Triển khai Windows 7 – Phần 28: Quản lý các nâng cấp phần mềm

Quản trị mạng – Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về cách quản lý các nâng cấp phần mềm trong quá trình triển khai.

Mẹo: Các bạn có thể tham khảo thêm thông tin về tự động hóa quá trình LTI trong Windows 7 Resource Kit của Microsoft.

Khi triển khai Windows vào các máy tính mục tiêu, ai cũng muốn các máy tính đó sẽ được vá đầy đủ sau khi triển khai để có được an toàn ngay từ đầu. Tuy nhiên đây là một vấn đề khó khăn vì các nâng cấp bảo mật và một số nâng cấp khác được Microsoft phát hành thường xuyên cho các sản phẩm của họ. May mắn ở chỗ là bạn có thể sử dụng Windows Server Update Services (WSUS) để quản lý sự phân phối của các nâng cấp phần mềm như vậy trong quá trình triển khai LTI cũng như sau đó. Trong phần này chúng tôi sẽ giới thiệu cho các bạn cách cài đặt và cấu hình WSUS và cách hợp nhất WSUS vào cơ sở hạ tầng triển khai MDT 2010 của bạn.

Sử dụng WSUS trong môi trường xây dựng và sản xuất

Bạn nên sử dụng WSUS trong cả hai môi trường triển khai MDT của mình: xây dựng và sản xuất. Môi trường xây dựng của bạn là một phòng lab biệt lập, nơi bạn sẽ triển khai và capture các image của các máy tính tham chiếu và sau đó tiến hành triển khai thử các image đã được capture vào các kiểu máy tính khác nhau trong môi trường sản xuất. Sử dụng WSUS trong môi trường xây dựng cho phép các image tham chiếu của bạn được cập nhật kịp thời các bản vá tại thời điểm tạo image. Nếu bạn không vá các image tham chiếu giống như vậy, các triển khai sản phẩm của bạn sẽ mất rất nhiều thời gian vì trong quá trình triển khai bạn sẽ phải cần đến tất cả các nâng cấp có sẵn này.

Việc thử và giữ cho các image tham chiếu của bạn luôn cập nhật đầy đủ và kịp thời các bản vá sau khi được capture là một việc mất rất nhiều thời gian và có thể nói là vụn vặt. Bạn có thể sử dụng DISM cho mục đích này, tuy nhiên nó vẫn cần bạn phải bỏ thời gian và nỗ lực để thực hiện (xem trong phần 2 của loạt bài này để biết cách sử dụng DISM). Kết quả là, bạn chắc chắn sẽ muốn sử dụng WSUS trong môi trường sản xuất để các bản vá đó được áp dụng cho các máy tính mục tiêu khi chúng được triển khai bằng MDT. Theo cách đó, bất cứ bản vá gì không hiện diện trong image sẽ được áp dụng trong suốt quá trình triển khai để khi triển khai kết thúc, các máy tính sẽ được vá đầy đủ và an toàn. Một phương pháp khác bạn có thể thực hiện là sử dụng MDT để tạo lại tất cả các image tham chiếu mỗi khi có nâng cấp phần mềm mới được phát hành bởi Microsoft. Nếu bạn chỉ có một vài image tham chiếu thì đây có thể được cho là phương pháp tốt nhất nên thực hiện. Trong trường hợp đó bạn chỉ cần sử dụng WSUS trong môi trường xây dựng, không cần sử dụng trong môi trường sản xuất. Tuy nhiên dù có sử dụng cách nào đi chăng nữa thì các bạn cũng vẫn cần phải thực hiện các bước cài đặt và cấu hình WSUS và cấu hình MDT để sử dụng WSUS cho cả hai môi trường triển khai dưới đây.

Cài đặt WSUS

Trên nền tảng Windows Server 2008 R2, WSUS có sẵn dưới một server role có thể cài đặt. Với các nền tảng Windows Server trước đó, bạn phải download WSUS từ Microsoft Download Center. Trong hướng dẫn này, chúng ta sẽ thực hiện cài đặt WSUS role trên một máy chủ thành viên mang tên SEA-MDT-01 trong miền CONTOSO, đây cũng là máy chủ mà chúng đã sử dụng dưới danh nghĩa MDT 2010 server xuyên suốt loạt bài này. Trước khi cài đặt WSUS, bạn cần cài đặt cơ sở dữ liệu cho dịch vụ. Có thể là Microsoft SQL Server 2008 Express, Standard hoặc Enterprise Edition của SQL Server 2005 SP2 hoặc SQL Server 2008. Nếu không có cơ sở dữ liệu SQL Server hoặc SQL Server Express, WSUS sẽ tự động cài đặt Windows Internal Database mức tối thiểu để sử dụng. Do chúng ta sẽ cài đặt WSUS role trên MDT server SEA-MDT-01 của mình, máy chủ đã cài đặt SQL Server 2008 Express SP1 để hosting cơ sở dữ liệu MDT, và cũng sẽ sử dụng cơ sở dữ liệu đang tồn tại trong cài đặt WSUS của mình. Xem phần 15 trong loạt bài này để có thêm thông tin chi tiết về cách chúng ta đã cài đặt SQL Server Express trên MDT server của mình như thế nào.

