همه ما این روزها با ویندوز و نرمافزارهای مختلف مایکروسافت به هر دلیلی، در ارتباط هستیم. و احتمالا به مرور متوجه یک سری باگها و نواقص در آنها شدهایم. خوشبختانه مایکروسافت بی اعتنا از کنار این مشکل رد نشده است و هر چند ماه یکبار با دادن آپدیت، سعی در برطرف کردن آنها میکند. روشهای زیادی برای آپدیت وجود دارد که یکی از آنها، استفاده از سرویس WSUS است. ما در این مقاله از بلاگ آموزشگاه کندو به معرفی این سرویس، نحوه کار آن و مزایا و معایبی که دارد، خواهیم پرداخت. با ما همراه باشید.
معرفی کامل و جامعِ WSUS
WSUS یا سرویس آپدیت سرور ویندوز (Windows Server Update Services) یکی از خدمات مایکروسافت است که میتواند به روزرسانی درایوها، پچ ها و اصلاحاتی را روی سرورهای ویندوز، سیستمعامل های کلاینت (OSes) و سایر نرمافزارهای مایکروسافت اعمال کند.
این سرویس به ادمینها یا مدیران سیستم اجازه میدهد تا زمان و نحوه نصب بهروزرسانیها را کنترل کنند و از طرفی یک نقطه مرکزی برای دریافت به روزرسانیها برای کلاینتها فراهم میکند. WSUS برای استفاده در کسب و کارهای کوچک و متوسط طراحی شده است و معمولا پرداخت هیچ هزینه اضافی برای اضافه کردن WSUS به یک شبکه ویندوز، لازم نیست.
WSUS که بر روی سرور مایکروسافت ویندوز نصب شده است، یک ابزار ساده است که مدیران سیستم برای مدیریت آپدیت های مایکروسافت ویندوز، از آن استفاده میکنند. این سرویس برای ویندوز سرور 2008 R2، 2012، 2012 R2، 2016، 2019 در دسترس و بخشی از سرور 2022 است. تمام سیستمعاملهای سمت کلاینت مایکروسافت از جمله ویندوز 8.1، 10 و 11 میتوانند از WSUS استفاده کنند.
WSUS به یک سازمان اجازه میدهد تا کنترل کند که دستگاههای ویندوز چه زمانی و چگونه بهروزرسانیها و پچهای سیستمعامل را دریافت کنند. همچنین امکان آپدیت خودکار پارامترهای خاص را هم فراهم میکند. بدون WSUS، کلاینتها به محض اینکه آپدیتها از سوی مایکروسافت در دسترس قرار بگیرند، آنها را نصب میکنند. البته این امر میتواند باعث شود کلاینتها پچهایی که باعث خرابی نرمافزار در اواسط روز کاری میشوند و کارمندان را از کار میاندازند را نصب کنند.
استفاده از WSUS به مدیران سیستم امکان میدهد تا آزمایش کنند که آپدیتها روی شبکهشان کار میکنند یا خیر. همچنین به آنها اجازه میدهد تا بهروزرسانیها را در یک بازه زمانی مشخص نصب کنند تا فرایند تولید تحت تاثیر قرار نگیرد.
همانطور که گفته شد بدون WSUS، تمام کلاینتها به طور مستقیم به سراغ سرورهای مایکروسافت میروند تا بهروزرسانیها را دانلود کنند. در شبکههایی با تعداد کلاینتهای بالا یا پهنای باند ضعیف، این مسئله میتواند باعث استفاده بیش از حد از اینترنت شود و بر بازدهی تاثیر بگذارد.
با وجود WSUS به عنوان یک نقطه مرکزی، سرور فقط یک نسخه از آپدیت را از مایکروسافت دانلود میکند و همه کلاینتها میتوانند آپدیت را از آنجا دریافت کنند. این رویکرد باعث استفاده بهتر از اتصالات LAN پرسرعت و کاهش کلی مصرف اینترنت میشود. WSUS از چندین زبان پشتیبانی میکند و می تواند به طور انتخابی اطلاعات مربوط به این زبانها را در دسترس قرار دهد.
Windows Server Update Services نیازی به مجوز اضافی برای سرور ندارد. کلاینتهایی که به WSUS متصل میشوند فقط نیاز به مجوز دسترسی به سرور Windows Server Client Access (CAL) دارند. از آنجا که اکثر سازمانها از قبل ویندوز سرور و CALs را خریداری میکنند، WSUS معمولا هزینه اضافی بر روی دست یک سازمان نخواهد گذاشت.
WSUS فقط از محصولات مایکروسافت مثل آپدیت ویندوز و مایکروسافت آفیس پشتیبانی میکند و اجازه نصب نرمافزار جدید یا به روزرسانی محصولات دیگر مثل گوگل کروم را نمیدهد. همچنین از سایر سیستمعاملها مثل macOS یا لینوکس پشتیبانی نمیکند.
