Ict24h.net - Wsus 2008
27
ICT24H.NET 2010 TÌM HIỂU WINDOWS SERVER UPDATE SERVICE TRONG WINDOWS SERVER 2008 Managing Software Update ICT24H TEAM ICT VIETNAM COMMUNITY
description
Windows Server Update Service
Transcript of Ict24h.net - Wsus 2008
I C T 2 4 H . N E T
2010
TÌM HIỂU WINDOWS
SERVER UPDATE
SERVICE TRONG
WINDOWS SERVER
2008 Managing Software Update
ICT24H TEAM
ICT VIETNAM COMMUNITY
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 1
Công nghệ càng ngày càng phát triển dẫn đến máy tính càng ngày càng dễ dàng quản lý hơn. Phần cứng
cũng như phần mềm đáng tin cậy hơn, các hệ điều hành dễ dàng sử dụng hơn và xuất hiện nhiều các
công cụ quản trị tự động hóa hơn (chẳng hạn tự động chống phân mảnh ổ cứng). Tuy nhiên, các công
cụ và ứng dụng ngày một phát triển và thay đổi, sửa lỗi , cập nhật….điều này kéo theo sự duy trì, cập
nhật thường xuyên các ứng dụng.
Hậu quả xảy ra là khá lớn nếu như không cập nhật các chương trình, các phần mềm. Nếu máy tính
không được cập nhật, kẻ tấn công có thể khai thác các lỗ hổng và xâm nhập.
Để giúp bạn có thể cập nhật tập trung hóa, giảm thiểu thời gian quản lý, Microsoft cung cấp công nghệ
Windows Server Update Services (WSUS). WSUS cho phép bạn download, phê chuẩn (sau khi bạn
đã kiểm nghiệm bản cập nhật) và phân phối các bản cập nhật này cho toàn bộ máy tính client trong hệ
thống
Những bài học trong chương này sẽ cho bạn cái nhìn tổng quát về WSUS cũng như lên kế hoạch triển
khai cập nhật cho hệ thống.
Chủ đề chính
Cấu hình Windows Server Update Services (WSUS).
Những bài học
Bài học 1: Tìm hiểu về Windows Server Update Services. Bài học 2: Sử dụng Windows Server Update Services.
Trước khi bắt đầu
Để hoàn thành các bài học, bạn nên thực hiện các công việc sau:
Cài đặt Windows Server 2008.
Nâng cấp lên domain controller và join các máy tính vào domain.
Tên server là SERVER và có domain là ict24h.net
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 2
BÀI HỌC 1: TÌM HIỂU VỀ WINDOWS SERVER
UPDATE SERVICES
Trước khi triển khai Windows Server Update Services (WSUS), bạn phải hiểu được các thành phần của
client và server được cấu hình như thế nào trong các môi trường khác nhau. Nếu không có một kế hoạch
cụ thể, việc cập nhật sẽ khiến bạn tốt nhiều thời gian, băng thông hoặc có thể thất bại trong việc cài đặt.
Bài học này cung cấp cho bạn cái nhìn tổng quát và các thông tin về WSUS.
Nếu bạn đã quen thuộc với những phiên bản WSUS trước, WSUS 3.0 Service Pack 1 cung cấp cho bạn
khá nhiều chức năng. Hầu hết quản lý trên giao diện, bạn không còn phải quản lý trên trình duyệt Web.
Thêm vào đó, WSUS cho phép bạn linh họat trong việc triển khai các bản cập nhật đến các máy tính.
Sau bài học này, bạn sẽ: Hiểu được mục đích của WSUS.
Cấu hình WSUS client.
Thiết kế cấu trúc WSUS đáp ứng nhu cầu cho cả doanh nghiệp nhỏ cũng như quy mô lớn.
Liệt kê các client và server cần thiết cho WSUS.
Tìm hiểu các công cụ xác định trạng thái cập nhật của các máy tính client trong mạng.
Thời lượng cho bài học: 15 phút.
Tổng quan về WSUS
Windows Server Update Services (WSUS) được phát triển từ dịch vụ Microsoft Update – một dịch vụ
trong Windows cho phép tự động download các bản cập nhật. Bạn có thể chạy WSUS trên mạng nội bộ
và sử dụng nó để phân phối các bản cập nhật cho các máy tính, bạn có thể sử dụng băng thông hiệu quả
và kiểm soát các bản cập nhật trên các máy tính client.
Khi chạy WSUS, nó kết nối đến website Microsoft Update, download các thông tin về các bản cập nhật
mới nhất, sau đó thêm chúng vào danh sách cập nhật để quản trị viên phê chuẩn. Sau khi quản trị viên
chấp nhận và thiết lập ưu tiên cho các bản cập nhật này, WSUS sẽ tự động cài đặt chúng trên các máy
tính chạy Windows. Dịch vụ Windows Update trong máy tính clien sẽ kiểm tra WSUS server và tự động
download các bản cập nhật từ server về, cuối cùng là cài đặt các bản cập nhật này. Bạn có thể thiết lập
WSUS cho đồng thời nhiều server và có thể mở rộng từ doanh nghiệp nhỏ cho đến doanh nghiệp lớn.
Windows Update trên client
Windows Update là một thành phần thuộc WSUS trên client có chức năng nhận các phần mềm, các bản
cài đặt từ WSUS server, xác nhận bằng chữ kí tiện tử hoặc thuật toán Secure Hash Algorithm (SHA1),
thông báo đến người dùng về các bản cập nhật và cài đặt nó (nếu được cấu hình). Windows Update cài
đặt các bản cập nhật ở thời gian mà bạn thiết lập và có thể tự động khởi động lại máy tính nếu cần thiết.
Nếu ở thời điểm hiện tại máy tính tắt, các bản cập nhật có thể cài đặt khi máy tính đã được bật.
Chú ý: WSUS client ở các phiên bản Windows trước Trong Windows XP và Windows 2000, thành phần của WSUS trên client có tên gọi là Automatic
Updates.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 3
Vì các thiết lập Windows Update được áp dụng cho tất cả các máy tính trong doanh nghiệp nên sử dụng
Group Policy để thiết lập là phương pháp tốt nhất. Thiết lập Windows Update tại Computer
Configuration > Administrative Templates > Windows Components > Windows Update. Các
thiết lập Windows Update trong Group Policy gồm :
Do not display „Install Update and Shut Down‟ option in Shut Down Windows dialog
box: cho phép bạn quản lý tùy chọn “Install Updates và Shut Down” hiển thị ở hộp thoại Shut
Down của Windows.
Do not adjust option to “Install Updates and Shut Down” in Shut Down Windows
dialog box: thay đổi tùy chọn shut down mặc định Install Updates and Shut Down khi Windows
Update chuẩn bị cài đặt một bản cập nhật.
Enabling Windows Update Power Management to automatically wake up the system
to install scheduled updates : nếu nhân viên trong công ty của bạn thường có thói quen shut
down máy tính của họ khi rời khỏi văn phòng. Bật thiết lập này để cấu hình các máy tính hỗ trợ
tự động khởi động và cài đặt các bản cập nhật ở một thời gian đã được lên lịch. Các máy tính sẽ
không được bật nếu không có bản cập nhật nào để cài đặt. Nếu máy tính chạy với năng lượng
của pin, máy tính sẽ tự động trở về trạng thái sleep sau 2 phút.
