ผมเคยโพสต์บทความเกี่ยวข้องกับ Windows Server Update Service (WSUS) ไปหลายเรื่องแต่ยังไม่ได้แนะนำ WSUS อย่างป็นทางการ ดังนั้นจึงตั้งใจว่าจะเขียนเรื่อง WSUS แบบซีรีย์ตั้งแต่แนะนำ การติดตั้ง การคอนฟิกระบบ ไปจนถึงการจัดการการแจกจ่ายการปรับปรุง (Updates) ให้กับเครื่องลูกข่าย Windows โดยเริ่มต้นตอนที่ 1 ด้วยเรื่อง “แนะนำ WSUS” ครับ
Windows Server Update Service (WSUS)
Windows Server Update Service (WSUS) หรือก่อนหน้านี้เรียกว่า Software Update Services (SUS) เป็นบริการใช้บริหารจัดการการปรับปรุง Windows และซอฟต์แวร์ของไมโครซอฟท์ ด้วยการใช้ WSUS ผู้ดูแลระบบจะสามารถบริหารจัดการการแจกจ่ายการปรับปรุงที่ไมโครซอฟท์ออกให้แก่เครื่องคอมพิวเตอร์บนระบบเครือข่ายได้อย่างเต็มที่
การใช้ WSUS มีคุณประโยชน์หลายประการ เช่น
- ช่วยลดภาระงานผู้ดูแลระบบในการจัดการการปรับปรุงคอมพิวเตอร์ในองค์กร
- ยกระดับความปลอดภัยในการใช้งานคอมพิวเตอร์
- ช่วยประหยัดแบนด์วิธการเชื่อมต่ออินเทอร์เน็ตและลดลดความคับคั่งของการจราจรบนระบบเครือข่าย
ข้อมูลอื่นๆ เกี่ยวกับ WSUS
- ไมโครซอฟท์ออก SUS* ครั้งแรกในปี 2545 (2002) และรีแบรนด์เป็น WSUS ในปี 2548 (2005)
- บน Windows Server 2003 – 2008 นั้นไมโครซอฟท์ออก WSUS เป็นชุดโปรแกรมเสริมที่ต้องดาวน์โหลดและติดตั้งเพิ่มในภายหลัง
- ตั้งแต่ Windows Server 2008 R2 และใหม่กว่า ไมโครซอฟท์ได้รวม WSUS เข้าเป็น Role
- WSUS Server ที่ทำหน้าที่แจกจ่ายเปรียบได้กับ Private Windows Update
Windows Server Update Service Deployment
การติดตั้ง WSUS เพื่อใช้จัดการการแจกจ่ายการปรับปรุงนั้นแบ่งการทำงานออกเป็น 5 ขั้นตอน ดังนี้
ขั้นตอนที่ 1: Prepare for Your WSUS Deploymentขั้นตอนที่ 2: Install the WSUS Server Role
ขั้นตอนที่ 3: Configure WSUS
ขั้นตอนที่ 4: Approve and Deploy WSUS Updates
ขั้นตอนที่ 5: Configure Group Policy Settings for Automatic Updates
บทความนี้จะเป็นรายละเอียดของ ขั้นตอนที่ 1: Prepare for Your WSUS Deployment ซึ่งแบ่งการทำงานออกเป็น 7 ขั้นตอนย่อย ดังนี้
1.1. Review considerations and system requirements
1.2. Choose a WSUS deployment scenario
1.3. Choose a WSUS storage strategy
1.4. Choose WSUS update languages
1.5. Plan WSUS computer groups
1.6. Plan WSUS performance considerations
1.7. Plan Automatic Updates settings
1.1. Review considerations and system requirements
WSUS มีความต้องการระบบฮาร์ดแวร์ขั้นต่ำดังนี้:
- Processor: 1.4 GHz x64 processor (แนะนำ 2 GHz หรือเร็วกว่า)
