SOFTWARE UPDATE SERVICES (SUS) Windows işletim sistemlerinin popülerliğindenmidir yoksa gerçektende sistemin zarar görmesine neden olacak güvenlik sıkıntılarının çokluğundanmıdır tartışılır ancak gün geçmesinki sistem yöneticileri firmalarındaki sunucuları ve istemci bilgisayarları güncellemesin. Windows işletim sistemleri gerek ev kullanıcılarının gerekse sistem yöneticilerinin tercih ettikleri sistemler olduğundan, bilgisayar korsanlarının yoğun saldırılarına maruz kalmaktadır. Bu durum Windows işletim sistemelerinde bulunan güvenlik açıklarının daha çabuk tespit edilmesine ve bu açıklardan sisteminin stabil çalışmasını engelleyici saldırılar gerçekleşmesine sebep olmaktadır. Sistemin güvenliğini sarsacak bu girişimler, evinde bu işi öğrenmeye çalışan genç bir meraklı olabileceği gibi geçtiğimiz yıl ve bu yılda oldukça baş ağrıtan worm saldırılarıda olabiliyor. Bu durumda yapılması gereken en doğru hareket firmamızda bulunan bilgisayarlardaki işletim sistemelerinin sürekli güncel tutulmasıdır. Peki bunu nasıl yapacağız ? Tabiki Software Update Services hakkında bilgisi olmayan arkadaşlarımız bu soruya Windows Update sitesine gidip buradan güncellerim şeklinde cevap veriyor olabilirler. Bu cevaba kısmen doğru demek lazım. Zira küçük ölçekli bir firmada çalışıyorsak, firmamızda toplam 10 adet bilgisayar varsa, bu bilgisayarları tek tek windows update web sitesinden güncelleyebiliriz. Yapmamız gereken tek şey, Başlat menüsündeki Windows Update’i tıklamak. Bu durumda bilgisayarımız http://windowsupdate.microsoft.com/ sitesine giderek gerekli güncellemeleri yapacaktır. Tabi ortamımızda internete çıkamayan bilgisayarlarda olabilir. Bu da ayrı bir sorun. Buraya kadar herşey normal. Peki, çalıştığımız firmada yüzlerce bilgisayar ve onlarca sunucumuz varsa ne yapacağız ? Tek tek tüm bilgisayarları güncellememiz çok zor olacaktır. Bu büyüklükteki bir bilgisayar ağında IT departmanı günlük işleri yapmakta zorlanacağını düşünecek olursak sadece güncelleme işlemleri için ayrı bir ekip oluşturmamız gerekecektir. İşte bu noktada yardımımıza Software Update Services (SUS) yetişiyor. SUS, bulunduğumuz domaindeki bilgisayarların sürekli güncel kalmasını sağlayan bir teknolojidir. SUS sayesinde sistemimizin zarar görebileceği kritik güvenlik güncellemelerini uygulayarak sistemimizin güvenliğini arttırıp, stabil çalışmasının devamlılığını sağlarız. Software Update Services (SUS) için gerekenler : Software Update Services’ı sunucu ve istemci tarafından ayrı ayrı değerlendirmemiz gerekir. SUS Server için gerekli yazılımlar : -
-
Minimum Service Pack 2 kurulu Windows 2000 Server veya Windows 2000 Advanced Server, Windows 2003 Server Family ürünleri Internet Infomation Server 5.0 veya üstü Internet Explorer 5.5 veya üstü Kurulum için Ntfs partition
Hardware olarak Microsoft tarafından tavsiye edilen konfigürasyon : - Pentium III 700 MHz veya üstü bir işlemci - 512 Mb Ram - 6 Gb boş harddisk alanı (Bu konfigürasyona sahip tek bir SUS Server yaklaşık olarak 15.000 istemciye destek verebilmektedir.) Software Update Services Windows işletim sistemleri cd lerinden çıkan bir program olmadığınden dolayı şu an güncel sürüm olan Software Update Services 1.0 Service Pack 1’in http://www.microsoft.com ‘dan ücretsiz olarak download edilebilir. Service Pack 1 desteği ile Sus’un domain controller görevi olan bir sunucuya kurulabileceği gibi Service
1
Pack 1 yüklü Small Business Server 2000 üzerinde de çalışması sağlanmıştır. Bu özellik SUS 1.0 versiyonunda olmayan bir özellikti. Not : Domain Controller, kendi üzerindeki işlerle ilgilenirken, üzerine ayrıca Software Update Service görevi yüklemek sunucuya ekstra bir yük getireceğinden başka bir bilgisayara bu görevi vermek daha doğru olabilir. Ortamımızdaki Web Server’a veya üzerinde IIS yüklü başka bir member server’a Software Update Services yükleyerek Domain Controller’ı bu yükten kurtarabiliriz. SUS client’lar için gerekenler : Bu bölümde SUS client’a geçmeden önce Automatic Update’den bahsetmekte fayda görüyorum. Evimizde veya işyerlerimizde kullandığımız istemci bilgisayarlarda Windows işletim sistemimizi, Windows Update sitesinden kendimiz update edebileceğimiz gibi sistemin bu işi yapmasını isteyebiliriz. Peki işletim sistemimi bunu nasıl yapacak ? İşte tam bu noktada Automatic Update devreye giriyor. Automatic Update, işletim sistemimizde gerekli güncellemeleri yaparak sistemin daha güvenli çalışmasını sağlar. Automatic Update seçeneklerine Control Panel / System’den erişebileceğimiz gibi, desktop üzerindeki My Computer ikonu üzerinde sağ tıklayarak Properties’e girerekte erişebiliriz. System penceresi üzerinde Automatic Update’e girerek gerekli değişiklikleri yapabileceğimiz bölüme ulaşmış oluruz. (Şekil 13_1)
Şekil 13_1 . Automatic Update seçenekleri. Burada, Keep my computer up to date ile başlayan satırdaki check box’ın işaretli olmasına dikkat etmeliyiz. Bu sayede sistem yeni çıkan güncellemeleri Windows Update sitesinden gerçekleştirecektir. Diğer özelliklere bakacak olursak,
2
Notify me before downloading any updates and notify me again before installing them on my computer : Bu seçeneği seçersek, sistem yeni güncellemeleri download etmeden önce kullanıcıya bilgi vermesini, gerekli güncelleme download edildikten sonra kurmak için yine kullanıcıya bilgi vermesini sağlar. Download the updates automatically and notify me when they are ready to be installed : Bu seçenek ile, güncellemelerin kullanıcıya herhangi bir bildiri vermeden Windows Update sitesinden otomatik olarak download edilmesini fakat kurulum için kullanıya bir bildiri vermesini sağlar. Automatically download the updates and install them on the schedule that I specify : Bu seçenek ilede, güncellemelerin yine kullanıcıdan bağımsız bir şekilde download edilmesini ve kurulum için bir takvimleme yapılmasını sağlayabiliriz. Bu seçeneği işaretlediğimiz yerin hemen altındaki bölümde haftanın hangi gün ve saatlerinde kurulumların gerçekleşmesini istediğimiz belirtebiliriz. Gerekli ayarları yaptıktan sonra artık güncellemeler gerçekleşecek ve güncel bir yapıya kavuşmuş olacağız. Automatic Update’den biraz bahsettikten sonra gelelim SUS Server’ın olduğu ortamlarda bunu nasıl gerçekletireceğiz yani SUS client için neler gerekli onlara bakalım. Zira az önce bahsettiğimiz durumlar, ortamımızda SUS Server olmadığı anlarda geçerlidir. İstemcilerin Software Update Services’dan faydalanabilmeleri için Automatic Update’in gelişmiş bir versiyonunu kullanmaları gerekmektedir. Aşağıdaki işletim sistemlerinde Automatic Update client desteği hazır gelmektedir, Windows Xp Service Pack 1 Windows 2000 Service Pack 3 Windows 2003 (Windows 2000’den önceki işletim sistemlerine sahip olan istemcilerin Software Update Services desteği yoktur) Bu işletim sistemlerine sahip bilgisayarlar SUS Server üzerindeki güncellemeleri kendilerine çekip kurabilme yeteneklerine sahiptirler. Bir takım sebeplerden dolayı, service pack yüklenememesi gibi durumlarda istemci bilgisayarlara http://www.microsoft.com adresinden çekebileceğimiz Automatic Update client programı (WUAU22.msi) ile bu yeteneğe sahip olmasını sağlayabiliriz. Bu programı service pack yüklenemeyen bilgisayarlarımıza Group Policy ile deploy ettikten sonra sanki service Pack yüklüymüş gibi SUS Server’a ulaşıp gerekli güncellemeleri yapabileceklerdir. Hem sunucu hem istemci tarafından bahsettikten sonra, öncelikle kurulumdan daha sonrada işleyişten bahsedelim. Software Update Services (SUS) kurulumu Software Update Services’ın kurulumu için SUS10SP1.exe (Yaklaşık 33 Mb) isimli dosyayı http://www.microsoft.com ‘dan ücretsiz olarak çekebilir ve SUS Server olarak kullanmayı planladığımız sunucumuza kurabiliriz. Herşeyimiz hazır olduğuna göre Windows 2003 sunucumuza Software Update Services’ı artık kurabiliriz. SUS10SP1.exe isimli dosyayı çift tıkladığımızda karşımıza çıkacak Welcome ekranı ve lisans sözleşmesini geçtikten sonra eğer varsayılan değerler ile SUS Server’ın kurulmasını istiyorsak Typical’ı, kurulum için tüm değerleri biz belirlemek istiyorsak Custom’ı seçmeliyiz. Biz Custom’ı seçtikten sonra görüntülenecek ekran aşağıdaki olacaktır (Şekil 13_2) :
3
Şekil 13_2 Kurulum için lokasyon seçimi Choose file locations penceresinde Software Update Services’in kurulum dosyalarının lokasyonunu ve güncelleme dosyalarının nerede saklanmasına karar veririz. SUS Server'ımız gerekli güncellemeleri Windows Update Sunucuları ile arasındaki senkronizasyon (synchronization) ile elde edecektir. Senkronizasyon sırasında iki veri tipi kullanılır : -
Metada veya dictionary objects diye adlandırılan nesneler, uygun paketleri ve bu paketlerin uygulanabilirliklerini açıklar. Bu bilgiler download edilen Aucatalog1.cab ismindeki dosyanın içerisindedir. Güncellemeleri içeren paketler.
