WSUS ujjgyakorlat

A központunk Ajkára költözésével szinte automatikusan megoldódott az utolsó SUS szerver nyugdíjba küldése és az áttérés WSUS-ra. Azért csak "szinte", mert ismerve a SUS és a WSUS közti különbséget tudtuk, hogy az Office csomagok azonnali kiszóródása továbbá az egyéb SUS által nem közvetített csomagok kikerülése hirtelenjében akár 500-600 MB helyet is követelhetnek egy-egy PC-től, és bizony az öregecske gépek, amelyből azért igencsak sok van, gyakran híján vannak ekkora szabad helytől. Ezért aztán a migráció közben,bölcs elővigyázatosságból leállítottuk a WSUS, de persze úgy, hogy a frissítések továbbra is letöltődjenek, csak a kliensekre ne kerüljön ki semmi. Azt gondoltuk, hogy majd ha már lesz idő erre, akkor kitaláljuk, mit is csináljunk. No, ennek most jött el az ideje.

Mindenek előtt röviden bemutatnám, hogy milyen rendszerről van szó. Adottak telephelyek, több is (az ábrán éppenséggel csak kettő), aztán egy AD OU hierarchia, amelyben itt-ott elszórva gépek találhatók. Azt, hogy melyik PC-nek melyik WSUS legyen a frissítő szervere, alapvetően az határozza meg, hogy melyik telephelyen található, ezzel lehet ugyanis legjobban kordában tartani a sávszélességet. Ha egy gép, tipikusan notebook, telephelyet vált, akkor esetleg, a helyzettől függöen WSUS szervert is vált, de ez egyáltalán nem baj, viszont mindig onnan tölti le a csomagokat, ahonnan a legkevésbé fáj.
Szerverből kevés van, és jó egyben látni őket, ezért a szervereket egyetlen WSUS szolgálja ki, minden WSUS házirendbeállítást egyetlen GPO-ból nyernek (OU – Server – WSUS Policy)
A klienseknél kicsit bonyolultabb a helyzet. A telephelynél csak a szervert határozzuk meg. Később a WS-generál házirendben állítjuk be, hogy milyen WSUS csoportba kerüljenek a PC-k, mikor induljon a telepítés stb. stb. Ezen felül van még egy WS – WSUSTest házirendünk is, amely csupán annyit tesz, hogy azt a néhány gépet, amelyen érvényesül átdobja a WSUS-ban egy "WSUSTest" csoportba. Erre a csoportra minden csomag azonnal felmegy, hogy néhány nap működés után meggyőződhessünk a frissítések ártalmatlanságáról. Ezután a "Normál" PC-kre és Notebookokra vonatkozóan is módosítjuk a jovhagyást "telepítés"-re, hogy azok is naprakészek lehessenek a hónap hátralévő részében.

A feladatot viszonylag egyszerű volt megfogalmazni: hogyan érjük el, hogy az ajkai PC-ken általunk szabályozott módon történjék a telepítés, és egyik gép se fusson ki a szabad merevlemez tárhelyből. Elsőre azonnal a WMI filter jutott az eszembe. Ha például 500 MB szabad helyet igénylek, akkor egy ilyn filter segíthet rajtam.

RootCimV2; Select * from Win32_LogicalDisk where FreeSpace > 524288000

Aztán végiggondolva rájöttem, hogy ez – itt és most – nem megoldás. Mi is történne?  Ha 500 MB-nál nagyobb a szabad hely, akkor a házirend érvényesül, egyébként nem. Melyik házirend? Bármelyik, amelyre ezt a szűrőt felteszem. Node akkor mi történik, ha egy gép az 500 MB-os limit alá kerül? Nem fog frissítéseket letölteni, annyi szent, de még csak be sem köszön a WSUS-ba. Még rosszabb a helyzet, ha még a beköszönést egyszer sem tette meg és nem is látszik a WSUS-ban. Ez nem jó! Olyan megoldás kellene, amelyben beköszön ugyan, de mégsem települ rá semmi. Nem a WMI filter lett a megoldás, hanem egy új WSUS csoport alkalmazása. Lássuk lépésről lépésre.

Először létrehoztam egy csoportot a WSUS-ban, WSUS-AjkPCNoUpdate néven. A fentiekből kitűnik, hogy a WSUS csoporttagságot a házirendek szabályozzák, tehát kellett készítenek egy házirendet (WSUS-AjkPcNoUpdate), amelyben ezt a csoportnevet adom meg az "Enable client-side targeting" házirend elemben. Végezetül a teljes házrend érvényesülését korlátoznom kellett. Létrehoztam egy ROLE-WSUS-AjkPCNOUPdate AD biztonsági csoportot, amelynek aztán tagjává tettem az össze ajkai PC-t. A házirendek sorrendjét úgy állítottam be, hogy előbb a WS-General jusson érvényre és csak később nem a WSUS-AjkPCNoUPdate. AD és GPO oldalon nincs több teendő, de a WSUS-ban még van. A WSUS-AjkPcNoUpdate csoportra vonatkozóan minden csomag jóváhagyási szabályát "detect only"-ra módosítottam. Ezáltal minden gép megjelenik a WSUS felületen, de egyik sem telepít egyetlen csomagot sem, amíg a WSUS-AjkPCNoUpdate WSUS csoport tagja. És meddig marad ott? Addig, amíg a házirend az AD-ben érvényre jut rajta. Meddig jut érvényre? Ameddig ki nem vesszük a ROLE-WSUS-AjkPCNoUpdate biztonsági csoportból. És íme a felügyelet. Ráérünk akár egyesével megvizsgálni minden gépet, helyet biztosítani rajta, ha szükséges, aztán kivesszük a csoportból és már megy is fel rá minden szükséges csomag. Akkor és úgy, amikor szeretnénk. Így működik a WSUS "célzott" frissítése.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: