نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی. پرتال اطلاعاتی
  • خانه
  • بررسی ها
  • ببین چطور کار می کند. پیکربندی مشتریان WSUS با استفاده از خط مشی های گروه

ببین چطور کار می کند. پیکربندی مشتریان WSUS با استفاده از خط مشی های گروه

22.05.2019 بررسی ها

در حال نصب سرور آپدیت ویندوز سرور Update Services برای پلتفرم Windows 2008 R2 کار سختی نیست. فقط باید به یاد داشته باشید که کیت توزیع خود WSUS دیگر نیازی به دانلود از وب سایت مایکروسافت ندارد. این سرور مانند سایر سرورها نصب می شود خدمات ویندوزسرور 2008 R2 - از طریق نصب نقش های سرور.

لازم به ذکر است که ممکن است همچنان به بسته نصب WSUS نیاز داشته باشید، اما فقط در صورتی که بخواهید نصب کنید کنسول مدیریت جداگانهبه یکی از ایستگاه های کاری در این صورت می توانید آن را از اینجا دانلود کنید.

راه اندازی سرور WSUS

پس بیایید نصب را شروع کنیم. ما فرض می کنیم که شما قبلاً سیستم عامل Windows 2008 R2 را نصب کرده اید و با استفاده از حسابی وارد شده اید که دارای حقوق است. مدیر محلی. قبل از نصب، باید مطمئن شوید که سرور به شبکه متصل است و اینترنت از آن قابل دسترسی است (این مهم است).

1. Snap-in "Server Manager" را باز کنید. سپس، در پانل سمت چپ، شاخه «نقش‌ها» را باز کنید و در پانل سمت راست، جادوگر «افزودن نقش‌ها» را اجرا کنید (شکل زیر را ببینید):

2. پس از انتخاب خط لیست "Windows Server Update Services"، یک پنجره جادوگر ظاهر می شود که از شما می خواهد سرویس وب سرور و همچنین اجزای لازم را اضافه کنید. ما با این پیشنهاد موافقیم و سه بار روی "بعدی" کلیک می کنیم.

3. مرحله بعدی در واقع نصب سرویس WSUS است. روی «Next» و سپس «Install» کلیک کنید. در این مرحله سرور شروع به دانلود از اینترنت و نصب سرویس می کند. در طول مراحل نصب، از شما خواسته می شود که شرایط قرارداد مجوز را بپذیرید:

ما این بسته را بعدا نصب خواهیم کرد.

5. مرحله بعدی نشان دادن محل پوشه ای است که به روز رسانی ها در آن ذخیره می شوند. می توانید گزینه پیشنهادی را بپذیرید یا پوشه دیگری را مشخص کنید. این پوشه d.b. روی دیسک با فایل سیستم NTFS. مطمئن شوید که فضای کافی در آنجا وجود دارد. به عنوان مثال برای تخمین، به شما اطلاع می دهم که به روز رسانی ویندوز برای سرورها و ایستگاه های کاری به دو زبان (روسی، انگلیسی) تقریباً به 40 تا 60 گیگابایت نیاز دارد. ذخیره کردن را توصیه نمی کنم...

6. پایگاه داده MS SQL برای اجرای WSUS 3.0 استفاده می شود. می توانید از یک پایگاه داده داخلی استفاده کنید یا از پایگاه داده موجود در شبکه خود استفاده کنید:

آدرس سرویس WSUS نیز در اینجا نشان داده شده است که هنگام تنظیم سرویس گیرندگان مورد نیاز است.

9. همین... در این مرحله می توان خود فرآیند نصب را کامل در نظر گرفت.

10. اما کار استاد ادامه خواهد داشت. مرحله بعدی پیکربندی مستقیم سرویس به روز رسانی است:

11. مراحل ویزارد زیر به شما کمک می کند تا تنظیمات اولیه سرویس WSUS را انجام دهید. شما باید مشخص کنید که این سرور WSUS از کدام سرور همگام سازی می شود. گزینه های ممکن: سرور مایکروسافت یا سرور بالادستی WSUS

12. در هنگام همگام سازی باید تنظیمات سرور پروکسی را مشخص کنید:

13. در مرحله بعد به سرور مایکروسافت (یا سرور بالادست) متصل خواهیم شد. این ممکن است چند دقیقه طول بکشد:

اگر این فرآیند با شکست مواجه شد، تنظیمات سرور پراکسی را که قبلا وارد کرده اید بررسی کنید. مطمئن شوید که سرور مایکروسافت یا سرور بالادستی WSUS از آن سرور قابل دسترسی است و دوباره امتحان کنید.

15. روشن گام بعدیاز شما خواسته می شود محصولات مایکروسافت را انتخاب کنید که به روز رسانی برای آنها دانلود می شود

16. همچنین، باید کلاس های به روز رسانی را انتخاب کنید:

فرآیند دانلود آپدیت زمان زیادی طول خواهد کشید. دانلود اولیه چند ساعت طول می کشد و می تواند به چند ده گیگابایت برسد. به منظور کاهش میزان ترافیک، سرور WSUS می تواند کاتالوگ به روز رسانی را از سرور دیگری تغذیه کند. این امر به ویژه در مواردی که سرور WSUS بر روی یک شبکه محلی استقرار یافته است که از طریق یک کانال ارتباطی کند به اینترنت دسترسی دارد، صادق است.

اگر در طول فرآیند راه اندازی سرور، اشتباهی انجام دادید، کنسول Windows Server Update Services را باز کنید و "Options" را در قسمت سمت چپ انتخاب کنید. در پنل مرکزی می توانید به صورت دستی تغییر دهید تنظیمات فردییا WSUS Server Configuration Wizard را مجددا اجرا کنید.

صاحبان شبکه های کامپیوتری حداقل یک بار با مشکل به روز رسانی برنامه ها مواجه شده اند. این کار را خودتان انجام دهید، بدون کمک نرم افزار ویژه، تقریبا غیرممکن است، زیرا زمان فوق العاده ای را می طلبد. و زمان با ارزش ترین منبع است. اگر فقط سرویسی وجود داشت که با خودکار کردن فرآیند جستجو، به روز رسانی و نصب نسخه های جدید همه برنامه های شرکت به حل این مشکل کمک می کرد.

چنین سیستمی وجود دارد. مایکروسافت در سال 2005 منتشر شد سرویس ویندوزخدمات به روز رسانی سرور هدف اصلی آن اصلاح و به روز رسانی محصولات مایکروسافت در کل شبکه کامپیوتری است. علاوه بر این، اندازه دومی هیچ نقشی ندارد. می توانید WSUS را برای دو یا چند صد کامپیوتر نصب و پیکربندی کنید. همه چیز فقط به نیازهای شما بستگی دارد. نسخه های جدید منتشر شده و تا به امروز پشتیبانی می شود

سیستم مورد نیاز

راه اندازی WSUS در سرور 2012 نیازی به دانش عمیق برنامه نویسی و شبکه های کامپیوتری توسط کاربر ندارد. رابط بصری و راحت است. تمرکز روی طیف وسیعی از افرادی است که از محصول خود استفاده خواهند کرد.

علاوه بر این، الزامات برای عملکرد عادیخدمات بسیار ضعیف هستند، به خصوص با استانداردهای مدرن. به عنوان مثال، برای حفظ عملکرد بالا سروری که شبکه آن تا پانصد رایانه را شامل می شود، اندازه توصیه شده است حافظه دسترسی تصادفیباید حداقل 1 گیگابایت باشد. و سرعت کلاک پردازنده بالای 1 گیگاهرتز است. موافقم، حتی کامپیوترهای اداری قدیمی نیز عملکرد عالی دارند.

آماده کردن همه چیزهایی که برای WSUS نیاز دارید

بنابراین، شما تصمیم گرفته اید از WSUS برای شبکه های خود استفاده کنید. اگر رایانه خود را به درستی برای این کار آماده کنید، نصب و پیکربندی نباید دشوار باشد.

  • حتماً پارتیشن دیسکی که قرار است WSUS را روی آن نصب کنید و همچنین پارتیشنی که برای سیستم در نظر گرفته شده است را به NTFS فرمت کنید.
  • مطمئن شوید که رایانه شما حداقل 1 گیگابایت رم دارد.
  • بسته به تعداد رایانه های موجود در شبکه، رایگان مورد نیاز را انتخاب کنید فضای دیسک. برای شبکه های کوچکحداقل 6 گیگابایت مورد نیاز است. بر اساس تجربه کاربر، توصیه می شود 30 گیگابایت حافظه روی دیسکی که داده های WSUS در آن ذخیره می شود، اختصاص دهید. این سرویس نرم افزار اضافی را دانلود و نصب می کند، بنابراین بهتر است حافظه بیشتری اضافه کنید و از عملکرد پایدار مطمئن شوید تا اینکه پشیمان شوید و دائماً عملکرد آن را بررسی کنید.

قطعات مورد نیاز

فراموش نکنید که WSUS یک سیستم به روز رسانی نرم افزار است و باید روی سیستم عامل نصب شود خانواده ویندوز. قبل از نصب، سایر اجزای این لیست را نیز آماده کنید:

  1. Microsoft Internet Information Services (IIS) 6.0.
  2. Microsoft .NET Framework 1.1 Service Pack 1 یا بالاتر.
  3. سرویس انتقال هوشمند پس زمینه (BITS) 2.0.

علاوه بر آماده سازی سرور، باید همه چیز را در آن قرار دهید کامپیوترهای مشتریشبکه های. آنها را روشن کنید سرویس اتوماتیکبه روز رسانی ها در تمام سیستم عامل های مایکروسافت وجود دارد. پس از تکمیل این مرحله مقدماتیمی توانید با خیال راحت به سراغ بعدی بروید.

فرآیند نصب

فقط در صورتی می توانید سرویس WSUS را نصب کنید که دارای حقوق سرپرست باشید. بنابراین، با یک حساب کاربری وارد شوید. پس از آن، WSUSSetup را اجرا کنید. دارای پسوند exe است و وزن کمی دارد - حدود 130 مگابایت.

باز خواهد شد پنجره استانداردجادوگر نصب آن را بخوانید و بپذیرید توافقنامه مجوز. در پنجره بعدی می توانید منبع به روز رسانی را انتخاب کنید. می توانید انتخاب کنید که داده ها به صورت محلی روی سرور ذخیره شوند یا آن ها را از سایت های مایکروسافت دانلود کنید.

برای صرفه جویی در ترافیک، توصیه می شود نوع محلی را تنظیم کنید. در این صورت نه تنها هزینه های اینترنت شرکت را کاهش می دهید، بلکه سرعت نصب آپدیت ها بر روی کامپیوترهای کلاینت را نیز افزایش می دهید. شما نباید اهمیت زیادی برای این انتخاب قائل شوید؛ همچنان این فرصت را خواهید داشت که بعداً بنا به صلاحدید خود آن را پیکربندی کنید.

پنجره بعدی از شما می خواهد که انتخاب کنید کدام پارامتر برای پایگاه داده تنظیم شود:

  1. WMSDE نیز همراه با WSUS نصب خواهد شد. در برنامه گنجانده شده است و نیازی به پرداخت هزینه ندارید. بنابراین اکثر کاربران آن را نصب می کنند. دلیلی برای امتناع از آن وجود ندارد و علاوه بر این، به جلوگیری از مشکلات در آینده کمک می کند.
  2. در حالت دوم، WMSDE نصب نخواهد شد. به جای آن استفاده خواهد شد پایگاه های موجودداده های مایکروسافت SQL هنگام انتخاب این مورد زمانی که کار طولانیممکن است مشکلاتی به وجود بیایند که داده ها ممکن است قدیمی شوند، و هنگامی که یک به روز رسانی در رایانه ها منتشر می شود، به روز رسانی بلافاصله امکان پذیر نخواهد بود.

در پنجره بعدی، وب سایتی که از سرور WSUS استفاده می کند به شما داده می شود. هیچ پیکربندی در اینجا مورد نیاز نیست و در بیشتر موارد از پارامترهای استاندارد پیشنهادی استفاده می شود. این میزبان IIS و پورت شماره 80 است.

