سعید خلیفی
متخصص سرویس های مایکروسافت

11 نکته در راه اندازی WSUS که باید مدیر شبکه بداند

با توجه به آموزش جامع و کاربردی خانم رمضانی که در3 قسمت به آموزش WSUS 3.0 پرداختند، لازم دانستم نکاتی را در مورد این سرویس اضافه کنم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

1. مهمترین نکته کار با WSUS، راه اندازی Test Lab می باشد. روزانه در مورد حفره های امنیتی جدید در ویندوز و سایر محصولات مایکروسافت در اینترنت می خوانیم. و اینکه مایکروسافت Patch و یا Hotfix برای برطرف کردن مشکل ارائه کرده است. ولی آیا این Hotfix ها و ... با سرویس ها و نرم افزارهای موجود روی کلاینت سازگاری دارند؟ آیا زمانی که مثلا Update برای Driver کارت شبکه کلاینت را نصب می کنید، مطمئن هستید که این Update اختلالی به وجود نمی آورد؟همیشه به خاطر داشته باشید که قبل از اعمال Update ها روی کلاینت ها، حتما تمامی آنها را روی Test Lab برای مدت زمان حد اقل 1 هفته آزمایش کنید. حالا چه این Update ها مربوط به Security Update باشند، چه مربوط به بروز رسانی Driver ها و یا Update برای سری Microsoft Office و ...

2. شما لازم نیست تمامی Update های ارائه شده توسط مایکروسافت را نصب کنید. تعداد زیادی از این Update ها پس از گزارش مشتریان در مورد بروز مشکل روی کلاینت هایشان توسط مایکروسافت ارائه شده است. گزارش های مشتریان اغلب هنگام مواجه شدن با ناسازگاری سرویسی از ویندوز با نرم افزارهای موجود روی کلاینتشان می باشد و یا هنگام مرور کردن اینترنت. دانلود و نصب این Update ها عملا پهنای باند اینترنت و شبکه را اشغال کرده و همینطور بار اضافی روی کلاینت های شما خواهد گذاشت.

3. اگر در مورد Update خاصی مطمئن نیستید، حتما قبل از نصب در مورد آن تحقیق کنید. با توجه به زیاد بودن تعداد Update ها (بسته به سرویس های مورد استفاده در سازمان) خیلی از کاربران تمامی Update ها را انتخاب کرده و Approve می کنند. سعی کنید هر چند گذرا، Update ها را مورد بررسی قرار داده تا از صحت و سازگاری آنها با کلاینت ها و یا سرورهای خود، اطمینان حاصل کنید.

4. با توجه به اینکه اکثر کلاینت ها و سرور ها در ایران از نسخه های Crack شده ویندوز استفاده می کنند، دقت کنید که Update های مربوط به WGA (Windows Geniune Advantage) را دانلود و نصب نکنید. این آپدیت چک می کند که آیا سریال مورد استفاده روی کلاینت مورد تایید مایکروسافت هست یا نه. با توجه با استفاده اکثر شرکت ها و سازمان های ایرانی از نسخه های Crack شده ویندوز، نصب این آپدیت موجب از بین رفتن Crack و Activation ویندوز شده و ویندوز به نسخه Trial تبدیل خواهد شد. البته این حالت برای تمامی کلاینت ها این گونه نیست و روی برخی از کلاینت ها، ممکن است مشکلی به وجود نیاورد.تصور کنید که این Update روی 500 کلاینت نصب شود، چه فاجعه سازمانی رخ خواهد داد! برخی از این Update ها به شرح زیر هستند:

KB 892130 (Windows XP)
KB 905474 (Windows XP)
KB 916247 (Windows XP)
KB 971033 (Windows 7)