- Memory: WSUS ต้องการหน่วยความจำเพิ่มเติม 2 GB จากความต้องการของ Server
- Disk Space: 30 GB (แนะนำ 40 GB หรือใหญ่กว่า )
- Network Adapter: 100 Mbps หรือสูงกว่า
- WSUS server บน Windows Server 2012 จะใช้พอร์ต 8530 สำหรับ HTTP และพอร์ต 8531 สำหรับ HTTPS ในการติดต่อกับคอมพิวเตอร์ลูกข่าย
1.2 Choose a WSUS deployment scenario
Simple WSUS deployment: เป็นรูปแบบการใช้งาน WSUS แบบง่าย โดยมี WSUS Server 1 ตัวทำหน้าที่ดาวน์โหลดการปรับปรุงจากบริการ Public Windows Update ของไมโครซอฟท์บนอินเทอร์เน็ต จากนั้นจึงแจกจ่ายให้แก่เครื่องคอมพิวเตอร์บนระบบเครือข่าย
Multiple WSUS servers: เป็นรูปแบบการใช้งานที่มี WSUS Server หลายตัวทำหน้าที่ดาวน์โหลดการปรับปรุงจากบริการ Public Windows Update ของไมโครซอฟท์บนอินเทอร์เน็ต จากนั้นจึงแจกจ่ายให้แก่เครื่องคอมพิวเตอร์บนระบบเครือข่าย โดย WSUS Server แต่ละตัวจะแบ่งโหลดการทำงานกัน
Disconnected WSUS server: เป็นรูปแบบการใช้งาน WSUS สำหรับระบบเครือข่ายที่ไม่ได้เชื่อมต่ออินเทอร์เน็ต โดยใช้วิธีการนำเข้าข้อมูลที่ได้จากการส่งออกจาก WSUS Server ที่อยู่บนเครือข่ายที่เชื่อมต่ออินเทอร์เน็ต
Autonomous mode หรือ Distributed administration: เป็นรูปแบบการใช้งานที่มี WSUS Server 1 ตัวเป็น Upstream WSUS server ทำหน้าที่ดาวน์โหลดการปรับปรุงจากบริการ Public Windows Update ของไมโครซอฟท์บนอินเทอร์เน็ต แล้วแชร์การปรับปรุงที่ได้ให้แก่ Downstream WSUS server ที่อยู่ตามสาขาเพื่อแจกจ่ายให้แก่เครื่องคอมพิวเตอร์บนระบบเครือข่าย โดยการจัดการ WSUS server จะเป็นอิสระต่อกัน
Replica mode หรือ Centralized administration: เป็นรูปแบบการใช้งานที่มี WSUS Server 1 ตัวเป็น Upstream WSUS server ทำหน้าที่ดาวน์โหลดการปรับปรุงจากบริการ Public Windows Update ของไมโครซอฟท์บนอินเทอร์เน็ต แล้วแชร์การปรับปรุง approval status และ computer group ให้แก่ Downstream WSUS server ที่อยู่ตามสาขาเพื่อแจกจ่ายให้แก่เครื่องคอมพิวเตอร์บนระบบเครือข่าย โดยการจัดการ WSUS server จะทำที่ Upstream WSUS server เพียงตัวเดียว
WSUS Server Hierarchies
ในกรณีที่มีเครื่องคอมพิวเตอร์เป็นจำนวนมาก สามารถใช้ WSUS Server แบบ Hierarchies ซึ่งมีข้อดี คือ
- ประหยัดแบนด์วิธเนื่องจากสามารถใช้ Upstream server ทำการดาวน์โหลดการปรับปรุงจากบริการ Public Windows Update ของไมโครซอฟท์บนอินเทอร์เน็ตเพียงตัวเดียว จากนั้นจึงแชร์การปรับปรุงที่ได้ให้แก่ Downstream WSUS server เพื่อแจกจ่ายให้แก่เครื่องคอมพิวเตอร์บนระบบเครือข่าย