Configure Automatic Updates: xác định những máy tính client sẽ được nhận các bản cập
nhật bảo mật và các bản download quan trọng khác từ dịch vụ Windows Update. Bạn cũng có
thể sử dụng thiết lập này để cấu hình nhắc nhở người dùng cài đặt các bản cập nhật hoặc từ
động cài đặt thông qua Windows Update.
Specify intranet Microsoft update service location: xác định WSUS server.
Automatic Updates detection frequency: thiết lập thời gian để Windows Update kiểm tra
những bản cập nhật mới. Thời gian mặc định là từ 17 đến 22 giờ.
Allow non-administrators to receive update notifications: thiết lập cho tất cả người dùng
hoặc chỉ có quản trị viên nhận được thông báo cập nhật.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 4
Turn on Software Notification: thiết lập cho phép bạn kiểm soát người dùng có thể nhận
được thông báo về các tính năng của phần mềm từ Microsoft Update.
Allow Automatic Updates immediate installation: thiết lập Automatic Update tự động cài
đặt các bản cập nhập mà không cần phải khởi động lại máy tính.
Turn on recommended updates via Automatic Updates: xác định các máy tính client cài
đặt cả những bản cập nhật cần thiết và bản vá lỗi, bao gồm cả cập nhật các driver.
No auto-restart with logged on users or scheduled automatic updates installations:
thiết lập lịch cài đặt, Windows Update chờ người dùng khởi động máy tính khi họ đăng nhập vào,
kể cả tự động khởi động.
Re-prompt for restart with scheduled installations: thiết lập nhắc nhở người dùng khởi
động lại máy tính trong khoảng thời gian nào đó. Tùy thuộc vào một số thiết lâp, thiết lập này có
thể khiến người dùng ngừng việc tự khởi động. Tuy nhiên, Windows Update sẽ tự động yêu cầu
họ khởi động dựa trên thiết lập này.
Delay Restart for scheduled installations: thiết lập thời gian Windows Update chờ trước khi
tự động khởi động lại.
Reschedule Automatic Updates scheduled installations: thiết lập số lần chờ của Windows
Update trước khi tiếp tục theo lịch cài đặt.
Enable client-side targeting: thiết lập các nhóm hoặc tên máy tính sẽ được nhận các bản cập
nhật từ dịch vụ Microsoft Update.
Allow signed updates from an intranet Microsoft update service location: thiết lập cho
phép cài đặt các bản cập nhật sử dụng chứng thực.
Cấu trúc WSUS
WSUS có thể mở rộng từ doanh nghiệp nhỏ cho đến doanh nghiệp lớn đa quốc gia. Trên thực tế, bạn
cần sử dụng mỗi WSUS cho một chi nhánh văn phòng với hơn 10 máy tính và một WSUS độc lập cho mỗi
phòng IT để kiểm soát cập nhật.
Bạn cũng không cần thiết phải có những WSUS server dự phòng, tuy nhiên bạn cũng cần sao lưu cơ sở
dữ liệu WSUS để có thể khôi phục khi gặp rủi ro.
Doanh nghiệp với một văn phòng duy nhất
Nếu doanh nghiệp chỉ có một văn phòng, bạn có thể sử dụng một WSUS server duy nhất mà không cần
quan tâm đến số máy tính client trong doanh nghiệp là bao nhiêu.
Doanh nghiệp với nhiều văn phòng
Nếu bạn sử dụng một WSUS server duy nhất để hỗ trợ cho tất cả client ở các văn phòng, mỗi client sẽ
cần phải download các bản cập nhật thông qua kết nối WAN. Việc download có thể tốn khoảng vài trăm
MB. Vì kết nối WAN sẽ làm đường truyền chậm hơn so với kết nối mạng LAN, download các bản cập nhật
lớn thông qua WAN sẽ ảnh hưởng không nhỏ đến thời gian và đường truyền. Nếu băng thông của bạn
thấp, các client có thể sẽ không nhận được các bản cập nhật.
Để cho phép các client nhận các bản cập nhật trong mạng LAN, cấu hình một WSUS server cho mỗi chi
nhánh văn phòng và cấu hình WSUS server để nhận các bản cập nhật theo một cấu trúc phân cấp từ
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 5
những server chính. Và với cách làm theo cấu trúc phân cấp sẽ đem lại cho bạn sự hiệu quả trong việc
kết nối thông qua WAN.
Hệ thống WSUS server toàn cầu.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 6
Cấu trúc phân cấp WSUS server
Trong cấu trúc trên, chỉ có server WSUS tại Boston có thể nhận các bản cập nhật từ Microsoft. Tất cả
công việc cập nhật được vận hành bởi server WSUS ở Boston. Các server phía dưới sẽ nhận thông tin
cập nhật từ những server trên nó, chẳng hạn với sơ đồ trên, server ở Los Angeles (downstream server)
sẽ nhận các bản cập nhật từ server ở Boston (upstream server). Tương tự, server ở Argentina
(downstream server) sẽ nhận các bản cập nhật từ server Costa Rica (upstream server).
Để cung cấp các bản cập nhật cho văn phòng nhỏ không có WSUS server, bạn cần phải cấu hình các
máy tính client để download bản cập nhật từ WSUS server gần nhất. Nếu văn phòng của bạn có đường
truyền Internet nhanh, bạn có thể cân nhắc việc có hay không nên triển khai bản sao về WSUS nội bộ để
lưu trữ các bản cập nhật, bạn có thể cho các client nhận các bản cập nhật trực tiếp từ Microsoft.
Các điều kiện cần thiết để triển khai WSUS
Khi lên kế hoạch triển khai WSUS, bạn cần có các điều kiện sau:
WSUS server phải được kế nối Internet (truy cập vào website Microsoft Update).
Các downstream server phải thiết lập kết nối với các upstream server và sử dụng giao thức
HTTP (TCP port 80) hoặc sử dụng SSL (TCP port 443).
Các máy tính client phải kết nối mạng cục bộ (HTTP hoặc HTTPS)
Các máy tính client phải là một trong các hệ điều hành sau:
o Windows 2000 Service Pack 3 hoặc Service Pack 4
o Windows XP Professional
o Windows Vista
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 7
o Windows Server 2003
o Windows Server 2008
Nếu máy tính client đứt kết nối trong mạng trong khoảng thời gian nào đó (ví dụ nếu một
chuyên gia nào đó nghỉ phép hoặc một nhân viên làm việc tại nhà trong một tháng và không kết
nối đến mạng VPN), client cũng sẽ không thể download các bản cập nhật. Bạn cần cấu hình các
máy tính tự động cài đặt các bản cập nhật từ website Microsoft hoặc sử dụng NAP và yêu cầu
các máy tính phải cập nhật trước khi kết nối đến mạng cục bộ.
Lên kế hoạch cài đặt WSUS
Trong suốt quá trình cài đặt WSUS, bạn cần lưu ý một số vấn đề sau:
Cập nhật source: WSUS có thể nhận các bản cập nhật trực tiếp từ trang web Microsoft Update
hoặc từ một WSUS server khác. Bạn nên cân nhắc và chọn phương pháp để giảm băng thông.
