dụng đối với những máy tính thích hợp. 1. Tại Group Policy Management Editor, mở GPO. 2. Click Computer Configuration > Administrative Templates > Windows Components > Windows Update. 3. Double-click vào chính sách Enable Client-side targeting. 4. Hộp thoại hiển thị, chọn Enabled. Sau đó nhập tên nhóm máy tính mà bạn muốn áp dụng và click OK. Sau khi các client được áp dụng Group Policy, khởi động lại Windows Update Services. Page 13
Kiểm tra nhanh 1. Giao thức nào cho phép dịch vụ Windows Update của client có thể nhận được các bản cập nhật từ server WSUS? 2. Bạn nên sử dụng cách triển khai client-side targeting hay server-site targeting cho doanh nghiệp lớn Trả lời nhanh 1. HTTP. 2. Doanh ngiệp lớn thì nên sử dụng client-side targeting Cấu hình các máy tính client Ở bài học trước, bạn đã được tìm hiểu về sự khác nhau của các chính sách Group Policy trong việc cấu hình các máy tính client nhận các bản cập nhật. Việc có nhiều thao tác cấu hình sẽ khiến bạn tốn thời gian, phần này bạn sẽ được hướng dẫn cấu hình để giảm thiểu các bước cấu hình không cần thiết nhằm mục đích các client có thể download các bản cập nhật từ WSUS server. 1. Mở GPO mà bạn muốn sử dụng để thực hiện cấu hình. Trong Group Policy Management Editor, click Computer Configuration > Administrative Templates > Windows Components > Windows Update. 2. Double-click vào Specify intranet Microsoft Update service location. 3. Chọn Enabled. Trên cả trường Set the intranet update services for detecting updates và Set the intranet statistics server, nhập tên của WSUS server, chẳng hạn http://server. Click OK. Page 14
4. Double-click vào chính sách Configure Automatic Updates. 5. Chọn Enabled. Cấu hình thiết lập tự động cập nhật. Tại Scheduled install day bạn có thể chọn tất cả các ngày trong tuần hoặc một ngày cụ thể trong tuần áp dụng các chính sách. Thiết lập thời gian thực hiện chính sách tại danh sách Scheduled install time. Notify for download and notify for install: thông báo download và cài đặt đến người dùng. Auto download and notify for install: tự động download và thông báo cài đặt đến người dùng. Auto download and schedule the install: tự động download và thiết lập thời gian cài đặt. Allow local admin to choose setting: cho phép người dùng có thể tự chọn những thiết lập này. Với những thiết lập trên, các máy tính client sẽ nhận được các bản cập nhật từ WSUS server và tự động cài đặt. Page 15
Phê chuẩn các bản cập nhật Mặc định, tất cả các bản cập nhật đều chưa được phê chuẩn. Bạn cần phải cấu hình phê chuẩn các bản cập nhật, thực hiện các bước sau: 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services. 2. Click vào WSUS server. Sau đó click Update, lựa chọn các tùy chọn sau: All updates: hiển thị tất cả bản cập nhật. Việc làm này thuận lợi cho việc phê chuẩn các bản cập nhật. Critical updates: chỉ hiển thị những bản cập nhật vá lỗi nghiêm trọng, những bản vá lỗi này cần được ưu tiên hàng đầu trong việc cập nhật để đảm bảo an toàn hệ thống cũng như máy tính người dùng. Security updates: chỉ hiển thị những cập nhật liên quan đến bảo mật. WSUS updates: hiển thị những bản cập nhật liên quan đến quy trình xử lý cập nhật. 3. Tại danh sách Appoval, chọn Unapproved. Bạn có thê sử dụng danh sách để xem các bản cập nhật được phê chuẩn. 