- สามารถตั้งให้เครื่องคอมพิวเตอร์ดาวน์โหลดการปรับปรุงจาก WSUS server ที่อยู่ใกล้ (ทางกายภาพ) มากที่สุดได้
- สามารถแยก WSUS servers สำหรับให้บริการเครื่องคอมพิวเตอร์หรือซอฟต์แวร์ตามเวอร์ชันภาษาได้
- สำหรับบนระบบที่มีเครื่องคอมพิวเตอร์เป็นจำนวนมาก สามารถใช้ WSUS Server หลายตัวเพื่อแบ่งโหลดการทำงานได้
ข้อควรระวังในการใช้งาน WSUS Server แบบ Hierarchies
กรณีใช้งาน WSUS Server หลายตัวทำงานร่วมกันแบบ Upstream และ Downstream ไม่ควรให้มีลำดับชั้นของเซิร์ฟเวอร์เกิน 3 ระดับ เพราะอาจทำให้เกิดปัญหาการแจกจ่ายการปรับปรุงล่าช้าได้
ใช้ WSUS Server ร่วมกับคุณสมบัติอื่นๆ
Branch offices: ใช้คุณสมบัติ Branch Office ใน Windows Server เพื่อเพิ่มประสิทธิภาพ WSUS Server สำหรับการใช้งานในสามารถที่การเชื่อมต่ออินเทอร์เน็ตมีความเร็วมากกว่าการเชื่อมต่อ WAN
Network Load Balancing (NLB): สามารถเซ็ตอัพ WSUS Server เป็นบนระบบ NLB เพื่อเพิ่มประสิทธิภ่าพการทำงาน อย่างไรก็ตามการใช้งานรูปแบบนี้ต้องใช้ SQL Server
WSUS deployment with roaming client computers: ในกรณีของผู้ใช้อุปกรณ์เคลื่อนที่ (Roaming Users) สามารถใช้คุณสมบัติ Subnet Prioritization ใน DNS เพื่อให้อุปกรณ์รับการปรับปรุงจาก WSUS Server ตัวที่อยู่ใกล้ (ทางกายภาพ) มากที่สุดได้
1.3 Choose a WSUS storage strategy
WSUS ต้องใช้ระบบจัดเก็บข้อมูล (storage system) 2 ประเภท คือ ฐานข้อมูล (database) สำหรับเก็บ WSUS configuration และ update metadata และ และระบบไฟล์บนเครื่อง (Local file system) สำหรับเก็บไฟล์การปรับปรุง ดังนั้นควรพิจารณาให้ดีก่อนทำการติดตั้ง WSUS Server เนื่องไม่สามารถทำการเปลี่ยนแปลงในภายหลังได้
WSUS รองรับฐานข้อมูล
- Windows Internal Database (WID)
- SQL Server 2008 R2/2012/2014 และ 2016 รุ่น Express, Standard และ Enterprise
ข้อความพิจารณาในการใช้ดาต้าเบสของ WSUS
- WSUS Server 1 ตัว ต้องใช้ 1 ดาต้าเบส โดยไม่สามารถแชร์ดาต้าเบสระหว่างเซิร์ฟเวอร์ได้ยกเว้นในกรณีการทำคลัสเตอร์ Network Load Balancing (NLB) โดยใช้ SQL Server failover
- Windows Internal Database (WID) เก็บดาต้าเบสได้สูงสุด 524 GB
- SQL Server 2008 R2 Express หรือใหม่กว่า เก็บดาต้าเบสได้สูงสุด 10 GB
- SQL Server 2008 R2 หรือใหม่กว่า เก็บดาต้าเบสได้สูงสุด 524 PB
โดยทั่วไปแล้ว การใช้ WSUS กับ WID นั้นเพียงพอสำหรับการใช้งาน ซึ่งสำหรับหน่วยงานที่มีเครื่องพีซีประมาณ 1800 เครื่องฐานข้อมูลมีขนาดประมาณ 1.8 GB