Şekile dönecek olursak, Save the updates to this local folder’ı işaretlersek SUS Serverımız ile Windows Update Sunucuları arasında gerçekleşen senkronizasyon sonrasında download edilen dosyaların bizim belirttiğimiz bir lokasyonda tutulmasını sağlarız. Keep the updates on a Microsoft Windows Update server, to which I will direct clients, seçeneğinde ise sadece Aucatalog1.cab dosyası download edilecektir ve sistem yöneticisi olarak istemcilerimize uygulanmasına karar verdiğimiz güncelemeleri, istemciler Windows Update Sunucuları üzerinden yapacaklardır. Biz burada ilk seçenek olan Save the updates to this local folder’ı seçiyoruz ve varsayılan lokasyonu kabul edip next i tıklıyoruz. Karşımıza çıkacak olan ekran dil seçenekleri ekranıdır (Şekil 13_3) :
4
Şekil 13_3 Software Update Services’in hangi dillerdeki güncellemeleri çekeceğini belirliyoruz. SUS’un yönetimsel arayüzünün sadece İngilizce ve Japonca desteği olmasına karşın destek verdiği client işletim sistemlerinde yukarıda görmüş olduğunuz tüm dillerin desteğini vermektedir. Specific languages’i seçerek bizim belirleyeceğimiz dillerdeki güncellemelerin downlad edilmesini sağlayacağız. Yukarıda işaretlemiş olduğumuz tüm dillere ait güncelleme paketlerini, Sus istemcilere uygulamak üzere ayrı ayrı download edecektir. Biz Türkçe ve İngilizce dil desteklerini seçiyoruz OK ve Next i tıklıyoruz. Bir sonraki ekran ise Handling new versions of previously approved updates ekranıdır. (Şekil 13_4)
5
Şekil 13_4 Bazı durumlarda kullanıcılara uygulanmak üzere approve edilmiş (onaylanmış) güncellemelerde çıkan sorunlar Microsoft tarafından tekrar düzenlenip sorun çıkmasına neden olan hata giderilip tekrar Windows Update sunucularında yayınlanır. Böyle bir durumda istemcilerimize uygulamak istediğimiz güncellemelerin approve işlemini nasıl yapmamız gerektiğine Handling new versions of previously approved updates penceresindeki seçenekler ile karar vereceğiz : Buradaki seçeneklere bakacak olursak, Automatically approve new versions of previously approved updates, seçeneği ile bir güncellemenin yeni versiyonu çıkmışsa bu güncellemeyi otomatik olarak istemcilere uygula anlamına gelmektedir. Bu bizim işimizi kolaylaştıracaktır ancak güncellemeleri test etmeden uygulamak birtakım sıkıntılara yol açabilir. I will manually approve new versions of approved updates, seçeneği ise, böyle bir durumda yeni güncellemelerin bizim tarafımızdan onaylandıktan sonra istemcilere uygulanmasını sağlar. SUS kurulumundaki bir sonraki ekranda ise karşımıza Ready to Install penceresi gelecek. (Şekil 13_5)
6
Şekil 13_5 Burada Install’u tıklamadan önce Specifying a download URL kısmının en altındaki URL adresini bir yere not etmemizde fayda var. http://sunucuismi, bu adres istemcilerin SUS Server’a bağlanıp gerekli güncellemeleri çekmeleri için Group Policy’de lazım olacak. Kurulum, Install’u tıklamanızla beraber başlayacak. Kurulum bittikten sonra çıkacak olan son ekrandaki URL adresinide not etmekte fayda var. Bu adres SUS Serverımızın yönetim arayüzünün adresidir. SUS ile ilgili tüm yönetim işlerini bir web sayfası üzerinden gerçekleşmektedir. (Şekil 13_6)
Şekil 13_6
7
Finish’i tıkladığımızda en son pencerede not ettiğimiz adres olan http://sunucuismi/SUSAdmin sayfası açılacaktır. İşte Software Update Services ile ilgili tüm yönetimsel işlemleri bu web arayüz üzerinden yapacağız (Şekil 13_7) :
Şekil 13_7 Kurulumu tamamladıktan sonra Event Viewer’ı kontrol etmemizde fayda var. Bunun için Control Panel / Administrative Tools altında bulunan Event Viewer’i açıp Application kısmında Type’ı Information olan event leri incelememiz gerekli. Event Id : 11707 olan, Description bölümünde : Product: Microsoft Software Update Services - Installation completed successfully. yazan bir event var ise kurulum başarılı bir şekilde gerçeklemiş demektir. Eğer kurulum esnasında oluşan bir hatadan dolayı SUS yüklenemediyse ilgili Event’i bulup, Event Id numarasını not alarak TechNet’te (http://www.microsoft.com/technet/default.mspx) bu numara ile arama yapıp çözüm yollarını aramalıyız. Software Update Services’i kurduğumuza göre artık yönetimsel ekrana geçerek hem menüleri inceleyelim hemde SUS nasıl çalışır konusunun detaylarına girelim. SYNCHRONIZE SERVER : Bu bölümde, SUS Server ile Windows Update Sunucuları arasındaki güncellemelerin senkronizasyonunu sağlarız. Şekil 8’e bakacak olursak, bu bölüm iki kısımdan oluşmaktadır.