Nếu 2 WSUS server kết nối trong LAN, có 1 trong 2 server nhận bản cập nhật từ Microsoft
Update và server còn lại có thể nhận bản cập nhật từ server thứ nhất. Nếu bạn sử dụng WSUS
cho 3 chi nhánh văn phòng và kết nối VPN thông qua Internet, đây là cách hiệu quả chi mỗi văn
phòng khi download các bản cập nhật trực tiếp từ Microsoft – vì download các bản cập nhật cần
phải có kết nối Internet. Cấu trúc WSUS của bạn phải có sự sắp xếp hợp lí, các downstream
server sẽ nhận các bản cập nhật từ các upstream server.
Phê chuẩn và cấu hình nhân bản: nếu bạn sử dụng nhiều WSUS server và cấu hình các
server nhận các bản cập nhật từ một WSUS server nào đó, bạn có thể chọn việc đồng bộ các
phê chuẩn, thiết lập, máy tính và các nhóm trong cấu trúc phân cấp WSUS server. Nếu bạn cấu
hình một server đóng vai trò là một bản sao, bạn không cần phê chuẩn các bản cập nhật từ trên
WSUS server.
Cập nhật lưu trữ: WSUS có thể sao chép bản cập nhật từ Microsoft và lưu trữ chúng vào
server hoặc lưu trữ vào chính các máy tính client download các bản cập nhật từ Microsoft. Nếu
bạn chọn lưu trữ các bản cập nhật trong server, WSUS server cần tối thiểu 6 GB dung lượng
trống trong ổ cứng (mặc dù con số thực tế có thể lớn hơn, tùy thuộc vào các bản cập nhật từ
Microsoft cũng như các gói ngôn ngữ cần thiết). Việc lưu trữ các bản cập nhật trong server có
thể được xem là một cách giảm thiểu băng thông Internet vì các client nhận bản cập nhật thông
qua LAN.
Cơ sở dữ liệu: mặc định WSUS lưu trữ danh sách các bản cập nhật trong Windows Internal
Database. Bạn cần tối thiểu 3 GB dung lượng trống trong ổ cứng để lưu trữ Windows Internal
Database mặc dù thực tế khoảng 1 GB. Bạn có thể sử dụng server để lưu trữ cơ sở dữ liệu
(chẳng hạn như Microsoft SQL Server).
Chú ý: Mặc định, đường dẫn cơ sở dữ liệu trong WSUS C:\WSUS\UpdateServicesDbFiles\SUSDB.mdf
Website: triển khai WSUS cần phải có IIS vì các máy tính client nhận các bản cập nhật bằng
cách sử dụng giao thức HTTP hoặc HTTPS. Nếu bạn không sử dụng IIS trên WSUS server để tạo
ra website mới vì một mục đích nào đó, bạn có thể sử dụng website mặc định trong IIS.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 8
Ngôn ngữ: Các bản cập nhật có thể có những gói ngôn ngữ riêng đi kèm. Để giảm thiểu dung
lượng ổ cứng sử dụng, bạn nên chọn download chỉ một gói ngôn ngữ cần thiết để các máy tính
client có thể truy cập đến WSUS server dễ dàng. Bạn không nên chọn tất cả các ngôn ngữ vì
tổng dung lượng và băng thông cần thiết sẽ rất cao.
Sản phẩm: Microsoft Update cung cấp cho bạn một thư viện sản phẩm đa dạng không chỉ là các
hệ điều hành Windows. Chẳng hạn là các bản cập nhật Exchange Server, ISA Server, SQL Server
và Office. Bạn chỉ nên chọn những ứng dụng và hệ điều hành cần sử dụng trong doanh nghiệp
để giảm thiểu dung lượng ổ cứng.
Kiểm nghiệm việc cập nhật
Sau khi triển khai WSUS, một số máy tính client có thể sẽ không thể cập nhật được vì việc cài đặt các
bản cập nhật thất bại, nguyên nhân có thể do các máy tính client này chưa được cấu hình, không thuộc
Active Directory hoặc đứt kết nối trong một thời gian dài. Bạn có thể sử dụng một số kĩ thuật để xác định
các trường hợp trên:
Giao diện Windows Update: bạn có thể sử dụng Computer and Report trong giao diện này để
xác định các máy tính client chưa được cài đặt các bản cập nhật.
Microsoft System Center Configuration Manager 2007 (SCCM 2007): SCCM 2007 là
phiên bản mới nhất của Microsoft trong hệ thống các sản phẩm quản trị hệ thống tập trung.
SCCM 2007 cung cấp cho bạn thông tin chi tiết về các bản cập nhật và các ứng dụng trên các
máy tính. SCCM 2007 là sản phẩm tốt nhất cho doanh nghiệp. Bạn có thể xem thêm về SCCM
tại:http://www.microsoft.com/systemcenter/configurationmanager/en/us/sms.aspx
Microsoft Baseline Security Analyzer (MBSA): MBSA tự động kiểm tra và xác định các vấn
đề lỗi về cập nhật và các lỗ hổng bảo mật trong cấu hình. MBSA sẽ quét toàn mạng và cho phép
bạn có thể xem được những máy tính nào chưa nằm trong vùng kiểm soát. Bạn có thể download
MBSA tại : http://www.microsoft.com/mbsa/.
Network Access Protection (NAP): bạn có thể sử dụng NAP và kết hợp với công cụ xác thực
trạng thái của máy tính (Windows System Health Validator, công cụ này có thể xác nhận các máy
tính nào vừa cài đặt các bản cập nhật.
Tổng quan bài học
WSUS cho phép bạn lưu trữ và phân phối các bản cập nhật từ Microsoft thông qua mạng, giúp
bạn giảm thiểu được băng thông Internet. Thêm vào đó, WSUS còn cho bạn kiểm soát mỗi khi
cập nhật và triển khai trên các máy tính client.
Dịch vụ Windows Update trên client nhận các bản cập nhật từ WSUS server. Tuy thuộc vào cách
cấu hình Windows Update mà bạn có thể thông báo đến người dùng những bản cập nhật nào đã
được cài đặt hoặc tự động cài đặt mà không cần tương tác bởi người dùng. Bạn có thể cấu hình
Windows Update với Group Policy.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 9
Bạn có thể sử dụng chỉ một WSUS server duy nhất. Ngoài ra, triển khai một WSUS server độc lập
cho mỗi văn phòng giúp bạn giảm thiểu được băng thông Internet. Thêm vào đó, WSUS server
được cấu hình nhân bản hoặc có thể tự động. Với các trường hợp này, bạn cần thiết kế cấu trúc
downstream và upstream như đã giới thiệu ở phần Cấu trúc WSUS.
Một số nguyên nhân có thể khiến các máy tính client không thể cài đặt các bản cập nhật. Để
kiểm tra, xác định các client đó, bạn có thể sử dụng giao diện WSUS, SCCM 2007, MBSA hoặc
NAP.
Trắc nghiệm
1. Bạn là kĩ sư hệ thống cho doanh nghiệp cung cấp các sản phẩm video. Doanh nghiệp của bạn có
6 văn phòng và một phòng IT quản lý tất cả 1200 máy tính client. Mỗi văn phòng có 200 máy
tính. Mô hình WAN của bạn sử dụng cấu trúc hub-and-spoke, với mỗi văn phòng được kết nối
trực tiếp đến trụ sở chính. Bạn có thể thiết kế cấu trúc WSUS như thế nào?
A. Triển khai một WSUS server cho mỗi văn phòng. Cấu hình các WSUS server này được
quản lý bởi mỗi văn phòng đó và được hỗ trợ từ phòng IT.