در آخرین پنجره نصب، نقش مدیریت سرور انتخاب می شود. اگر این اولین و تنها سرور در شبکه شما است، از آن صرف نظر کنید.

در صورتی که سرور اولین نیست، پنجره "تنظیمات به روز رسانی آینه" باید به درستی پیکربندی شود. اگر این کار انجام نشود، ممکن است تداخل بین این سرورها ایجاد شود. در سرور دوم و بعدی، کادر را علامت بزنید و نام سروری را که در ابتدا نصب شده است وارد کنید.

راه اندازی کنسول مدیریت

بلافاصله پس از نصب موفقیت آمیز WSUS، از کاربر خواسته می شود تا کنسول مدیریت را راه اندازی کند. این را می توان نه تنها از سرور، بلکه از هر رایانه دیگری در شبکه انجام داد. اما شایان ذکر است که فقط کاربری که دارای حقوق مدیر است می تواند این کار را انجام دهد. کنسول در به آدرس بعدی: http://servername/wsusadmin.

راه اندازی WSUS

پس از نصب، می توانید تنظیمات زیر را در WSUS پیکربندی کنید:

  • ایجاد گروهی از کامپیوترها؛
  • هماهنگ سازی؛
  • به روز رسانی خودکار.

ایجاد گروهی از کامپیوترها

مهم ترین نکته ای که نمی توان از آن اجتناب کرد راه اندازی WSUS 2012 r2، ایجاد گروهی از کامپیوترها است. این مورد نیاز است به روز رسانی راحتبرنامه هایی برای رایانه های خاص که وظایف مختلفی را انجام می دهند.

دو راه برای افزودن رایانه به گروه ها وجود دارد:

  • از سمت سرور.
  • از سمت مشتری.

تفاوت در چیست؟ امکان اتوماسیون فرآیند. در حالت اول، شما باید هر کامپیوتر را به صورت دستی با استفاده از کنسول اختصاص دهید. در حالت دوم، باید خط مشی گروه و رجیستری سیستم عامل را پیکربندی کنید.

برای افزودن رایانه ها، صفحه را با تنظیمات آنها باز کنید. سپس روش مقصد را انتخاب کنید.

برای ایجاد گروه، تب کامپیوترها را در کنسول باز کنید. یک دکمه "ایجاد یک گروه از کامپیوتر" وجود دارد. گروهی ایجاد می‌شود که بر اساس نیازهای شما رایانه‌هایی از قبل به آن اضافه شده‌اند.

پیکربندی تنظیمات همگام سازی

پس از ایجاد گروه‌ها، راه‌اندازی WSUS از شما می‌خواهد گزینه‌هایی را برای دانلود به‌روزرسانی‌ها انتخاب کنید. شما می توانید انتخاب کنید حالت دستیشروع همگام سازی یا به صورت خودکار طبق یک برنامه زمان بندی مشخص.

بخش «محصولات و کلاس ها» را باز کنید و برنامه هایی را که باید به روز شوند انتخاب کنید. برای انتقال به‌روزرسانی‌ها از سرور به رایانه، برنامه‌هایی را انتخاب کنید که شرایط موجود در فهرست‌ها را برآورده می‌کنند.

به این ترتیب، می توانید نه تنها برنامه ها، بلکه بسیاری موارد دیگر را نیز دانلود کنید: درایورها، اصلاحات حیاتی برای سیستم عامل ها، بسته های خدمات، کلیدهای سیستم های امنیتی. شما می توانید این تنظیمات را در هر زمان تغییر دهید.

راه اندازی منابع به روز رسانی

اگر WSUS برای اولین بار نصب می شود و سرور دیگری وجود ندارد، همه چیز را به عنوان پیش فرض بگذارید. دانلود از سایت رسمی انجام خواهد شد میزبان مایکروسافتبه روز رسانی.

اگر سرور اول نیست، داده های اصلی WSUS را مشخص کنید.

تنظیم تایید خودکار

یکی دیگر از پارامترهای مهم اتوماسیون فرآیند تأیید خودکار است. این به شما امکان می‌دهد حواس‌تان پرت نشود و مجبور نباشید دانلود و انتقال به‌روزرسانی‌های جدید را به صورت دستی تأیید کنید. این تنظیمات WSUS در کنسول قرار دارد.

تنظیم همگام سازی

آخرین مرحله در تنظیم پارامترها همگام سازی است. تمام نرم افزارهای شبکه را بررسی می کند تا مطمئن شود که با آخرین به روز رسانی ها به روز است.

اگر رایانه ای به شبکه متصل باشد، سرور نسخه برنامه های موجود در آن را تعیین می کند و در صورتی که با جدیدترین ها تفاوت داشته باشند، تمام به روز رسانی ها را برای آن ارسال می کند.

یک پسرو کوتاه

همانطور که قبلا متوجه شدید، نصب هم ساده و هم ساده است. مدیر سیستم نباید هیچ مشکلی در نصب و پیکربندی سرور داشته باشد. از هر نسخه ای می توان استفاده کرد. هیچ تفاوتی از نظر یکدیگر وجود ندارد هیچ تنظیمات WSUS برای Windows Server 2012 یا هر نسخه دیگری وجود ندارد. هر نسخه جدیدتر سریعتر و پایدارتر کار می کند و از منابع کامپیوتری به طور موثرتری استفاده می کند.

در عین حال، این سرویس فوق العاده مفید و کاربردی است. این به سادگی برای شرکت های هر سطحی ضروری است. با WSUS می توانید اعصاب و زمان گرانبها را ذخیره کنید. بیهوده نیست که همه استفاده از آن را توصیه می کنند.

مراحل نصب این خدمات شبکه. این پست روند راه اندازی رایانه ها را برای به روز رسانی از سرورهای WSUS در دسترس شما شرح می دهد.

راه اندازی رایانه های گروه کاری یا سرورهای مستقل

برای پیکربندی کامپیوترها در این مورد، به ویرایشگر شیء Group Policy نیاز دارید. برای باز کردن آن، موارد زیر را انجام دهید:

  1. 1. منوی Start - Run را باز کنید. در خط "باز" ​​- "mmc" را تایپ کنید - سپس OK
  2. 2. در کنسول MMC، منوی File را باز کنید – افزودن یا حذف snap-in...
  3. 3. گزینه "Group Policy Object Editor" را انتخاب کنید - انجام شد - OK
  4. 4. می خواهیم یک قانون برای به روز رسانی سیستم عامل کامپیوتر ایجاد کنیم. بنابراین، در سمت راست ویرایشگر، در "Computer Configuration"، شاخه Policies - Administrative Templates - Windows Components - Windows Update را باز کنید.
  5. 5. در سمت راست پنجره ویرایشگر قوانینی را مشاهده می کنید که رفتار رایانه ها را در مورد فرآیندهای به روز رسانی توصیف می کند. قانون «تنظیم به‌روزرسانی خودکار» را انتخاب کنید.
  6. 6. در پنجره تنظیمات به روز رسانی خودکار، قانون را فعال کرده و پارامترها را مشخص کنید. به طور پیش فرض، حالت تنظیم شماره 3 انتخاب خواهد شد - اعلان دانلود و نصب خودکار. در این مورد، نصب تنها پس از تأیید به روز رسانی انجام می شود. همچنین امکان نصب به روز رسانی ها بر اساس برنامه زمان بندی وجود دارد. پس از انجام تنظیمات، روی دکمه های «اعمال» و «تنظیمات بعدی» کلیک کنید
  7. 7. پارامتر بعدی قانون "مشخص کردن مکان سرویس به روز رسانی مایکروسافت در اینترانت" است، که در آن باید مکان سرویس به روز رسانی و همچنین سرور آمار را مشخص کنید (معمولاً این همان سرور است). روی OK کلیک کنید در اصل همین کافی است. اما می‌توانید فرآیند به‌روزرسانی را نیز تنظیم کنید. پس از خواندن نکات داخلی قوانین، متوجه خواهید شد که به چه چیزی نیاز دارید.
  8. 8. Snap-in را ببندید

همه ... قوانین بلافاصله اعمال می شود.

به طور کلی، شما می توانید کامپیوترهای دامنه را به این روش پیکربندی کنید. اما اگر مدیر شبکه قبلاً این تنظیمات را در سطح دامنه انجام داده باشد، قوانین فوق اعمال نمی شوند، زیرا توسط قوانین دامنه لغو می شوند. سیاست های گروه.

راه اندازی کامپیوترهای دامنه

برای پیکربندی رایانه های دامنه برای به روز رسانی از سرور WSUS شرکتی، باید حقوق سرپرست دامنه ویندوز را داشته باشید.

برای پیکربندی، به GPMC (کنسول مدیریت خط مشی گروه) نیاز دارید.

در رایانه هایی که دارای ویندوز 7 هستند، بهتر است تجهیزات را با کیت نصب کنید مدیریت از راه دور RSAT (نسخه محلی موجود است). پس از نصب کیت مدیریت از راه دور، فراموش نکنید که اجزای کنترلی لازم را فعال کنید (کنترل پنل - برنامه ها و ویژگی ها - روشن یا خاموش کردن اجزای ویندوز)

شما باید موارد زیر را انجام دهید:
1. با استفاده از منوی Start - Run - GPMC.msc اجرا کنید

2. شاخه Domains – Domain_Name – Group Policy Objects را باز کنید و کلیک راستماوس منوی «ایجاد» را انتخاب کنید
3. در قسمت "Name"، نام شیء سیاست گروهی جدید را مشخص کنید (بگذارید "WSUS Group Policy" باشد)، سپس OK کنید.
4. در پنجره سمت راست Snap-in، نام شیء خود را پیدا کرده و روی منوی «Edit» کلیک راست کنید. ویرایشگر مدیریت خط مشی گروه باز می شود.
5. در مرحله بعد، باید همان مراحلی را که در قسمت قبل توضیح داده شد، دنبال کنید.

بنابراین، Group Policy Object (GPO) ایجاد شده است، اما GPO ایجاد شده هنوز فقط یک عبارت ساده است. برای اینکه دستورالعمل کار کند، باید این GPO را به کانتینر Windows AD مربوطه متصل کنید. این رایانه های دامنه هستند که در این ظرف هستند که این دستورالعمل ها را اجرا می کنند (یعنی به روز رسانی). این کانتینر می تواند کل دامنه، سایت یا بخش باشد.
اینکه کدام ظرف را انتخاب کنید به شما بستگی دارد. اما معیارها به شرح زیر است:

  • -- اگر می خواهید همه رایانه های دامنه شما به روز شوند، GPO را به دامنه پیوند دهید
  • - اگر می خواهید فقط بخشی از رایانه ها را به روز کنید، به عنوان مثال سرورهای جداگانه، یک بخش در دامنه ایجاد کنید و آن را در آنجا قرار دهید. سرورهای مورد نیازو به این بخش پیوند دهید
  • - اگر شبکه شما چندین سایت در شهرهای مختلف دارد، زیرشبکه های این سایت ها باید متعلق به سایت های جداگانه باشند. در این مورد، برای اینکه کانال های ارتباطی بین سایت ها بارگذاری نشود، منطقی است که سرور WSUS خود را در هر سایت نصب کنید و برای هر سایتی که به طور خاص به آن اشاره می کند یک GPO جداگانه ایجاد کنید. در آینده، باید آنها را به سایت های مربوطه پیوند دهید (شکل زیر را ببینید)

مراحل زیر فرآیند پیوند دادن GPOهایی را که ایجاد کرده اید به کانتینرهای مناسب ویندوز AD توضیح می دهد.

فرض کنید تصمیم دارید همه رایانه های موجود در یک دامنه را به روز کنید.

1. سپس در Snap-In "Group Policy Management" که قبلاً باز شده است، در سمت چپ پنجره، شاخه "Forest: Forest_Name – Domains – Domain_Name" را باز کنید.
2. بر روی نام دامنه خود کلیک راست کرده و منوی «پیوند یک GPO موجود...» را انتخاب کنید.
3. در پنجره "Select Group Policy Object"، GPO مربوطه را که قبلا آن را "WSUS Group Policy" نامگذاری کرده بودیم، پیدا کنید و روی OK کلیک کنید.

