در حال نصب سرور آپدیت ویندوز سرور Update Services برای پلتفرم Windows 2008 R2 کار سختی نیست. فقط باید به یاد داشته باشید که کیت توزیع خود WSUS دیگر نیازی به دانلود از وب سایت مایکروسافت ندارد. این سرور مانند سایر سرورها نصب می شود خدمات ویندوزسرور 2008 R2 - از طریق نصب نقش های سرور.
لازم به ذکر است که ممکن است همچنان به بسته نصب WSUS نیاز داشته باشید، اما فقط در صورتی که بخواهید نصب کنید کنسول مدیریت جداگانهبه یکی از ایستگاه های کاری در این صورت می توانید آن را از اینجا دانلود کنید.
راه اندازی سرور WSUS
پس بیایید نصب را شروع کنیم. ما فرض می کنیم که شما قبلاً سیستم عامل Windows 2008 R2 را نصب کرده اید و با استفاده از حسابی وارد شده اید که دارای حقوق است. مدیر محلی. قبل از نصب، باید مطمئن شوید که سرور به شبکه متصل است و اینترنت از آن قابل دسترسی است (این مهم است).
1. Snap-in "Server Manager" را باز کنید. سپس، در پانل سمت چپ، شاخه «نقشها» را باز کنید و در پانل سمت راست، جادوگر «افزودن نقشها» را اجرا کنید (شکل زیر را ببینید):
2. پس از انتخاب خط لیست "Windows Server Update Services"، یک پنجره جادوگر ظاهر می شود که از شما می خواهد سرویس وب سرور و همچنین اجزای لازم را اضافه کنید. ما با این پیشنهاد موافقیم و سه بار روی "بعدی" کلیک می کنیم.
3. مرحله بعدی در واقع نصب سرویس WSUS است. روی «Next» و سپس «Install» کلیک کنید. در این مرحله سرور شروع به دانلود از اینترنت و نصب سرویس می کند. در طول مراحل نصب، از شما خواسته می شود که شرایط قرارداد مجوز را بپذیرید:
ما این بسته را بعدا نصب خواهیم کرد.
5. مرحله بعدی نشان دادن محل پوشه ای است که به روز رسانی ها در آن ذخیره می شوند. می توانید گزینه پیشنهادی را بپذیرید یا پوشه دیگری را مشخص کنید. این پوشه d.b. روی دیسک با فایل سیستم NTFS. مطمئن شوید که فضای کافی در آنجا وجود دارد. به عنوان مثال برای تخمین، به شما اطلاع می دهم که به روز رسانی ویندوز برای سرورها و ایستگاه های کاری به دو زبان (روسی، انگلیسی) تقریباً به 40 تا 60 گیگابایت نیاز دارد. ذخیره کردن را توصیه نمی کنم...
6. پایگاه داده MS SQL برای اجرای WSUS 3.0 استفاده می شود. می توانید از یک پایگاه داده داخلی استفاده کنید یا از پایگاه داده موجود در شبکه خود استفاده کنید:
آدرس سرویس WSUS نیز در اینجا نشان داده شده است که هنگام تنظیم سرویس گیرندگان مورد نیاز است.
9. همین... در این مرحله می توان خود فرآیند نصب را کامل در نظر گرفت.
10. اما کار استاد ادامه خواهد داشت. مرحله بعدی پیکربندی مستقیم سرویس به روز رسانی است:
11. مراحل ویزارد زیر به شما کمک می کند تا تنظیمات اولیه سرویس WSUS را انجام دهید. شما باید مشخص کنید که این سرور WSUS از کدام سرور همگام سازی می شود. گزینه های ممکن: سرور مایکروسافت یا سرور بالادستی WSUS
12. در هنگام همگام سازی باید تنظیمات سرور پروکسی را مشخص کنید:
13. در مرحله بعد به سرور مایکروسافت (یا سرور بالادست) متصل خواهیم شد. این ممکن است چند دقیقه طول بکشد:
اگر این فرآیند با شکست مواجه شد، تنظیمات سرور پراکسی را که قبلا وارد کرده اید بررسی کنید. مطمئن شوید که سرور مایکروسافت یا سرور بالادستی WSUS از آن سرور قابل دسترسی است و دوباره امتحان کنید.
15. روشن گام بعدیاز شما خواسته می شود محصولات مایکروسافت را انتخاب کنید که به روز رسانی برای آنها دانلود می شود
16. همچنین، باید کلاس های به روز رسانی را انتخاب کنید:
فرآیند دانلود آپدیت زمان زیادی طول خواهد کشید. دانلود اولیه چند ساعت طول می کشد و می تواند به چند ده گیگابایت برسد. به منظور کاهش میزان ترافیک، سرور WSUS می تواند کاتالوگ به روز رسانی را از سرور دیگری تغذیه کند. این امر به ویژه در مواردی که سرور WSUS بر روی یک شبکه محلی استقرار یافته است که از طریق یک کانال ارتباطی کند به اینترنت دسترسی دارد، صادق است.
اگر در طول فرآیند راه اندازی سرور، اشتباهی انجام دادید، کنسول Windows Server Update Services را باز کنید و "Options" را در قسمت سمت چپ انتخاب کنید. در پنل مرکزی می توانید به صورت دستی تغییر دهید تنظیمات فردییا WSUS Server Configuration Wizard را مجددا اجرا کنید.
صاحبان شبکه های کامپیوتری حداقل یک بار با مشکل به روز رسانی برنامه ها مواجه شده اند. این کار را خودتان انجام دهید، بدون کمک نرم افزار ویژه، تقریبا غیرممکن است، زیرا زمان فوق العاده ای را می طلبد. و زمان با ارزش ترین منبع است. اگر فقط سرویسی وجود داشت که با خودکار کردن فرآیند جستجو، به روز رسانی و نصب نسخه های جدید همه برنامه های شرکت به حل این مشکل کمک می کرد.
چنین سیستمی وجود دارد. مایکروسافت در سال 2005 منتشر شد سرویس ویندوزخدمات به روز رسانی سرور هدف اصلی آن اصلاح و به روز رسانی محصولات مایکروسافت در کل شبکه کامپیوتری است. علاوه بر این، اندازه دومی هیچ نقشی ندارد. می توانید WSUS را برای دو یا چند صد کامپیوتر نصب و پیکربندی کنید. همه چیز فقط به نیازهای شما بستگی دارد. نسخه های جدید منتشر شده و تا به امروز پشتیبانی می شود
سیستم مورد نیاز
راه اندازی WSUS در سرور 2012 نیازی به دانش عمیق برنامه نویسی و شبکه های کامپیوتری توسط کاربر ندارد. رابط بصری و راحت است. تمرکز روی طیف وسیعی از افرادی است که از محصول خود استفاده خواهند کرد.
علاوه بر این، الزامات برای عملکرد عادیخدمات بسیار ضعیف هستند، به خصوص با استانداردهای مدرن. به عنوان مثال، برای حفظ عملکرد بالا سروری که شبکه آن تا پانصد رایانه را شامل می شود، اندازه توصیه شده است حافظه دسترسی تصادفیباید حداقل 1 گیگابایت باشد. و سرعت کلاک پردازنده بالای 1 گیگاهرتز است. موافقم، حتی کامپیوترهای اداری قدیمی نیز عملکرد عالی دارند.
آماده کردن همه چیزهایی که برای WSUS نیاز دارید
بنابراین، شما تصمیم گرفته اید از WSUS برای شبکه های خود استفاده کنید. اگر رایانه خود را به درستی برای این کار آماده کنید، نصب و پیکربندی نباید دشوار باشد.
- حتماً پارتیشن دیسکی که قرار است WSUS را روی آن نصب کنید و همچنین پارتیشنی که برای سیستم در نظر گرفته شده است را به NTFS فرمت کنید.
- مطمئن شوید که رایانه شما حداقل 1 گیگابایت رم دارد.
- بسته به تعداد رایانه های موجود در شبکه، رایگان مورد نیاز را انتخاب کنید فضای دیسک. برای شبکه های کوچکحداقل 6 گیگابایت مورد نیاز است. بر اساس تجربه کاربر، توصیه می شود 30 گیگابایت حافظه روی دیسکی که داده های WSUS در آن ذخیره می شود، اختصاص دهید. این سرویس نرم افزار اضافی را دانلود و نصب می کند، بنابراین بهتر است حافظه بیشتری اضافه کنید و از عملکرد پایدار مطمئن شوید تا اینکه پشیمان شوید و دائماً عملکرد آن را بررسی کنید.
قطعات مورد نیاز
فراموش نکنید که WSUS یک سیستم به روز رسانی نرم افزار است و باید روی سیستم عامل نصب شود خانواده ویندوز. قبل از نصب، سایر اجزای این لیست را نیز آماده کنید:
- Microsoft Internet Information Services (IIS) 6.0.
- Microsoft .NET Framework 1.1 Service Pack 1 یا بالاتر.
- سرویس انتقال هوشمند پس زمینه (BITS) 2.0.
علاوه بر آماده سازی سرور، باید همه چیز را در آن قرار دهید کامپیوترهای مشتریشبکه های. آنها را روشن کنید سرویس اتوماتیکبه روز رسانی ها در تمام سیستم عامل های مایکروسافت وجود دارد. پس از تکمیل این مرحله مقدماتیمی توانید با خیال راحت به سراغ بعدی بروید.
فرآیند نصب
فقط در صورتی می توانید سرویس WSUS را نصب کنید که دارای حقوق سرپرست باشید. بنابراین، با یک حساب کاربری وارد شوید. پس از آن، WSUSSetup را اجرا کنید. دارای پسوند exe است و وزن کمی دارد - حدود 130 مگابایت.
باز خواهد شد پنجره استانداردجادوگر نصب آن را بخوانید و بپذیرید توافقنامه مجوز. در پنجره بعدی می توانید منبع به روز رسانی را انتخاب کنید. می توانید انتخاب کنید که داده ها به صورت محلی روی سرور ذخیره شوند یا آن ها را از سایت های مایکروسافت دانلود کنید.
برای صرفه جویی در ترافیک، توصیه می شود نوع محلی را تنظیم کنید. در این صورت نه تنها هزینه های اینترنت شرکت را کاهش می دهید، بلکه سرعت نصب آپدیت ها بر روی کامپیوترهای کلاینت را نیز افزایش می دهید. شما نباید اهمیت زیادی برای این انتخاب قائل شوید؛ همچنان این فرصت را خواهید داشت که بعداً بنا به صلاحدید خود آن را پیکربندی کنید.
پنجره بعدی از شما می خواهد که انتخاب کنید کدام پارامتر برای پایگاه داده تنظیم شود:
- WMSDE نیز همراه با WSUS نصب خواهد شد. در برنامه گنجانده شده است و نیازی به پرداخت هزینه ندارید. بنابراین اکثر کاربران آن را نصب می کنند. دلیلی برای امتناع از آن وجود ندارد و علاوه بر این، به جلوگیری از مشکلات در آینده کمک می کند.
- در حالت دوم، WMSDE نصب نخواهد شد. به جای آن استفاده خواهد شد پایگاه های موجودداده های مایکروسافت SQL هنگام انتخاب این مورد زمانی که کار طولانیممکن است مشکلاتی به وجود بیایند که داده ها ممکن است قدیمی شوند، و هنگامی که یک به روز رسانی در رایانه ها منتشر می شود، به روز رسانی بلافاصله امکان پذیر نخواهد بود.
در پنجره بعدی، وب سایتی که از سرور WSUS استفاده می کند به شما داده می شود. هیچ پیکربندی در اینجا مورد نیاز نیست و در بیشتر موارد از پارامترهای استاندارد پیشنهادی استفاده می شود. این میزبان IIS و پورت شماره 80 است.
در آخرین پنجره نصب، نقش مدیریت سرور انتخاب می شود. اگر این اولین و تنها سرور در شبکه شما است، از آن صرف نظر کنید.
