Triển khai wsus windows server update services

1. Triển khai WSUS Windows Server Update Services
Giới thiệu
Thông tin và dữ liệu đóng vai trò quan trọng trong hoạt động sản xuất kinh doanh cũng như
sự phát triển của doanh nghiệp. Một trong những phương pháp quan trọng để bảo mật
thông tin và dữ liệu là cập nhật thường xuyên các bản vá lỗi hệ điều hành Windows, các
phần mềm của Microsoft trên các PC và ServerVới số lượng PC và Server tại các cơ quan
tương đối lớn, việc thực hiện cập nhật (update) các bản vá lỗi (hotfixes), các bản nâng cấp
cho các hệ điều hành, các phần mềm của Microsoft là một điều đáng được quan tâm. Hiện
tại, việc cập nhật cho các PC và Server tại các cơ quan phần lớn được thực hiện một cách
thủ công (từng người dùng thực hiện cập nhật riêng lẻ). Điều này dẫn đến các vấn đề như
sau:
 Người dùng không thực hiện cập nhật các bản vá lỗi hoặc thực hiện cập nhật các bản
vá lỗi không đầy đủ, dẫn đến nguy cơ bị tấn công vào các lỗ hổng bảo mật.
 Người quản trị chưa kiểm soát được tình trạng cập nhật các bản vá lỗi, các bản nâng
cấp các hệ điều hành, các ứng dụng Microsoft của người dùng.
 Mỗi người dùng cập nhật một cách riêng lẻ các chương trình, hệ điều hành của
Microsoft sẽ dẫn đến việc tiêu tốn băng thông, đặc biệt là băng thông quốc tế.
 Trong trường hợp đường truyền Internet bị chậm hoặc gián đoạn sẽ dẫn đến việc cập
nhật các hệ điều hành, các chương trình của Microsoft cho PC và Server diễn ra lâu
hơn, làm cho PC và Server chạy chậm hơn.
Do đó, giải pháp chính là cài đặt một Server trung gian (WSUS Server) thực hiện cập nhật
các bản vá lỗi từ Internet về, sau đó các máy PC trong mạng LAN kết nối đến Server này
để cập nhật các bản vá lỗi. Sau khi triển khai giải pháp này sẽ đạt được các mục tiêu sau:
 Tất cả các máy tính Client trong mạng LAN đều được cập nhật các bản vá lỗi kịp
thời, nâng cao khả năng bảo mật, an toàn cho máy tính người dùng (Client).
 Thời điểm cập nhật của các Client được đặt lịch phù hợp với hiệu suất hoạt động
mạng LAN.
 Tiết kiệm được băng thông truy cập Internet: trước đây tất cả các Client đều phải truy
cập Internet để cập nhật (mỗi lần cập nhật phải tải về từ vài chục đến vài trăm Mega

2. byte dữ liệu), nhưng bây giờ chỉ có 1 Server kết nối Internet để cập nhật online còn
các Client thực hiện cập nhật bên trong mạng LAN.
Nội dung thực hiện

3.  Cài đặt WSUS Server thực hiện chức năng tự động cập nhật online các bản vá lỗi,
các bản nâng cấp hệ điều hành, các phần mềm của Microsoft để cung cấp cho tất cả
các máy tính trong mạng LAN (PC và Server).
 Thiết lập các chính sách trên WSUS Server như: thời gian cập nhật các bản vá lỗi từ
Microsoft hoặc từ các nguồn khác, loại bản vá được cập nhật (critical,security…),
phân nhóm hệ điều hành các máy tính Client,...
 Thiết lập các chính sách trên Domain Controller để áp đặt các PC và Server trong
Domain cập nhật các bản vá (tải và cài đặt) một cách tự động, thời điểm các Client
trong mạng LAN thực hiện cập nhật,…
1. Cài đặt WSUS và IIS trên Windows Server 2008
Quá trình cài đặt WSUS và IIS gồm:
 Cài đặt role Web Server (IIS) và các role services liên quan
 Cài đặt role Windows Server Update Services (WSUS)
Các bước thực hiện như sau:VàoComputer > Manager, trong cửa sổ Server Manager,
chuột phải Roles >Add Roles. Sau đó chọn Next

4. Chọn Windows Server Update Services. Tại cửa sổ Add role services required for
Windows Server Update Services ?, chọn Add Required Role Services. Sau đó
chọnNext liên tục

5. Chọn Install và chờ cài đặt WSUS, IIS

6. Tại cửa sổ Windows Server Update Services 3.0 sp2 Setup Wizard, chọn Next. Sau đó
chọn Next liên tục cho đến khi quá trình cài đặt hoàn thành

7. Chọn Finish. Chúng ta đã cài đặt 2 role IIS và WSUS
2. Cấu hình WSUS Server

8. Quá trình cấu hình WSUS server gồm:
 Chọn cập nhật từ Server của Microsoft
 Chọn cập nhật qua Proxy Server:
 Chọn ngôn ngữ bản cập nhật: English
 Chọn sản phẩm cập nhật: windows 7, 8, windows server 2003, 2008, 2012, FEP..
 Chọn bản cập nhật: critical updates, security updates
 Chọn cách đồng bộ: theo lịch có sẵn 9h00 hàng ngày
Các bước thực hiện như sau:
Tại cửa sổ Windows Server Update Services Configuration Wizard, chọn Next