8
Şekil 13_8 Synchronize Now’ı tıklarsak SUS Server’ımız ile Windows Update Sunucuları arasındaki senkronizasyon işlemi anında gerçekleşecetir (Şekil 13_9) :
Şekil 13_9 Senkronizasyon işlemi esnasında gerçekleşen işlemleri incelersek Software Update Services’in çalışma mantığınıda kavramış oluruz. -
-
-
SUS Sunucumuz ilk olarak internet üzerinden, Microsoft'un Windows Update Sunucularına bağlanır ve en son içeriğe sahip olan güncelleme dosyalarını (metadata) sıkıştırılmış bir paket halinde download eder. Download edilmiş paketin Microsoft imzalı bir dijital imzası olup olmadığının onaylaması gereklidir. Eğer onaylama gerçekleşirse, paketin Microsoft'a ait bir dijital imzası varsa paket açılır, eğer onaylanmazsa paket silinir. Böylece kötü niyetli kişilerin sistemimize kritik güncelleme paketi adına virus içerikli paketler göndermesi engellenmiş olur. Bu aşamada güvenlik sağlanmış oldu. Download edilen yeni metadata ile lokal kopya karşılaştırılır, yeni ve güncellenmiş dosyalar olarak işaretlenirler. Böylece, yeni download edilmiş olan dosyalar ile sistem yöneticisi tarafından kullanıcılar için önceden onaylanıp uygulanan dosyalar birbirinden ayrılmış olur. Eğer önceden varolan bir güncelleme Windows Update Sunucularından kaldırılmışsa senkronizasyon işlemi bu güncellemeyi Software update Services
9
-
-
-
-
sunucumuzdan iptal edecektir. Windows Update bir güncellemeyi iptal ettiğinde, istemci bilgisayarlar, artık sunucuya bağlanıp önceki güncellemeler için bağlantı kurmayacaklardır. Eğer önceden güncellenmiş bir dosyanın güncellemesi varsa, senkronizasyon işlemi otomatik olarak sunucu üzerinde bunu günceller. Bu güncelleme sistem yöneticisi tarafından önceden onaylanıp (Approve) kullanıcılara uygulanan bir güncelleme ise eğer, Şekil 4'de seçtiğimiz seçeneğe göre, güncellenemenin yeni halini, kullanıcılara otomatik olarak uygulayacak veya biz bu işi gerekli testlerden sonra kendimiz manuel olarak yapacağız. Tabi biz bu ayarı Set Options menüsünden nasıl değiştirebileceğimizi ilerleyen bölümler içinde göreceğiz. Eğer sunucu konfigürasyonunda güncellenen dosyaların senkronizasyonu varsa, yeni dosyalar sunucu üzerinde önceden belirlenmiş br lokasyon üzerinden download edilir. Bunun anlamı, ortamımızda birden fazla SUS Sunucumuz varsa yeni güncellemeleri Windows Update Sunucularındanmı alacaklar yoksa diğer SUS Sunucumuzdanmı alacaklar. Eğer ortamımızda 2 adet SUS sunucu varsa, bir SUS sunucumuz tüm güncellemeleri Windows Update Sunucularından alırken, diğer SUS Sunucumuz tüm güncellemeleri diğer SUS Sunucumuzdan alabilir. Bu bize ciddi bir network trafiği kazandıracaktır. Bu konuyla ilgili detayları ilerleyen bölümlerimizde göreceğiz. Önceden eksik download edilen bir dosya varsa dosyanın yeni bir kopyası download edilir. Eğer meta-data tarafından download edilemeyen bir dosya belirlenirse, ilgili meta-data approve edilebilir güncellemeler listesinden çıkartılır. Böylece, güncelemelerin bir sorun çıkartmasıda engellenmiş olur. Eğer manuel senkronizasyon başarısız olursa, bu durum synchronization log altına loglanır. Eğer takvimleme ile gerçekleştirilmiş bir senkronizasyon başarısız olursa, 30 dakika sonra tekrar denenir. Tekrar deneme sayısı varsayılan olarak 3'tür. Ancak istenirse bu değer değiştirilebilir. Synchronization log dosyası senkronizasyon esnasında sürekli güncellenir. Kaydedilen tüm log dosyalarına bu yönetimsel ekranda erişilebilir.
Senkronizasyon (Synchronization) işlemi bu şekilde gerçekleşirken, bu işlemi belirli bir saatte yapabilmek için Synchronization Schedule bölümüne geçip ilgili ayarları yapmalıyız. Böylece bizim istediğimiz saatlerde senkronizasyon işlemi gerçekleşecektir. (Şekil 13_10)
Bu ekranda belirlediğimiz gün ve saatlerde, Software Update Services Sunucumuz ile Windows Update Sunucular arasında senkronizasyon gerçekleşecektir. Bu işlemin mesai saatleri dışındaki bir saat diliminde
10 Şekil 13_10 – Schedule Synchronize
yapılması, şirketimizin network trafiğini olumlu yönde etkileyecektir. En alttaki 3 değeri az önceki senkronizasyon adımlarının 9.sudur. Bu rakam, SUS Sunucumuz ile Windows Update Sunucuları arasındaki senkronizasyonun başarısız olması durumunda, SUS Sunucumuzun kaç defa yeni bir girişimde bulunması gerektiğinin belirtildiği sekmedir. Varsayılan değer 3 olmakla beraber, her başarısız denemenin arasında 30 dakikalık bir süre vardır. Varsayılan 3 değeri sistem yöneticisi tarafından değiştirilebilir. Software Update Services kurulduktan sonra, ilk akşam bu senkronizasyon yapılmalıdır. Zira ilk kataloğu download etmesi uzun sürecektir. Daha sonra Windows Update Sunucularına eklenen diğer güncelemeleri download etmesi çok daha kısa zaman alacaktır. APPROVE UPDATES : Şu ana kadar sunucular arasında gerçekleşen olayları ele aldık. Gelelim Software Update Services Sunucumuz ile istemcilerimiz arasında gerçekleşen işlemlere. Windows Update Sunucularından gerekli güncellemeler yapıldı ve sıra geldi bu güncellemeleri kullanıcılarımıza uygulamak. Tavsiye : Kullanıcılarımıza approve etmeyi planladığımız güncellemeleri, approve edip kullanıcılara uygulamadan önce bir test ortamında denememiz çok daha doğru olacaktır. Böylece, sistemimizde çalışan programların, bu kritik güncelemelere karşı çıkartabilecekleri uyumsuzlukları önceden tespit edip düzenleme şansına sahip oluruz. Approve Updates’i tıkladığımızda karşılaşacağımız ekran Şekil 13_11’deki gibi olacaktır.
Şekil 13_11
11
Automatic Update client’ların, Software Update Services Sunucumuza bağlanıp gerekli güncellemeleri çekebilmeleri için, öncelikle istemcilerimizin hangi güncelemeleri çekebileceklerine karar vermemiz gerekmektedir. Bunun için öncelikle Available Updates kısmına bakmamız gerekiyor. Available Updates kısmında her güncelleme için detay bilgiler yeralmakta. Bu detaylarlar arasında, paketin büyüklüğü, download edildiği tarih, güncelleştirmeye ait knowledge base article numarası bulunmasıyla birlikte ayrıca, her güncelleştirmenin bulunduğu satırın sonundaki “Details” tıklanırsa güncelleştirmenin .exe dosyası hakkında detaylı bilgilerede erişilebilir. Sort by menüsünde ise, güncelleştirmelerin ne türde sıralanacağını belirleriz. Bunun için, Status, Date, Title, Platform seçeneklerinden birisini seçmemiz yeterlidir. Bu seçenek varsayılan olarak Status’tur. Sort by menüsünün hemen altında güncelemenin durumunu görebiliriz. Bu sayede güncelleştirmenin kullanıcılara approve edilip edilmediğini veya bu güncelleştirmenin yeni olduğu gibi bilgilere sahip oluruz. Buna göre : New : Bu güncelleştirmenin yakın geçmişte download edilmiş olduğunu belirtir. Güncelleştirme henüz kullanıcılara uygulanması için approve (onay) edilmemiş ve sunucu tarafından henüz herhangi bir istemciye uygulanmamıştır. Approwed : Bu güncelleştirmenin, sistem yöneticisi tarafından istemcilerin kullanımına sunulmuş olduğu anlamına gelir. Approve edilen güncelleme, istemci bilgisayarların sorguları (query) sonucunda download edilmeye hazır durumdadır. Not Approwed : Bu güncelleştirmenin sistem yöneticisi tarafından henüz onaylanmadığını ve istemci bilgisayarların bu güncelleştirmeyi çekemeyecekleri anlamına gelmektedir. Updated : Bu güncelleştirmenin son senkronizasyonda değişikliklere uğradığını belirtir. Temporarily Unavailable : Bir güncelleştirmenin Temporarily Unavailable (geçici olarak kullanılamaz) durumunda olmasının sebepleri, kurulacak güncelleme paketinin ilgili dosyasının kullanıma müsait olmaması ve ya güncelleme sırasında arka planda çalışması gereken işlemlerin gerçekleşememesidir. İstemci bilgisayarlarımıza hangi güncelleştirmelerin uygulanacağına karar verip, gerekli testleri test ortamımızda yaptıktan sonra, uygulamak istediğimiz güncelleştirmelerin bulunduğu satırlardaki check box’ları işaretlememiz gerekmektedir. Bir anda bir çok güncelleştirmeyi kullanıcılara approve etmek çok doğru olmayabilir. Üstelik bu işlemleri mesai saatlerinin çok yoğun olduğu saatlerde yapmakda çok doğru olmayabilir. Zira bazı güncelleştirmeler istemci bilgisayarlarının yeniden başlatılmasına neden olacağından sanırım iş arkadaşlarımız bize oldukça kızacaktır. Kaybedilecek zamanıda düşünecek olursak, güncelleştirme işlemlerinin mesai saatlerinin yoğun olmadığı saatlerde gerçekleştirilmesi daha doğru olacaktır. Gerekli güncelleştirmeleri işaretledikten sonra yapmamız gereken son işlem ise, ekranın alt kısmında kalan Approve’u tıklamak. Tıkladıktan sonra karşımıza Şekil 13_12’deki gibi bir ekran gelecek. İstemci bilgisayarlarımıza yeni güncellemeler uygulanacağını ve bu güncellemelerin önceden uygulanmış olan güncellemelerin üzerine yazacağını, devam etmeyi isteyip istemediğimizi soran bir pencere çıkacak karşımıza.
