SOFTWARE UPDATE SERVICES (SUS)

Windows işletim sistemlerinin popülerliğindenmidir yoksa gerçektende sistemin

zarar görmesine neden olacak güvenlik sıkıntılarının çokluğundanmıdır tartışılır ancak gün
geçmesinki sistem yöneticileri firmalarındaki sunucuları ve istemci bilgisayarları
güncellemesin. Windows işletim sistemleri gerek ev kullanıcılarının gerekse sistem
yöneticilerinin tercih ettikleri sistemler olduğundan, bilgisayar korsanlarının yoğun
saldırılarına maruz kalmaktadır. Bu durum Windows işletim sistemelerinde bulunan
güvenlik açıklarının daha çabuk tespit edilmesine ve bu açıklardan sisteminin stabil
çalışmasını engelleyici saldırılar gerçekleşmesine sebep olmaktadır. Sistemin güvenliğini
sarsacak bu girişimler, evinde bu işi öğrenmeye çalışan genç bir meraklı olabileceği gibi
geçtiğimiz yıl ve bu yılda oldukça baş ağrıtan worm saldırılarıda olabiliyor.
Bu durumda yapılması gereken en doğru hareket firmamızda bulunan
bilgisayarlardaki işletim sistemelerinin sürekli güncel tutulmasıdır. Peki bunu nasıl
yapacağız ? Tabiki Software Update Services hakkında bilgisi olmayan arkadaşlarımız bu
soruya Windows Update sitesine gidip buradan güncellerim şeklinde cevap veriyor
olabilirler. Bu cevaba kısmen doğru demek lazım. Zira küçük ölçekli bir firmada
çalışıyorsak, firmamızda toplam 10 adet bilgisayar varsa, bu bilgisayarları tek tek
windows update web sitesinden güncelleyebiliriz. Yapmamız gereken tek şey, Başlat
menüsündeki Windows Update’i tıklamak. Bu durumda bilgisayarımız
http://windowsupdate.microsoft.com/ sitesine giderek gerekli güncellemeleri yapacaktır.
Tabi ortamımızda internete çıkamayan bilgisayarlarda olabilir. Bu da ayrı bir sorun. Buraya
kadar herşey normal. Peki, çalıştığımız firmada yüzlerce bilgisayar ve onlarca sunucumuz
varsa ne yapacağız ? Tek tek tüm bilgisayarları güncellememiz çok zor olacaktır. Bu
büyüklükteki bir bilgisayar ağında IT departmanı günlük işleri yapmakta zorlanacağını
düşünecek olursak sadece güncelleme işlemleri için ayrı bir ekip oluşturmamız
gerekecektir. İşte bu noktada yardımımıza Software Update Services (SUS) yetişiyor.
SUS, bulunduğumuz domaindeki bilgisayarların sürekli güncel kalmasını sağlayan bir
teknolojidir. SUS sayesinde sistemimizin zarar görebileceği kritik güvenlik
güncellemelerini uygulayarak sistemimizin güvenliğini arttırıp, stabil çalışmasının
devamlılığını sağlarız.

Software Update Services (SUS) için gerekenler :

Software Update Services’ı sunucu ve istemci tarafından ayrı ayrı

değerlendirmemiz gerekir.

SUS Server için gerekli yazılımlar :

- Minimum Service Pack 2 kurulu Windows 2000 Server veya Windows

2000 Advanced Server, Windows 2003 Server Family ürünleri
- Internet Infomation Server 5.0 veya üstü
- Internet Explorer 5.5 veya üstü
- Kurulum için Ntfs partition

Hardware olarak Microsoft tarafından tavsiye edilen konfigürasyon :

- Pentium III 700 MHz veya üstü bir işlemci
- 512 Mb Ram
- 6 Gb boş harddisk alanı

(Bu konfigürasyona sahip tek bir SUS Server yaklaşık olarak 15.000 istemciye
destek verebilmektedir.)

Software Update Services Windows işletim sistemleri cd lerinden çıkan bir program
olmadığınden dolayı şu an güncel sürüm olan Software Update Services 1.0 Service Pack
1’in http://www.microsoft.com ‘dan ücretsiz olarak download edilebilir. Service Pack 1
desteği ile Sus’un domain controller görevi olan bir sunucuya kurulabileceği gibi Service

1
Pack 1 yüklü Small Business Server 2000 üzerinde de çalışması sağlanmıştır. Bu özellik
SUS 1.0 versiyonunda olmayan bir özellikti.
Not : Domain Controller, kendi üzerindeki işlerle ilgilenirken, üzerine ayrıca
Software Update Service görevi yüklemek sunucuya ekstra bir yük getireceğinden başka
bir bilgisayara bu görevi vermek daha doğru olabilir. Ortamımızdaki Web Server’a veya
üzerinde IIS yüklü başka bir member server’a Software Update Services yükleyerek
Domain Controller’ı bu yükten kurtarabiliriz.

SUS client’lar için gerekenler :

Bu bölümde SUS client’a geçmeden önce Automatic Update’den bahsetmekte

fayda görüyorum. Evimizde veya işyerlerimizde kullandığımız istemci bilgisayarlarda
Windows işletim sistemimizi, Windows Update sitesinden kendimiz update edebileceğimiz
gibi sistemin bu işi yapmasını isteyebiliriz. Peki işletim sistemimi bunu nasıl yapacak ?
İşte tam bu noktada Automatic Update devreye giriyor.
Automatic Update, işletim sistemimizde gerekli güncellemeleri yaparak sistemin
daha güvenli çalışmasını sağlar. Automatic Update seçeneklerine Control Panel /
System’den erişebileceğimiz gibi, desktop üzerindeki My Computer ikonu üzerinde sağ
tıklayarak Properties’e girerekte erişebiliriz. System penceresi üzerinde Automatic
Update’e girerek gerekli değişiklikleri yapabileceğimiz bölüme ulaşmış oluruz. (Şekil
13_1)

Şekil 13_1 . Automatic Update seçenekleri.

Burada, Keep my computer up to date ile başlayan satırdaki check box’ın işaretli
olmasına dikkat etmeliyiz. Bu sayede sistem yeni çıkan güncellemeleri Windows Update
sitesinden gerçekleştirecektir. Diğer özelliklere bakacak olursak,

2
 Notify me before downloading any updates and notify me again before installing
them on my computer : Bu seçeneği seçersek, sistem yeni güncellemeleri download
etmeden önce kullanıcıya bilgi vermesini, gerekli güncelleme download edildikten sonra
kurmak için yine kullanıcıya bilgi vermesini sağlar.
Download the updates automatically and notify me when they are ready to be
installed : Bu seçenek ile, güncellemelerin kullanıcıya herhangi bir bildiri vermeden
Windows Update sitesinden otomatik olarak download edilmesini fakat kurulum için
kullanıya bir bildiri vermesini sağlar.
Automatically download the updates and install them on the schedule that I
specify : Bu seçenek ilede, güncellemelerin yine kullanıcıdan bağımsız bir şekilde
download edilmesini ve kurulum için bir takvimleme yapılmasını sağlayabiliriz. Bu
seçeneği işaretlediğimiz yerin hemen altındaki bölümde haftanın hangi gün ve saatlerinde
kurulumların gerçekleşmesini istediğimiz belirtebiliriz.
Gerekli ayarları yaptıktan sonra artık güncellemeler gerçekleşecek ve güncel bir
yapıya kavuşmuş olacağız.
Automatic Update’den biraz bahsettikten sonra gelelim SUS Server’ın olduğu
ortamlarda bunu nasıl gerçekletireceğiz yani SUS client için neler gerekli onlara bakalım.
Zira az önce bahsettiğimiz durumlar, ortamımızda SUS Server olmadığı anlarda geçerlidir.
İstemcilerin Software Update Services’dan faydalanabilmeleri için Automatic
Update’in gelişmiş bir versiyonunu kullanmaları gerekmektedir. Aşağıdaki işletim
sistemlerinde Automatic Update client desteği hazır gelmektedir,

Windows Xp Service Pack 1

Windows 2000 Service Pack 3
Windows 2003
(Windows 2000’den önceki işletim sistemlerine sahip olan istemcilerin Software
Update Services desteği yoktur)

Bu işletim sistemlerine sahip bilgisayarlar SUS Server üzerindeki güncellemeleri

kendilerine çekip kurabilme yeteneklerine sahiptirler. Bir takım sebeplerden dolayı,
service pack yüklenememesi gibi durumlarda istemci bilgisayarlara
http://www.microsoft.com adresinden çekebileceğimiz Automatic Update client programı
(WUAU22.msi) ile bu yeteneğe sahip olmasını sağlayabiliriz. Bu programı service pack
yüklenemeyen bilgisayarlarımıza Group Policy ile deploy ettikten sonra sanki service Pack
yüklüymüş gibi SUS Server’a ulaşıp gerekli güncellemeleri yapabileceklerdir.
Hem sunucu hem istemci tarafından bahsettikten sonra, öncelikle kurulumdan
daha sonrada işleyişten bahsedelim.