B. Triển khai một WSUS server ở trụ sở chính. Cấu hình tất cả các máy tính client nhận các
bản cập nhật trực tiếp từ Microsoft.
C. Triển khai một WSUS server ở trụ sở chính. Cấu hình tất cả các máy tính client nhận các
bản cập nhật trực tiếp từ WSUS server.
D. Triển khai một WSUS server cho mỗi văn phòng. Cấu hình một WSUS server là bản sao
của WSUS server ở trụ sở chính.
2. Bạn là kĩ sư hệ thống và công việc của bạn là cấu hình và quản lý cập nhật cho doanh nghiệp.
Bạn cần sử dụng Group Policy để cấu hình các client download các bản cập nhật và cài đặt chúng
tự động mà không cần nhắc nhở người dùng. Thiết lập nào trong Group Policy giúp bạn làm điều
này?
A. Allow automatic update immediate installation.
B. Configure Automatic Updates.
C. No auto-restart for scheduled automatic updates.
D. Enable client-side targeting.
3. Phiên bản nào mà bạn có thể sử dụng để triển khai các máy tính client download các bản cập
nhật từ WSUS.
A. Windows 95
B. Windows 98
C. Windows 2000 Professional
D. Windows XP Professional
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 10
BÀI HỌC 2: SỬ DỤNG WINDOWS SERVER
UPDATE SERVICES
Với Windows Server 2008, bạn có thể cài đặt WSUS bằng cách sử dụng Server Manager và quản lý nó
trong giao diện Update Services. Phiên bản mới WSUS chạy trên Windows Server 2008 cung cấp cho bạn
nhiều tính năng cũng như giao diện người dùng thân thiện.
Sau bài học, bạn sẽ: Cài đặt WSUS trên Windows Server 2008.
Cấu hình các nhóm máy tính, phê chuẩn bản cập nhật và xem các báo cáo WSUS.
Xử lí sự cố khi cho cả client và server khi gặp vấn đề về cài đặt các bản cập nhật.
Thời lượng bài học: 40 phút
Cài đặt Windows Server Update Servers
Bạn có thể download WSUS miễn phí tại http://www.microsoft.com/wsus.
Sau khi cài đặt bạn cần đồng bộ cập nhật từ Microsoft Update. Thực hiện các bước sau:
1. Click Start > Administrative Tools > Microsoft Windows Server Update Services.
2. Chọn server và click vào liên kết Synchronize Now.
Quá trình đồng bộ diễn ra vài phút (cũng có thể nhiều hơn 1 giờ). Sau khi đồng bộ, bạn có thể bắt đầu
quản lý WSUS.
Cấu hình Windows Server Update Services
Sau khi cài đặt WSUS và thực hiện đồng bộ hóa, bạn bắt đầu thực hiện cấu hình WSUS:
1. Mở bảng cấu hình WSUS.
2. Cấu hình các nhóm máy tính được phân phối các bản cập nhật ở những thời điểm khác nhau.
3. Cấu hình các máy tính client nhận các bản cập nhật từ WSUS server.
4. Sau khi kiểm tra cập nhật, phê chuẩn hoặc hủy bỏ các cập nhật.
5. Xem các bảng báo cáo để xác nhận các bản cập nhật đã được phân phối thành công và xác định
các vấn đề lỗi.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 11
Cấu hình WSUS Option
Bạn có thể cấu hình các tùy chọn theo từng mục sau:
Update Source and Proxy Server: cấu hình các upstream server hoặc cấu hình WSUS server
nhận các bản cập nhật từ Microsoft. Tại đây, bạn có thể thay đổi các thiết lập nếu không còn sửa
lại cấu trúc WSUS.
Products and Classifications: chọn các bản cập nhật Microsoft mà bạn muốn WSUS
download. Bạn nên chọn thiết lập này khi bắt đầu hỗ trợ cho một sản phẩm mới từ Microsoft
hoặc ngừng hỗ trợ đối với một sản phẩm nào đó (chẳng hạn là một phiên bản Microsoft Office
cũ)
Update Files and Languages: chọn nơi lưu trữ các bản cập nhật và gói ngôn ngữ của bản cập
nhật.
Synchronization Schedule: cấu hình tự động đồng bộ các bản cập nhật từ những upstream
server.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 12
Automatic Approval: cấu hình tự động phê chuẩn các bản cập nhật. Ví dụ, bạn có thể cấu hình
những bản cập nhật vá lỗi bảo mật được tự động phê chuẩn và cài đặt. Bạn chỉ nên chọn thiết
lập này nếu như bạn đã quyết định bỏ qua bước kiểm nghiệm cập nhật.
Computer: chọn những máy tính từ nhóm nào đó thông qua giao diện Update Services hoặc
Group Policy.
Server Cleanup Wizard: WSUS sẽ tích lũy các bản cập nhật không còn cần thiết và các máy
tính không còn hoạt động trong thời gian ngoài giờ làm việc. Trong thiết lập này, bạn có thể xóa
bỏ những bản cập nhật đã quá hạn hoặc không cần thiết với mục đích dọn dẹp ổ cứng cũng như
giảm dung lượng cơ sở dữ liệu WSUS.
Reporting Rollup: mặc định, downstream server sẽ gửi các bản báo cáo thông tin lên upstream
server. Bạn có thể sử dụng thiết lập này để cấu hình cho từng server có thể quản lý được các
bản báo cáo dữ liệu.
E-mail Notifications: WSUS có thể gửi e-mail mỗi khi những bản cập nhật mới được đồng bộ
hóa, những thông tin quản trị để phê chuẩn, kiểm nghiệm các bản cập nhật này. Thêm vào đó,
sử dụng thiết lập này để gửi các bản báo cáo trạng thái cập nhật hàng ngày hoặc hàng tuần.
Microsoft Update Improvement Program: mặc định bị vô hiệu hóa, bạn có thể bật thiết lập
này lên để gửi cho Microsoft những thông tin chi tiết về quá trình cập nhật trong doanh nghiệp
của bạn, bao gồm số lượng máy tính đã hoàn thành và chưa hoàn thành càu đặt đối với mỗi bản
cập nhật. Microsoft sẽ sử dụng những thông tin này để nâng cao và cải thiện quy trình cập nhật.
Personalization: trên trang này bạn có thể cấu hiện cho phép hiển thị các dữ liệu từ
downstream server. Bạn có thể chọn các thành phần nào được hiển thị trong danh sách To do
lisy that appears khi bạn click chọn vào WSUS server trên giao diện Update Services.
WSUS Server Configuration Wizard: cho phép bạn cấu hình lại WSUS.
Cấu hình các nhóm máy tính
Trong đa số các môi trường, bạn sẽ không thể triển khai tất cả các bản cập nhật đến tất cả các client
trong một lần. Để cho bạn kiểm soát được khả năng nhận các bản cập nhật của máy tính, WSUS 3.0 cho
phép bạn cấu hình các nhóm máy tính và triển khai cập nhật đến một hoặc nhiều nhóm. Bạn có thể tạo
thêm các nhóm phân loại theo nhãn hiệu máy tính hoặc các phòng ban trong doanh nghiệp. Bạn có thể
tạo các nhóm theo các và áp dụng các quy trình cập nhật, có thể như sau:
Kiểm tra thử nghiệm: triển khai cập nhật trên mô hình lab để thử nghiệm. Việc này cho phép
bạn xác định được khả năng làm việc ổn định hay không. Sau đó bạn có thể kiểm nghiệm trên
một máy tính sau khi cài đặt các bản cập nhật.
