نکاتی در مورد راه اندازی WSUS

با توجه به آموزش جامع و کاربردی خانم رمضانی که در3 قسمت به آموزش WSUS 3.0 پرداختند، لازم دانستم نکاتی را در مورد این سرویس اضافه کنم.

قسمت اول

قسمت دوم

قسمت سوم

  • 1. مهمترین نکته کار با WSUS، راه اندازی Test Lab می باشد.

روزانه در مورد حفره های امنیتی جدید در ویندوز و سایر محصولات مایکروسافت در اینترنت می خوانیم. و اینکه مایکروسافت Patch و یا Hotfix برای برطرف کردن مشکل ارائه کرده است. ولی آیا این Hotfix ها و ... با سرویس ها و نرم افزارهای موجود روی کلاینت سازگاری دارند؟ آیا زمانی که مثلا Update برای Driver کارت شبکه کلاینت را نصب می کنید، مطمئن هستید که این Update اختلالی به وجود نمی آورد؟

همیشه به خاطر داشته باشید که قبل از اعمال Update ها روی کلاینت ها، حتما تمامی آنها را روی Test Lab برای مدت زمان حد اقل 1 هفته آزمایش کنید. حالا چه این Update ها مربوط به Security Update باشند، چه مربوط به بروز رسانی Driver ها و یا Update برای سری Microsoft Office و ...

  • 2. شما لازم نیست تمامی Update های ارائه شده توسط مایکروسافت را نصب کنید. تعداد زیادی از این Update ها پس از گزارش مشتریان در مورد بروز مشکل روی کلاینت هایشان توسط مایکروسافت ارائه شده است. گزارش های مشتریان اغلب هنگام مواجه شدن با ناسازگاری سرویسی از ویندوز با نرم افزارهای موجود روی کلاینتشان می باشد و یا هنگام مرور کردن اینترنت. دانلود و نصب این Update ها عملا پهنای باند اینترنت و شبکه را اشغال کرده و همینطور بار اضافی روی کلاینت های شما خواهد گذاشت.
  • 3. اگر در مورد Update خاصی مطمئن نیستید، حتما قبل از نصب در مورد آن تحقیق کنید. با توجه به زیاد بودن تعداد Update ها (بسته به سرویس های مورد استفاده در سازمان) خیلی از کاربران تمامی Update ها را انتخاب کرده و Approve می کنند. سعی کنید هر چند گذرا، Update ها را مورد بررسی قرار داده تا از صحت و سازگاری آنها با کلاینت ها و یا سرورهای خود، اطمینان حاصل کنید.
  • 4. با توجه به اینکه اکثر کلاینت ها و سرور ها در ایران از نسخه های Crack شده ویندوز استفاده می کنند، دقت کنید که Update های مربوط به WGA (Windows Geniune Advantage) را دانلود و نصب نکنید. این آپدیت چک می کند که آیا سریال مورد استفاده روی کلاینت مورد تایید مایکروسافت هست یا نه. با توجه با استفاده اکثر شرکت ها و سازمان های ایرانی از نسخه های Crack شده ویندوز، نصب این آپدیت موجب از بین رفتن Crack و Activation ویندوز شده و ویندوز به نسخه Trial تبدیل خواهد شد. البته این حالت برای تمامی کلاینت ها این گونه نیست و روی برخی از کلاینت ها، ممکن است مشکلی به وجود نیاورد.تصور کنید که این Update روی 500 کلاینت نصب شود، چه فاجعه سازمانی رخ خواهد داد!

برخی از این Update ها به شرح زیر هستند:

KB 892130 (Windows XP)
KB 905474 (Windows XP)
KB 916247 (Windows XP)
KB 971033 (Windows 7)
  • 5. ممکن است پس از اعمال GPO، باز هم کلاینت ها موفق به ارتباط با WSUS نشوند و یا WSUS کلاینت ها را در کنسول خود نشان ندهد. توجه داشته باشید که در تنظیمات Intranet update server، گاهی می بایست پورت مورد استفاده WSUS را نیز وارد کنید. مانند زیر:
  • http://WSUS:8530
    