در صورتی که سرور اولین نیست، پنجره "تنظیمات به روز رسانی آینه" باید به درستی پیکربندی شود. اگر این کار انجام نشود، ممکن است تداخل بین این سرورها ایجاد شود. در سرور دوم و بعدی، کادر را علامت بزنید و نام سروری را که در ابتدا نصب شده است وارد کنید.
راه اندازی کنسول مدیریت
بلافاصله پس از نصب موفقیت آمیز WSUS، از کاربر خواسته می شود تا کنسول مدیریت را راه اندازی کند. این را می توان نه تنها از سرور، بلکه از هر رایانه دیگری در شبکه انجام داد. اما شایان ذکر است که فقط کاربری که دارای حقوق مدیر است می تواند این کار را انجام دهد. کنسول در به آدرس بعدی: http://servername/wsusadmin.
راه اندازی WSUS
پس از نصب، می توانید تنظیمات زیر را در WSUS پیکربندی کنید:
- ایجاد گروهی از کامپیوترها؛
- هماهنگ سازی؛
- به روز رسانی خودکار.
ایجاد گروهی از کامپیوترها
مهم ترین نکته ای که نمی توان از آن اجتناب کرد راه اندازی WSUS 2012 r2، ایجاد گروهی از کامپیوترها است. این مورد نیاز است به روز رسانی راحتبرنامه هایی برای رایانه های خاص که وظایف مختلفی را انجام می دهند.
دو راه برای افزودن رایانه به گروه ها وجود دارد:
- از سمت سرور.
- از سمت مشتری.
تفاوت در چیست؟ امکان اتوماسیون فرآیند. در حالت اول، شما باید هر کامپیوتر را به صورت دستی با استفاده از کنسول اختصاص دهید. در حالت دوم، باید خط مشی گروه و رجیستری سیستم عامل را پیکربندی کنید.
برای افزودن رایانه ها، صفحه را با تنظیمات آنها باز کنید. سپس روش مقصد را انتخاب کنید.
برای ایجاد گروه، تب کامپیوترها را در کنسول باز کنید. یک دکمه "ایجاد یک گروه از کامپیوتر" وجود دارد. گروهی ایجاد میشود که بر اساس نیازهای شما رایانههایی از قبل به آن اضافه شدهاند.
پیکربندی تنظیمات همگام سازی
پس از ایجاد گروهها، راهاندازی WSUS از شما میخواهد گزینههایی را برای دانلود بهروزرسانیها انتخاب کنید. شما می توانید انتخاب کنید حالت دستیشروع همگام سازی یا به صورت خودکار طبق یک برنامه زمان بندی مشخص.
بخش «محصولات و کلاس ها» را باز کنید و برنامه هایی را که باید به روز شوند انتخاب کنید. برای انتقال بهروزرسانیها از سرور به رایانه، برنامههایی را انتخاب کنید که شرایط موجود در فهرستها را برآورده میکنند.
به این ترتیب، می توانید نه تنها برنامه ها، بلکه بسیاری موارد دیگر را نیز دانلود کنید: درایورها، اصلاحات حیاتی برای سیستم عامل ها، بسته های خدمات، کلیدهای سیستم های امنیتی. شما می توانید این تنظیمات را در هر زمان تغییر دهید.
راه اندازی منابع به روز رسانی
اگر WSUS برای اولین بار نصب می شود و سرور دیگری وجود ندارد، همه چیز را به عنوان پیش فرض بگذارید. دانلود از سایت رسمی انجام خواهد شد میزبان مایکروسافتبه روز رسانی.
اگر سرور اول نیست، داده های اصلی WSUS را مشخص کنید.
تنظیم تایید خودکار
یکی دیگر از پارامترهای مهم اتوماسیون فرآیند تأیید خودکار است. این به شما امکان میدهد حواستان پرت نشود و مجبور نباشید دانلود و انتقال بهروزرسانیهای جدید را به صورت دستی تأیید کنید. این تنظیمات WSUS در کنسول قرار دارد.
تنظیم همگام سازی
آخرین مرحله در تنظیم پارامترها همگام سازی است. تمام نرم افزارهای شبکه را بررسی می کند تا مطمئن شود که با آخرین به روز رسانی ها به روز است.
اگر رایانه ای به شبکه متصل باشد، سرور نسخه برنامه های موجود در آن را تعیین می کند و در صورتی که با جدیدترین ها تفاوت داشته باشند، تمام به روز رسانی ها را برای آن ارسال می کند.
یک پسرو کوتاه
همانطور که قبلا متوجه شدید، نصب هم ساده و هم ساده است. مدیر سیستم نباید هیچ مشکلی در نصب و پیکربندی سرور داشته باشد. از هر نسخه ای می توان استفاده کرد. هیچ تفاوتی از نظر یکدیگر وجود ندارد هیچ تنظیمات WSUS برای Windows Server 2012 یا هر نسخه دیگری وجود ندارد. هر نسخه جدیدتر سریعتر و پایدارتر کار می کند و از منابع کامپیوتری به طور موثرتری استفاده می کند.
در عین حال، این سرویس فوق العاده مفید و کاربردی است. این به سادگی برای شرکت های هر سطحی ضروری است. با WSUS می توانید اعصاب و زمان گرانبها را ذخیره کنید. بیهوده نیست که همه استفاده از آن را توصیه می کنند.
مراحل نصب این خدمات شبکه. این پست روند راه اندازی رایانه ها را برای به روز رسانی از سرورهای WSUS در دسترس شما شرح می دهد.
راه اندازی رایانه های گروه کاری یا سرورهای مستقل
برای پیکربندی کامپیوترها در این مورد، به ویرایشگر شیء Group Policy نیاز دارید. برای باز کردن آن، موارد زیر را انجام دهید:
- 1. منوی Start - Run را باز کنید. در خط "باز" - "mmc" را تایپ کنید - سپس OK
- 2. در کنسول MMC، منوی File را باز کنید – افزودن یا حذف snap-in...
- 3. گزینه "Group Policy Object Editor" را انتخاب کنید - انجام شد - OK
- 4. می خواهیم یک قانون برای به روز رسانی سیستم عامل کامپیوتر ایجاد کنیم. بنابراین، در سمت راست ویرایشگر، در "Computer Configuration"، شاخه Policies - Administrative Templates - Windows Components - Windows Update را باز کنید.
- 5. در سمت راست پنجره ویرایشگر قوانینی را مشاهده می کنید که رفتار رایانه ها را در مورد فرآیندهای به روز رسانی توصیف می کند. قانون «تنظیم بهروزرسانی خودکار» را انتخاب کنید.
- 6. در پنجره تنظیمات به روز رسانی خودکار، قانون را فعال کرده و پارامترها را مشخص کنید. به طور پیش فرض، حالت تنظیم شماره 3 انتخاب خواهد شد - اعلان دانلود و نصب خودکار. در این مورد، نصب تنها پس از تأیید به روز رسانی انجام می شود. همچنین امکان نصب به روز رسانی ها بر اساس برنامه زمان بندی وجود دارد. پس از انجام تنظیمات، روی دکمه های «اعمال» و «تنظیمات بعدی» کلیک کنید
- 7. پارامتر بعدی قانون "مشخص کردن مکان سرویس به روز رسانی مایکروسافت در اینترانت" است، که در آن باید مکان سرویس به روز رسانی و همچنین سرور آمار را مشخص کنید (معمولاً این همان سرور است). روی OK کلیک کنید در اصل همین کافی است. اما میتوانید فرآیند بهروزرسانی را نیز تنظیم کنید. پس از خواندن نکات داخلی قوانین، متوجه خواهید شد که به چه چیزی نیاز دارید.
- 8. Snap-in را ببندید
همه ... قوانین بلافاصله اعمال می شود.
به طور کلی، شما می توانید کامپیوترهای دامنه را به این روش پیکربندی کنید. اما اگر مدیر شبکه قبلاً این تنظیمات را در سطح دامنه انجام داده باشد، قوانین فوق اعمال نمی شوند، زیرا توسط قوانین دامنه لغو می شوند. سیاست های گروه.
راه اندازی کامپیوترهای دامنه
برای پیکربندی رایانه های دامنه برای به روز رسانی از سرور WSUS شرکتی، باید حقوق سرپرست دامنه ویندوز را داشته باشید.
برای پیکربندی، به GPMC (کنسول مدیریت خط مشی گروه) نیاز دارید.
در رایانه هایی که دارای ویندوز 7 هستند، بهتر است تجهیزات را با کیت نصب کنید مدیریت از راه دور RSAT (نسخه محلی موجود است). پس از نصب کیت مدیریت از راه دور، فراموش نکنید که اجزای کنترلی لازم را فعال کنید (کنترل پنل - برنامه ها و ویژگی ها - روشن یا خاموش کردن اجزای ویندوز)
شما باید موارد زیر را انجام دهید:
1. با استفاده از منوی Start - Run - GPMC.msc اجرا کنید
2. شاخه Domains – Domain_Name – Group Policy Objects را باز کنید و کلیک راستماوس منوی «ایجاد» را انتخاب کنید
3. در قسمت "Name"، نام شیء سیاست گروهی جدید را مشخص کنید (بگذارید "WSUS Group Policy" باشد)، سپس OK کنید.
4. در پنجره سمت راست Snap-in، نام شیء خود را پیدا کرده و روی منوی «Edit» کلیک راست کنید. ویرایشگر مدیریت خط مشی گروه باز می شود.
5. در مرحله بعد، باید همان مراحلی را که در قسمت قبل توضیح داده شد، دنبال کنید.
بنابراین، Group Policy Object (GPO) ایجاد شده است، اما GPO ایجاد شده هنوز فقط یک عبارت ساده است. برای اینکه دستورالعمل کار کند، باید این GPO را به کانتینر Windows AD مربوطه متصل کنید. این رایانه های دامنه هستند که در این ظرف هستند که این دستورالعمل ها را اجرا می کنند (یعنی به روز رسانی). این کانتینر می تواند کل دامنه، سایت یا بخش باشد.
اینکه کدام ظرف را انتخاب کنید به شما بستگی دارد. اما معیارها به شرح زیر است:
- -- اگر می خواهید همه رایانه های دامنه شما به روز شوند، GPO را به دامنه پیوند دهید
- - اگر می خواهید فقط بخشی از رایانه ها را به روز کنید، به عنوان مثال سرورهای جداگانه، یک بخش در دامنه ایجاد کنید و آن را در آنجا قرار دهید. سرورهای مورد نیازو به این بخش پیوند دهید
- - اگر شبکه شما چندین سایت در شهرهای مختلف دارد، زیرشبکه های این سایت ها باید متعلق به سایت های جداگانه باشند. در این مورد، برای اینکه کانال های ارتباطی بین سایت ها بارگذاری نشود، منطقی است که سرور WSUS خود را در هر سایت نصب کنید و برای هر سایتی که به طور خاص به آن اشاره می کند یک GPO جداگانه ایجاد کنید. در آینده، باید آنها را به سایت های مربوطه پیوند دهید (شکل زیر را ببینید)
مراحل زیر فرآیند پیوند دادن GPOهایی را که ایجاد کرده اید به کانتینرهای مناسب ویندوز AD توضیح می دهد.
فرض کنید تصمیم دارید همه رایانه های موجود در یک دامنه را به روز کنید.
1. سپس در Snap-In "Group Policy Management" که قبلاً باز شده است، در سمت چپ پنجره، شاخه "Forest: Forest_Name – Domains – Domain_Name" را باز کنید.
2. بر روی نام دامنه خود کلیک راست کرده و منوی «پیوند یک GPO موجود...» را انتخاب کنید.
3. در پنجره "Select Group Policy Object"، GPO مربوطه را که قبلا آن را "WSUS Group Policy" نامگذاری کرده بودیم، پیدا کنید و روی OK کلیک کنید.
