Eenvoudige implementatie
WSUS stelt niet al te zware eisen aan de machine. Met een 1 GHz of meer server en 1 GB aan intern geheugen alsmede zo’n 30 GB (hoge schatting) aan diskruimte is de server al in staat voor duizenden machines de updates te verzorgen. In kleinere organisaties zal WSUS meestal op een bestaande server als extra functie worden toegevoegd wat de performance niet noemenswaardig in de weg zou moeten gaan zitten.

Figuur 1 : WSUS. Net geïnstalleerd

Voordat WSUS kan worden geïnstalleerd moet de machine zijn voorzien van Internet Information Server, Background intelligent transfer services (BITS) 2.0 en het Microsoft .NET framework 1.1 Servicepack 1.

WSUS installeren is vrij eenvoudig, download WSUS van Microsoft (zie de link onderaan het artikel) en start de Wizard. Kies een locatie voor WSUS (met genoeg ruimte voor de updates). Vervolgens zal WSUS aanbieden om WMSDE, de uitgebreide versie van MSDE installeren om zijn informatie in op te kunnen slaan. Daarna kan worden gekozen tot het gebruik van de default IIS site op de machine of er kan een nieuwe site op een ander poortnummer worden geplaatst. Dit heeft een kleine comptabiliteit kwestie met oudere automatic updates clients. De keuze voor de default site heeft weinig consequenties, WSUS laat de site grotendeels ongemoeid en plaatst er alleen zijn eigen virtuele directories in. Als laatste kan nog een upstream server worden gekozen, waarom dat is behandelen we later in dit artikel.
Na installatie gebeurdt er nog weinig. Wanneer we echter de administratie tool voor WSUS openen kunnen we onderaan de takenlijst zien met de eerste activiteiten die noodzakelijk zijn. De eerste stap is het synchroniseren met Windows update. Dit zal enige tijd in beslag gaan nemen, afhankelijk van de taalkeuzes die worden gemaakt.

Figuur 2 : Goedkeuren van updates

Wanneer de server is geïnstalleerd en clients zich aanmelden worden deze door de WSUS server verdeeld in groepen. Naar behoefte kunnen deze groepen worden aangemaakt en kan worden ingesteld welke groepen welke updates krijgen. Dit is vooral handig om bijvoorbeeld een test en produktiegroep naast elkaar te plaatsen waarbij de testgroep als eerste de updates verkrijgt en wanneer dit naar tevredenheid werkt pas de productiegroep. Eventueel kunnen groep policies worden gebruikt om de computers in groepen op te delen waardoor er nog minder management op de WSUS server zelf nodig is.

Configuratie client
Mits de machine van Windows XP SP2 is voorzien is de laatste versie van de Windows Automatic Update Client aanwezig die kan worden gebruikt voor WSUS. Mocht Windows XP of Windows 2000 SP3 of hoger geïnstalleerd zijn dan zal de aanwezige Automatic Update Client zichzelf bijwerken zodra deze contact verkrijgt met de WSUS server. Oudere versies moeten eerst handmatig worden voorzien van de SUS client (zie de link onderaan het artikel) waarna zij zelf eventueel bijwerken. Dit mechanisme werkt alleen goed als WSUS is geïnstalleerd in de default website.
De Windows Update Client (elke versie) is het eenvoudigst bij te werken middels een group policy, hoewel dit ook direct via de registry mogelijk is. Figuur 3 laat zien wat er allemaal mogelijk is met de laatste versie van de automatic update client. De functionaliteit is in de loop uitgebreid om deze gebruiksvriendelijker te maken, de eerste versies gingen nogal ruw om met de eindgebruiker, in de laatste versie zijn de opties voor de gebruiker nog verder uitgebreid alsmede een paar WSUS specifieke opties.

