Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Recenzije
  • Pa kako to radi. Konfiguriranje WSUS klijenata pomoću pravila grupe

Pa kako to radi. Konfiguriranje WSUS klijenata pomoću pravila grupe

22.05.2019 Recenzije

Instalacija poslužitelja za ažuriranje Windows poslužitelj Usluge ažuriranja za Windows 2008 R2 platformu nisu težak zadatak. Samo trebate upamtiti da se sam distribucijski komplet za WSUS više ne mora preuzimati s Microsoftove web stranice. Ovaj poslužitelj je instaliran na isti način kao i većina drugih Windows usluge Server 2008 R2 - putem instalacije uloge poslužitelja.

Treba imati na umu da ćete možda i dalje trebati WSUS instalacijski paket, ali samo ako želite instalirati zasebna administracijska konzola na jednu od radnih stanica. U ovom slučaju, možete ga preuzeti odavde.

Postavljanje WSUS poslužitelja

Pa počnimo s instalacijom. Pretpostavit ćemo da ste već instalirali operativni sustav Windows 2008 R2 i da ste prijavljeni pomoću računa koji ima prava lokalni administrator. Prije instalacije trebate provjeriti je li poslužitelj spojen na mrežu i je li Internet dostupan s njega (ovo je važno).

1. Otvorite dodatak "Server Manager". Zatim na lijevoj ploči otvorite granu "Uloge", a na desnoj ploči pokrenite čarobnjaka "Dodaj uloge" (pogledajte sliku u nastavku):

2. Nakon odabira retka popisa "Usluge ažuriranja Windows poslužitelja", pojavit će se prozor čarobnjaka koji od vas traži da dodate uslugu web poslužitelja, kao i potrebne komponente. Slažemo se s ovim prijedlogom i tri puta kliknemo “Dalje”.

3. Sljedeći korak zapravo je instaliranje WSUS usluge. Pritisnite "Dalje", a zatim "Instaliraj". U ovom trenutku, poslužitelj će početi preuzimati s interneta i instalirati uslugu. Tijekom postupka instalacije od vas će se tražiti da prihvatite uvjete licencnog ugovora:

Kasnije ćemo instalirati ovaj paket.

5. Sljedeći korak je označavanje lokacije mape u kojoj će ažuriranja biti pohranjena. Možete prihvatiti predloženu opciju ili odrediti drugu mapu. Ova mapa d.b. na disku s datotekom NTFS sustav. Provjerite ima li tamo dovoljno mjesta. Kao primjer za procjenu, obavijestit ću vas da će ažuriranja sustava Windows za poslužitelje i radne stanice na dva jezika (ruski, engleski) zahtijevati približno 40 - 60 GB. Ne preporučam spremanje...

6. MS SQL baza podataka koristi se za rad WSUS 3.0. Možete koristiti internu bazu podataka ili postojeću na vašoj mreži:

Ovdje je također naznačena adresa usluge WSUS, koja će biti potrebna prilikom postavljanja klijenata usluge.

9. To je to... u ovom trenutku se sam proces instalacije može smatrati završenim.

10. Ali majstorov rad će se nastaviti. Sljedeći korak je izravno konfiguriranje usluge ažuriranja:

11. Sljedeći koraci čarobnjaka pomoći će vam napraviti početne postavke za WSUS uslugu. Morat ćete odrediti s kojeg će se poslužitelja ovaj WSUS poslužitelj sinkronizirati. Moguće opcije: Microsoftov poslužitelj ili uzvodni WSUS poslužitelj

12. Prilikom sinkronizacije potrebno je odrediti postavke proxy poslužitelja:

13. U sljedećem koraku spojit ćemo se na Microsoftov poslužitelj (ili upstream poslužitelj). Ovo može potrajati nekoliko minuta:

Ako ovaj proces ne uspije, provjerite postavke proxy poslužitelja koje ste ranije unijeli. Provjerite je li Microsoftov poslužitelj ili uzvodni WSUS poslužitelj dostupan s tog poslužitelja i pokušajte ponovno.

15. Na sljedeći korak Od vas će se tražiti da odaberete Microsoftove proizvode za koje će se preuzimati ažuriranja

16. Također, trebate odabrati klase ažuriranja:

Proces preuzimanja ažuriranja trajat će dugo. Početno preuzimanje trajat će nekoliko sati i može doseći nekoliko desetaka gigabajta. Kako bi se smanjila količina prometa, WSUS poslužitelj se može "hraniti" katalogom ažuriranja s drugog poslužitelja. Ovo je posebno istinito u slučajevima kada je WSUS poslužitelj postavljen na LAN-u koji ima pristup internetu preko sporog komunikacijskog kanala.

Ako ste učinili bilo što krivo tijekom procesa postavljanja poslužitelja, otvorite konzolu Windows Server Update Services i odaberite "Options" u lijevom oknu. Na središnjoj ploči možete ručno promijeniti pojedinačne postavke ili ponovno pokrenite čarobnjak za konfiguraciju WSUS poslužitelja.

Vlasnici računalnih mreža barem su se jednom susreli s problemom ažuriranja programa. Učinite to sami, bez pomoći poseban softver, gotovo je nemoguće, jer oduzima nevjerojatno mnogo vremena. A vrijeme je najvrjedniji resurs. Kad bi barem postojala usluga koja bi pomogla riješiti ovaj problem automatiziranjem procesa pretraživanja, ažuriranja i instaliranja novih verzija svih programa tvrtke.

Takav sustav postoji. Microsoft je izdao još 2005 Windows usluga Usluge ažuriranja poslužitelja. Njegova glavna svrha je zakrpati i ažurirati Microsoftove proizvode u cijeloj računalnoj mreži. Štoviše, veličina potonjeg ne igra nikakvu ulogu. WSUS možete instalirati i konfigurirati za dva računala ili za nekoliko stotina. Sve ovisi isključivo o vašim zahtjevima. Nove verzije su objavljene i podržane do danas

Zahtjevi sustava

Postavljanje WSUS-a na Serveru 2012 ne zahtijeva od korisnika dubinsko znanje o programiranju i računalnim mrežama. Sučelje je intuitivno i praktično. Fokus je na širokom krugu ljudi koji će koristiti njihov proizvod.

Osim toga, zahtjevi za normalna operacija usluge su dosta loše, pogotovo po modernim standardima. Na primjer, za održavanje visokih performansi poslužitelja čija mreža uključuje do pet stotina računala, što je preporučena veličina RAM memorija mora biti najmanje 1 GB. A radni takt procesora je iznad 1 GHz. Slažem se, čak i stara uredska računala imaju odlične performanse.

Priprema svega što vam je potrebno za WSUS

Dakle, odlučili ste koristiti WSUS za svoje mreže. Instalacija i konfiguracija ne bi trebale biti teške ako pravilno pripremite svoje računalo za to.

  • Particiju diska na koju ćete instalirati WSUS, kao i onu namijenjenu sustavu, obavezno formatirajte u NTFS.
  • Provjerite ima li vaše računalo najmanje 1 gigabajt RAM-a.
  • Ovisno o broju računala na mreži, odaberite željeno besplatno prostor na disku. Za male mreže Potrebno je najmanje 6 gigabajta. Na temelju korisničkog iskustva preporuča se dodijeliti 30 gigabajta memorije na disku na kojem će biti pohranjeni WSUS podaci. Usluga će preuzeti i instalirati dodatni softver, stoga je bolje dodati više memorije i biti siguran u stabilan rad nego žaliti i stalno provjeravati njegov rad.

Potrebne komponente

Nemojte zaboraviti da je WSUS sustav za ažuriranje softvera i mora biti instaliran na operativnom sustavu Windows obitelj. Također pripremite ostale komponente s ovog popisa prije instalacije:

  1. Microsoftove internetske informacijske usluge (IIS) 6.0.
  2. Microsoft .NET Framework 1.1 Service Pack 1 ili noviji.
  3. Pozadinska inteligentna usluga prijenosa (BITS) 2.0.

Osim pripreme poslužitelja, morate uključiti sve klijentska računala mreže. Uključite ih automatski servis nadopune. Prisutan je u svim Microsoftovim operativnim sustavima. Nakon dovršetka ovoga pripremna faza Možete sigurno prijeći na sljedeći.

Postupak instalacije

WSUS uslugu možete instalirati samo ako imate administratorska prava. Stoga se prijavite s administratorskim računom. Nakon toga pokrenite WSUSSetup. Ima nastavak .exe i prilično je težak - oko 130 megabajta.

Otvorit će se standardni prozorČarobnjak za instalaciju. Pročitajte i prihvatite licencni ugovor. U sljedećem prozoru moći ćete odabrati izvor ažuriranja. Podatke možete pohraniti lokalno na poslužitelju ili ih preuzeti s Microsoftovih stranica.