Software Update Services (SUS) kurulumu

Software Update Services’ın kurulumu için SUS10SP1.exe (Yaklaşık 33 Mb) isimli

dosyayı http://www.microsoft.com ‘dan ücretsiz olarak çekebilir ve SUS Server olarak
kullanmayı planladığımız sunucumuza kurabiliriz. Herşeyimiz hazır olduğuna göre
Windows 2003 sunucumuza Software Update Services’ı artık kurabiliriz. SUS10SP1.exe
isimli dosyayı çift tıkladığımızda karşımıza çıkacak Welcome ekranı ve lisans sözleşmesini
geçtikten sonra eğer varsayılan değerler ile SUS Server’ın kurulmasını istiyorsak Typical’ı,
kurulum için tüm değerleri biz belirlemek istiyorsak Custom’ı seçmeliyiz. Biz Custom’ı
seçtikten sonra görüntülenecek ekran aşağıdaki olacaktır (Şekil 13_2) :

3
 Şekil 13_2 Kurulum için lokasyon seçimi

Choose file locations penceresinde Software Update Services’in kurulum

dosyalarının lokasyonunu ve güncelleme dosyalarının nerede saklanmasına karar veririz.
SUS Server'ımız gerekli güncellemeleri Windows Update Sunucuları ile arasındaki
senkronizasyon (synchronization) ile elde edecektir. Senkronizasyon sırasında iki veri tipi
kullanılır :

- Metada veya dictionary objects diye adlandırılan nesneler, uygun paketleri ve

bu paketlerin uygulanabilirliklerini açıklar. Bu bilgiler download edilen
Aucatalog1.cab ismindeki dosyanın içerisindedir.
- Güncellemeleri içeren paketler.

Şekile dönecek olursak,

Save the updates to this local folder’ı işaretlersek SUS Serverımız ile Windows
Update Sunucuları arasında gerçekleşen senkronizasyon sonrasında download edilen
dosyaların bizim belirttiğimiz bir lokasyonda tutulmasını sağlarız.
Keep the updates on a Microsoft Windows Update server, to which I will
direct clients, seçeneğinde ise sadece Aucatalog1.cab dosyası download edilecektir ve
sistem yöneticisi olarak istemcilerimize uygulanmasına karar verdiğimiz güncelemeleri,
istemciler Windows Update Sunucuları üzerinden yapacaklardır. Biz burada ilk seçenek
olan Save the updates to this local folder’ı seçiyoruz ve varsayılan lokasyonu kabul edip
next i tıklıyoruz.
Karşımıza çıkacak olan ekran dil seçenekleri ekranıdır (Şekil 13_3) :

4
 Şekil 13_3
Software Update Services’in hangi dillerdeki güncellemeleri çekeceğini belirliyoruz.

SUS’un yönetimsel arayüzünün sadece İngilizce ve Japonca desteği olmasına

karşın destek verdiği client işletim sistemlerinde yukarıda görmüş olduğunuz tüm dillerin
desteğini vermektedir. Specific languages’i seçerek bizim belirleyeceğimiz dillerdeki
güncellemelerin downlad edilmesini sağlayacağız. Yukarıda işaretlemiş olduğumuz tüm
dillere ait güncelleme paketlerini, Sus istemcilere uygulamak üzere ayrı ayrı download
edecektir. Biz Türkçe ve İngilizce dil desteklerini seçiyoruz OK ve Next i tıklıyoruz.
Bir sonraki ekran ise Handling new versions of previously approved updates
ekranıdır. (Şekil 13_4)

5
 Şekil 13_4

Bazı durumlarda kullanıcılara uygulanmak üzere approve edilmiş (onaylanmış)

güncellemelerde çıkan sorunlar Microsoft tarafından tekrar düzenlenip sorun çıkmasına
neden olan hata giderilip tekrar Windows Update sunucularında yayınlanır. Böyle bir
durumda istemcilerimize uygulamak istediğimiz güncellemelerin approve işlemini nasıl
yapmamız gerektiğine Handling new versions of previously approved updates
penceresindeki seçenekler ile karar vereceğiz :
Buradaki seçeneklere bakacak olursak,
Automatically approve new versions of previously approved updates, seçeneği ile
bir güncellemenin yeni versiyonu çıkmışsa bu güncellemeyi otomatik olarak istemcilere
uygula anlamına gelmektedir. Bu bizim işimizi kolaylaştıracaktır ancak güncellemeleri test
etmeden uygulamak birtakım sıkıntılara yol açabilir.
I will manually approve new versions of approved updates, seçeneği ise, böyle bir
durumda yeni güncellemelerin bizim tarafımızdan onaylandıktan sonra istemcilere
uygulanmasını sağlar.
SUS kurulumundaki bir sonraki ekranda ise karşımıza Ready to Install penceresi
gelecek. (Şekil 13_5)

6
 Şekil 13_5

Burada Install’u tıklamadan önce Specifying a download URL kısmının en

altındaki URL adresini bir yere not etmemizde fayda var. http://sunucuismi, bu adres
istemcilerin SUS Server’a bağlanıp gerekli güncellemeleri çekmeleri için Group Policy’de
lazım olacak. Kurulum, Install’u tıklamanızla beraber başlayacak.
Kurulum bittikten sonra çıkacak olan son ekrandaki URL adresinide not etmekte
fayda var. Bu adres SUS Serverımızın yönetim arayüzünün adresidir. SUS ile ilgili tüm
yönetim işlerini bir web sayfası üzerinden gerçekleşmektedir. (Şekil 13_6)

Şekil 13_6

7
 Finish’i tıkladığımızda en son pencerede not ettiğimiz adres olan
http://sunucuismi/SUSAdmin sayfası açılacaktır. İşte Software Update Services ile ilgili
tüm yönetimsel işlemleri bu web arayüz üzerinden yapacağız (Şekil 13_7) :

Şekil 13_7

Kurulumu tamamladıktan sonra Event Viewer’ı kontrol etmemizde fayda var.

Bunun için Control Panel / Administrative Tools altında bulunan Event Viewer’i açıp
Application kısmında Type’ı Information olan event leri incelememiz gerekli.
Event Id : 11707 olan,
Description bölümünde :
Product: Microsoft Software Update Services - Installation completed successfully.
yazan bir event var ise kurulum başarılı bir şekilde gerçeklemiş demektir.
Eğer kurulum esnasında oluşan bir hatadan dolayı SUS yüklenemediyse ilgili
Event’i bulup, Event Id numarasını not alarak TechNet’te
(http://www.microsoft.com/technet/default.mspx) bu numara ile arama yapıp çözüm
yollarını aramalıyız.

Software Update Services’i kurduğumuza göre artık yönetimsel ekrana geçerek

hem menüleri inceleyelim hemde SUS nasıl çalışır konusunun detaylarına girelim.

SYNCHRONIZE SERVER : Bu bölümde, SUS Server ile Windows Update Sunucuları

arasındaki güncellemelerin senkronizasyonunu sağlarız. Şekil 8’e bakacak olursak, bu
bölüm iki kısımdan oluşmaktadır.

8
 Şekil 13_8

Synchronize Now’ı tıklarsak SUS Server’ımız ile Windows Update Sunucuları

arasındaki senkronizasyon işlemi anında gerçekleşecetir (Şekil 13_9) :

Şekil 13_9

Senkronizasyon işlemi esnasında gerçekleşen işlemleri incelersek Software Update

Services’in çalışma mantığınıda kavramış oluruz.