4. Từ danh sách Status, chọn Any. Click Refresh để làm mới hiển thị các bản cập nhật. Để sắp xếp các bản cập nhật theo thứ tự ưu tiên về ngày tháng, r-click vào một cột và chọn Release Date. Sau đó, click và cột Release Date để sắp xếp lại. 5. Chọn những bản cập nhật bạn muốn phê chuẩn, Bạn có thể chọn nhiều bản cập nhật bằng cách click và giữ phím Ctrl. Ngoài ra bạn có thể chọn nhiều bản cập nhật một lúc bằng cách click chuột và giữ phím shift. Nhấn Ctrl +A để chọn tất cả các bản cập nhật. R-click vào bản cập nhật đã chọn và chọn Approve (với mục đích phân phối các bản cập nhật này đến client vào thời điểm các client kiểm tra cập nhật) hoặc chọn Decline (không cho phân phối bản cập nhật này). 6. Nếu hiển thị hộp thoại Approve Updates, chọn nhóm máy tính bạn muốn áp dụng cập nhật và chọn Approved for install. Click OK nếu bạn đã hoàn tất quá trình phê chuẩn 7. Để thiết lập thời hạn cập nhật, bạn có thể r-click vào nhóm máy tính và chọn Deadline, sau đó chọn thời hạn cập nhật. 8. Click OK. Từ chối các bản cập nhật Sau khi phê chuẩn các bản cập nhật cần thiết, bạn có thể từ chối phê chuẩn nếu bạn không muốn cài đặt các bản cập nhật này trên máy tính. Việc từ chối các bản cập nhật không ảnh hưởng gì đến các máy tính client. 1. Tại giao diện Update Services, r-click vào bản cập nhật bạn muốn từ chối và chọn Decline. 2. Tại hộp thoại Decline update, click Yes. Để xem lại các bản cập nhật đã bị từ chối, tại danh sách Approval, chọn Declined. Sau đó click Refresh. Page 16
Xem các bảng báo cáo Bạn có thể xem chi tiết các bản cập nhật, máy tính hoặc sự đồng bộ. Click Report trên giao diện Update Services. WSUS cung cấp cho bạn các thông tin sau: Update Status Summary: hiển thị các thông tin về mỗi bản cập nhật mà bạn chọn, bao gồm mô tả đầy đủ về bản cập nhật (được cung cấp bởi Microsoft), các bản cập nhật được phê chuẩn trên nhóm máy tính, số lượng máy tính đã cài đặt các bản cập nhật. Update Detailed Status: ngoài những thông tin hiển thị ở Update Status Summary, mục này hiển thị trạng thái của tất cả máy tính cho mỗi cập nhật theo từng trang, cho phép bạn xác định chính sách máy tính này đã cài đặt cập nhật. Đây là những thông tin hữu ích giúp bạn có thể xác định những lỗ hổng bảo mật cũng như các máy tính dính lỗ hổng bảo mật đó. Update Tabular Status: hiển thị những dữ liệu của cả bảng Update Status Summary và Update Detailed Status và xuất ra báo cáo dạng bảng tính. Computer Status Summary: hiển thị những thông tin cập nhật cho mỗi máy tính. Computer Detailed Status: ngoài những thông tin ở Computer Status Summary, mục này hiển thị những máy tính nào đã cài đặt những bảng cập nhật nào. Computer Tabular Status: cung cấp cho bạn thông tin của cả bảng Computer Status Summary và Computer Detailed Status và xuất ra báo cáo dạng bảng tính. Syncronization Results: hiển thị kết quả quá trình đồng bộ hóa mới nhất. Khi bạn mở một bảng cáo cáo, bạn có thể cấu hình để lọc các thông tin hiển thị trong bảng báo cáo đó. Chẳng hạn như những bảng báo cáo mà bạn muốn hiển thị theo tên sản phẩm Page 17
Quản lý đồng bộ hóa Tại mục Synchronizations sẽ hiển thị danh sách thời gian WSUS nhận danh sách các bản cập nhật từ upstream server. Bạn có thể r-click vào một đồng bộ bất kì và chọn Synchronization để xem thông tin chi tiết. Khắc phục sự cố trong quá trình cập nhật Thỉnh thoảng, bạn sẽ có thêm kinh nghiệm trong việc khắc phục sự cố cài đặt nếu như gặp phải lỗi trong việc cập nhật. Bạn có thể sử dụng WSUS để xác định các client nào đã được cài đặt các bản cập nhật hoặc chưa cài đặt. Khắc phục sự cố WSUS WSUS tạo ra 3 bản ghi: Application event log: bản hi này lưu trữ các sự kiện liên quan