A kérdés több helyen is felmerült mostanában, így gondoltam leírom a gondolataimat ezzel kapcsolatban.


Szerencsére a legtöbb infrastruktúrában már jelen van legalább egy WSUS alapú javítás kezelés amellyel a Windows, Office és még néhány Microsoft termék frissítéséről gondoskodnak. Ezzel a nagyvállalati szükséges javítás detektálás és terítési infrastruktúrával a Microsoft egy egyedül álló eszközt biztosít a nagyvállalatok számára. Valószínűleg ennek is köszönhető, hogy a 2012 harmadik negyedévi Kaspersky Top 10-es sérülékenységi listájában nincs egyetlen egy Microsoft termék sem.
Szóval a Microsoft termékek automatizált és nagytömegű javítás kezelése megoldott, hála a Windows Update/Microsoft Update és a WSUS-nak. A Windows Software Update Services (WSUS) hosszú utat tett meg a Software Update Service 1.0 (SUS) óta, mire a 3.0 SP2-es verzióra már egy kifinomult és a javítás kezelést teljes körben ellátni képes eszköz lett. Így először is, összefoglalnám mért érdemes a „sima” WSUS alapú frissítési módszerről a WSUS+Configuration Manager alapú frissítési módszerre áttérni:

  • Az egyik legfontosabb érv hogy a Configuration Manager integrált javítás kezelés esetében a szoftver frissítések disztribúciója a Configuration Manager infrastruktúrán (disztribúciós pontokon keresztül történik). A szoftver terítés végett egyébként is van egy kialakított infrastruktúránk, amely lehetővé teszi, hogy a nagyméretű telepítő készleteket a lehető „legközelebb” eljuttassuk a kliensekhez. Csak WSUS alapú terítés esetében a kliensek minden esetben a WSUS kiszolgálóról töltik le a javításokat. Configuration Manager infrastruktúra esetében minden esetben a disztribúciós pontokat használják. Ez nagy méretű és kiterjedt (több fizikai telephellyel rendelkező) infrastruktúrában nagy mértékű egyszerűsítést és hálózati sávszélesség megtakarítást, tud eredményezni különösen, ha figyelembe vesszük az, hogy hány termék hány verziójának hány javítását (és hogy ezek összesen mekkora méretet jelentenek) kell tárolni, hálózaton az érintett klienshez eljuttatni.
  • Alapértelmezetten az operációs rendszer telepítés esetén integrálni tudjuk a frissítések telepítését az új gép keltetése lépésbe. Vagy ha ezt a lépést kihagyjuk a Configuration Manager kliens az első feléledés után detektálja a szükséges frissítéseket és záros határidőn belül gondoskodik a javítások telepítéséről. A lejárt határidejű frissítéseket azonnal telepíti. Itt ismét előjön az előny hogy nem a WSUS kiszolgálóról hanem a közelben levő disztribúciós pontról történik ezen javítások letöltése.
  • Jobb felhasználói élmény. A Configuration Manager esetében a felhaszálóóknak a rendszer értesítést küld az elérhető új frissítésekről, illetve a kötelező telepítési határidőről, amely után a frissítések automatikusan települnek függetlenül a felhasználói beavatkozástól. Azon túl, hogy a felhasználó értesítést kap folyamatosan, ahogy közeledik a kötelező telepítési határidő lehetősége van egy számára alkalmas időpontban (pl.: az ebédszünet alatt) elvégezni a javítások telepítését, hogy később ezzel ne legyen gondja. A felhasználók ilyen mértékű önrendelkezésének támogatása fontos eleme a Felhasználó központú üzemeltetés megteremtésének. Ez a funkció egyébként kiegészül a karbantartási ablakok (Maintanance window) és a felhasználó által beállított munkaidő ablak funkciókkal, a javítások telepítése ezek figyelembe vételével történik.
  • A Configuration Manager integrált javítás kezelés ezen felül integrálódik jelentés készítésben a Configuration Manager Reporting Services alapú jelentéseibe, automatizált, akár időszakosan automatikus e-mailben vagy egyéb helyen publikált jelentések állíthatók be a javítás terítés státuszáról.
  • Ezen felül a Configuration Manager alapú javítás kezelés integrálódik olyan egzotikus Configuration Manager-ben ritkán használt funkciókkal, mint a Network Access Protection remediation server használat képesség, vagy Wake-on-LAN és az Intel AMT (vPro) integráció, amivel a kikapcsolt munkaállomások az éjszaka bekapcsolhatóak, hogy a szükséges szoftver terítési és karbantartási feladatokat el tudjuk végezni 

Következő lépésben nézzük át magas szinten hogyan történik a kliensek javítás terítése Configuration Manager integrált használat esetében:

