Как распространить программу при помощи WSUS и Local Update Publisher

Как распространить программу при помощи WSUS и Local Update Publisher

Всем привет сегодня расскажу как распространить программу при помощи WSUS и Local Update Publisher. Для разворачивания программ в среде Windows обычно используются logon-скрипты, групповые политики или SCCM. Для разворачивания обновлений Microsoft — дополнительно ещё и WSUS. На самом деле WSUS можно использовать и для разворачивания любых приложений, и для сторонних не-microsoft обновлений. Для этого он имеет API, но штатно им пользоваться может только SCUP, который требует для использования лицензию SCCM. Но можно воспользоваться и сторонним средством — Local Update Publisher. О нём и пойдёт речь далее.

Local Update Publisher (LUP) — это распространяемая as is программа, позволяющая системному администратору самому сделать локальную публикацию на своём сервере WSUS. Внешне LUP напоминает консоль управления WSUS и дублирует её функционал по той причине, что консоль WSUS не будет показывать не-microsoft обновления.
Для начала необходимо со страницы загрузки скачать дистрибутив Local Update Publisher.msi. Его необходимо установить на машине, на которой установлен WSUS SP2+ или хотя бы его консоль управления. После установки, надо запустить LUP от имени пользователя, входящего в группу Администраторы WSUS. При первом подключении появится диалог выбора сервера:
Как распространить программу при помощи WSUS и Local Update Publisher-01
Как распространить программу при помощи WSUS и Local Update Publisher-01

Вводим имя и хостнейм, подключаемся по SSL, если у нас SSL настроен для WSUS'а, иначе без него. В первую очередь необходимо создать самоподписанный сертификат в меню Инструменты -> Информация о сертификате.

Как распространить программу при помощи WSUS и Local Update Publisher-02
Как распространить программу при помощи WSUS и Local Update Publisher-02

Тут, к сожалению, есть особенность, что данный сертификат нельзя потом заменить. Сертификат будет использоваться для подписывания всех опубликованных обновлений, а потому его необходимо распространить на все компьютеры, включая сам сервер WSUS. Для этого надо его экспортировать через Инструменты -> Информация о сертификате -> Экспорт.

Как распространить программу при помощи WSUS и Local Update Publisher-03
Как распространить программу при помощи WSUS и Local Update Publisher-03

Экспортированный сертификат можно распространить на все компьютеры групповыми политиками. Сертификат должен быть включен в два хранилища — Доверенные корневые центры сертификации и Доверенные издатели.

Как распространить программу при помощи WSUS и Local Update Publisher-04
Как распространить программу при помощи WSUS и Local Update Publisher-04

Также, необходимо в групповой политике, указывающей клиентам на WSUS-сервер, выставить в Конфигурация компьютера -> Политики -> Административные шаблоны -> Центр обновлений Windows параметр Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети в Включено.

Когда сертификат распространился, приступим непосредственно к созданию пакета обновления. Для примера будем распространять сам LUP. Выбираем в меню Инструменты -> Создать обновление. В появившемся окне нажимаем на обзор и выбираем Local Update Publisher.msi.

Как распространить программу при помощи WSUS и Local Update Publisher-05
Как распространить программу при помощи WSUS и Local Update Publisher-05

На следующем шаге выбираем тип обновления — Application, пишем название пакета и описание. Обязательно записываем вендора и название продукта, новые версии продукта будут складываться туда же. Остальное опционально. Тут же можно задать зависимости от других пакетов (нам это не нужно в данном случае) и какие пакеты это обновление заменяет (понадобится при разворачивании новой версии).

Как распространить программу при помощи WSUS и Local Update Publisher-06
Как распространить программу при помощи WSUS и Local Update Publisher-06

На следующем шаге надо задать правила, по которым будет понятно, что пакет уже установился и больше его ставить не надо. Для MSI-пакетов LUP всегда создаёт правило, основанное на версии установленного MSI-пакета. В данном случае этого достаточно.

Как распространить программу при помощи WSUS и Local Update Publisher-07
Как распространить программу при помощи WSUS и Local Update Publisher-07

На этом шаге необходимо задать правила, по которым будет понятно, необходим ли данный неустановленный пакет, можно ли его вообще установить на данной системе. Для MSI-пакетов LUP всегда создаёт правило с отрицанием, основанное на версии установленного MSI-пакета. Т.е. установить можно, если не было уже установлено. Нам этого достаточно.

Как распространить программу при помощи WSUS и Local Update Publisher-08
Как распространить программу при помощи WSUS и Local Update Publisher-08

На следующих шагах позволяется вручную отредактировать различные xml-файлы, но это не требуется и можно жать «далее» до самого конца и получения окошка с сообщением, что пакет удалось создать. В дереве пакетов должен появиться вендор и продукт, заданные в пакете. Если нажать на продукт, то будет видно созданный пакет. Т.к. созданные пакеты не отображаются в обычной консоли управления WSUS, то их нужно одобрить в LUP. Для этого надо жмакнуть правой кнопкой на пакете и выбрать «Одобрить».

Как распространить программу при помощи WSUS и Local Update Publisher-09
Как распространить программу при помощи WSUS и Local Update Publisher-09

В появившемся окне видны группы компьютеров WSUS. Одобрим пакет для опциональной установки для тестовой группы компьютеров.

Как распространить программу при помощи WSUS и Local Update Publisher-10
Как распространить программу при помощи WSUS и Local Update Publisher-10

Если всё сделано правильно, то в течении минуты на клиентском компьютере можно поискать обновления. Если пакет ещё не был установлен, то он появится в рекомендуемых обновлениях. Кстати, при определённых настройках, устанавливаются обновления, не требуя от пользователя повышенных привилегий.

Как распространить программу при помощи WSUS и Local Update Publisher-11
Как распространить программу при помощи WSUS и Local Update Publisher-11

Если клиентский компьютер был только что перемещен в эту группу, то он может долго кешировать принадлежность к группам и не находить обновлений. Форсировать можно при помощи команды wuauclt /resetauthorization /detectnow на клиенте.

С некоторым запозданием, как и с обычными обновлениями, клиенты сообщают статус установки пакетов в WSUS и их можно посмотреть на вкладке «Статус».

Вот и всё. Теперь в вашем распоряжении мощный инструмент, который часто уместнее разворачивания программ традиционными способами вроде групповых политик. Кстати, не только разворачивания, но и удаления 😉

Вот так вот просто распространить программу при помощи WSUS и Local Update Publisher.

Материал сайта pyatilistnik.org

Оцените статью
Настройка серверов windows и linux
Добавить комментарий

  1. Сергей

    Иван, а ЕХЕ файл им можно раздать по сети вообще? Пытаюсь установить через него Firefox ESR EXE-шник, сделал все по вашим правилам, получаю ошибку в Статусе — not applicable. Это при том что adobe flash player MSI он раздает на ура.

  2. Иван Семин автор

    Теоретически должен, но лучше посмотреть ключи для тихой установки и написать небольшой сценарий, помещенный через групповую политику на пользователя или компьютер.

  3. Сергей

    здравствуйте, ИВан. У LUP закончился сертификат, как его обновить?