Za uštedu prometa preporuča se postaviti lokalni tip. U tom slučaju ne samo da ćete smanjiti internetske troškove tvrtke, već ćete i povećati brzinu instaliranja ažuriranja na klijentskim računalima. Ovom izboru ne biste trebali pridavati preveliku važnost; i dalje ćete imati priliku kasnije ga konfigurirati prema vlastitom nahođenju.

Sljedeći prozor od vas traži da odaberete koji će se parametri postaviti za baze podataka:

  1. WMSDE će također biti instaliran zajedno s WSUS-om. Uključen je u program i ne morate ga platiti. Stoga ga većina korisnika instalira. Nema razloga da ga odbijete, a osim toga, pomaže u izbjegavanju problema u budućnosti.
  2. U drugom slučaju WMSDE neće biti instaliran. Koristit će se umjesto toga postojeće baze podaci iz Microsoft SQL-a. Prilikom odabira ove stavke kada dug rad Poteškoće mogu nastati jer podaci mogu postati zastarjeli, a kada se ažuriranje objavi na računalima, neće biti odmah moguće ažurirati.

U sljedećem prozoru imate izbor web stranice koja će koristiti WSUS poslužitelj. Ovdje nije potrebna konfiguracija i u većini slučajeva koriste se standardni predloženi parametri. Ovo je IIS host i port broj 80.

U posljednjem instalacijskom prozoru odabrana je uloga upravljanja poslužiteljem. Ako je ovo prvi i jedini poslužitelj na vašoj mreži, slobodno ga preskočite.

U slučaju da poslužitelj nije prvi, prozor "Postavke ažuriranja zrcala" mora biti ispravno konfiguriran. Ako se to ne učini, može doći do sukoba između ovih poslužitelja. Na drugom i sljedećim poslužiteljima označite kućicu i unesite naziv poslužitelja koji je prvobitno instaliran.

Pokretanje administracijske konzole

Odmah nakon uspješne instalacije WSUS-a, od korisnika se traži da pokrene administratorsku konzolu. To se može učiniti ne samo s poslužitelja, već i s bilo kojeg drugog računala na mreži. Ali vrijedi zapamtiti da to može učiniti samo korisnik koji ima administratorska prava. Konzola se nalazi na na sljedeću adresu: http://naziv poslužitelja/wsusadmin.

Postavljanje WSUS-a

Nakon instalacije možete konfigurirati sljedeće postavke u WSUS-u:

  • stvaranje grupe računala;
  • sinkronizacija;
  • automatsko ažuriranje.

Stvaranje grupe računala

Najvažnija točka koja se ne može izbjeći Postavljanje WSUS-a 2012 r2, je stvaranje grupe računala. Ovo je potrebno za prikladno ažuriranje programi za određena računala koji obavljaju različite zadatke.

Postoje dva načina za dodavanje računala u grupe:

  • Sa strane poslužitelja.
  • Sa strane klijenta.

Koja je razlika? Mogućnost automatizacije procesa. U prvom slučaju morat ćete ručno dodijeliti svako pojedinačno računalo pomoću konzole. U drugom slučaju morat ćete konfigurirati pravila grupe i registar operativnog sustava.

Za dodavanje računala otvorite stranicu s njihovim postavkama. Zatim odaberite metodu odredišta.

Za stvaranje grupe otvorite karticu Računala na konzoli. Postoji gumb "Stvori grupu računala". Stvorit će se grupa u koju su već dodana računala na temelju vaših zahtjeva.

Konfiguriranje postavki sinkronizacije

Nakon što su grupe stvorene, postavljanje WSUS-a zahtijeva odabir opcija za preuzimanje ažuriranja. Možeš odabrati ručni mod započeti sinkronizaciju ili automatski prema određenom rasporedu.

Otvorite odjeljak "Proizvodi i klase" i odaberite programe koje je potrebno ažurirati. Za prijenos ažuriranja s poslužitelja na računala odaberite programe koji ispunjavaju zahtjeve na popisima.

Na ovaj način možete preuzeti ne samo programe, već i mnogo više: upravljačke programe, kritične popravke za operativne sustave, servisne pakete, ključeve za sigurnosne sustave. Ove postavke možete promijeniti u bilo kojem trenutku.

Postavljanje izvora ažuriranja

Ako je WSUS instaliran prvi put i nema drugih poslužitelja, ostavite sve kao zadano. Preuzimanje će se izvršiti sa službenog Microsoft host Ažuriraj.

Ako poslužitelj nije prvi, tada navedite glavne WSUS podatke.

Postavljanje automatskog odobrenja

Drugi važan parametar automatizacije procesa je automatsko odobrenje. To će vam omogućiti da ne budete ometani i da nećete morati ručno potvrđivati ​​preuzimanje i prijenos novih ažuriranja. Ova WSUS postavka nalazi se u konzoli.

Postavljanje sinkronizacije

Posljednji korak u postavljanju parametara je sinkronizacija. Provjerava sav mrežni softver kako bi osigurao da je ažuriran s najnovijim ažuriranjima.

Ako je računalo spojeno na mrežu, poslužitelj će odrediti verziju programa na njemu i, ako se razlikuju od najnovijih, poslati mu sva ažuriranja.

Kratak pogovor

Kao što ste već shvatili, instalacija je jednostavna i izravna. Administrator sustava ne bi trebao imati problema s instaliranjem i konfiguriranjem poslužitelja. Može se koristiti bilo koja verzija. Nema razlike u odnosu jedni na druge ne postoje WSUS postavke za Windows Server 2012 ili bilo koju drugu verziju. Svaka novija verzija radi brže i stabilnije te učinkovitije koristi resurse računala.

U isto vrijeme, usluga je izuzetno korisna i funkcionalna. Jednostavno je neophodan za poduzeća bilo koje razine. S WSUS-om možete uštedjeti dragocjene živce i vrijeme. Nije uzalud što svi preporučuju njegovu upotrebu.

Postupak instalacije ovog mrežni servis. Ovaj post opisuje postupak postavljanja računala za ažuriranje s WSUS poslužitelja koji su vam dostupni.

Postavljanje računala radne grupe ili samostalnih poslužitelja

Za konfiguriranje računala u ovom slučaju trebat će vam dodatak Group Policy Object Editor. Da biste ga otvorili, učinite sljedeće:

  1. 1. Otvorite izbornik Start - Run. U retku "otvori" - upišite "mmc" - zatim OK
  2. 2. U MMC konzoli otvorite izbornik Datoteka – Dodaj ili ukloni snap-in...
  3. 3. Odaberite dodatak “Group Policy Object Editor” – Gotovo – U redu
  4. 4. Želimo stvoriti pravilo za ažuriranje OS-a računala. Stoga u desnom dijelu uređivača u košnici “Konfiguracija računala” otvorite granu Politike – Administrativni predlošci – Komponente sustava Windows – Ažuriranje sustava Windows
  5. 5. Na desnoj strani prozora uređivača vidjet ćete pravila koja opisuju ponašanje računala u vezi s procesima ažuriranja. Odaberite pravilo "Postavi automatsko ažuriranje".
  6. 6. U prozoru postavki automatskog ažuriranja omogućite pravilo i odredite parametre. Prema zadanim postavkama bit će odabran način podešavanja br. 3 - automatsko preuzimanje i obavijest o instalaciji. U tom slučaju instalacija će se provesti tek nakon potvrde za ažuriranje. Također je moguće instalirati ažuriranja prema rasporedu. Nakon dovršetka postavki kliknite gumbe "Primijeni" i "Sljedeća postavka".
  7. 7. Sljedeći parametar bit će pravilo “Navedite lokaciju Microsoftove usluge ažuriranja na intranetu”, gdje morate navesti lokaciju usluge ažuriranja, kao i poslužitelj statistike (obično je to isti poslužitelj). Kliknite OK. U principu, to je dovoljno. Ali također možete fino podesiti proces ažuriranja. Nakon što pročitate ugrađene savjete za pravila, shvatit ćete što trebate.
  8. 8. Zatvorite dodatak

Sve... pravila stupaju na snagu odmah.

Općenito, računala domene možete konfigurirati na ovaj način. Ali ako je mrežni administrator već postavio ove postavke na razini domene, gornja pravila se neće primjenjivati ​​jer će ih nadjačati pravila domene. grupne politike.

Postavljanje domenskih računala

Da biste konfigurirali domenska računala za ažuriranje s korporativnog WSUS poslužitelja, morate imati administratorska prava Windows domene.

Za konfiguraciju trebat će vam dodatak GPMC (Group Policy Management Console).