12
Şekil 13_12 Approve işlemini onayladıktan sonra karşımıza bu update (güncelleştirme) ile ilgili EULA (lisans sözleşmesi) çıkacaktır. Lisans sözleşmesinide onayladıktan sonra, approve edilen güncelleştirmelerin kullanıcılara uygulandığı ekran gelecektir karşımıza. (Şekil 13_13).
Şekil 13_13 Şu ana kadar herşey sorunsuz görünüyor. Ancak gerçekten öylemi ? İşte tüm bu işlemlerin kontrolü için oluşturulmuş log dosyalarını kontrol etmemiz gerekmektedir. Buna göre, ilk olarak senkronizasyon işleminin sorunsuz bir şekilde gerçekleşip gerçekleşmediğini kontrol edelim. Bunun için View synchronization log kısmına geçmemiz gerekmektedir. Bu bölüm, senkronizasyon esnasında sürekli güncellenmektedir. Bu bölümde, - En son gerçekleşen Senkronizasyon’un saat ve tarihi. - Eğer planlanmış (schedule synchronization) bir senkronizasyon varsa, bir sonraki senkronizasyon’un zamanı. - Download edilen veya en son gerçekleşen senkronizasyonda güncelleştirilen güncelleme paketleri. - Başarısız olan senkronizasyondaki güncelleme paketleri ve bu güncellemelerin download işleminin neden başarısız olduğuna dair detaylara ait hata mesajları yeralmaktadır.
13
Bir diğer log dosyası ise Approval log dosyasıdır. Bu log dosyasınada View Approval log’dan ulaşabiliriz. Bu log dosyasında ise tahmin edildiği üzere istemci bilgisayarlarımıza approve ettiğimiz güncellemeler hakkında bilgiler mevcuttur. Ayrıca, - Değişime uğrayan öğelere ait paketlerin listelerinin kayıtları. - Değişen öğelerin listesi. - Güncellenmiş öğelerin yeni listesi. - Değişikliğin kimin tarafından yapıldığına dair bir kayıt, sistem yöneticisinin ismi yada synchronization servisi hakkında bilgileri içerir. Gelelim Software Update Services Sunucumuzun tüm ayarlarını yapacağımız kısım olan Set Options bölümüne. Menüden Set Options’ı tıkladığımızda karşımıza gelecek olan ekran Şekil 13_14’deki gibi olacaktır :
Şekil 13_14 Şimdi buradaki tüm seçenekleri tek tek inceleyelim. Select a proxy server configuration: Buraya, firmamız internete eğer bir Proxy Server veya Microsoft Internet Security and Acceleration (ISA) Server üzerinden bağlantı kuruyorsa bu sunucumuzun IP adresini ve port numarasını yazmamız gerekmektedir. Eğer Proxy Sunucumuza bağlantı için bir USER ID ve şifre gerekiyorsa bu bilgileride hemen alt satıra yazmamız gerekmektedir. Ek olarak, bağlantı esnasında basic authentication kullanılıyorsa en alttaki Allow basic authentication when connecting to proxy server satırını işaretlememiz gerekmektedir. Eğer böyle bir yapımız yok ise, internete çıkmak için Proxy yada ISA Server kullanmıyorsak, Do not use a proxy server to access the Internet’i işaretli bırakmamız gerekiyor. Not : Eğer üzerinde Microsoft Internet Security and Acceleration (ISA) Server olan bir Small Business Server üzerinde çalışan Software Update Services Sunucumuz varsa bu authentication DomainName\Username formatında olmalıdır. Specify the name your clients use to locate this update server : Automatic Update özelliğine sahip istemcilerimiz SUS sunucumuza bağlanıp içeriği download
14
etmelidirler. Bir çok ortamda istemci bilgisayarlar Software Update Services yüklü sunucunun ismini kullanarak (Örneğin : http://Sunucuismi ) bağlanabilirler. Bu durumda başka bir konfigürasyona ihtiyaç yoktur. Bazı durumlarda istemci bilgisayarlar, SUS sunucumuza bağlanırken Software Update Services yüklü sunucunun DNS adresini (Örneğin : http://sunucuismi.domain ) kullanarak bağlanmaları gerekebilir. Server name kısmına, SUS sunucumuzun DNS adresini yazabileceğimiz gibi, bu alana SUS Sunucumuzun IP adresinide yazabiliriz. Select which server to synchronize content from : Bölümün başındaki kurulum aşamasında da kısaca bahsettiğimiz gibi, SUS sunucumuz gerekli içerikleri Windows Update Sunucularından senkronize edebileceği gibi, bir başka SUS Sunucudan veya elle konfigüre edilmiş bir distribution point'ten (dağıtım noktası) senkronize olabilir. Eğer senkronizasyon Microsoft'a ait Windows Update Sunucularından olacaksa burada Synchronize directly from the Microsoft Windows Update servers işaretlenmelidir. Senkronizasyon bir başka SUS Sunucudan yada bir distribution point'ten olacaksa Synchronize from a local Software Update Services server kısmını işaretlemeli ve içeriğin download edileceği diğer SUS sunucunun veya distribution point'in NetBIOS ismini veya DNS ismini alttaki satıra yazmalıyız. Bu tarz bir yapıyı kullanmanın biz getireceği faydalara bakacak olursak : -
Ortamımızda bir’den fazla SUS sunucumuz olduğunu düşünürsek, tüm sunucularımızın içeriği senkronize etmesi için internet erişimi olmasını istemeyebiliriz. SUS sunucularımızın bulunduğu site’larda internet erişimi olmayabilir. İçeriği bir test ortamında test edebilmek, sonrasında test edilen içeriğin kullanılmasını sağlamak isteyebiliriz. Bir SUS sunucumuzdaki içeriğin, bir başka SUS Sunucumuzdan download edilmesi, içeriğin internet üzerinde bulunan Windows Update Sunucularından download edilmesinden çok daha kısa sürede senkronize edilmesini sağlar.
Böyle bir yapının çalışma şekil 13_15’de gösterilmiştir. Bu şekile göre, SUS Server A, proxy üzerinden internete erişim sağlamış ve içeriği Windows Update Sunucularından senkronize etmiştir. SUS Server B ise, tüm içeriği SUS Server A’dan almış durumdadır. Burada SUS Server A parent, SUS Server B ise child konumundadır.