فیلترهای WMI برای GPOها

به‌روزرسانی سیستم‌عامل سرویس‌گیرنده و سرور با استفاده از خط‌مشی‌های گروه دامنه جداگانه، عمل خوبی است. در این مورد، من از این واقعیت است که:

  • - سیستم عامل سروربهتر است به صورت دستی به عنوان بخشی از تعمیر و نگهداری برنامه ریزی شده به روز رسانی شود (در این مورد، احتیاط کاملاً مناسب است).
  • - سیستم عامل مشتریبهتر است به صورت خودکار آپدیت شود. زمانی که آنها را به صورت دستی به روز کنید پارک بزرگرایانه ها بسیار مشکل ساز هستند و کاربران بعید به نظر می رسد که این کار را انجام دهند (حتی اگر به آنها نشان داده شود که چگونه).

چه کاری باید انجام دهم؟

برای مثال، ابتدا باید GPOهای جداگانه ای در Snap-in GPMC.msc ایجاد کنید

  • خط مشی گروه ServerOS WSUS
  • سیاست گروه ClientOS WSUS

و آنها را به صورت دستی (اعلان دانلود و نصب خودکار) و حالت های خودکارسیستم عامل بر این اساس به روز رسانی می شود.

در مرحله دوم، دو فیلتر WMI را در همان Snap-In ایجاد کنید. این فیلترها هستند که تعیین می کنند که کدام یک از GPOهای بالا در هنگام به روز رسانی هر رایانه در شبکه شما مؤثر خواهد بود.

سوم، می‌توانید فیلترهای WMI را با GPOهای مربوطه مرتبط کنید و هر دوی این GPOها اکنون می‌توانند مستقیماً با یک دامنه یا سایت (به دلخواه) مرتبط شوند.

نحوه ایجاد فیلتر

در Snap-in GPMC از قبل باز شده، به شاخه Forest - Domains - _Domain_name_ - WMI filters بروید. برای ایجاد یک فیلتر با نام، روی "Create" کلیک راست کنید سیستم عامل سرور و DC

یک درخواست در فضای root\CIMv2 به آن اضافه می کنیم

خط مشی گروه ServerOS WSUS"فقط با رایانه های دارای سیستم عامل سرور ویندوز (از جمله کنترل کننده های دامنه) کار کنید.

به طور مشابه، یک فیلتر با نام ایجاد کنید سیستم عامل مشتری

یک درخواست به آن در root\CIMv2 اضافه کنید

این فیلتر به یک GPO با نام " سیاست گروه ClientOS WSUSبدون در نظر گرفتن نسخه (ویندوز 2000 پرو، ویندوز XP، ویستا، ویندوز 7 و ویندوز 8) فقط با رایانه هایی که دارای سیستم عامل ویندوز کلاینت هستند کار کنید.

فیلترها آماده هستند.

همانطور که قبلاً نوشتیم، شما باید یک GPO را پیوند دهید خط مشی گروه ServerOS WSUSو سیاست گروه ClientOS WSUSبا فیلترهای مناسب به عنوان مثال، این کار را می توان به صورت زیر انجام داد: در شاخه "Group Policy Objects"، GPO مورد نظر را انتخاب کنید، سپس در سمت راست، "WMI Filter" فیلتر مورد نظر را از لیست کشویی انتخاب کنید.

بنابراین، اکنون رایانه های مشتری دامنه به طور خودکار به روز می شوند و سرورها مطیعانه منتظر توجه شما خواهند بود.

این راه اندازی را کامل می کند.

چگونه نتیجه را بررسی کنیم؟

در نتیجه همه اقدامات فوق، ما انتظار داریم که به روز رسانی آن بخشی از رایانه های دامنه را که به نظر ما باید مشمول خط مشی پیکربندی شده باشند، آغاز کنیم.

ابتدا، می‌توانید در گزارش‌های مدیریت سرور WSUS برای هر ورودی در مورد وضعیت سرویس گیرندگان به‌روزرسانی خودکار، جستجو کنید.

دوم، می‌توانید تأیید کنید که این خط‌مشی پیکربندی‌شده برای مشتریان WSUS اعمال می‌شود. Control Panel - Windows Update را باز کنید و مطمئن شوید که پیام زیر در سمت راست پنجره Update Center ظاهر می شود: "Controlled by the system administrator" (برای Windows 7/Vista/2008/2008R2) اگر اینطور نیست، سیاست اجرایی نیست

اما این بدان معنا نیست که شما در جایی اشتباه کرده اید. ممکن است رایانه هنوز تنظیمات خود را از کنترل کننده دامنه به روز نکرده باشد.

این به دلیل این واقعیت است که سیاست‌های گروهی در رایانه‌های دامنه بلافاصله اعمال نمی‌شوند (به‌روزرسانی‌های GP در شبکه محلی به طور پیش‌فرض در فواصل زمانی 15 دقیقه انجام می‌شوند، و تکرار بین سایتی حتی کمتر اتفاق می‌افتد)
بنابراین، می توانید به سادگی منتظر بمانید یا سیاست های گروه را در رایانه ها با دستور به روز کنید

رایانه سرویس گیرنده WSUS خدمات مورد نیاز (مانند Windows Update و Group Policy Client و غیره) را اجرا نمی کند.

GPO برای رایانه های فردی کار نمی کند. در این مورد، شما باید با هر یک به طور جداگانه برخورد کنید. من توصیه می‌کنم اثر Group Policy را روی رایانه‌های مشکل‌دار با استفاده از همان Snap-in GPMC.msc شبیه‌سازی کنید. این به شما امکان می دهد تا بررسی کنید که آیا GPO ایجاد شده در رایانه مورد تجزیه و تحلیل اعمال شده است یا خیر. متأسفانه، عیب یابی Group Policy Windows AD خارج از محدوده این پست است.

خوب، و مهمتر از همه... گزارش مشتری WSUS اینجاست --> c:\Windows\WindowsUpdate.log

10 فوریه

WSUS (خدمات به روز رسانی سرور ویندوز) برای دانلود خودکاروصله ها، بسته های به روز رسانی و ابزارهای دیگر از وب سایت مایکروسافت، و توزیع این محتوا در شبکه محلی. آن ها مدیران نیازی به دانلود وصله های جداگانه و نصب آنها بر روی هر دستگاه ندارند. کافی است WSUS را روی سرور نصب کنید، آن را پیکربندی کنید و همچنین ماشین های کاری را برای استفاده از این سرور پیکربندی کنید. به روز رسانی یک بار در خود سرور دانلود می شود و از آنجا در شبکه محلی نصب می شود. همچنین، استفاده از WSUS باعث صرفه جویی قابل توجهی در ترافیک اینترنت می شود که برای دانلود به روز رسانی ها و وصله های سیستم استفاده می شود.

WSUS است محصول رایگان، با این حال، شما باید مجوز صحیح برای سیستم عامل سرور و همچنین مجوزهای Windows Client Access (CAL) برای هر یک داشته باشید. ایستگاه کاری، که از سرور WSUS به روز می شود. مایکروسافت فرصتی رایگان برای استفاده از سرویس به روز رسانی برای محصولات نرم افزاری خود در طول کل دوره پشتیبانی از محصول نرم افزاری فراهم می کند. به روز رسانی های لازم از طریق اینترنت برای همه کاربران محصولات نرم افزاری در دسترس است.

نصب WSUS

در سیستم عامل Windows Server 2008، نقش سرور Windows Server Update Services وجود دارد.

برای Windows Server 2003، سیستم مورد نیاز زیر برای نصب WSUS 3.0 SP1:

علیرغم این واقعیت که این سرویس عملاً برای پردازنده و رم نیازی ندارد، به سهم مناسبی از فضای دیسک نیاز دارد. ترجیحاً 40 گیگابایت یا بیشتر. در نهایت، مقدار فضای دیسک مصرف شده به تعداد محصولاتی که باید به روز شوند و تعداد به روز رسانی های زیرساخت مورد نیاز بستگی دارد. اگر در حین نصب سرور راضی نمی شود سیستم مورد نیاز، یک پنجره هشدار ظاهر می شود که آنچه را که باید نصب شود توضیح می دهد.

راه اندازی سرور WSUS

برای عملکرد عادی سرور، باید تعدادی از پارامترها را با استفاده از "Windows Server Update Services Configuration Wizard" مشخص کنید.

در پنجره “Select an upstream server” باید گزینه “Synchronize with Microsoft Update” را انتخاب کنید.

هنگام اعمال یک سرور پراکسی در یک محیط شرکتی، در پنجره "پیکربندی سرور پروکسی"، باید آدرس IP، شماره پورت و پارامترهای احراز هویت را در سرور پروکسی مشخص کنید.

در پنجره «انتخاب زبان‌ها» باید گزینه «دانلود به‌روزرسانی‌ها فقط در زبان‌های زیر» را انتخاب کنید؛ حتماً «انگلیسی» را انتخاب کنید. انتخاب زبان های دیگر باید بر اساس سیستم های نصب شده در شرکت انجام شود؛ معمولاً "روسی" را نیز اضافه می کنند. نیازی به انتخاب «دانلود به‌روزرسانی‌ها در همه زبان‌ها، از جمله زبان‌های جدید» نیست، زیرا این کار باعث افزایش تعداد به‌روزرسانی‌های ذخیره شده در فضای دیسک می‌شود.

در پنجره انتخاب محصولات، باید محصولات نصب شده در محیط شرکت خود را انتخاب کنید.

مهم! هرگز همه محصولات را نصب نکنید، زیرا ممکن است باعث افزایش اندازه به‌روزرسانی‌های ذخیره شده و عدم استفاده از به‌روزرسانی‌ها شود. لازم است فقط محصولاتی که در محیط شرکت مورد استفاده قرار می گیرند به طور روشمند و پیوسته انتخاب شوند.

در پنجره «انتخاب کلاس‌ها»، باید فقط کلاس‌هایی را مشخص کنید که نیاز به به‌روزرسانی دارند. از آنجایی که تعیین کلاس های اضافی به طور قابل توجهی اندازه به روز رسانی های ذخیره شده را افزایش می دهد.

در پنجره «تنظیم برنامه زمان‌بندی همگام‌سازی»، باید زمان همگام‌سازی را انتخاب کنید. در داخل همگام سازی WSUSشامل دانلود به روز رسانی نمی شود. در این صورت، همگام سازی فقط اطلاعات را از سرور Microsoft Update به روز می کند."

پس از اولین همگام سازی، باید کنسول WSUS را باز کنید و "Options" را انتخاب کنید. در "تنظیمات"، مورد "Files and update languages" را باز کنید.

در تب «به‌روزرسانی فایل‌ها» در پنجره «به‌روزرسانی فایل‌ها و زبان‌ها»، باید نحوه ذخیره‌سازی فایل‌های به‌روزرسانی را مشخص کنید. از آنجایی که می‌خواهیم حجم ترافیک اینترنت را کاهش دهیم، باید گزینه «ذخیره فایل‌های به‌روزرسانی محلی در این سرور» را انتخاب کنیم و همیشه موارد «آپلود فایل‌های به‌روزرسانی در سرور فقط پس از تأیید به‌روزرسانی» و «دانلود فایل‌های نصب سریع» را انتخاب کنیم. مورد «آپلود فایل‌های به‌روزرسانی در سرور فقط پس از تأیید به‌روزرسانی» ضروری است، زیرا به‌طور پیش‌فرض سرور تمام به‌روزرسانی‌هایی را که برای محصولات انتخابی ضروری بداند دانلود می‌کند. با این حال، از آنجایی که به مرور زمان بسیاری از به روز رسانی ها در Service Pack جمع می شوند، به احتمال زیاد به آنها نیازی نخواهد بود و فضای دیسک را اشغال خواهند کرد.

پس از انجام تمام تنظیمات، باید کامپیوترها را به سرویس WSUS اضافه کنید.

افزودن کامپیوتر به WSUS

اگر دامنه دارید، تنها کاری که باید انجام دهید این است که سرویس WSUS را در خط مشی گروه آن ثبت کنید و قوانین به روز رسانی کامپیوتر را انتخاب کنید.