فیلترهای WMI برای GPOها
بهروزرسانی سیستمعامل سرویسگیرنده و سرور با استفاده از خطمشیهای گروه دامنه جداگانه، عمل خوبی است. در این مورد، من از این واقعیت است که:
- - سیستم عامل سروربهتر است به صورت دستی به عنوان بخشی از تعمیر و نگهداری برنامه ریزی شده به روز رسانی شود (در این مورد، احتیاط کاملاً مناسب است).
- - سیستم عامل مشتریبهتر است به صورت خودکار آپدیت شود. زمانی که آنها را به صورت دستی به روز کنید پارک بزرگرایانه ها بسیار مشکل ساز هستند و کاربران بعید به نظر می رسد که این کار را انجام دهند (حتی اگر به آنها نشان داده شود که چگونه).
چه کاری باید انجام دهم؟
برای مثال، ابتدا باید GPOهای جداگانه ای در Snap-in GPMC.msc ایجاد کنید
- خط مشی گروه ServerOS WSUS
- سیاست گروه ClientOS WSUS
و آنها را به صورت دستی (اعلان دانلود و نصب خودکار) و حالت های خودکارسیستم عامل بر این اساس به روز رسانی می شود.
در مرحله دوم، دو فیلتر WMI را در همان Snap-In ایجاد کنید. این فیلترها هستند که تعیین می کنند که کدام یک از GPOهای بالا در هنگام به روز رسانی هر رایانه در شبکه شما مؤثر خواهد بود.
سوم، میتوانید فیلترهای WMI را با GPOهای مربوطه مرتبط کنید و هر دوی این GPOها اکنون میتوانند مستقیماً با یک دامنه یا سایت (به دلخواه) مرتبط شوند.
نحوه ایجاد فیلتر
در Snap-in GPMC از قبل باز شده، به شاخه Forest - Domains - _Domain_name_ - WMI filters بروید. برای ایجاد یک فیلتر با نام، روی "Create" کلیک راست کنید سیستم عامل سرور و DC
یک درخواست در فضای root\CIMv2 به آن اضافه می کنیم
خط مشی گروه ServerOS WSUS"فقط با رایانه های دارای سیستم عامل سرور ویندوز (از جمله کنترل کننده های دامنه) کار کنید.
به طور مشابه، یک فیلتر با نام ایجاد کنید سیستم عامل مشتری
یک درخواست به آن در root\CIMv2 اضافه کنید
این فیلتر به یک GPO با نام " سیاست گروه ClientOS WSUSبدون در نظر گرفتن نسخه (ویندوز 2000 پرو، ویندوز XP، ویستا، ویندوز 7 و ویندوز 8) فقط با رایانه هایی که دارای سیستم عامل ویندوز کلاینت هستند کار کنید.
فیلترها آماده هستند.
همانطور که قبلاً نوشتیم، شما باید یک GPO را پیوند دهید خط مشی گروه ServerOS WSUSو سیاست گروه ClientOS WSUSبا فیلترهای مناسب به عنوان مثال، این کار را می توان به صورت زیر انجام داد: در شاخه "Group Policy Objects"، GPO مورد نظر را انتخاب کنید، سپس در سمت راست، "WMI Filter" فیلتر مورد نظر را از لیست کشویی انتخاب کنید.
بنابراین، اکنون رایانه های مشتری دامنه به طور خودکار به روز می شوند و سرورها مطیعانه منتظر توجه شما خواهند بود.
این راه اندازی را کامل می کند.
چگونه نتیجه را بررسی کنیم؟
در نتیجه همه اقدامات فوق، ما انتظار داریم که به روز رسانی آن بخشی از رایانه های دامنه را که به نظر ما باید مشمول خط مشی پیکربندی شده باشند، آغاز کنیم.
ابتدا، میتوانید در گزارشهای مدیریت سرور WSUS برای هر ورودی در مورد وضعیت سرویس گیرندگان بهروزرسانی خودکار، جستجو کنید.
دوم، میتوانید تأیید کنید که این خطمشی پیکربندیشده برای مشتریان WSUS اعمال میشود. Control Panel - Windows Update را باز کنید و مطمئن شوید که پیام زیر در سمت راست پنجره Update Center ظاهر می شود: "Controlled by the system administrator" (برای Windows 7/Vista/2008/2008R2) اگر اینطور نیست، سیاست اجرایی نیست
اما این بدان معنا نیست که شما در جایی اشتباه کرده اید. ممکن است رایانه هنوز تنظیمات خود را از کنترل کننده دامنه به روز نکرده باشد.
این به دلیل این واقعیت است که سیاستهای گروهی در رایانههای دامنه بلافاصله اعمال نمیشوند (بهروزرسانیهای GP در شبکه محلی به طور پیشفرض در فواصل زمانی 15 دقیقه انجام میشوند، و تکرار بین سایتی حتی کمتر اتفاق میافتد)
بنابراین، می توانید به سادگی منتظر بمانید یا سیاست های گروه را در رایانه ها با دستور به روز کنید
رایانه سرویس گیرنده WSUS خدمات مورد نیاز (مانند Windows Update و Group Policy Client و غیره) را اجرا نمی کند.
GPO برای رایانه های فردی کار نمی کند. در این مورد، شما باید با هر یک به طور جداگانه برخورد کنید. من توصیه میکنم اثر Group Policy را روی رایانههای مشکلدار با استفاده از همان Snap-in GPMC.msc شبیهسازی کنید. این به شما امکان می دهد تا بررسی کنید که آیا GPO ایجاد شده در رایانه مورد تجزیه و تحلیل اعمال شده است یا خیر. متأسفانه، عیب یابی Group Policy Windows AD خارج از محدوده این پست است.
خوب، و مهمتر از همه... گزارش مشتری WSUS اینجاست --> c:\Windows\WindowsUpdate.log
10 فوریه
WSUS (خدمات به روز رسانی سرور ویندوز) برای دانلود خودکاروصله ها، بسته های به روز رسانی و ابزارهای دیگر از وب سایت مایکروسافت، و توزیع این محتوا در شبکه محلی. آن ها مدیران نیازی به دانلود وصله های جداگانه و نصب آنها بر روی هر دستگاه ندارند. کافی است WSUS را روی سرور نصب کنید، آن را پیکربندی کنید و همچنین ماشین های کاری را برای استفاده از این سرور پیکربندی کنید. به روز رسانی یک بار در خود سرور دانلود می شود و از آنجا در شبکه محلی نصب می شود. همچنین، استفاده از WSUS باعث صرفه جویی قابل توجهی در ترافیک اینترنت می شود که برای دانلود به روز رسانی ها و وصله های سیستم استفاده می شود.
WSUS است محصول رایگان، با این حال، شما باید مجوز صحیح برای سیستم عامل سرور و همچنین مجوزهای Windows Client Access (CAL) برای هر یک داشته باشید. ایستگاه کاری، که از سرور WSUS به روز می شود. مایکروسافت فرصتی رایگان برای استفاده از سرویس به روز رسانی برای محصولات نرم افزاری خود در طول کل دوره پشتیبانی از محصول نرم افزاری فراهم می کند. به روز رسانی های لازم از طریق اینترنت برای همه کاربران محصولات نرم افزاری در دسترس است.
نصب WSUS
در سیستم عامل Windows Server 2008، نقش سرور Windows Server Update Services وجود دارد.
برای Windows Server 2003، سیستم مورد نیاز زیر برای نصب WSUS 3.0 SP1:
- سیستم عامل: Windows Server 2003 SP1 و بالاتر.
- نقش های سرور اضافی: IIS 6.0 و بالاتر
- به روز رسانی های اضافیسیستم عامل: Microsoft .NET Framework 2.0، مدیریت مایکروسافتکنسول 3.0.
- برنامه های اضافی: Microsoft Report Viewer، SQL Server 2005 SP1 (WSUS می تواند نصب کند سرویس داخلیپایگاه داده داخلی ویندوز).
علیرغم این واقعیت که این سرویس عملاً برای پردازنده و رم نیازی ندارد، به سهم مناسبی از فضای دیسک نیاز دارد. ترجیحاً 40 گیگابایت یا بیشتر. در نهایت، مقدار فضای دیسک مصرف شده به تعداد محصولاتی که باید به روز شوند و تعداد به روز رسانی های زیرساخت مورد نیاز بستگی دارد. اگر در حین نصب سرور راضی نمی شود سیستم مورد نیاز، یک پنجره هشدار ظاهر می شود که آنچه را که باید نصب شود توضیح می دهد.
راه اندازی سرور WSUS
برای عملکرد عادی سرور، باید تعدادی از پارامترها را با استفاده از "Windows Server Update Services Configuration Wizard" مشخص کنید.
در پنجره “Select an upstream server” باید گزینه “Synchronize with Microsoft Update” را انتخاب کنید.
هنگام اعمال یک سرور پراکسی در یک محیط شرکتی، در پنجره "پیکربندی سرور پروکسی"، باید آدرس IP، شماره پورت و پارامترهای احراز هویت را در سرور پروکسی مشخص کنید.
در پنجره «انتخاب زبانها» باید گزینه «دانلود بهروزرسانیها فقط در زبانهای زیر» را انتخاب کنید؛ حتماً «انگلیسی» را انتخاب کنید. انتخاب زبان های دیگر باید بر اساس سیستم های نصب شده در شرکت انجام شود؛ معمولاً "روسی" را نیز اضافه می کنند. نیازی به انتخاب «دانلود بهروزرسانیها در همه زبانها، از جمله زبانهای جدید» نیست، زیرا این کار باعث افزایش تعداد بهروزرسانیهای ذخیره شده در فضای دیسک میشود.
در پنجره انتخاب محصولات، باید محصولات نصب شده در محیط شرکت خود را انتخاب کنید.
مهم! هرگز همه محصولات را نصب نکنید، زیرا ممکن است باعث افزایش اندازه بهروزرسانیهای ذخیره شده و عدم استفاده از بهروزرسانیها شود. لازم است فقط محصولاتی که در محیط شرکت مورد استفاده قرار می گیرند به طور روشمند و پیوسته انتخاب شوند.
در پنجره «انتخاب کلاسها»، باید فقط کلاسهایی را مشخص کنید که نیاز به بهروزرسانی دارند. از آنجایی که تعیین کلاس های اضافی به طور قابل توجهی اندازه به روز رسانی های ذخیره شده را افزایش می دهد.
در پنجره «تنظیم برنامه زمانبندی همگامسازی»، باید زمان همگامسازی را انتخاب کنید. در داخل همگام سازی WSUSشامل دانلود به روز رسانی نمی شود. در این صورت، همگام سازی فقط اطلاعات را از سرور Microsoft Update به روز می کند."
پس از اولین همگام سازی، باید کنسول WSUS را باز کنید و "Options" را انتخاب کنید. در "تنظیمات"، مورد "Files and update languages" را باز کنید.
در تب «بهروزرسانی فایلها» در پنجره «بهروزرسانی فایلها و زبانها»، باید نحوه ذخیرهسازی فایلهای بهروزرسانی را مشخص کنید. از آنجایی که میخواهیم حجم ترافیک اینترنت را کاهش دهیم، باید گزینه «ذخیره فایلهای بهروزرسانی محلی در این سرور» را انتخاب کنیم و همیشه موارد «آپلود فایلهای بهروزرسانی در سرور فقط پس از تأیید بهروزرسانی» و «دانلود فایلهای نصب سریع» را انتخاب کنیم. مورد «آپلود فایلهای بهروزرسانی در سرور فقط پس از تأیید بهروزرسانی» ضروری است، زیرا بهطور پیشفرض سرور تمام بهروزرسانیهایی را که برای محصولات انتخابی ضروری بداند دانلود میکند. با این حال، از آنجایی که به مرور زمان بسیاری از به روز رسانی ها در Service Pack جمع می شوند، به احتمال زیاد به آنها نیازی نخواهد بود و فضای دیسک را اشغال خواهند کرد.