9. Chọn Next

10. Chọn Next, để WSUS server đồng bộ từ Microsoft

11. Chọn Use a proxy server when synchronizing khi có hệ thống sử dụng proxy server,sau
đó chọn NextHoặc không chọn Use a proxy server when synchronizing khi có hệ
thống không proxy server, sau đó chọn Next

12. Chọn Start Connecting

13. Chọn Next

14. Chọn ngôn ngữ của bản cập nhật là tiếng Anh (English), sau đó chọn Next

15. Chọn sản phẩm (products) của Microsoft cần cập nhật như loại hệ điều hành, phần mềm…,
sau đó chọn Next

16. Chọn nhóm bản cập nhật cần thiết (Classification), sau đó chọn Next

17. Chọn thời gian thiết lập đồng bộ và số lần thiết lập đồng bộ trong ngày giữa WSUS Server
và Microsoft Server, sau đó chọn Next

18. Chọn Next

20. Chọn Finish
3. Cấu hình chính sách người dùng
Cấu hình chính sách trên Domain Controller:
 Cho phép các máy PC tự đông tải và cài đặt các bản cập nhật theo lịch thiết lập sẵn
 Cài đặt địa chỉ của WSUS Server
Các bước thực hiện như sau:
Cấu hình chính sách (Group Policy) trên Domain Controller

21. - Vào Start > Programs > Administrative Tools > Group Policy Management.
- Tại cửa sổ Group Policy Management, vào Group Policy Management > Forest:
tên_miền > Domains > tên _miền.
- chuột phải Default Domain Policy, chọn Edit
Tại cửa sổ Group Policy Management Editor, chọn Computer Configuration > Policies >
Administrative Templates: Policy Definations (ADMX files retrieved from local
machine) > Windows Components > Windows Update, chuột phải Configure Automatic
Updates, chọn Edit

22. Tại cửa sổ Configure Automatic Updates, thiết lập chính sách, sau đó chọn OK

23. Tiếp tục chuột phải Specify internet Microsoft update service location, chọn Edit

24. Tại cửa sổ Specify internet Microsoft update service location, chọn Edit, thiết lập ip của
WSUS Server, sau đó chọn OK

25. Vào Run, thực hiện lệnh gpupdate /force để cập nhật ngay các chính sách mới

26. 4. Quản lý các máy tính trong mạng LAN và WSUS Server
Quá trình quản lý các máy tính trong mạng LAN và WSUS Server gồm:
 Kiểm tra các máy tính trong mạng LAN đã kết nối đến WSUS Server chưa. Nếu các
PC chưa kết nối đến WSUS Server, thực hiện các lệnh đồng bộ bằng tay từ các máy
PC chưa kết nối
 Kiểm tra phiên bản WSUS Server và cập nhật WSUS Server lên bản mới nhất
 Thực hiện đồng bộ thông tin các bản cập nhật từ Microsoft Server về WSUS Server
 Cho phép WSUS Server tải các bản cập nhật cần thiết cho hệ điều hành và các phần
mềm từ Server của Microsoft. Sau đó kiểm tra WSUS Server đã tải hết các bản cập
nhật đã được chọn hay chưa
 Kiểm tra tình trạng cập nhật của các PC trong mạng LAN
 Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN trên WSUS
Các bước thực hiện như sau:
Kiểm tra kết nối của các máy tính trong mạng LAN đến WSUS Server
Kiểm tra cấu hình WSUS Server ban đầu. Vào All Programs > Adminitrative Tools >
Windows Server Update Services

27. Mặc định, các máy tính trong mạng LAN sẽ được đưa vào nhóm Unassigned Computers.
Có thể tạo ra các Group Computer phân loại các hệ điều hành Windows và các Group
Computer phân loại PC các Ban để dễ dàng quản lý. Chúng ta có thể kết hợp thêm
với Active Directory Users and Computers, Group Policy Mangagement để thực hiện cập
nhật cho từng Ban vào các thời điểm khác nhau.Thực hiện đồng bộ giữa máy client và
WSUS server. Nhận thấy, khi mới cài đặt WSUS Server, có một số máy PC chưa kết nối
đến WSUS Server. Khi đó, có thể vào PC đó, vào Run, thực hiện lệnhwuauclt
/resetauthorization/detectnow để thực hiện kết nối PC đó đến WSUS Server. Trong
trường hợp này, vào máy PC Windows 7 thực hiện lệnh:

28. Sau khi thực hiện đồng bộ, chúng ta có kết quả máy PC Windows 7 đã được thêm vào mục
Unassigned Computers trong WSUS Server