Na računalima sa sustavom Windows 7 bolje je instalirati opremu s kompletom udaljena administracija RSAT (dostupna lokalizirana verzija). Nakon instaliranja Remote Administration Kita, ne zaboravite omogućiti potrebne kontrolne komponente (Upravljačka ploča - Programi i značajke - Uključivanje ili isključivanje Windows komponenti)

Morate učiniti sljedeće:
1. Pokrenite pomoću izbornika Start - Pokreni - GPMC.msc

2. Otvorite granu Domains – Domain_Name – Group Policy Objects i desni klik mišem odaberite izbornik "Stvori".
3. U polju “Name” navedite naziv novog objekta grupne politike (neka bude “WSUS Group Policy”), zatim OK
4. U desnom prozoru snap-ina pronađite naziv svog objekta i desnom tipkom miša kliknite izbornik "Uredi". Otvara se dodatak uređivača upravljanja pravilima grupe.
5. Zatim trebate slijediti iste korake kao što je opisano u prethodnom odjeljku.

Dakle, Group Policy Object (GPO) je stvoren, ali je stvoreni GPO još uvijek samo gola izjava. Kako bi instrukcija radila, trebate vezati ovaj GPO na odgovarajući Windows AD spremnik. Ona domenska računala koja se nalaze u ovom spremniku izvršit će ove upute (tj. ažuriranje). Ovaj spremnik može biti cijela domena, stranica ili odjel.
Koji spremnik odabrati ovisi o vama. Ali kriteriji su sljedeći:

  • -- Ako želite da sva računala u vašoj domeni budu ažurirana, povežite GPO s domenom
  • -- Ako želite ažurirati samo dio računala, na primjer pojedinačne poslužitelje, napravite podjelu u domeni i postavite je tamo potrebne poslužitelje i veza na ovu podjelu
  • -- Ako vaša mreža ima nekoliko stranica u različitim gradovima, tada bi podmreže tih stranica trebale pripadati zasebnim stranicama. U ovom slučaju, kako se ne bi opterećivali komunikacijski kanali između web-mjesta, ima smisla instalirati vlastiti WSUS poslužitelj na svako web-mjesto i stvoriti zaseban GPO za svako web-mjesto koji upućuje posebno na njega. Ubuduće biste ih trebali povezati s odgovarajućim stranicama (pogledajte sliku u nastavku)

Sljedeći koraci opisuju postupak povezivanja GPO-ova koje ste izradili s odgovarajućim Windows AD spremnicima.

Recimo da odlučite ažurirati sva računala u domeni.

1. Zatim u prethodno otvorenom snap-inu “Group Policy Management” s lijeve strane prozora otvorite granu “Forest: Forest_Name – Domains – Domain_Name”
2. Desnom tipkom miša kliknite naziv svoje domene i odaberite izbornik "Poveži postojeći GPO...".
3. U prozoru “Select Group Policy Object” pronađite odgovarajući GPO, koji smo prethodno nazvali “WSUS Group Policy” i kliknite OK.

WMI filteri za GPO-ove

Smatram dobrom praksom ažuriranje operativnih sustava klijenta i poslužitelja pomoću zasebnih grupnih pravila domene. U ovom slučaju polazim od činjenice da:

  • - OS poslužitelja bolje je ažurirati ručno kao dio planiranog održavanja (u ovom slučaju oprez je sasvim primjeren);
  • - klijent OS Bolje je ažurirati se automatski. Ažurirajte ih ručno kada veliki park računalima je vrlo problematično, a korisnici to vjerojatno neće učiniti (čak i ako im se pokaže kako).

Što trebam učiniti?

Prvo, trebali biste, na primjer, stvoriti zasebne GPO-ove u dodatku GPMC.msc

  • Pravila grupe ServerOS WSUS
  • Politika grupe ClientOS WSUS

i postavite ih na ručno (automatsko preuzimanje i obavijest o instalaciji) i automatski načini rada OS se ažurira u skladu s tim.

Drugo, stvorite dva WMI filtra u istom snap-inu. Ti će filtri odrediti koji će od gore navedenih GPO-ova biti na snazi ​​prilikom ažuriranja svakog računala na vašoj mreži.

Treće, možete povezati WMI filtre s odgovarajućim GPO-ovima, a oba ova GPO-a sada se mogu izravno povezati s domenom ili web-stranicom (kako želite).

Kako izraditi filtre

U već otvorenom GPMC snap-inu idite na granu Forest - Domene - _Domain_name_ - WMI filteri. Desnom tipkom miša kliknite "Stvori" za stvaranje filtra s nazivom OS poslužitelja i DC

Dodamo mu zahtjev u root\CIMv2 prostor

Pravila grupe ServerOS WSUS"raditi samo s računalima s poslužiteljskim OS Windows (uključujući kontrolere domene).

Na sličan način izradite filtar s imenom Klijentski OS-ovi

Dodajte mu zahtjev u root\CIMv2

Ovaj filtar će omogućiti GPO pod nazivom " Politika grupe ClientOS WSUS"raditi samo s računalima koja koriste Windows klijent OS, bez obzira na verziju (Windows 2000 pro, Windows XP, Vista, Windows 7 i Windows 8)

Filteri su spremni.

Kao što smo već napisali, trebate povezati GPO Pravila grupe ServerOS WSUS I Politika grupe ClientOS WSUS s odgovarajućim filterima. Na primjer, to se može učiniti na sljedeći način: u grani “Group Policy Objects” odaberite željeni GPO, zatim u donjem desnom kutu “WMI Filter” odaberite željeni filtar s padajućeg popisa.

Dakle, sada će se klijentska računala domene automatski ažurirati, a poslužitelji će poslušno čekati vašu pozornost.

Ovo dovršava postavljanje.

Kako provjeriti rezultat?

Kao rezultat svih gore navedenih radnji, očekujemo početak ažuriranja onog dijela domenskih računala koji bi, po našem mišljenju, trebali podlijegati konfiguriranoj politici.

Prvo, u zapisnicima dodatka WSUS Server Management možete pogledati sve unose o statusu klijenata automatskog ažuriranja.

Drugo, možete provjeriti primjenjuje li se konfigurirana politika na WSUS klijente. Otvorite Upravljačku ploču - Windows Update i provjerite pojavljuje li se sljedeća poruka na desnoj strani prozora Update Center: "Kontrolira administrator sustava" (za Windows 7/Vista/2008/2008R2) Ako to nije slučaj, politika nije na snazi.

Ali to ne znači da ste negdje pogriješili. Računalo možda još nije ažuriralo svoje postavke s kontrolera domene.

To je zbog činjenice da se grupna pravila na računalima u domeni ne primjenjuju odmah (GP ažuriranja na lokalnoj mreži događaju se prema zadanim postavkama u intervalima od 15 minuta, a replikacija između stranica događa se još rjeđe)
Stoga možete jednostavno pričekati ili ažurirati grupna pravila na računalima s naredbom

WSUS klijentsko računalo ne izvodi potrebne usluge (kao što su Windows Update i Group Policy Client, itd.)

GPO nije radio za pojedinačna računala. U ovom slučaju, morat ćete se pozabaviti svakim zasebno. Preporučujem simulaciju učinka pravila grupe na problematična računala pomoću istog dodatka GPMC.msc. To će vam omogućiti da provjerite je li kreirani GPO primijenjen na računalo koje se analizira. Nažalost, rješavanje problema s pravilima grupe Windows AD je izvan opsega ovog posta.

Pa, i najvažnije... zapis WSUS klijenta je ovdje --> c:\Windows\WindowsUpdate.log

veljače10

WSUS (Windows Server Update Services) je potreban za automatsko preuzimanje zakrpe, pakete ažuriranja i druge gadgete s web stranice Microsofta te distribuciju ovog sadržaja unutar lokalne mreže. Oni. administratori ne moraju zasebno preuzimati zakrpe i instalirati ih na svaki stroj. Dovoljno je instalirati WSUS na poslužitelj, konfigurirati ga, te također konfigurirati radne strojeve za korištenje ovog poslužitelja. Ažuriranje se preuzima jednom na sam poslužitelj i odatle se instalira dalje na lokalnoj mreži. Također, korištenjem WSUS-a značajno se štedi promet na internetu, koji se koristi za preuzimanje ažuriranja i zakrpa sustava.

WSUS je besplatan proizvod, međutim, morate imati ispravnu licencu za OS poslužitelja, kao i Windows Client Access licence (CAL) za svaki radna stanica, koji se ažurira s WSUS poslužitelja. Microsoft pruža besplatnu mogućnost korištenja usluge ažuriranja za svoje softverske proizvode tijekom cijelog razdoblja podrške za softverski proizvod. Potrebna ažuriranja dostupna su putem interneta svim korisnicima softverskih proizvoda.

Instalacija WSUS-a

Unutar operativnog sustava Windows Server 2008 postoji uloga poslužitelja Windows Server Update Services.