หมายเหตุ: WID เก็บอยู่ในไฟล์ SUSDB.mdf ในโฟลเดอร์ %windir%\wid\data\
WSUS update storage
WSUS จะเก็บข้อมูล 2 ชนิด คือ metadata และ ไฟล์ update โดย metadata จะเก็บไว้ในดาต้าเบส WSUS ส่วนไฟล์ update นั้นสามารถเลือกได้ว่าจะเก็บไว้บนเครื่องหรือเก็บไว้บนเซิร์ฟเวอร์ของไมโครซอฟท์ผ่านการตั้งค่า Options > Update Files and Languages
เปรียบเทียบข้อดี-ข้อด้อย ระหว่างการเก็บไฟล์การปรับปรุงไว้บนเครื่องกับการเก็บไว้บนเซิร์ฟเวอร์ของไมโครซอฟท์
การเก็บไฟล์การปรับปรุงไว้บนเครื่อง WSUS server มีข้อดีประหยัดแบนด์วิธ ข้อด้อยคือเปลืองพื้นที่ฮาร์ดดิสก์ โดยต้องใช้พื้นที่อย่างน้อย 20 GB และจะมีขนาดใหญ่ขึ้นเรื่อยๆ ดังนั้นต้องวางแผนเกี่ยวกับ
- เก็บไฟล์การปรับปรุงไว้บนเซิร์ฟเวอร์ของไมโครซอฟท์ ข้อดีไม่เปลืองพื้นที่ฮาร์ดดิสก์ ข้อเสียเปลืองแบนด์วิธ
- กรณีที่เก็บไฟล์การปรับปรุงไว้บนเครื่อง WSUS server จะต้องวางแผนเกี่ยวกับพื้นที่เก็บข้อมูลไว้รองรับด้วยเนื่องจากขนาดไฟล์จะมีขนาดใหญ่ขึ้นเรื่อยๆ
1.4. Choose WSUS update languages
การเลือกภาษาของการปรับปรุงที่จะให้ WSUS Server แจกจ่ายให้เครื่องลูกข่ายตามแนวทางดังนี้
- WSUS server ทุกตัวต้องเลือกการปรับปรุงเวอร์ชันภาษา English
- Upstream WSUS server ต้องดาวน์โหลดการปรับปรุงให้ครอบคลุมทุกภาษาที่มีใช้งาน
- Downstream WSUS server สามารถดาวน์โหลดการปรับปรุงเฉพาะภาษาที่ต้องการได้
1.5. Plan WSUS computer groups
WSUS ทำการแจกจ่ายให้เครื่องลูกข่ายโดยอ้างอิงตามกลุ่ม ซึ่งโดยเริ่มต้น WSUS Server จะมี 2 กลุ่ม คือ All Computers และ Unassigned Computers โดยผู้ดูแลระบบสามารถสร้างกลุ่มเพิ่มเติมได้ตามความเหมาะสม
WSUS รองรับการตั้งค่ากลุ่มเครื่องลูกข่าย 2 วิธี คือ
- Server-side targeting: ผู้ดูแลระบบเป็นคนจัดกลุ่มเครื่องลูกข่ายบน WSUS Server ด้วยตนเอง (โดยเริ่มต้นเครื่องลูกข่ายจะอยู่ในกลุ่ม Unassigned Computers )
- Client-side targeting: จัดกลุ่มเครื่องลูกข่ายผ่านทางนโยบายกลุ่ม (Group Policy) หรือการตั้งค่ารีจีสทรีย์ (Registry Settings)
Conflict Resolution
WSUS ใช้กฏ 3 ข้อ คือ Priority, Priority of Install and Uninstall และ Priority of Deadlines ในการแก้ปัญหาความขัดแย้งการทำงาน
- Priority กำหนดตามความลึกของกลุ่ม กลุ่มที่อยู่ลึกกว่ามีความสำคัญสูงกว่า กลุ่มระดับเท่ากันมีความสำคัญเท่ากัน
- Priority of Install and Uninstall การติดตั้งจะทำก่อนการถอนการติดตั้ง และ การติดตั้งที่จำเป็นจะทำก่อนการติดตั้งเสริม