  • 6. در سازمان هایی که تعداد کلاینت ها زیاد است، از چندین GPO برای مدیریت WSUS استفاده کنید. سعی کنید بار اضافی روی سرور WSUS قرار ندهید. GPO هایی که ایجاد می کنید می بایست با توجه به نیاز های سازمانی نیز باشند. برای مثال در نظر بگیرید که واحد مالی در سازمان شما، بین ساعت های 10 تا 12 بیشترین زمان مفید کاری را دارند. مسلما کند شدن کلاینت و یا ارتباطات شبکه در این ساعت موجب نارضایتی کارکنان و پایین آمدن بازدهی کاری آنها خواهد شد. بنابراین می توانید GPO مربوط به اداره مالی را به طریقی تنظیم کنید که در ساعت 2 ظهر اقدام به بروز رسانی کلاینت ها در این اداره نماید. همچنین می توان از WMI Filtering برای تفکیک سیستم عامل ها استفاده کرد. سعی کنید زمان بروز رسانی را بین کلاینت ها تقسیم کنید. برای مثال یک سوم کلاینت ها در ساعت 10، یک سوم کلاینت ها در ساعت 12 و یک سوم کلاینت ها در ساعت 2 ظهر بروز شوند.
  • 7. هنگام بروز رسانی سرور ها، Update ها را به صورت مجزا و دانه دانه نصب کنید. حتما قبل از بروز رسانی سرور ها، از آنها Backup تهیه کنید. در صورتی که سرور شما، سرویس نرم افزاری خاصی را در شبکه ارائه می دهد، حتما از سازگاری Update ها با نرم افزارهای موجود اطمینان حاصل کنید.
  • 8. با توجه به اینکه سرور WSUS با اینترنت و تمامی کلاینت های شما ارتباط دارد، حتما نکات امنیتی مربوط به امنیت سرور WSUS را رعایت کنید. Antivirus و Firewall موجود روی سرور را چک کنید. چراکه در صورت آلوده بودن سرور شما به ویروس، امکان انتقال این آلودگی به کلاینت ها بسیار زیاد خواهد بود.
  • 9. به منظور کنترل هر چه بیشتر بروز رسانی ها و همینطور جلوگیری از بروز اختلال، چند Computer Group در کنسول ایجاد کنید. میتونین طبقه بندی هایی مثل Windows Server 2003 Servers، Windows Server 2008 Servers، Windows 7 Clients ... داشته باشید. یا اینکه این دسته بندی رو بر حسب اداره ها انجام بدین. مثلا ممکن هستش که یه Update مورد نیاز اداره مالی باشه، ولی اداره های دیگه بهش نیازی نداشته باشن. اینطور میتونین Update های مناسب را روی کلاینت های مناسب انجام بدین.
  • 10. همیشه به فضای خالی روی پارتیشن سیستمی کلاینت ها دقت کنید. اعمال تعداد Update های زیاد روی کلاینت هایی که فضای کافی ندارن، عملا باعث کند شدن آنها میشه. این نکته رو توجه کنین که بین Security و Performance یا Efficiency (امنیت و کارایی) تعادل برقرار کنید. چون در نهایت کارایی سیستم ها هستش که باعث پیشرفت کار میشه.
  • 11. همیشه حواستون به سخت افزار کلاینت ها باشه. اعمال زیاد Update ها روی کلاینت هایی که سخت افزار خوبی ندارند فقط کارایی رو کم میکنه. همیشه برای این کلاینت ها، Update ها رو دسته بندی کنید که حجم Update ها از مقدار مشخصی بیشتر نشه. از طرفی همونطور که اشاره کردن، در ساعاتی که کاربران کمتر با کلاینت ها کار می کنند، Update ها رو اعمال کنید.

نویسنده: سعید خلیفی

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع دارای اشکال اخلاقی می باشد.

#نکات_مهم_در_راه_اندازی_wsus #آموزش_گام_به_گام_WSUS #آموزش_راه_اندازی_WSUS #آموزش_گام_به_گام_و_تصویری_سرویس_WSUS #آموزش_راه_اندازی_سرویس_WSUS #wsus_چگونه_کار_می_کند #مشکل_تنظیمات_wsus_در_group_policy #آموزش_راه_اندازی_WSUS_سرور #نکاتی_برای_راه_اندازی_wsus #نکات_مهم_در_نصب_wsus
6 نظر
majid777

من wsus را روی سرور 2008 و iis 7.5 اجرا کردم . اما وقتی ادرس سرور را می زنم http://servername صفحه پیش فرض iis بالا میاد. این طبیعیه؟؟؟

سعید خلیفی

بله...این یعنی IIS به درستی نصب شده.

لطفا پرسش های خودتون در مورد WSUS رو در قالب سوال در پست جدید مطرح کنین.

با تشکر

محمد حسن غلامی

سلام

موردی که من باهاش مواجه شدم تعداد زیاد آپدیتهای 64 بیتی برای ویندوز 7 است.

میتونم این موارد رو فیلتر کنم که دیگه sync نشن؟

سعید خلیفی

اگر در شبکتون از نسخه 64 بیتی ویندوز 7 استفاده نمیکنین، بله میتونین از این آپدیت ها چشم پوشی کنین.

البته توجه داشته باشین که آپدیت های Download شده رو نمیتونین حذف کنین.

pkaugust

با سلام و عرض ادب

آیا امکان گرفتن

Update Microsoft Security Essential

در WSUS میباشد .

زیرا علت راه اندازی این سرویس برای ما آپدیت انتی ویروسهاست.

با تشکر

سعید خلیفی

سلام و وقت بخیر.

بله، این سرویس میتونه هم MSE رو Update کنه و هم Windows Defender رو.

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....