WSUS goed alternatief voor SMS

Opvolger SUS blijkt vooral sterk in rapportering en groepen

Dit artikel delen:

Microsoft heeft begin juni de gratis Windows Server Update Services (WSUS) uitgebracht. Deze volgende generatie softwarepatch- en update-infrastructuur is bedoeld om in eigen beheer te draaien. Het vult dus het gat op tussen de Windows Update-website van Microsoft en diens dure en complexe System Management Services (SMS).

WSUS volgt versie 1.0 van SUS (Software Update Services) op, wat tot nu toe de eenvoudigste manier was om Microsoft-updates in eigen tempo binnen een bedrijf te distribueren. Het is ontwikkeld onder de naam SUS 2.0, maar na een lang debat over naamgeving is de software hernoemd naar WSUS.
SUS is beperkt tot het goedkeuren van updates en het doorgeven daarvan. WSUS is veel rijker in functionaliteit en geeft meer details van clientcomputers weer. Zo houdt WSUS middels een SQL-database of gratis MSDE-database (Microsoft SQL Server 2000 Desktop Engine, een ingebedde variant van SQL) zelf bij welke clientcomputers update-compliant zijn.
Het scherm dat het patch-niveau van het computerpark weergeeft, biedt een goed overzicht en er zijn goede mogelijkheden om dat in rapportages te printen. WSUS werkt zowel met computers die binnen een domein zijn geauthenticeerd als op computers buiten het domein.
Clients in het domein kunnen met Group Policies vanuit de Active Directory in het domein ingesteld worden om niet Microsofts Update-site, maar een aangewezen WSUS-server te gebruiken. Zonder domein-login moet deze instelling handmatig of met een script worden gedaan op de client.

Groepen

Desktops en servers kunnen met WSUS in meerdere groepen worden ingedeeld, wat niet alleen het testen, maar ook een gefaseerde uitrol over afdelingen of vestigingen vergemakkelijkt. De toewijzing van een client of server bij een groep kan worden opgelegd vanuit Group Policies of in WSUS zelf worden ingesteld. Het indelen in groepen is vooral handig indien client-computers vanwege een specifieke applicatie of locatie een ander update-patroon moeten volgen. Ook is er met groepen nu onderscheid te maken tussen een update-beleid voor clients en een voor servers.
Overigens is de WSUS-software niet erg zwaar. De serverdienst (service) is ongeveer 150 MB in omvang en vraagt 2 tot 8 gigabyte schijfopslag - in verband met de binnen te halen patches. Het voor WSUS benodigde besturingssysteem is Windows 2000 met Service Pack 3 (SP3) of Windows Server 2003, aangevuld met webserver IIS en versie 1.1 van het .NET-framework. Een besturingssysteem dat Terminal Services gebruikt wordt momenteel niet ondersteund. WSUS installeert zelf MSDE als database of gebruikt Microsoft SQL 2000 met SP4.
Windows Update op de clients vereist BITS 2.0 en WinHTTP 5.1. Deze zijn standaard vanaf SP2 voor Windows XP of kunnen middels de oude SUS-client worden toegevoegd aan XP SP1. Het beheer gebeurt via een collectie IIS-webpagina's op de server. De beheerder moet dan wel lid zijn van een speciale WSUS-beheergroep, die bij de installatie wordt opgevoerd in de Active Directory.