Za Windows Server 2003, sljedeći sistemski zahtjevi za instaliranje WSUS 3.0 SP1:

Unatoč činjenici da usluga praktički nije zahtjevna za procesor i RAM, zahtijeva priličan udio prostora na disku. Po mogućnosti 40 GB ili više. U konačnici, količina potrošenog prostora na disku ovisit će o broju proizvoda koje je potrebno ažurirati i broju potrebnih ažuriranja infrastrukture. Ako tijekom instalacije poslužitelj ne zadovolji Zahtjevi sustava, pojavit će se prozor upozorenja koji će opisati što treba instalirati.

Postavljanje WSUS poslužitelja

Za normalan rad poslužitelja morate navesti niz parametara koji se rade pomoću "Čarobnjaka za konfiguraciju usluga ažuriranja sustava Windows"

U prozoru "Odaberi uzvodni poslužitelj" morate odabrati opciju "Sinkroniziraj s Microsoft Update".

Prilikom primjene proxy poslužitelja na poslovno okruženje, u prozoru "Konfiguracija proxy poslužitelja" morate navesti IP adresu, broj priključka i parametre provjere autentičnosti na proxy poslužitelju.

U prozoru "Odaberi jezike" morate odabrati opciju "Preuzmi ažuriranja samo na sljedećim jezicima"; svakako odaberite "Engleski". Odabir drugih jezika mora se napraviti na temelju sustava instaliranih u tvrtki; obično dodaju i "ruski". Nema potrebe odabrati "Preuzmi ažuriranja na svim jezicima, uključujući nove" jer će to povećati broj ažuriranja pohranjenih na disku.

U prozoru Select Products morate odabrati proizvode instalirane u vašem poslovnom okruženju.

VAŽNO! Nikada nemojte instalirati sve proizvode jer to može uzrokovati povećanje veličine pohranjenih ažuriranja i ažuriranja se neće koristiti. Potrebno je metodično i dosljedno birati samo one proizvode koji se koriste unutar korporativnog okruženja.

U prozoru "Odaberi klase" trebate navesti samo one klase koje zahtijevaju ažuriranje. Budući da navođenje dodatnih klasa značajno povećava veličinu pohranjenih ažuriranja.

U prozoru "Postavke rasporeda sinkronizacije" morate odabrati vrijeme sinkronizacije. Unutar WSUS sinkronizacija ne uključuje preuzimanje ažuriranja. U ovom slučaju, sinkronizacija će samo ažurirati informacije s poslužitelja Microsoft Update."

Nakon prve sinkronizacije potrebno je otvoriti WSUS konzolu i odabrati "Opcije". U "Postavke" otvorite stavku "Datoteke i ažuriranje jezika".

U kartici "Ažuriraj datoteke" u prozoru "Ažuriraj datoteke i jezike", morate odrediti kako će datoteke ažuriranja biti pohranjene. Budući da želimo smanjiti veličinu internetskog prometa, moramo odabrati “Store update files locally on this server” i UVIJEK odabrati stavke “upload update files to server only after update is accepted” i “Download express installation files.” Stavka "Učitaj ažurirane datoteke na poslužitelj tek nakon što je ažuriranje odobreno" je neophodno, budući da će prema zadanim postavkama poslužitelj preuzeti SVA ažuriranja koja smatra potrebnima za odabrane proizvode. Međutim, budući da se tijekom vremena mnoga ažuriranja nakupljaju u servisnom paketu, najvjerojatnije neće biti potrebna i zauzet će prostor na disku.

Nakon svih postavki potrebno je dodati računala na WSUS servis.

Dodavanje računala u WSUS

Ako imate domenu, tada sve što trebate učiniti je registrirati WSUS servis u njegovoj grupnoj politici i odabrati pravila ažuriranja računala.

To se radi na sljedeći način: “Start - Administrativni alati - Upravljanje pravilima grupe”. Odaberite pravilo koje je važeće u domeni (zadano pravilo grupe prema zadanim postavkama). Kliknite desnom tipkom miša i odaberite "Uredi".

U prozoru "Uređivač upravljanja pravilima grupe" idite na "Konfiguracija računala - Pravila - Administrativni predlošci - Komponente sustava Windows - Ažuriranje sustava Windows". Odaberite stavku " Odredite mjesto usluge ažuriranja na intranetu".

U prozoru "Svojstva: Navedite lokaciju usluge ažuriranja na intranetu", navedite parametar "Omogućeno" i u retku "Navedite uslugu ažuriranja na intranetu za traženje ažuriranja" unesite red poput: http:// . Kopirajte adresu u prozor "Navedite poslužitelj intranet statistike". Unutar uređivača grupnih pravila postoje savjeti u prozoru objašnjenja.

Također morate definirati politiku ažuriranja. To se radi kroz stavku "Postavke". Automatsko ažuriranje».

U prozoru “Svojstva: Postavljanje automatskih ažuriranja” navedite opciju “Omogućeno” i parametre “Postavljanje automatskih ažuriranja”, “Planirana instalacija - dan”, “Planirana instalacija - vrijeme”. Prozor Objašnjenja sadrži opis svih parametara za poslužitelje te je preporučljivo postaviti opciju “2 - obavijesti o preuzimanju i instalaciji”, što će omogućiti administratorima da odaberu kada će se nadogradnje instalirati na poslužitelje.

Ako unutar infrastrukture postoje radne stanice koje nisu dio domene (npr. mobilne radne stanice), ali je za te radne stanice neophodna usluga ažuriranja, tada je moguće navesti ovu uslugu u " Lokalna politika sigurnost."

U naredbeni redak upišite gpedit.msc i izvedite iste operacije koje su gore opisane za pravila grupe u domeni.

Nakon nekog vremena, računalo će se pojaviti u prozoru "Računala - Sva računala - Nedodijeljena računala" sa "Status: Bilo koji".

Upravljanje ažuriranjem

Kako biste vidjeli i odobrili potrebna ažuriranja, trebate odabrati sljedeće stavke filtra u “Ažuriranja – Sva ažuriranja”: “Odobrenje: Neodobreno” i Status: Potrebno” i kliknuti “Ažuriraj”.

VAŽNO! Da biste provjerili potrebna ažuriranja, uvijek provjerite jesu li postavke filtra postavljene na "Odobrenje: Neodobreno" i Status: Obavezno, inače riskirate preuzimanje ažuriranja koja vam ne trebaju ili ih uopće ne preuzimate. Ako filtar u postavkama "Odobrenje: Neodobreno" i Status: Potrebno pokazuje prazno polje, tada su sva potrebna ažuriranja za računala već odobrena i nalaze se na poslužitelju.

Nakon odobrenja, ažuriranja će se nakon nekog vremena pojaviti na računalu prema pravilima konfiguriranim u sigurnosnoj politici.

Vrlo često postoji potreba prisiljavanja računala da provjeri ima li ažuriranja na poslužitelju za ažuriranje. Da biste to učinili, postoji program pod nazivom wuauclt.exe, koji se pokreće preko naredbenog retka. Da biste provjerili ima li ažuriranja, morate ga pokrenuti s ključem /detectnow (wuauclt.exe /detectnow). Da biste poslali izvješće o statusu (vrlo često potrebno kada se prvi put povezujete s poslužiteljem za ažuriranje), morate ga pokrenuti s ključem /reportnow (wuauclt.exe /reportnow).

feanor184.ru

Konfiguriranje WSUS klijenata pomoću pravila grupe

Dakle, pretpostavlja se da imate instaliran Wsus poslužitelj. Pravila grupe Active Directory (u daljnjem tekstu GPO) dopuštaju administratorima sustava da automatski dodjeljuju klijente različitim grupama WSUS poslužitelja, eliminirajući potrebu za ručnim premještanjem računala između grupa u WSUS konzoli. . Ova dodjela klijenata na razne skupine temelji se na oznakama na klijentu, takve oznake postavljaju se politikom ili jednostavnom izmjenom registra. Ovaj tip Mapiranje klijenata u WSUS grupe naziva se ciljanje na strani klijenta.

Obično se koriste dvije različite politike ažuriranja: za radne stanice i za poslužitelje. Prvo, specificiramo pravilo za grupiranje klijentskih računala u WSUS konzoli. Prema zadanim postavkama, u konzoli, računala se ručno raspodjeljuju u grupe (ciljanje na strani poslužitelja). Naznačimo da su klijenti raspoređeni u grupe na temelju ciljanja na strani klijenta (pravila grupe ili postavke registra). Da biste to učinili, u WSUS konzoli idite na Odjeljak s opcijama otvorite parametar Računala i zamijenite vrijednost s Koristi grupna pravila ili postavku registra na računalima (Koristite grupna pravila ili vrijednosti u registru, pogledajte snimak zaslona).

Nakon toga, počet ćemo izravno konfigurirati WSUS klijente pomoću grupnih pravila (GPO). Otvorite konzolu za upravljanje grupnim pravilima i kreirajte dvije nove grupne politike: ServerWSUSPolicy i WorkstationWSUSPolicy.