پس از انجام تمام تنظیمات، باید کامپیوترها را به سرویس WSUS اضافه کنید.
افزودن کامپیوتر به WSUS
اگر دامنه دارید، تنها کاری که باید انجام دهید این است که سرویس WSUS را در خط مشی گروه آن ثبت کنید و قوانین به روز رسانی کامپیوتر را انتخاب کنید.
این کار به شرح زیر انجام می شود: "شروع - ابزارهای اداری - مدیریت خط مشی گروه". خط مشی معتبر در دامنه را انتخاب کنید (پیشفرض Group Policy به طور پیشفرض). راست کلیک کرده و "Edit" را انتخاب کنید.
در پنجره "ویرایشگر مدیریت خط مشی گروه"، به "پیکربندی کامپیوتر - سیاست ها - قالب های اداری - اجزای ویندوز - به روز رسانی ویندوز" بروید. مورد را انتخاب کنید "محل سرویس به روز رسانی را در اینترانت مشخص کنید".
در پنجره «Properties: Specify location of update service on the Intranet»، پارامتر «Enabled» را مشخص کنید و در خط «Specify the update service on the intranet to search for updates» خطی مانند: http:// وارد کنید. . آدرس را در پنجره "مشخص کردن سرور آمار اینترانت" کپی کنید. در ویرایشگر خط مشی گروه، نکاتی در پنجره توضیح وجود دارد.
همچنین باید یک خط مشی به روز رسانی تعریف کنید. این کار از طریق مورد "تنظیمات" انجام می شود بروزرسانی های خودکار».
در پنجره "Properties: Setting Automatic Updates"، گزینه "Enabled" و پارامترهای "Setup Automatic Updates"، "Scheduled install - day"، "Scheduled install - time" را مشخص کنید. پنجره توضیح حاوی توضیحاتی در مورد تمام پارامترهای سرورها است و توصیه می شود گزینه "2 - اعلان های مربوط به دانلود و نصب" را تنظیم کنید، که به مدیران اجازه می دهد زمان نصب به روز رسانی ها در سرورها را انتخاب کنند.
اگر در زیرساخت ایستگاههای کاری وجود داشته باشد که بخشی از دامنه نیست (مثلاً ایستگاههای کاری سیار)، اما سرویس بهروزرسانی برای این ایستگاههای کاری ضروری باشد، میتوان این سرویس را در «مشخص کرد. سیاست محلیامنیت."
در خط فرمان، gpedit.msc را تایپ کنید و همان عملیاتی را انجام دهید که در بالا برای خط مشی گروه در دامنه توضیح داده شد.
پس از مدتی، رایانه در پنجره «رایانهها - همه رایانهها - رایانههای تعییننشده» با «وضعیت: هر» ظاهر میشود.
مدیریت به روز رسانی
برای مشاهده و تأیید بهروزرسانیهای لازم، باید موارد فیلتر زیر را در «بهروزرسانیها – همه بهروزرسانیها» انتخاب کنید: «تأیید: تأیید نشده» و وضعیت: مورد نیاز» و روی «بهروزرسانی» کلیک کنید.
مهم! برای بررسی بهروزرسانیهای ضروری، همیشه مطمئن شوید که تنظیمات فیلتر روی «تأیید: تأیید نشده» و وضعیت: مورد نیاز است، در غیر این صورت خطر دانلود بهروزرسانیهایی را که به آن نیاز ندارید یا اصلاً دانلود نمیکنید، دارید. اگر فیلتر در تنظیمات "تأیید: تایید نشده" و وضعیت: مورد نیاز یک فیلد خالی را نشان می دهد، در این صورت همه به روز رسانی های لازم برای رایانه ها قبلاً تأیید شده اند و در سرور هستند.
پس از تایید، طبق قوانین پیکربندی شده در خط مشی امنیتی، به روز رسانی ها پس از مدتی در رایانه ظاهر می شوند.
اغلب اوقات نیاز به وادار کردن رایانه برای بررسی بهروزرسانیها در سرور بهروزرسانی وجود دارد. برای این کار برنامه ای به نام wuauclt.exe وجود دارد که از طریق خط فرمان راه اندازی می شود. برای بررسی به روز رسانی، باید آن را با کلید /detectnow (wuauclt.exe /detectnow) اجرا کنید. برای ارسال یک گزارش وضعیت (اغلب هنگام اتصال به سرور به روز رسانی برای اولین بار ضروری است)، باید آن را با کلید /reportnow (wuauclt.exe /reportnow) اجرا کنید.
feanor184.ru
پیکربندی مشتریان WSUS با استفاده از خط مشی های گروه
بنابراین، فرض بر این است که شما یک سرور Wsus نصب کردهاید.سیاستهای گروه Active Directory (از این پس GPO نامیده میشود) به مدیران سیستم اجازه میدهد تا به طور خودکار کلاینتها را به گروههای مختلف سرور WSUS اختصاص دهند و نیازی به جابجایی دستی رایانهها بین گروهها در کنسول WSUS را از بین ببرند. . این انتساب از مشتریان به گروه های مختلفبر اساس برچسب های روی کلاینت است، چنین برچسب هایی توسط سیاست یا اصلاح ساده رجیستری تنظیم می شوند. این نوعنگاشت کلاینت ها به گروه های WSUS، هدف گذاری سمت مشتری نامیده می شود.
به طور معمول، دو خط مشی مختلف به روز رسانی استفاده می شود: برای ایستگاه های کاری و برای سرورها. ابتدا قانون گروه بندی کامپیوترهای کلاینت را در کنسول WSUS مشخص می کنیم. به طور پیش فرض، در کنسول، رایانه ها به صورت دستی در گروه ها توزیع می شوند (هدف گذاری سمت سرور). اجازه دهید نشان دهیم که مشتریان بر اساس هدف گیری سمت مشتری (خط مشی های گروه یا تنظیمات رجیستری) به گروه هایی تقسیم می شوند. برای انجام این کار، در کنسول WSUS، به بخش گزینه هاپارامتر Computers را باز کنید و مقدار را با Use Group Policy یا تنظیمات رجیستری در رایانه ها جایگزین کنید (از خط مشی ها یا مقادیر گروه در رجیستری استفاده کنید، به اسکرین شات مراجعه کنید).
پس از این، ما به طور مستقیم به پیکربندی مشتریان WSUS با استفاده از سیاست های گروهی (GPO) شروع می کنیم. کنسول Group Policy Management را باز کنید و دو خط مشی گروه جدید ایجاد کنید: ServerWSUSPolicy و WorkstationWSUSPolicy.
خط مشی گروه برای نصب به روز رسانی های WSUS برای ایستگاه های کاری (WorkstationWSUSPolicy)
منطق سیاست شهودی است؛ در مورد ما، ما قصد داریم بهروزرسانیها را در شب پس از دریافت بهطور خودکار نصب کنیم. کلاینت ها پس از نصب به روز رسانی ها به طور خودکار راه اندازی مجدد می شوند (10 دقیقه قبل به کاربر هشدار می دهند). کنسول ویرایش GPO (gpmc.msc) را باز کنید، به تنظیمات خط مشی گروه بروید: پیکربندی رایانه -> سیاست ها-> قالب های اداری-> مؤلفه ویندوز-> به روز رسانی ویندوز)
در خط مشی نشان می دهیم:
- اجازه نصب فوری بهروزرسانیهای خودکار: غیرفعال - نصب فوری بهروزرسانیها را هنگام دریافت غیرفعال میکند.
- اجازه به غیر سرپرستان برای دریافت اعلانهای بهروزرسانی: فعال - نمایش یک هشدار به کاربران در مورد بهروزرسانیهای جدید و اجازه دادن به آنها نصب دستی
- پیکربندی بهروزرسانیهای خودکار: فعال است. پیکربندی به روز رسانی خودکار: 4 - دانلود خودکار و برنامه ریزی نصب. روز نصب برنامه ریزی شده: 0 - هر روز. زمان نصب برنامه ریزی شده: 03:00 - کامپیوتر مشتری به روز رسانی های جدید را دانلود می کند و نصب خودکار آنها را در ساعت 3:00 صبح برنامه ریزی می کند.
- نام گروه هدف برای این رایانه: ایستگاههای کاری - در کنسول WSUS کلاینتها را به گروه ایستگاههای کاری اختصاص میدهد.
- بدون راهاندازی خودکار با کاربرانی که وارد سیستم شدهاند برای نصب بهروزرسانیهای خودکار برنامهریزیشده: غیرفعال - سیستم بهطور خودکار 10 دقیقه پس از اتمام نصب بهروزرسانی راهاندازی مجدد میشود.
- اینترانت مایکروسافت را مشخص کنید سرویس به روز رسانیمکان: فعال کردن سرویس بهروزرسانی اینترانت را برای شناسایی بهروزرسانیها تنظیم کنید: http://wsus:8530، اینترانت را تنظیم کنید سرور آمار: http://wsus:8530 – آدرس سرور WSUS شرکتی
اگر آدرس http:
خط مشی گروه برای نصب به روز رسانی های WSUS برای سرورها (ServerWSUSPolicy)
به شما یادآوری می کنیم که تنظیمات خط مشی گروه مسئول عملکرد سرویس است به روز رسانی ویندوزدر بخش GPO قرار دارند: پیکربندی رایانه -> سیاست ها-> قالب های اداری-> مؤلفه ویندوز-> به روز رسانی ویندوز (پیکربندی رایانه -> خط مشی -> الگوهای اداری -> اجزای ویندوز -> به روز رسانی پنجره).
این خط مشی برای سرورهایی در نظر گرفته شده است که ما به در دسترس بودن مداوم برای آنها نیاز داریم، حداقلدر ساعات کاری برای رسیدن به این هدف، از نصب خودکار بهروزرسانیها بر روی سرورهای هدف هنگام دریافت آنها جلوگیری میکنیم. فرض بر این است که سرویس گیرنده سرور WSUS باید به سادگی دانلود شود به روز رسانی های موجود، سپس یک هشدار نمایش داده و منتظر تایید مدیر سیستم برای شروع نصب آن باشید.به این ترتیب اطمینان حاصل می کنیم که سرورهای تولید به طور خودکار به روز رسانی ها را نصب نخواهند کرد و بدون کنترل مدیر راه اندازی مجدد نمی شوند.
در خط مشی نشان می دهیم:
![](https://i0.wp.com/htfi.ru/img/kak_dobavit_kompyutery_v_wsus_19.jpg)
مشاوره. توصیه می کنیم هر دو خط مشی را تنظیم کنید شروع اجباریسرویس به روز رسانی (wuauserv) روی مشتری برای اطمینان از رسیدن به روز رسانی ها به سرور مورد نظر. برای انجام این کار، در بخش تنظیمات کامپیوتر -> سیاست ها-> تنظیمات ویندوز -> تنظیمات امنیتی -> سرویس های سیستم (به زبان روسی: پیکربندی کامپیوتر -> سیاست ها -> تنظیمات امنیتی-> خدمات سیستم)، سرویس Windows Update را پیدا کنید ( wuauserv) و نوع راه اندازی آن را روی "Automatic" تنظیم کنید.
اختصاص یک خط مشی WSUS به یک OU (کانتینر) در Active Directory
بعد تخصیص می دهیم به صورت استانداردخط مشی برای کانتینرهایی که داریم، در مورد ما این دو کانتینر برای ایستگاه های کاری و سرورها هستند. که در در این مثالما ساده ترین گزینه را برای اتصال سیاست های WSUS به رایانه ها در نظر می گیریم. در شرایط واقعی، می توانید یک خط مشی WSUS را در همه دامنه ها توزیع کنید (GPO به ریشه دامنه گره خورده است) یا کلاینت های مختلف را در کانتینرهای مختلف توزیع کنید. برای شبکه های بزرگ و توزیع شده، ارزش دارد سرورهای مختلف WSUS را به سایت های AD پیوند دهید، یا GPO ها را بر اساس فیلترهای WMI تخصیص دهید، یا روش های فوق را ترکیب کنید.