29. Kiểm tra phiên bản WSUS Server
Khi máy PC và Server mới được thêm vào WSUS Server, phần Installed/ Not Applicable
Percentage (phần trăm update đã được cài đặt/ không thích hợp) là 0% do WSUS server
đang thực hiện phân tích trạng thái cập nhật của các máy PC và Server. Lúc này trạng thái
của các PC và Server là Not yet Reported. Để thực hiện thông tin ngay tình trạng cập nhật
đến WSUS Server, vào các PC và Server chưa gửi thông tin trạng thái cập nhật, vào Run,
gõ lênh wuauclt /reportnow.Các PC và Server sẽ gửi ngay thông tin trạng thái cập nhật
đến WSUS Server.Đôi khi, do phiên bản của WSUS Server thấp hơn so với phiên bản của
PC và Server trong mạng LAN, nên trạng thái của PC và Server vẫn là Not yet Reported.
Lúc này, cần cập nhật phiên bản cho WSUS Server, tối thiểu là phiên bản 3.2.7600.251. Để
xem phiên bản WSUS Server, vào Help > About Update Service…
Nếu phiên bản hiện tại thấp hơn 3.2.7600.251, bạn thực hiện cập nhật WSUS Server
Để thực hiện cập nhật WSUS Server, chạy gói cập nhật KB2734608

30. Sau khi chạy gói cập nhật, phiên bản hiện tại của WSUS Server là 3.2.7600.256

31. Đồng bộ thông tin các bản cập nhật từ Microsoft Server về WSUS Server
Sau khi các máy PC và Server đã được nằm trong Unassigned Computers của WSUS
Server và đã thông báo tình trạng cập nhật đến WSUS Server, chúng ta có thông tin như
sau:

32. Ví dụ trong trường hợp trên: đối với máy PC Windows 7: tỉ lệ phần trăm số bản cập nhập
đã được cài đặt hoặc không thích hợp là 90%, số bản cập nhật cần thiết là 234 bản tương
ứng với 10%. Chúng ta tiến hành đồng bộ (Synchronize now) để xem thông tinsố bản cập
nhật cần thiết cho các máy tính trong mạng LAN từ trang chủ Microsoft về WSUS Server
có thay đổi không.

33. Sau khi đồng bộ, chương trình sẽ thông báo thời gian cập nhật lần gần nhất và trạng thái
cập nhật là thành công

34. Tải các bản cập nhật từ Microsoft Server về WSUS Server
Hiện tại, các máy PC (windows 7) và máy Server (windows server 2008) có 1840 security
updates và 403 critical updates cần cập nhật.

35. Thực hiện chấp nhật (Approve) các bản cập nhật cho máy PC, máy Server để tải các bản
cập nhật từ trang chủ Microsoft về WSUS Server.

36. Tại cửa sổ Approve Updates, chọn All Computers, Chọn Approved for Install,

37. Sau đó chọn OK
Chờ quá trình chấp nhận các bản cập nhật

38. Quá trình chấp nhận các bản cập nhật diễn ra thành công, sau đó chọn Close
Chờ các bản cập nhật được tải từ Microsoft Server về WSUS server

39. Sau khi WSUS Server tải các bản cập nhật về xong, chúng ta nhận thấy số bản cập nhật cần
thiết (needed) chưa được chấp nhật (Unapproved) là 0

40. Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN
Kiểm tra máy PC Windows 7. Trước khi cập nhật cho máy PC Windows 7

41. Khi đến thời gian đồng bộ các bản cập nhật từ WSUS Server xuống PC Windows 7 (được
thiết lập trong Group Policy của Domain Controller). Các bản cập nhật sẽ được tự động tải
xuống PC. Sau khi các bản cập nhật đã được tải xuống PC, nếu chính sách trên Domain
Controller là Auto Download and Notify for Install thì một thông báo sẽ được hiện lên yêu
cầu bạn cập nhật các bản vá (với máy PC Windows 7).
Chọn Install updates,

42. Quá trình cài đặt các bản cập nhật. Chú ý:bạn sẽ không nhận thấy quá trình này khi thực
hiện cập nhật tự động theo lịch.

43. Sau khi cài đặt xong, chọn Restart Now và chờ PC thực hiện hiện cài đặt

44. Sau khi cập nhật xong, trạng thái cập nhật của PC Windows 7 như sau:

45. Sau khi các bản cập nhật đã được tải xuống, nếu chính sách trên Domain Controller làAuto
Download and Schedule for Install thì các bản vá sẽ được cập nhật một cách tự động theo
thời gian đã định sẵn (với máy Windows Server 2008).Máy Windows Server tự động cài
đặt bản cập nhật, thông báo đã cài đặt xong và yêu cầu restart.

46. Chọn Restart Now và chờ máy Windows Server 2008 thực hiện cài đặt

47. Sau khi cập nhật xong, trạng thái cập nhật của máy Windows Server 2008 như sau:

48. Kiểm tra tình trạng cập nhật của các PC và Server trong mạng LAN trên WSUS Server
Sau khi các máy tính trong mạng LAN đã được cập nhật xong, chúng ta sẽ nhận được
thông báo các máy tính đã ở trong tình trạng 100% được cập nhật, các bản cập nhật cần
thiết là 0 (Update needed)