Pravila grupe za instaliranje WSUS ažuriranja za radne stanice (WorkstationWSUSPolicy)

Logika pravila je intuitivna; u našem slučaju planiramo automatski instalirati ažuriranja noću nakon što ih primimo. Klijenti se automatski ponovno pokreću nakon instaliranja ažuriranja (upozorenje korisnika 10 minuta unaprijed). Otvorite GPO konzolu za uređivanje (gpmc.msc), idite na Postavke pravila grupe: Konfiguracija računala -> Pravila-> Administrativni predlošci-> Windows komponenta-> Windows Update)

U politici navodimo:

  • Dopusti trenutnu instalaciju automatskih ažuriranja: Onemogućeno - onemogućuje trenutnu instalaciju ažuriranja kada se prime
  • Dopusti osobama koje nisu administratori primanje obavijesti o ažuriranju: Omogućeno - prikaži upozorenje korisnicima o novim ažuriranjima i dopusti im ručna instalacija
  • Konfiguriraj automatska ažuriranja: Omogućeno. Konfigurirajte automatsko ažuriranje: 4 - Automatsko preuzimanje i raspored instalacije. Planirani dan instalacije: 0 - Svaki dan. Zakazano vrijeme instalacije: 03:00 – klijentsko računalo preuzima nova ažuriranja i zakazuje njihovu automatsku instalaciju u 3:00 ujutro
  • Naziv ciljne grupe za ovo računalo: Radne stanice – u WSUS konzoli dodijelite klijente grupi Radne stanice
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja: Onemogućeno - sustav će se automatski ponovno pokrenuti 10 minuta nakon završetka instalacije ažuriranja
  • Navedite Intranet Microsoft usluga ažuriranja lokacija: Omogući. Postavite uslugu ažuriranja intraneta za otkrivanje ažuriranja: http://wsus:8530, postavite intranet poslužitelj statistike: http://wsus:8530 – adresa korporativnog WSUS poslužitelja

Ako navedete adresu http://wsus, provjerite je li ovu adresu razriješio DNS (ping wsus), ako nije, dodajte adresu na DNS poslužitelj.

Grupna pravila za instaliranje WSUS ažuriranja za poslužitelje (ServerWSUSPolicy)

Podsjećamo vas da su postavke pravila grupe odgovorne za rad usluge Windows ažuriranja nalaze se u odjeljku GPO: Konfiguracija računala -> Pravila-> Administrativni predlošci-> Komponenta sustava Windows-> Ažuriranje sustava Windows (Konfiguracija računala -> Pravila -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje prozora).

Ova je politika namijenjena poslužiteljima za koje trebamo stalnu dostupnost, barem tijekom radnog vremena. Kako bismo to postigli, sprječavamo automatsku instalaciju ažuriranja na ciljnim poslužiteljima kada ih primimo. Pretpostavlja se da klijent WSUS poslužitelja treba jednostavno preuzeti dostupna ažuriranja, zatim prikažite upozorenje i pričekajte potvrdu administratora sustava za početak instalacije. Na taj način osiguravamo da proizvodni poslužitelji neće automatski instalirati ažuriranja i ponovno se pokrenuti bez kontrole administratora.

U politici navodimo:


Savjet. Preporučujemo da postavite oba pravila prisilno pokretanje uslugu ažuriranja (wuauserv) na klijentu kako biste bili sigurni da ažuriranja stižu do ciljanog poslužitelja. Da biste to učinili, u odjeljku Konfiguracija računala -> Pravila-> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava (u ruskoj lokalizaciji: Konfiguracija računala -> Pravila -> Sigurnosne postavke-> Usluge sustava), pronađite uslugu Windows Update ( wuauserv) i postavite njegovu vrstu pokretanja na "Automatski".

Dodjeljivanje WSUS pravila OU (spremniku) u Active Directoryju

Sljedeće ćemo dodijeliti na standardan način politika za kontejnere koje imamo, u našem slučaju to su dva kontejnera za radne stanice i servere. U u ovom primjeru Razmatramo najjednostavniju opciju za vezanje WSUS pravila na računala. U stvarnim uvjetima, možete distribuirati jedno WSUS pravilo po svim domenama (GPO je vezan za korijen domene) ili distribuirati različite klijente u različite spremnike. Za velike i distribuirane mreže vrijedi povezati različite WSUS poslužitelje s AD stranicama ili dodijeliti GPO-ove na temelju WMI filtera ili kombinirati gore navedene metode.

Da biste kreiranu politiku povezali sa spremnikom, pokrenite dodatak za uređivanje pravila grupe (gpmc.msc), desnom tipkom miša kliknite spremnik -> Poveži postojeći GPO i navedite spremnik s poslužiteljima, u našem primjeru, poslužitelj u spremnik poslužitelja. To se također može učiniti povlačenjem i ispuštanjem pravila grupe u spremnik; poveznica na pravilo (crna strelica) će se automatski stvoriti, što znači da je pravilo povezano sa spremnikom. Zatim desnom tipkom miša kliknite spremnik i -> Ažuriranje pravila grupe.

Da biste ubrzali primanje pravila na klijentu, možete pokrenuti naredbu: gpupdate /force, ovu naredbu pokreće trenutačnu primjenu pravila grupe.

A nakon kratkog vremena možete provjeriti klijente za skočne obavijesti o dostupnosti novih ažuriranja. U WSUS konzoli klijenti bi se trebali pojaviti u odgovarajućim grupama (tablica prikazuje ime klijenta, IP, OS, postotak “ažuriranih” i datum zadnjeg ažuriranja statusa).

Dostupne su brojne naredbe za upravljanje Windows Server Update Services (WSUS) i Wuauclt uslugom, od kojih su najčešće:

/DetectNow - traženje ažuriranja

/ResetAuthorization - zahtjev za ažuriranje autorizacije

runas /user:admin “wuauclt /detectnow” - traženje ažuriranja pod određenim korisnikom

/ReportNow - generirajte izvješće

www.itworkroom.com

Konfiguriranje Windows Server Update Services (WSUS) klijenata

Prethodni članak, Instaliranje WSUS 3.0 na Windows 2008 R2, opisao je postupak instalacije ove mrežne usluge. Ovaj post opisuje postupak postavljanja računala za ažuriranje s WSUS poslužitelja koji su vam dostupni.

Za konfiguriranje računala u ovom slučaju trebat će vam dodatak Group Policy Object Editor. Da biste ga otvorili, učinite sljedeće:

  1. 1. Otvorite izbornik Start - Run. U retku "otvori" - upišite "mmc" - zatim OK
  2. 2. U MMC konzoli otvorite izbornik Datoteka – Dodaj ili ukloni snap-in...
  3. 3. Odaberite dodatak “Group Policy Object Editor” – Gotovo – U redu
  4. 4. Želimo stvoriti pravilo za ažuriranje OS-a računala. Stoga u desnom dijelu uređivača u košnici “Konfiguracija računala” otvorite granu Politike – Administrativni predlošci – Komponente sustava Windows – Ažuriranje sustava Windows
  5. 5. Na desnoj strani prozora uređivača vidjet ćete pravila koja opisuju ponašanje računala u vezi s procesima ažuriranja. Odaberite pravilo "Postavi automatsko ažuriranje".
  6. 6. U prozoru postavki automatskog ažuriranja omogućite pravilo i odredite parametre. Prema zadanim postavkama bit će odabran način podešavanja br. 3 - automatsko preuzimanje i obavijest o instalaciji. U tom slučaju instalacija će se provesti tek nakon potvrde za ažuriranje. Također je moguće instalirati ažuriranja prema rasporedu. Nakon dovršetka postavki kliknite gumbe "Primijeni" i "Sljedeća postavka".
  7. 7. Sljedeći parametar bit će pravilo “Navedite lokaciju Microsoftove usluge ažuriranja na intranetu”, gdje morate navesti lokaciju usluge ažuriranja, kao i poslužitelj statistike (obično je to isti poslužitelj). Kliknite OK. U principu, to je dovoljno. Ali također možete fino podesiti proces ažuriranja. Nakon što pročitate ugrađene savjete za pravila, shvatit ćete što trebate.
  8. 8. Zatvorite dodatak

Sve... pravila stupaju na snagu odmah.

Općenito, računala domene možete konfigurirati na ovaj način. Ali ako je mrežni administrator već postavio te postavke na razini domene, gornja pravila se neće primjenjivati ​​jer će ih nadjačati pravila grupe domena.

Da biste konfigurirali domenska računala za ažuriranje s korporativnog WSUS poslužitelja, morate imati administratorska prava Windows domene.

Za konfiguraciju trebat će vam dodatak GPMC (Group Policy Management Console).