برای اتصال خط مشی ایجاد شده به یک کانتینر، snap-in ویرایش خط مشی گروه (gpmc.msc) را راه اندازی کنید، روی ظرف -> Bind an GPO موجود کلیک راست کنید و ظرف را با سرورها مشخص کنید، در مثال ما، سرور در ظرف سرورها این را می توان با کشیدن و رها کردن خط مشی گروه به داخل ظرف انجام داد؛ یک پیوند به خط مشی (فلش سیاه) به طور خودکار ایجاد می شود، به این معنی که خط مشی به کانتینر مرتبط است. در مرحله بعد، روی ظرف کلیک راست کرده و -> Group Policy Update را انتخاب کنید.
برای سرعت بخشیدن به دریافت خط مشی روی کلاینت، می توانید دستور gpupdate /force را اجرا کنید. این دستوراعمال فوری Group Policy را آغاز می کند.
و پس از مدت کوتاهی، میتوانید مشتریان را برای اعلانهای بازشو در مورد در دسترس بودن بهروزرسانیهای جدید بررسی کنید. در کنسول WSUS، کلاینتها باید در گروههای مناسب ظاهر شوند (جدول نام مشتری، IP، سیستم عامل، درصد آنها «بهروزرسانی» و تاریخ آخرین بهروزرسانی وضعیت را نشان میدهد).
تعدادی دستور برای مدیریت سرویس های به روز رسانی سرور ویندوز (WSUS) و سرویس Wuauclt وجود دارد که رایج ترین آنها عبارتند از:
/DetectNow - بهروزرسانیها را جستجو کنید
/ResetAuthorization - درخواست بهروزرسانی مجوز
runas /user:admin "wuauclt /detectnow" - جستجو برای به روز رسانی تحت یک کاربر خاص
/ReportNow - یک گزارش ایجاد کنید
www.itworkroom.com
پیکربندی سرویس گیرندگان Windows Server Update Services (WSUS).
در مقاله قبلی، نصب WSUS 3.0 در ویندوز 2008 R2، مراحل نصب این سرویس شبکه توضیح داده شد. این پست روند راه اندازی رایانه ها را برای به روز رسانی از سرورهای WSUS در دسترس شما شرح می دهد.برای پیکربندی کامپیوترها در این مورد، به ویرایشگر شیء Group Policy نیاز دارید. برای باز کردن آن، موارد زیر را انجام دهید:
- 1. منوی Start - Run را باز کنید. در خط "باز" - "mmc" را تایپ کنید - سپس OK
- 2. در کنسول MMC، منوی File را باز کنید – افزودن یا حذف snap-in...
- 3. گزینه "Group Policy Object Editor" را انتخاب کنید - انجام شد - OK
- 4. می خواهیم یک قانون برای به روز رسانی سیستم عامل کامپیوتر ایجاد کنیم. بنابراین، در سمت راست ویرایشگر، در "Computer Configuration"، شاخه Policies - Administrative Templates - Windows Components - Windows Update را باز کنید.
- 5. در سمت راست پنجره ویرایشگر قوانینی را مشاهده می کنید که رفتار رایانه ها را در مورد فرآیندهای به روز رسانی توصیف می کند. قانون «تنظیم بهروزرسانی خودکار» را انتخاب کنید.
- 6. در پنجره تنظیمات به روز رسانی خودکار، قانون را فعال کرده و پارامترها را مشخص کنید. به طور پیش فرض، حالت تنظیم شماره 3 انتخاب خواهد شد - اعلان دانلود و نصب خودکار. در این مورد، نصب تنها پس از تأیید به روز رسانی انجام می شود. همچنین امکان نصب به روز رسانی ها بر اساس برنامه زمان بندی وجود دارد. پس از انجام تنظیمات، روی دکمه های «اعمال» و «تنظیمات بعدی» کلیک کنید
- 7. پارامتر بعدی قانون "مشخص کردن مکان سرویس به روز رسانی مایکروسافت در اینترانت" است، که در آن باید مکان سرویس به روز رسانی و همچنین سرور آمار را مشخص کنید (معمولاً این همان سرور است). روی OK کلیک کنید در اصل همین کافی است. اما میتوانید فرآیند بهروزرسانی را نیز تنظیم کنید. پس از خواندن نکات داخلی قوانین، متوجه خواهید شد که به چه چیزی نیاز دارید.
- 8. Snap-in را ببندید
همه ... قوانین بلافاصله اعمال می شود.
به طور کلی، شما می توانید کامپیوترهای دامنه را به این روش پیکربندی کنید. اما اگر مدیر شبکه قبلاً این تنظیمات را در سطح دامنه انجام داده باشد، قوانین فوق اعمال نمی شوند، زیرا توسط خط مشی های گروه دامنه لغو می شوند.
برای پیکربندی رایانه های دامنه برای به روز رسانی از سرور WSUS شرکتی، باید حقوق سرپرست دامنه ویندوز را داشته باشید.
برای پیکربندی، به GPMC (کنسول مدیریت خط مشی گروه) نیاز دارید.
در سرورهای Windows 2008 R2 که به عنوان کنترل کننده دامنه عمل می کنند، این Snap-in به طور پیش فرض نصب و فعال می شود. در سرورهای نسخه قبلی، ممکن است مجبور شوید آن را جداگانه نصب کنید. شما می توانید تجهیزات را از اینجا دانلود کنید. در رایانه های دارای ویندوز 7، بهتر است Snap-in را با کیت مدیریت از راه دور RSAT نصب کنید (نسخه محلی شده وجود دارد). پس از نصب کیت مدیریت از راه دور، فراموش نکنید که اجزای کنترلی لازم را فعال کنید (کنترل پنل - برنامه ها و ویژگی ها - روشن یا خاموش کردن اجزای ویندوز)
شما باید کارهای زیر را انجام دهید: 1. با استفاده از منوی Start - Run - GPMC.msc را اجرا کنید
2. شاخه Domains – Domain_Name – Group Policy Objects را باز کنید و روی منوی “Create” کلیک راست کنید. 4. در پنجره snap-in سمت راست، نام شی خود را پیدا کنید و روی منوی "Edit" کلیک راست کنید. ویرایشگر مدیریت خط مشی گروه باز می شود.
بنابراین، Group Policy Object (GPO) ایجاد شده است، اما GPO ایجاد شده هنوز فقط یک عبارت ساده است. برای اینکه دستورالعمل کار کند، باید این GPO را به کانتینر Windows AD مربوطه متصل کنید. این رایانه های دامنه هستند که در این ظرف هستند که این دستورالعمل ها را اجرا می کنند (یعنی به روز رسانی). این کانتینر می تواند کل دامنه، سایت یا بخش باشد. اینکه کدام ظرف را انتخاب کنید به شما بستگی دارد. اما معیارها به شرح زیر است:
- -- اگر می خواهید همه رایانه های دامنه شما به روز شوند، GPO را به دامنه پیوند دهید
- - اگر میخواهید فقط بخشی از رایانهها را بهروزرسانی کنید، مثلاً سرورهای جداگانه، یک بخش در دامنه ایجاد کنید، سرورهای لازم را در آنجا قرار دهید و به این بخش پیوند دهید.
- - اگر شبکه شما چندین سایت در شهرهای مختلف دارد، زیرشبکه های این سایت ها باید متعلق به سایت های جداگانه باشند. در این مورد، برای اینکه کانال های ارتباطی بین سایت ها بارگذاری نشود، منطقی است که سرور WSUS خود را در هر سایت نصب کنید و برای هر سایتی که به طور خاص به آن اشاره می کند یک GPO جداگانه ایجاد کنید. در آینده، باید آنها را به سایت های مربوطه پیوند دهید (شکل زیر را ببینید)
مراحل زیر فرآیند پیوند دادن GPOهایی را که ایجاد کرده اید به کانتینرهای مناسب ویندوز AD توضیح می دهد.
فرض کنید تصمیم دارید همه رایانه های موجود در یک دامنه را به روز کنید.
1. سپس در Snap-in "Group Policy Management" که قبلاً باز شده است، در سمت چپ پنجره، شاخه "Forest: Forest_Name – Domains - Domain_Name" را باز کنید. 2. بر روی نام دامنه خود کلیک راست کنید، منوی "پیوند یک GPO موجود..."
3. در پنجره "Select Group Policy Object"، GPO مربوطه را که قبلا آن را "WSUS Group Policy" نامگذاری کرده بودیم، پیدا کنید و روی OK کلیک کنید.
بهروزرسانی سیستمعامل سرویسگیرنده و سرور با استفاده از خطمشیهای گروه دامنه جداگانه، عمل خوبی است. در این مورد، من از این واقعیت است که:
- - بهتر است سیستم عامل های سرور را به صورت دستی به عنوان بخشی از تعمیر و نگهداری برنامه ریزی شده به روز کنید (در این مورد، احتیاط کاملاً مناسب است).
- - بهتر است سیستم عامل های مشتری به صورت خودکار به روز شوند. به روز رسانی آنها به صورت دستی با ناوگان بزرگی از رایانه ها بسیار مشکل ساز است و بعید است که کاربران این کار را انجام دهند (حتی اگر به آنها نشان داده شود که چگونه).
چه کاری باید انجام دهم؟
برای مثال، ابتدا باید GPOهای جداگانه ای در Snap-in GPMC.msc ایجاد کنید
- خط مشی گروه ServerOS WSUS
- سیاست گروه ClientOS WSUS
و آنها را به ترتیب برای حالت های دستی (اعلان دانلود و نصب خودکار) و به روز رسانی خودکار سیستم عامل پیکربندی کنید.
در مرحله دوم، دو فیلتر WMI را در همان Snap-In ایجاد کنید. این فیلترها هستند که تعیین می کنند که کدام یک از GPOهای بالا در هنگام به روز رسانی هر رایانه در شبکه شما مؤثر خواهد بود.
سوم، میتوانید فیلترهای WMI را با GPOهای مربوطه مرتبط کنید و هر دوی این GPOها اکنون میتوانند مستقیماً با یک دامنه یا سایت (به دلخواه) مرتبط شوند.
نحوه ایجاد فیلتر
در Snap-in GPMC از قبل باز شده، به شاخه Forest - Domains - _Domain_name_ - WMI filters بروید. برای ایجاد فیلتری به نام Server OS و DC روی "Create" کلیک راست کنید
یک درخواست در فضای root\CIMv2 به آن اضافه می کنیم
* را از Win32_OperatingSystem که در آن ProductType="2" یا ProductType="3" انتخاب کنید
این فیلتر به یک GPO با نام «ServerOS WSUS Group Policy» اجازه میدهد فقط با رایانههایی که سیستم عامل سرور ویندوز (از جمله کنترلکنندههای دامنه) دارند کار کند.
به طور مشابه، یک فیلتر به نام Client OS "s ایجاد کنید
یک درخواست به آن در root\CIMv2 اضافه کنید
* را از Win32_OperatingSystem که در آن ProductType="1" انتخاب کنید
این فیلتر به یک GPO با نام "ClientOS WSUS Group Policy" اجازه می دهد تا صرف نظر از نسخه (ویندوز 2000 پرو، ویندوز XP، ویستا، ویندوز 7 و ویندوز 8) فقط با رایانه هایی که دارای سیستم عامل ویندوز هستند کار کند.
فیلترها آماده هستند.