نحوه استفاده از WSUS
WSUS به عنوان یکی از سرویسهای مهم، با استفاده از Microsoft Windows Server Manager روی ویندوز سرور نصب شده است. این سرویس پس از فعال شدن، برای استفاده در دسترس خواهد بود. البته به چند پیشنیاز از جمله داتنت، Microsoft Report Viewer، Internet Information Services (IIS) و یک پایگاه داده مثل پایگاه داده داخلی ویندوز (WID) یا SQL نیاز است. همه این پیشنیازها به صورت رایگان در ویندوز سرور در دسترس هستند.
بسته به اندازه شبکه، WSUS میتواند یک سرور واحد باشد یا چند تا که با هم کار میکنند. سرورهای WSUS میتوانند محتوا و تنظیمات آپدیت را از یکدیگر دریافت کنند. این ویژگی این امکان را برای شبکههای بسیار بزرگ و مکانهای اداری مختلف فراهم میکند تا هر کدام سرور خاص خودشان را داشته باشند.
سازمانها میتوانند از WSUSای که به اینترنت وصل نیست هم استفاده کنند. به این ترتیب، شبکههای دارای امنیت بالا میتوانند پچهای عادی را بدون قرار دادن شبکه در معرض اینترنت، دریافت کنند.
فقط قرار دادن یک سرور WSUS روی یک شبکه کافی نیست و کلاینتها هم باید برای اتصال به آن پیکربندی شوند. مدیران سیستم اغلب کلاینت را با استفاده از Group Policy پیکربندی میکنند، اما ممکن است آن را از طریق مدیر پیکربندی مرکز سیستم (SCCM)، مدیریت دستگاه تلفن همراه (MDM) یا با استفاده از کلیدهای رجیستری به صورت دستی تنظیم کنند. ادمینها میتوانند نحوه نصب روزرسانیها توسط کلاینتها، راهاندازی مجددشان پس از نصب و نحوه اطلاعرسانی به کاربران را تنظیم کنند.
عامل آپدیت ویندوز (WUA) اقداماتی را بر روی کلاینت برای نصب آپدیت انجام میدهد. این سرویس به سرور WSUS متصل میشود و آپدیتهای مورد نیاز را اسکن و سپس آنها را دانلود و نصب میکند. در فرایند دانلود از سرویس انتقال هوشمند (BITS) برای بهینهسازی استفاده از پهنای باند استفاده میشود.
WSUS به چند پورت شبکه که باز باشند، نیاز دارد. سرور باید بتواند با اینترنتسرورهای بهروزرسانی ویندوز در پورتهای 80 و 443 برای دریافت بستههای آپدیت، ارتباط برقرار کند. کلاینتها به طور پیش فرض در پورتهای 8530 و 8531 به سرور WSUS متصل میشوند، اگرچه میتوان آنها را تغییر داد.
حالتهای سرور WSUS
آشنایی با سرورهای WSUS از جمله مهارت های لازم برای شغل کارشناس امنیت شبکه است. شما میتوانید سرورهای WSUS را در دو حالت مختلف پیادهسازی کنید:
- حالت مستقل (Autonomous)
- حالت ثانویه (Replica)
حالت مستقل
این حالت، مُد نصب پیشفرض برای خدمات بهروزرسانی سرور ویندوز است و به پیادهسازی مدیریت توزیعشده کمک میکند. یک سرور WSUS که در این حالت راهاندازی میشود، فقط آپدیتها را از یک سرور بالادست دریافت میکند. البته شما باید به طور جداگانه آنها را بررسی و تایید و در ماشینهای کلاینت متصل به این سرور توزیع کنید.
حالت ثانویه
این حالت امکان قرار دادن خودکار آپدیتها روی کامپیوترهای کلاینت را فراهم میکند. شما در این حالت، نیازی به مدیریت سرورهای WSUS به طور جداگانه ندارید. این سرورها آپدیتها، وضعیت تایید و سیاستهای توزیع را از سرور بالادست دریافت میکنند.
مزایای WSUS
WSUS کار مدیران سیستم را از جنبههای مختلفی راحت کرده است که از جمله آن عبارتند از:
- مدیران سیستم به طور مرکزی آپدیتها را روی تمام رایانههای سازمان توزیع و مدیریت میکنند. این امر باعث میشود که تمام سیستمها با آخرین پچهای امنیتی و آپدیتهای نرمافزاری به روز بمانند.
- به سازمانها در کاهش هزینههای پهنای باند کمک میکند و زمان و انرژی مورد نیاز برای ارتقاء رایانههای فردی را کاهش میدهد. مدیریت و توزیع بهروزرسانیها، نیاز به وجود سازمانها برای دانلود و پیادهسازی آپدیتها به صورت کامپیوتر به کامپیوتر را از بین میبرد.
- مدیران سیستم کنترل بیشتری بر روی اینکه کدام آپدیتها روی کدام رایانهها نصب شدهاند، دارند. این امر باعث میشود تا قبل از پیادهسازی آپدیتها در کل سازمان، آنها را روی رایانههای انتخابی آزمایش کنید و خطر سازگاری یا سایر مسائل را به حداقل برسانید.