Thí điểm: sau khi kiểm nghiệm, bạn sẽ triển khai cập nhật đến một nhóm thí điểm nào đó.
Nhóm này có thể là phòng ban IT hoặc một nhóm phòng ban khác có am hiểu về máy tính. Việc
này giúp bạn thử nghiệm trên một nhóm máy tính và xem xét khả năng làm việc.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 13
Triển khai thật: nếu triển khai thí điểm suôn sẻ, không gặp bất cứ vấn đề nào sau 1 tuần thì
bạn có thể triển khai đến tất cả các máy tính làm việc trong công ty. Điều này giúp bạn giảm
thiểu rủi ro.
Bạn có thể cấu hình các nhóm máy tính theo 1 trong 2 hướng sau:
Server-side targeting: thích hợp đối với doanh nghiệp nhỏ, bạn có thể thêm các máy tính vào
nhóm bằng cách cấu hình trên giao diện Update Services.
Client-side targeting: thích hợp đối với doanh nghiệp lớn, bạn sử dụng Group Policy để cấu
hình các máy tính nào đó thuộc nhóm các máy tính. Các máy tính được tự động đưa vào đúng
nhóm khi chúng kết nối đến WSUS server.
Cho dù bạn triển khai bằng cách nào đi chăng nữa thì việc đầu tiên bạn cần làm là tạo nhóm máy tính.
Mặc định có một nhóm máy tính duy nhất là: All Computer. Nhóm này bao gồm tất cả các máy tính. Để
tạo thêm nhóm, thực hiện các bước sau:
1. Click Start > Administrative Tools > Microsoft Windows Server Update Services.
2. Click Computer. R-click vào All Computers và chọn Add computer group.
3. Nhập tên nhóm và click Add.
4. Thực hiện lại bước 2 và 3 nếu bạn muốn thêm các nhóm khác.
Server-side targeting: thêm các máy tính vào một nhóm. Thực hiện các bước sau:
1. Trên giao diện Update Services, click Computer > All Computer và chọn Unassigned
computers. Sau đó, r-click vào máy tính bạn muốn đưa vào nhóm (bạn có thể chọn nhiều máy
tính bằng cách click và giữ phím Ctrl) và chọn Change Membership.
2. Tại hộp thoại Set computer group membership, đánh dấu chọn vào nhóm mà bạn muốn đưa
máy tính vào. Click OK.
Client-side targeting: bạn có thể sử dụng Group Policy object (GPO) để thêm các máy tính vào các
nhóm khi. Trước tiên, bạn cần thiết lập cho phép sử dụng client-side targeting. Thực hiện các bước sau:
1. Click Start > Administrative Tools > Microsoft Windows Server Updates Services.
2. Click Options > Computers.
3. Tại hộp thoại Computer, chọn Use Group Policy or Registry Settings on Computers. Sau
đó click OK.
Tiếp theo, cấu hình GPO để di chuyển các máy tính đến các nhóm. Bạn cần tạo một GPO độc lập cho mỗi
nhóm máy tính. Sau đó cấu hình cho phép áp dụng đối với những máy tính thích hợp.
1. Tại Group Policy Management Editor, mở GPO.
2. Click Computer Configuration > Administrative Templates > Windows Components >
Windows Update.
3. Double-click vào chính sách Enable Client-side targeting.
4. Hộp thoại hiển thị, chọn Enabled. Sau đó nhập tên nhóm máy tính mà bạn muốn áp dụng và
click OK. Sau khi các client được áp dụng Group Policy, khởi động lại Windows Update Services.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 14
Kiểm tra nhanh
1. Giao thức nào cho phép dịch vụ Windows Update của client có thể nhận được các bản cập nhật từ server WSUS?
2. Bạn nên sử dụng cách triển khai client-side targeting hay server-site targeting cho doanh nghiệp
lớn Trả lời nhanh
1. HTTP. 2. Doanh ngiệp lớn thì nên sử dụng client-side targeting
Cấu hình các máy tính client
Ở bài học trước, bạn đã được tìm hiểu về sự khác nhau của các chính sách Group Policy trong việc cấu
hình các máy tính client nhận các bản cập nhật. Việc có nhiều thao tác cấu hình sẽ khiến bạn tốn thời
gian, phần này bạn sẽ được hướng dẫn cấu hình để giảm thiểu các bước cấu hình không cần thiết nhằm
mục đích các client có thể download các bản cập nhật từ WSUS server.
1. Mở GPO mà bạn muốn sử dụng để thực hiện cấu hình. Trong Group Policy Management
Editor, click Computer Configuration > Administrative Templates > Windows
Components > Windows Update.
2. Double-click vào Specify intranet Microsoft Update service location.
3. Chọn Enabled. Trên cả trường Set the intranet update services for detecting updates và
Set the intranet statistics server, nhập tên của WSUS server, chẳng hạn http://SERVER. Click
OK.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 15
4. Double-click vào chính sách Configure Automatic Updates.
5. Chọn Enabled. Cấu hình thiết lập tự động cập nhật. Tại Scheduled install day bạn có thể
chọn tất cả các ngày trong tuần hoặc một ngày cụ thể trong tuần áp dụng các chính sách. Thiết
lập thời gian thực hiện chính sách tại danh sách Scheduled install time.
Notify for download and notify for install: thông báo download và cài đặt đến người
dùng.
Auto download and notify for install: tự động download và thông báo cài đặt đến
người dùng.
Auto download and schedule the install: tự động download và thiết lập thời gian cài
đặt.
Allow local admin to choose setting: cho phép người dùng có thể tự chọn những
thiết lập này.
Với những thiết lập trên, các máy tính client sẽ nhận được các bản cập nhật từ WSUS server và tự động
cài đặt.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 16
Phê chuẩn các bản cập nhật
Mặc định, tất cả các bản cập nhật đều chưa được phê chuẩn. Bạn cần phải cấu hình phê chuẩn các bản
cập nhật, thực hiện các bước sau:
1. Click Start > Administrative Tools > Microsoft Windows Server Update Services.
2. Click vào WSUS server. Sau đó click Update, lựa chọn các tùy chọn sau:
All updates: hiển thị tất cả bản cập nhật. Việc làm này thuận lợi cho việc phê chuẩn
các bản cập nhật.
Critical updates: chỉ hiển thị những bản cập nhật vá lỗi nghiêm trọng, những bản vá lỗi
này cần được ưu tiên hàng đầu trong việc cập nhật để đảm bảo an toàn hệ thống cũng
như máy tính người dùng.
Security updates: chỉ hiển thị những cập nhật liên quan đến bảo mật.
WSUS updates: hiển thị những bản cập nhật liên quan đến quy trình xử lý cập nhật.
3. Tại danh sách Appoval, chọn Unapproved. Bạn có thê sử dụng danh sách để xem các bản cập
nhật được phê chuẩn.
4. Từ danh sách Status, chọn Any. Click Refresh để làm mới hiển thị các bản cập nhật.
Để sắp xếp các bản cập nhật theo thứ tự ưu tiên về ngày tháng, r-click vào một cột và chọn Release
Date. Sau đó, click và cột Release Date để sắp xếp lại.
