Лекция № 7. Обслуживание операционной системы

С точки зрения безопасности очень важно вовремя устанавливать обновления и исправления для операционной системы. Последние 10 лет корпорация Windows поддерживает глобальный источник обновлений систему серверов Windows Update, позволяющую через Интернет устанавливать критические обновления на компьютере пользователя. Последние усовершенствования этого – Службы обновления ПО (SUS), содержащие следующие компоненты:

· службы, запущенные на сервер IIS (синхронизирует внутренний сервер с Интернет серверами Windows Update);

· Web-узел управления SUS (интерфейс управления автоматическими обновлениями);

· служба Автоматическое обновление (загрузка и распространение обновлений в сети);

· параметры групповой политики.

Службы SUS не устанавливаются автоматически и не входят в комплект поставки Windows Server 2003, но их можно бесплатно загрузить по адресу http://go.microsoft.com/fwlink/?LinkID=6930. Для функционирования SUS необходимы службы IIS. После установки SUS может управлять только локальный администратор. Для вызова интерфейса управления SUS-сервером в поле Адрес браузера необходимо ввести http://<имя_сервера_SUS>/SUSAdmin. На Web-узле SUS можно настраивать параметры, синхронизировать и утверждать содержимое. Для корректной работы SUS-сервера необходимо указать его полноеDNS-имя, параметры proxy-сервера (если он используется в сети), место хранения файлов обновлений и источник синхронизации (SUS-сервер может синхронизироваться либо с Интернет серверами Windows Update непосредственно, либо с другими SUS-серверами во внутренней сети. Синхронизацию можно осуществлять вручную или по расписанию (если компьютер выключен в момент, когда должна произойти установка обновлений, она будет перенесена на следующий период. Если в такие периоды компьютер выключен постоянно, установка никогда не выполнится).

Для распространения обновлений на клиентские компьютеры одной успешной синхронизации не достаточно. По сети распространяются только те обновления, которые были явно одобрены администратором на Web-странице управления SUS. Начиная с Windows 2000 SP3, Клиент службы Автоматическое обновление входит в состав системы. Для более ранних версий Windows Клиент можно скачать с того же адреса, что и SUS-сервер.

В случае если на клиентском компьютере включено автоматическое обновление, можно настроить компьютер на синхронизацию компьютера с внутренним SUS-сервером компании. Автоматическое обновление поддерживает два режима загрузки: Автоматический и С уведомлением. В первом случае обновления загружаются независимо от пользователя, а во втором случае обновления не загружаются до тех пор, пока администратор компьютера не загрузит их лично. После загрузки обновлений их необходимо установить. Режимы установки совпадают по названию и смыслу с режимами загрузки с той лишь разницей, что после установки обновлений возможно потребуется перезагрузка компьютера. Если выбран режим установки с уведомлением, то пользователь сможет отложить перезагрузку. В автоматическом режиме перезагрузку компьютера сможет отложить только администратор, а обычному пользователю дается 5 минут до перезагрузки, чтобы успеть сохранить сделанную работу.

Также настраивать службу Автоматическое обновление можно с помощью групповой политики. Для этого в редакторе групповой политики необходимо раскрыть узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Windows Update. Для базовой настройки можно применять шаблон, находящийся в файле по адресу %WinDir%\Inf\waua.inf.

По умолчанию клиенты службы Автоматическое обновление опрашивают назначенный SUS-сервер на предмет новых обновлений каждые 22 часа минус случайные смещения.

Для наблюдения за работой SUS служит страница Monitor Server на Web-узле управления SUS. Там содержатся журналы синхронизации, журналы информации об утвержденных пакетах обновлений и журналы взаимодействия клиента и сервера SUS. Системное событие SUS регистрируется в журнале Система из консоли Просмотр событий.

Для устранения неполадок SUS иногда необходимо: перезапустить службу синхронизации (если не удается получить доступ к настройкам SUS-сервера), перезапустить кэш памяти (в случае если очень долго нет новых обновлений), перезапуск служб IIS (если не удается подключиться к SUS-серверу). Также нужно убедиться, что на клиентских компьютерах в разделе реестра HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate есть следующие параметры: WUServer (URL SUS-сервера), WUStatusServer (URL сервера статистики) и UseWUServer со значением dword=00000001.

Архивировать SUS-сервер необходимо в следующем порядке: заархивировать папку с содержимым SUS, Web-узел управления SUS и метабазу IIS. Метабазу необходимо архивировать сначала с помощью средств управления IIS, потом с помощью утилиты Ntbackup необходимо заархивировать Web-узел по умолчанию, Web-узел управления SUS, виртуальный каталог AutoUpdate. Восстанавливать сервер SUS необходимо в обратном порядке.

Пакеты обновлений (Service Pack) можно устанавливать на компьютер прямо с Web-узла Microsoft или с CD. На множество компьютеров сети пакеты обновлений распространяются средствами групповой политики. При этом иногда возникает проблема: пакет обновления не устанавливается на клиентский компьютер при старте системы. Это возникает из-за того, что вход в систему осуществляется раньше, чем загружаются средствами поддержки сети. Чтобы избежать такой ситуации в локальных политиках безопасности компьютера необходимо активировать параметр Всегда ожидать инициализации сети при загрузке и входе в систему.

Для того, чтобы клиенты могли законно подключаться к серверу, необходимо приобрести лицензию клиентского доступа (CAL). Такие лицензии необходимо иметь для каждого подключения (CAL не требуется на доступ к серверу через Интернет без авторизации). Есть два типа CAL: на пользователя (пользователь может подключиться к серверу с любого устройства), на устройства (с одного и того же устройства могут работать несколько пользователей). Количество необходимых лицензий равно количеству устройств или пользователей, которые обращаются к серверам. Для управления лицензиями существует служба Лицензирование в Панели управления.