همانطور که قبلاً نوشتیم، باید GPOهای ServerOS WSUS Group Policy و ClientOS WSUS Group Policy را با فیلترهای مربوطه مرتبط کنید. به عنوان مثال، این کار را می توان به صورت زیر انجام داد: در شاخه "Group Policy Objects"، GPO مورد نظر را انتخاب کنید، سپس در سمت راست، "WMI Filter" فیلتر مورد نظر را از لیست کشویی انتخاب کنید. بنابراین، اکنون رایانه های مشتری دامنه به طور خودکار به روز می شوند و سرورها مطیعانه منتظر توجه شما خواهند بود.
این راه اندازی را کامل می کند.
در نتیجه همه اقدامات فوق، ما انتظار داریم که به روز رسانی آن بخشی از رایانه های دامنه را که به نظر ما باید مشمول خط مشی پیکربندی شده باشند، آغاز کنیم.
ابتدا، میتوانید در گزارشهای مدیریت سرور WSUS برای هر ورودی در مورد وضعیت سرویس گیرندگان بهروزرسانی خودکار، جستجو کنید.
دوم، میتوانید تأیید کنید که این خطمشی پیکربندیشده برای مشتریان WSUS اعمال میشود. Control Panel - Windows Update را باز کنید و مطمئن شوید که پیام زیر در سمت راست پنجره Update Center ظاهر می شود: "Controlled by the system administrator" (برای Windows 7/Vista/2008/2008R2) اگر اینطور نیست، سیاست اجرایی نیست
اما این بدان معنا نیست که شما در جایی اشتباه کرده اید. ممکن است رایانه هنوز تنظیمات خود را از کنترل کننده دامنه به روز نکرده باشد.
این به این دلیل است که سیاستهای گروهی در رایانههای دامنه بلافاصله اعمال نمیشوند (بهروزرسانیهای GP در شبکه محلی به طور پیشفرض در فواصل زمانی 15 دقیقه انجام میشوند و تکرار بین سایتی حتی کمتر اتفاق میافتد). بنابراین، میتوانید به سادگی صبر کنید یا به روز رسانی سیاست های گروه در کامپیوتر با دستور
پس از بهروزرسانی خطمشیهای گروه، بهروزرسانیهای ویندوز در رایانه شما دانلود میشوند.
در زیر لیستی از مشکلات احتمالی WSUS و Windows Update آورده شده است:
سرور WSUS در دسترس نیست (تنظیمات را بررسی کنید دیوار آتش ویندوز، سرور IIS و غیره)
آدرس سرور WSUS در تنظیمات GPO به اشتباه مشخص شده است
سرور WSUS روشن است پورت غیر استاندارد. به عنوان مثال سرور WSUS در http://wsus.office.local:8080 قرار دارد و هنگام تنظیم آدرس در GPO، اصلاً شماره پورت را مشخص نکرده اید یا چیز دیگری را مشخص کرده اید.
رایانه سرویس گیرنده WSUS خدمات مورد نیاز (مانند Windows Update و Group Policy Client و غیره) را اجرا نمی کند.
GPO برای رایانه های فردی کار نمی کند. در این مورد، شما باید با هر یک به طور جداگانه برخورد کنید. من توصیه میکنم اثر Group Policy را روی رایانههای مشکلدار با استفاده از همان Snap-in GPMC.msc شبیهسازی کنید. این به شما امکان می دهد تا بررسی کنید که آیا GPO ایجاد شده در رایانه مورد تجزیه و تحلیل اعمال شده است یا خیر. متأسفانه، عیب یابی Group Policy Windows AD خارج از محدوده این پست است.
خوب، و مهمتر از همه... گزارش مشتری WSUS اینجاست --> c:\Windows\WindowsUpdate.log
r67rus.blogspot.ru
راه اندازی WSUS
Windows Server Update Services (WSUS) یک سرور به روز رسانی برای سیستم عامل ها و محصولات مایکروسافت است. یک کنسول بسیار مفید اگر بیش از 10 کامپیوتر در دفتر وجود داشته باشد. از این جهت مفید است که به شما امکان میدهد بهروزرسانیها را از یک سرور به همه رایانههای موجود در شبکه «توزیع» کنید، بهعنوان مثال، هر رایانه فردی مجبور نیست کانال اینترنت را دانلود کند، اما یک سرور بهروزرسانیها را دانلود کرده و آنها را در سراسر شبکه «توزیع» میکند. تمام ایستگاه های کاری و سرورها
در ابتدا در ویندوز 2003 نیاز به دانلود کیت توزیع WSUS از وب سایت مایکروسافت بود که با ظهور MsWindows 2008 و Ms و Windows 2008 R2 این نیاز از بین رفت، زیرا نقش WSUS ظاهر شده است، اگرچه می توانید کیت توزیع را از وب سایت مایکروسافت به روش قدیمی دانلود کنید.
برای نصب باید انجام دهید حداقل الزامات، یعنی: سیستم عامل: Windows Server 2003 SP1 و بالاتر. نقشهای سرور اضافی: IIS 6.0 و بالاتر (برای Windows Server 2008، هنگام افزودن یک نقش، از شما میخواهد آن را نصب کنید) بهروزرسانیهای اضافی سیستمعامل: Microsoft .NET Framework 2.0، Microsoft Management Console 3.0. برنامه های اضافی: Microsoft Report Viewer، SQL Server 2005 SP1 (WSUS می تواند سرویس پایگاه داده داخلی ویندوز را نصب کند). باید فضای هارد دیسک خود را در نظر بگیرید؛ بسته به تنظیماتی که در WSUS دارید، حداقل 100 گیگابایت را توصیه می کنم.
بنابراین، مهم نیست که از کدام راه نصب کنید (با استفاده از توزیع یا اضافه کردن یک نقش)، مراحل یکسان خواهند بود.
پس از شروع نصب، باید چندین بار روی Next کلیک کنید. من روی مراحل اصلی تمرکز خواهم کرد: ما نشان می دهیم که به روز رسانی ها در کجا ذخیره می شوند (دیسکی با ظرفیت حداقل 100 گیگابایت فضای خالی)
پوشه ای که پایگاه داده به روز رسانی در آن ذخیره می شود را مشخص کنید (2-4 گیگابایت فضای آزاد).
خیلی گام مهمانتخاب پورتی که آپدیت روی آن توزیع می شود؛ به طور پیش فرض از پورت 80 استفاده می شود، اما استفاده از آن را توصیه نمی کنم، زیرا این پورت اغلب توسط برنامه های کاربردی دیگر استفاده می شود. بهتر است یک وب سایت سرویس WSUS ایجاد کنید و از پورت 8530 استفاده کنید.
پس از نصب سرویس Wsus، باید آن را به درستی پیکربندی کنید، دوباره به مراحل اصلی نگاه می کنیم: انتخاب کنید که از کجا به روز رسانی دریافت کنیم، اگر این اولین سرور با Wsus است، سپس همگام سازی با Microsoft Update را انتخاب کنید.
زبانهایی که انتخاب میکنید باید انگلیسی (الزامی) + زبانهایی که در شبکه شما یافت میشوند باشند.
ما محصولاتی را انتخاب می کنیم که به روز می شوند (شما باید فقط مواردی را که استفاده می کنید نشان دهید، در غیر این صورت به روز رسانی های بی معنی فضای هارد دیسک شما را اشغال می کند).
کلاس های محصولی که به روز می شوند را انتخاب کنید.
تنظیمات اولیه تکمیل شده است، بیایید به تنظیمات اضافی برویم، کنسول WSUS را مستقیماً راه اندازی کنیم. برای راحتی، من توصیه می کنم 2 گروه رایانه ایجاد کنید، یک گروه دارای سرور و گروه دیگر دارای ایستگاه های کاری (این کار به این صورت انجام می شود که شما می تواند نصب به روز رسانی برای سرورها را محدود کند).
در ابتدا، همه رایانه ها در رایانه های Unassigned قرار می گیرند، سپس باید رایانه ها را به صورت دستی به گروه های مورد نیاز منتقل کنید. برای ایستگاه های کاری، توصیه می کنم همه به روز رسانی ها را نصب کنید؛ برای انجام این کار، به « گزینه ها - خودکارتایید» و انجام دهید قانون بعدی.
و برای سرورها ما قانونی را ایجاد می کنیم که فقط به روز رسانی های مهم را تأیید می کند (برای سرورها نصب همه به روز رسانی ها به شدت توصیه نمی شود، زیرا این امر می تواند باعث اختلال در عملکرد آنها شود، من چندین بار با این مورد مواجه شده ام).
اکنون لازم است تغییراتی در همه رایانه های موجود در شبکه ایجاد شود تا آنها بدانند که به روز رسانی ها را از کجا دریافت کنند. این کار با استفاده از سیاست های گروه انجام می شود. به کنترل کننده دامنه "شروع - ابزارهای اداری - مدیریت خط مشی گروه" بروید. خط مشی را انتخاب کنید که در دامنه عمل می کند (Default Group Policy به طور پیش فرض) یا یک سیاست جدید ایجاد کنید. راست کلیک کرده و "Edit" را انتخاب کنید. در پنجره "ویرایشگر مدیریت خط مشی گروه"، به "پیکربندی کامپیوتر - سیاست ها - قالب های اداری - اجزای ویندوز - به روز رسانی ویندوز" بروید. در زیر تنظیمات آماده و تست شده است. جایی که خط قرمز است، نام یا آدرس IP سرور خود را که WSUS روی آن نصب شده است وارد کنید.
در روسی:
اگر در زیرساخت مکانهای کاری وجود داشته باشد که بخشی از دامنه نیست (مثلاً مکانهای کاری سیار)، اما سرویس بهروزرسانی برای این مکانهای کاری ضروری باشد، میتوان این سرویس را در «خطمشی امنیت محلی» مشخص کرد. خط فرمان، تایپ کنید gpedit.msc و ما همان عملیاتی را انجام می دهیم که در بالا برای خط مشی گروه در دامنه توضیح داده شد.
چند دقیقه پس از انجام تمام مراحل، کامپیوترهای شبکه در کنسول Wsus در گروه Unassigned computers ظاهر می شوند. با توجه به سیستم عامل آنها، آنها را به گروه مورد نظر (سرور یا گروه کاری) منتقل می کنید. یادآوری می کنم که طبق تنظیمات ما، تمام به روز رسانی ها بر روی رایانه هایی که در گروه Workgroup هستند نصب می شود، فقط آنهایی که برای سرورها حیاتی هستند.
pk-help.com
WSUS را نصب و پیکربندی کنید.
هر مدیری اهمیت بهروزرسانیهای بهموقع را درک میکند، بهویژه وقتی صحبت از بهروزرسانیهای امنیتی حیاتی باشد. با این حال، با رشد شبکه و افزایش تعداد محصولات نرم افزاری، این امر به یک کار بسیار دشوار تبدیل می شود. بنابراین وقت آن است که WSUS (سرویس های به روز رسانی سرور ویندوز) را استقرار دهیم - سرور محلیبه روز رسانی در شبکه شما
با این کار چندین پرنده را با یک سنگ میکشید: بار کانال و ترافیک مصرفی اینترنت را به میزان قابل توجهی کاهش دهید و همچنین ابزار قدرتمندی برای نظارت و مدیریت فرآیند بهروزرسانی در اختیار دارید. از این پس، تمام رایانه های شخصی محلی از سرور شما به روز می شوند و فقط به روز رسانی هایی را که انتخاب می کنید نصب می کنند.
توجه! این موادبرای نسخه های قدیمی ویندوز سرور در نظر گرفته شده است، همچنین توصیه می کنیم مقاله فعلی را بخوانید: Windows Server 2012 - نصب و پیکربندی WSUS.
بیا شروع کنیم. قبل از نصب WSUS، باید سرور را آماده کنید، ما از Windows Server 2008 R2 استفاده خواهیم کرد، اما با اصلاحات جزئی، همه آنچه گفته شد برای سایر نسخه های ویندوز سرور صادق خواهد بود. آنچه ما نیاز داریم:
- IIS 6 یا بالاتر
- NET Framework 2.0 یا بالاتر،
- گزارش بیننده قابل توزیع مجدد 2008،
- SQL Server 2005 SP2 Express یا بالاتر.