- SUS Sunucumuz ilk olarak internet üzerinden, Microsoft'un Windows Update

Sunucularına bağlanır ve en son içeriğe sahip olan güncelleme dosyalarını
(metadata) sıkıştırılmış bir paket halinde download eder.
- Download edilmiş paketin Microsoft imzalı bir dijital imzası olup olmadığının
onaylaması gereklidir. Eğer onaylama gerçekleşirse, paketin Microsoft'a ait bir
dijital imzası varsa paket açılır, eğer onaylanmazsa paket silinir. Böylece kötü
niyetli kişilerin sistemimize kritik güncelleme paketi adına virus içerikli paketler
göndermesi engellenmiş olur. Bu aşamada güvenlik sağlanmış oldu.
- Download edilen yeni metadata ile lokal kopya karşılaştırılır, yeni ve
güncellenmiş dosyalar olarak işaretlenirler. Böylece, yeni download edilmiş olan
dosyalar ile sistem yöneticisi tarafından kullanıcılar için önceden onaylanıp
uygulanan dosyalar birbirinden ayrılmış olur.
- Eğer önceden varolan bir güncelleme Windows Update Sunucularından
kaldırılmışsa senkronizasyon işlemi bu güncellemeyi Software update Services

9
 sunucumuzdan iptal edecektir. Windows Update bir güncellemeyi iptal
ettiğinde, istemci bilgisayarlar, artık sunucuya bağlanıp önceki güncellemeler
için bağlantı kurmayacaklardır.
- Eğer önceden güncellenmiş bir dosyanın güncellemesi varsa, senkronizasyon
işlemi otomatik olarak sunucu üzerinde bunu günceller. Bu güncelleme sistem
yöneticisi tarafından önceden onaylanıp (Approve) kullanıcılara uygulanan bir
güncelleme ise eğer, Şekil 4'de seçtiğimiz seçeneğe göre, güncellenemenin
yeni halini, kullanıcılara otomatik olarak uygulayacak veya biz bu işi gerekli
testlerden sonra kendimiz manuel olarak yapacağız. Tabi biz bu ayarı Set
Options menüsünden nasıl değiştirebileceğimizi ilerleyen bölümler içinde
göreceğiz.
- Eğer sunucu konfigürasyonunda güncellenen dosyaların senkronizasyonu
varsa, yeni dosyalar sunucu üzerinde önceden belirlenmiş br lokasyon
üzerinden download edilir. Bunun anlamı, ortamımızda birden fazla SUS
Sunucumuz varsa yeni güncellemeleri Windows Update Sunucularındanmı
alacaklar yoksa diğer SUS Sunucumuzdanmı alacaklar. Eğer ortamımızda 2
adet SUS sunucu varsa, bir SUS sunucumuz tüm güncellemeleri Windows
Update Sunucularından alırken, diğer SUS Sunucumuz tüm güncellemeleri
diğer SUS Sunucumuzdan alabilir. Bu bize ciddi bir network trafiği
kazandıracaktır. Bu konuyla ilgili detayları ilerleyen bölümlerimizde göreceğiz.
- Önceden eksik download edilen bir dosya varsa dosyanın yeni bir kopyası
download edilir.
- Eğer meta-data tarafından download edilemeyen bir dosya belirlenirse, ilgili
meta-data approve edilebilir güncellemeler listesinden çıkartılır. Böylece,
güncelemelerin bir sorun çıkartmasıda engellenmiş olur.
- Eğer manuel senkronizasyon başarısız olursa, bu durum synchronization log
altına loglanır. Eğer takvimleme ile gerçekleştirilmiş bir senkronizasyon
başarısız olursa, 30 dakika sonra tekrar denenir. Tekrar deneme sayısı
varsayılan olarak 3'tür. Ancak istenirse bu değer değiştirilebilir.
- Synchronization log dosyası senkronizasyon esnasında sürekli güncellenir.
Kaydedilen tüm log dosyalarına bu yönetimsel ekranda erişilebilir.

Senkronizasyon (Synchronization) işlemi bu şekilde gerçekleşirken, bu işlemi

belirli bir saatte yapabilmek için Synchronization Schedule bölümüne geçip ilgili ayarları
yapmalıyız. Böylece bizim istediğimiz saatlerde senkronizasyon işlemi gerçekleşecektir.
(Şekil 13_10)

Bu ekranda belirlediğimiz
gün ve saatlerde,
Software Update Services
Sunucumuz ile Windows
Update Sunucular
arasında senkronizasyon
gerçekleşecektir. Bu
işlemin mesai saatleri
dışındaki bir saat diliminde

10

Şekil 13_10 – Schedule Synchronize

yapılması, şirketimizin network trafiğini olumlu yönde etkileyecektir. En alttaki 3 değeri az
önceki senkronizasyon adımlarının 9.sudur. Bu rakam, SUS Sunucumuz ile Windows
Update Sunucuları arasındaki senkronizasyonun başarısız olması durumunda, SUS
Sunucumuzun kaç defa yeni bir girişimde bulunması gerektiğinin belirtildiği sekmedir.
Varsayılan değer 3 olmakla beraber, her başarısız denemenin arasında 30 dakikalık bir
süre vardır. Varsayılan 3 değeri sistem yöneticisi tarafından değiştirilebilir.
Software Update Services kurulduktan sonra, ilk akşam bu senkronizasyon
yapılmalıdır. Zira ilk kataloğu download etmesi uzun sürecektir. Daha sonra Windows
Update Sunucularına eklenen diğer güncelemeleri download etmesi çok daha kısa zaman
alacaktır.

APPROVE UPDATES :

Şu ana kadar sunucular arasında gerçekleşen olayları ele aldık. Gelelim Software
Update Services Sunucumuz ile istemcilerimiz arasında gerçekleşen işlemlere. Windows
Update Sunucularından gerekli güncellemeler yapıldı ve sıra geldi bu güncellemeleri
kullanıcılarımıza uygulamak.

Tavsiye : Kullanıcılarımıza approve etmeyi planladığımız güncellemeleri, approve edip

kullanıcılara uygulamadan önce bir test ortamında denememiz çok daha doğru olacaktır.
Böylece, sistemimizde çalışan programların, bu kritik güncelemelere karşı
çıkartabilecekleri uyumsuzlukları önceden tespit edip düzenleme şansına sahip oluruz.

Approve Updates’i tıkladığımızda karşılaşacağımız ekran Şekil 13_11’deki gibi

olacaktır.

Şekil 13_11

11
 Automatic Update client’ların, Software Update Services Sunucumuza bağlanıp
gerekli güncellemeleri çekebilmeleri için, öncelikle istemcilerimizin hangi güncelemeleri
çekebileceklerine karar vermemiz gerekmektedir. Bunun için öncelikle Available Updates
kısmına bakmamız gerekiyor. Available Updates kısmında her güncelleme için detay
bilgiler yeralmakta. Bu detaylarlar arasında, paketin büyüklüğü, download edildiği tarih,
güncelleştirmeye ait knowledge base article numarası bulunmasıyla birlikte ayrıca, her
güncelleştirmenin bulunduğu satırın sonundaki “Details” tıklanırsa güncelleştirmenin .exe
dosyası hakkında detaylı bilgilerede erişilebilir.
Sort by menüsünde ise, güncelleştirmelerin ne türde sıralanacağını belirleriz.
Bunun için, Status, Date, Title, Platform seçeneklerinden birisini seçmemiz yeterlidir. Bu
seçenek varsayılan olarak Status’tur.
Sort by menüsünün hemen altında güncelemenin durumunu görebiliriz. Bu sayede
güncelleştirmenin kullanıcılara approve edilip edilmediğini veya bu güncelleştirmenin yeni
olduğu gibi bilgilere sahip oluruz. Buna göre :

New : Bu güncelleştirmenin yakın geçmişte download edilmiş olduğunu belirtir.

Güncelleştirme henüz kullanıcılara uygulanması için approve (onay) edilmemiş ve sunucu
tarafından henüz herhangi bir istemciye uygulanmamıştır.
Approwed : Bu güncelleştirmenin, sistem yöneticisi tarafından istemcilerin
kullanımına sunulmuş olduğu anlamına gelir. Approve edilen güncelleme, istemci
bilgisayarların sorguları (query) sonucunda download edilmeye hazır durumdadır.
Not Approwed : Bu güncelleştirmenin sistem yöneticisi tarafından henüz
onaylanmadığını ve istemci bilgisayarların bu güncelleştirmeyi çekemeyecekleri anlamına
gelmektedir.
Updated : Bu güncelleştirmenin son senkronizasyonda değişikliklere uğradığını
belirtir.
Temporarily Unavailable : Bir güncelleştirmenin Temporarily Unavailable (geçici
olarak kullanılamaz) durumunda olmasının sebepleri, kurulacak güncelleme paketinin ilgili
dosyasının kullanıma müsait olmaması ve ya güncelleme sırasında arka planda çalışması
gereken işlemlerin gerçekleşememesidir.