Bắt đầu bằng cách khởi chạy Add Roles wizard từ cửa sổ chương trình oobe.exe hoặc Server Manager, sau đó chọn WSUS role ở phía dưới trong danh sách các role có sẵn (quá trình thực hiện cũng tự động cài đặt Web Server role trên máy chủ của bạn):

Hình 1: Bước 1 trong quá trình cài đặt WSUS server role

Bắt đầu WSUS Setup wizard bằng cách chọn location nơi chứa các nâng cấp được download trên máy chủ (trong hướng dẫn này chúng ta sẽ sử dụng phần vùng U để lưu trữ các nâng cấp này):

Hình 2: Bước 2 trong quá trình cài đặt WSUS server role

Chọn instance cơ sở dữ liệu SQL Server Express đã được cài đặt trên máy chủ:

Hình 3: Bước 3 trong quá trình cài đặt WSUS server role

Cửa sổ tiếp theo sẽ hiển thị rằng WSUS Setup wizard đã kết nối thành công với SQL server instance SQLEXPRESS:

Hình 4: Bước 4 trong quá trình cài đặt WSUS server role

Chúng ta sẽ sử dụng Default Web Site cho WSUS role:

Hình 5: Bước 5 trong quá trình cài đặt WSUS server role

Kích Next trên trang xác nhận để kết thúc việc cài đặt WSUS:

Hình 6: Bước 6 trong quá trình cài đặt WSUS server role

Cấu hình WSUS

Khi WSUS kết thúc việc cài đặt trên máy chủ của bạn, WSUS Configuration wizard sẽ tự động khởi chạy:

Hình 7: Bước 7 trong quá trình cài đặt WSUS server role

Kích Next và gia nhập Microsoft Update Improvement Program nếu muốn:

Hình 8: Bước 1 trong quá trình cấu hình WSUS server role

Cấu hình mặc định là cho WSUS có thể download các nâng cấp từ Microsoft Update (MU) website:

Hình 9: Bước 9 trong quá trình cấu hình WSUS server role

Các công ty lớn có thể thiết lập một kiến trúc các máy chủ WSUS để các máy chủ tại các văn phòng chi nhánh sẽ thu được các nâng cấp của chúng từ máy chủ tại trụ sở, máy chủ thu được các nâng cấp từ MU.

Tiếp theo, chỉ định proxy server nếu có:

Hình 10: Bước 3 trong quá trình cấu hình WSUS server role

Kích nút proxy server để kết nối WSUS server của bạn với máy chủ “thượng nguồn”, trong trường hợp này sẽ là MU website:

Hình 11: Bước 4 trong quá trình cấu hình WSUS server role

Chọn ngôn ngữ cho các nâng cấp mà bạn sẽ download:

Hình 12: Bước 5 trong quá trình cấu hình WSUS server role

Chỉ chọn các sản phẩm của Microsoft cho những thứ mà bạn muốn sử dụng các nâng cấp trong suốt quá trình cài đặt. Trong hướng dẫn này, chúng tôi chỉ download các nâng cấp cho Windows 7:

Hình 13: Bước 6 trong quá trình cấu hình WSUS server role

Mặc định tất cả các nâng cấp quan trọng và bảo mật sẽ được download, cộng thêm vào đó là các nâng cấp định nghĩa sử dụng cho bản thân WSUS:

Hình 14: Bước 7 trong quá trình cấu hình WSUS server role

Nếu muốn bạn có thể download các kiểu nâng cấp khác để cài đặt trong quá trình triển khai. Một lựa chọn tốt ở đây sẽ là hai mục cuối trong danh sách ở trên, Update Rollups và Updates.

Cửa sổ tiếp theo sẽ chỉ thị rằng cấu hình mặc định cho phép bạn đồng bộ WSUS một cách thủ công nếu muốn:

Hình 15: Bước 8 trong quá trình cấu hình WSUS server role

Nếu muốn, bạn có thể thay đổi tùy chọn trong cửa sổ trước để WSUS có thể đồng bộ theo lịch biểu, cho ví dụ như vào lúc 2 giờ sáng hàng ngày.

Cửa sổ tiếp theo được cấu hình mặc định để thực hiện đồng bộ hóa ngay lập tức, tuy nhiên chúng ta sẽ hủy chọn hộp kiểm để có thể thực hiện cấu hình xa hơn:

Hình 16: Bước 9 trong quá trình cấu hình WSUS server role

Khi wizard kết thúc, mở giao diện quản trị WSUS từ Administrative Tools và chọn Options:

Hình 17: Bước 10 trong quá trình cấu hình WSUS server role

Kích liên kết Automatic Approvals phía bên trái của cửa sổ ở trên để mở hộp thoại Automatic Approvals:

Hình 18: Bước 11 trong quá trình cấu hình WSUS server role

Kích nút Edit để chỉnh sửa Default Automatic Approval Rule:

