Назад | Перейти на главную страницу

Недорогая альтернатива WSUS?

В настоящее время мы используем WSUS, и это замечательно для наших рабочих станций и отслеживания обновлений, необходимых для наших серверов.

Я бы скорее не стал автоматически устанавливать патчи WSUS на наши серверы в короткие часы, но я хотел бы иметь возможность нажимать кнопку «обновить эти серверы сейчас», но без времени, необходимого для входа на каждый сервер, запуска IE, переход в Центр обновления Windows и т. д.

Есть ли какие-нибудь предложения относительно недорогих способов достижения этой цели?

Я знаю о Shavlik, но на паре десятков серверов это не самый дешевый вариант.

Если это актуально, то почти все серверы - это виртуальные машины на vSphere.

Большое спасибо.

Что ж, я могу представить один способ, но простота его выполнения зависит от какая версия Windows Server, который вы используете, или, более конкретно, будете ли вы делать это с PowerShell или без него.

Если вы понимаете WSUS, и я надеюсь, что другие понимают это лучше меня, вы знаете, что все, что он делает, - это прокси, а если он настроен для загрузки обновлений с вашего сервера WSUS, то также и кеш. Затем он периодически связывается с клиентами, чтобы проверить, какие обновления установлены, а какие - нет, записывая эту информацию в центральную базу данных, которая создает красивые отчеты. Если вы разделите его на эти компоненты, вы увидите, что есть надежда создать бесплатную альтернативу для себя, но вам нужно будет поставить все правильные части на свои места, если часть кеширования не является необходимостью для вас и вас. позволит клиентам напрямую общаться с Microsoft.

  • Настройте все клиенты на автоматическое получение обновлений с помощью групповой политики по своему вкусу; Я предполагаю, что он у вас есть, если вы использовали WSUS (поскольку они оба являются инструментами «большого мальчика», если использовать мой собственный термин).
  • Используйте VBScript или PowerShell (очевидно, что последний проще, отсюда и мой первоначальный комментарий), чтобы напрямую вызвать API обновления, или используйте Powershell, или используйте либо, чтобы обернуть вокруг себя бесплатную утилиту, например WUInstall чтобы сделать это за вас (я бы проверил лицензирование для этой опции, так как есть Платная версия Pro также). Что касается первых двух, люди раньше просили на SF.com осмотреться. Кто-то спросил о это до, и я сомневаюсь, что это в первый или последний раз.
  • Сервер для размещения базы данных со статусом всех ваших клиентов. На самом деле это может быть что угодно, но MySQL или PostgreSQL будет дешевле; вы можете просто использовать ODBC с VBS или PowerShell, в зависимости от того, сколько головной боли вы хотите. Если у вас запущен экземпляр SQL Server, я полагаю, вы могли бы поговорить об этом. Все, что вам нужно, это что-то простое для выполнения операций CRUD. Сотрудник сделал нечто подобное, хотя и более простое, для записи входа в систему для различных подмножеств компьютеров на нашем сайте и обновления базы данных MySQL, которую он запрашивает с помощью phpMyAdmin. Это предполагает, что вам не нужен красивый интерфейс, и вам понадобится отчетность для вас и вашей команды, а не для какого-то менеджера.
  • Сценарий клиентов для связи с сервером и обновления базы данных с их установленными обновлениями и ошибками и т. Д. Опять же, вы можете использовать пару инструментов с открытым исходным кодом и изменить организацию базы данных, чтобы получить такое же влияние, я полагаю.

Теперь я уверен, что будут ограничения.

  • Похоже, вы можете написать сценарий API Центра обновления Windows для принудительного использования только критических обновлений. Однако искомый мелкозернистый элемент управления, вероятно, будет утерян, если вы не потратите больше времени на изучение API обновлений (так как WSUS в любом случае полагается именно на него), или поиск лучших бесплатных инструментов, или даже написание своего собственного. Если вы можете это понять, вы, вероятно, можете занести в черный список установку определенных идентификаторов KB, которые вы хотите пропустить. Опять же, все остальные должны это делать.
  • Сексуально выглядящие отчеты, как я уже упоминал ранее.
  • Многие другие я забываю.

Некоторые преимущества:

  • Лучшая производительность (я лично считаю, что, несмотря на все прелести, WSUS требует много накладных расходов для очень простой операции).
  • Лучшее ведение журнала ошибок клиента (я пришел из магазина WSUS 3.0, и я думаю, что это раздражает, я часто получаю ошибки из обновления, которое говорит мне проверять средство просмотра событий на клиенте, что часто случалось со мной). Тогда за что мы платим? Я чувствую, что специально разработанное решение дает вам возможность добиться большего в этой области.
  • Больше гибкости в том, как обрабатывать один и тот же компьютер с другим изображением или наоборот. Мы работаем в среде с большим количеством компьютеров и часто меняем образы; некоторые идиоты используют плохо сконструированные изображения. В результате могут возникнуть проблемы с SID, по словам Марка Руссиновича, несмотря на то, что Microsoft уверяет нас в обратном во всем, что они создают, кроме WSUS.. У меня сложилось впечатление, что из-за ограниченного опыта WSUS у вас будет много уникальных записей для одного и того же компьютера после повторного создания образа (вместо того, чтобы делать что-то классное и обнаруживать одно и то же имя хоста с другим SID или что-то в этом роде), или у вас будет большой беспорядок, когда технические специалисты не обрабатывают изображения должным образом (недавно это случилось в большом отделе со своими собственными технологиями).
  • Кучу других я забываю.

Короче говоря, как видите, я тоже об этом подумал. Имея немного ноу-хау, вы могли бы сделать что-нибудь крутое самостоятельно. Я понимаю, что это сложная задача, но я думаю, что это был бы самый дешевый маршрут, который только можно себе представить.

Вы можете настроить свою групповую политику так, чтобы одобренные вами обновления загружались на ваши серверы, и вам просто нужно было войти в систему и установить ожидающие обновления.

Вам по-прежнему необходимо входить в систему на каждом сервере, но вам не нужно проводить болтовню с Центром обновления Windows, и вы сохраняете централизованный контроль над тем, какие обновления устанавливать, и отчеты о том, какие обновления ожидают.