15
Şekil 13_15 Bu şekle bakarak sunucularımızı konfigüre edecekse olursak, SUS Server A, Set options sayfasında, Select where you want to store updates altında Save updates to a local folder işaretlenmeli. Böylece Windows Update Sunucularından download edilecek içeriğin SUS Sunucu üzerine kaydedilmesi sağlanır. Ayrıca, Synhronize directly from the Microsoft Windows Update servers işaretlenerek senkronizasyonun Windows Update Sunucuları ile gerçekleşeceğini belirtmeliyiz. SUS Server B ise, yine Set options sayfasındaki Select where you want to store updates altında Save updates to a local folder işaretlenmeli. Böylece içeriğin SUS Server B’ye kaydedilmesi sağlanır. Synhronize directly from a local Software Update Services server işaretlenip güncelleştirmelerin download edileceği diğer Software Update Services yüklü sunucunun IP adresi veya NetBIOS ismini yazmamız gerekmektedir. Select how you want to handle new versions of previously approved updates: Bu bölümünde ise, varolan güncelleştirmelerin yeni versiyonları geldiğinde izlememiz gereken yol konusunda bize yardımcı olacak seçenekler mevcut. Automaticially approve new versions of previously approved updates seçeneği, Windows Update Sunucularından önceden download edilen bir güncellemenin yenilenmiş bir paketi senkronize edilirse, SUS Sunucumuz bu güncelleme paketinin istemcilere otomatik olarak yüklenmesini sağlar. Do not automatically approve new versions of previously approved updates. I will manually approve these later on the Set Options page seçilirse, yeni sürüme sahip bir güncelleme paketi download edilirse, bu paket istemcilere uygulanmadan önce sistem yöneticisi tarafından test edillip, sistemin stabil çalışmasını engeleyici bir davranışta bulunmadığı tespit edildikten sonra manuel olarak approve edilir.
16
Select where you want to store updates : Burada ise, güncelleştirmelerin nerede tutulacağına karar veriyoruz. SUS kurulumu sırasında karar verilen seçim, eğer istenirse buradan değiştirilebilir. Hatırlayacak olursak : SUS Server'ımız gerekli güncellemeleri, Windows Update Sunucuları ile arasındaki senkronizasyon (synchronization) ile elde edecektir. Senkronizasyon sırasında iki tip veri kullanılır : Metada veya dictionary objects diye adlandırılan nesneler, uygun paketleri ve bu paketlerin uygulanılabilirliklerini açıklar. Bu bilgiler download edilen Aucatalog1.cab ismindeki dosyanın içerisindedir. Güncellemeleri içeren paketler. Senkronizasyon esnasında, Aucatalog1.cab dosyası sürekli olarak download edilir. Sistem yöneticisi olarak, metadata içinde referans edilmiş olan güncel paketleri download etmek yada etmemek konusunda seçim hakkına sahibizdir. Maintain the updates on a Microsoft Windows Updates server seçeneğini seçersek, güncel paket dosyaları download edilmeyecektir. Bu durumda, Automatic Updates istemciler Software Update Services sunucumuza bağlanıp, approve edilmiş paketlerin listesini okuyacaklar ve bu listedeki paketleri Internet üzerindeki Windows Update Sunucularından download edeceklerdir. Bazılarımıza bu uygulama garip gelsede bazı durumlarda bu seçeneği kullanmak zorunda kalabiliriz. Örneğin, elimizde SUS için gerekli hardware gereksinimlerini karşılayabilecek yeterlilikte bir bilgisayara sahip değilsek, bu durumda, bu seçeneği seçerek sadece Aucatalog1.cab dosyası senkronize edililir. Sonrasında Sistem yöneticisinin approve etmiş olduğu dosyalar, istemci tarafından Windows Update sunucular üzerinden download edilir. Save the updates to a local folder seçeneğinde ise, paketler senkronizasyon edilir ve güncelleştirmeler SUS Sunucumuzun üzerindeki bir klasöre (Default : C:\SUS\content) kaydedilir. Bu durumda, AUtomatic Update istemciler SUS Sunucumuza bağlanıp, approve edilmiş olan paketlerin listesini alırlar ve SUS Sunucumuzdan gerekli paketleri download ederler. Synchronize installation packages only for these locales altındaki dil seçenekleri ile SUS Sunucumuzun hangi dildeki işletim sistemlerine destek vereceğini belirleriz. Kurulumda seçilen dillere ek olarak buradan yaptığımız ek bir seçimin gerekli desteği verebilmesi için tekrar senkronizasyon işlemi yapılması gerekecektir. DISTRIBUTION POINTS SUS Server, dağıtım içeriğini kontrol eden bir yapıya sahiptir. SUS Server, güncelleştirmeleri otomatik olarak veya sistem yöneticisinin varsayılan ayarları geçersiz kılarak güncelleştirmeleri bir content distribution point (İçerik dağitim noktası) kullanarak gerçekleştirebilir. Distribution point yaratmanın iki yolu vardır : Automatic : Software Update Services yüklendiğinde, sunucu üzerinde automatic distribution point yaratılacaktır. SUS Sunucumuz Windows Update Sunucularından senkronize olduğunda bu içerik güncellenecektir. Content distribution point, Internet Information Service'ın yüklü olduğu sunucu üzerinde /Content isimli virtual root (v-root) içinde olacaktır. Eğer güncelleştirilmelerin lokal bir klasörde tutulduğu bir ortamda değilde, güncelleştirmeleri kullanıcıların direk Windows Update Sunucularından download ettikleri bir yapıya sahipsek, yani Select where you want to store updates kısmında Save the updates to a local folder ı seçersek AUCatalog.cab dosyası hariç bu automatic content distribution point boş olacaktır.
17
AUCatalog.cab dosyası, istemcilere uygulanması için approve edilen bu güncelleştirmeleri tanımlar. Buradanda anlaşılacağı gibi, senkronizasyon esnasında download edilen güncelleştirmeler Content klasöründe tutulmaktadır. Manual : Ayrıca Internet Information Server 5.0 veya üst versiyonuna sahip bir sunucuda kendimiz bir content distribution point yaratabiliriz. Manual content distribution point olacak sunucuda Software Update Services yüklü olmasına gerek yoktur. SUS yüklü olan sunucumuzda download edilen paketler test edildikten sonra bu paketler istemcilere uygulanmak üzere distribution point lere iletilir. Manual bir distribution point yaratmak için : 1. Manual distribution point yaratılacak sunucumuzda Internet Information Services'ın (IIS) yüklü olduğunu kontrol edelim. 2. Distribution point kurulacak olan sunucumuzda, IIS'e ait dosyaların bulunduğu root klasörde (varsayılan : C:Inetpub\wwwroot) content isminde bir klasör yaratalım. 3. SUS Sunucumuzda bulunan ApprovedItems.txt, aucatalog1.cab, aurtf1.cab dosyalarını, distribution point olacak sunucuda açtığımız content klasörünün içine kopyalayalım. SUS'a ait dosyaların bulunduğu klasördeki caps klasörünü (varsayılan : C:\SUS\caps) içindeki tüm dosya ve klasörler ile distribution point olacak sunucuda açtığımız content klasörünün içine kopyalayalım. 4. IIS üzerinde, Alias'ı content olan ve az önce yarattığımız content klasörünü gösteren bir IIS Vroot yaratmalıyız. Son olarak SUS Sunucularımızın bu distribution point ile senkronize olabilmesi için SUS Sunucumuzun Set options sayfasındaki Select which server to synchronize content from altındaki Synchronize from a local Software Update Services server işaretlenip distribution point'in NetBIOS ismini veya DNS ismini alttaki satıra yazmalıyız. Senkronizasyonun başka bir SUS Sunucudan veya distribution pointten yapıldığı durumlarda, onaylanmış öğelerin listesi, içerik ile birlikte senkronize edilmesi için Synchronize list of approved items updated from this location (replace mode) seçilmelidir. Bu seçenekten sonra, child server parent server ile senkronizasyon esnasında onaylanmış paketlerin listesinide senkronize edecektir. Bu işlem sonunda, parent serverda onaylanmış paketlerin, parent server'dan kopyalanmasını ve bu listenin child server'da kullanılması sağlanır. Böylece, parent ve child server'larda onaylanmış öğelerin listesi eşitlenmiş olur. Software Update Services ve Network Load Balancing : Eğer güncelleştirmelerin yönetimi merkezi bir yerdeki bir çok sunucu üzerinden gerçekleşen bir yapımız varsa NLB (Network Load Balancing), sunucularımız ve istemcilerimiz arasındaki, gelen ve giden TCP/IP paket akışını dengelenmesine yardımcı olur. Bunun için : 1. Az önce anlattıldığı şekilde manual content distribution point yaratılmalı 2. Bu content distribution point'in tüm istemcilere vereceği lokasyon desteğini verdiğinden emin olmalıyız. 3. Tüm SUS Sunucularımızı aşağıdaki gibi konfigüre etmeliyiz : - Tüm içerik lokal e kaydedilmeli. - Uygun olan content distribution point'ten senkronize edilmeli. - Onaylanmış öğelerin listesi aynı content distribution point'ten senkronize olmalı. 4. Cluster'ın parçası olan her sunucuya NLB kurulmalı ve konfigüre edilmeli. 5. İstemcilerimizi, güncelleştirmeler için, cluster'ın virtual IP adresini, DNS veya NetBIOS ismini kullanacak şekilde konfigüre etmeliyiz.