İstemci bilgisayarlarımıza hangi güncelleştirmelerin uygulanacağına karar verip,

gerekli testleri test ortamımızda yaptıktan sonra, uygulamak istediğimiz
güncelleştirmelerin bulunduğu satırlardaki check box’ları işaretlememiz gerekmektedir. Bir
anda bir çok güncelleştirmeyi kullanıcılara approve etmek çok doğru olmayabilir. Üstelik
bu işlemleri mesai saatlerinin çok yoğun olduğu saatlerde yapmakda çok doğru
olmayabilir. Zira bazı güncelleştirmeler istemci bilgisayarlarının yeniden başlatılmasına
neden olacağından sanırım iş arkadaşlarımız bize oldukça kızacaktır. Kaybedilecek
zamanıda düşünecek olursak, güncelleştirme işlemlerinin mesai saatlerinin yoğun
olmadığı saatlerde gerçekleştirilmesi daha doğru olacaktır. Gerekli güncelleştirmeleri
işaretledikten sonra yapmamız gereken son işlem ise, ekranın alt kısmında kalan
Approve’u tıklamak. Tıkladıktan sonra karşımıza Şekil 13_12’deki gibi bir ekran gelecek.
İstemci bilgisayarlarımıza yeni güncellemeler uygulanacağını ve bu güncellemelerin
önceden uygulanmış olan güncellemelerin üzerine yazacağını, devam etmeyi isteyip
istemediğimizi soran bir pencere çıkacak karşımıza.

12
 Şekil 13_12

Approve işlemini onayladıktan sonra karşımıza bu update (güncelleştirme) ile ilgili

EULA (lisans sözleşmesi) çıkacaktır. Lisans sözleşmesinide onayladıktan sonra, approve
edilen güncelleştirmelerin kullanıcılara uygulandığı ekran gelecektir karşımıza. (Şekil
13_13).

Şekil 13_13

Şu ana kadar herşey sorunsuz görünüyor. Ancak gerçekten öylemi ? İşte tüm bu
işlemlerin kontrolü için oluşturulmuş log dosyalarını kontrol etmemiz gerekmektedir. Buna
göre, ilk olarak senkronizasyon işleminin sorunsuz bir şekilde gerçekleşip
gerçekleşmediğini kontrol edelim. Bunun için View synchronization log kısmına geçmemiz
gerekmektedir. Bu bölüm, senkronizasyon esnasında sürekli güncellenmektedir. Bu
bölümde,
- En son gerçekleşen Senkronizasyon’un saat ve tarihi.
- Eğer planlanmış (schedule synchronization) bir senkronizasyon varsa, bir
sonraki senkronizasyon’un zamanı.
- Download edilen veya en son gerçekleşen senkronizasyonda güncelleştirilen
güncelleme paketleri.
- Başarısız olan senkronizasyondaki güncelleme paketleri ve bu güncellemelerin
download işleminin neden başarısız olduğuna dair detaylara ait hata mesajları
yeralmaktadır.

13
 Bir diğer log dosyası ise Approval log dosyasıdır. Bu log dosyasınada View
Approval log’dan ulaşabiliriz. Bu log dosyasında ise tahmin edildiği üzere istemci
bilgisayarlarımıza approve ettiğimiz güncellemeler hakkında bilgiler mevcuttur. Ayrıca,
- Değişime uğrayan öğelere ait paketlerin listelerinin kayıtları.
- Değişen öğelerin listesi.
- Güncellenmiş öğelerin yeni listesi.
- Değişikliğin kimin tarafından yapıldığına dair bir kayıt, sistem yöneticisinin ismi
yada synchronization servisi hakkında bilgileri içerir.

Gelelim Software Update Services Sunucumuzun tüm ayarlarını yapacağımız kısım

olan Set Options bölümüne. Menüden Set Options’ı tıkladığımızda karşımıza gelecek olan
ekran Şekil 13_14’deki gibi olacaktır :

Şekil 13_14

Şimdi buradaki tüm seçenekleri tek tek inceleyelim.

Select a proxy server configuration: Buraya, firmamız internete eğer bir Proxy
Server veya Microsoft Internet Security and Acceleration (ISA) Server üzerinden bağlantı
kuruyorsa bu sunucumuzun IP adresini ve port numarasını yazmamız gerekmektedir. Eğer
Proxy Sunucumuza bağlantı için bir USER ID ve şifre gerekiyorsa bu bilgileride hemen alt
satıra yazmamız gerekmektedir. Ek olarak, bağlantı esnasında basic authentication
kullanılıyorsa en alttaki Allow basic authentication when connecting to proxy server
satırını işaretlememiz gerekmektedir.
Eğer böyle bir yapımız yok ise, internete çıkmak için Proxy yada ISA Server
kullanmıyorsak, Do not use a proxy server to access the Internet’i işaretli bırakmamız
gerekiyor.

Not : Eğer üzerinde Microsoft Internet Security and Acceleration (ISA) Server olan bir
Small Business Server üzerinde çalışan Software Update Services Sunucumuz varsa bu
authentication DomainName\Username formatında olmalıdır.

Specify the name your clients use to locate this update server : Automatic
Update özelliğine sahip istemcilerimiz SUS sunucumuza bağlanıp içeriği download

14
etmelidirler. Bir çok ortamda istemci bilgisayarlar Software Update Services yüklü
sunucunun ismini kullanarak (Örneğin : http://Sunucuismi ) bağlanabilirler. Bu durumda
başka bir konfigürasyona ihtiyaç yoktur.
Bazı durumlarda istemci bilgisayarlar, SUS sunucumuza bağlanırken Software
Update Services yüklü sunucunun DNS adresini (Örneğin : http://sunucuismi.domain )
kullanarak bağlanmaları gerekebilir.
Server name kısmına, SUS sunucumuzun DNS adresini yazabileceğimiz gibi, bu
alana SUS Sunucumuzun IP adresinide yazabiliriz.

Select which server to synchronize content from : Bölümün başındaki

kurulum aşamasında da kısaca bahsettiğimiz gibi, SUS sunucumuz gerekli içerikleri
Windows Update Sunucularından senkronize edebileceği gibi, bir başka SUS Sunucudan
veya elle konfigüre edilmiş bir distribution point'ten (dağıtım noktası) senkronize olabilir.

Eğer senkronizasyon Microsoft'a ait Windows Update Sunucularından olacaksa

burada Synchronize directly from the Microsoft Windows Update servers işaretlenmelidir.
Senkronizasyon bir başka SUS Sunucudan yada bir distribution point'ten olacaksa
Synchronize from a local Software Update Services server kısmını işaretlemeli ve içeriğin
download edileceği diğer SUS sunucunun veya distribution point'in NetBIOS ismini veya
DNS ismini alttaki satıra yazmalıyız.
Bu tarz bir yapıyı kullanmanın biz getireceği faydalara bakacak olursak :

- Ortamımızda bir’den fazla SUS sunucumuz olduğunu düşünürsek, tüm

sunucularımızın içeriği senkronize etmesi için internet erişimi olmasını
istemeyebiliriz.
- SUS sunucularımızın bulunduğu site’larda internet erişimi olmayabilir.
- İçeriği bir test ortamında test edebilmek, sonrasında test edilen içeriğin
kullanılmasını sağlamak isteyebiliriz.
- Bir SUS sunucumuzdaki içeriğin, bir başka SUS Sunucumuzdan download
edilmesi, içeriğin internet üzerinde bulunan Windows Update Sunucularından
download edilmesinden çok daha kısa sürede senkronize edilmesini sağlar.

Böyle bir yapının çalışma şekil 13_15’de gösterilmiştir. Bu şekile göre, SUS Server
A, proxy üzerinden internete erişim sağlamış ve içeriği Windows Update
Sunucularından senkronize etmiştir. SUS Server B ise, tüm içeriği SUS Server
A’dan almış durumdadır. Burada SUS Server A parent, SUS Server B ise child
konumundadır.

15
 Şekil 13_15

Bu şekle bakarak sunucularımızı konfigüre edecekse olursak,

SUS Server A, Set options sayfasında, Select where you want to store updates
altında Save updates to a local folder işaretlenmeli. Böylece Windows Update
Sunucularından download edilecek içeriğin SUS Sunucu üzerine kaydedilmesi sağlanır.
Ayrıca, Synhronize directly from the Microsoft Windows Update servers işaretlenerek
senkronizasyonun Windows Update Sunucuları ile gerçekleşeceğini belirtmeliyiz.
SUS Server B ise, yine Set options sayfasındaki Select where you want to store
updates altında Save updates to a local folder işaretlenmeli. Böylece içeriğin SUS Server
B’ye kaydedilmesi sağlanır. Synhronize directly from a local Software Update Services
server işaretlenip güncelleştirmelerin download edileceği diğer Software Update Services
yüklü sunucunun IP adresi veya NetBIOS ismini yazmamız gerekmektedir.

