Windows Server 2012 R2 ve Server 2016’da WSUS kurulumu ve yapılandırma


Windows Server Update Services (WSUS), sistem adminlerinin, kurumsal ağdaki bilgisayarlarda ve sunucularda bulunan Microsoft ürünlerinin (Windows OS, Office, SQL Server, Exchange vb.) yamalarını ve güvenlik güncelleştirmelerini merkezi olarak yönetmelerini sağlayan bir güncelleştirme hizmetidir. WSUS’un nasıl çalıştığını kısaca hatırlayalım. WSUS sunucusunun İnternet’teki Microsoft Update sunucuları ile senkronize edilmesi ve seçilen ürünler için en son güncellemeleri indirmesi planlanır. WSUS admini, şirketin workstation ve sunucularına hangi güncelleştirmelerin yüklenmesi gerektiğini seçer. WSUS clients, yapılandırılan politikalara göre gerekli güncellemeleri update sunucusundan indirir ve yükler. Kendi WSUS update sunucunuzu kullanmak, İnternet trafiğinden tasarruf etmenizi ve şirketteki güncelleme kurulumunu daha esnek bir şekilde yönetmenizi sağlar.

Microsoft ayrıca, SCCM (System Center Configuration Manager) gibi ürünleri gibi başka güncelleme yükleme sistemleri de sunar. Ancak, diğer birçok üründen farklı olarak, WSUS sunucusu tamamen ücretsizdir.

Windows Server 2012’nin piyasaya sürülmesinden önce, Microsoft Update sunucusunun en son sürümü, modern işletim sistemlerini (Windows 10 ve Windows Server 2012 R2/2016 gibi) desteklemeyen Windows Server Update Services 3.0 SP2 – WSUS 3.2 idi. Yeni sunucu platformunun piyasaya sürülmesiyle birlikte Microsoft, WSUS 6.0’ın yeni bir sürümünü sundu.

Windows Server 2012 R2/2016’daki yeni WSUS sürümünde aslında yeni bir şey yok. WSUS yükleme paketinin Microsoft web sitesinden ayrı olarak indirilemediğini, Windows Server dağıtımına entegre edildiğini ve ayrı bir sunucu rolü olarak yüklendiğini hatırlamamızda fayda var. Ek olarak, WSUS 6.0, PowerShell’i kullanarak güncelleme yüklemelerini yönetme özelliğine sahiptir.

Bu yazıda, Windows Server 2012 R2/Windows Server 2016’da WSUS rolünün kurulması ve yapılandırılması konusundaki temel adımları ele alacağız.

Windows Server 2012 R2/2016’da WSUS rolü nasıl yüklenir?

Windows Server 2008’de, WSUS, Server Management konsolu aracılığıyla yükleyebileceğiniz ayrı bir role olarak karşımıza çıktı. Windows Server 2012 R2/2016’da bu değişmedi. Server Management konsolunu açın ve Windows Server Update Services rolünü seçin.

WSUS Services seçeneğini işaretleyin. Ardından WSUS’nin kullanacağı veritabanı türünü seçmeniz gerekir.

Windows Server 2012’deki WSUS, aşağıdaki veritabanlarını destekler.

  • Windows Internal Database (WID)
  • Microsoft SQL Server 2008 R2 SP1, 2012, 2014, 2016 Enterprise/Standard/Express Editions

Buna göre, ücretsiz ve ek lisans gerektirmeyen Windows Internal Database WID (Windows Internal database) kullanabilirsiniz. Veya WSUS verilerini depolamak için özel bir yerel veya uzak SQL Server veritabanı (farklı bir sunucuda) kullanabilirsiniz.

Varsayılan WID base SUSDB.mdf olarak adlandırılır ve %windir%\wid\data klasöründe depolanır. Bu veritabanı sadece Windows kimlik doğrulamasını destekler (SQL değil). WSUS için internal (WID) database instance server_name\Microsoft##WID adı verilir WSUS veritabanı, güncelleme sunucusu ayarlarını, güncelleme meta verilerini ve WSUS istemci bilgilerini saklar.

Aşağıdaki durumlarda internal database (Windows Internal Database) önerilir.

  • Kuruluşunuz SQL Server için lisans almamış ve satın almayı planlamıyor.
  • WSUS load balancing (NLB WSUS) kullanılması planlanmamıştır.
  • Child WSUS sunucusu dağıtmayı planlıyorsanız (örneğin, şubelerde). Bu durumda, built-in WSUS veritabanını ikincil sunucularda kullanmanız önerilir.

WSUS WID veritabanı, SQL Server Management Studio (SSMS) aracılığıyla yönetilebilir. Bunun için aşağıdaki connection string’i kullanmanız gerekmektedir.

\\.\pipe\MICROSOFT##WID\tsql\query

SQL Server 2008/2012 Express’in ücretsiz sürümlerinde, veritabanı boyutu 10 GB ile sınırlandırılmıştır. Büyük olasılıkla, bu sınıra ulaşamazsınız ama bilmenizde fayda var. (örneğin, 3000 istemci için WSUS veritabanının büyüklüğü yaklaşık 3 GB’dir). Windows Internal Database limiti 524 GB ile sınırlıdır.

WSUS rolünü ve MS SQL veritabanını farklı sunuculara yüklerseniz, bazı sınırlamalar vardır.

  • WSUS veritabanına sahip SQL Server bir etki alanı denetleyicisi olamaz.
  • Bir WSUS sunucusu aynı anda Remote Desktop Services Host olamaz.

WID built-in database kullanmayı planlıyorsanız (büyük altyapılar için önerilir ve uygulanabilir bir seçenek), Database seçeneğini işaretleyin.