18
Anlattığımız bu yapıyı birlikte çalıştırmak mümkün. Böylece network trafiğini daha dengeli bir yapıda kullanabiliriz. Örnek bir şekil üzerinden devam etmek gerekirse Şekil 13_16’yı inceleyelim.
Şekil 13_16 SUS Parent Server tarafından Windows Update Server’larından download edilen katalog, Content distribution point ile senkronize ediliyor. Child SUS Server’ların bir kısmı, içeriği SUS parent server’dan download ederlerken, diğer Child SUS Server’larda içeriği Content distribution point’ten download ediyorlar. İstemcilerde tüm içeriği Child SUS Server’lardan kendilerine download ediyorlar. Şekilde de görüldüğü gibi, oldukça büyük yapıda bir network ortamında çalışıyorsak böyle bir topolojiye ihtiyacımız olacaktır. Zira Pentium III 700 Mhz ve 512 Mb Ram’e sahip bir SUS Server yaklaşık 15.000.000 istemciye destek verebilmektedir. Tüm bu detaylardan sonra Set Options’da kaldığımız yerden devam edelim. Sırada son bölüm olan Monitor Server sayfası var. Monitor server : SUS uygun güncelleştirmeler ile ilgili bilgileri metadata cache'de (önbellek) tutar. Metadata cache, SUS'un güncelleştirmeleri yönetmekte kullandığı memory'deki veritabanıdır. Metadata cache, güncellemenin uygulanabilme ve kurulumları gibi, güncellemeler hakkındaki kategorileri ve tanımlamaları içerir. Monitor Server sayfası, metadata cache'inin o anki içeriğinin Sistem yöneticileri tarafından görüntülenmesini sağlar.
19
Monitor Server sayfasındaki bilgiler kullanılarak, sistem yöneticisi networkteki her ürünün (İşletim sistemi vb.) kaç adet güncelleştirmesi mevcut olduğunu smöyleyebilir. Metadata cache gerçekleşen her senkronizasyondan esnasında SUS tarafından güncellenir. Monitor Server sayfasında metadata cache'in en songüncellendiği zamanıda görebiliriz. SUS, metadata cache için bilgiler içeren metin dosyalarını düzenler. Bu metin dosyaları senkronizasyon sırasında ve harddiske kaydedildikten sonra metadata cache'ine yüklenir. Metin dosyaları her ne kadar senkronizasyon sırasında otomatik olarak metadata cache'ine yüklensede, sistem yöneticisi cache'i elle kendisi de refresh'i tıklayarak yenileyebilir. Şekil 13_17’ye bakacak olursak SUS Sunucumuza bulunan güncelleştirmeleri kategori halinde görebiliriz. Kategoriler hakkında bilgi almak için, ilgili kategoriyi tıklamak yeterli olacaktır.
Şekil 13_17 GROUP POLICY ve SOFTWARE UPDATE SERVICES Tüm ayarlarımızı yaptık, gerekli tüm testlerimizide yaptık. Artık güncelleştirmeleri istemci bilgisayarlara uygulamamız gerekiyor. Active Directory ortamında, tüm kullanıcılarımızın Software Update Services’den faydalanabilmeleri için Group Policy’den yararlanacağız. Bunun için öncelikle Active Directory Users and Computers’ı açıp, eğer Software Update Services’den domainimizdeki tüm istemcilerin etkilenmesini istiyorsak domainimiz üzerinde sağ tıklayıp properties tıklanarak Group Policy sekmesinden yada sadece belirli bir Organizational Unit (OU) içindeki istemcilerin etkilenmesini istiyorsak, o OU üzerinde sağ tıklayıp properties tıklanarak Group Policy sekmesinden yeni bir Policy yarattıktan sonra bu policy’yi düzenlememiz gerekmekte. Windows Server 2003 Enterprise Edition üzerinde çalışan bir Software Update Services ile ilgili tüm policy’ler Group Policy içinde, Computer Configuration / Administrative Templates / Windows Component / Windows Update altındadır. (Şekil : 13_18)
20
Şekil 13_18 Buradaki ilk iki policy uygulanması mecburi, diğer iki policy ise uygulanması zorunlu policyler değildir. Şimdi bu policy’leri inceleyelim. (Şekil 13_19)
21
Şekil 13_19 İlk policy’miz olan Configure Automatic Updates’i Enable ettiğimizde, yani policy’nin uygulanmasını etkin hale getirdiğimizde, Configure automatic updating kısmında kullanıcılara uygulanan güncelleştirmelerin SUS Sunucumuzdan download edilmesi ve yüklenmesi aşamasında izlenecek yolu seçmemiz gerekmektedir. Şimdi bu seçenekleri tek tek inceleyelim : 2- Notify for download and notify for install : Bu seçenek, Administrative bir yetkiyle logon olan kişiye güncellemenin download edilmesinden ve kurulumundan önce bilgi verir. İşletim sistemi bu bilgisayara uygulanacak bir policy bulursa ekranın sağ alt köşesinde yeni güncellemeler olduğunu bildiren bir simge belirecek (Şekil 13_20). Simge tıklandığında, karşıdan yüklemek istediğimiz güncelleştirmeleri seçebilmemiz için bir pencere belirecektir (Şekil 13_21). Seçim işlemi bittikten sonra, istemci bilgisayar arka planda seçilen güncelleştirmeleri SUS Sunucumuzdan yükleyerek Şekil 13_20 kaydedecektir. Yükleme bittikten sonra, simge tekrar görüntülenecek ve güncelleştirmelerin yüklenmeye hazır olduğunu bildirecek. Simge tekrar tıklandığında, yüklemeler ile ilgili seçenekler çıkacaktır. Gerekli seçimler yapıldıktan sonra yükleme başlayacaktır. Automatic Update, Background Intelligent Transfer Services (BITS) kullanarak, network band genişliğinin müsait olduğu anlarda yüklemeleri gerçekleştirir.
