Счетчик

Поисковый анализ сайта
яндекс.ћетрика
Cервер и сайт запущен 2011.02.01 на Debian

Распространение программ при помощи WSUS и Local Update Publisher

Для разворачивания программ в среде Windows обычно используются logon-скрипты, групповые политики или SCCM. Для разворачивания обновлений Microsoft — дополнительно ещё и WSUS. На самом деле WSUS можно использовать и для разворачивания любых приложений, и для сторонних не-microsoft обновлений. Для этого он имеет API, но штатно им пользоваться может только SCUP, который требует для использования лицензию SCCM. Но можно воспользоваться и сторонним средством — Local Update Publisher. О нём и пойдёт речь далее.


Local Update Publisher (LUP) — это распространяемая as is программа, позволяющая системному администратору самому сделать локальную публикацию на своём сервере WSUS. Внешне LUP напоминает консоль управления WSUS и дублирует её функционал по той причине, что консоль WSUS не будет показывать не-microsoft обновления.

Для начала необходимо со страницы загрузки скачать дистрибутив Local Update Publisher.msi. Его необходимо установить на машине, на которой установлен WSUS SP2+ или хотя бы его консоль управления. После установки, надо запустить LUP от имени пользователя, входящего в группу Администраторы WSUS. При первом подключении появится диалог выбора сервера:

 

connection

 

Вводим имя и хостнейм, подключаемся по SSL, если у нас SSL настроен для WSUS'а, иначе без него. В первую очередь необходимо создать самоподписанный сертификат в меню Инструменты -> Информация о сертификате.

certinfo

 

Тут, к сожалению, есть особенность, что данный сертификат нельзя потом заменить. Сертификат будет использоваться для подписывания всех опубликованных обновлений, а потому его необходимо распространить на все компьютеры, включая сам сервер WSUS. Для этого надо его экспортировать через Инструменты -> Информация о сертификате -> Экспорт.

certexport

 

Экспортированный сертификат можно распространить на все компьютеры групповыми политиками. Сертификат должен быть включен в два хранилища — Доверенные корневые центры сертификации и Доверенные издатели.

 

gpocert

 

Также, необходимо в групповой политике, указывающей клиентам на WSUS-сервер, выставить в Конфигурация компьютера -> Политики -> Административные шаблоны -> Центр обновлений Windows параметр Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети в Включено.

Когда сертификат распространился, приступим непосредственно к созданию пакета обновления. Для примера будем распространять сам LUP. Выбираем в меню Инструменты -> Создать обновление. В появившемся окне нажимаем на обзор и выбираем Local Update Publisher.msi.

pub1

На следующем шаге выбираем тип обновления — Application, пишем название пакета и описание. Обязательно записываем вендора и название продукта, новые версии продукта будут складываться туда же. Остальное опционально. Тут же можно задать зависимости от других пакетов (нам это не нужно в данном случае) и какие пакеты это обновление заменяет (понадобится при разворачивании новой версии).

step2

На следующем шаге надо задать правила, по которым будет понятно, что пакет уже установился и больше его ставить не надо. Для MSI-пакетов LUP всегда создаёт правило, основанное на версии установленного MSI-пакета. В данном случае этого достаточно.

step3

На этом шаге необходимо задать правила, по которым будет понятно, необходим ли данный неустановленный пакет, можно ли его вообще установить на данной системе. Для MSI-пакетов LUP всегда создаёт правило с отрицанием, основанное на версии установленного MSI-пакета. Т.е. установить можно, если не было уже установлено. Нам этого достаточно.

step4

На следующих шагах позволяется вручную отредактировать различные xml-файлы, но это не требуется и можно жать «далее» до самого конца и получения окошка с сообщением, что пакет удалось создать. В дереве пакетов должен появиться вендор и продукт, заданные в пакете. Если нажать на продукт, то будет видно созданный пакет. Т.к. созданные пакеты не отображаются в обычной консоли управления WSUS, то их нужно одобрить в LUP. Для этого надо жмякнуть правой кнопкой на пакете и выбрать «Одобрить».

pub1

В появившемся окне видны группы компьютеров WSUS. Одобрим пакет для опциональной установки для тестовой группы компьютеров.

pub2

Если всё сделано правильно, то в течении минуты на клиентском компьютере можно поискать обновления. Если пакет ещё не был установлен, то он появится в рекомендуемых обновлениях. Кстати, при определённых настройках, устанавливаются обновления, не требуя от пользователя повышенных привелегий.

upd

Если клиентский компьютер был только что перемещен в эту группу, то он может долго кешировать принадлежность к группам и не находить обновлений. Форсировать можно при помощи команды wuauclt /resetauthorization /detectnow на клиенте. 

С некоторым запозданием, как и с обычными обновлениями, клиенты сообщают статус установки пакетов в WSUS и их можно посмотреть на вкладке «Статус».

Вот и всё. Теперь в вашем распоряжении мощный инструмент, который часто уместнее разворачивания программ традиционными способами вроде групповых политик. Кстати, не только разворачивания, но и удаления/

Добавить комментарий


Защитный код
Обновить