Windows Server Update Services, zkráceně WSUS, jsou klíčovou součástí moderních serverových operačních systémů Windows. Jejich hlavním úkolem je zajišťovat stahování a distribuci aktualizací systémů a softwaru od společnosti Microsoft do klientských zařízení. Tato funkcionalita má potenciál výrazně snížit objem datového přenosu potřebného pro aktualizace, protože jednotlivé počítače v síti čerpají aktualizace z centrálního serveru WSUS, namísto toho, aby je stahovaly individuálně z internetu. Avšak i přes svoji užitečnost se WSUS potýkají s určitými omezeními. To vedlo k tomu, že někteří softwaroví vývojáři, včetně Microsoftu, vytvořili nástroje, které se snaží tyto nedostatky adresovat. V tomto článku se zaměříme na přehled některých z nejlepších nástrojů pro Windows Server Update Services.
Vždy se snažíme poskytovat našim čtenářům ucelené informace, a proto nejprve detailněji vysvětlíme, co vlastně WSUS představují. Probereme jejich základní funkce a pokusíme se pochopit, jak fungují. Vzhledem k tomu, že mnoho nástrojů pro WSUS bylo vyvinuto právě s cílem řešit jejich omezení, podíváme se i na tyto nedostatky. Díky tomu získáte lepší představu o užitečnosti dále diskutovaných nástrojů. Následně se podíváme na nejlepší nástroje pro Windows Server Update Services a nabídneme nejen jejich seznam, ale i krátké shrnutí a recenzi každého z nich.
Co jsou Windows Server Update Services
Windows Server Update Services jsou softwarové nástroje vyvinuté společností Microsoft, které se používají ke správě a distribuci aktualizací a oprav hotfix pro produkty Microsoft v podnikovém prostředí. WSUS stahuje aktualizace z Microsoft Update a poté je distribuuje do počítačů v síti.
Předchůdce WSUS, SUS, umožňoval pouze stahování aktualizací operačního systému Windows do jednoho centrálního umístění. Díky tomu mohly počítače v síti získávat aktualizace z tohoto centrálního zdroje namísto přímo ze služby Windows Update. S vývojem byl nástroj přejmenován a rozšířen, a nyní může distribuovat aktualizace, hotfixy, servisní balíčky, ovladače zařízení a balíčky funkcí do klientů z centrálního serveru.
WSUS jsou primárně určené pro malé a střední podniky. Větší organizace často volí System Center Configuration Manager jako svůj primární mechanismus pro aktualizace, jelikož nabízí více funkcí a vyšší flexibilitu.
Funkce Windows Server Update Service
Přestože se to může zdát jednoduché, v pozadí WSUS se odehrává mnoho složitých procesů. Služba nejprve analyzuje systémy a vyhodnocuje jejich aktuální stav aktualizací. Zjišťuje, které aktualizace jsou dostupné a potřebné na každém připojeném zařízení. Následně stahuje potřebné aktualizace od společnosti Microsoft a ukládá je lokálně. WSUS podporuje širokou škálu produktů od Microsoftu a je integrována jako serverová role v nejnovějších verzích Windows Server.
Windows Server Update Services nabízí pokročilé funkce, jako je optimalizace využití šířky pásma a síťových prostředků. Umožňuje také cílené stahování aktualizací pro konkrétní počítače nebo skupiny zařízení. Další výhodou jsou rozsáhlé možnosti reportingu, které umožňují sledovat stav aktualizací.
Správci mohou schvalovat nebo odmítat aktualizace před jejich instalací. Mají také možnost vynutit instalaci aktualizací k určitému datu nebo získat podrobné přehledy o tom, jaké aktualizace který počítač potřebuje. WSUS lze nakonfigurovat pro automatické schvalování konkrétních typů aktualizací (např. důležité aktualizace, aktualizace zabezpečení, servisní balíčky, ovladače atd.). Aktualizace mohou být také schváleny pouze pro „detekci“, což správcům umožňuje zjistit, které počítače danou aktualizaci potřebují, bez její automatické instalace.