این کار به شرح زیر انجام می شود: "شروع - ابزارهای اداری - مدیریت خط مشی گروه". خط مشی معتبر در دامنه را انتخاب کنید (پیش‌فرض Group Policy به طور پیش‌فرض). راست کلیک کرده و "Edit" را انتخاب کنید.

در پنجره "ویرایشگر مدیریت خط مشی گروه"، به "پیکربندی کامپیوتر - سیاست ها - قالب های اداری - اجزای ویندوز - به روز رسانی ویندوز" بروید. مورد را انتخاب کنید "محل سرویس به روز رسانی را در اینترانت مشخص کنید".

در پنجره «Properties: Specify location of update service on the Intranet»، پارامتر «Enabled» را مشخص کنید و در خط «Specify the update service on the intranet to search for updates» خطی مانند: http:// وارد کنید. . آدرس را در پنجره "مشخص کردن سرور آمار اینترانت" کپی کنید. در ویرایشگر خط مشی گروه، نکاتی در پنجره توضیح وجود دارد.

همچنین باید یک خط مشی به روز رسانی تعریف کنید. این کار از طریق مورد "تنظیمات" انجام می شود بروزرسانی های خودکار».

در پنجره "Properties: Setting Automatic Updates"، گزینه "Enabled" و پارامترهای "Setup Automatic Updates"، "Scheduled install - day"، "Scheduled install - time" را مشخص کنید. پنجره توضیح حاوی توضیحاتی در مورد تمام پارامترهای سرورها است و توصیه می شود گزینه "2 - اعلان های مربوط به دانلود و نصب" را تنظیم کنید، که به مدیران اجازه می دهد زمان نصب به روز رسانی ها در سرورها را انتخاب کنند.

اگر در زیرساخت ایستگاه‌های کاری وجود داشته باشد که بخشی از دامنه نیست (مثلاً ایستگاه‌های کاری سیار)، اما سرویس به‌روزرسانی برای این ایستگاه‌های کاری ضروری باشد، می‌توان این سرویس را در «مشخص کرد. سیاست محلیامنیت."

در خط فرمان، gpedit.msc را تایپ کنید و همان عملیاتی را انجام دهید که در بالا برای خط مشی گروه در دامنه توضیح داده شد.

پس از مدتی، رایانه در پنجره «رایانه‌ها - همه رایانه‌ها - رایانه‌های تعیین‌نشده» با «وضعیت: هر» ظاهر می‌شود.

مدیریت به روز رسانی

برای مشاهده و تأیید به‌روزرسانی‌های لازم، باید موارد فیلتر زیر را در «به‌روزرسانی‌ها – همه به‌روزرسانی‌ها» انتخاب کنید: «تأیید: تأیید نشده» و وضعیت: مورد نیاز» و روی «به‌روزرسانی» کلیک کنید.

مهم! برای بررسی به‌روزرسانی‌های ضروری، همیشه مطمئن شوید که تنظیمات فیلتر روی «تأیید: تأیید نشده» و وضعیت: مورد نیاز است، در غیر این صورت خطر دانلود به‌روزرسانی‌هایی را که به آن نیاز ندارید یا اصلاً دانلود نمی‌کنید، دارید. اگر فیلتر در تنظیمات "تأیید: تایید نشده" و وضعیت: مورد نیاز یک فیلد خالی را نشان می دهد، در این صورت همه به روز رسانی های لازم برای رایانه ها قبلاً تأیید شده اند و در سرور هستند.

پس از تایید، طبق قوانین پیکربندی شده در خط مشی امنیتی، به روز رسانی ها پس از مدتی در رایانه ظاهر می شوند.

اغلب اوقات نیاز به وادار کردن رایانه برای بررسی به‌روزرسانی‌ها در سرور به‌روزرسانی وجود دارد. برای این کار برنامه ای به نام wuauclt.exe وجود دارد که از طریق خط فرمان راه اندازی می شود. برای بررسی به روز رسانی، باید آن را با کلید /detectnow (wuauclt.exe /detectnow) اجرا کنید. برای ارسال یک گزارش وضعیت (اغلب هنگام اتصال به سرور به روز رسانی برای اولین بار ضروری است)، باید آن را با کلید /reportnow (wuauclt.exe /reportnow) اجرا کنید.

feanor184.ru

پیکربندی مشتریان WSUS با استفاده از خط مشی های گروه

بنابراین، فرض بر این است که شما یک سرور Wsus نصب کرده‌اید.سیاست‌های گروه Active Directory (از این پس GPO نامیده می‌شود) به مدیران سیستم اجازه می‌دهد تا به طور خودکار کلاینت‌ها را به گروه‌های مختلف سرور WSUS اختصاص دهند و نیازی به جابجایی دستی رایانه‌ها بین گروه‌ها در کنسول WSUS را از بین ببرند. . این انتساب از مشتریان به گروه های مختلفبر اساس برچسب های روی کلاینت است، چنین برچسب هایی توسط سیاست یا اصلاح ساده رجیستری تنظیم می شوند. این نوعنگاشت کلاینت ها به گروه های WSUS، هدف گذاری سمت مشتری نامیده می شود.

به طور معمول، دو خط مشی مختلف به روز رسانی استفاده می شود: برای ایستگاه های کاری و برای سرورها. ابتدا قانون گروه بندی کامپیوترهای کلاینت را در کنسول WSUS مشخص می کنیم. به طور پیش فرض، در کنسول، رایانه ها به صورت دستی در گروه ها توزیع می شوند (هدف گذاری سمت سرور). اجازه دهید نشان دهیم که مشتریان بر اساس هدف گیری سمت مشتری (خط مشی های گروه یا تنظیمات رجیستری) به گروه هایی تقسیم می شوند. برای انجام این کار، در کنسول WSUS، به بخش گزینه هاپارامتر Computers را باز کنید و مقدار را با Use Group Policy یا تنظیمات رجیستری در رایانه ها جایگزین کنید (از خط مشی ها یا مقادیر گروه در رجیستری استفاده کنید، به اسکرین شات مراجعه کنید).

پس از این، ما به طور مستقیم به پیکربندی مشتریان WSUS با استفاده از سیاست های گروهی (GPO) شروع می کنیم. کنسول Group Policy Management را باز کنید و دو خط مشی گروه جدید ایجاد کنید: ServerWSUSPolicy و WorkstationWSUSPolicy.

خط مشی گروه برای نصب به روز رسانی های WSUS برای ایستگاه های کاری (WorkstationWSUSPolicy)

منطق سیاست شهودی است؛ در مورد ما، ما قصد داریم به‌روزرسانی‌ها را در شب پس از دریافت به‌طور خودکار نصب کنیم. کلاینت ها پس از نصب به روز رسانی ها به طور خودکار راه اندازی مجدد می شوند (10 دقیقه قبل به کاربر هشدار می دهند). کنسول ویرایش GPO (gpmc.msc) را باز کنید، به تنظیمات خط مشی گروه بروید: پیکربندی رایانه -> سیاست ها-> قالب های اداری-> مؤلفه ویندوز-> به روز رسانی ویندوز)

در خط مشی نشان می دهیم:

  • اجازه نصب فوری به‌روزرسانی‌های خودکار: غیرفعال - نصب فوری به‌روزرسانی‌ها را هنگام دریافت غیرفعال می‌کند.
  • اجازه به غیر سرپرستان برای دریافت اعلان‌های به‌روزرسانی: فعال - نمایش یک هشدار به کاربران در مورد به‌روزرسانی‌های جدید و اجازه دادن به آنها نصب دستی
  • پیکربندی به‌روزرسانی‌های خودکار: فعال است. پیکربندی به روز رسانی خودکار: 4 - دانلود خودکار و برنامه ریزی نصب. روز نصب برنامه ریزی شده: 0 - هر روز. زمان نصب برنامه ریزی شده: 03:00 - کامپیوتر مشتری به روز رسانی های جدید را دانلود می کند و نصب خودکار آنها را در ساعت 3:00 صبح برنامه ریزی می کند.
  • نام گروه هدف برای این رایانه: ایستگاه‌های کاری - در کنسول WSUS کلاینت‌ها را به گروه ایستگاه‌های کاری اختصاص می‌دهد.
  • بدون راه‌اندازی خودکار با کاربرانی که وارد سیستم شده‌اند برای نصب به‌روزرسانی‌های خودکار برنامه‌ریزی‌شده: غیرفعال - سیستم به‌طور خودکار 10 دقیقه پس از اتمام نصب به‌روزرسانی راه‌اندازی مجدد می‌شود.
  • اینترانت مایکروسافت را مشخص کنید سرویس به روز رسانیمکان: فعال کردن سرویس به‌روزرسانی اینترانت را برای شناسایی به‌روزرسانی‌ها تنظیم کنید: http://wsus:8530، اینترانت را تنظیم کنید سرور آمار: http://wsus:8530 – آدرس سرور WSUS شرکتی

اگر آدرس http:

خط مشی گروه برای نصب به روز رسانی های WSUS برای سرورها (ServerWSUSPolicy)

به شما یادآوری می کنیم که تنظیمات خط مشی گروه مسئول عملکرد سرویس است به روز رسانی ویندوزدر بخش GPO قرار دارند: پیکربندی رایانه -> سیاست ها-> قالب های اداری-> مؤلفه ویندوز-> به روز رسانی ویندوز (پیکربندی رایانه -> خط مشی -> الگوهای اداری -> اجزای ویندوز -> به روز رسانی پنجره).

این خط مشی برای سرورهایی در نظر گرفته شده است که ما به در دسترس بودن مداوم برای آنها نیاز داریم، حداقلدر ساعات کاری برای رسیدن به این هدف، از نصب خودکار به‌روزرسانی‌ها بر روی سرورهای هدف هنگام دریافت آن‌ها جلوگیری می‌کنیم. فرض بر این است که سرویس گیرنده سرور WSUS باید به سادگی دانلود شود به روز رسانی های موجود، سپس یک هشدار نمایش داده و منتظر تایید مدیر سیستم برای شروع نصب آن باشید.به این ترتیب اطمینان حاصل می کنیم که سرورهای تولید به طور خودکار به روز رسانی ها را نصب نخواهند کرد و بدون کنترل مدیر راه اندازی مجدد نمی شوند.

در خط مشی نشان می دهیم:


مشاوره. توصیه می کنیم هر دو خط مشی را تنظیم کنید شروع اجباریسرویس به روز رسانی (wuauserv) روی مشتری برای اطمینان از رسیدن به روز رسانی ها به سرور مورد نظر. برای انجام این کار، در بخش تنظیمات کامپیوتر -> سیاست ها-> تنظیمات ویندوز -> تنظیمات امنیتی -> سرویس های سیستم (به زبان روسی: پیکربندی کامپیوتر -> سیاست ها -> تنظیمات امنیتی-> خدمات سیستم)، سرویس Windows Update را پیدا کنید ( wuauserv) و نوع راه اندازی آن را روی "Automatic" تنظیم کنید.

اختصاص یک خط مشی WSUS به یک OU (کانتینر) در Active Directory

بعد تخصیص می دهیم به صورت استانداردخط مشی برای کانتینرهایی که داریم، در مورد ما این دو کانتینر برای ایستگاه های کاری و سرورها هستند. که در در این مثالما ساده ترین گزینه را برای اتصال سیاست های WSUS به رایانه ها در نظر می گیریم. در شرایط واقعی، می توانید یک خط مشی WSUS را در همه دامنه ها توزیع کنید (GPO به ریشه دامنه گره خورده است) یا کلاینت های مختلف را در کانتینرهای مختلف توزیع کنید. برای شبکه های بزرگ و توزیع شده، ارزش دارد سرورهای مختلف WSUS را به سایت های AD پیوند دهید، یا GPO ها را بر اساس فیلترهای WMI تخصیص دهید، یا روش های فوق را ترکیب کنید.