5. Chọn những bản cập nhật bạn muốn phê chuẩn, Bạn có thể chọn nhiều bản cập nhật bằng cách
click và giữ phím Ctrl. Ngoài ra bạn có thể chọn nhiều bản cập nhật một lúc bằng cách click
chuột và giữ phím shift. Nhấn Ctrl +A để chọn tất cả các bản cập nhật. R-click vào bản cập nhật
đã chọn và chọn Approve (với mục đích phân phối các bản cập nhật này đến client vào thời
điểm các client kiểm tra cập nhật) hoặc chọn Decline (không cho phân phối bản cập nhật này).
6. Nếu hiển thị hộp thoại Approve Updates, chọn nhóm máy tính bạn muốn áp dụng cập nhật và
chọn Approved for install. Click OK nếu bạn đã hoàn tất quá trình phê chuẩn
7. Để thiết lập thời hạn cập nhật, bạn có thể r-click vào nhóm máy tính và chọn Deadline, sau đó
chọn thời hạn cập nhật.
8. Click OK.
Từ chối các bản cập nhật
Sau khi phê chuẩn các bản cập nhật cần thiết, bạn có thể từ chối phê chuẩn nếu bạn không muốn cài đặt
các bản cập nhật này trên máy tính. Việc từ chối các bản cập nhật không ảnh hưởng gì đến các máy tính
client.
1. Tại giao diện Update Services, r-click vào bản cập nhật bạn muốn từ chối và chọn Decline.
2. Tại hộp thoại Decline update, click Yes.
Để xem lại các bản cập nhật đã bị từ chối, tại danh sách Approval, chọn Declined. Sau đó click
Refresh.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 17
Xem các bảng báo cáo
Bạn có thể xem chi tiết các bản cập nhật, máy tính hoặc sự đồng bộ. Click Report trên giao diện
Update Services.
WSUS cung cấp cho bạn các thông tin sau:
Update Status Summary: hiển thị các thông tin về mỗi bản cập nhật mà bạn chọn, bao gồm
mô tả đầy đủ về bản cập nhật (được cung cấp bởi Microsoft), các bản cập nhật được phê chuẩn
trên nhóm máy tính, số lượng máy tính đã cài đặt các bản cập nhật.
Update Detailed Status: ngoài những thông tin hiển thị ở Update Status Summary, mục
này hiển thị trạng thái của tất cả máy tính cho mỗi cập nhật theo từng trang, cho phép bạn xác
định chính sách máy tính này đã cài đặt cập nhật. Đây là những thông tin hữu ích giúp bạn có
thể xác định những lỗ hổng bảo mật cũng như các máy tính dính lỗ hổng bảo mật đó.
Update Tabular Status: hiển thị những dữ liệu của cả bảng Update Status Summary và
Update Detailed Status và xuất ra báo cáo dạng bảng tính.
Computer Status Summary: hiển thị những thông tin cập nhật cho mỗi máy tính.
Computer Detailed Status: ngoài những thông tin ở Computer Status Summary, mục này
hiển thị những máy tính nào đã cài đặt những bảng cập nhật nào.
Computer Tabular Status: cung cấp cho bạn thông tin của cả bảng Computer Status
Summary và Computer Detailed Status và xuất ra báo cáo dạng bảng tính.
Syncronization Results: hiển thị kết quả quá trình đồng bộ hóa mới nhất.
Khi bạn mở một bảng cáo cáo, bạn có thể cấu hình để lọc các thông tin hiển thị trong bảng báo cáo đó.
Chẳng hạn như những bảng báo cáo mà bạn muốn hiển thị theo tên sản phẩm
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 18
Quản lý đồng bộ hóa
Tại mục Synchronizations sẽ hiển thị danh sách thời gian WSUS nhận danh sách các bản cập nhật từ
upstream server. Bạn có thể r-click vào một đồng bộ bất kì và chọn Synchronization để xem thông tin
chi tiết.
Khắc phục sự cố trong quá trình cập nhật
Thỉnh thoảng, bạn sẽ có thêm kinh nghiệm trong việc khắc phục sự cố cài đặt nếu như gặp phải lỗi trong
việc cập nhật. Bạn có thể sử dụng WSUS để xác định các client nào đã được cài đặt các bản cập nhật
hoặc chưa cài đặt.
Khắc phục sự cố WSUS
WSUS tạo ra 3 bản ghi:
Application event log: bản hi này lưu trữ các sự kiện liên quan đến vấn đề đồng bộ hóa, lỗi
trong Update Services, lỗi cơ sở dữ liệu WSUS liên quan đến source cài đặt WSUS. Hầu hết các
sự kiện đều cung cấp thông tin chi tiết về nguyên nhân cũng như hướng dẫn khắc phục sự cố.
Thêm vào đó, bạn có thể tìm kiểm lỗi tại trang http://support.microsoft.com.
C:\Program Files\Update Services\LogFiles\Change.txt: một tập tin có định dạng *.txt
lưu trữ các thông tin về cài đặt các bản cập nhật, đồng bộ và sự thay đổi cấu hình WSUS. Các
thông tin này không chi tiết nhưng cũng có thể cho bạn biết những thông tin quan trọng chẳng
hạn nếu quản trị viên thay đổi một thiêt lập nào đó, tập tin sẽ ghi lại dòng chữ “WSUS
confoguration has been changed”.
C:\Program Files\Update Services\LogFiles\SoftwareDistribution.txt: hiển thị thông tin
chi tiết và được hỗ trợ từ Microsoft.
Khắc phục sự cố Windows Update trên client
Để xác định các vấn đề là nguyên nhân khi cập nhật thất bại, thực hiện các bước sau:
1. Mở tập tin %Systemroot%\WindowsUpdate.log để các thông báo lỗi. Bạn có thể xem hướng dẫn
đọc WindowsUpdate.log tại địa chỉ http://support.microsoft.com/kb/902093/
2. Xác nhận client nào kết nối đến WSUS server bằng cách mở trình duyệt Web và gõ địa chỉ
http://<tên_WSUS_server>/iuident.cab. Nếu khung nhắc nhở hiện ra thông báo bạn cần
download tập tin, có nghĩa là client đó đã kết nối đến WSUS server.
3. Nếu bạn sử dụng Group Policy để cấu hình Windows Update, bạn có thể sử dụng công cụ
Resultant set of Policy (RSOP) để xác nhận các cấu hình. Bạn vào Run vào gõ Rsop.msc để mở
RSOP. Trong RSOP, click Computer Configuraion > Administrative Templates > Windows
Components > Windows Update để xem và xác nhận các thiết lập.
Nếu bạn đã phát hiện ra một vấn đề và sau đó cấu hình lại để khắc phục sự cố, bạn cần khởi động lại
dịch vụ Windows Update trên máy tính client để thay đổi có hiệu lực. Bạn có thể sử dụng công cụ
Services (services.msc) hoặc sử dụng lệnh sau để khởi động lại dịch vụ Windows Update.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 19
net stop wuauserv
net start wuauserv
Trong khoảng 6 – 10 phút, Windows Update sẽ gửi thông tin lên server.