Nedostatky Windows Server Update Services
I když jsou Windows Server Update Services užitečné, nejsou bezchybné. Primárně podporují pouze klienty Windows a, co je důležité, fungují pouze se softwarem od Microsoftu. Navíc i u softwaru od Microsoftu nemusí být všechny produkty aktualizovatelné pomocí WSUS.
Situace je složitější. Dokonce i software, který by měl být aktualizován pomocí WSUS, není vždy aktualizován. Na internetu lze nalézt spoustu případů, kdy se počítače ve zprávách WSUS jeví jako plně aktualizované, ale ve skutečnosti tomu tak není. Často dochází k problémům, kdy se klienti nemohou připojit k WSUS, nebo aktualizace při zpracování uváznou. Chybějící aktualizace mohou být i několik let staré a byly zaznamenány případy, kdy počítače hlásily 100% stav aktualizací, ale přitom potřebovaly stovky dalších.
To ovšem neznamená, že WSUS jsou špatné. Jsou velmi užitečné! Udržování počítačů v aktualizovaném stavu je velmi komplexní úkol. A i přes své nedostatky automatizované systémy stále odvádějí mnohem lepší práci než ruční aktualizace, zvláště s ohledem na čas potřebný k jejich provedení.
7 nejlepších nástrojů pro Windows Server Update Services
Většina nástrojů, které doplňují WSUS, byla vytvořena za účelem řešení některých problémů s tímto softwarem. Jiné nástroje přidávají funkce, jako je aktualizace softwaru třetích stran. Zajímavé je, že dva z uvedených nástrojů jsou od společnosti Microsoft, která si je zřejmě vědoma některých problémů svého systému a rozhodla se vydat doplňkové nástroje.
1. Diagnostický nástroj SolarWinds pro agenta WSUS (ZDARMA KE STAŽENÍ)
První nástroj v našem seznamu je od společnosti SolarWinds, která je známá svými kvalitními nástroji pro správu sítí a systémů. Společnost je známá zejména svými mnoha bezplatnými nástroji, jako je Diagnostický nástroj pro agenta WSUS. Jak už název napovídá, jeho hlavním úkolem je zajistit, aby agent WSUS fungoval správně na všech počítačích. Toto je klíčový úkol, protože mnoho problémů s WSUS pramení právě zde.
Hlavní funkce tohoto nástroje jsou následující. Nejprve ověří stav počítače a hodnoty konfigurace agenta Windows Update. Pokud se vše zdá v pořádku, pokusí se o připojení ke konfigurovanému serveru WSUS a poskytne podrobnou zpětnou vazbu o výsledku pokusu o připojení.
Instalace nástroje je jednoduchá jako spuštění instalačního programu. Po instalaci se nástroj automaticky spustí a provede úvodní analýzu. Po jejím dokončení můžete kliknout na tlačítko Spustit diagnostiku a spustit hlubší analýzu, která odhalí jakýkoli potenciální problém s agentem WSUS, včetně návrhů řešení.
Hlavní nevýhodou tohoto nástroje je, že musí být nainstalován a spuštěn na klientském počítači. Pokud však máte problémy s tím, že některé počítače se nedaří aktualizovat nebo se nesprávně hlásí ve službě WSUS, tento nástroj může být užitečným pomocníkem při diagnostice problému.
ZDARMA KE STAŽENÍ: DIAGNOSTICKÝ NÁSTROJ SOLARWINDS PRO AGENTA WSUS
Když už jste na webu SolarWinds, doporučujeme si prohlédnout další bezplatné nástroje, které nabízí. Některé z nich jsme zmiňovali v minulých článcích, například při probírání nejlepších kalkulaček podsítí nebo nejlepších bezplatných TFTP serverů.
2. SolarWinds Patch Manager (ZKUŠEBNÍ VERZE ZDARMA)
Dalším nástrojem od společnosti SolarWinds je SolarWinds Patch Manager. Tento nástroj posouvá WSUS na zcela jinou úroveň. Začíná tam, kde WSUS končí. Jedná se o kompletní balíček pro správu softwarových oprav a aktualizací, který může fungovat s WSUS nebo SCCM a poskytuje jedny z nejlepších možností správy oprav.