Select how you want to handle new versions of previously approved

updates: Bu bölümünde ise, varolan güncelleştirmelerin yeni versiyonları geldiğinde
izlememiz gereken yol konusunda bize yardımcı olacak seçenekler mevcut.

Automaticially approve new versions of previously approved updates seçeneği,

Windows Update Sunucularından önceden download edilen bir güncellemenin yenilenmiş
bir paketi senkronize edilirse, SUS Sunucumuz bu güncelleme paketinin istemcilere
otomatik olarak yüklenmesini sağlar.

Do not automatically approve new versions of previously approved updates. I will

manually approve these later on the Set Options page seçilirse, yeni sürüme sahip bir
güncelleme paketi download edilirse, bu paket istemcilere uygulanmadan önce sistem
yöneticisi tarafından test edillip, sistemin stabil çalışmasını engeleyici bir davranışta
bulunmadığı tespit edildikten sonra manuel olarak approve edilir.

16
 Select where you want to store updates : Burada ise, güncelleştirmelerin
nerede tutulacağına karar veriyoruz. SUS kurulumu sırasında karar verilen seçim, eğer
istenirse buradan değiştirilebilir. Hatırlayacak olursak :
SUS Server'ımız gerekli güncellemeleri, Windows Update Sunucuları ile arasındaki
senkronizasyon (synchronization) ile elde edecektir. Senkronizasyon sırasında iki tip veri
kullanılır :

- Metada veya dictionary objects diye adlandırılan nesneler, uygun paketleri

ve bu paketlerin uygulanılabilirliklerini açıklar. Bu bilgiler download edilen Aucatalog1.cab
ismindeki dosyanın içerisindedir.
- Güncellemeleri içeren paketler.

Senkronizasyon esnasında, Aucatalog1.cab dosyası sürekli olarak download edilir.

Sistem yöneticisi olarak, metadata içinde referans edilmiş olan güncel paketleri download
etmek yada etmemek konusunda seçim hakkına sahibizdir.

Maintain the updates on a Microsoft Windows Updates server seçeneğini

seçersek, güncel paket dosyaları download edilmeyecektir. Bu durumda, Automatic
Updates istemciler Software Update Services sunucumuza bağlanıp, approve edilmiş
paketlerin listesini okuyacaklar ve bu listedeki paketleri Internet üzerindeki Windows
Update Sunucularından download edeceklerdir. Bazılarımıza bu uygulama garip gelsede
bazı durumlarda bu seçeneği kullanmak zorunda kalabiliriz. Örneğin, elimizde SUS için
gerekli hardware gereksinimlerini karşılayabilecek yeterlilikte bir bilgisayara sahip
değilsek, bu durumda, bu seçeneği seçerek sadece Aucatalog1.cab dosyası senkronize
edililir. Sonrasında Sistem yöneticisinin approve etmiş olduğu dosyalar, istemci tarafından
Windows Update sunucular üzerinden download edilir.

Save the updates to a local folder seçeneğinde ise, paketler senkronizasyon

edilir ve güncelleştirmeler SUS Sunucumuzun üzerindeki bir klasöre (Default :
C:\SUS\content) kaydedilir. Bu durumda, AUtomatic Update istemciler SUS Sunucumuza
bağlanıp, approve edilmiş olan paketlerin listesini alırlar ve SUS Sunucumuzdan gerekli
paketleri download ederler.

Synchronize installation packages only for these locales altındaki dil

seçenekleri ile SUS Sunucumuzun hangi dildeki işletim sistemlerine destek vereceğini
belirleriz. Kurulumda seçilen dillere ek olarak buradan yaptığımız ek bir seçimin gerekli
desteği verebilmesi için tekrar senkronizasyon işlemi yapılması gerekecektir.

DISTRIBUTION POINTS

SUS Server, dağıtım içeriğini kontrol eden bir yapıya sahiptir. SUS Server,
güncelleştirmeleri otomatik olarak veya sistem yöneticisinin varsayılan ayarları geçersiz
kılarak güncelleştirmeleri bir content distribution point (İçerik dağitim noktası) kullanarak
gerçekleştirebilir.

Distribution point yaratmanın iki yolu vardır :

Automatic : Software Update Services yüklendiğinde, sunucu üzerinde automatic

distribution point yaratılacaktır. SUS Sunucumuz Windows Update Sunucularından
senkronize olduğunda bu içerik güncellenecektir.
Content distribution point, Internet Information Service'ın yüklü olduğu sunucu
üzerinde /Content isimli virtual root (v-root) içinde olacaktır. Eğer güncelleştirilmelerin
lokal bir klasörde tutulduğu bir ortamda değilde, güncelleştirmeleri kullanıcıların direk
Windows Update Sunucularından download ettikleri bir yapıya sahipsek, yani Select
where you want to store updates kısmında Save the updates to a local folder ı seçersek
AUCatalog.cab dosyası hariç bu automatic content distribution point boş olacaktır.

17
AUCatalog.cab dosyası, istemcilere uygulanması için approve edilen bu güncelleştirmeleri
tanımlar. Buradanda anlaşılacağı gibi, senkronizasyon esnasında download edilen
güncelleştirmeler Content klasöründe tutulmaktadır.

Manual : Ayrıca Internet Information Server 5.0 veya üst versiyonuna sahip bir
sunucuda kendimiz bir content distribution point yaratabiliriz. Manual content distribution
point olacak sunucuda Software Update Services yüklü olmasına gerek yoktur.

SUS yüklü olan sunucumuzda download edilen paketler test edildikten sonra bu
paketler istemcilere uygulanmak üzere distribution point lere iletilir.

Manual bir distribution point yaratmak için :

1. Manual distribution point yaratılacak sunucumuzda Internet Information Services'ın

(IIS) yüklü olduğunu kontrol edelim.
2. Distribution point kurulacak olan sunucumuzda, IIS'e ait dosyaların bulunduğu root
klasörde (varsayılan : C:Inetpub\wwwroot) content isminde bir klasör yaratalım.
3. SUS Sunucumuzda bulunan ApprovedItems.txt, aucatalog1.cab, aurtf1.cab dosyalarını,
distribution point olacak sunucuda açtığımız content klasörünün içine kopyalayalım.
SUS'a ait dosyaların bulunduğu klasördeki caps klasörünü (varsayılan : C:\SUS\caps)
içindeki tüm dosya ve klasörler ile distribution point olacak sunucuda açtığımız content
klasörünün içine kopyalayalım.
4. IIS üzerinde, Alias'ı content olan ve az önce yarattığımız content klasörünü gösteren
bir IIS Vroot yaratmalıyız.

Son olarak SUS Sunucularımızın bu distribution point ile senkronize olabilmesi için
SUS Sunucumuzun Set options sayfasındaki Select which server to synchronize content
from altındaki Synchronize from a local Software Update Services server işaretlenip
distribution point'in NetBIOS ismini veya DNS ismini alttaki satıra yazmalıyız.

Senkronizasyonun başka bir SUS Sunucudan veya distribution pointten yapıldığı

durumlarda, onaylanmış öğelerin listesi, içerik ile birlikte senkronize edilmesi için
Synchronize list of approved items updated from this location (replace mode) seçilmelidir.
Bu seçenekten sonra, child server parent server ile senkronizasyon esnasında
onaylanmış paketlerin listesinide senkronize edecektir. Bu işlem sonunda, parent serverda
onaylanmış paketlerin, parent server'dan kopyalanmasını ve bu listenin child server'da
kullanılması sağlanır. Böylece, parent ve child server'larda onaylanmış öğelerin listesi
eşitlenmiş olur.

Software Update Services ve Network Load Balancing :

Eğer güncelleştirmelerin yönetimi merkezi bir yerdeki bir çok sunucu üzerinden
gerçekleşen bir yapımız varsa NLB (Network Load Balancing), sunucularımız ve
istemcilerimiz arasındaki, gelen ve giden TCP/IP paket akışını dengelenmesine yardımcı
olur. Bunun için :
1. Az önce anlattıldığı şekilde manual content distribution point yaratılmalı
2. Bu content distribution point'in tüm istemcilere vereceği lokasyon desteğini
verdiğinden emin olmalıyız.
3. Tüm SUS Sunucularımızı aşağıdaki gibi konfigüre etmeliyiz :

- Tüm içerik lokal e kaydedilmeli.