WSUS می تواند به روز رسانی ها را در پایگاه داده خود ذخیره کند یا از یک سرور SQL استفاده کند، دومی از نقطه نظر عملکرد ارجح تر است. اگر قبلاً یک سرور SQL در شبکه خود مستقر کرده اید، می توانید از آن استفاده کنید، در غیر این صورت SQL Express رایگان کاملاً مناسب است.
شما می توانید تمام اجزای لازم را در وب سایت مایکروسافت دریافت کنید:
هنگام دانلود، به عمق بیت توجه کنید؛ برای سیستم عامل 64 بیتی، نسخه های 64 بیتی محصولات را دانلود می کنیم.
خدا حافظ دانلود در حال انجام استبیایید نقش های سرور را اضافه کنیم. ما به یک وب سرور (IIS) و یک سرور برنامه (در نسخه های قبلیویندوز سرور دات نت فریم ورک را نصب می کند). Application Server با مقادیر پیش فرض نصب شده است و گزینه های زیر باید به وب سرور اضافه شوند:
- ASP.NET
- ویندوز - احراز هویت
- فشرده سازی پویا محتوای
- سازگاری مدیریت IIS6
با افزودن نقش های لازم، Report Viewer و SQL Server را با پارامترهای پیش فرض نصب می کنیم. همه چیز آماده است، می توانید WSUS را نصب کنید. پس از راه اندازی نصب کننده، نصب سرور و کنسول مدیریت و پوشه نصب را انتخاب کنید. در پارامترهای پایگاه داده ما سرور SQL خود را نشان می دهیم. بقیه تنظیمات را می توان به عنوان پیش فرض باقی گذاشت.
ویزارد بلافاصله پس از نصب راه اندازی می شود راه اندازی اولیه. همه گزینه ها بسیار ساده و واضح هستند. در تنظیمات همگامسازی، نشان میدهیم که سرور ما از کجا بهروزرسانیها را دریافت میکند: از سرور مایکروسافت یا از سرور WSUS دیگر. اگر نیاز به استقرار یک سرور به روز رسانی اضافی، به عنوان مثال، برای یک شعبه دارید، آخرین گزینه باید استفاده شود. در این صورت سرور برده فقط به روز رسانی هایی را دریافت می کند که شما تایید می کنید.
در تب بعدی، در صورت لزوم، پارامترهای سرور پراکسی را مشخص کرده و اتصال اولیه را انجام دهید. اطلاعات از سرور بالادست دانلود خواهد شد: لیست محصولات، انواع به روز رسانی ها و غیره.
هنگام انتخاب محصولات، حریص نباشید؛ فقط آنچه را که واقعاً نیاز دارید مشخص کنید؛ بعداً همیشه می توانید این لیست را تغییر دهید.
در صفحه بعد، مشخص کنید که کدام دسته از به روز رسانی ها را می خواهید دریافت کنید؛ در اینجا همه چیز به خط مشی به روز رسانی در شرکت شما بستگی دارد. لازم به یادآوری است که بهروزرسانیهای درایور و بستههای ویژگی جدید بهطور خودکار و بدون آزمایش قبلی توصیه نمیشوند. اگر فرصت انجام این کار را ندارید، پس نیازی به تعیین این کلاس ها ندارید.
فراموش نکنید که یک برنامه زمانبندی برای همگام سازی با سرور بالادستی نیز تنظیم کنید. این تنظیمات اولیه را کامل می کند.
پس از باز کردن کنسول (موجود در منوی Administration)، ابتدا اجرا کنید همگام سازی دستیبرای دانلود تمام به روز رسانی های موجود در حال حاضر برای محصولات انتخاب شده. بسته به اینکه چه چیزی و چه مقدار در طول راه اندازی انتخاب کرده اید، و همچنین سرعت اتصال شما، ممکن است زمان زیادی طول بکشد.
در حالی که همگام سازی در حال انجام است، بیایید رایانه های شخصی مشتری را راه اندازی کنیم. اگر اکتیو دایرکتوری را مستقر کرده اید، این کار را می توان با استفاده از خط مشی های گروه انجام داد. Group Policy Management را باز کنید، شی مورد نیاز را انتخاب کنید و کلیک راست کرده و روی Edit کلیک کنید. در پنجره باز شده گزینه Computer Configuration - Policies - Administrative Templates - Windows Update را انتخاب کنید. ما علاقه مند به گزینه Specify location of Microsoft update service on the intranet هستیم. ما آن را به موقعیت Enabled تغییر می دهیم و مسیر سرور WSUS خود را به شکل http:\\SERVER_NAME مشخص می کنیم.
![](https://i0.wp.com/htfi.ru/img/kak_dobavit_kompyutery_v_wsus_44.jpg)
اگر شبکه شما ساختار همتا به همتا دارد، باید هر رایانه شخصی را جداگانه پیکربندی کنید. این کار از طریق ویرایشگر خط مشی گروه محلی (شروع - اجرا - gpedit.msc) انجام می شود، فرآیند راه اندازی خود کاملاً مشابه آنچه در بالا توضیح داده شد است.
میتوانید تعداد رایانههای شخصی و وضعیت آنها را در بخش رایانههای کنسول مدیریت کنترل کنید.
اطلاعات کافی برای ارزیابی سریع وضعیت کلی و توجه به مناطق مشکل دار وجود دارد. صلیب های قرمز نشان می دهد که خطاهای به روز رسانی در این رایانه های شخصی رخ داده است؛ هر یک از این موارد باید جداگانه بررسی شود. برای هر به روز رسانی، یک گزارش مفصل حاوی تمام داده های لازم برای تجزیه و تحلیل مشکل تولید می شود.
ما همچنین توصیه می کنیم رایانه شخصی خود را به گروه ها تقسیم کنید؛ برای هر گروه می توانید خط مشی به روز رسانی خود را تعیین کنید. بنابراین در گروه جداگانهشما می توانید سرورهایی را انتخاب کنید که فقط می توانید به طور خودکار برای آنها نصب کنید به روز رسانی های حیاتیامنیت.
در اینجا به یکی دیگر می رسیم تنظیم مهمسرور - تایید خودکار. رایانه های شخصی مشتری فقط می توانند به روز رسانی های تأیید شده را دریافت کنند، اما انجام هر کار به صورت دستی غیرواقعی است، بنابراین برخی از به روز رسانی ها می توانند به طور خودکار تأیید شوند. بیایید تنظیمات را باز کنیم - تأییدیههای خودکار و خطمشی را از قبل فعال کنیم، که به شما امکان میدهد بهروزرسانیهای مهم و امنیتی را بهطور خودکار نصب کنید.
در اینجا می توانید قوانین خود را ایجاد کرده و آنها را به هر گروه رایانه شخصی اختصاص دهید. به عنوان مثال، ما یک قانون ایجاد کردیم: به طور خودکار تمام بهروزرسانیهای MS Office برای گروه Workstations تأیید شود.
شما می توانید تمام به روز رسانی های موجود را در قسمت به روز رسانی ها مشاهده کنید و در اینجا می توانید آنها را به صورت دستی تأیید کنید. توصیه می کنیم یک یا چند رایانه شخصی آزمایشی (مجازی که ممکن است) داشته باشید و به روز رسانی ها و بسته های ویژگی های جدید را روی آنها آزمایش کنید و تنها پس از آن به روزرسانی ها را برای نصب تأیید کنید. میتوانید بهروزرسانیها را هم برای همه رایانههای شخصی و هم برای یک گروه تأیید کنید؛ به عنوان مثال، ما نصب بسته Silverlight را برای گروه Workstations تأیید کردیم.
به عنوان بخشی از تعمیر و نگهداری سرور، ارزش آن را دارد که هر از گاهی (حدود یک بار در ماه) سرور را تمیز کنید. این به شما این امکان را می دهد که از افزایش بیش از حد اندازه پایگاه داده با حذف به روز رسانی های بدون ادعا، دیگر مورد نیاز و تایید نشده جلوگیری کنید.
نحوه نصب دیسک Yandex بر روی کامپیوتر
در یکی از مقالات قبلی ما این روش را به طور کامل شرح دادیم. پس از پیکربندی سرور، باید کلاینتهای ویندوز (سرورها و ایستگاههای کاری) را برای استفاده از سرور WSUS برای دریافت بهروزرسانیها پیکربندی کنید تا کلاینتها بهروزرسانیها را از سرور بهروزرسانی داخلی دریافت کنند. سرورهای مایکروسافتاز طریق اینترنت به روز رسانی کنید. در این مقاله، روش پیکربندی کلاینتها برای استفاده از سرور WSUS با استفاده از سیاستهای گروهی را بررسی خواهیم کرد. دامنه فعالفهرست راهنما.
خطمشیهای گروه AD به مدیر اجازه میدهد تا رایانهها را بهطور خودکار به گروههای مختلف WSUS اختصاص دهد، و نیازی به جابجایی دستی رایانهها بین گروهها در کنسول WSUS را از بین میبرد و آن گروهها را بهروز نگه میدارد. تخصیص مشتریان به گروه های هدف مختلف WSUS بر اساس یک برچسب رجیستری روی مشتری است (برچسب ها توسط Group Policy یا با ویرایش مستقیم رجیستری تنظیم می شوند). این نوع تخصیص مشتریان به گروه های WSUS نامیده می شود مشتریسمتهدف گذاری(هدف گیری سمت مشتری).
فرض بر این است که شبکه ما از دو خط مشی به روز رسانی متفاوت استفاده خواهد کرد - یک خط مشی نصب به روز رسانی جداگانه برای سرورها ( سرورها) و برای ایستگاه های کاری ( ایستگاه های کاری). این دو گروه باید در کنسول WSUS در قسمت All Computers ایجاد شوند.
مشاوره. خط مشی نحوه استفاده مشتریان از سرور به روز رسانی WSUS تا حد زیادی به این بستگی دارد ساختار سازمانی OU در اکتیو دایرکتوری و به روز رسانی قوانین نصب در سازمان. در این مقاله ما فقط نگاه خواهیم کرد گزینه خصوصی، که به شما کمک می کند اصول اولیه استفاده از سیاست های AD برای نصب به روز رسانی های ویندوز را درک کنید.
اول از همه، شما باید یک قانون برای گروه بندی کامپیوترها در کنسول WSUS (هدف گیری) مشخص کنید. بهطور پیشفرض، در کنسول WSUS، رایانهها بهطور دستی توسط مدیر در گروهها توزیع میشوند (هدفگیری سمت سرور). ما از این راضی نیستیم، بنابراین اشاره خواهیم کرد که رایانه ها بر اساس هدف گیری سمت مشتری (توسط یک کلید خاص در رجیستری مشتری) به گروه هایی توزیع می شوند. برای انجام این کار، در کنسول WSUS، به بخش بروید گزینه هاو پارامتر را باز کنید کامپیوترها. مقدار را به از Group Policy یا تنظیمات رجیستری در رایانه ها استفاده کنید(از Group Policy یا تنظیمات رجیستری در رایانه استفاده کنید).
اکنون می توانید یک GPO برای پیکربندی کلاینت های WSUS ایجاد کنید. کنسول مدیریت خط مشی دامنه را باز کنید و دو خط مشی گروه جدید ایجاد کنید: ServerWSUSPolicy و WorkstationWSUSPolicy.
خط مشی گروه WSUS برای سرورهای ویندوز
بیایید با توضیح خط مشی سرور شروع کنیم ServerWSUSPolicy.