Na poslužiteljima Windows 2008 R2 koji djeluju kao kontroler domene, ovaj dodatak instaliran je i omogućen prema zadanim postavkama. Na poslužiteljima starijih verzija možda ćete ga morati zasebno instalirati. Opremu možete preuzeti ovdje. Na računalima sa sustavom Windows 7 bolje je instalirati snap-in s kompletom za daljinsku administraciju RSAT (postoji lokalizirana verzija). Nakon instaliranja Remote Administration Kita, ne zaboravite omogućiti potrebne kontrolne komponente (Upravljačka ploča - Programi i značajke - Uključivanje ili isključivanje Windows komponenti)

Morate učiniti sljedeće: 1. Pokrenite pomoću izbornika Start - Pokreni - GPMC.msc

2. Otvorite granu Domains – Domain_Name – Group Policy Objects i desnom tipkom miša kliknite izbornik “Create” 3. U polju “Name” navedite naziv novog GPO-a (neka to bude “WSUS Group Policy”), zatim OK 4. U desnom prozoru snap-in pronađite naziv svog objekta i desnom tipkom miša kliknite izbornik "Uredi". Otvara se dodatak uređivača upravljanja pravilima grupe.

Dakle, Group Policy Object (GPO) je stvoren, ali je stvoreni GPO još uvijek samo gola izjava. Kako bi instrukcija radila, trebate vezati ovaj GPO na odgovarajući Windows AD spremnik. Ona domenska računala koja se nalaze u ovom spremniku izvršit će ove upute (tj. ažuriranje). Ovaj spremnik može biti cijela domena, stranica ili odjel. Koji spremnik odabrati ovisi o vama. Ali kriteriji su sljedeći:

  • -- Ako želite da sva računala u vašoj domeni budu ažurirana, povežite GPO s domenom
  • -- Ako želite ažurirati samo dio računala, na primjer, pojedinačne poslužitelje, napravite odjeljak u domeni, tamo postavite potrebne poslužitelje i povežite se na ovaj odjeljak
  • -- Ako vaša mreža ima nekoliko stranica u različitim gradovima, tada bi podmreže tih stranica trebale pripadati zasebnim stranicama. U ovom slučaju, kako se ne bi opterećivali komunikacijski kanali između web-mjesta, ima smisla instalirati vlastiti WSUS poslužitelj na svako web-mjesto i stvoriti zaseban GPO za svako web-mjesto koji upućuje posebno na njega. Ubuduće biste ih trebali povezati s odgovarajućim stranicama (pogledajte sliku u nastavku)

Sljedeći koraci opisuju postupak povezivanja GPO-ova koje ste izradili s odgovarajućim Windows AD spremnicima.

Recimo da odlučite ažurirati sva računala u domeni.

1. Zatim u prethodno otvorenom snap-inu “Group Policy Management”, na lijevoj strani prozora, otvorite granu “Forest: Forest_Name – Domains – Domain_Name” 2. Desnom tipkom miša kliknite na naziv svoje domene, odaberite izbornik “Poveži postojeći GPO...”

3. U prozoru “Select Group Policy Object” pronađite odgovarajući GPO, koji smo prethodno nazvali “WSUS Group Policy” i kliknite OK.

Smatram dobrom praksom ažuriranje operativnih sustava klijenta i poslužitelja pomoću zasebnih grupnih pravila domene. U ovom slučaju polazim od činjenice da:

  • - bolje je ručno ažurirati OS poslužitelja kao dio planiranog održavanja (u ovom slučaju oprez je sasvim primjeren);
  • - bolje je ažurirati klijentske operativne sustave automatski. Njihovo ručno ažuriranje s velikom flotom računala vrlo je problematično, a korisnici to vjerojatno neće učiniti (čak i ako im se pokaže kako).

Što trebam učiniti?

Prvo, trebali biste, na primjer, stvoriti zasebne GPO-ove u dodatku GPMC.msc

  • Pravila grupe ServerOS WSUS
  • Politika grupe ClientOS WSUS

i konfigurirajte ih za ručni (automatsko preuzimanje i obavijest o instalaciji) odnosno automatski način ažuriranja OS-a.

Drugo, stvorite dva WMI filtra u istom snap-inu. Ti će filtri odrediti koji će od gore navedenih GPO-ova biti na snazi ​​prilikom ažuriranja svakog računala na vašoj mreži.

Treće, možete povezati WMI filtre s odgovarajućim GPO-ovima, a oba ova GPO-a sada se mogu izravno povezati s domenom ili web-stranicom (kako želite).

Kako izraditi filtre

U već otvorenom GPMC snap-inu idite na granu Forest - Domene - _Domain_name_ - WMI filteri. Desnom tipkom miša kliknite "Stvori" za stvaranje filtra pod nazivom Server OS's and DC

Dodamo mu zahtjev u root\CIMv2 prostor

odaberite * iz Win32_OperatingSystem gdje ProductType="2" ili ProductType="3"

Ovaj filtar omogućit će GPO-u s nazivom "ServerOS WSUS Group Policy" da radi samo s računalima na kojima se izvodi poslužiteljski OS Windows (uključujući kontrolere domene).

Slično, stvorite filtar pod nazivom Client OS "s

Dodajte mu zahtjev u root\CIMv2

odaberite * iz Win32_OperatingSystem gdje ProductType="1"

Ovaj filtar će omogućiti GPO-u pod nazivom "ClientOS WSUS Group Policy" da radi samo s računalima koja koriste klijentski OS Windows, bez obzira na verziju (Windows 2000 pro, Windows XP, Vista, Windows 7 i Windows 8)

Filteri su spremni.

Kao što smo već napisali, trebate pridružiti GPO-ove pravila grupe ServerOS WSUS i pravila grupe ClientOS WSUS s odgovarajućim filterima. Na primjer, to se može učiniti na sljedeći način: u grani “Group Policy Objects” odaberite željeni GPO, zatim u donjem desnom kutu “WMI Filter” odaberite željeni filtar s padajućeg popisa. Dakle, sada će se klijentska računala domene automatski ažurirati, a poslužitelji će poslušno čekati vašu pozornost.

Ovo dovršava postavljanje.

Kao rezultat svih gore navedenih radnji, očekujemo početak ažuriranja onog dijela domenskih računala koji bi, po našem mišljenju, trebali podlijegati konfiguriranoj politici.

Prvo, u zapisnicima dodatka WSUS Server Management možete pogledati sve unose o statusu klijenata automatskog ažuriranja.

Drugo, možete provjeriti primjenjuje li se konfigurirana politika na WSUS klijente. Otvorite Upravljačku ploču - Windows Update i provjerite pojavljuje li se sljedeća poruka na desnoj strani prozora Update Center: "Kontrolira administrator sustava" (za Windows 7/Vista/2008/2008R2) Ako to nije slučaj, politika nije na snazi.

Ali to ne znači da ste negdje pogriješili. Računalo možda još nije ažuriralo svoje postavke s kontrolera domene.

To je zbog činjenice da se grupna pravila na računalima u domeni ne primjenjuju odmah (GP ažuriranja na lokalnoj mreži se prema zadanim postavkama događaju u intervalima od 15 minuta, a replikacija među stranicama događa se još rjeđe). Stoga možete jednostavno pričekati ili ažurirajte grupna pravila na računalima naredbom

Nakon ažuriranja pravila grupe, ažuriranja sustava Windows počet će se preuzimati na vaše računalo.

Dolje je popis mogućih problema s WSUS-om i Windows Updateom:

WSUS poslužitelj je nedostupan (provjerite postavke vatrozid za Windows, IIS poslužitelj itd.)

Adresa WSUS poslužitelja je netočno navedena u GPO postavkama

WSUS poslužitelj radi na nestandardni priključak. Na primjer, WSUS poslužitelj se nalazi na http://wsus.office.local:8080, a prilikom postavljanja adrese u GPO niste uopće naveli broj porta ili ste naveli nešto drugo

WSUS klijentsko računalo ne izvodi potrebne usluge (kao što su Windows Update i Group Policy Client, itd.)

GPO nije radio za pojedinačna računala. U ovom slučaju, morat ćete se pozabaviti svakim zasebno. Preporučujem simulaciju učinka pravila grupe na problematična računala pomoću istog dodatka GPMC.msc. To će vam omogućiti da provjerite je li kreirani GPO primijenjen na računalo koje se analizira. Nažalost, rješavanje problema s pravilima grupe Windows AD je izvan opsega ovog posta.

Pa, i najvažnije... zapis WSUS klijenta je ovdje --> c:\Windows\WindowsUpdate.log

r67rus.blogspot.ru

Postavljanje WSUS-a

Windows Server Update Services (WSUS) je poslužitelj za ažuriranje operativnih sustava i Microsoftovih proizvoda. Vrlo korisna konzola ako u uredu ima više od 10 računala. Korisno je jer vam omogućuje "distribuciju" ažuriranja s JEDNOG poslužitelja na sva računala na mreži, tj. ne mora svako pojedinačno računalo preuzeti internetski kanal, već jedan poslužitelj preuzima ažuriranja i "distribuira" ih po mreži sve radne stanice i servere.