Figuur 3 : WSUS client configureren

Complexe WSUS scenario’s
Veel organisaties kunnen volstaan met een relatief eenvoudige configuratie waarbij een enkele WSUS server wordt geïmplementeerd al dan niet als standalone server of gecombineerd met andere functies op hetzelfde apparaat. Maar dit is niet altijd afdoende. WSUS bied de mogelijkheid om ook meer complexe configuraties samen te stellen voor situaties waar dat nodig is. Hier zijn 2 begrippen heel belangrijk: Deployment typen en Management stijl.
Toen we eerder spraken over een WSUS implementatie spraken we eigenlijk over een zogenaamde ‘simple deployment’. Een enkele WSUS server in een organisatie. De WSUS server haalt de updates op bij Microsoft update en distribueert deze naar de clients. Wanneer een enkele server niet meer genoeg is of niet voldoet kunnen meerdere WSUS servers worden geplaatst in een hiërarchie. Dit heet ook wel ‘chained WSUS’ maar is eigenlijk een boomstructuur één WSUS server haalt hierbij de updates op en distribueert deze op zijn beurt naar de interne servers in een gelaagd model. Dit kan in principe zo diep als gewenst worden doorgevoerd, houdt er echter rekening mee dat het opvoeren van het aantal lagen ervoor zorgt dat het langer duurt voordat updates bij de uiteindelijke server zijn beland. Microsoft beveelt aan nooit verder te gaan dan drie niveaus.
Als laatste is er de geïsoleerde WSUS server. Hierbij zijn altijd minimaal 2 WSUS servers betrokken. De eerste server haalt de updates op maar hier worden ze eerst geëxporteerd naar een draagbaar medium. Vervolgens wordt dit getransporteerd naar een tweede server die geen directe verbinding heeft met het internet. Hier worden de updates weer geïmporteerd en gedistribueerd naar de clients.
Naast deze deployment types is er ook sprake van een management stijl. We onderscheiden hier gecentraliseerd en gedistribueerd management. In het eerste geval treden de WSUS servers lager in de hiërarchie op als slave van degene boven in de hierarchie. Hierdoor is er minder beheer mogelijk maar ook minder beheer nodig op de servers lager in de hiërarchie. Updates en groepsinformatie worden gedistribueerd over de WSUS servers. Het is nog wel noodzakelijk op elke WSUS servers de groepen te vullen met computer informatie of dit middels een group policy te configureren. In het gedistribueerde model dient de centrale server alleen voor het ophalen van de updates maar zijn de geschakelde WSUS servers zelfstandig. De centrale WSUS server dient dan meer als een cache voor de Microsoft site.

Speciale WSUS opties
WSUS kent een aantal geavanceerde opties waar men er al dan niet voor kan kiezen om er gebruik van te maken. Zo is het zowel mogelijk om update informatie op te halen maar de updates zelf niet. Clients worden daarvoor dan door WSUS gestuurd naar de Microsoft site. In een kleine omgeving kan hierdoor ruimte op de WSUS server worden bespaard zonder de controle over het update proces te verliezen. Deze optie geld in een geschakelde configuratie voor alle servers en is niet per server instelbaar.
Om het lokale netwerk minder te belasten is het mogelijk de optie voor ‘snelle updates’ (express installation) in te schakelen. Dit kost extra internet bandbreedte omdat er meer informatie wordt gedownload maar intern worden de updates dan aanzienlijk kleiner. Het is wel verplicht om updates lokaal op te slaan op de SUS server omdat anders deze optie niet zou functioneren.
De beveiliging kan worden verhoogd door SSL te gebruiken, dit heeft echter wel een nadeel, de server zal ongeveer 10% van zijn performance verliezen doordat het al het dataverkeer moet beveiligen. Wanneer de WSUS database op een andere server staat zal dit dataverkeer overigens niet worden beveiligd.
Exporteren en importeren van de updates uit WSUS is als volgt mogelijk:
De updates bevinden zich in een mapstructuur welke zich bevind in het pad :WSUS\WsusContent. Deze hele structuur dient te worden overgebracht naar de import server die geen internet verbinding heeft. Vervolgens kan de metadata van de updates uit de database worden geëxporteerd middels het hulpprogramma wsusutil.exe (wat overigens alleen draait op 32 bit Windows).
Plaats vervolgens op de import server eerst de updates en draai dan weer wsusutil.exe. Wanneer dit niet gebeurd zal bij de import geconstateerd worden dat updates ontbreken wat resulteert in een ‘downloadfout’. Bij latere export/import acties kan incrementeel data worden overgebracht (let hierbij op met backups en de archivebit!). Dit geldt alleen voor de updates, de metadata wordt steeds in zijn geheel overgebracht.

Het is duidelijk dat WSUS een volwassen product aan het worden is. Het is nu mogelijk om veel meer Microsoft software bij te werken en bovendien is dit beter te reguleren. Natuurlijk blijft er nog veel te wensen over maar in zo’n geval zal nu nog moeten worden uitgeweken naar een product van derden.

W. Verveen is verbonden aan Ormer ICT dienstverlening als Consultant, daarnaast beheert hij Windows 2000 Wereld
E-mail: w.verveen@ormer.nl
Web: http://www.ormer.nl en http://www.win2kwereld.nl