  1. A kliens a Configuration Manager infrastruktúrában Software Update Point-ként (SUP) beállított WSUS kiszolgálóról letölti a WSUS katalógust. Ezt a Configuration Manager úgy teszi meg, hogy a Configuration Manager kliens komponens (ccmexec) a helyi házirendben (Local Policy) konfigurálja az intranet WSUS kiszolgáló elérési útját a SUP szerepkört betöltő kiszolgálóra mutatva.
  2. A kliensen a Windows Update agent segítségével letölti a katalógust, majd megtörténik a WSUS-ról letöltött katalógus kiértékelése. Ennek során megállapításra kerül hogy a WSUS katalógusban levő termékekhez elérhető frissítések közül mi az ami szükséges az adott épen. Ezt a kiértékelést ugyan az a komponens végzi, mint amit a WSUS és a Microsoft Update is használ a szükséges frissítések detektálására és telepítésére.
  3. A Windows Update agent frissítés keresésnek eredménye letárolásra kerül a gép WMI adatbázisában.
  4. A Configuration Manager kliens ezen WMI adatbázis alapján egy desired configuration management (DCM) configuration item (CI)-okat hoz létre frissítésekről és a gépről hiányzó frissítések listáját így küldi fel a kiszolgálónak. A Configuration Manager telephelyi kiszolgálón ezekből áll össze, hogy mely frissítések hiányoznak az infrastruktúrából.
  5. A kiszolgálón jóváhagyott frissítések telepítése a javítások lokális letöltésével kezdődik, a javítások a háttérben (BITS) a disztribúciós pontról letöltésre kerülnek a lokális Configuration Manager cache-be.
  6. Ha elérkezik a kötelező lejárati határidő (vagy a felhasználó maga kezdeményezi a frissítések telepítését) akkor a Configuration Manager cache-ből a Windows Update Agent segítségével történik a javítások telepítése.
  7. A javítások telepítése után a következő Windows Update Agent scannelés eredménye szintén a WMI-os letároláson keresztül eljut a kiszolgálóra ahhol így megjelenik hogy milyen frissítések kerültek fel a gépre.

Mint látható a 2. (detektálás) és a 6. (javítások telepítése) lépés a klienseken a Windows Update agent révén történik a klienseken, vagyis a Configuration Manager nem találja fel a kereket, a megbízható, bevált és a Windows csapat által kialakított javítás detektálási és telepítési infrastruktúra köré építette a saját bővített képességű felügyeletét.
Ha felidézzük az Active Directory MCP vizsgára felkészülés során tanultakat, akkor a fentiekből már következik az eredeti kérdésre a válasz, hogy hogyan lehet a bevált és működő WSUS alapú javítás kezelésről fokozatosan átállni a Configuration Manager alapúra. A csoport házirend beállítások kapcsán ugyebár a kiértékelés sorrendje az LSDOU..OU, vagyis először a Local Policy-ban levő beállítások, majd a Site szinten, majd a Domain szinten, majd az OU szinten beállított házirendek kerülnek kiértékelésre és az több OU szint esetén pedig az objektumhoz közeledve (fentről lefelé) kerül kiértékelésre a csoport házirend objektum (GPO) beállítás. A GPO beállítások pedig „last-write-win” elvűek, vagyis ha egy érték több szinten, különböző csoport házirend objektumokban is beállításra került akkor a legutoljára kiértékelésre kerülő GPO értéke lesz érvényes. (tehát ha egy beállítást OU szinten tiltok, Domain szinten engedélyezek akkor a beállítás a kliensen tiltva lesz).
Másik fontos hogy megértsük az átállás lépéseit az, hogy egy Windows Update agent-nek egy operációs rendszeren csak egy beállítása lehet, nem tud több különböző intranet update server beálltást kezelni.
Ebből kifolyólag mivel a Configuration Manager kliens a helyi házirendben (Local Policy) konfigurálja a SUP pont WSUS kiszolgálóját, ezt felül írja a GPO-val terített WSUS beállításunk. A fokozatos bevezetés és átálláshoz tehát nem kell mást tennünk, mint:

  1. Kialakítani a Confguration Manager-ben a SUP konfigurációt.
  2. Amint ez megvan azokat a gépeket, amiket szeretnénk ha átkerülnének a WSUS alapú javítás kezelésből a Configuration Manager által kezelt javítás kezelésbe egyszerűen ki kell vonnunk annak a GPO-nak a hatóköréből amely a WSUS beállításokat konfigurálja a klienseken, és ezután a kliensek fel fogják venni a Local Policy-ban definiált (Configuration Manager-hez tartozó) SUP kiszogáló konfigurációját