5. ممکن است پس از اعمال GPO، باز هم کلاینت ها موفق به ارتباط با WSUS نشوند و یا WSUS کلاینت ها را در کنسول خود نشان ندهد. توجه داشته باشید که در تنظیمات Intranet update server، گاهی می بایست پورت مورد استفاده WSUS را نیز وارد کنید. مانند زیر:

http://WSUS:8530

6. در سازمان هایی که تعداد کلاینت ها زیاد است، از چندین GPO برای مدیریت WSUS استفاده کنید. سعی کنید بار اضافی روی سرور WSUS قرار ندهید. GPO هایی که ایجاد می کنید می بایست با توجه به نیاز های سازمانی نیز باشند. برای مثال در نظر بگیرید که واحد مالی در سازمان شما، بین ساعت های 10 تا 12 بیشترین زمان مفید کاری را دارند. مسلما کند شدن کلاینت و یا ارتباطات شبکه در این ساعت موجب نارضایتی کارکنان و پایین آمدن بازدهی کاری آنها خواهد شد. بنابراین می توانید GPO مربوط به اداره مالی را به طریقی تنظیم کنید که در ساعت 2 ظهر اقدام به بروز رسانی کلاینت ها در این اداره نماید. همچنین می توان از WMI Filtering برای تفکیک سیستم عامل ها استفاده کرد. سعی کنید زمان بروز رسانی را بین کلاینت ها تقسیم کنید. برای مثال یک سوم کلاینت ها در ساعت 10، یک سوم کلاینت ها در ساعت 12 و یک سوم کلاینت ها در ساعت 2 ظهر بروز شوند.

7. هنگام بروز رسانی سرور ها، Update ها را به صورت مجزا و دانه دانه نصب کنید. حتما قبل از بروز رسانی سرور ها، از آنها Backup تهیه کنید. در صورتی که سرور شما، سرویس نرم افزاری خاصی را در شبکه ارائه می دهد، حتما از سازگاری Update ها با نرم افزارهای موجود اطمینان حاصل کنید.

8. با توجه به اینکه سرور WSUS با اینترنت و تمامی کلاینت های شما ارتباط دارد، حتما نکات امنیتی مربوط به امنیت سرور WSUS را رعایت کنید. Antivirus و Firewall موجود روی سرور را چک کنید. چراکه در صورت آلوده بودن سرور شما به ویروس، امکان انتقال این آلودگی به کلاینت ها بسیار زیاد خواهد بود.

9. به منظور کنترل هر چه بیشتر بروز رسانی ها و همینطور جلوگیری از بروز اختلال، چند Computer Group در کنسول ایجاد کنید. میتونین طبقه بندی هایی مثل Windows Server 2003 Servers، Windows Server 2008 Servers، Windows 7 Clients ... داشته باشید. یا اینکه این دسته بندی رو بر حسب اداره ها انجام بدین. مثلا ممکن هستش که یه Update مورد نیاز اداره مالی باشه، ولی اداره های دیگه بهش نیازی نداشته باشن. اینطور میتونین Update های مناسب را روی کلاینت های مناسب انجام بدین.

10. همیشه به فضای خالی روی پارتیشن سیستمی کلاینت ها دقت کنید. اعمال تعداد Update های زیاد روی کلاینت هایی که فضای کافی ندارن، عملا باعث کند شدن آنها میشه. این نکته رو توجه کنین که بین Security و Performance یا Efficiency (امنیت و کارایی) تعادل برقرار کنید. چون در نهایت کارایی سیستم ها هستش که باعث پیشرفت کار میشه.

11. همیشه حواستون به سخت افزار کلاینت ها باشه. اعمال زیاد Update ها روی کلاینت هایی که سخت افزار خوبی ندارند فقط کارایی رو کم میکنه. همیشه برای این کلاینت ها، Update ها رو دسته بندی کنید که حجم Update ها از مقدار مشخصی بیشتر نشه. از طرفی همونطور که اشاره کردن، در ساعاتی که کاربران کمتر با کلاینت ها کار می کنند، Update ها رو اعمال کنید.


نظرات