đến vấn đề đồng bộ hóa, lỗi trong Update Services, lỗi cơ sở dữ liệu WSUS liên quan đến source cài đặt WSUS. Hầu hết các sự kiện đều cung cấp thông tin chi tiết về nguyên nhân cũng như hướng dẫn khắc phục sự cố. Thêm vào đó, bạn có thể tìm kiểm lỗi tại trang http://support.microsoft.com. C:\Program Files\Update Services\LogFiles\Change.txt: một tập tin có định dạng *.txt lưu trữ các thông tin về cài đặt các bản cập nhật, đồng bộ và sự thay đổi cấu hình WSUS. Các thông tin này không chi tiết nhưng cũng có thể cho bạn biết những thông tin quan trọng chẳng hạn nếu quản trị viên thay đổi một thiêt lập nào đó, tập tin sẽ ghi lại dòng chữ WSUS confoguration has been changed. C:\Program Files\Update Services\LogFiles\SoftwareDistribution.txt: hiển thị thông tin chi tiết và được hỗ trợ từ Microsoft. Khắc phục sự cố Windows Update trên client Để xác định các vấn đề là nguyên nhân khi cập nhật thất bại, thực hiện các bước sau: 1. Mở tập tin %Systemroot%\WindowsUpdate.log để các thông báo lỗi. Bạn có thể xem hướng dẫn đọc WindowsUpdate.log tại địa chỉ http://support.microsoft.com/kb/902093/ 2. Xác nhận client nào kết nối đến WSUS server bằng cách mở trình duyệt Web và gõ địa chỉ http://<tên_wsus_server>/iuident.cab. Nếu khung nhắc nhở hiện ra thông báo bạn cần download tập tin, có nghĩa là client đó đã kết nối đến WSUS server. 3. Nếu bạn sử dụng Group Policy để cấu hình Windows Update, bạn có thể sử dụng công cụ Resultant set of Policy (RSOP) để xác nhận các cấu hình. Bạn vào Run vào gõ Rsop.msc để mở RSOP. Trong RSOP, click Computer Configuraion > Administrative Templates > Windows Components > Windows Update để xem và xác nhận các thiết lập. Nếu bạn đã phát hiện ra một vấn đề và sau đó cấu hình lại để khắc phục sự cố, bạn cần khởi động lại dịch vụ Windows Update trên máy tính client để thay đổi có hiệu lực. Bạn có thể sử dụng công cụ Services (services.msc) hoặc sử dụng lệnh sau để khởi động lại dịch vụ Windows Update. Page 18
net stop wuauserv net start wuauserv Trong khoảng 6 10 phút, Windows Update sẽ gửi thông tin lên server. Để Windows Update bắt đầu truy vấn đến WSUS server, sử dụng lệnh sau: wuauclt /a Xóa bỏ các bản cập nhật Thỉnh thoảng bạn vẫn gặp lỗi cập nhật, chẳng hạn sau khi bạn cập nhật lên phiên bản mới thì ứng dụng không còn tương thích, bạn có thể xóa bỏ cập nhật đó, thực hiện các bước sau: 1. Click Start > Control Panel. 2. Dưới Programs, click Uninstall a program. 3. Dưới Tasks, click View installed updates. 4. Chọn bản cập nhật bạn muốn xóa bỏ. Click Uninstall. 5. Khởi động lại nếu cần thiết. Page 19
THỰC HÀNH: TRIỂN KHAI WSUS Trong bài thực hành, bạn cấu hình WSUS trên server, sử dụng Group Policy để cấu hình các máy tính client, sau đó phê chuẩn và phân phối các bản cập nhật. Bài thực hành 1: cài đặt WSUS và thực hiện đồng bộ hóa Trong bài thực hành này, bạn sẽ cài đặt WSUS. Để giảm thiểu dung lượng lưu trữ, bạn sẽ cấu hình WSUS server kết nối trực tiếp đến client để nhận các bản cập nhật trực tiếp từ Micrsoft. 1. Download WSUS tại địa chỉ http://www.microsoft.com/wsus/ 2. Tại trang License Agreement, click I accept the terms of the License agreement để chấp nhận các điều khoản cài đặt và sử dụng. Click Next. 3. Tại trang Required Component to use administration UI, thông báo cho bạn cần cài đặt ứng dụng Microsoft Report Viewer 2008 Redistributable để xem các bảng báo cáo trực quan. Click Next. 4. Tại trang Select Update Source, đánh dấu chọn Store updates locally để lưu trữ các bản cập nhật trên server. Click Browse và chọn đường dẫn cho WSUS. Click Next. 5. Trên trang Database Options, đánh dấu chọn vào Install Windows Internal Database on this computer. Click Next. Page 20