Tento nástroj se hladce integruje s WSUS a přidává do něj užitečné funkce, jako je plánované nasazování oprav a aktualizací, což je funkce, která v WSUS chybí. Patch Manager také nabízí přehled stavu oprav a inventář. Integrace s dalšími nástroji umožňuje použití tohoto systému i se SCCM a poskytuje tak kompletní systém správy oprav nejen pro operační systémy a software od Microsoftu, ale i pro aplikace třetích stran.
Další funkcí SolarWinds Patch Manageru je správa zranitelností. Tento nástroj se stará o to, aby žádný spravovaný počítač neměl žádný zranitelný software. A pokud nějaké zranitelnosti najde, automaticky je opraví nasazením patřičné aktualizace.
Pro aplikace třetích stran si můžete přímo od SolarWinds stáhnout několik předpřipravených a otestovaných balíčků pro nejběžnější software. Můžete si také vytvořit vlastní balíčky pro interní software nebo aplikace, které nejsou dostupné od SolarWinds.
Ceny SolarWinds Patch Manageru se odvíjejí od počtu spravovaných uzlů. Začíná na 3 690 dolarech za 250 uzlů. Jedná se o trvalou licenci, která vám umožní používat software neomezeně. Počet uzlů lze navýšit zakoupením další licence. Pokud si chcete tento výkonný software vyzkoušet, je k dispozici 30denní zkušební verze.
30DENNÍ ZKUŠEBNÍ VERZE ZDARMA: SOLARWINDS PATCH MANAGER
3. Diagnostický nástroj klienta Microsoft WSUS
Diagnostický nástroj klienta Microsoft WSUS je odpovědí společnosti Microsoft na četné problémy s klientským softwarem WSUS. Jeho hlavním úkolem je pomoci správcům WSUS při řešení problémů s klientskými počítači, které nekomunikují se serverem WSUS. Nástroj provede několik základních kontrol a poté otestuje komunikaci mezi serverem WSUS a klientským počítačem.
Na rozdíl od podobného nástroje od SolarWinds nemá tento nástroj pěkné GUI. Jedná se o nástroj příkazového řádku a jeho zpětná vazba na obrazovce není příliš užitečná. Nicméně, i přes jeho omezenou užitečnost, zejména ve srovnání s nástrojem od SolarWinds, jsme cítili, že je nutné jej zahrnout do našeho seznamu z několika důvodů.
Za prvé, platí zde princip „dodavatel na prvním místě“, který říká, že nikdo není v lepší pozici pro nalezení problémů se systémem než jeho výrobce. Vzhledem k této myšlence je logické použít nástroj od společnosti Microsoft pro řešení problémů s produktem od společnosti Microsoft.
Pokud se obrátíte na technickou podporu společnosti Microsoft s problémem ohledně WSUS, je pravděpodobné, že vás požádají o spuštění tohoto nástroje na problémových počítačích a výsledky jim poskytnete. Může se stát, že Microsoft bude potřebovat výsledky tohoto nástroje pro diagnostiku problému, a to i přesto, že na stránce s nástrojem jasně uvádí, že je poskytován tak, jak je a že pro něj společnost Microsoft nenabízí žádnou podporu.
4. Nástroj Microsoft WSUS Reporting Rollup Sample Tool
Dalším nástrojem v našem seznamu je opět nástroj od společnosti Microsoft. Microsoft WSUS Reporting Rollup Sample Tool má za cíl konsolidovat data sestav z více serverů WSUS. Tento nástroj shromažďuje data z jednotlivých serverů WSUS a prezentuje je v ucelené formě. Jedná se o plně přizpůsobitelný nástroj, který může buď slučovat data ze všech serverů, nebo zobrazovat data každého serveru zvlášť.
Skripty se používají k ovládání chování tohoto nástroje, což může být pro některé uživatele komplikované. Zde přichází na řadu „ukázková“ část názvu nástroje. Spolu se samotným softwarem ke stažení je k dispozici i několik předpřipravených skriptů. Můžete je použít v původní podobě, nebo je modifikovat podle svých specifických potřeb a použít jako základ pro vlastní skripty.