- Priority of Deadlines การดำเนินการที่มีการกำหนด deadline จะทำก่อนการดำเนินการที่ไม่มีการกำหนด deadline การดำเนินการที่ถึงกำหนด deadline ก่อน จะทำก่อนการดำเนินการที่ถึงกำหนด deadline ที่หลัง
1.6. Plan WSUS performance considerations
เพื่อให้ WSUS Server ทำงานได้อย่างมีประสิทธิภาพ ต้องพิจารณาเรื่องต่างๆ ที่เกี่ยวข้อง ได้แก่
Network setup:
- การใช้ WSUS บนเครือข่ายที่มีรูปแบบการเชื่อมโยง (Topology) แบบ hub-and-spoke จะมีประสิทธิภาพจะดีกว่าแบบ hierarchical
- ใช้ DNS netmask ordering เพื่อเพิ่มประสิทธิภาพการปรับปรุงอุปกรณ์เคลื่อนที่
- ตั้งให้อุปกรณ์เคลื่อนที่ทำการดาวน์โหลดการปรับปรุงจาก WSUS server ตัวที่อยู่ใกล้ที่สุด
Deferred download: การเปิดใช้ Deferred download ทำให้ WSUS Server ดาวน์โหลดเฉพาะ metadata ของการปรับปรุง โดยจะดาวน์โหลดไฟล์การปรับปรุงหลังจากผู้ดูแลระบบทำการอนุมัติให้ติดตั้ง เพื่อช่วยให้ประหยัดแบนด์วิธและพื้นที่ฮาร์ดดิส
เปิดใช้ Deferred download ได้จาก Options > Update Files and Languages
Filters: ควรกรองการปรับปรุงเฉพาะที่ต้องการตาม language, product และ classification
Installation: การเปิดใช้คุณสมบัติ express installation files จะช่วยให้การติดตั้งการปรับปรุงทำได้เร็วขึ้น แต่จะเปลืองแบนด์วิธและพื้นที่ฮาร์ดดิสก์สำหรับเก็บไฟล์การปรับปรุง
Large update deployment: การติดตั้งการปรับปรุงขนาดใหญ่ เช่น Service Pack ผ่านทาง WSUS Server อาจทำให้ระบบเครือข่ายช้าได้ ในกรณีเช่นนี้ให้แก้ไขโดยใช้วิธีการจำกัดแบนด์วิธของบริการ BITS และ Internet Information Services (IIS) และให้แยกแจกจ่ายการปรับปรุงทีละกลุ่มแทนการแจกจ่ายให้เครื่องคอมพิวเตอร์ทั้งหมดพร้อมกัน
1.7. Plan Automatic Updates settings
ขั้นตอนนี้เป็นการวางแผนการติดตั้งการปรับปรุงบนเครื่องลูกข่าย ซึ่งมีเรื่องที่ต้องพิจารณาหลายประเด็น เช่น
- กำหนด deadline การติดตั้งอัปเดตหรือไม่
- ตั้งค่า Automatic Updates (AU) รูปแบบใด เช่น ให้ AU แจ้งเมื่อมีการปรับปรุงและให้ผู้ใช้เป็นคนเลือกทำการดาวน์โหลดและติดตั้งการปรับปรุง, ให้ AU ดาวน์โหลดการปรับปรุงโดยอัตโนมัติ และแจ้งให้ผู้ใช้เป็นคนเลือกทำการติดตั้งการปรับปรุง หรือ ให้ AU ทำการดาวน์โหลดและติดตั้งการปรับปรุงโดยอัตโนมัติ อ่านเพิ่มเติมได้ที่ นโยบาย Windows Update ของ Windows 8.1
สามารถศึกษาเพิ่มเติมได้จากเว็บไซต์อย่างเป็นทางการของ WSUS Server
* http://windowsitpro.com/systems-management/brief-history-wsus
แหล่งอ้างอิง
https://technet.microsoft.com/en-us/library/hh852345.aspx
https://technet.microsoft.com/en-us/library/hh852340.aspx