Updates

De patch-software bestaat uit een collectie van vijf webservices en twee shares die hun distributie over http verzorgen. WSUS installeert vlot en werkt redelijk autonoom. Het kan dus op een server bij een bestaande applicatie geplaatst worden, hoewel er problemen - en workarounds - zijn in combinatie met SBS en SharePoint.
WSUS haalt informatie over beschikbare updates en de updates zelf gescheiden binnen. Het kan de patches detecteren, waarbij clients de updates zelf van Windows Update halen, of die updates zelf aanbieden aan de clients. Dat verklaart het eerder genoemde verschil van 4 GB aan benodigde opslagruimte. Indien er voor de optie alleen detectie wordt gekozen, blijft het beheer relevant: dat biedt namelijk inzicht welke computers in het netwerk zijn bijgewerkt en welke niet.
WSUS haalt in beginsel de updates binnen voor alle talen waarin de bewuste software beschikbaar is. Die 'honger' kan via de geavanceerde opties worden teruggesnoeid tot alleen de relevante talen, voor de meeste desktops in Nederland dus Engels en Nederlands. Behalve updates voor de besturingssystemen zelf zijn ook updates voor Office, SQL en Exchange te beheren. Microsoft heeft al aangekondigd met meer te komen.

Opzet en toegang

In het opzetten van een wat grotere Windows Update-infrastructuur is WSUS behoorlijk flexibel. Vestigingen of afdelingen kunnen een eigen patch-server krijgen, waarbij de goedkeuring centraal gebeurt maar het prestatieniveau hoog blijft dankzij de lokale server. De synchronisatie van bestanden kan op bloktijden worden ingesteld, zodat de belasting van het netwerk buiten de kantoortijden valt en ook voor of juist na backups plaatsvindt.
Servers kunnen ook achter elkaar worden geplaatst, waarbij slechts een enkele server Windows Update van Microsoft in de gaten houdt. De anderen monitoren dan deze enkele server voor hun informatie. De installatie van een dergelijke structuur is vrij eenvoudig.
Verder is het mogelijk WSUS-servers in te zetten op locaties waar een organisatie geen internet- of wan-verbinding (wide area network) heeft. In dat geval kunnen update-packs, klaargemaakt op een centrale WSUS-server in het bedrijf, handmatig worden geïnstalleerd als bron van de updates.

Ver boven

Al met al staat WSUS - eigenlijk dus SUS 2.0 - behoorlijk ver boven de eerste SUS-versie. De afstand tot het zware SMS-server is echter nog groot. "SMS blijft het mooiste product voor de grotere omgevingen", stelt Daniël van Soest, productspecialist voor SMS bij Microsoft. "Bij SMS blijft het niet bij rapporteren; het geeft de gebruiker een specifiek tijdsvenster waarbinnen hij patch-compliant moet zijn."
"Verder kunnen ook besturingssystemen, BIOS-versies, applicaties van derden en paches voor niet-Microsoft applicaties met SMS worden uitgerold en gerapporteerd." Hij erkent wel dat WSUS nu veel betere voorzieningen heeft, zoals groepen en verbeterde overzichten, en dat het daarmee een redelijk alternatief vertegenwoordigt voor gebruikers die een product als SMS-server te complex vinden.
Microsoft stelt de WSUS-software gratis beschikbaar. Er is wel een serverlicentie nodig voor het besturingssysteem en optioneel een serverlicentie voor SQL 2000. Clients hebben een Windows Server Client Access License (CAL) nodig.

Middenweg

WSUS is in de praktijk stabiel, makkelijk te implementeren en een redelijk afgerond product. De ruwe kantjes zijn de tools voor het onderhoud van WSUS zelf. Deze zijn niet geïmplementeerd en worden meegeleverd als karig SQL-script of uitvoerbaar bestand (.exe). Er is bijvoorbeeld een script om de database op te ruimen. De overbodige bestanden worden dan opgezocht en verwijderd. Eigenlijk hoort dit thuis in de Admin-webinterface.
Ook de tools om diagnoses te plegen op client en server zijn Spartaans. Deze programma's moeten gestart worden vanaf een commandoregel en geven niet veel meer output dan wat tekst op het scherm. Over het geheel genomen is WSUS echter gestroomlijnd en een mooie middenweg tussen Windows Update en het dure SMS.
 
Gratis download, http://www.microsoft.com/wsus

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2005-07-08T00:00:00.000Z Dennis Kuit
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.