- این سرویس، گزارش وضعیت آپدیت را به صورت دقیق در اختیار مدیران سیستم قرار میدهد تا به کمک آن بتوانند رایانههایی که آخرین آپدیتها را اجرا نمیکنند یا مشکلی دارند را شناسایی کنند.
- از آنجا که بررسی دستی، تایید و نصب آپدیتها یک فرایند خستهکننده و وقتگیر است، اطمینان از اینکه تمام دستگاههای کلاینت، آپدیتهای مناسب را دریافت میکنند یا خیر، کار سختی است و میتواند سیستم شما را در برابر تهدیدات سایبری، آسیبپذیر کند. اما با استفاده از WSUS، میتوان مدیریت بهروزرسانی را روی محصولات مایکروسافت متمرکز کرد و آن را به صورت خودکار درآورد.
- بهعلاوه میتوان دستگاههای کلاینت در انتظار نصب و راهاندازی آپدیت را شناسایی و بدون اینکه وقفهای در کار کارکنان ایجاد شود، آپدیتها را زمانبندی کرد. این رویکرد به صرفهجویی در پهنای باند اینترنت شرکت هم کمک میکند زیرا سرور های WSUS از اینترانت شرکت برای توزیع بهروزرسانیها استفاده میکنند.
برای آشنایی بیشتر با گواهینامه های مایکروسافت، این مطلب را بخوانید.
معایب WSUS
Windows Server Update Services به خاطر داشتن سه ایراد اصلی که ممکن است تجربه کرده باشید، شناخته شده است:
- متاسفانه فقط میتوان WSUS را بر روی ویندوز سرور اجرا کرد. بسته به مقیاس زیرساخت سیستم، ممکن است نیاز به خرید مجوزهای ویندوز سرور دیگر باشد.
- با اینکه خدمات آپدیت ویندوز سرور میتواند آپدیتها را روی محصولات مایکروسافت توزیع کند، اما توانایی آن برای پشتیبانی از برنامههای نرمافزاری شخص ثالث محدود است و توزیع آپدیتهای شخص ثالث با WSUS میتواند دشوار باشد.
- Windows Server Update Services از ماشینهای کلاینت که سیستمعاملهای غیر ویندوزی مثل توزیعهای لینوکس یا macOS را اجرا میکنند، پشتیبانی نمیکند. این بدان معناست که باید به راهکارهای مدیریت پچ دیگر برای مدیریت ماشینهای غیرویندوزی تکیه کرد.
تفاوت WSUS و WUfB
Windows Update for Business (WUfB) یک سیستم بهروزرسانی مدرن از مایکروسافت است. در WUfB سازمان تعیین میکند که کلاینتها چه زمانی و چگونه آپدیتها را اعمال کنند، اما کلاینتها به سرورهای مایکروسافت متصل میشوند یا از توزیع همتا برای دانلود محتوای آپدیت استفاده میکنند. این سرویس با WSUS که در آن کلاینتها، به سرورهایی که سازمان مدیریت میکند، متصل میشوند، متفاوت است.
راهاندازی و مدیریت WUfB آسانتر از WSUS است و به نفع کارمندانی است که از راه دور کار میکنند، اما به اندازه WSUS، کنترلی روی آپدیتها و صرفهجویی در پهنای باند ندارد.
جمعبندی
به طور خلاصه، خدمات آپدیت ویندوز سرور (WSUS) یک ابزار بسیار مفید برای مدیران ویندوز به منظور مدیریت بهروزرسانی ها و پچ ها برای سیستم عاملها و سایر محصولات مایکروسافت است. با WSUS، مدیران فرایند آپدیت را کنترل و اطمینان حاصل میکنند که تمام رایانههای سازمان به روز هستند. به طور کلی WSUS انعطافپذیر است و قابلیت تنظیم با توجه به نیازهای سازمان را دارد و به همین خاطر است که ابزاری ایدهآل برای سازمانهایی است که نیاز به یک راه کارآمد برای مدیریت آپدیت سیستمهای ویندوز و محصولات مایکروسافت دارند.
برای آشنایی بیشتر با دیگر سرویس های مایکروسافت، مطلب سرویس WDS و اهمیت آن در محیطهای شبکه را بخوانید.
برخی از سوالات متداول
در ادامه به چند نمونه از سوالاتی که در رابطه با این سرویس مایکروسافت از سوی کاربران پرسیده میشود، پاسخ خواهیم داد.
WSUS از چند کلاینت میتواند پشتیبانی کند؟
WSUS میتواند در هر سرور از 100000 کلاینت پشتیبانی کند.
سرور WSUS به چه مقدار حافظه نیاز دارد؟
WSUS به 2 گیگابایت رم اضافی به غیر از آنچه سرور و سایر سرویسها یا نرم افزارها نیاز دارند، نیازمند است. فضای هارد دیسک هم بهتر است 40 گیگابایت یا بیشتر باشد.
آیا WSUS به مجوز نیاز دارد؟
بله، نیاز دارد.
منابع