В статье рассматриваются возможности и основные настройки, достоинства и недостатки SCCM 2012 SP1 по управлению системными и программными обновлениями.

 

Управление программными и системными обновлениями парка компьютеров предприятия играет важную роль в стабильности и безопасности работы ИТ-инфраструктуры. Основным помощником является роль WSUS в Windows Server, но такая возможность реализована и в SCCM. И тем, кто собирается решать задачи с помощью Configuration Manager, полезно будет узнать о деталях нового уровня управления. Хоть SCCM полностью не заменяет WSUS, но расширяет его возможности дополнительным функционалом. По большому счёту WSUS на предприятиях находится уже в долгой эксплуатации, поэтому не будем заострять особого внимания, а рассмотрим его совместную работу с SCCM.

 

SCCM vs WSUS. Достоинства и недостатки

Процесс обновления с помощью WSUS можно разделить на 2 этапа: получение необходимых данных c Microsoft Update и предоставление “добытого” материала клиентским компьютерам. То есть задача WSUS заключается в подмене сервера Microsoft Update. Однако, не всё так гладко, как хотелось бы. Например, в данной роли отсутствует функция поиска по скачанному контенту (для подробного их анализа), а также установка обновлений без ведома пользователя, используя функцию пробуждения компьютера (Wake on Lan).   

В свою очередь SCCM получил немалый функционал, который расширяет возможности и устраняет слабые стороны WSUS. Но чтобы понять насколько Configuration Manager превосходит своего “младшего брата”, рассмотрим его преимущества:

  • сотрудники компании имеют возможность принимать участие в обновлениях системы или ПО, при этом простой и удобный пользовательский интерфейс не вызывает у них каких-либо сложностей;
  • поддерживается NAP (Network Access Protection) [http://www.winblog.ru/net/1147765128-07030805.html , http://www.xakep.ru/magazine/xa/120/116/1.asp] – набор правил для дополнительной безопасности корпоративной сети, то есть компьютеры, не прошедшие проверку NAP, направляются на обновление;
  • предоставление загруженных файлов пользовательскому ПК в нерабочее время;
  • имеется функция сохранности устаревших обновлений, например, чтобы в дальнейшем по каким-либо причинам возвратиться к ним;
  • реализован удобный поиск по скачанному контенту;
  • обновления могут устанавливаться стороннему софту совместно с SCUP (System Center Update Publisher) [http://technet.microsoft.com/ru-ru/library/bb531022.aspx].

Выбрав работу с SCCM, мы отказываемся от управления контентом с помощью WSUS. Так как Configuration Manager умеет скачивать обновления и предоставлять их клиентским ПК, то эти обязанности он берёт на себя. И тут всплывает один важный недостаток – в SCCM отсутствует возможность получения метаданных. Поэтому полностью о WSUS забыть нельзя и Configuration Manager “сотрудничает” с ним только в этом направлении. Также нужно учитывать рост папки winsxs [http://www.outsidethebox.ms/15272/] на системном диске.

Несмотря на имеющиеся минусы, возможности SCCM позволяют более эффективное управление обновлениями, нежели WSUS, поэтому разберёмся с основными принципами работы и настройками некоторых функций.

 

Требования к SCCM

Для управления обновлениями с помощью Configuration Manager необходимо выполнить некоторые условия:

  • сервер WSUS должен быть версии 3.0 SP2 или выше [http://www.wikiznanie.ru/ru-wz/index.php/Wsus_faq]. Например, для Windows Server 2008 и выше с ролью устанавливается версия 3.0 SP1;
  • необходима консоль администратора WSUS, которая является указателем на его местонахождение;
  • должна быть включена служба автоматического обновления;
  • наличие 2-х ролей: SUP (Software Update Point), запускающую WSUS и разрешающую использовать его каталог SCCM для сканирования клиентов, а также - RSP (Reporting Service Point), которая отвечает за отчётность;
  • на сервере необходимо достаточно свободного дискового пространства под файлы обновлений.

 

Принцип работы

Сразу отметим, что отказавшись от управления с помощью WSUS, ранее созданные GPO использоваться не будут и некоторые настройки переопределяться новыми. Итак, для получения метаданных первым делом Configuration Manager обращается к WSUS. Каждый сервер имеет свою базу данных, поэтому для актуальности контента между ними происходит синхронизация. А чтобы о новинках узнал и клиентский ПК, SCCM (роль Management Point) предоставляет ему информацию о месте расположения WSUS. Между пользовательским компьютером и WSUS происходит сверка версий обновлений. Информация о недостающих данных помещается в репозиторий WMI и формируется отчёт. Далее отчёт отсылается в SCCM (в Management Point), где и попадает в его базу. После этого консоль отображает список доступных и требуемых обновлений. По одобрению системного администратора SCCM скачивает их (ответственность на роли SUP) и подготавливает для дальнейшего распространения (занимается роль Distribution Point), а клиенту сообщается о необходимости “обновиться”. После установки нужных файлов клиент снова отсылает отчёт в Configuration Manager. И только теперь системному администратору можно понять новое состояние софта и операционной системы пользовательского ПК.

В SCCM реализовано 2 типа раздачи скачанных данных. Первый - происходит в ручном режиме, который применяется в случае небольшого количества обновлений или при необходимости тщательного контроля каждого из них. При этом время работы требуется гораздо больше, нежели со следующим типом распространения. Ко второму - относится автоматический режим, который не требует к себе особого внимания и времени.

Настало время перейти от теории к практике. Будем считать, что WSUS уже функционирует и разберёмся с основными настройками Configuration Manager.  

 

Подготовка рабочей среды

Первым делом инсталлируем роль SUP: заходим в Administration->Sites->Add Site System Role, заполняем необходимые поля и активируем Software Update Point. Далее следует настройка параметров роли, что делается в разделе Configure Site Components. На вкладке Sync Settings определяем сервер синхронизации (WSUS или Microsoft). В Classification нужно указать все или только необходимые типы обновлений (критические и накопительные, драйвера и сервис-паки и другие). Products содержит перечень программных продуктов (Windows7, Office 2010, Skype и прочие). Затем во вкладке Sync Schedule устанавливаем расписание для синхронизации, а в Languages - языковые версии обновлений. “Supersedence Rules” позволяет переопределить старые обновления новыми, при этом первые будут вычищаться.

Чтобы пользовательский компьютер узнал и в дальнейшем получил самые “свежие” файлы, нужно произвести настройку клиентской части. Она включает в себя активацию агента (значение True) и установку расписания сканирования обновлений. Для этого заходим в раздел Software Update, пройдя путь Administration->Client Settings-> Default Client Settings.

Обновления скачиваются не сразу, а первоначально “добываются” метаданные, которые представляют собой “ссылку” (их характеристику), чтобы не загружать ненужные файлы. Получение метаданных происходит при синхронизации баз между серверами SCCM и WSUS. Данный процесс происходит автоматически по расписанию либо вручную, по нажатию кнопки Synchronize Software Updates, которая находится на панели меню Software Library-> Software Updates->All Software Updates. После этого в списке появятся метаданные с разным цветовым оформлением иконок. Зелёные – относятся к новым актуальным обновлениям. Оранжевый цвет означает начало процесса старения. То есть происходит перекрытие более “свежими” файлами, но устаревающие удаляются не сразу, а имеют небольшой цикл жизни. Это реализовано для того, чтобы была возможность их сохранить. Чёрный - говорит о полной неактуальности существующих данных (см. рис. 1). По каждому обновлению, выделив его, можно просмотреть краткую информацию (ID, описание, дату релиза и другое), а по 2-му щелчку мыши в появившемся окне отобразится исчерпывающая информация о нём.

Рисунок 1. Список метаданных.

 

Об удобствах управления скачанным контентом

Что делать, когда имеется огромное количество записей и требуется среди них найти необходимые? В этом случае удобно воспользоваться:

  • поиском по одному или нескольким критериям (по дате, типу, производителю, продукту, языковой версии, модели и многим другим), выбор которых появляется при нажатии на кнопку Add Criteria. А чтобы каждый раз не создавать один и тот же критерий поиска, его можно сохранить (на панели инструментов копка Saved Searches) и в дальнейшем только вызывать;
  • параметрами отображения, которые несут дополнительную и полезную информацию. Например, скачаны файлы или нет, установлены ли, дата релиза, тип, группировка, имя модели, требуемость и так далее (см. рис. 1). Включение их происходит просто: нужно нажать правой кнопкой мыши на панели отображения и в списке выбрать нужный параметр;
  • группировкой контента для работы только с требуемым объёмом данных. Для этого выделяем найденные метаданные и в контекстном меню выбираем пункт Create Software Update Group.

Теперь нужно получить обновления. Для этого необходимо нажать правой кнопкой мыши на группе и выбрать пункт Download. По окончании процесса скачивания они будут иметь статус “Yes”. На этом подготовка завершена, перейдём к следующему этапу - распространение.

 

Управление обновлениями вручную

В контекстном меню группы обновлений выбираем пункт Deploy. Появляется окно, где нужно ввести большое количество данных. Рассмотрим самые необходимые параметры. В разделе General вписываем понятное имя распространения и выбираем коллекцию компьютеров. В Deployment Settings особое внимание нужно уделить типу раздачи. При выборе параметра Required обновления будут устанавливаться по требованию системы или ПО, а Available означает доступность и инсталляцию по необходимости. После этого настраиваем расписание (раздел Scheduling). Тут нужно иметь в виду про такое понятие как крайний срок (deadline time), на основании которого содержимое группы инсталлируется принудительно. Так в SCCM обновления распространяться в открытом виде не могут, они “заворачиваются” в пакет, создание которого происходит в разделе Deployment Package, присвоив ему имя и указав путь к скачанным файлам. Далее выбираем точку распространения в Distribution point и языковые версии в Language Selection. Некоторые разделы (User Experience, Alerts, Download Settings, Download Location) с настройками по умолчанию можно оставить нетронутыми, а при необходимости внести в них изменения.

Заполнив все необходимые данные, системный администратор может наблюдать за состоянием процесса раздачи контента с помощью цветовой индикации (статус в виде кружка), где желтый цвет означает процесс распространения, зелёный – удачное его завершение, а красный - свидетельствует о каком-либо сбое или наличии ошибок.

 

Автоматическое распространение

Устранение ручной работы скачивания и раздачи обновлений можно добиться с помощью автоматического режима. Создание такого правила происходит в разделе Software Library->Software Updates->Automatic Deployment Rules вызовом контекстного меню и выбором пункта Create Automatic Deployment Rule. В появившемся окне выполняется ряд тех же настроек, которые производились для ручного режима, только “всё в одном”. Таким образом, создаётся группа для обновлений, пакет и правило их раздачи.

 

Troubleshooting

После всех проделанных настроек на сервере SCCM убедиться в правильности их работы позволяют отчёты и журналы. Отчёт создаётся в разделе Monitoring->Reporting->Reports->Software Updates. Задав необходимые параметры, получаем исчерпывающую информацию (см. рис. 2) об инсталляции как по всем, так и по каждому обновлению в отдельности. Количество отчётов гораздо больше, нежели в WSUS, и более наглядны. В журналах Windows Server можно увидеть только поверхностную (общую) информацию серверов WSUS иили SCCM. Поэтому, пройдя путь C:\Program Files->Microsoft Configuration Manager->Logs, файлы SUPSetup.log, WCM.log, wsyncmgr.log, WSUSCtrl.log помогут увидеть полную картину работы Configuration Manager относительно обновлений.

Рисунок 2. Отчёт.

 

Полномочия пользователя

Сотруднику компании доступна консоль SCCM (Пуск->Microsoft System Center 2012->Software Center), в которой виден перечень необходимых обновлений (см. рис. 3). И тут предоставляется возможность принимать участие в самостоятельной их установке. Весь процесс заключается в фиксации и нажатии кнопки Install при ранее выбранном параметре Available. Если выбран был тип Required, то в консоли для пользователя дополнительно появится кнопка Scheduling, которая позволяет изменить расписание инсталляции файлов на любое удобное время. При этом отсутствуют лишние окна с вопросами и настройками, что даёт пользователю быть более уверенным в своих действиях.

Рисунок 3. Консоль пользователя.

Даже если поведение сотрудника на последнем этапе будет игнорирующим, то обновления применятся на основании крайнего срока. По завершению работы чаще всего требуется перезагрузка компьютера, которую можно принять сразу, либо отложить на более подходящий момент.

Если установка системных и программных обновлений не требует временных рамок, то на этом этапе основные настройки сервера SCCM можно считать завершёнными. Однако, такие действия могут привести к замедлению работы компьютеров в течение трудового дня. Но подобрав удобное время инсталляции файлов, можно предотвратить эту проблему.

 

Тихо! Идёт работа

В том случае, когда сотрудники компании не принимают участия в установке обновлений, раздать новинки компьютерам можно и без их ведома. В этом системному администратору помогают:

  • окна обслуживания [http://technet.microsoft.com/ru-ru/library/bb694295.aspx] - относятся к одной из функций Configuration Manager, которые позволяют устанавливать обновления в заданный период времени и имеют приоритет (если случаются накладки по времени) перед работой без их использования. А в ситуации с несколькими окнами обслуживаниями при отсутствии между ними интервала, происходит их слияние в одно целое.

Настройка приоритетного типа раздачи файлов выполняется в свойствах группы компьютеров во вкладке Maintenance Windows раздела Asset and Compliance->Overview->Device Collections. Тут жмём кнопку создания окна обслуживания, вводим имя, ставим дату старта и начальноеконечное время, а также определяемся с расписанием. Например, можно сделать, чтобы операция обновления происходила ежедневно в обеденный перерыв (см. рис. 4).

Рисунок 4. Создание окна обслуживания.

  • Wake On Lan [http://technet.microsoft.com/ru-ru/library/bb693668.aspx] - позволяет системному администратору произвести “пробуждение” компьютера, находящегося в режиме сна или в выключенном состоянии. Данной функцией полезно воспользоваться при необходимости инсталлировать файлы в нерабочее время. Активация её происходит в разделе Deployment Settings фиксацией галочки Use Wake-on-Lan to wake up clients for required deployment при настройке распространения обновлений для типа Required.

 

Вывод: возможности Configuration Manager 2012 SP1 предоставляют новый уровень управления системными и программными обновлениями, более гибкую и комфортную работу, нежели только развернутый WSUS. А системному администратору было бы удобно воспользоваться данным преимуществом. В результате он получит не только защищённость корпоративной сети, но и повысит свою квалификацию как ИТ-специалиста, а также будет иметь удовлетворённость сотрудников в бесперебойной работе их компьютеров.