U početku, u sustavu Windows 2003, bilo je potrebno preuzeti WSUS distribucijski komplet s Microsoftove web stranice, s dolaskom MsWindows 2008 i Ms i Windows 2008 R2 ta je potreba nestala, jer Pojavila se uloga WSUS-a, iako možete preuzeti komplet za distribuciju s Microsoftovog web-mjesta na starinski način.

Za instalaciju morate učiniti minimalni zahtjevi, naime: Operativni sustav: Windows Server 2003 SP1 i noviji. Dodatne uloge poslužitelja: IIS 6.0 i novije (za Windows Server 2008, prilikom dodavanja uloge, od vas će se tražiti da je instalirate) Dodatna ažuriranja OS-a: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0. Dodatni programi: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS može instalirati uslugu Windows Internal Database). Potrebno je voditi računa o prostoru na tvrdom disku, ja bih preporučio minimalno 100 GB, ovisno o postavkama koje imate u WSUS-u.

Dakle, bez obzira na koji način instalirate (upotrebom distribucije ili dodavanjem uloge), koraci će biti isti.

Nakon što instalacija započne, morate kliknuti Next nekoliko puta. Usredotočit ću se na glavne korake: Označavamo gdje će ažuriranja biti pohranjena (disk s kapacitetom od najmanje 100 GB slobodan prostor)

Odredite mapu u kojoj će se ažurirati baza podataka (2-4 GB slobodnog prostora).

Vrlo važan korak odabirom porta na kojem će se ažuriranje distribuirati; prema zadanim postavkama koristi se port 80, ali ne preporučam ga koristiti jer ovaj priključak često koriste druge aplikacije. Bolje je izraditi web stranicu usluge WSUS i koristiti port 8530.

Nakon instaliranja usluge Wsus, potrebno ju je pravilno konfigurirati, ponovno pogledajmo glavne korake: Odaberite odakle ćemo dobivati ​​ažuriranja, ako je ovo prvi poslužitelj s Wsusom, zatim odaberite sinkronizaciju s Microsoft Update.

Jezici koje odaberete trebaju biti engleski (obavezno) + oni jezici koji se nalaze na vašoj mreži.

Odabiremo proizvode koji će se ažurirati (navedite samo one koje koristite, inače će besmislena ažuriranja zauzimati prostor na vašem tvrdom disku).

Odaberite klase proizvoda koje će se ažurirati.

Osnovne postavke su dovršene, prijeđimo na dodatne postavke, izravno postavljanje WSUS konzole. Radi praktičnosti, preporučio bih stvaranje 2 grupe računala, jedna grupa će imati poslužitelje, druga će imati radne stanice (ovo je učinjeno tako da može ograničiti instalaciju ažuriranja za poslužitelje).

U početku će sva računala biti smještena u Nedodijeljena računala, a zatim morate ručno premjestiti računala u potrebne grupe. Za radne stanice preporučujem instaliranje svih ažuriranja; da biste to učinili, idite na " Opcije - Automatski odobrenje" i učiniti sljedeće pravilo.

A za poslužitelje postavljamo pravilo da odobravamo samo kritična ažuriranja (za poslužitelje se jako ne preporučuje instaliranje svih ažuriranja, jer to može uzrokovati smetnje u njihovom radu, na to sam naišao nekoliko puta).

Sada je potrebno izvršiti promjene na svim računalima u mreži kako bi znali odakle "dobiti" ažuriranja. To se radi pomoću pravila grupe. Idite na kontroler domene "Start - Administrativni alati - Upravljanje pravilima grupe". Odaberite pravilo koje djeluje u domeni (zadano pravilo grupe prema zadanim postavkama) ili stvorite novo. Kliknite desnom tipkom miša i odaberite "Uredi". U prozoru "Uređivač upravljanja pravilima grupe" idite na "Konfiguracija računala - Pravila - Administrativni predlošci - Komponente sustava Windows - Ažuriranje sustava Windows". Ispod su gotove i testirane postavke. Gdje je crvena linija, unesite naziv ili IP adresu vašeg poslužitelja na kojem je instaliran WSUS.

na ruskom:

Ako unutar infrastrukture postoje radna mjesta koja nisu dio domene (na primjer, mobilna radna mjesta), ali je usluga ažuriranja za ta radna mjesta neophodna, tada je moguće navesti ovu uslugu u “Lokalnoj sigurnosnoj politici”. naredbeni redak, upišite gpedit.msc i Izvodimo iste operacije koje su gore opisane za pravila grupe u domeni.

Nekoliko minuta nakon svih postupaka mrežna računala počet će se pojavljivati ​​u Wsus konzoli u grupi Nedodijeljena računala. Ovisno o njihovom operativnom sustavu, premjestite ih u željenu grupu (Server ili Workgroup). Dopustite mi da vas podsjetim da će se prema našim postavkama sva ažuriranja instalirati na računala koja su u grupi Workgroup, samo ona kritična za poslužitelje.

pk-help.com

Instalirajte i konfigurirajte WSUS.

Svaki administrator razumije važnost pravovremenih ažuriranja, posebno kada su u pitanju kritična sigurnosna ažuriranja. Međutim, s rastom mreže i povećanjem broja softverskih proizvoda, to postaje vrlo težak zadatak. Dakle, vrijeme je da implementirate WSUS (Windows Server Update Services) - lokalni poslužitelj ažuriranja na vašoj mreži.

Time ćete ubiti nekoliko muha jednim udarcem: značajno smanjiti opterećenje kanala i potrošeni internetski promet, a također ćete dobiti moćan alat za praćenje i upravljanje procesom ažuriranja. Od sada će se sva lokalna računala ažurirati s vašeg poslužitelja i instalirat će samo ažuriranja koja odaberete.

Pažnja! Ovaj materijal je namijenjen zastarjelim verzijama Windows Servera, također preporučujemo da pročitate trenutni članak: Windows Server 2012 - instalacija i konfiguracija WSUS-a.

Započnimo. Prije instalacije WSUS-a potrebno je pripremiti poslužitelj, mi ćemo koristiti Windows Server 2008 R2, no uz manje izmjene sve navedeno vrijedit će i za ostale verzije Windows Servera. Što nam treba:

  • IIS 6 ili noviji
  • .NET Framework 2.0 ili noviji,
  • Report Viewer Redistributable 2008,
  • SQL Server 2005 SP2 Express ili noviji.

WSUS može pohraniti ažuriranja u vlastitu bazu podataka ili koristiti SQL poslužitelj, potonji je poželjniji sa stajališta performansi. Ako već imate SQL poslužitelj postavljen na vašoj mreži, možete ga koristiti, inače je besplatni SQL Express sasvim prikladan.

Sve potrebne komponente možete nabaviti na Microsoftovoj web stranici:

Prilikom preuzimanja obratite pozornost na bitnu dubinu, za 64-bitni OS preuzimamo 64-bitne verzije proizvoda.

Pozdrav preuzimanje u tijeku Dodajmo uloge poslužitelja. Trebat će nam web poslužitelj (IIS) i aplikacijski poslužitelj (in prethodne verzije Windows Server instalirati .NET Framework). Aplikacijski poslužitelj instaliran je sa zadanim vrijednostima, a web-poslužitelju se moraju dodati sljedeće opcije:

  • ASP.NET
  • Windows - provjera autentičnosti
  • Dinamička kompresija sadržaja
  • Kompatibilnost upravljanja IIS6

Nakon dodavanja potrebnih uloga, instalirat ćemo Report Viewer i SQL Server sa zadanim parametrima. Sve je spremno, možete instalirati WSUS Nakon pokretanja instalatera odaberite instalaciju serverske i administracijske konzole te instalacijsku mapu. U parametrima baze podataka navodimo naš SQL poslužitelj. Ostale postavke možete ostaviti kao zadane.

Čarobnjak će se pokrenuti odmah nakon instalacije početno postavljanje. Sve opcije su vrlo jednostavne i jasne. U postavkama sinkronizacije navodimo odakle će naš poslužitelj primati ažuriranja: s Microsoft poslužitelja ili s drugog WSUS poslužitelja. Posljednju opciju treba koristiti ako trebate postaviti dodatni poslužitelj za ažuriranje, na primjer, za podružnicu. U tom će slučaju podređeni poslužitelj primati samo ažuriranja koja vi odobrite.

Na sljedećoj kartici, ako je potrebno, odredite parametre proxy poslužitelja i uspostavite početnu vezu. Informacije s uzvodnog poslužitelja bit će preuzete: popisi proizvoda, vrste ažuriranja itd.

