locked
Объем обновлений для FCS RRS feed

  • Общие обсуждения

  • Изучаю возможность замены текущего антивирусного решения для рабочих станций на FCS. Дошло дело до оценки необходимых объемов трафика.
    Был неприятно удивлен размеров каждого Definiton update
    Например, состоит из файлов:
    - mpam-fe.exe 48 231 808 байт
    - mpam-fe.exe 48 563 584 байт
    - mpam-fe_bd.exe 33 795 456 байт 
    - mpam-fe_bd.exe 33 970 048 байт 
    - mpam-d.exe 3 540 864 байт 
    - mpam-d.exe 3 575 680 байт 
    Итого 171 Мб.
    Из этого поста http://social.technet.microsoft.com/Forums/ru-RU/forefrontru/thread/383a90f3-74d1-4b43-a6a5-c3580308a1ad понял, что в принципе объем обновлений можно уменьшить скачивая оновления только для x86. Хотя я не понял где в WSUS-е это задать. Языки можно, а вот архитектуру.
    В любом случае это уменьшает размер обновлений до 85 Мб
    Таких обновлений за один день происходит до 6 (например за 16.11.09 именно столько). Это означает за один день может быть скачано порядка 500 Мб одних обновлений антивируса. По меркам нашей компании- это очень много. Думаю многие со мной согласятся.

    Пользуясь статьей http://support.microsoft.com/kb/935934 можно вручную скачивать обновления и распространять на машины например скриптами стартапа, но это означает по меньшей мере 48 Мб на каждую раб. станцию ежедневно, для удаленных точек в которых находятся только рабочие машины (до 10 штук) - это означает ежедневный трафик до 480 Мб. Много.

    Вопросы:
    1. При скачке обновлений WSUS-ом рабчие станции скачивают полностью definition update? Весь комплект изтрех файлов mpam-fe.exe, mpam-fe_bd.exe, mpam-d.exe? Или какие-то небольшие инкрементальные обновления?
    2. mpam-d.exe - это случайно не инкрементальные обновления?
    3. Существуют ли какие-либо другие методики уменьшения объемов обновлений FCS?
    4. Можно ли WSUS распространяющий обновления FCS заставить проверять и скачивать обновления не каждые 2 часа, а например только каждый день и автоматичски одобрять только последнее обновление?
    17 ноября 2009 г. 2:48

Все ответы

  • 1. Мне на конечные станции приходят обновления на 3 мб.
    2. Именно они и накатываются что из всуса, что напрямую с WinUpdate.
    17 ноября 2009 г. 3:20
  • А есть ливозможность добавлять в wsus обновления скачанные вручную?

    17 ноября 2009 г. 3:36
  • Если я пропускаю несколько обновлений и одобряю очередное, что будет скачано на рабочие машины? ТОлько очередной mpam-d.exe весом в 3 Гб? Или вся база полностью - mpam-fe.exe?

    18 ноября 2009 г. 2:46
  • Тут есть некоторая подмена понятий. Самому клиенту хватает ума скачивать именно дельту небольшого объема, и именно за ней он обращается на сервер WSUS. Если переключить службу обновлений на сайт Microsoft (легко делается, к примеру, в Windows 2008) - то видно, что запрошеный клиентом объем обновления где-то 600кб.

    Проблема в том, что в состав обновления KB915597 входит полный набор файлов, включая полную базу. Даже при таком не самом умном решении, если бы файлы полной базы не менялись - WSUS находил бы их у себя в репозитории и не скачивал бы повторно. Но, к сожалению, они каждый раз обновляются. Это приводит к тому, что даже если ни одна из машин в сети не требует полной базы (то есть все клиенты развернуты и имеют свежую версию обновлений), то WSUS ничего не может сделать и вынужден качать обновление KB915597 полностью несколько раз в день.

    Поэтому попробую ответить так.
    0) Полный объем обновления идет на сервер WSUS
    1) небольшое обновление размером 0,5-0,6 Мб
    2) фиг его знает. Называется Antimalware Delta package contains AV and AS signatures.
    3) только переключение AutoUpdate на сайт Microsoft. Даже на 100 машинах в целом будет меньше трафика, чем будет скачивать WSUS
    4) почти, если не ставить на WSUS сам FCS. В базовой конфигурации WSUS обновляется раз в сутки (можно чаще) и позволяет самостоятельно указывать, какие обновления одобрять, а какие нет. Только проблема в том, что за сутки при синхронизации WSUS увидит три-четыре новых обновления, и при автоматическом подтверждении скачает их все. Вручную, разумеется, можно подтвердить только последнее, а остальные - отклонить.

    26 ноября 2009 г. 16:40
  • А есть ливозможность добавлять в wsus обновления скачанные вручную?


    Угу, но требует некоторой ловкости рук.

    Идея примерно следующая. Подключаемся к базе WSUS, даем определенный запрос со статьей KB915597 в качестве фильтра. Получаем список всех файлов по этому обновлению (можно автоматически отфильтровать неподходящие языки и платформы). Так как есть несколько ревизий - скорее всего увидим все файлы. Держим полученную таблицу под рукой.
    Смотрим требуемую (последнюю) ревизию в консоли WSUS и нажимаем "File Info". Видим выборку из нашей таблички, где самым полезным будет столбик с размером файла и хэш-кодом. Путь там рисуется абстрактный, так что на него не обращаем внимания. В нашем случае находим хэш-коды для двух или четырех самых больших файлов (mpam-fe и mpam-fe_bd).
    Теперь находим в нашей таблице эти файлы и скачиваем их с адреса, указанного в столбце MUURL. Переименовываем их, оставляя только хэш (фактически убираем все названия перед хэшем). Теперь остается положить их в нужные папки в директории WSUSContent. Папка выбирается по двум ПОСЛЕДНИМ символам хэша (а не по первым, как можно было бы предположить поначалу).
    Теперь подтверждаем обновление через консоль WSUS. Задания передаются в службу BITS, которая благополучно находит часть заданий уже на своих местах, быстренько проверяет и хэш и рапортует WSUS-су об успешной закачке. В результате скачиваться будут только самые маленькие файлики обновления.

    26 ноября 2009 г. 16:53
  • Уважаемый SantaFox, подскажите подробнее, пожалуйста, что Вы делали в первой части Вашей последовательности

    "Идея примерно следующая. Подключаемся к базе WSUS, даем определенный запрос со статьей KB915597 в качестве фильтра. Получаем список всех файлов по этому обновлению (можно автоматически отфильтровать неподходящие языки и платформы). Так как есть несколько ревизий - скорее всего увидим все файлы. Держим полученную таблицу под рукой."

    8 декабря 2009 г. 9:05