Ardından güncellemeleri depolamak için dizini belirtmeniz gerekir. Seçilen diskte en az 10 GB boş alan olması önerilir

WSUS veritabanının boyutu, ürün sayısına ve güncellemeyi planladığınız Windows işletim sistemi sürümüne büyük ölçüde bağlıdır. Büyük bir kuruluşta, bir WSUS sunucusundaki güncelleme dosyalarının boyutu yüzlerce GB’ye ulaşabilir. Örneğin, WSUS dizin büyüklüğüm yaklaşık 400 GB’dir (Windows 7, 8.1, 10, Windows Server 2008 R2, 2012/R2/2016, Exchange 2013, Office 2010 ve 2016, SQL Server 2008/2012/2016 güncellemeleri saklanır). WSUS dosyalarınız için depolama alanı planlarken bunu aklınızda bulundurun.

Daha önce ayrı bir SQL veritabanı kullanmayı seçtiyseniz, veritabanı sunucusunun adını, DB instance belirtmeli ve bağlantıyı kontrol etmelisiniz.

Daha sonra gerekli tüm bileşenlerle birlikte WSUS rolü yüklenecektir. Yükleme tamamlandığında, Server Manager’ı açarak WSUS Management Console’nu çalıştırabilirsiniz.

Aşağıdaki PowerShell komutunu kullanarak bir WSUS sunucusunu internal database üzerine de yükleyebilirsiniz.

Install-WindowsFeature -Name Updateservices,UpdateServices-WidDB,UpdateServices-services –IncludeManagementTools

Windows Server 2012 R2/2016’da temel WSUS yapılandırması

WSUS konsolunu ilk başlattığınızda, Update Server Configuration Wizard otomatik olarak başlayacaktır. Bu sihirbazı kullanarak bir WSUS sunucusunu yapılandırmak için gereken temel konfigürasyonları yapabilirsiniz.

İlk seçenek ile, WSUS sunucusunun güncellemeleri doğrudan Microsoft Update web sitesinden alıp almayacağını belirleyebilirsinz. İkinci seçenek genellikle büyük ağlarda ve coğrafi olarak farklı bölgelerdeki sunuculara hizmet verecek WSUS sunucusunu yapılandırmak için kullanılır. Bu, merkezi bir ofiste WSUS’dan güncellemeleri alır. Bu yapılandırma, merkez ve şube arasındaki WAN trafiği üzerindeki yükü önemli ölçüde azaltacaktır.

WSUS sunucunuzun kendisinin Windows Update sunucularından güncellemeler indirmesi gerekiyorsa ve Internet’e bir proxy sunucu üzerinden erişiyorsanız, erişmek için proxy sunucu adresini, bağlantı noktasını ve kimlik bilgilerini belirtmeniz gerekir.

Ardından, bağlantı kontrol edilir. Start Connecting’i tıklayın.

WSUS’un güncellemeleri indireceği dilleri seçmeniz gerekir. İngilizce’yi seçiyoruz. Dilleri daha sonra WSUS konsolundan değiştirilebilirsiniz.

WSUS’un güncellemeleri indirmesi gereken ürünlerin listesini belirtin. Kurumsal ağınızda kullanılan tüm Microsoft ürünlerini seçmelisiniz. Tüm ek güncellemelerin disk alanı kapladığını, bu nedenle ekstra ürünlerin kontrol edilmemesi gerektiğini unutmayın. Ağınızda Windows XP veya Windows 7 çalıştıran hiçbir bilgisayar olmadığından eminseniz, bu işletim sistemi için onay kutularını seçmeyin. Bu, WSUS sunucu diskinde önemli ölçüde yer kazandırır.

Gerekirse, Microsoft Update Catalog’dan gelen güncelleştirmeleri WSUS sunucunuza manual olarak import edebilirsiniz.

Classification Page sayfasında, WSUS aracılığıyla dağıtılacak güncelleme türlerini belirtin. Seçilmesi önerilen classification’lar; Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.

Ardından, güncellemelerin senkronizasyon zamanını belirtmelisiniz. İnternet hattına mesai saatleri içinde aşırı yük binmemesi için, WSUS senkronizasyonu gece yapılmalıdır.

WSUS sunucusunun güncelleme sunucusuyla ilk senkronizasyonu, daha önce seçtiğiniz ürün sayısına ve ISS’nize bağlı olarak birkaç gün sürebilir.

Sihirbaz tamamlandıktan sonra, WSUS konsolu başlatılır.

Windows Server’daki WSUS Sunucusunun performansını artırmak için, aşağıdaki klasörlerin virüsten taramasından çıkarılması önerilir.

  • \WSUS\WSUSContent
  • %windir%\wid\data
  • \SoftwareDistribution\Download

İstemciler artık 8530 numaralı port üzerinden WSUS sunucusuna bağlanarak güncelleştirmeleri alabilir. Windows Server 2003 ve 2008’de 80 numaralı bağlantı noktası varsayılan olarak kullanılır.

WSUS konsolunda farklı güncelleme raporları görüntülemek için, isteğe bağlı Microsoft Report Viewer 2008 SP1 Redistributable bileşenlerini sunucunuza yüklemeniz gerekir.

Diğer makalelerde, Windows Server 2012 R2/2016’da WSUS sunucusunu nasıl yapılandıracağımıza bakacağız. Grup İlkeleri’ni kullanarak WSUS istemci ayarlarını yapılandırarak, yeni güncelleştirmeleri nasıl onaylayacağınızı ve WSUS hedef grupları arasında onaylı güncelleştirmeleri inceleyeceğiz.

KAYNAKWINDOWS