6. Tại trang Web Site Selection đánh dấu chọn vào Create a Windows Server Update Services 3.0 SP2 Web site để sử dụng một website khác website mặc định trong IIS. Click Next. 7. Tại trang Ready to Install Windows Server Update Services xem lại các thông tin cuối cùng trước khi cài đặt. Click Next để tiến hành cài đặt. 8. Click Finish để hoàn tất. 9. Đợi khoảng 2 phút, trang Before You Begin hiển thị, click Next để tiến hành cấu hình WSUS server. 10. Tại trang Join the Microsoft Update Improvement Program, đánh dấu chọn Yes, I would like to join the Microsoft Update Improvement Program để được hỗ trợ từ Microsoft trong quá trình cập nhật. Click Next. 11. Tại trang Choose Upstream Server, đánh dấu chọn vào Synchronize from Microsoft Update nếu bạn muốn đồng bộ đến Microsoft Update. Nếu bạn muốn đồng bộ đến một WSUS khác đánh dấu chọn Synchronize from another Windows Server Update Services server, sau đó nhập tên server muốn đồng bộ và port. Ngoài ra, click vào Use SSL when synchronizing update information nếu bạn muốn sử dụng chứng thực SSL trong quá trình đồng bộ. Đánh dấu chọn This is a replica of the upstream server nếu bạn muốn server hiện tại đóng vai trò upstream server. Click Next. 12. Tại trang Specify Proxy Server, nếu bạn muốn sử dụng proxy server đánh dấu chọn Use a proxy server when synchronizing. Click Next. Page 21
13. Tại trang Connect to Upstream Server, click Start Connecting để bắt đầu kết nối theo sự lựa chọn mà bạn đã chọn ở trang Choose Upstream Server. Đợi quá trình kết nối hoàn tất và click Next. 14. Tại trang Choose Languages, đánh dấu chọn vào Download updates only in these languages và chọn gói ngôn ngữ. Việc tùy chọn gói ngôn ngữ sẽ giúp bạn giảm được băng thông. Click Next. 15. Tại trang Choose Products, chọn sản phẩm mà bạn muốn cập nhật. Click Next. 16. Tại trang Choose Classifications, đánh dấu chọn những đối tượng bạn muốn cập nhật. Click Next. 17. Tại trang Set Sync Schedule, đánh dấu chọn Synchronize automatically và thiết lập thời gian đồng bộ hóa. Click Next. 18. Đợi quá trình đồng bộ hóa hoàn tất. Bạn cũng có thể thực hiện cách sau để đồng bộ hóa. 1. Click Start > Administrative Tools > Microsoft Windows Server Update Services. 2. Giao diện Update Services hiển thị. 3. Chọn server là SERVER (tên server bạn muốn cài đặt WSUS). Tại khung Details, click Synchronize Now để thực hiện đồng bộ hóa với website Microsoft Update Quá trình đồng bộ diễn ra trong vài phút (có thể là hơn một giờ tùy đường truyền của bạn) Bài thực hành 2: Cấu hình các máy tính client để nhận các bản cập nhật Trong bài thực hành, bạn sẽ sử dụng Group Policy để cấu hình các máy tính client nhận các bản cập nhật từ WSUS server thay vì trực tiếp từ Microsoft. 1. Mở GPO bạn muốn áp dụng cấu hình. Tại Group Policy Management Editor, click chọn Computer Configuration > Administrative Templates > Windows Components > Windows Update. 2. Double-click vào Specify intranet Microsoft Update services location. 3. Chọn Enabled. Trên cả hai trường là Set the intranet update service for detecting updates và Set the intranet statistics server, gõ http://server. Click OK. 4. Double-click vào Configure Automatic Updates. 5. Chọn Enabled. Cấu hình các thiết lập tự động cập nhật. Click OK. Đăng nhập vào máy tính client bằng quyền Administrator. Vào Run và gõ lệnh gpupdate /force để áp dụng các chính sách vừa cấu hình trên. Bài thực hành 3: Phê chuẩn các bản cập nhật Trong bài thực hành này, bạn sẽ phê chuẩn một bản cập nhật để triển khai đến máy tính client. 1. Trên WSUS server, tại giao diện Update Services, click Updates. Chọn All Updates. 2. Tại danh sách Approval, chọn Unapproved. 3. Tại danh sách Status, chọn Any. Click Refresh để hiển thị các bản cập nhật. Page 22