Hình 19: Bước 12 trong quá trình cấu hình WSUS server role

Kích siêu liên kết đầu tiên trong hộp Step 2. Khi đó bạn sẽ thấy xuất hiện một hộp thoại mới, hộp thoại này cho phép bạn có thể chọn các nâng cấp nào được cho phép tự động để bạn không phải tự mình cho phép chúng. Automatic Approval sẽ là một lựa chọn tốt nhất cho các tổ chức không có đủ nhân viên CNTT để có thể thẩm định và test các nâng cấp được phát hành với ma trận tất cả các ứng dụng đã được cài đặt (trong thực tế điều này xảy ra với hầu hết các tổ chức). Mặc định, chỉ các nâng cấp quan trọng và nâng cấp bảo mật được cho phép tự động:

Hình 20: Bước 13 trong quá trình cấu hình WSUS server role

Nếu bạn đã cấu hình WSUS trước để download Update Rollups và Updates, chắc chắn bạn cũng sẽ muốn chọn hai hộp kiểm cuối cùng trong hộp thoại ở trên. Kích OK để trở về hộp thoại Automatic Approvals, và chọn hộp kiểm được chỉ thị để kích hoạt rule tự động cho phép các kiểu nâng cấp mà bạn đã chỉ định:

Hình 21: Bước 14 trong quá trình cấu hình WSUS server role

Kích OK để kết thúc việc cấu hình WSUS.

Đồng bộ WSUS

Trong bước tiếp theo để đồng bộ WSUS server của mình với máy chủ thượng nguồn (upstream), trong trường hợp này là MU website. Trong giao diện quản lý WSUS, kích phải vào nút Synchronization và chọn Synchronize Now:

Hình 22: Đồng bộ WSUS

Khi quá trình đồng bộ hoàn tất, bạn sẽ thấy kết quả trong panel chi tiết của giao diện điều khiển:

Hình 23: Kết quả đồng bộ WSUS

Lưu ý rằng "Succeeded" không có nghĩa tất cả các nâng cấp đều được download. Do WSUS sử dụng BITS để download các nâng cấp trong chế độ background nên quá trình này có thể diễn ra khá lâu. Để kiểm tra tiến trình download các nâng cấp, chọn nút All Updates bên dưới Updates. Bất cứ nâng cấp nào có biểu tượng trong cột đầu tiên giống như hai mục bên dưới trong hình bên dưới là vẫn đang được download từ MU và chưa sẵn sàng cho triển khai:

Hình 24: Các nâng cấp được download và được cho phép

Bằng cách chọn nút Updates, bạn có thể nhận được một bức tranh về các hạng mục các nâng cấp khác nhau:

Hình 25: Tổng quan về các nâng cấp

Bạn có thể xem các thông tin bổ sung từ nút Reports nếu muốn:

Hình 26: Tạo báo cáo

Tại điểm này, WSUS đã được cấu hình và các nâng cấp cho Windows 7 đã được download.

Cấu hình MDT để sử dụng WSUS

Giờ đây chúng ta cần cấu hình MDT để các máy tính mục tiêu của mình có thể kéo về các nâng cấp từ WSUS trong quá trình triển khai LTI. Mở Deployment Workbench và chọn chuỗi nhiệm vụ cho triển khai xây dựng hoặc sản xuất, phụ thuộc vào môi trường nào bạn đang làm việc. Mở thuộc tính của chuỗi nhiệm vụ và chọn tab Task Sequence. Chọn nhiệm vụ Windows Update (Pre-Application Installation) bên trong nhóm nhiệm vụ State Restore, trên tab Options cho nhiệm vụ này, xóa hộp kiểm được chỉ thị bên dưới để kích hoạt việc sử dụng WU (hoặc WSUS trong trường hợp này) để vá máy tính mục tiêu trong quá trình triển khai:

Hình 27: Cấu hình chuỗi nhiệm vụ để sử dụng WSUS

Áp dụng thay đổi, sau đó thực hiện tương tự với nhiệm vụ Windows Update (Post-Application Installation), sau đó đóng thuộc tính chuỗi nhiệm vụ.

Mở file CustomSettings.ini cho deployment share của bạn và thêm dòng dưới đây vào phần [Default]:

WSUSServer=http://SEA-MDT-01

Lệnh này sẽ chỉ thị cho các máy tính mục tiêu máy chủ để kéo về các nâng cấp trong quá trình triển khai:

Hình 28: Cấu hình CustomSettings.ini để các máy tính mục tiêu sẽ sử dụng WSUS trong quá trình cài đặt

Kích OK để áp dụng các thay đổi và tất cả mọi thứ đến đây gần như là xong. Lúc này bạn hãy sử dụng MDT để triển khai Windows 7 vào một máy tính mục tiêu, sau khi triển khai kết thúc, mở Programs and Features từ Control Panel, kích liên kết View Installed Updates phía bên trái, bạn sẽ thấy một bó các file nâng cấp đã được cài đặt trên máy tính trong quá trình triển khai:

Hình 29: Các nâng cấp được cài đặt trên máy tính mục tiêu trong quá trình triển khai LTI