برای اتصال خط مشی ایجاد شده به یک کانتینر، snap-in ویرایش خط مشی گروه (gpmc.msc) را راه اندازی کنید، روی ظرف -> Bind an GPO موجود کلیک راست کنید و ظرف را با سرورها مشخص کنید، در مثال ما، سرور در ظرف سرورها این را می توان با کشیدن و رها کردن خط مشی گروه به داخل ظرف انجام داد؛ یک پیوند به خط مشی (فلش سیاه) به طور خودکار ایجاد می شود، به این معنی که خط مشی به کانتینر مرتبط است. در مرحله بعد، روی ظرف کلیک راست کرده و -> Group Policy Update را انتخاب کنید.

برای سرعت بخشیدن به دریافت خط مشی روی کلاینت، می توانید دستور gpupdate /force را اجرا کنید. این دستوراعمال فوری Group Policy را آغاز می کند.

و پس از مدت کوتاهی، می‌توانید مشتریان را برای اعلان‌های بازشو در مورد در دسترس بودن به‌روزرسانی‌های جدید بررسی کنید. در کنسول WSUS، کلاینت‌ها باید در گروه‌های مناسب ظاهر شوند (جدول نام مشتری، IP، سیستم عامل، درصد آنها «به‌روزرسانی» و تاریخ آخرین به‌روزرسانی وضعیت را نشان می‌دهد).

تعدادی دستور برای مدیریت سرویس های به روز رسانی سرور ویندوز (WSUS) و سرویس Wuauclt وجود دارد که رایج ترین آنها عبارتند از:

/DetectNow - به‌روزرسانی‌ها را جستجو کنید

/ResetAuthorization - درخواست به‌روزرسانی مجوز

runas /user:admin "wuauclt /detectnow" - جستجو برای به روز رسانی تحت یک کاربر خاص

/ReportNow - یک گزارش ایجاد کنید

www.itworkroom.com

پیکربندی سرویس گیرندگان Windows Server Update Services (WSUS).

در مقاله قبلی، نصب WSUS 3.0 در ویندوز 2008 R2، مراحل نصب این سرویس شبکه توضیح داده شد. این پست روند راه اندازی رایانه ها را برای به روز رسانی از سرورهای WSUS در دسترس شما شرح می دهد.

برای پیکربندی کامپیوترها در این مورد، به ویرایشگر شیء Group Policy نیاز دارید. برای باز کردن آن، موارد زیر را انجام دهید:

  1. 1. منوی Start - Run را باز کنید. در خط "باز" ​​- "mmc" را تایپ کنید - سپس OK
  2. 2. در کنسول MMC، منوی File را باز کنید – افزودن یا حذف snap-in...
  3. 3. گزینه "Group Policy Object Editor" را انتخاب کنید - انجام شد - OK
  4. 4. می خواهیم یک قانون برای به روز رسانی سیستم عامل کامپیوتر ایجاد کنیم. بنابراین، در سمت راست ویرایشگر، در "Computer Configuration"، شاخه Policies - Administrative Templates - Windows Components - Windows Update را باز کنید.
  5. 5. در سمت راست پنجره ویرایشگر قوانینی را مشاهده می کنید که رفتار رایانه ها را در مورد فرآیندهای به روز رسانی توصیف می کند. قانون «تنظیم به‌روزرسانی خودکار» را انتخاب کنید.
  6. 6. در پنجره تنظیمات به روز رسانی خودکار، قانون را فعال کرده و پارامترها را مشخص کنید. به طور پیش فرض، حالت تنظیم شماره 3 انتخاب خواهد شد - اعلان دانلود و نصب خودکار. در این مورد، نصب تنها پس از تأیید به روز رسانی انجام می شود. همچنین امکان نصب به روز رسانی ها بر اساس برنامه زمان بندی وجود دارد. پس از انجام تنظیمات، روی دکمه های «اعمال» و «تنظیمات بعدی» کلیک کنید
  7. 7. پارامتر بعدی قانون "مشخص کردن مکان سرویس به روز رسانی مایکروسافت در اینترانت" است، که در آن باید مکان سرویس به روز رسانی و همچنین سرور آمار را مشخص کنید (معمولاً این همان سرور است). روی OK کلیک کنید در اصل همین کافی است. اما می‌توانید فرآیند به‌روزرسانی را نیز تنظیم کنید. پس از خواندن نکات داخلی قوانین، متوجه خواهید شد که به چه چیزی نیاز دارید.
  8. 8. Snap-in را ببندید

همه ... قوانین بلافاصله اعمال می شود.

به طور کلی، شما می توانید کامپیوترهای دامنه را به این روش پیکربندی کنید. اما اگر مدیر شبکه قبلاً این تنظیمات را در سطح دامنه انجام داده باشد، قوانین فوق اعمال نمی شوند، زیرا توسط خط مشی های گروه دامنه لغو می شوند.

برای پیکربندی رایانه های دامنه برای به روز رسانی از سرور WSUS شرکتی، باید حقوق سرپرست دامنه ویندوز را داشته باشید.

برای پیکربندی، به GPMC (کنسول مدیریت خط مشی گروه) نیاز دارید.

در سرورهای Windows 2008 R2 که به عنوان کنترل کننده دامنه عمل می کنند، این Snap-in به طور پیش فرض نصب و فعال می شود. در سرورهای نسخه قبلی، ممکن است مجبور شوید آن را جداگانه نصب کنید. شما می توانید تجهیزات را از اینجا دانلود کنید. در رایانه های دارای ویندوز 7، بهتر است Snap-in را با کیت مدیریت از راه دور RSAT نصب کنید (نسخه محلی شده وجود دارد). پس از نصب کیت مدیریت از راه دور، فراموش نکنید که اجزای کنترلی لازم را فعال کنید (کنترل پنل - برنامه ها و ویژگی ها - روشن یا خاموش کردن اجزای ویندوز)

شما باید کارهای زیر را انجام دهید: 1. با استفاده از منوی Start - Run - GPMC.msc را اجرا کنید

2. شاخه Domains – Domain_Name – Group Policy Objects را باز کنید و روی منوی “Create” کلیک راست کنید. 4. در پنجره snap-in سمت راست، نام شی خود را پیدا کنید و روی منوی "Edit" کلیک راست کنید. ویرایشگر مدیریت خط مشی گروه باز می شود.

بنابراین، Group Policy Object (GPO) ایجاد شده است، اما GPO ایجاد شده هنوز فقط یک عبارت ساده است. برای اینکه دستورالعمل کار کند، باید این GPO را به کانتینر Windows AD مربوطه متصل کنید. این رایانه های دامنه هستند که در این ظرف هستند که این دستورالعمل ها را اجرا می کنند (یعنی به روز رسانی). این کانتینر می تواند کل دامنه، سایت یا بخش باشد. اینکه کدام ظرف را انتخاب کنید به شما بستگی دارد. اما معیارها به شرح زیر است:

  • -- اگر می خواهید همه رایانه های دامنه شما به روز شوند، GPO را به دامنه پیوند دهید
  • - اگر می‌خواهید فقط بخشی از رایانه‌ها را به‌روزرسانی کنید، مثلاً سرورهای جداگانه، یک بخش در دامنه ایجاد کنید، سرورهای لازم را در آنجا قرار دهید و به این بخش پیوند دهید.
  • - اگر شبکه شما چندین سایت در شهرهای مختلف دارد، زیرشبکه های این سایت ها باید متعلق به سایت های جداگانه باشند. در این مورد، برای اینکه کانال های ارتباطی بین سایت ها بارگذاری نشود، منطقی است که سرور WSUS خود را در هر سایت نصب کنید و برای هر سایتی که به طور خاص به آن اشاره می کند یک GPO جداگانه ایجاد کنید. در آینده، باید آنها را به سایت های مربوطه پیوند دهید (شکل زیر را ببینید)

مراحل زیر فرآیند پیوند دادن GPOهایی را که ایجاد کرده اید به کانتینرهای مناسب ویندوز AD توضیح می دهد.

فرض کنید تصمیم دارید همه رایانه های موجود در یک دامنه را به روز کنید.

1. سپس در Snap-in "Group Policy Management" که قبلاً باز شده است، در سمت چپ پنجره، شاخه "Forest: Forest_Name – Domains - Domain_Name" را باز کنید. 2. بر روی نام دامنه خود کلیک راست کنید، منوی "پیوند یک GPO موجود..."

3. در پنجره "Select Group Policy Object"، GPO مربوطه را که قبلا آن را "WSUS Group Policy" نامگذاری کرده بودیم، پیدا کنید و روی OK کلیک کنید.

به‌روزرسانی سیستم‌عامل سرویس‌گیرنده و سرور با استفاده از خط‌مشی‌های گروه دامنه جداگانه، عمل خوبی است. در این مورد، من از این واقعیت است که:

  • - بهتر است سیستم عامل های سرور را به صورت دستی به عنوان بخشی از تعمیر و نگهداری برنامه ریزی شده به روز کنید (در این مورد، احتیاط کاملاً مناسب است).
  • - بهتر است سیستم عامل های مشتری به صورت خودکار به روز شوند. به روز رسانی آنها به صورت دستی با ناوگان بزرگی از رایانه ها بسیار مشکل ساز است و بعید است که کاربران این کار را انجام دهند (حتی اگر به آنها نشان داده شود که چگونه).

چه کاری باید انجام دهم؟

برای مثال، ابتدا باید GPOهای جداگانه ای در Snap-in GPMC.msc ایجاد کنید

  • خط مشی گروه ServerOS WSUS
  • سیاست گروه ClientOS WSUS

و آنها را به ترتیب برای حالت های دستی (اعلان دانلود و نصب خودکار) و به روز رسانی خودکار سیستم عامل پیکربندی کنید.

در مرحله دوم، دو فیلتر WMI را در همان Snap-In ایجاد کنید. این فیلترها هستند که تعیین می کنند که کدام یک از GPOهای بالا در هنگام به روز رسانی هر رایانه در شبکه شما مؤثر خواهد بود.

سوم، می‌توانید فیلترهای WMI را با GPOهای مربوطه مرتبط کنید و هر دوی این GPOها اکنون می‌توانند مستقیماً با یک دامنه یا سایت (به دلخواه) مرتبط شوند.

نحوه ایجاد فیلتر

در Snap-in GPMC از قبل باز شده، به شاخه Forest - Domains - _Domain_name_ - WMI filters بروید. برای ایجاد فیلتری به نام Server OS و DC روی "Create" کلیک راست کنید

یک درخواست در فضای root\CIMv2 به آن اضافه می کنیم

* را از Win32_OperatingSystem که در آن ProductType="2" یا ProductType="3" انتخاب کنید

این فیلتر به یک GPO با نام «ServerOS WSUS Group Policy» اجازه می‌دهد فقط با رایانه‌هایی که سیستم عامل سرور ویندوز (از جمله کنترل‌کننده‌های دامنه) دارند کار کند.

به طور مشابه، یک فیلتر به نام Client OS "s ایجاد کنید

یک درخواست به آن در root\CIMv2 اضافه کنید

* را از Win32_OperatingSystem که در آن ProductType="1" انتخاب کنید

این فیلتر به یک GPO با نام "ClientOS WSUS Group Policy" اجازه می دهد تا صرف نظر از نسخه (ویندوز 2000 پرو، ویندوز XP، ویستا، ویندوز 7 و ویندوز 8) فقط با رایانه هایی که دارای سیستم عامل ویندوز هستند کار کند.

فیلترها آماده هستند.

همانطور که قبلاً نوشتیم، باید GPOهای ServerOS WSUS Group Policy و ClientOS WSUS Group Policy را با فیلترهای مربوطه مرتبط کنید. به عنوان مثال، این کار را می توان به صورت زیر انجام داد: در شاخه "Group Policy Objects"، GPO مورد نظر را انتخاب کنید، سپس در سمت راست، "WMI Filter" فیلتر مورد نظر را از لیست کشویی انتخاب کنید. بنابراین، اکنون رایانه های مشتری دامنه به طور خودکار به روز می شوند و سرورها مطیعانه منتظر توجه شما خواهند بود.

این راه اندازی را کامل می کند.

در نتیجه همه اقدامات فوق، ما انتظار داریم که به روز رسانی آن بخشی از رایانه های دامنه را که به نظر ما باید مشمول خط مشی پیکربندی شده باشند، آغاز کنیم.