Je nutné si uvědomit, že tento nástroj je zbytečný, pokud máte pouze jeden server WSUS. Nástroj je primárně určen pro velké instalace s více servery. I když je jistě velmi užitečný, nepřidává do WSUS žádné nové funkce.
5. Nástroj WSUS od ADFDesign
Nástroj WSUS od ADFDesign je jednoduchý, ale efektivní a užitečný nástroj. Jedná se o „grafické“ rozhraní pro několik akcí prováděných programem wuaucltl.exe, který je instalován spolu s klientem WSUS na každém počítači. To znamená, že nástroj budete muset nainstalovat na každý klientský počítač a spustit ho odtud. Pokud máte systém pro vzdálenou správu, nemusíte chodit ke každému počítači fyzicky.
Nástroj nabízí tyto funkce: Zjistit nyní, Klonovat opravu a Ohlásit nyní. Zjistit nyní spustí standardní postup zjišťování služby WSUS a získá informace o službách viditelných ze serveru. Klonovat opravu se pokusí opravit klienta. Před spuštěním detekce dojde k odstranění klíče registru, restartování služby wuauserv a resetování její autorizace. Funkce Ohlásit nyní spustí okamžitou zprávu o klientovi, takže nemusíte hledat informace v protokolech.
Tento nástroj toho moc neumí, ale to, co dělá, dělá dobře. Rozhodně je lepší než ruční správa. A protože je zdarma, můžete ho snadno vyzkoušet. Tento nástroj je skvělým příkladem toho, že užitečné nástroje nemusí být složité.
6. Offline nástroj WSUS
Offline nástroj WSUS od Anoop C. Nair řeší problém, který jsme doposud nezmínili – aktualizace počítačů bez přístupu k internetu. WSUS zvládá tyto počítače pomocí offline aktualizací WSUS. Avšak nejsou ideální, protože se instalují pouze aktualizace se stavem „kritický“ a „bezpečnostně relevantní“. To může způsobit, že offline počítače nebudou synchronizované s online počítači a budou jim chybět důležité aktualizace. Tento nástroj naproti tomu používá agenta Windows Update Agent (WUA) k určení, které aktualizace se mají instalovat. To obvykle zahrnuje většinu „důležitých“ a „volitelných“ aktualizací.
Stejně jako většina nástrojů v tomto seznamu, ani tento není dokonalý. Například počítače aktualizované pomocí WSUS Offline Update nemusí být zcela identické s online aktualizacemi od Microsoftu. Některé drobné aktualizace mohou chybět. Nicméně rozsah aktualizací obvykle odpovídá požadavkům nástroje Baseline Security Analyzer společnosti Microsoft. Vývojář nástroje doporučuje jej používat pouze v neprodukčních prostředích. Zda ho použijete i v produkčním prostředí, záleží na vás.
7. BatchPatch
Posledním nástrojem na našem seznamu je BatchPatch. Tento nástroj je mnohem víc než jen doplněk pro WSUS. BatchPatch může pracovat s WSUS a využívat je pro stahování a ukládání aktualizací, ale také je to autonomní nástroj pro správu aktualizací. Seznam funkcí tohoto nástroje je příliš dlouhý, než abychom je zde vyjmenovali. Podívejme se alespoň na ty hlavní.
BatchPatch umí zahájit stahování a instalaci aktualizací Windows na mnoha vzdálených počítačích současně. Tyto počítače mohou být samostatné, v pracovní skupině nebo v doméně. Software vám umožňuje rozhodnout se, zda chcete nainstalovat všechny dostupné aktualizace, nebo jen vybrané aktualizace podle názvu nebo kategorie, jako jsou „Kritické aktualizace“ nebo „Servisní balíčky“.
Systém není omezen pouze na správu oprav. Je to také kompletní systém pro nasazení softwaru, který umí nainstalovat téměř jakýkoli software třetích stran na vzdálené počítače. BatchPatch také nabízí skriptovací jazyk, který umožňuje sekvencovat aktualizace a lépe spravovat softwarové závislosti. Celkově je BatchPatch vynikající nástroj, který lze použít samostatně nebo jako doplněk k WSUS. Cena produktu začíná na 399 USD a je k dispozici i bezplatná zkušební verze.
2523