درس یکصد و هفتاد و یکم: نصب WSUS

 نصب WSUS

 

 

پیش نیازها

برای تبدیل کردن یک کامپیوتر Windows Server 2016 به WSUS Server کافیست که رولی به نام Windows Server Update Services  را روی کامپیوتر فوق نصب و پیکربندی کنیم. در حین نصب رول WSUS ، بصورت خودکار IIS Role ( یا همان Microsoft Web Server Role ) نیز نصب میشود. چرا IIS نصب میشود؟ چون WSUS در واقع یک نسخه local از Microsoft Update Web Server میباشد. بنابراین باید WSUS Client های شبکه بتوانند به Web Interface مربوط به WSUS Server متصل شوند. چنانچه از قبل IIS روی کامپیوتر فوق نصب باشد، در حین نصب WSUS Role فقط آن کامپوننت ها و سرویسهایی که مورد نیاز WSUS هستند و نصب نمی باشند، نصب خواهند شد.

برنامه WSUS برای انجام کارهای خود از سرویس های ذیل استفاده میکند:

  • Update Service
  • Reporting Web Service
  • Client Web Service
  • Simple Web Authentication Web Service
  • Server Synchronization Service
  • DSS Authentication Web Service

قبل از نصب Role WSUS مطمئن شوید که موارد ذیل رعایت شده است:

  • ملزومات سخت افزاری
  • اگر Role یا برنامه یا سخت افزاری نصب کرده اید که نیاز به Restartکردن سرور فوق دارد، حتما قبل از نصب WSUS سیستم را ریستارت نمایید
  • روی سروری که قرار است نقش WSUS را داشته باشد باید نسخه های 5 و 4 ابزار .net framework نصب باشد.
  • روی سرور فوق باید حتما Microsoft report viewer 2012 Redistribute نصب باشد.
  • IIS باید نصب شده باشد.
  • وقتی IIS نصب شد، سرویس NT Authority Network روی مسیر ذیل باید دسترسی allow full control داشته باشد:

\windows\microsoft.Net\framwork\v4.030319\Temporary ASP.net files

نصب WSUS

بیاید WSUS Role را روی Server مورد نظر نصب کنیم:

1- ابتدا با یک اکانتDomain Administrator به کامپیوتر فوق login میکنیم. پس کامپیوتر قبلا join شده است به دامین.

2- در کنسول Server Managers روی Add roles and features کلیک میکنیم تا ویزارد مربوط به نصب role آغاز بکار کند. صفحات ابتدایی را طی میکنیم.

3- در صفحه Select Server Roles رولی بنام Windows Server Update Services را تیک میزنیم. 

4- در صفحه select Role Services ضمن نگه داشتن تیک چکباکس WSUS Services ، مشخص میکنیم که قصد استفاده از WID را داریم یا SQL Server را. ( ما WID را انتخاب میکنیم)

171-1 Select role Services page

5- در صفحه Content location Selection مسیر ذخیره سازی آپدیتهای دانلود شده را مشخص میکنیم. ما یک مسیر لوکال ( C:\updates DL ) را تعیین کردیم.

171-2 content location selection page

6- صفحه Web Server Role (IIS) ظاهر میشود که اعلان میکند که IIS را نصب خواهد کرد. روی دکمه next کلیک میکنیم. لذا IIS v10.0 شروع به نصب میشود و با آن ASP.net v4.6 و Windows Communication Foundation نیز نصب میگردد.

171-3 IIS Role page

7- صفحه Select Role Services مربوط به IIS نمایان میشود.

171-4 IIS role services page

ویژگی های ذیل را تیک میزنیم که نصب شوند:

  • خصوصیت health and diagnostics با تمام زیرمجموعه عایش
  • خصوصیت static content compression که زیر مجموعه خصوصیت performance است
  • خصوصیت .Net extensibility 3.5 از زیرمجموعه Application Development

8- ویزارد را تا پایان ادامه میدهیم تا WSUS و IIS نصب شوند.

9- پس از پایان نصب در کنسول Server Manager و در قسمت notifications مانند شکل ذیل روی علامت هشدار کلیک میکنیم

171-5 launch post

و سپس روی لینک launch post-installation tasks کلیک می نماییم تا پیکربندی WSUS انجام شود. پس از پایان کار پیغامی مبنی بر موفقیت آمیز بودن عملیات باید نشان داده شود.

WSUS Role را میتوان از طریق وارد کردن دستور ذیل در Windows PowerShell نیز نصب کرد:

install-windowsfeature -name updateservices –includemanagementtools

دستور فوق صرفا WSUS و WSUSutil.exe را نصب میکند و از طریق آن نمی توان پارامترهای دیگر را تنظیم کرد. برای تنظیم دیگر پارامترها باید از خود wsusutil.exe استفاده کرد. بعنوان مثال دستور مشخص میکند که آپدیت های دانلود شده در مسیر C:\Updates DL ذخیره شوند.

wsusutil.exe postinstall content_dir=c:\Updates DL

 

 

اقدامات مهم پس از نصب WSUS

اگر به یاد داشته باشید در بخش پیش نیازها گفتیم که باید یک Service Account بنام NT Authority Network روی فولدر Temporary ASP.NET Files در مسیر ذیل دارای دسترسی Allow full control باشد:

%systemroot%\Microsoft.NET\Framework\v4.0.30319

پس به مسیر فوق رفته، وارد پنجره Properties فولدر Temporary ASP.NET filesمیشویم. در تب security روی دکمه edit کلیک میکنیم تا سرویس فوق را به لیست ACL بیفزاییم. باید بدانید که در واقع باید سرویسی بنام network Services را بعنوان ACE جدید پیدا کنیم. این سرویس بصورت local است و لذا باید مطابق شکل جستجو را در local location انجام دهیم:

171-6 NT Authority Network

پس سرویس فوق را یافته و روی دکمه ok کلیک کرده و دسترسی allow full control را به این service Account میدهیم.

اکنون قبل از شروع کار با کنسول WSUS باید چند مورد را چک کنیم. وضعیت فایروال و پورت هایی که جهت دسترسی کلاینت ها باید باز باشند، اطمنان از اینکه این سرور به upstream ( که در سناریوی ساده خود Microsoft update است) اتصال دارد یا نه؟ اگر بین WSUS server و اینترنت یک فایروال ( پراکسی سرور) وجود دارد آیا یوزری با Credential معتبر روی فایروال فوق در اختیار داریم؟

اگر بین شبکه داخلی و اینترنت فایروالی وجود دارد باید حتما پورت هایی که WSUS از طریق آنها با Microsoft update کار میکند را باز کنید. یعنی پورتهای TCP80 و TCP 443 روی کامپیوتر WSUS Server . بهتر است از کنسول Windows Firewall خود کامپیوتر WSUS Server استفاده شود.

نیز برای توزیع آپدیتها روی شبکه باید پورت 8530 برای HTTP و 8531 برای http روی کل شبکه باز ( و ترجیحا secure ) باشند. این کار بهتر است از طریق یک GPO صورت پذیرد.

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار