В статье рассматриваются возможности и основные настройки, достоинства и недостатки SCCM 2012 SP1 по управлению системными и программными обновлениями.

 

Введение

Управление программными и системными обновлениями парка компьютеров предприятия играет важную роль в стабильности и безопасности работы ИТ-инфраструктуры. Основным помощником является роль WSUS в Windows Server, но такая возможность реализована и в SCCM. И тем, кто собирается решать задачи с помощью Configuration Manager, полезно будет узнать о деталях нового уровня управления. Хоть SCCM полностью не заменяет WSUS, но расширяет его возможности дополнительным функционалом. По большому счёту WSUS на предприятиях находится уже в долгой эксплуатации, поэтому не будем заострять особого внимания, а рассмотрим его совместную работу с SCCM.

 

SCCM vs WSUS. Достоинства и недостатки

Процесс обновления с помощью WSUS можно разделить на 2 этапа: получение необходимых данных c Microsoft Update и предоставление “добытого” материала клиентским компьютерам. То есть задача WSUS заключается в подмене сервера Microsoft Update. Однако, не всё так гладко, как хотелось бы. Например, в данной роли отсутствует функция поиска по скачанному контенту (для подробного их анализа), а также установка обновлений без ведома пользователя, используя функцию пробуждения компьютера (Wake on Lan).   

В свою очередь SCCM получил немалый функционал, который расширяет возможности и устраняет слабые стороны WSUS. Но чтобы понять насколько Configuration Manager превосходит своего “младшего брата”, рассмотрим его преимущества:

  • сотрудники компании имеют возможность принимать участие в обновлениях системы или ПО, при этом простой и удобный пользовательский интерфейс не вызывает у них каких-либо сложностей;
  • поддерживается NAP (Network Access Protection) [http://www.winblog.ru/net/1147765128-07030805.html , http://www.xakep.ru/magazine/xa/120/116/1.asp] – набор правил для дополнительной безопасности корпоративной сети, то есть компьютеры, не прошедшие проверку NAP, направляются на обновление;
  • предоставление загруженных файлов пользовательскому ПК в нерабочее время;
  • имеется функция сохранности устаревших обновлений, например, чтобы в дальнейшем по каким-либо причинам возвратиться к ним;
  • реализован удобный поиск по скачанному контенту;
  • обновления могут устанавливаться стороннему софту совместно с SCUP (System Center Update Publisher) [http://technet.microsoft.com/ru-ru/library/bb531022.aspx].

Выбрав работу с SCCM, мы отказываемся от управления контентом с помощью WSUS. Так как Configuration Manager умеет скачивать обновления и предоставлять их клиентским ПК, то эти обязанности он берёт на себя. И тут всплывает один важный недостаток – в SCCM отсутствует возможность получения метаданных. Поэтому полностью о WSUS забыть нельзя и Configuration Manager “сотрудничает” с ним только в этом направлении. Также нужно учитывать рост папки winsxs [http://www.outsidethebox.ms/15272/] на системном диске.

Несмотря на имеющиеся минусы, возможности SCCM позволяют более эффективное управление обновлениями, нежели WSUS, поэтому разберёмся с основными принципами работы и настройками некоторых функций.

 

Требования к SCCM

Для управления обновлениями с помощью Configuration Manager необходимо выполнить некоторые условия:

  • сервер WSUS должен быть версии 3.0 SP2 или выше [http://www.wikiznanie.ru/ru-wz/index.php/Wsus_faq]. Например, для Windows Server 2008 и выше с ролью устанавливается версия 3.0 SP1;
  • необходима консоль администратора WSUS, которая является указателем на его местонахождение;
  • должна быть включена служба автоматического обновления;
  • наличие 2-х ролей: SUP (Software Update Point), запускающую WSUS и разрешающую использовать его каталог SCCM для сканирования клиентов, а также - RSP (Reporting Service Point), которая отвечает за отчётность;
  • на сервере необходимо достаточно свободного дискового пространства под файлы обновлений.

 

Принцип работы

Сразу отметим, что отказавшись от управления с помощью WSUS, ранее созданные GPO использоваться не будут и некоторые настройки переопределяться новыми. Итак, для получения метаданных первым делом Configuration Manager обращается к WSUS. Каждый сервер имеет свою базу данных, поэтому для актуальности контента между ними происходит синхронизация. А чтобы о новинках узнал и клиентский ПК, SCCM (роль Management Point) предоставляет ему информацию о месте расположения WSUS. Между пользовательским компьютером и WSUS происходит сверка версий обновлений. Информация о недостающих данных помещается в репозиторий WMI и формируется отчёт. Далее отчёт отсылается в SCCM (в Management Point), где и попадает в его базу. После этого консоль отображает список доступных и требуемых обновлений. По одобрению системного администратора SCCM скачивает их (ответственность на роли SUP) и подготавливает для дальнейшего распространения (занимается роль Distribution Point), а клиенту сообщается о необходимости “обновиться”. После установки нужных файлов клиент снова отсылает отчёт в Configuration Manager. И только теперь системному администратору можно понять новое состояние софта и операционной системы пользовательского ПК.

В SCCM реализовано 2 типа раздачи скачанных данных. Первый - происходит в ручном режиме, который применяется в случае небольшого количества обновлений или при необходимости тщательного контроля каждого из них. При этом время работы требуется гораздо больше, нежели со следующим типом распространения. Ко второму - относится автоматический режим, который не требует к себе особого внимания и времени.

Настало время перейти от теории к практике. Будем считать, что WSUS уже функционирует и разберёмся с основными настройками Configuration Manager.  

 

Подготовка рабочей среды

Первым делом инсталлируем роль SUP: заходим в “Administration->Sites->Add Site System Role”, заполняем необходимые поля и активируем “Software Update Point”. Далее следует настройка параметров роли, что делается в разделе “Configure Site Components”. На вкладке “Sync Settings” определяем сервер синхронизации (WSUS или Microsoft). В Classification нужно указать все или только необходимые типы обновлений (критические и накопительные, драйвера и сервис-паки и другие). Products содержит перечень программных продуктов (Windows7, Office 2010, Skype и прочие). Затем во вкладке “Sync Schedule” устанавливаем расписание для синхронизации, а в Languages - языковые версии обновлений. “Supersedence Rules” позволяет переопределить старые обновления новыми, при этом первые будут вычищаться.

Чтобы пользовательский компьютер узнал и в дальнейшем получил самые “свежие” файлы, нужно произвести настройку клиентской части. Она включает в себя активацию агента (значение “True”) и установку расписания сканирования обновлений. Для этого заходим в раздел “Software Update”, пройдя путьAdministration->Client Settings-> Default Client Settings”.

Обновления скачиваются не сразу, а первоначально “добываются” метаданные, которые представляют собой “ссылку” (их характеристику), чтобы не загружать ненужные файлы. Получение метаданных происходит при синхронизации баз между серверами SCCM и WSUS. Данный процесс происходит автоматически по расписанию либо вручную, по нажатию кнопки “Synchronize Software Updates”, которая находится на панели меню “Software Library-> Software Updates->All Software Updates”. После этого в списке появятся метаданные с разным цветовым оформлением иконок. Зелёные – относятся к новым актуальным обновлениям. Оранжевый цвет означает начало процесса старения. То есть происходит перекрытие более “свежими” файлами, но устаревающие удаляются не сразу, а имеют небольшой цикл жизни. Это реализовано для того, чтобы была возможность их сохранить. Чёрный - говорит о полной неактуальности существующих данных (см. рис. 1). По каждому обновлению, выделив его, можно просмотреть краткую информацию (ID, описание, дату релиза и другое), а по 2-му щелчку мыши в появившемся окне отобразится исчерпывающая информация о нём.

Рисунок 1. Список метаданных.

 

Продолжение следует...