- Uygun olan content distribution point'ten senkronize edilmeli.
- Onaylanmış öğelerin listesi aynı content distribution point'ten senkronize olmalı.

4. Cluster'ın parçası olan her sunucuya NLB kurulmalı ve konfigüre edilmeli.

5. İstemcilerimizi, güncelleştirmeler için, cluster'ın virtual IP adresini, DNS veya
NetBIOS ismini kullanacak şekilde konfigüre etmeliyiz.

18
 Anlattığımız bu yapıyı birlikte çalıştırmak mümkün. Böylece network trafiğini daha
dengeli bir yapıda kullanabiliriz. Örnek bir şekil üzerinden devam etmek gerekirse Şekil
13_16’yı inceleyelim.

Şekil 13_16

SUS Parent Server tarafından Windows Update Server’larından download edilen

katalog, Content distribution point ile senkronize ediliyor. Child SUS Server’ların bir kısmı,
içeriği SUS parent server’dan download ederlerken, diğer Child SUS Server’larda içeriği
Content distribution point’ten download ediyorlar. İstemcilerde tüm içeriği Child SUS
Server’lardan kendilerine download ediyorlar. Şekilde de görüldüğü gibi, oldukça büyük
yapıda bir network ortamında çalışıyorsak böyle bir topolojiye ihtiyacımız olacaktır. Zira
Pentium III 700 Mhz ve 512 Mb Ram’e sahip bir SUS Server yaklaşık 15.000.000
istemciye destek verebilmektedir.

Tüm bu detaylardan sonra Set Options’da kaldığımız yerden devam edelim. Sırada
son bölüm olan Monitor Server sayfası var.

Monitor server : SUS uygun güncelleştirmeler ile ilgili bilgileri metadata cache'de
(önbellek) tutar. Metadata cache, SUS'un güncelleştirmeleri yönetmekte kullandığı
memory'deki veritabanıdır. Metadata cache, güncellemenin uygulanabilme ve kurulumları
gibi, güncellemeler hakkındaki kategorileri ve tanımlamaları içerir. Monitor Server sayfası,
metadata cache'inin o anki içeriğinin Sistem yöneticileri tarafından görüntülenmesini
sağlar.

19
 Monitor Server sayfasındaki bilgiler kullanılarak, sistem yöneticisi networkteki her
ürünün (İşletim sistemi vb.) kaç adet güncelleştirmesi mevcut olduğunu smöyleyebilir.
Metadata cache gerçekleşen her senkronizasyondan esnasında SUS tarafından
güncellenir. Monitor Server sayfasında metadata cache'in en songüncellendiği zamanıda
görebiliriz.
SUS, metadata cache için bilgiler içeren metin dosyalarını düzenler. Bu metin
dosyaları senkronizasyon sırasında ve harddiske kaydedildikten sonra metadata cache'ine
yüklenir. Metin dosyaları her ne kadar senkronizasyon sırasında otomatik olarak metadata
cache'ine yüklensede, sistem yöneticisi cache'i elle kendisi de refresh'i tıklayarak
yenileyebilir. Şekil 13_17’ye bakacak olursak SUS Sunucumuza bulunan güncelleştirmeleri
kategori halinde görebiliriz. Kategoriler hakkında bilgi almak için, ilgili kategoriyi tıklamak
yeterli olacaktır.

Şekil 13_17

GROUP POLICY ve SOFTWARE UPDATE SERVICES

Tüm ayarlarımızı yaptık, gerekli tüm testlerimizide yaptık. Artık güncelleştirmeleri

istemci bilgisayarlara uygulamamız gerekiyor. Active Directory ortamında, tüm
kullanıcılarımızın Software Update Services’den faydalanabilmeleri için Group Policy’den
yararlanacağız. Bunun için öncelikle Active Directory Users and Computers’ı açıp, eğer
Software Update Services’den domainimizdeki tüm istemcilerin etkilenmesini istiyorsak
domainimiz üzerinde sağ tıklayıp properties tıklanarak Group Policy sekmesinden yada
sadece belirli bir Organizational Unit (OU) içindeki istemcilerin etkilenmesini istiyorsak, o
OU üzerinde sağ tıklayıp properties tıklanarak Group Policy sekmesinden yeni bir Policy
yarattıktan sonra bu policy’yi düzenlememiz gerekmekte.
Windows Server 2003 Enterprise Edition üzerinde çalışan bir Software Update
Services ile ilgili tüm policy’ler Group Policy içinde, Computer Configuration /
Administrative Templates / Windows Component / Windows Update altındadır. (Şekil :
13_18)

20
 Şekil 13_18

Buradaki ilk iki policy uygulanması mecburi, diğer iki policy ise uygulanması
zorunlu policyler değildir. Şimdi bu policy’leri inceleyelim. (Şekil 13_19)

21
 Şekil 13_19

İlk policy’miz olan Configure Automatic Updates’i Enable ettiğimizde, yani

policy’nin uygulanmasını etkin hale getirdiğimizde, Configure automatic updating
kısmında kullanıcılara uygulanan güncelleştirmelerin SUS Sunucumuzdan download
edilmesi ve yüklenmesi aşamasında izlenecek yolu seçmemiz gerekmektedir. Şimdi bu
seçenekleri tek tek inceleyelim :

2- Notify for download and notify for install : Bu seçenek, Administrative bir
yetkiyle logon olan kişiye güncellemenin download edilmesinden ve kurulumundan önce
bilgi verir.
İşletim sistemi bu bilgisayara uygulanacak bir policy bulursa ekranın sağ alt
köşesinde yeni güncellemeler olduğunu bildiren bir simge belirecek (Şekil 13_20).

Simge tıklandığında, karşıdan yüklemek

istediğimiz güncelleştirmeleri
seçebilmemiz için bir pencere belirecektir
(Şekil 13_21). Seçim işlemi bittikten
sonra, istemci bilgisayar arka planda
seçilen güncelleştirmeleri SUS
Sunucumuzdan yükleyerek
Şekil 13_20
kaydedecektir. Yükleme bittikten sonra,
simge tekrar görüntülenecek ve güncelleştirmelerin yüklenmeye hazır olduğunu
bildirecek. Simge tekrar tıklandığında, yüklemeler ile ilgili seçenekler çıkacaktır. Gerekli
seçimler yapıldıktan sonra yükleme başlayacaktır. Automatic Update, Background
Intelligent Transfer Services (BITS) kullanarak, network band genişliğinin müsait olduğu
anlarda yüklemeleri gerçekleştirir.

22
 Şekil 13_21

3- Auto download and notify for install : Bu seçenek, güncelleştirmeleri otomatik

olarak başlatır, Administrative yetkisi olmayan bir kullanıcı logon olduğunda kullanıcıya
güncellemelerin kurulumu için bildiri verir.
Varsayılan ayar olan bu seçenekte, isitemci işletim sistemi kendisine uygulanmış
güncelleştirme varsa bu güncelleştirmeleri arka planda yükler. Bu işlem esnasında
kullanıcıya bir bilgi verilmez. Yükleme işlemi tamamlandığında, dosyaların kurulum için
hazır olduğunu bildiren bir ileti kullanıcıya görüntülenir. İleti tıklandığında Şekil
13_21'deki gibi yüklenmek üzere hazırlanmış güncelleştirmeler görüntülenir.

4- Auto download and schedule the install : Eğer, güncelleştirmelerin

istemcilerimize bizim belirlediğimiz bir zamanda kurulmasını istiyorsak bu seçeneği
kullanmalıyız. Bu durumda güncellemeler SUS Sunucudan otomatik olarak download edilir
ve bizim belirlediğimiz bir zamanda kurulur. Zamanı belirlemek için hemen alt kısımda
bulunan Scheduled install day ile, güncellemelerin hergünmü yoksa haftanın belirlenen bir
günündemi gerçekleşeceğini, Scheduled install time ilede saatini belirleriz. Scheduled
install day ve Scheduled install time seçeneği sadece, 4- Auto download and schedule the
install seçeilirse geçerli olacaktır.

