Windows Update ja server CORE

Windows Server Core on paljuski kasulik valik – väiksem installatsiooni jälg, vähem komponente, vähem auke, vähem paikasid, vähem muret.

Aga – kui midagi ei toimi just päris nii nagu tahaks, siis on natuke keerukam. Windows GUI peal on võimalik rohkem vähem mugavalt kasutada Control Paneli appi Windows Updates. Corel seda pole.

Alljärgnevalt vaatame, kuidas opereerida Updatedega Core keskkonnas.

 

A – Mul on täiesti iseseisev CORE

( pole domeeni, WSUS’i ega midagi).

Põhimõtteliselt on siin 2 varianti – täiesti automaatne paikamine või korra (või kaks) kuus käsitsi.

Automaatsekscscript scregedit.wsf /AU 4

Sellega häälestatakse server ise kõiki patche MIcrosofti serverites alla tõmbama ja installima ja buutima.

Tagasi manuaalseks cscript scregedit.wsf /AU 1

Natuke paindlikum ( kuid kindlasti ajamahukam) on sconfig abil ise patche scannida, alla laadida ja installida.

Loomulikult ei keela keegi ka mingit iseseisvat scripti ehitada mis patche kuskilt kohalikust failisüsteemist installeerib.

B – Mul on domeeni kuuluv CORE

Võid kasutada kõike eelnevat, kuid mugavam on Group Policyga paika panna millisel serveril kuidas ja millal. Vaikimisi on Update source serveriks jätkuvalt MS serverid. Koheseks patchimiseks ikka ja jälle sconfig.

C – Mul on domeen ja oma WSUS/SCCM

Esimesel juhul tuleks ise GP’ga määrata lisaks käitumisele ka WSUS serveri nimi. SCCM’i korral teeb kogu musta maagia SCCM’i klient ja GPOga midagi üle käia on ebavajalik võib-olla ilmselt isegi ebasoovitav.

Kui Sinu WSUS/SCCM töötab perfektselt siis peaks elu olema “lill”. Mõnikord aga juhtub, et seal või kuskil mujal on väiksed bugid. Siis on vaja uudrida, mis ja kus katki on.

Kui sconfig väidab, et siin ei ole ühtegi pachi installida, kuid me teame ( või keegi teeb pentesti ja ütleb meile, et ikka  on küll) võime eeldada, et midagi on katki meie WSUS/SCCM serveri või ühendusega sinna.

Kuidas teha patch scanni MS serverite vastu (eeldusel, et võrgu tasemel on sinna juurdepääs olemas) ?

  1. Regedit (jah, see on core peal olemas!), otsi üles [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU] UseWUServer ja muuda väärtus 0’ks. Sulge regedit.

  2. taaskäivita Windows Update service ( net stop “windows update” ja seejärel  net start “windows update”)

  3. sconfig ja kontrolli updatesid

  4. pärast tagasimuutmiseks muud aregistry väärtus taas 1’ks ja teenusele restart.

SCCM poolelt on CORE’sse installeritud nii SCCM Control Panel aplett (c:\windows\ccm\smscfgrc.cpl) kui ka Software Center (C:\windows\ccm\scclient.exe). Ka nendega saad algatada kliendi poolsed tegevusi.

Keywords: Windows update, Core, Online, check