Как правильно работать с wsus сервером?

Question

[LAG_LAGbI4]

В процессе освоения данного продукта майкрософт меня не покидает мысль, что я не знаю какой-то очень важной мелочи, которая не даёт правильно работать данному продукту.

Сначала у меня не получилось запустить wsus используя встроенную базу данных WID. Я не очень понимаю, зачем выпускать продукт, который будет заведомо не работать со встроенной базой из коробки. Я предполагал, что для маленьких сетей (около 100 компьютеров) WID должен подойти, но сервер просто вставал раком при попытке получить список обновлений.

Сегодня я узнал, что обновление KB5001649 не попало во wsus. У меня возникает вопрос. Как я должен узнавать о секретных обновлениях? Какой вообще правильный сценарий использования wsus? Почему какие-то обновления доступны при работе только через всус и не доступны при использовании майкрософтовсокго сервера обновлений? В конце концов, почему при ситуации, когда я не утверждаю новые обновления уже в течении недели, у меня скачет количество компьютеров на которых всё установлено. С утра 20 компов с зелёными галочками, днём 1, потом снова 20. Как с этим бороться?

Answer 1

[Alexey Dmitriev]

Да вы что-то делаете не так.
Встроенной БД хватает, чтобы обслуживать тысячи клиентов.
KB5001649 - опциональное - проверьте, что категория, в которой оно выпущено - у вас включена во WSUS.

Answer 2

[nApoBo3]

WSUS достаточно прожорливый продукт.
1. Только отдельная база, желательно на отдельном сервере.
2. Управление не через RDP, а отдельной консолью на отдельной машине.
3. Дать WSUS серверу по больше памяти, хотя бы 8Гб.
4. База WSUS на SSD.

Ну и главная мысль, да, периодически у microsoft появляются проблемные обновления. Но реальный процесс работы с WSUS достаточно затратен по человеческим ресурсам. Обычно все скатывается к тому, что администраторы пачками раз в месяц, а иногда и раз в полгода, апрувят все обновления без разбора. Итог, вопрос проблемного обновления так же остается вопросом везения. Ну а вопрос интернет каналов на данный момент не слишком актуален для большей части организации( есть много организации у которых этот вопрос все еще актуален, но это отдельная и большая тема, WSUS часто не отделаться если у вас 200 машин на 2Мбит канале ).
По этому для большей части организаций, где нет под это отдельной роли, наверно машин до 300, развертывание WSUS не имеет смысла поскольку необходимые для его работы практики для организации слишком затратные и не встраиваются в ее непрерывный бизнес процесс.

Comments

[Alexey Dmitriev]

Не соглашусь. Возможность иметь тестовые группы, на которые обновления раскатываются сначала и только например через неделю на всех остальных, устанавливать графики установки обновления для разных категорий компьютеров - достаточные аргументы иметь WSUS.
Никаких ручных апрувов не требуется - все security классы обновлений обычно апрувятся дефолтной политикой автоапрува.

[LAG_LAGbI4]

Alexey Dmitriev, но ведь KB5000802 и KB5000808, были как раз обновлениями безопасности. Какой тогда смысл в этом всусе?

[Alexey Dmitriev]

LAG_LAGbI4, смысл в контролируемой установке обновлений, которая позволяет не положить инфраструктуру и остановить работу.
Как развитие этой идеи у MS есть SCCM.

[nApoBo3]

Alexey Dmitriev, контролируемая установка обновлении это не только wsus, и даже не столько wsus, это процесс. WSUS это инструмент упрощающий этот процесс, но не подменяющий его. Если процесса нет, проблема решаемая этим процессом не сформулирована, квалификационных и человеческих ресурсов под этот процесс не выделено, то процесс работать не будет.
WSUS это хорошо, но не надо думать, что это волшебная палочка, в большинстве малых организаций смысла в нем нет.

[LAG_LAGbI4]

nApoBo3, как выстроить процесс? Неделю назад я понимал, что ко мне обраться все сотрудники компании, и мне каждому придётся вручную удалить обновление. Я понимал неизбежность ситуации. Конечно ничего фатального не произошло, но желание недопустить повторения появилось. Как правильно всё организовать.
В домене около 200 компов, половина постоянно находится в офисе, половина в офисе не бывает.

[Максим Ярошевич]

Инструкций по настройке WSUS более, чем достаточно, но он достаточно капризен, иногда приходится уделить внимание настройке, несколько раз пришлось сбрасывать и закачивать обновления полностью. Интегрировать отдельные обновления у меня так и не получилось, проще это скриптом сделать - гораздо быстрее и проще получается. В сети примерно 50 компьютеров, было почти 100 - всё же со WSUS гораздо удобнее, чем без него.
Про тех, кто не бывает в офисе - так их и не подключишь ко WSUS никак, только настраивать обновления на ноутубках, больше вариантов нет.
С утверждениями обновлений во WSUS какая-то каша, я обычно ставлю утверждение только критических обновлений, и обновлений безопасности, остальное - при необходимости, и скорее всего скриптами.

[nApoBo3]

LAG_LAGbI4, это не технический вопрос.
Вы должны обеспечить процесс "апрува" обновлений. Т.е. отслеживать обновления, тестировать обновления, выкатывать обновления.
В простейшем случае есть сотрудник который:
1. Постоянно следит за бюллетенями безопасности и незамедлительно на них реагирует.
2. Определяет какие обновления для вашей организации желательные, а какие нет на постоянной основе, т.е. не реже чем раз в недели. И не апрувит все подряд, а именно понимает, вот это обновление нужно, а вот это лишнее.
3. На регулярной основе делает ревизию состояния обновления на рабочих станциях и решает проблемы с их установкой. А проблем там бывает много и часто, то сюда, что-то не ставится, то сюда, то нужно порядок установки обеспечить, то машина никак не хочет репорить свой статус и т.д.
4. Обеспечивает тестирование обновлений, т.е. подготавливает группу компьютеров которые максимально широко покрывают используемые конфигурации и сценарии. Апрувит обновления на них. Контролирует на них, что обновления установились и что пользователи за ними реально работают. Собирает обратную связь и сам наблюдает за журналами ошибок на этих машинах.