ابتدا، می‌توانید در گزارش‌های مدیریت سرور WSUS برای هر ورودی در مورد وضعیت سرویس گیرندگان به‌روزرسانی خودکار، جستجو کنید.

دوم، می‌توانید تأیید کنید که این خط‌مشی پیکربندی‌شده برای مشتریان WSUS اعمال می‌شود. Control Panel - Windows Update را باز کنید و مطمئن شوید که پیام زیر در سمت راست پنجره Update Center ظاهر می شود: "Controlled by the system administrator" (برای Windows 7/Vista/2008/2008R2) اگر اینطور نیست، سیاست اجرایی نیست

اما این بدان معنا نیست که شما در جایی اشتباه کرده اید. ممکن است رایانه هنوز تنظیمات خود را از کنترل کننده دامنه به روز نکرده باشد.

این به این دلیل است که سیاست‌های گروهی در رایانه‌های دامنه بلافاصله اعمال نمی‌شوند (به‌روزرسانی‌های GP در شبکه محلی به طور پیش‌فرض در فواصل زمانی 15 دقیقه انجام می‌شوند و تکرار بین سایتی حتی کمتر اتفاق می‌افتد). بنابراین، می‌توانید به سادگی صبر کنید یا به روز رسانی سیاست های گروه در کامپیوتر با دستور

پس از به‌روزرسانی خط‌مشی‌های گروه، به‌روزرسانی‌های ویندوز در رایانه شما دانلود می‌شوند.

در زیر لیستی از مشکلات احتمالی WSUS و Windows Update آورده شده است:

سرور WSUS در دسترس نیست (تنظیمات را بررسی کنید دیوار آتش ویندوز، سرور IIS و غیره)

آدرس سرور WSUS در تنظیمات GPO به اشتباه مشخص شده است

سرور WSUS روشن است پورت غیر استاندارد. به عنوان مثال سرور WSUS در http://wsus.office.local:8080 قرار دارد و هنگام تنظیم آدرس در GPO، اصلاً شماره پورت را مشخص نکرده اید یا چیز دیگری را مشخص کرده اید.

رایانه سرویس گیرنده WSUS خدمات مورد نیاز (مانند Windows Update و Group Policy Client و غیره) را اجرا نمی کند.

GPO برای رایانه های فردی کار نمی کند. در این مورد، شما باید با هر یک به طور جداگانه برخورد کنید. من توصیه می‌کنم اثر Group Policy را روی رایانه‌های مشکل‌دار با استفاده از همان Snap-in GPMC.msc شبیه‌سازی کنید. این به شما امکان می دهد تا بررسی کنید که آیا GPO ایجاد شده در رایانه مورد تجزیه و تحلیل اعمال شده است یا خیر. متأسفانه، عیب یابی Group Policy Windows AD خارج از محدوده این پست است.

خوب، و مهمتر از همه... گزارش مشتری WSUS اینجاست --> c:\Windows\WindowsUpdate.log

r67rus.blogspot.ru

راه اندازی WSUS

Windows Server Update Services (WSUS) یک سرور به روز رسانی برای سیستم عامل ها و محصولات مایکروسافت است. یک کنسول بسیار مفید اگر بیش از 10 کامپیوتر در دفتر وجود داشته باشد. از این جهت مفید است که به شما امکان می‌دهد به‌روزرسانی‌ها را از یک سرور به همه رایانه‌های موجود در شبکه «توزیع» کنید، به‌عنوان مثال، هر رایانه فردی مجبور نیست کانال اینترنت را دانلود کند، اما یک سرور به‌روزرسانی‌ها را دانلود کرده و آنها را در سراسر شبکه «توزیع» می‌کند. تمام ایستگاه های کاری و سرورها

در ابتدا در ویندوز 2003 نیاز به دانلود کیت توزیع WSUS از وب سایت مایکروسافت بود که با ظهور MsWindows 2008 و Ms و Windows 2008 R2 این نیاز از بین رفت، زیرا نقش WSUS ظاهر شده است، اگرچه می توانید کیت توزیع را از وب سایت مایکروسافت به روش قدیمی دانلود کنید.

برای نصب باید انجام دهید حداقل الزامات، یعنی: سیستم عامل: Windows Server 2003 SP1 و بالاتر. نقش‌های سرور اضافی: IIS 6.0 و بالاتر (برای Windows Server 2008، هنگام افزودن یک نقش، از شما می‌خواهد آن را نصب کنید) به‌روزرسانی‌های اضافی سیستم‌عامل: Microsoft .NET Framework 2.0، Microsoft Management Console 3.0. برنامه های اضافی: Microsoft Report Viewer، SQL Server 2005 SP1 (WSUS می تواند سرویس پایگاه داده داخلی ویندوز را نصب کند). باید فضای هارد دیسک خود را در نظر بگیرید؛ بسته به تنظیماتی که در WSUS دارید، حداقل 100 گیگابایت را توصیه می کنم.

بنابراین، مهم نیست که از کدام راه نصب کنید (با استفاده از توزیع یا اضافه کردن یک نقش)، مراحل یکسان خواهند بود.

پس از شروع نصب، باید چندین بار روی Next کلیک کنید. من روی مراحل اصلی تمرکز خواهم کرد: ما نشان می دهیم که به روز رسانی ها در کجا ذخیره می شوند (دیسکی با ظرفیت حداقل 100 گیگابایت فضای خالی)

پوشه ای که پایگاه داده به روز رسانی در آن ذخیره می شود را مشخص کنید (2-4 گیگابایت فضای آزاد).

خیلی گام مهمانتخاب پورتی که آپدیت روی آن توزیع می شود؛ به طور پیش فرض از پورت 80 استفاده می شود، اما استفاده از آن را توصیه نمی کنم، زیرا این پورت اغلب توسط برنامه های کاربردی دیگر استفاده می شود. بهتر است یک وب سایت سرویس WSUS ایجاد کنید و از پورت 8530 استفاده کنید.

پس از نصب سرویس Wsus، باید آن را به درستی پیکربندی کنید، دوباره به مراحل اصلی نگاه می کنیم: انتخاب کنید که از کجا به روز رسانی دریافت کنیم، اگر این اولین سرور با Wsus است، سپس همگام سازی با Microsoft Update را انتخاب کنید.

زبان‌هایی که انتخاب می‌کنید باید انگلیسی (الزامی) + زبان‌هایی که در شبکه شما یافت می‌شوند باشند.

ما محصولاتی را انتخاب می کنیم که به روز می شوند (شما باید فقط مواردی را که استفاده می کنید نشان دهید، در غیر این صورت به روز رسانی های بی معنی فضای هارد دیسک شما را اشغال می کند).

کلاس های محصولی که به روز می شوند را انتخاب کنید.

تنظیمات اولیه تکمیل شده است، بیایید به تنظیمات اضافی برویم، کنسول WSUS را مستقیماً راه اندازی کنیم. برای راحتی، من توصیه می کنم 2 گروه رایانه ایجاد کنید، یک گروه دارای سرور و گروه دیگر دارای ایستگاه های کاری (این کار به این صورت انجام می شود که شما می تواند نصب به روز رسانی برای سرورها را محدود کند).

در ابتدا، همه رایانه ها در رایانه های Unassigned قرار می گیرند، سپس باید رایانه ها را به صورت دستی به گروه های مورد نیاز منتقل کنید. برای ایستگاه های کاری، توصیه می کنم همه به روز رسانی ها را نصب کنید؛ برای انجام این کار، به « گزینه ها - خودکارتایید» و انجام دهید قانون بعدی.

و برای سرورها ما قانونی را ایجاد می کنیم که فقط به روز رسانی های مهم را تأیید می کند (برای سرورها نصب همه به روز رسانی ها به شدت توصیه نمی شود، زیرا این امر می تواند باعث اختلال در عملکرد آنها شود، من چندین بار با این مورد مواجه شده ام).

اکنون لازم است تغییراتی در همه رایانه های موجود در شبکه ایجاد شود تا آنها بدانند که به روز رسانی ها را از کجا دریافت کنند. این کار با استفاده از سیاست های گروه انجام می شود. به کنترل کننده دامنه "شروع - ابزارهای اداری - مدیریت خط مشی گروه" بروید. خط مشی را انتخاب کنید که در دامنه عمل می کند (Default Group Policy به طور پیش فرض) یا یک سیاست جدید ایجاد کنید. راست کلیک کرده و "Edit" را انتخاب کنید. در پنجره "ویرایشگر مدیریت خط مشی گروه"، به "پیکربندی کامپیوتر - سیاست ها - قالب های اداری - اجزای ویندوز - به روز رسانی ویندوز" بروید. در زیر تنظیمات آماده و تست شده است. جایی که خط قرمز است، نام یا آدرس IP سرور خود را که WSUS روی آن نصب شده است وارد کنید.

در روسی:

اگر در زیرساخت مکان‌های کاری وجود داشته باشد که بخشی از دامنه نیست (مثلاً مکان‌های کاری سیار)، اما سرویس به‌روزرسانی برای این مکان‌های کاری ضروری باشد، می‌توان این سرویس را در «خط‌مشی امنیت محلی» مشخص کرد. خط فرمان، تایپ کنید gpedit.msc و ما همان عملیاتی را انجام می دهیم که در بالا برای خط مشی گروه در دامنه توضیح داده شد.

چند دقیقه پس از انجام تمام مراحل، کامپیوترهای شبکه در کنسول Wsus در گروه Unassigned computers ظاهر می شوند. با توجه به سیستم عامل آنها، آنها را به گروه مورد نظر (سرور یا گروه کاری) منتقل می کنید. یادآوری می کنم که طبق تنظیمات ما، تمام به روز رسانی ها بر روی رایانه هایی که در گروه Workgroup هستند نصب می شود، فقط آنهایی که برای سرورها حیاتی هستند.

pk-help.com

WSUS را نصب و پیکربندی کنید.

هر مدیری اهمیت به‌روزرسانی‌های به‌موقع را درک می‌کند، به‌ویژه وقتی صحبت از به‌روزرسانی‌های امنیتی حیاتی باشد. با این حال، با رشد شبکه و افزایش تعداد محصولات نرم افزاری، این امر به یک کار بسیار دشوار تبدیل می شود. بنابراین وقت آن است که WSUS (سرویس های به روز رسانی سرور ویندوز) را استقرار دهیم - سرور محلیبه روز رسانی در شبکه شما

با این کار چندین پرنده را با یک سنگ می‌کشید: بار کانال و ترافیک مصرفی اینترنت را به میزان قابل توجهی کاهش دهید و همچنین ابزار قدرتمندی برای نظارت و مدیریت فرآیند به‌روزرسانی در اختیار دارید. از این پس، تمام رایانه های شخصی محلی از سرور شما به روز می شوند و فقط به روز رسانی هایی را که انتخاب می کنید نصب می کنند.

توجه! این موادبرای نسخه های قدیمی ویندوز سرور در نظر گرفته شده است، همچنین توصیه می کنیم مقاله فعلی را بخوانید: Windows Server 2012 - نصب و پیکربندی WSUS.

بیا شروع کنیم. قبل از نصب WSUS، باید سرور را آماده کنید، ما از Windows Server 2008 R2 استفاده خواهیم کرد، اما با اصلاحات جزئی، همه آنچه گفته شد برای سایر نسخه های ویندوز سرور صادق خواهد بود. آنچه ما نیاز داریم:

  • IIS 6 یا بالاتر
  • NET Framework 2.0 یا بالاتر،
  • گزارش بیننده قابل توزیع مجدد 2008،
  • SQL Server 2005 SP2 Express یا بالاتر.

WSUS می تواند به روز رسانی ها را در پایگاه داده خود ذخیره کند یا از یک سرور SQL استفاده کند، دومی از نقطه نظر عملکرد ارجح تر است. اگر قبلاً یک سرور SQL در شبکه خود مستقر کرده اید، می توانید از آن استفاده کنید، در غیر این صورت SQL Express رایگان کاملاً مناسب است.

شما می توانید تمام اجزای لازم را در وب سایت مایکروسافت دریافت کنید:

هنگام دانلود، به عمق بیت توجه کنید؛ برای سیستم عامل 64 بیتی، نسخه های 64 بیتی محصولات را دانلود می کنیم.