4. Chọn những bản cập nhật gần đây nhất để áp dụng cho máy tính client. R-click vào bản cập nhật đã chọn và click Approve. 5. Trên hộp thoại Approve updates, chọn All Computers và chọn Approved for install. Click OK. 6. Nếu hiển thị các vấn đề về bản quyền, click I accept. 7. Xem các lỗi hiển thị trong hộp thoại Approval progress để xác nhận các bản cập nhật đã được cài đặt đến client. Sau đó click Close. 8. Tại giao diện Update Services, chọn Computers > All Computers. Tại danh sách Status, chọn Any và click Refresh. Máy tính client lúc này sẽ hiển thị trên danh sách Trên máy tính client, khởi động lại dịch vụ Windows Update. Tổng quan bài học Bạn có thể download WSUS từ Microsoft.com. Sau khi cài đặt WSUS và đồng bộ những bản cập nhật từ upstream server, bạn nên cấu hình các nhóm máy tính để cho phép chúng nhận được các bản cập nhật. Tiếp theo, phê chuẩn hoặc từ chối các bản cập nhật và đợi cho chúng được phân phối xuống các client. Sử dụng bảng báo cáo để xác nhận quá trình cập nhật hoàn tất và xác định những máy client nào đã hoặc chưa cài đặt các bản cập nhật. Bạn có thể xem bản ghi log về quá trình cập nhật để khắc phục sự cố về WSUS hoặc trên client. Mặc dù bạn có thể xóa một số bản cập nhật bằng cách sử dụng WSUS, tuy nhiên bạn nên xóa các bản cập nhật từ những máy tính client. Trắc nghiệm 1. Bạn là kĩ sư hệ thống mạng của một doanh nghiệp chuyên về thiết bị âm thanh ánh sáng. Mới đây, bạn sử dụng MBSA để kiểm tra các vấn đề cập nhật bảo mật của máy tính client. Bạn nhận thấy có một số máy tính không thể cài đặt được các bản cập nhật. Bạn có thể xem thông tin các máy tính này ở đâu? (chọn tất cả các đáp án đúng) A. Xem ở System log trên máy tính client. B. Xem ở Application and Services logs \Microsoft\Windows\Windows UpdateClient\Operational trên máy tính client. C. Xem ở System log trên WSUS server. D. Xem ở %SystemRoot%\WindowsUpdate.log. 2. Bạn là kĩ sư hệ thống của một công ty kiến trúc. Bạn vừa mới triển khai WSUS và bạn cần xác nhận các bản cập nhật đã phân phối thành công. Thông tin nào sau đây mà bạn nhận được từ báo cáo Update Status Summary? A. Các nhóm máy tính được phê chuẩn các bản cập nhật. B. Các máy tính đã hoàn tất cài đặt các bản cập nhật. C. Bản cập nhật bị xóa bỏ. D. Số lượng máy tính không thể cài đặt một bản cập nhật. Page 23
3. Bạn đang triển khai WSUS cho doanh nghiệp lớn. Hiện tại, bạn cấu hình các máy tính client thuộc các nhóm khác nhau để bạn có thể triển khai cập nhật. Bạn có thể cấu hình đưa máy tính vào nhóm bằng cách nào? (chọn tất cả các đáp án đúng) A. Bật chính sách Configure Automatic Updates. B. Thiết lập Client-side targeting trong Group Policy. C. Tại Update Services, r-click vào máy tính và chọn Change Membership. D. Tại Update Services, đưa máy tính vào nhóm thích hợp. Tóm tắt chương WSUS cho phép bạn kiểm soát và phân phối các bản cập nhật từ Microsoft đến máy tính client. Một WSUS server có thể sao chép các bản cập nhật từ Microsoft và lưu trữ chúng tại server