Sistem yöneticileri Active Directory ortamında Group Policy kullanarak veya

registry değerlerini düzenleyerek Software Update Services yüklü olan sunucuyu belirler.
Automatic Update istemciler güncelleştirmeleri belirlenen bu sunucu üzerinden yaparlar.
Eğer bu sunucu sistem yöneticisi tarafından belirlenmezse, istemciler güncellemeleri
Windows Update sunucularından yapacaklardır. Dolayısiyle, az önce yaptığımız tüm
ayarların istemciler tarafından etkili olması için bir diğer policy olan Specify intranet
Microsoft update service location policy’sininde etkin olması gerekmekte. (Şekil
13_22)

23
 Şekil 13_22

Sistem yöneticileri ayrıca bir Web Server kullanarak, güncelleştirmelerin download

edilmesi ve kurulum durumları hakkında istatistiksel bilgiler tutabilir. Bu istatistikler HTTP
protokolü kullanılarak gönderilir ve Web Server bu bilgileri bir log dosyasında toplayabilir.
Bu istatiklerin tutulduğu Web Server'da log işlemi etkin olmalı ve IIS 5.0 veya üst
versiyona sahip olmalı. Software Update Services yüklü olan sunucu aynı zamanda
istatistikleride tutabilir.
Buna göre Şekil 13_22’de görüntülenen policyde her iki satırada üzerinde Software
Update Services çalışan sunucumuzun adresini yazabiliriz. Bu policy sayesinde
istemcilerimiz SUS Sunucumuza network üzerinden erişip approve edilmiş olan update’leri
download edebileceklerdir.

Reschedule Automatic Updates scheduled installations, istemci bilgisayar

açıldıktan sonra, önceden yüklenemeyen planlanmış (schedule update) bir güncelleştirme
varsa yüklemeye devam etmek için beklenecek zamanı belirler.

No auto-restart for scheduled Automatic Updates installations, policy

etkinleştirilirse, yükleme bittikten sonra, bilgisayara logon olan kullanıcının bilgisayarın
yeniden başlatması için bekleyeceği anlamına gelir. Eğer bu policy etkinleştirilmezse
bilgisayar otomatik olarak yeniden başlatılır. Kullanıcının kaydedilmemiş belgeleri varsa bu
dosyalar kaybedilebileceğinden sorun oluşabilir. Bu yüzden önemli bir policy dir.

Windows 2000’de Policy Template

Software Update Services’ın yüklendiği sunucu Windows 2003 Server ürün

ailesinden birisiyse Şekil 13_18’deki ekranda görüntülenen policy’ler hazır gelecektir.
Ancak sunucumuz Windows 2000 Server ürün ailesindense bu policy’ler
görüntülenmeyecektir. Tüm bu işlemleri yapabilmemiz için öncelikle bu policy’leri

24
görüntülemeliyiz. Bunun için, Computer Configuration / Administrative Templates
üzerinde sağ tıklayıp, Add/Remove Templates'i tıkladıktan sonra açılan menüde Add'i
tıklayıp wuau.adm'i (Varsayılan: C:\Windows\inf) eklemeliyiz (Şekil 13_23). wuau.adm
dosyası yüklendikten sonra, Windows 2000 sunucumuz üzerinde de gerekli Group Policy
ayarlarımızı yapıp istemci bilgisayarlara güncelleştirmeleri uygulayabiliriz. Artık bu
policy'lerede Windows 2003 Sunucularda da olduğu gibi, Computer Configuration /
Administrative Templates / Windows Components / Windows Update altından ulaşabiliriz.

Şekil 13_23 – Windows 2000’de SUS için gerekli olan policy’ler

ACTIVE DIRECTORY’NİN OLMADIĞI ORTAMLARDA SOFTWARE UPDATE

SERVICES :

Software Update Services, Active Directory entegre bir ürün olarak

network’ümüzdeki tüm güncelleştirmeleri gerçekleştirdiğini ve bu güncelleştirmeler
esnasında gerçekleşen işlemleri artık öğrendik. Peki ya Active Directory'nin olmadığı
ortamlarda ne yapacağız ?
Eğer farkettiyseniz, Software Update Services, approve edilen güncelleştirmelerin
kullanıcılara dağıtılması esnasında Group Policy’den faydalanıyor. Diğer tüm işlemler
Software Update Services yüklü olan sunucu üzerinde gerçekleşiyor. Belirlediğimiz
seçeneklere göre gerçekleşecek güncelleştirmeleride Group Policy’deki 4 adet policy ile
kullanıcılara uyguluyorduk hatırlarsanız.
Group Policy’de Administrative Template altındaki policy’ler, registry tabanlı
policy’lerdir. Dolayısiyle bu 4 policy’de registry tabalıdır. Peki o halde bu 4 policy ile ilgili
değerleri, istemci bilgisayarların registry’lerine elle girsek sistem yine çalışmazmı? Cevap
evet olmalı. Kesinlikle çalışır.

25
 Gelin şimdi bu konu üzerinde çalışalım. Öncelikle bir sunucumuza Software Update
Services yüklemeliyiz. Bu kısım tamamıyle daha önce anlattığımız gibi. Tek fark dcpromo
ile sunucumuza Domain Controller rolü atamıyoruz. Yani ortamımızda Active Directory
yok. Software Update Services ile Internet Information Services’ı sunucumuza
kurduğumuzu düşünürsek. Tüm senkronizasyon işlemlerini önceki bölümlerde anlattıldığı
gibi yaptığımızıda varsayalım. Yani elimizde, üzerinde Software Update Services ve
Internet Information Services kurulmuş, Software Update Services ile ilgili tüm
senkronizasyon işlemleri tamamlanmış ve workgroup ortamında çalışan bir sunucumuz
var.
Yapılması gerek diğer işlemler, istemci bilgisayarların Registry Editor’üne (Kayıt
defteri) eklencek yeni değerlerden ibarettir. İşin zor yanı bu işlemin tüm istemci
bilgisayarlarda yapılması gerekliliğidir.
Öncelikle istemci bilgisayarda sırasıyla, Start – Run satırına regedit yazarak
Registry Editor’ü açmalıyız. Daha sonra sırasıyla aşağıdaki kayıta gidip,

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows

altında yeni bir KEY yaratıp, bu KEY’in ismini WindowsUpdate vermeliyiz. Daha
sonra, yarattığımız KEY’in içine
(HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window\WindowsUpdate) aşağıdaki
değerleri girmeliyiz,

WUServer
Registry Value Type : Reg_SZ (New  String Value)
SUS sunucumuza HTTP üzerinden erişimde kullanılması için ismi
(http://SUSsunucununismi)

WUStatusServer
Registry Value Type : Reg_SZ (New  String Value)
SUS sunucumuzun istatistikleri için kullanılacak sunucunun ismi
(http://SUSsunucununismi)

Şu anki durmumuz Şekil 13_24’deki gibi olmalıdır.

26
 Şekil 13_24

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window\WindowsUpdate yeni
bir KEY yaratıp, bu KEY’in ismini AU vermeliyiz. Yarattığımız bu KEY’in içine
(HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Window\WindowsUpdate\AU)
aşağıdaki değerleri girmeliyiz,

- NoAutoUpdate
Registry Value Type : REG_DWORD
Value Data :0|1.
0 = Automatic Update enable (varsayılan seçenek), 1 = Automatic Update
disable anlamına gelir.
- AUOptions
Registry Value Type : REG_DWORD
Value Data :2|3|4.
İstemcilere uygulanması gerek 3 policy’yi hatırlayacak olursa bu değerler bu
policy’lere eş değerdir. 2 = notify of download and installation, 3 = auto
download and notify of installation, and 4 = auto download and scheduled
installation. Her seçenek Local Administrator’e bildiri gönderir.
- ScheduledInstallDay
Registry Value Type : REG_DWORD
Value Data : 0|1|2|3|4|5|6|7 .
İstemcinin, güncelleştirmeleri gerçekleştireceği günler için yapılan planlamadır.
0 = Hergün güncelleştirme olacaktır.
1 = Pazar
2 = Pazartesi
3 = Salı
4 = Çarşamba
5 = Perşembe

27
 6 = Cuma
7 = Cumartesi

- ScheduledInstallTime
Registry Value Type : REG_DWORD
Value Data : 0 – 23 .
İstemcinin güncelleştirmeyi gerçekleştireceği zaman dilimi.

- UseWUServer
Registry Value Type : REG_DWORD
Value Data değerini 1 yapıp, Automatic Update kullanılarak WUServer
anahtarında belirtilen Software Update Services sunucusuna erişim sağlanır.

- RescheduleWaitTime
Registry Value Type : REG_DWORD
Value Data : 0 – 60 .
istemci bilgisayar açıldıktan sonra, önceden yüklenemeyen planlanmış
(schedule update) bir güncelleştirme varsa yüklemeye devam etmek için
beklenecek zamanı belirlerdi hatırlarsak. 0 ile 60 arasında bir süre belirlenmeli.