خدا حافظ دانلود در حال انجام استبیایید نقش های سرور را اضافه کنیم. ما به یک وب سرور (IIS) و یک سرور برنامه (در نسخه های قبلیویندوز سرور دات نت فریم ورک را نصب می کند). Application Server با مقادیر پیش فرض نصب شده است و گزینه های زیر باید به وب سرور اضافه شوند:

  • ASP.NET
  • ویندوز - احراز هویت
  • فشرده سازی پویا محتوای
  • سازگاری مدیریت IIS6

با افزودن نقش های لازم، Report Viewer و SQL Server را با پارامترهای پیش فرض نصب می کنیم. همه چیز آماده است، می توانید WSUS را نصب کنید. پس از راه اندازی نصب کننده، نصب سرور و کنسول مدیریت و پوشه نصب را انتخاب کنید. در پارامترهای پایگاه داده ما سرور SQL خود را نشان می دهیم. بقیه تنظیمات را می توان به عنوان پیش فرض باقی گذاشت.

ویزارد بلافاصله پس از نصب راه اندازی می شود راه اندازی اولیه. همه گزینه ها بسیار ساده و واضح هستند. در تنظیمات همگام‌سازی، نشان می‌دهیم که سرور ما از کجا به‌روزرسانی‌ها را دریافت می‌کند: از سرور مایکروسافت یا از سرور WSUS دیگر. اگر نیاز به استقرار یک سرور به روز رسانی اضافی، به عنوان مثال، برای یک شعبه دارید، آخرین گزینه باید استفاده شود. در این صورت سرور برده فقط به روز رسانی هایی را دریافت می کند که شما تایید می کنید.

در تب بعدی، در صورت لزوم، پارامترهای سرور پراکسی را مشخص کرده و اتصال اولیه را انجام دهید. اطلاعات از سرور بالادست دانلود خواهد شد: لیست محصولات، انواع به روز رسانی ها و غیره.

هنگام انتخاب محصولات، حریص نباشید؛ فقط آنچه را که واقعاً نیاز دارید مشخص کنید؛ بعداً همیشه می توانید این لیست را تغییر دهید.

در صفحه بعد، مشخص کنید که کدام دسته از به روز رسانی ها را می خواهید دریافت کنید؛ در اینجا همه چیز به خط مشی به روز رسانی در شرکت شما بستگی دارد. لازم به یادآوری است که به‌روزرسانی‌های درایور و بسته‌های ویژگی جدید به‌طور خودکار و بدون آزمایش قبلی توصیه نمی‌شوند. اگر فرصت انجام این کار را ندارید، پس نیازی به تعیین این کلاس ها ندارید.

فراموش نکنید که یک برنامه زمانبندی برای همگام سازی با سرور بالادستی نیز تنظیم کنید. این تنظیمات اولیه را کامل می کند.

پس از باز کردن کنسول (موجود در منوی Administration)، ابتدا اجرا کنید همگام سازی دستیبرای دانلود تمام به روز رسانی های موجود در حال حاضر برای محصولات انتخاب شده. بسته به اینکه چه چیزی و چه مقدار در طول راه اندازی انتخاب کرده اید، و همچنین سرعت اتصال شما، ممکن است زمان زیادی طول بکشد.

در حالی که همگام سازی در حال انجام است، بیایید رایانه های شخصی مشتری را راه اندازی کنیم. اگر اکتیو دایرکتوری را مستقر کرده اید، این کار را می توان با استفاده از خط مشی های گروه انجام داد. Group Policy Management را باز کنید، شی مورد نیاز را انتخاب کنید و کلیک راست کرده و روی Edit کلیک کنید. در پنجره باز شده گزینه Computer Configuration - Policies - Administrative Templates - Windows Update را انتخاب کنید. ما علاقه مند به گزینه Specify location of Microsoft update service on the intranet هستیم. ما آن را به موقعیت Enabled تغییر می دهیم و مسیر سرور WSUS خود را به شکل http:\\SERVER_NAME مشخص می کنیم.


همچنین توصیه می کنیم گزینه تنظیمات به روز رسانی خودکار را تنظیم کنید که کاملا تکرار می شود تنظیم مشابهدر رایانه های شخصی مشتری پس از مدتی که برای به‌روزرسانی خط‌مشی‌های گروه مورد نیاز است، رایانه‌های موجود در شبکه شما شروع به اتصال به سرور و دریافت به‌روزرسانی‌ها می‌کنند.

اگر شبکه شما ساختار همتا به همتا دارد، باید هر رایانه شخصی را جداگانه پیکربندی کنید. این کار از طریق ویرایشگر خط مشی گروه محلی (شروع - اجرا - gpedit.msc) انجام می شود، فرآیند راه اندازی خود کاملاً مشابه آنچه در بالا توضیح داده شد است.

می‌توانید تعداد رایانه‌های شخصی و وضعیت آنها را در بخش رایانه‌های کنسول مدیریت کنترل کنید.

اطلاعات کافی برای ارزیابی سریع وضعیت کلی و توجه به مناطق مشکل دار وجود دارد. صلیب های قرمز نشان می دهد که خطاهای به روز رسانی در این رایانه های شخصی رخ داده است؛ هر یک از این موارد باید جداگانه بررسی شود. برای هر به روز رسانی، یک گزارش مفصل حاوی تمام داده های لازم برای تجزیه و تحلیل مشکل تولید می شود.

ما همچنین توصیه می کنیم رایانه شخصی خود را به گروه ها تقسیم کنید؛ برای هر گروه می توانید خط مشی به روز رسانی خود را تعیین کنید. بنابراین در گروه جداگانهشما می توانید سرورهایی را انتخاب کنید که فقط می توانید به طور خودکار برای آنها نصب کنید به روز رسانی های حیاتیامنیت.

در اینجا به یکی دیگر می رسیم تنظیم مهمسرور - تایید خودکار. رایانه های شخصی مشتری فقط می توانند به روز رسانی های تأیید شده را دریافت کنند، اما انجام هر کار به صورت دستی غیرواقعی است، بنابراین برخی از به روز رسانی ها می توانند به طور خودکار تأیید شوند. بیایید تنظیمات را باز کنیم - تأییدیه‌های خودکار و خط‌مشی را از قبل فعال کنیم، که به شما امکان می‌دهد به‌روزرسانی‌های مهم و امنیتی را به‌طور خودکار نصب کنید.

در اینجا می توانید قوانین خود را ایجاد کرده و آنها را به هر گروه رایانه شخصی اختصاص دهید. به عنوان مثال، ما یک قانون ایجاد کردیم: به طور خودکار تمام به‌روزرسانی‌های MS Office برای گروه Workstations تأیید شود.

شما می توانید تمام به روز رسانی های موجود را در قسمت به روز رسانی ها مشاهده کنید و در اینجا می توانید آنها را به صورت دستی تأیید کنید. توصیه می کنیم یک یا چند رایانه شخصی آزمایشی (مجازی که ممکن است) داشته باشید و به روز رسانی ها و بسته های ویژگی های جدید را روی آنها آزمایش کنید و تنها پس از آن به روزرسانی ها را برای نصب تأیید کنید. می‌توانید به‌روزرسانی‌ها را هم برای همه رایانه‌های شخصی و هم برای یک گروه تأیید کنید؛ به عنوان مثال، ما نصب بسته Silverlight را برای گروه Workstations تأیید کردیم.

به عنوان بخشی از تعمیر و نگهداری سرور، ارزش آن را دارد که هر از گاهی (حدود یک بار در ماه) سرور را تمیز کنید. این به شما این امکان را می دهد که از افزایش بیش از حد اندازه پایگاه داده با حذف به روز رسانی های بدون ادعا، دیگر مورد نیاز و تایید نشده جلوگیری کنید.

نحوه نصب دیسک Yandex بر روی کامپیوتر

در یکی از مقالات قبلی ما این روش را به طور کامل شرح دادیم. پس از پیکربندی سرور، باید کلاینت‌های ویندوز (سرورها و ایستگاه‌های کاری) را برای استفاده از سرور WSUS برای دریافت به‌روزرسانی‌ها پیکربندی کنید تا کلاینت‌ها به‌روزرسانی‌ها را از سرور به‌روزرسانی داخلی دریافت کنند. سرورهای مایکروسافتاز طریق اینترنت به روز رسانی کنید. در این مقاله، روش پیکربندی کلاینت‌ها برای استفاده از سرور WSUS با استفاده از سیاست‌های گروهی را بررسی خواهیم کرد. دامنه فعالفهرست راهنما.

خط‌مشی‌های گروه AD به مدیر اجازه می‌دهد تا رایانه‌ها را به‌طور خودکار به گروه‌های مختلف WSUS اختصاص دهد، و نیازی به جابجایی دستی رایانه‌ها بین گروه‌ها در کنسول WSUS را از بین می‌برد و آن گروه‌ها را به‌روز نگه می‌دارد. تخصیص مشتریان به گروه های هدف مختلف WSUS بر اساس یک برچسب رجیستری روی مشتری است (برچسب ها توسط Group Policy یا با ویرایش مستقیم رجیستری تنظیم می شوند). این نوع تخصیص مشتریان به گروه های WSUS نامیده می شود مشتریسمتهدف گذاری(هدف گیری سمت مشتری).

فرض بر این است که شبکه ما از دو خط مشی به روز رسانی متفاوت استفاده خواهد کرد - یک خط مشی نصب به روز رسانی جداگانه برای سرورها ( سرورها) و برای ایستگاه های کاری ( ایستگاه های کاری). این دو گروه باید در کنسول WSUS در قسمت All Computers ایجاد شوند.

مشاوره. خط مشی نحوه استفاده مشتریان از سرور به روز رسانی WSUS تا حد زیادی به این بستگی دارد ساختار سازمانی OU در اکتیو دایرکتوری و به روز رسانی قوانین نصب در سازمان. در این مقاله ما فقط نگاه خواهیم کرد گزینه خصوصی، که به شما کمک می کند اصول اولیه استفاده از سیاست های AD برای نصب به روز رسانی های ویندوز را درک کنید.

اول از همه، شما باید یک قانون برای گروه بندی کامپیوترها در کنسول WSUS (هدف گیری) مشخص کنید. به‌طور پیش‌فرض، در کنسول WSUS، رایانه‌ها به‌طور دستی توسط مدیر در گروه‌ها توزیع می‌شوند (هدف‌گیری سمت سرور). ما از این راضی نیستیم، بنابراین اشاره خواهیم کرد که رایانه ها بر اساس هدف گیری سمت مشتری (توسط یک کلید خاص در رجیستری مشتری) به گروه هایی توزیع می شوند. برای انجام این کار، در کنسول WSUS، به بخش بروید گزینه هاو پارامتر را باز کنید کامپیوترها. مقدار را به از Group Policy یا تنظیمات رجیستری در رایانه ها استفاده کنید(از Group Policy یا تنظیمات رجیستری در رایانه استفاده کنید).

اکنون می توانید یک GPO برای پیکربندی کلاینت های WSUS ایجاد کنید. کنسول مدیریت خط مشی دامنه را باز کنید و دو خط مشی گروه جدید ایجاد کنید: ServerWSUSPolicy و WorkstationWSUSPolicy.

خط مشی گروه WSUS برای سرورهای ویندوز

بیایید با توضیح خط مشی سرور شروع کنیم ServerWSUSPolicy.

تنظیمات خط مشی گروه مسئول عملکرد سرویس Windows Update در بخش GPO قرار دارد: کامپیوترپیکربندی -> سیاست های-> اداریقالب ها-> پنجره هاجزء-> پنجره هابه روز رسانی(Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update).