22
Şekil 13_21 3- Auto download and notify for install : Bu seçenek, güncelleştirmeleri otomatik olarak başlatır, Administrative yetkisi olmayan bir kullanıcı logon olduğunda kullanıcıya güncellemelerin kurulumu için bildiri verir. Varsayılan ayar olan bu seçenekte, isitemci işletim sistemi kendisine uygulanmış güncelleştirme varsa bu güncelleştirmeleri arka planda yükler. Bu işlem esnasında kullanıcıya bir bilgi verilmez. Yükleme işlemi tamamlandığında, dosyaların kurulum için hazır olduğunu bildiren bir ileti kullanıcıya görüntülenir. İleti tıklandığında Şekil 13_21'deki gibi yüklenmek üzere hazırlanmış güncelleştirmeler görüntülenir. 4- Auto download and schedule the install : Eğer, güncelleştirmelerin istemcilerimize bizim belirlediğimiz bir zamanda kurulmasını istiyorsak bu seçeneği kullanmalıyız. Bu durumda güncellemeler SUS Sunucudan otomatik olarak download edilir ve bizim belirlediğimiz bir zamanda kurulur. Zamanı belirlemek için hemen alt kısımda bulunan Scheduled install day ile, güncellemelerin hergünmü yoksa haftanın belirlenen bir günündemi gerçekleşeceğini, Scheduled install time ilede saatini belirleriz. Scheduled install day ve Scheduled install time seçeneği sadece, 4- Auto download and schedule the install seçeilirse geçerli olacaktır. Sistem yöneticileri Active Directory ortamında Group Policy kullanarak veya registry değerlerini düzenleyerek Software Update Services yüklü olan sunucuyu belirler. Automatic Update istemciler güncelleştirmeleri belirlenen bu sunucu üzerinden yaparlar. Eğer bu sunucu sistem yöneticisi tarafından belirlenmezse, istemciler güncellemeleri Windows Update sunucularından yapacaklardır. Dolayısiyle, az önce yaptığımız tüm ayarların istemciler tarafından etkili olması için bir diğer policy olan Specify intranet Microsoft update service location policy’sininde etkin olması gerekmekte. (Şekil 13_22)
23
Şekil 13_22 Sistem yöneticileri ayrıca bir Web Server kullanarak, güncelleştirmelerin download edilmesi ve kurulum durumları hakkında istatistiksel bilgiler tutabilir. Bu istatistikler HTTP protokolü kullanılarak gönderilir ve Web Server bu bilgileri bir log dosyasında toplayabilir. Bu istatiklerin tutulduğu Web Server'da log işlemi etkin olmalı ve IIS 5.0 veya üst versiyona sahip olmalı. Software Update Services yüklü olan sunucu aynı zamanda istatistikleride tutabilir. Buna göre Şekil 13_22’de görüntülenen policyde her iki satırada üzerinde Software Update Services çalışan sunucumuzun adresini yazabiliriz. Bu policy sayesinde istemcilerimiz SUS Sunucumuza network üzerinden erişip approve edilmiş olan update’leri download edebileceklerdir. Reschedule Automatic Updates scheduled installations, istemci bilgisayar açıldıktan sonra, önceden yüklenemeyen planlanmış (schedule update) bir güncelleştirme varsa yüklemeye devam etmek için beklenecek zamanı belirler. No auto-restart for scheduled Automatic Updates installations, policy etkinleştirilirse, yükleme bittikten sonra, bilgisayara logon olan kullanıcının bilgisayarın yeniden başlatması için bekleyeceği anlamına gelir. Eğer bu policy etkinleştirilmezse bilgisayar otomatik olarak yeniden başlatılır. Kullanıcının kaydedilmemiş belgeleri varsa bu dosyalar kaybedilebileceğinden sorun oluşabilir. Bu yüzden önemli bir policy dir. Windows 2000’de Policy Template Software Update Services’ın yüklendiği sunucu Windows 2003 Server ürün ailesinden birisiyse Şekil 13_18’deki ekranda görüntülenen policy’ler hazır gelecektir. Ancak sunucumuz Windows 2000 Server ürün ailesindense bu policy’ler görüntülenmeyecektir. Tüm bu işlemleri yapabilmemiz için öncelikle bu policy’leri
24
görüntülemeliyiz. Bunun için, Computer Configuration / Administrative Templates üzerinde sağ tıklayıp, Add/Remove Templates'i tıkladıktan sonra açılan menüde Add'i tıklayıp wuau.adm'i (Varsayılan: C:\Windows\inf) eklemeliyiz (Şekil 13_23). wuau.adm dosyası yüklendikten sonra, Windows 2000 sunucumuz üzerinde de gerekli Group Policy ayarlarımızı yapıp istemci bilgisayarlara güncelleştirmeleri uygulayabiliriz. Artık bu policy'lerede Windows 2003 Sunucularda da olduğu gibi, Computer Configuration / Administrative Templates / Windows Components / Windows Update altından ulaşabiliriz.
Şekil 13_23 – Windows 2000’de SUS için gerekli olan policy’ler
ACTIVE DIRECTORY’NİN OLMADIĞI ORTAMLARDA SOFTWARE UPDATE SERVICES : Software Update Services, Active Directory entegre bir ürün olarak network’ümüzdeki tüm güncelleştirmeleri gerçekleştirdiğini ve bu güncelleştirmeler esnasında gerçekleşen işlemleri artık öğrendik. Peki ya Active Directory'nin olmadığı ortamlarda ne yapacağız ? Eğer farkettiyseniz, Software Update Services, approve edilen güncelleştirmelerin kullanıcılara dağıtılması esnasında Group Policy’den faydalanıyor. Diğer tüm işlemler Software Update Services yüklü olan sunucu üzerinde gerçekleşiyor. Belirlediğimiz seçeneklere göre gerçekleşecek güncelleştirmeleride Group Policy’deki 4 adet policy ile kullanıcılara uyguluyorduk hatırlarsanız. Group Policy’de Administrative Template altındaki policy’ler, registry tabanlı policy’lerdir. Dolayısiyle bu 4 policy’de registry tabalıdır. Peki o halde bu 4 policy ile ilgili değerleri, istemci bilgisayarların registry’lerine elle girsek sistem yine çalışmazmı? Cevap evet olmalı. Kesinlikle çalışır.
25
Gelin şimdi bu konu üzerinde çalışalım. Öncelikle bir sunucumuza Software Update Services yüklemeliyiz. Bu kısım tamamıyle daha önce anlattığımız gibi. Tek fark dcpromo ile sunucumuza Domain Controller rolü atamıyoruz. Yani ortamımızda Active Directory yok. Software Update Services ile Internet Information Services’ı sunucumuza kurduğumuzu düşünürsek. Tüm senkronizasyon işlemlerini önceki bölümlerde anlattıldığı gibi yaptığımızıda varsayalım. Yani elimizde, üzerinde Software Update Services ve Internet Information Services kurulmuş, Software Update Services ile ilgili tüm senkronizasyon işlemleri tamamlanmış ve workgroup ortamında çalışan bir sunucumuz var. Yapılması gerek diğer işlemler, istemci bilgisayarların Registry Editor’üne (Kayıt defteri) eklencek yeni değerlerden ibarettir. İşin zor yanı bu işlemin tüm istemci bilgisayarlarda yapılması gerekliliğidir. Öncelikle istemci bilgisayarda sırasıyla, Start – Run satırına regedit yazarak Registry Editor’ü açmalıyız. Daha sonra sırasıyla aşağıdaki kayıta gidip, HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows altında yeni bir KEY yaratıp, bu KEY’in ismini WindowsUpdate vermeliyiz. Daha sonra, yarattığımız KEY’in içine (HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window\WindowsUpdate) aşağıdaki değerleri girmeliyiz, WUServer Registry Value Type : Reg_SZ (New String Value) SUS sunucumuza HTTP üzerinden erişimde kullanılması için ismi (http://SUSsunucununismi) WUStatusServer Registry Value Type : Reg_SZ (New String Value) SUS sunucumuzun istatistikleri için kullanılacak sunucunun ismi (http://SUSsunucununismi) Şu anki durmumuz Şekil 13_24’deki gibi olmalıdır.
26
Şekil 13_24 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window\WindowsUpdate yeni bir KEY yaratıp, bu KEY’in ismini AU vermeliyiz. Yarattığımız bu KEY’in içine (HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window\WindowsUpdate\AU) aşağıdaki değerleri girmeliyiz,
-
-
-
NoAutoUpdate Registry Value Type : REG_DWORD Value Data :0|1. 0 = Automatic Update enable (varsayılan seçenek), 1 = Automatic Update disable anlamına gelir. AUOptions Registry Value Type : REG_DWORD Value Data :2|3|4. İstemcilere uygulanması gerek 3 policy’yi hatırlayacak olursa bu değerler bu policy’lere eş değerdir. 2 = notify of download and installation, 3 = auto download and notify of installation, and 4 = auto download and scheduled installation. Her seçenek Local Administrator’e bildiri gönderir. ScheduledInstallDay Registry Value Type : REG_DWORD Value Data : 0|1|2|3|4|5|6|7 . İstemcinin, güncelleştirmeleri gerçekleştireceği günler için yapılan planlamadır. 0 = Hergün güncelleştirme olacaktır. 1 = Pazar 2 = Pazartesi 3 = Salı 4 = Çarşamba 5 = Perşembe
27
6 = Cuma 7 = Cumartesi -
ScheduledInstallTime Registry Value Type : REG_DWORD Value Data : 0 – 23 . İstemcinin güncelleştirmeyi gerçekleştireceği zaman dilimi.
-
UseWUServer Registry Value Type : REG_DWORD Value Data değerini 1 yapıp, Automatic Update kullanılarak WUServer anahtarında belirtilen Software Update Services sunucusuna erişim sağlanır.
-
RescheduleWaitTime Registry Value Type : REG_DWORD Value Data : 0 – 60 . istemci bilgisayar açıldıktan sonra, önceden yüklenemeyen planlanmış (schedule update) bir güncelleştirme varsa yüklemeye devam etmek için beklenecek zamanı belirlerdi hatırlarsak. 0 ile 60 arasında bir süre belirlenmeli.