Để Windows Update bắt đầu truy vấn đến WSUS server, sử dụng lệnh sau:
wuauclt /a
Xóa bỏ các bản cập nhật
Thỉnh thoảng bạn vẫn gặp lỗi cập nhật, chẳng hạn sau khi bạn cập nhật lên phiên bản mới thì ứng dụng
không còn tương thích, bạn có thể xóa bỏ cập nhật đó, thực hiện các bước sau:
1. Click Start > Control Panel.
2. Dưới Programs, click Uninstall a program.
3. Dưới Tasks, click View installed updates.
4. Chọn bản cập nhật bạn muốn xóa bỏ. Click Uninstall.
5. Khởi động lại nếu cần thiết.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 20
THỰC HÀNH: TRIỂN KHAI WSUS
Trong bài thực hành, bạn cấu hình WSUS trên server, sử dụng Group Policy để cấu hình các máy tính
client, sau đó phê chuẩn và phân phối các bản cập nhật.
Bài thực hành 1: cài đặt WSUS và thực hiện đồng bộ hóa
Trong bài thực hành này, bạn sẽ cài đặt WSUS. Để giảm thiểu dung lượng lưu trữ, bạn sẽ cấu hình WSUS
server kết nối trực tiếp đến client để nhận các bản cập nhật trực tiếp từ Micrsoft.
1. Download WSUS tại địa chỉ http://www.microsoft.com/wsus/
2. Tại trang License Agreement, click I accept the terms of the License agreement để chấp
nhận các điều khoản cài đặt và sử dụng. Click Next.
3. Tại trang Required Component to use administration UI, thông báo cho bạn cần cài đặt
ứng dụng Microsoft Report Viewer 2008 Redistributable để xem các bảng báo cáo trực
quan. Click Next.
4. Tại trang Select Update Source, đánh dấu chọn Store updates locally để lưu trữ các bản
cập nhật trên server. Click Browse và chọn đường dẫn cho WSUS. Click Next.
5. Trên trang Database Options, đánh dấu chọn vào Install Windows Internal Database on
this computer. Click Next.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 21
6. Tại trang Web Site Selection đánh dấu chọn vào Create a Windows Server Update
Services 3.0 SP2 Web site để sử dụng một website khác website mặc định trong IIS. Click
Next.
7. Tại trang Ready to Install Windows Server Update Services xem lại các thông tin cuối cùng
trước khi cài đặt. Click Next để tiến hành cài đặt.
8. Click Finish để hoàn tất.
9. Đợi khoảng 2 phút, trang Before You Begin hiển thị, click Next để tiến hành cấu hình WSUS
server.
10. Tại trang Join the Microsoft Update Improvement Program, đánh dấu chọn Yes, I would
like to join the Microsoft Update Improvement Program để được hỗ trợ từ Microsoft trong
quá trình cập nhật. Click Next.
11. Tại trang Choose Upstream Server, đánh dấu chọn vào Synchronize from Microsoft
Update nếu bạn muốn đồng bộ đến Microsoft Update. Nếu bạn muốn đồng bộ đến một WSUS
khác đánh dấu chọn Synchronize from another Windows Server Update Services server,
sau đó nhập tên server muốn đồng bộ và port. Ngoài ra, click vào Use SSL when
synchronizing update information nếu bạn muốn sử dụng chứng thực SSL trong quá trình
đồng bộ. Đánh dấu chọn This is a replica of the upstream server nếu bạn muốn server hiện
tại đóng vai trò upstream server. Click Next.
12. Tại trang Specify Proxy Server, nếu bạn muốn sử dụng proxy server đánh dấu chọn Use a
proxy server when synchronizing. Click Next.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 22
13. Tại trang Connect to Upstream Server, click Start Connecting để bắt đầu kết nối theo sự
lựa chọn mà bạn đã chọn ở trang Choose Upstream Server. Đợi quá trình kết nối hoàn tất và
click Next.
14. Tại trang Choose Languages, đánh dấu chọn vào Download updates only in these
languages và chọn gói ngôn ngữ. Việc tùy chọn gói ngôn ngữ sẽ giúp bạn giảm được băng
thông. Click Next.
15. Tại trang Choose Products, chọn sản phẩm mà bạn muốn cập nhật. Click Next.
16. Tại trang Choose Classifications, đánh dấu chọn những đối tượng bạn muốn cập nhật. Click
Next.
17. Tại trang Set Sync Schedule, đánh dấu chọn Synchronize automatically và thiết lập thời
gian đồng bộ hóa. Click Next.
18. Đợi quá trình đồng bộ hóa hoàn tất.
Bạn cũng có thể thực hiện cách sau để đồng bộ hóa.
1. Click Start > Administrative Tools > Microsoft Windows Server Update Services.
2. Giao diện Update Services hiển thị.
3. Chọn server là SERVER (tên server bạn muốn cài đặt WSUS). Tại khung Details, click
Synchronize Now để thực hiện đồng bộ hóa với website Microsoft Update
Quá trình đồng bộ diễn ra trong vài phút (có thể là hơn một giờ tùy đường truyền của bạn)
Bài thực hành 2: Cấu hình các máy tính client để nhận các bản cập
nhật
Trong bài thực hành, bạn sẽ sử dụng Group Policy để cấu hình các máy tính client nhận các bản cập nhật
từ WSUS server thay vì trực tiếp từ Microsoft.
1. Mở GPO bạn muốn áp dụng cấu hình. Tại Group Policy Management Editor, click chọn
Computer Configuration > Administrative Templates > Windows Components >
Windows Update.
2. Double-click vào Specify intranet Microsoft Update services location.
3. Chọn Enabled. Trên cả hai trường là Set the intranet update service for detecting
updates và Set the intranet statistics server, gõ http://server. Click OK.
4. Double-click vào Configure Automatic Updates.
5. Chọn Enabled. Cấu hình các thiết lập tự động cập nhật. Click OK.
Đăng nhập vào máy tính client bằng quyền Administrator. Vào Run và gõ lệnh gpupdate /force để áp
dụng các chính sách vừa cấu hình trên.
Bài thực hành 3: Phê chuẩn các bản cập nhật
Trong bài thực hành này, bạn sẽ phê chuẩn một bản cập nhật để triển khai đến máy tính client.
1. Trên WSUS server, tại giao diện Update Services, click Updates. Chọn All Updates.
2. Tại danh sách Approval, chọn Unapproved.
3. Tại danh sách Status, chọn Any. Click Refresh để hiển thị các bản cập nhật.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 23
4. Chọn những bản cập nhật gần đây nhất để áp dụng cho máy tính client. R-click vào bản cập nhật
đã chọn và click Approve.
5. Trên hộp thoại Approve updates, chọn All Computers và chọn Approved for install. Click
OK.
6. Nếu hiển thị các vấn đề về bản quyền, click I accept.
7. Xem các lỗi hiển thị trong hộp thoại Approval progress để xác nhận các bản cập nhật đã được
cài đặt đến client. Sau đó click Close.
8. Tại giao diện Update Services, chọn Computers > All Computers. Tại danh sách Status,
chọn Any và click Refresh. Máy tính client lúc này sẽ hiển thị trên danh sách
Trên máy tính client, khởi động lại dịch vụ Windows Update.
Tổng quan bài học
Bạn có thể download WSUS từ Microsoft.com.
Sau khi cài đặt WSUS và đồng bộ những bản cập nhật từ upstream server, bạn nên cấu hình các
nhóm máy tính để cho phép chúng nhận được các bản cập nhật. Tiếp theo, phê chuẩn hoặc từ
chối các bản cập nhật và đợi cho chúng được phân phối xuống các client. Sử dụng bảng báo cáo
để xác nhận quá trình cập nhật hoàn tất và xác định những máy client nào đã hoặc chưa cài đặt
các bản cập nhật.