در سازمان ما، ما انتظار داریم که از این سیاست برای نصب به‌روزرسانی‌های WSUS در سرورهای ویندوز استفاده کنیم. انتظار می‌رود همه رایانه‌های تحت پوشش این خط‌مشی به گروه سرورها در کنسول WSUS اختصاص داده شوند. علاوه بر این، ما می خواهیم از نصب خودکار به روز رسانی ها در سرورها هنگام دریافت آنها جلوگیری کنیم. کلاینت WSUS باید به سادگی به‌روزرسانی‌های موجود را روی دیسک دانلود کند، هشداری را برای به‌روزرسانی‌های جدید در سینی سیستم نمایش دهد، و منتظر بماند تا سرپرست نصب (چه به صورت دستی یا از راه دور با استفاده از ) شروع به نصب کند. این بدان معناست که سرورهای تولید به‌طور خودکار به‌روزرسانی‌ها را نصب نمی‌کنند و بدون تأیید سرپرست راه‌اندازی مجدد نمی‌شوند (این کار معمولاً انجام می‌شود. مدیر سیستمدر چارچوب نگهداری برنامه ریزی شده ماهانه). برای اجرای چنین طرحی، سیاست های زیر را تعیین می کنیم:

  • پیکربندی کنیدخودکاربه روز رسانی ها(تنظیم به روز رسانی خودکار): فعال کردن. 3 - خودکاردانلودواعلام کردنبراینصب(به‌روزرسانی‌ها را به‌طور خودکار دانلود کنید و زمانی که آماده نصب شدند به شما اطلاع می‌دهند)- مشتری به طور خودکار به روز رسانی های جدید را دانلود می کند و در مورد در دسترس بودن آنها اطلاع می دهد.
  • مشخص كردناینترانتمایکروسافتبه روز رسانیسرویسمحل(محل اینترانت مایکروسافت به روز رسانی را مشخص کنید): فعال کردن. سرویس به‌روزرسانی اینترانت را برای شناسایی به‌روزرسانی‌ها تنظیم کنید: http://srv-wsus.site:8530، سرور آمار اینترانت را تنظیم کنید: http://srv-wsus.site:8530- در اینجا باید آدرس سرور WSUS و سرور آمار خود را مشخص کنید (معمولاً آنها یکسان هستند).
  • بدون راه اندازی مجدد خودکار با کاربران وارد شده برای نصب به روز رسانی های خودکار برنامه ریزی شده(اجرا نکنید راه اندازی مجدد خودکارهنگام نصب خودکار به روز رسانی ها در صورت وجود کاربران در سیستم): فعال کردن- ممنوعیت راه اندازی مجدد خودکار زمانی که یک جلسه کاربر وجود دارد.
  • فعال کردنمشتری-سمتهدف گذاری (اجازه دادن به مشتری برای پیوستن به گروه هدف): فعال کردن. نام گروه هدف برای این رایانه گروه هدفبرای این کامپیوتر): سرورها– در کنسول WSUS، مشتریان را به گروه Servers اختصاص دهید.

توجه داشته باشید. هنگام تنظیم یک خط مشی به روز رسانی، توصیه می کنیم با تمام تنظیمات موجود در هر یک از گزینه های موجود در بخش GPO به دقت آشنا شوید. پنجره هابه روز رسانیو پارامترهای متناسب با زیرساخت و سازمان خود را تنظیم کنید.

سیاست نصب به‌روزرسانی WSUS برای ایستگاه‌های کاری

ما فرض می‌کنیم که به‌روزرسانی‌های ایستگاه‌های کاری مشتری، برخلاف خط‌مشی سرور، بلافاصله پس از دریافت به‌روزرسانی‌ها، به‌طور خودکار در شب نصب می‌شوند. پس از نصب به‌روزرسانی‌ها، رایانه‌ها باید به‌طور خودکار راه‌اندازی مجدد شوند (5 دقیقه قبل به کاربر هشدار می‌دهند).

در این GPO (WorkstationWSUSPolicy) ما مشخص می کنیم:

  • اجازهخودکاربه روز رسانی هافورینصب و راه اندازی(اجازه نصب فوری به‌روزرسانی‌های خودکار): معلول- ممنوعیت نصب فوری به روز رسانی ها هنگام دریافت آنها؛
  • اجازهغیر-مدیرانبهدريافت كردنبه روز رسانیاطلاعیه(اجازه به کاربران غیر سرپرست برای دریافت اعلان‌های به‌روزرسانی): فعال شد- نمایش اخطار به غیر مدیران در مورد به روز رسانی های جدید و اجازه نصب دستی آنها.
  • پیکربندی به‌روزرسانی‌های خودکار:فعال شد. پیکربندی به روز رسانی خودکار: 4 - دانلود خودکار و زمانبندی نصب.روز نصب برنامه ریزی شده: 0 - هرروز. زمان نصب برنامه ریزی شده: 05:00 - هنگامی که به روز رسانی های جدید دریافت می شود، مشتری آنها را در حافظه پنهان محلی دانلود می کند و نصب خودکار آنها را در ساعت 5:00 صبح برنامه ریزی می کند.
  • نام گروه هدف برای این رایانه: ایستگاه های کاری- در کنسول WSUS، مشتری را به گروه Workstations اختصاص دهید.
  • بدون راه اندازی مجدد خودکار با کاربرانی که وارد سیستم شده اند برای نصب به روز رسانی های خودکار برنامه ریزی شده: معلول- سیستم به طور خودکار 5 دقیقه پس از اتمام نصب به روز رسانی راه اندازی مجدد می شود.
  • اینترانت را مشخص کنید به روز رسانی مایکروسافتمحل خدمات: فعال کردن سرویس به‌روزرسانی اینترانت را برای شناسایی به‌روزرسانی‌ها تنظیم کنید: http://srv-wsus.site:8530، سرور آمار اینترانت را تنظیم کنید: http://srv-wsus.site:8530-آدرس سرور WSUS شرکتی.

در ویندوز 10 1607 و بالاتر، حتی اگر به آنها دستور داده‌اید که به‌روزرسانی‌ها را از WSUS داخلی دریافت کنند، ممکن است همچنان سعی کنند به آن دسترسی پیدا کنند. سرورهای ویندوزبه روز رسانی در اینترنت. این "ویژگی" نامیده می شود دوگانهاسکن کنید. برای غیرفعال کردن دریافت به روز رسانی از اینترنت، باید این خط مشی را نیز فعال کنید انجام دادننهاجازهبه روز رسانیبه تعویق انداختنسیاست هایبهعلتاسکن می کنددر برابرپنجره هابه روز رسانی ().

مشاوره. برای بهبود "سطح وصله" رایانه ها در یک سازمان، هر دو خط مشی را می توان به گونه ای پیکربندی کرد که شروع سرویس به روز رسانی (wuauserv) را در کلاینت ها اجباری کند. برای انجام این کار، در بخش پیکربندی کامپیوتر -> سیاست ها-> تنظیمات ویندوز -> تنظیمات امنیتی -> خدمات سیستمسرویس Windows Update را پیدا کنید و تنظیم کنید تا به طور خودکار شروع شود ( خودکار).

تخصیص سیاست های WSUS به OU های Active Directory

مرحله بعدی تخصیص خط مشی های ایجاد شده به کانتینرهای Active Directory (OU) مناسب است. در مثال ما، ساختار OU در دامنه AD تا حد امکان ساده است: دو کانتینر وجود دارد - سرورها (شامل تمام سرورهای سازمان، علاوه بر کنترل کننده های دامنه) و WKS (ایستگاه های کاری - رایانه های کاربر).

مشاوره. ما تنها یک گزینه نسبتاً ساده را برای اتصال سیاست‌های WSUS به مشتریان در نظر می‌گیریم. که در سازمان های واقعیمی‌توان یک خط‌مشی WSUS را به همه رایانه‌های موجود در دامنه متصل کرد (GPO با تنظیمات WSUS به ریشه دامنه متصل است)، گسترش یابد. انواع مختلفکلاینت ها در OU های مختلف (مانند مثال ما - ما سیاست های WSUS مختلفی را برای سرورها و ایستگاه های کاری ایجاد کردیم)، در دامنه های توزیع شده بزرگ می توانید GPO ها را بر اساس روش های بالا متصل کنید، یا اختصاص دهید، یا ترکیب کنید.

برای اختصاص یک خط مشی به یک OU، روی OU مورد نظر در کنسول مدیریت خط مشی گروه کلیک کنید و آیتم منو را انتخاب کنید. پیوند به عنوان GPO موجودو سیاست مناسب را انتخاب کنید.

مشاوره. یک OU جداگانه با کنترل کننده های دامنه (Domain Controller) را فراموش نکنید؛ در بیشتر موارد، خط مشی "سرور" WSUS باید به این ظرف اختصاص داده شود.

دقیقاً به همین ترتیب، باید خط مشی WorkstationWSUSPolicy را به کانتینر AD WKS که ایستگاه های کاری ویندوز در آن قرار دارد اختصاص دهید.

تنها چیزی که باقی می‌ماند این است که سیاست‌های گروه را روی کلاینت‌ها به‌روزرسانی کنیم تا مشتری را به سرور WSUS متصل کنیم:

تمام تنظیمات سیستم به روز رسانی ویندوز که با استفاده از خط مشی های گروه تنظیم می کنیم باید در رجیستری مشتری در شعبه ظاهر شوند HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

را فایل regمی تواند برای انتقال تنظیمات WSUS به رایانه های دیگری که نمی توانند تنظیمات به روز رسانی را با استفاده از GPO پیکربندی کنند (رایانه های یک گروه کاری، بخش های جدا شده، DMZ و غیره) استفاده شود.

پنجره ها ویرایشگر رجیسترینسخه 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="سرورها"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

همچنین کنترل تنظیمات WSUS اعمال شده روی کلاینت ها با استفاده از rsop.msc راحت است.

و بعد از مدتی (بسته به تعداد آپدیت ها و پهنای باندکانال به سرور WSUS) باید سینی را برای اعلان های بازشو در مورد وجود به روز رسانی های جدید بررسی کنید. در کنسول WSUS، کلاینت‌ها باید در گروه‌های مناسب ظاهر شوند (در فرم جدولینام مشتری، IP، سیستم عامل، درصد "وصله" بودن آنها و تاریخ آخرین به روز رسانی وضعیت را نمایش می دهد). زیرا ما رایانه‌ها و سرورها را به گروه‌های مختلف WSUS بر اساس خط‌مشی‌ها اختصاص داده‌ایم؛ آنها فقط به‌روزرسانی‌های تأیید شده برای نصب در گروه‌های WSUS مربوطه را دریافت خواهند کرد.

توجه داشته باشید. اگر به‌روزرسانی‌ها روی کلاینت ظاهر نمی‌شوند، توصیه می‌شود گزارش سرویس Windows Update را در کلاینت مشکل‌ساز (C:\Windows\WindowsUpdate.log) با دقت بررسی کنید. لطفاً توجه داشته باشید که ویندوز 10 (ویندوز سرور 2016) از . کلاینت به روز رسانی ها را در پوشه محلی C:\Windows\SoftwareDistribution\Download دانلود می کند. برای شروع جستجوی به روز رسانی های جدید در سرور WSUS، باید دستور زیر را اجرا کنید:

wuauclt/detectnow

همچنین، گاهی اوقات مجبور می‌شوید به اجبار مشتری را دوباره ثبت کنید سرور WSUS:

wuauclt /detectnow /resetAuthorization

در موارد به خصوص دشوار، می توانید سعی کنید سرویس wuauserv را تعمیر کنید. اگر این اتفاق افتاد، فرکانس بررسی به‌روزرسانی‌ها را در سرور WSUS با استفاده از خط‌مشی فرکانس تشخیص به‌روزرسانی خودکار تغییر دهید.

در مقاله بعدی ویژگی ها را شرح خواهیم داد. همچنین توصیه می کنیم مقاله بین گروه ها را در سرور WSUS بخوانید.

بهترین مقالات در این زمینه

کپی کردن فایل ها و پوشه ها
کپی کردن فایل ها و پوشه ها
روش های مختلف برای اجرای Command Prompt به عنوان Administrator در ویندوز
روش های مختلف برای اجرای Command Prompt به عنوان Administrator در ویندوز
دستور RUNAS - اجرای یک برنامه به عنوان کاربر دیگر ویندوز
دستور RUNAS - اجرای یک برنامه به عنوان کاربر دیگر ویندوز
دسته بندی ها:
© 2023 bumotors.ru. نحوه راه اندازی گوشی های هوشمند و رایانه های شخصی. پرتال اطلاعاتی