-
NoAutoRebootWithLoggedOnUsers Registry Value Type : REG_DWORD Value Data değerini 1 yapılarak, bilgisayara log on olmuş kullanıcının, güncelleme sonunda bilgisayarının kapanıp tekrar açılması için seçim hakkı tanınması sağlanır.
Gerekli değerler girildikten sonra durum Şekil 13_25’teki gibi olacaktır.
Şekil 13_25
28
SOFTWARE UPDATE SERVICES’DE GÜVENLİK Üzerinde Software Update Service çalışan sunucu, güncellemeleri yönetmek için gereken tüm senkronizasyon servislerini ve yönetimsel araçları barındırır. Approve edilmiş güncellemeler için bağlantı kuran istemciler ile Hypertext Transfer Protocol (HTTP) kullanarak istekleri yanıtlar. SUS sunucumuz güncelleme paketlerini Microsoft Update sunucularından yapabileceği gibi bir başka SUS Sunucudan da yapabilirdi hatırlarsak. Bu download işlemi esnasında sunucular arasında kimlik denetimi (authentication) olmaz. Tüm içeriğin Microsoft tarafından imzalandığı doğrulanarak kontrol edilir. Herhangi bir içeriğin doğru bir şekilde imzalanmadığının anlaşıldığı durumlarda güven sağlanmaz ve işlem durdurulur. Software Update Service yönetimi tamamen web tabanlıdır. Eğer istenirse, standart HTTP bağlantı kurularak yönetilebileceği gibi Secure Sockets Layer (SSL) enable bir HTTPS bağlantıda kullanılabilir. Unutulmaması gereken diğer güvenlik gerekçeside, Software Update Service'ın NTFS formatlanmış bir partition'a kurulması gerektiğidir. Eğer, SUS sunucumuz bir proxy server üzerinden internete erişim sağlıyorsa ve bir şifre ile bu işlem gerçekleşiyorsa, SUS sunucu bu şifreyi LSA Secret olarak güvenle depolar. Automatic Update, her update'i cyclical redundancy check (CRC) kontrolü ile update lerin transfer esnasında karışmadığını doğrular. Windows 2000 sunucularda, Software Update Service kurulumundan sonra, IIS Lockdown tool 1.0 ve Urlscan security tool 2.0 kurup konfigüre etmeliyiz. Windows 2003 sunucularda bu tool'lar otomatik olarak kurulu ve çalışır durumdadır. Not : Software Update Service kurulum esnasında, Windows 2000 yüklü sunuculara, IIS Lockdown tool'un son versiyonunu yüklemediğinden dolayı, IIS Lockdown tool'un son versiyonu hakkındaki bilgilerin http://www.microsoft.com sitesinden takip edilmesi gerekir. Software Update Services ve BackUp Sunucularımız, elimizde olmayan sebeplerden dolayı kendilerine yüklenen servisleri yerine getiremeyebilirler. SUS Sunucumuzda oluşan bir durumdan dolayı bir önyükleme hatası ile karşılaşabiliriz. Bu veya bu tarz durumlarda işletim sistemini veya Software Update Services programını tekrar yüklememiz gerekebilir. Bu tarz felaket durumlarında, tek güvencemiz düzenli alınan BackUp’lardır. SUS Sunucumuzun bir hata sonrasında normal fonksiyonlarına kavuşabilmesi için, yönetimsel işlerin yapıldığı Web sitesinin bulunduğu klasörü, içerikleri barındıran SUS klasörü ve IIS metabase'inin yedeklerini almalıyız. İlk olarak, IIS MMC Snap-in’i kullanarak IIS metabase'in yedeğini almaya başlayalım. MMC konsoldan veya Administrative Tools altından açtığımız Internet Information Services snap-in’ninde, yedeğini almak istediğimiz sunucuyu işaretledikten sonra Action menüsünden veya sunucu üzerinde sağ tıklayarak All Tasks’i seçerek açılan menüden BackUp/Restore Configuration tıklanarak yedekleme ve yedekten geri dönme işlemlerini başlatabiliriz. (Şekil 13_26)
29
Şekil 13_26 – IIS’in yedeklenmesi
Şekil 13_27 – Create backup tıklanır
30
Şekil 13_28 – Backup dosyasına bir isim, gerekirse şifre verilir.
Şekil 13_29 – Yarattığımız yedeklemenin listelendiğinden emin olmalıyız.
IIS metabase'in yedeğini aldıktan sonra verilerimizin yedeklerini almak için NTBackup programını çalıştıralım. Bunun için, Accessories / System Tools altındaki Backup'ı çalıştırabileceğimiz gibi, Start / Run satırına ntbackup yazıp enter'a basmamızda yeterli olacaktır. Backup or Restore Wizard ekranda belirdikten sonra Advanced Mode'a geçerek Backup Wizard'ı tıklayarak işleme başlayalım. Welcome ekranını geçtikten sonra, bir sornaki ekran olan What to Back Up ekranında Back Up selected files, drives or network data'yı işaretleyerek next'i tıklayalım. Şekil 13_30 ve 13_31'de göründüğü şekilde, Default Web Site olan C:\Inetpub\wwwroot klasörünü, içeriklerin bulunduğu C:\SUS klasörünü ve %windir%\system32\inetsrv\metaback (IIS metabase) klasörlerini yedeklemek üzere işaretleyelim.
31
Şekil 13_30 - IIS ve SUS content backup işlemi
32
Şekil 13_31 – IIS metabase backup işlemi Tüm bu işlemleri yaptıktan sonra Start Backup tıklanarak Şekil 13_32’deki ekrana ulaşırız.
Şekil 13_32 Eğer Start Backup tıklanırsa backup işlemi hemen başlar. Schedule sekmesi ile bir zaman planlaması yapabileceğimiz gibi, Advanced sekmesi ile de yedekleme tipini belirleriz. Start Backup tıklandığında yedekleme işlemi başlar. (Şekil 13_33)
33
Şekil 13_33 – Backup işlemi Tüm bu işlemler sonucunda SUS sunucumuz, başımıza gelebilecek aksiliklere karşı yedeklenmiş durumda. Şirketimizin yedekleme politikası çerçevesinde alınan bu yedekler sayesinde daha güvenli bir yapıya sahip olacağız. Serimizin bu kitabını hazırlarken Software Update Services SP1 ile bu işlemleri yapabiliyoruz. Ancak Microsoft, 2005 yılının ilk yarısında Windows Update Services isminde yeni bir ürünü piyasaya sürecek. Software Update Services, sadece işletim sistemlerine destek verirken, Windows Update Services, Windows XP Professional, Windows 2000, Windows Server 2003, Office XP, Office 2003, SQL Server 2000, MSDE 2000 ve Exchange 2003 ve diğer ek ürünlere destek verecek. Sistem yöneticilerine güncelleme işlemleri üzerinde daha fazla kontrol ve yeni raporlama yetenekleri de Windows Update Services ile gelecek. ÖZET Bu bölümde Software Update Services’ın ne olduğunu, nasıl kurulduğunu, nasıl yönetildiğini ve nasıl yedeklendiğini öğrendik. Güncelleştirmelerin group policy yardımıyla istemci bilgisayarlara nasıl dağıtılacağını, ayrıca Active Directory’nin olmadığı ortamlarda istemcilerin Software Update Services yüklü sunucuyu nasıl bulacağını ve güncelleştirmeleri nasıl gerçekleştireceğini öğrendik. Günümüz bilgisayar dünyasında, güncellenmeyen sistemlerin sürekli olarak bir tehdit altında olduklarını, buna karşılık olarak, düzenli bir şekilde güncelleştirilen sistemlerin çok daha güvenli bir yapıda çalıştıklarını unutmamak gerekir. Bu düşünceden yola çıkarak hazırlanan Software Update Services biz sistem yöneticilerin en önemli yardımcısı durumdadır. SORULAR 1. Software Update Services’ın kaç tane versiyonu vardır ? Bir Domain Controller’a Software Update Services kurulabilirmi ? 2. Software Update Services ile ne tür güncelleştirmeler yapılabilir ?
34
3. Senkronizasyon nasıl gerçekleşir? SUS sunucumuzun Microsoft Update sunucuları ile senkronizasyonu haricinde, başka ne şekilde içeriği senkronizasyon edebiliriz ? 4. Active Directory’nin olmadığı ortamlarda neler yapılmalı ? 5. Yedekleme işleminde hangi klasörlerin yedekleri alınmalı ?
35