Bạn có thể xem bản ghi log về quá trình cập nhật để khắc phục sự cố về WSUS hoặc trên client.
Mặc dù bạn có thể xóa một số bản cập nhật bằng cách sử dụng WSUS, tuy nhiên bạn nên xóa
các bản cập nhật từ những máy tính client.
Trắc nghiệm
1. Bạn là kĩ sư hệ thống mạng của một doanh nghiệp chuyên về thiết bị âm thanh ánh sáng. Mới
đây, bạn sử dụng MBSA để kiểm tra các vấn đề cập nhật bảo mật của máy tính client. Bạn nhận
thấy có một số máy tính không thể cài đặt được các bản cập nhật. Bạn có thể xem thông tin các
máy tính này ở đâu? (chọn tất cả các đáp án đúng)
A. Xem ở System log trên máy tính client.
B. Xem ở Application and Services logs \Microsoft\Windows\Windows
UpdateClient\Operational trên máy tính client.
C. Xem ở System log trên WSUS server.
D. Xem ở %SystemRoot%\WindowsUpdate.log.
2. Bạn là kĩ sư hệ thống của một công ty kiến trúc. Bạn vừa mới triển khai WSUS và bạn cần xác
nhận các bản cập nhật đã phân phối thành công. Thông tin nào sau đây mà bạn nhận được từ
báo cáo Update Status Summary?
A. Các nhóm máy tính được phê chuẩn các bản cập nhật.
B. Các máy tính đã hoàn tất cài đặt các bản cập nhật.
C. Bản cập nhật bị xóa bỏ.
D. Số lượng máy tính không thể cài đặt một bản cập nhật.
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 24
3. Bạn đang triển khai WSUS cho doanh nghiệp lớn. Hiện tại, bạn cấu hình các máy tính client thuộc
các nhóm khác nhau để bạn có thể triển khai cập nhật. Bạn có thể cấu hình đưa máy tính vào
nhóm bằng cách nào? (chọn tất cả các đáp án đúng)
A. Bật chính sách Configure Automatic Updates.
B. Thiết lập Client-side targeting trong Group Policy.
C. Tại Update Services, r-click vào máy tính và chọn Change Membership.
D. Tại Update Services, đưa máy tính vào nhóm thích hợp.
Tóm tắt chương
WSUS cho phép bạn kiểm soát và phân phối các bản cập nhật từ Microsoft đến máy tính client.
Một WSUS server có thể sao chép các bản cập nhật từ Microsoft và lưu trữ chúng tại server đó.
Sau đó các máy tính client sẽ download các bản cập nhật từ WSUS server thay vì download
chúng từ Microsoft thông qua Internet. Để hỗ trợ doanh nghiệp với nhiều văn phòng,
downstream WSUS server có thể đồng bộ hóa các bản cập nhật, phê chuẩn và cấu hình thiết lập
từ upstream WSUS server, cho phép bạn có thể thiết kế cấu trúc phân cấp để có thể mở rộng
quy mô.
Cài đặt WSUS cần phải cài đặt IIS và WSUS có thể sử dụng site mặc định có sẵn khi mới cài đặt
IIS là Default Web Site. Sau khi cài đặt WSUS, bạn có thể quản lý WSUS với giao diện Update
Services. Trước tiên, bạn nên đồng bộ WSUS server với website Microsoft Update. Sau đó, tạo
các nhóm máy tính để triển khai. Tiếp theo, cấu hình các máy tính client có thể download các
bản cập nhật từ WSUS server thay vì download từ Microsoft Update server thông qua Internet.
Thuật ngữ
Downstream server
Upstream server
Windows Server Update Services (WSUS)
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 25
Ngữ cảnh
Trong những ngữ cảnh sau đây, bạn sẽ được áp dụng thiết kế hạ tầng WSUS.
Ngữ cảnh 1: Lên kế hoạch triển khai hạ tầng WSUS cơ bản
Bạn là một kĩ sư hệ thống của ICT24H. Hiện tại, bạn cấu hình tất cả máy tính client download các bản
cập nhật trực tiếp từ Microsoft và tự động cài đặt các bản cập nhật này. Tuy nhiên, sau khi một phiên
bản mới được tung ra, bạn nhận thấy hóa đơn dịch vụ băng thông Internet tăng đột biến sau khi
Microsoft tung ra phiên bản mới trên website Windows Update.
Vì thế, bạn sử dụng WSUS để giảm băng thông sử dụng cho trụ sở chính – chứa khoảng 250 máy tính.
Thậm chí, bạn bắt đầu kiểm tra thử nghiệm cập nhật trước khi triển khai thật. Tuy nhiên bạn không có
nhân viên nào vận hành việc kiểm nghiệm , vì thế bạn đã chọn cách tự động phê chuẩn và cài đặt các
bản cập nhật.
Bạn tới phòng giám đốc để thảo luận về hóa đơn phí thuê bao từ ISP. Giám đốc yêu cầu bạn trả lời một
số câu hỏi sau:
1. Làm thế nào để giảm băng thông từ WSUS?
2. Cần bao nhiêu WSUS server?
3. Làm thế nào để cấu hình WSUS tự động phê chuẩn các bản cập nhật?
Ngữ cảnh 2: Lên kế hoạch triển khai một hạ tầng WSUS phức tạp
Bạn là kĩ sư hệ thống của ICT24H, một tập đoàn đa quốc gia với nhiều chi nhánh văn phòng khắp năm
châu. Trụ sở chính đặt tại London và bạn có các chi nhánh văn phòng đặt tại New York, Mexico, Tokyo
và France. Tất cả các văn phòng đều được trang bị đường truyền Internet tốc độ cao và chúng được kết
nối VPN theo cấu trúc full-mesh (mạng lưới khép kín). Hay nói một cách khác là mỗi văn phòng kết nối
trực tiếp đến 4 văn phòng còn lại.
Hiện tại, phòng IT ở London quản lý cả văn phòng ở London và New York. Các văn phòng Mexico, Tokyo
và France có các phòng IT của riêng họ. Bạn bắt đầu triển khai WSUS trên Windows Server 2008 và tạo
ra một cấu trúc đáp ứng kết nối cho 5 văn phòng.
Sau đó là cuộc trò chuyện giữa trường phòng IT ở văn phòng Mexico và giám đốc của bạn. Nội dung như
sau:
Trưởng phòng IT ở văn phòng Mexico: “ Tôi đã nói chuyện với các trưởng phòng IT ở Tokyo và
France, và họ có những yêu cầu kĩ thuật , ngôn ngữ, hệ điều hành và kiểm nghiệm riêng biệt. Vì
thế, chúng tôi cần quản lý việc phê chuẩn cập nhật. Tuy nhiên, chúng tôi chỉ đồng bộ hóa cập
nhật từ server trung tâm”
Giám đốc của bạn: “Không thành vấn đề cho dù bạn có đồng bộ cập nhật giữa các văn phòng
hoặc từ Internet. Vì chúng ta sử dụng VPN và tất cả thông qua Internet.”
ICT VIETNAM COMMUNITY
I C T 2 4 H . N E T
Page 26
Câu hỏi:
1. Bạn cần bao nhiêu WSUS server và cấu trúc như thế nào?
2. WSUS server nào sẽ được nhân bản và được quản lý độc lập?
--- Hết ---