đó. Sau đó các máy tính client sẽ download các bản cập nhật từ WSUS server thay vì download chúng từ Microsoft thông qua Internet. Để hỗ trợ doanh nghiệp với nhiều văn phòng, downstream WSUS server có thể đồng bộ hóa các bản cập nhật, phê chuẩn và cấu hình thiết lập từ upstream WSUS server, cho phép bạn có thể thiết kế cấu trúc phân cấp để có thể mở rộng quy mô. Cài đặt WSUS cần phải cài đặt IIS và WSUS có thể sử dụng site mặc định có sẵn khi mới cài đặt IIS là Default Web Site. Sau khi cài đặt WSUS, bạn có thể quản lý WSUS với giao diện Update Services. Trước tiên, bạn nên đồng bộ WSUS server với website Microsoft Update. Sau đó, tạo các nhóm máy tính để triển khai. Tiếp theo, cấu hình các máy tính client có thể download các bản cập nhật từ WSUS server thay vì download từ Microsoft Update server thông qua Internet. Thuật ngữ Downstream server Upstream server Windows Server Update Services (WSUS) Page 24
Ngữ cảnh Trong những ngữ cảnh sau đây, bạn sẽ được áp dụng thiết kế hạ tầng WSUS. Ngữ cảnh 1: Lên kế hoạch triển khai hạ tầng WSUS cơ bản Bạn là một kĩ sư hệ thống của ICT24H. Hiện tại, bạn cấu hình tất cả máy tính client download các bản cập nhật trực tiếp từ Microsoft và tự động cài đặt các bản cập nhật này. Tuy nhiên, sau khi một phiên bản mới được tung ra, bạn nhận thấy hóa đơn dịch vụ băng thông Internet tăng đột biến sau khi Microsoft tung ra phiên bản mới trên website Windows Update. Vì thế, bạn sử dụng WSUS để giảm băng thông sử dụng cho trụ sở chính chứa khoảng 250 máy tính. Thậm chí, bạn bắt đầu kiểm tra thử nghiệm cập nhật trước khi triển khai thật. Tuy nhiên bạn không có nhân viên nào vận hành việc kiểm nghiệm, vì thế bạn đã chọn cách tự động phê chuẩn và cài đặt các bản cập nhật. Bạn tới phòng giám đốc để thảo luận về hóa đơn phí thuê bao từ ISP. Giám đốc yêu cầu bạn trả lời một số câu hỏi sau: 1. Làm thế nào để giảm băng thông từ WSUS? 2. Cần bao nhiêu WSUS server? 3. Làm thế nào để cấu hình WSUS tự động phê chuẩn các bản cập nhật? Ngữ cảnh 2: Lên kế hoạch triển khai một hạ tầng WSUS phức tạp Bạn là kĩ sư hệ thống của ICT24H, một tập đoàn đa quốc gia với nhiều chi nhánh văn phòng khắp năm châu. Trụ sở chính đặt tại London và bạn có các chi nhánh văn phòng đặt tại New York, Mexico, Tokyo và France. Tất cả các văn phòng đều được trang bị đường truyền Internet tốc độ cao và chúng được kết nối VPN theo cấu trúc full-mesh (mạng lưới khép kín). Hay nói một cách khác là mỗi văn phòng kết nối trực tiếp đến 4 văn phòng còn lại. Hiện tại, phòng IT ở London quản lý cả văn phòng ở London và New York. Các văn phòng Mexico, Tokyo và France có các phòng IT của riêng họ. Bạn bắt đầu triển khai WSUS trên Windows Server 2008 và tạo ra một cấu trúc đáp ứng kết nối cho 5 văn phòng. Sau đó là cuộc trò chuyện giữa trường phòng IT ở văn phòng Mexico và giám đốc của bạn. Nội dung như sau: Trưởng phòng IT ở văn phòng Mexico: Tôi đã nói chuyện với các trưởng phòng IT ở Tokyo và France, và họ có những yêu cầu kĩ thuật, ngôn ngữ, hệ điều hành và kiểm nghiệm riêng biệt. Vì thế, chúng tôi cần quản lý việc phê chuẩn cập nhật. Tuy nhiên, chúng tôi chỉ đồng bộ hóa cập nhật từ server trung tâm Giám đốc của bạn: Không thành vấn đề cho dù bạn có đồng bộ cập nhật giữa các văn phòng hoặc từ Internet. Vì chúng ta sử dụng VPN và tất cả thông qua Internet. Page 25
Câu hỏi: 1. Bạn cần bao nhiêu WSUS server và cấu trúc như thế nào? 2. WSUS server nào sẽ được nhân bản và được quản lý độc lập? --- Hết --- Page 26