تنظیمات خط مشی گروه مسئول عملکرد سرویس Windows Update در بخش GPO قرار دارد: کامپیوترپیکربندی -> سیاست های-> اداریقالب ها-> پنجره هاجزء-> پنجره هابه روز رسانی(Computer Configuration -> Administrative Templates -> Windows Components -> Windows Update).
در سازمان ما، ما انتظار داریم که از این سیاست برای نصب بهروزرسانیهای WSUS در سرورهای ویندوز استفاده کنیم. انتظار میرود همه رایانههای تحت پوشش این خطمشی به گروه سرورها در کنسول WSUS اختصاص داده شوند. علاوه بر این، ما می خواهیم از نصب خودکار به روز رسانی ها در سرورها هنگام دریافت آنها جلوگیری کنیم. کلاینت WSUS باید به سادگی بهروزرسانیهای موجود را روی دیسک دانلود کند، هشداری را برای بهروزرسانیهای جدید در سینی سیستم نمایش دهد، و منتظر بماند تا سرپرست نصب (چه به صورت دستی یا از راه دور با استفاده از ) شروع به نصب کند. این بدان معناست که سرورهای تولید بهطور خودکار بهروزرسانیها را نصب نمیکنند و بدون تأیید سرپرست راهاندازی مجدد نمیشوند (این کار معمولاً انجام میشود. مدیر سیستمدر چارچوب نگهداری برنامه ریزی شده ماهانه). برای اجرای چنین طرحی، سیاست های زیر را تعیین می کنیم:
- پیکربندی کنیدخودکاربه روز رسانی ها(تنظیم به روز رسانی خودکار): فعال کردن. 3 - خودکاردانلودواعلام کردنبراینصب(بهروزرسانیها را بهطور خودکار دانلود کنید و زمانی که آماده نصب شدند به شما اطلاع میدهند)- مشتری به طور خودکار به روز رسانی های جدید را دانلود می کند و در مورد در دسترس بودن آنها اطلاع می دهد.
- مشخص كردناینترانتمایکروسافتبه روز رسانیسرویسمحل(محل اینترانت مایکروسافت به روز رسانی را مشخص کنید): فعال کردن. سرویس بهروزرسانی اینترانت را برای شناسایی بهروزرسانیها تنظیم کنید: http://srv-wsus.site:8530، سرور آمار اینترانت را تنظیم کنید: http://srv-wsus.site:8530- در اینجا باید آدرس سرور WSUS و سرور آمار خود را مشخص کنید (معمولاً آنها یکسان هستند).
- بدون راه اندازی مجدد خودکار با کاربران وارد شده برای نصب به روز رسانی های خودکار برنامه ریزی شده(اجرا نکنید راه اندازی مجدد خودکارهنگام نصب خودکار به روز رسانی ها در صورت وجود کاربران در سیستم): فعال کردن- ممنوعیت راه اندازی مجدد خودکار زمانی که یک جلسه کاربر وجود دارد.
- فعال کردنمشتری-سمتهدف گذاری (اجازه دادن به مشتری برای پیوستن به گروه هدف): فعال کردن. نام گروه هدف برای این رایانه گروه هدفبرای این کامپیوتر): سرورها– در کنسول WSUS، مشتریان را به گروه Servers اختصاص دهید.
توجه داشته باشید. هنگام تنظیم یک خط مشی به روز رسانی، توصیه می کنیم با تمام تنظیمات موجود در هر یک از گزینه های موجود در بخش GPO به دقت آشنا شوید. پنجره هابه روز رسانیو پارامترهای متناسب با زیرساخت و سازمان خود را تنظیم کنید.
سیاست نصب بهروزرسانی WSUS برای ایستگاههای کاری
ما فرض میکنیم که بهروزرسانیهای ایستگاههای کاری مشتری، برخلاف خطمشی سرور، بلافاصله پس از دریافت بهروزرسانیها، بهطور خودکار در شب نصب میشوند. پس از نصب بهروزرسانیها، رایانهها باید بهطور خودکار راهاندازی مجدد شوند (5 دقیقه قبل به کاربر هشدار میدهند).
در این GPO (WorkstationWSUSPolicy) ما مشخص می کنیم:
- اجازهخودکاربه روز رسانی هافورینصب و راه اندازی(اجازه نصب فوری بهروزرسانیهای خودکار): معلول- ممنوعیت نصب فوری به روز رسانی ها هنگام دریافت آنها؛
- اجازهغیر-مدیرانبهدريافت كردنبه روز رسانیاطلاعیه(اجازه به کاربران غیر سرپرست برای دریافت اعلانهای بهروزرسانی): فعال شد- نمایش اخطار به غیر مدیران در مورد به روز رسانی های جدید و اجازه نصب دستی آنها.
- پیکربندی بهروزرسانیهای خودکار:فعال شد. پیکربندی به روز رسانی خودکار: 4 - دانلود خودکار و زمانبندی نصب.روز نصب برنامه ریزی شده: 0 - هرروز. زمان نصب برنامه ریزی شده: 05:00 - هنگامی که به روز رسانی های جدید دریافت می شود، مشتری آنها را در حافظه پنهان محلی دانلود می کند و نصب خودکار آنها را در ساعت 5:00 صبح برنامه ریزی می کند.
- نام گروه هدف برای این رایانه: ایستگاه های کاری- در کنسول WSUS، مشتری را به گروه Workstations اختصاص دهید.
- بدون راه اندازی مجدد خودکار با کاربرانی که وارد سیستم شده اند برای نصب به روز رسانی های خودکار برنامه ریزی شده: معلول- سیستم به طور خودکار 5 دقیقه پس از اتمام نصب به روز رسانی راه اندازی مجدد می شود.
- اینترانت را مشخص کنید به روز رسانی مایکروسافتمحل خدمات: فعال کردن سرویس بهروزرسانی اینترانت را برای شناسایی بهروزرسانیها تنظیم کنید: http://srv-wsus.site:8530، سرور آمار اینترانت را تنظیم کنید: http://srv-wsus.site:8530-آدرس سرور WSUS شرکتی.
در ویندوز 10 1607 و بالاتر، حتی اگر به آنها دستور دادهاید که بهروزرسانیها را از WSUS داخلی دریافت کنند، ممکن است همچنان سعی کنند به آن دسترسی پیدا کنند. سرورهای ویندوزبه روز رسانی در اینترنت. این "ویژگی" نامیده می شود دوگانهاسکن کنید. برای غیرفعال کردن دریافت به روز رسانی از اینترنت، باید این خط مشی را نیز فعال کنید انجام دادننهاجازهبه روز رسانیبه تعویق انداختنسیاست هایبهعلتاسکن می کنددر برابرپنجره هابه روز رسانی ().
مشاوره. برای بهبود "سطح وصله" رایانه ها در یک سازمان، هر دو خط مشی را می توان به گونه ای پیکربندی کرد که شروع سرویس به روز رسانی (wuauserv) را در کلاینت ها اجباری کند. برای انجام این کار، در بخش پیکربندی کامپیوتر -> سیاست ها-> تنظیمات ویندوز -> تنظیمات امنیتی -> خدمات سیستمسرویس Windows Update را پیدا کنید و تنظیم کنید تا به طور خودکار شروع شود ( خودکار).
تخصیص سیاست های WSUS به OU های Active Directory
مرحله بعدی تخصیص خط مشی های ایجاد شده به کانتینرهای Active Directory (OU) مناسب است. در مثال ما، ساختار OU در دامنه AD تا حد امکان ساده است: دو کانتینر وجود دارد - سرورها (شامل تمام سرورهای سازمان، علاوه بر کنترل کننده های دامنه) و WKS (ایستگاه های کاری - رایانه های کاربر).
مشاوره. ما تنها یک گزینه نسبتاً ساده را برای اتصال سیاستهای WSUS به مشتریان در نظر میگیریم. که در سازمان های واقعیمیتوان یک خطمشی WSUS را به همه رایانههای موجود در دامنه متصل کرد (GPO با تنظیمات WSUS به ریشه دامنه متصل است)، گسترش یابد. انواع مختلفکلاینت ها در OU های مختلف (مانند مثال ما - ما سیاست های WSUS مختلفی را برای سرورها و ایستگاه های کاری ایجاد کردیم)، در دامنه های توزیع شده بزرگ می توانید GPO ها را بر اساس روش های بالا متصل کنید، یا اختصاص دهید، یا ترکیب کنید.
برای اختصاص یک خط مشی به یک OU، روی OU مورد نظر در کنسول مدیریت خط مشی گروه کلیک کنید و آیتم منو را انتخاب کنید. پیوند به عنوان GPO موجودو سیاست مناسب را انتخاب کنید.
مشاوره. یک OU جداگانه با کنترل کننده های دامنه (Domain Controller) را فراموش نکنید؛ در بیشتر موارد، خط مشی "سرور" WSUS باید به این ظرف اختصاص داده شود.
دقیقاً به همین ترتیب، باید خط مشی WorkstationWSUSPolicy را به کانتینر AD WKS که ایستگاه های کاری ویندوز در آن قرار دارد اختصاص دهید.
تنها چیزی که باقی میماند این است که سیاستهای گروه را روی کلاینتها بهروزرسانی کنیم تا مشتری را به سرور WSUS متصل کنیم:
تمام تنظیمات سیستم به روز رسانی ویندوز که با استفاده از خط مشی های گروه تنظیم می کنیم باید در رجیستری مشتری در شعبه ظاهر شوند HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
را فایل regمی تواند برای انتقال تنظیمات WSUS به رایانه های دیگری که نمی توانند تنظیمات به روز رسانی را با استفاده از GPO پیکربندی کنند (رایانه های یک گروه کاری، بخش های جدا شده، DMZ و غیره) استفاده شود.
پنجره ها ویرایشگر رجیسترینسخه 5.00
"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="سرورها"
"ElevateNonAdmins"=dword:00000000
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
همچنین کنترل تنظیمات WSUS اعمال شده روی کلاینت ها با استفاده از rsop.msc راحت است.
و بعد از مدتی (بسته به تعداد آپدیت ها و پهنای باندکانال به سرور WSUS) باید سینی را برای اعلان های بازشو در مورد وجود به روز رسانی های جدید بررسی کنید. در کنسول WSUS، کلاینتها باید در گروههای مناسب ظاهر شوند (در فرم جدولینام مشتری، IP، سیستم عامل، درصد "وصله" بودن آنها و تاریخ آخرین به روز رسانی وضعیت را نمایش می دهد). زیرا ما رایانهها و سرورها را به گروههای مختلف WSUS بر اساس خطمشیها اختصاص دادهایم؛ آنها فقط بهروزرسانیهای تأیید شده برای نصب در گروههای WSUS مربوطه را دریافت خواهند کرد.
توجه داشته باشید. اگر بهروزرسانیها روی کلاینت ظاهر نمیشوند، توصیه میشود گزارش سرویس Windows Update را در کلاینت مشکلساز (C:\Windows\WindowsUpdate.log) با دقت بررسی کنید. لطفاً توجه داشته باشید که ویندوز 10 (ویندوز سرور 2016) از . کلاینت به روز رسانی ها را در پوشه محلی C:\Windows\SoftwareDistribution\Download دانلود می کند. برای شروع جستجوی به روز رسانی های جدید در سرور WSUS، باید دستور زیر را اجرا کنید:
wuauclt/detectnow
همچنین، گاهی اوقات مجبور میشوید به اجبار مشتری را دوباره ثبت کنید سرور WSUS:
wuauclt /detectnow /resetAuthorization
در موارد به خصوص دشوار، می توانید سعی کنید سرویس wuauserv را تعمیر کنید. اگر این اتفاق افتاد، فرکانس بررسی بهروزرسانیها را در سرور WSUS با استفاده از خطمشی فرکانس تشخیص بهروزرسانی خودکار تغییر دهید.
در مقاله بعدی ویژگی ها را شرح خواهیم داد. همچنین توصیه می کنیم مقاله بین گروه ها را در سرور WSUS بخوانید.