- NoAutoRebootWithLoggedOnUsers
Registry Value Type : REG_DWORD
Value Data değerini 1 yapılarak, bilgisayara log on olmuş kullanıcının,
güncelleme sonunda bilgisayarının kapanıp tekrar açılması için seçim hakkı
tanınması sağlanır.

Gerekli değerler girildikten sonra durum Şekil 13_25’teki gibi olacaktır.

Şekil 13_25

28
 SOFTWARE UPDATE SERVICES’DE GÜVENLİK

Üzerinde Software Update Service çalışan sunucu, güncellemeleri yönetmek için

gereken tüm senkronizasyon servislerini ve yönetimsel araçları barındırır. Approve edilmiş
güncellemeler için bağlantı kuran istemciler ile Hypertext Transfer Protocol (HTTP)
kullanarak istekleri yanıtlar. SUS sunucumuz güncelleme paketlerini Microsoft Update
sunucularından yapabileceği gibi bir başka SUS Sunucudan da yapabilirdi hatırlarsak. Bu
download işlemi esnasında sunucular arasında kimlik denetimi (authentication) olmaz.
Tüm içeriğin Microsoft tarafından imzalandığı doğrulanarak kontrol edilir. Herhangi bir
içeriğin doğru bir şekilde imzalanmadığının anlaşıldığı durumlarda güven sağlanmaz ve
işlem durdurulur.
Software Update Service yönetimi tamamen web tabanlıdır. Eğer istenirse,
standart HTTP bağlantı kurularak yönetilebileceği gibi Secure Sockets Layer (SSL) enable
bir HTTPS bağlantıda kullanılabilir.
Unutulmaması gereken diğer güvenlik gerekçeside, Software Update Service'ın
NTFS formatlanmış bir partition'a kurulması gerektiğidir.
Eğer, SUS sunucumuz bir proxy server üzerinden internete erişim sağlıyorsa ve bir
şifre ile bu işlem gerçekleşiyorsa, SUS sunucu bu şifreyi LSA Secret olarak güvenle
depolar.
Automatic Update, her update'i cyclical redundancy check (CRC) kontrolü ile
update lerin transfer esnasında karışmadığını doğrular.
Windows 2000 sunucularda, Software Update Service kurulumundan sonra, IIS
Lockdown tool 1.0 ve Urlscan security tool 2.0 kurup konfigüre etmeliyiz. Windows 2003
sunucularda bu tool'lar otomatik olarak kurulu ve çalışır durumdadır.
Not : Software Update Service kurulum esnasında, Windows 2000 yüklü
sunuculara, IIS Lockdown tool'un son versiyonunu yüklemediğinden dolayı, IIS Lockdown
tool'un son versiyonu hakkındaki bilgilerin http://www.microsoft.com sitesinden takip
edilmesi gerekir.

Software Update Services ve BackUp

Sunucularımız, elimizde olmayan sebeplerden dolayı kendilerine yüklenen

servisleri yerine getiremeyebilirler. SUS Sunucumuzda oluşan bir durumdan dolayı bir
önyükleme hatası ile karşılaşabiliriz. Bu veya bu tarz durumlarda işletim sistemini veya
Software Update Services programını tekrar yüklememiz gerekebilir. Bu tarz felaket
durumlarında, tek güvencemiz düzenli alınan BackUp’lardır.
SUS Sunucumuzun bir hata sonrasında normal fonksiyonlarına kavuşabilmesi için,
yönetimsel işlerin yapıldığı Web sitesinin bulunduğu klasörü, içerikleri barındıran SUS
klasörü ve IIS metabase'inin yedeklerini almalıyız.
İlk olarak, IIS MMC Snap-in’i kullanarak IIS metabase'in yedeğini almaya
başlayalım. MMC konsoldan veya Administrative Tools altından açtığımız Internet
Information Services snap-in’ninde, yedeğini almak istediğimiz sunucuyu işaretledikten
sonra Action menüsünden veya sunucu üzerinde sağ tıklayarak All Tasks’i seçerek açılan
menüden BackUp/Restore Configuration tıklanarak yedekleme ve yedekten geri dönme
işlemlerini başlatabiliriz. (Şekil 13_26)

29
 Şekil 13_26 – IIS’in yedeklenmesi

Şekil 13_27 – Create backup tıklanır

30
 Şekil 13_28 – Backup dosyasına bir isim, gerekirse şifre verilir.

Şekil 13_29 – Yarattığımız yedeklemenin listelendiğinden emin olmalıyız.

IIS metabase'in yedeğini aldıktan sonra verilerimizin yedeklerini almak için

NTBackup programını çalıştıralım. Bunun için, Accessories / System Tools altındaki
Backup'ı çalıştırabileceğimiz gibi, Start / Run satırına ntbackup yazıp enter'a basmamızda
yeterli olacaktır.
Backup or Restore Wizard ekranda belirdikten sonra Advanced Mode'a geçerek
Backup Wizard'ı tıklayarak işleme başlayalım. Welcome ekranını geçtikten sonra, bir
sornaki ekran olan What to Back Up ekranında Back Up selected files, drives or network
data'yı işaretleyerek next'i tıklayalım. Şekil 13_30 ve 13_31'de göründüğü şekilde,
Default Web Site olan C:\Inetpub\wwwroot klasörünü, içeriklerin bulunduğu C:\SUS
klasörünü ve %windir%\system32\inetsrv\metaback (IIS metabase) klasörlerini
yedeklemek üzere işaretleyelim.

31
Şekil 13_30 - IIS ve SUS content backup işlemi

32
 Şekil 13_31 – IIS metabase backup işlemi

Tüm bu işlemleri yaptıktan sonra Start Backup tıklanarak Şekil 13_32’deki ekrana
ulaşırız.

Şekil 13_32

Eğer Start Backup tıklanırsa backup işlemi hemen başlar. Schedule sekmesi ile bir
zaman planlaması yapabileceğimiz gibi, Advanced sekmesi ile de yedekleme tipini
belirleriz. Start Backup tıklandığında yedekleme işlemi başlar. (Şekil 13_33)

33
 Şekil 13_33 – Backup işlemi

Tüm bu işlemler sonucunda SUS sunucumuz, başımıza gelebilecek aksiliklere karşı

yedeklenmiş durumda. Şirketimizin yedekleme politikası çerçevesinde alınan bu yedekler
sayesinde daha güvenli bir yapıya sahip olacağız.

Serimizin bu kitabını hazırlarken Software Update Services SP1 ile bu işlemleri

yapabiliyoruz. Ancak Microsoft, 2005 yılının ilk yarısında Windows Update Services
isminde yeni bir ürünü piyasaya sürecek. Software Update Services, sadece işletim
sistemlerine destek verirken, Windows Update Services, Windows XP Professional,
Windows 2000, Windows Server 2003, Office XP, Office 2003, SQL Server 2000, MSDE
2000 ve Exchange 2003 ve diğer ek ürünlere destek verecek. Sistem yöneticilerine
güncelleme işlemleri üzerinde daha fazla kontrol ve yeni raporlama yetenekleri de
Windows Update Services ile gelecek.

ÖZET

Bu bölümde Software Update Services’ın ne olduğunu, nasıl kurulduğunu, nasıl

yönetildiğini ve nasıl yedeklendiğini öğrendik. Güncelleştirmelerin group policy yardımıyla
istemci bilgisayarlara nasıl dağıtılacağını, ayrıca Active Directory’nin olmadığı ortamlarda
istemcilerin Software Update Services yüklü sunucuyu nasıl bulacağını ve
güncelleştirmeleri nasıl gerçekleştireceğini öğrendik.
Günümüz bilgisayar dünyasında, güncellenmeyen sistemlerin sürekli olarak bir
tehdit altında olduklarını, buna karşılık olarak, düzenli bir şekilde güncelleştirilen
sistemlerin çok daha güvenli bir yapıda çalıştıklarını unutmamak gerekir. Bu düşünceden
yola çıkarak hazırlanan Software Update Services biz sistem yöneticilerin en önemli
yardımcısı durumdadır.

SORULAR

1. Software Update Services’ın kaç tane versiyonu vardır ? Bir Domain

Controller’a Software Update Services kurulabilirmi ?
2. Software Update Services ile ne tür güncelleştirmeler yapılabilir ?

34
3. Senkronizasyon nasıl gerçekleşir? SUS sunucumuzun Microsoft Update
sunucuları ile senkronizasyonu haricinde, başka ne şekilde içeriği
senkronizasyon edebiliriz ?
4. Active Directory’nin olmadığı ortamlarda neler yapılmalı ?
5. Yedekleme işleminde hangi klasörlerin yedekleri alınmalı ?

35