Prilikom odabira proizvoda nemojte biti pohlepni, navedite samo ono što vam je stvarno potrebno, kasnije uvijek možete promijeniti ovaj popis.

Na sljedećoj stranici označite koje klase ažuriranja želite primati; ovdje sve ovisi o politici ažuriranja u vašem poduzeću. Treba imati na umu da se ažuriranja upravljačkih programa i novi paketi značajki ne preporučuju automatski postavljati bez prethodnog testiranja. Ako nemate priliku to učiniti, ne morate navesti ove klase.

Ne zaboravite također postaviti raspored za sinkronizaciju s uzvodnim poslužiteljem. Ovo dovršava početno postavljanje.

Nakon što otvorite konzolu (dostupnu u izborniku Administracija), prvo pokrenite ručna sinkronizacija za preuzimanje svih trenutno dostupnih ažuriranja za odabrane proizvode. Ovisno o tome što ste i koliko odabrali tijekom postavljanja, kao io brzini vaše veze, ovo može potrajati dugo.

Dok je sinkronizacija u tijeku, postavimo klijentska računala. Ako ste implementirali Active Directory, to možete učiniti pomoću grupnih pravila. Otvorite Upravljanje pravilima grupe, odaberite traženi objekt i kliknite desnom tipkom miša i kliknite Uredi. U prozoru koji se otvori odaberite Konfiguracija računala - Pravila - Administrativni predlošci - Windows Update. Zanima nas opcija Specify location of the Microsoft update service on the intranet. Prebacimo ga na položaj Omogućeno i odredimo put do našeg WSUS poslužitelja u obliku http:\\SERVER_NAME.


Također preporučujemo da postavite opciju postavki automatskog ažuriranja, koja se u potpunosti replicira slična postavka na klijentskim računalima. Nakon nekog vremena potrebnog za ažuriranje pravila grupe, računala na vašoj mreži počet će se spajati na poslužitelj i primati ažuriranja.

Ako vaša mreža ima peer-to-peer strukturu, tada ćete morati konfigurirati svako osobno računalo. To se radi kroz uređivač pravila lokalne grupe (Start - Run - gpedit.msc), sam proces postavljanja potpuno je sličan gore opisanom.

Broj računala i njihov status možete kontrolirati u odjeljku Računala administratorske konzole.

Ima dovoljno informacija da se brzo procijeni cjelokupna situacija i obrati pozornost na problematična područja. Crveni križići označavaju da je na tim računalima došlo do pogrešaka pri ažuriranju; svaki takav slučaj mora se rješavati zasebno. Za svako ažuriranje generira se detaljno izvješće koje sadrži sve podatke potrebne za analizu problema.

Također preporučujemo da svoje računalo podijelite u grupe; svakoj grupi možete dodijeliti vlastitu politiku ažuriranja. Dakle u zasebna grupa možete odabrati samo poslužitelje za koje možete automatski instalirati kritična ažuriranja sigurnosti.

Ovdje dolazimo do još jedne važna postavka poslužitelj - automatsko odobrenje. Klijentska računala mogu primati samo odobrena ažuriranja, ali nerealno je raditi sve ručno svaki put, tako da se neka ažuriranja mogu odobriti automatski. Otvorimo Postavke – Automatska odobrenja i aktivirajmo pravila koja su već tamo, što vam omogućuje automatsku instalaciju kritičnih i sigurnosnih ažuriranja.

Ovdje možete kreirati vlastita pravila i dodijeliti ih bilo kojoj PC grupi. Na primjer, stvorili smo pravilo: automatski odobri sva ažuriranja MS Officea za grupu Radne stanice.

Sva dostupna ažuriranja možete vidjeti u odjeljku Ažuriranja, a ovdje ih možete i ručno odobriti. Preporučamo da imate jedno ili više testnih računala (moguća su i virtualna) i da na njima testirate ažuriranja i nove pakete značajki, a tek nakon toga odobravate ažuriranja za instalaciju. Ažuriranja možete odobriti i za sva računala i za grupu; kao primjer, odobrili smo instalaciju paketa Silverlight za grupu Radne stanice.

Kao dio održavanja poslužitelja, isplati se povremeno očistiti poslužitelj (otprilike jednom mjesečno). To će vam omogućiti da izbjegnete pretjerano povećanje veličine baze podataka brisanjem ažuriranja koja nisu tražena, više nisu potrebna i neodobrena.

Kako instalirati Yandex disk na računalo

U jednom od prethodnih članaka detaljno smo opisali postupak. Nakon što ste konfigurirali poslužitelj, trebate konfigurirati Windows klijente (poslužitelje i radne stanice) da koriste WSUS poslužitelj za primanje ažuriranja tako da klijenti primaju ažuriranja s internog poslužitelja za ažuriranje, a ne s Microsoftovi poslužitelji Ažuriranje putem interneta. U ovom ćemo članku pogledati proceduru za konfiguriranje klijenata za korištenje WSUS poslužitelja pomoću grupnih pravila domena aktivna Imenik.

Pravila AD grupe dopuštaju administratoru da automatski dodjeljuje računala različitim WSUS grupama, eliminirajući potrebu za ručnim premještanjem računala između grupa u WSUS konzoli i održavanjem tih grupa ažurnim. Dodjela klijenata različitim ciljnim skupinama WSUS-a temelji se na oznaci registra na klijentu (oznake se postavljaju Pravilima grupe ili izravnim uređivanjem registra). Ova vrsta dodjele klijenata WSUS grupama se zove klijentstranaciljanje(Ciljanje na strani klijenta).

Pretpostavlja se da će naša mreža koristiti dva različita pravila ažuriranja - zasebno pravilo instalacije ažuriranja za poslužitelje ( poslužitelji) i za radne stanice ( Radne stanice). Ove dvije grupe potrebno je kreirati u WSUS konzoli u odjeljku Sva računala.

Savjet. Pravila o tome kako klijenti koriste WSUS poslužitelj ažuriranja uvelike ovise o organizacijska struktura OU u Active Directory i ažurirajte pravila instalacije u organizaciji. U ovom ćemo članku pogledati samo privatna opcija, koji vam pomaže razumjeti osnovna načela korištenja AD pravila za instaliranje ažuriranja sustava Windows.

Prije svega, trebate odrediti pravilo za grupiranje računala u WSUS (targeting) konzoli. Prema zadanim postavkama, u WSUS konzoli, administrator ručno raspodjeljuje računala u grupe (ciljanje na strani poslužitelja). Nismo zadovoljni s tim, stoga ćemo istaknuti da su računala raspoređena u grupe na temelju ciljanja na strani klijenta (po određenom ključu u registru klijenata). Da biste to učinili, u WSUS konzoli idite na odjeljak Mogućnosti i otvorite parametar Računala. Promijenite vrijednost u Koristite pravila grupe ili postavke registra na računalima(Koristite pravila grupe ili postavke registra na računalima).

Sada možete stvoriti GPO za konfiguriranje WSUS klijenata. Otvorite konzolu za upravljanje grupnim pravilima domene i kreirajte dvije nove grupne politike: ServerWSUSPolicy i WorkstationWSUSPolicy.

Pravila grupe WSUS za Windows poslužitelje

Počnimo s opisom politike poslužitelja ServerWSUSPolicy.

Postavke pravila grupe odgovorne za rad usluge Windows Update nalaze se u odjeljku GPO: RačunaloKonfiguracija -> Politike-> Upravnišablone-> Windowskomponenta-> WindowsAžuriraj(Konfiguracija računala -> Administrativni predlošci -> Komponente sustava Windows -> Ažuriranje sustava Windows).

U našoj organizaciji očekujemo korištenje ovog pravila za instaliranje WSUS ažuriranja na Windows poslužiteljima. Očekuje se da će sva računala obuhvaćena ovom politikom biti dodijeljena grupi poslužitelja na WSUS konzoli. Osim toga, želimo spriječiti automatsku instalaciju ažuriranja na poslužiteljima kada ih primimo. WSUS klijent mora jednostavno preuzeti dostupna ažuriranja na disk, prikazati upozorenje za nova ažuriranja u programskoj traci i pričekati da administrator pokrene instalaciju (bilo ručno ili daljinski koristeći ) kako bi započeo instalaciju. To znači da proizvodni poslužitelji neće automatski instalirati ažuriranja i ponovno se pokrenuti bez odobrenja administratora (ovaj posao se obično izvodi Administrator sustava u okviru mjesečnog planskog održavanja). Da bismo implementirali takvu shemu, postavit ćemo sljedeća pravila:

  • KonfiguriratiAutomatskinadopune(Postavljanje automatskog ažuriranja): Omogućiti. 3 – Automatskipreuzimanje datotekaiobavijestitizainstalirati(Automatski preuzima ažuriranja i obavještava vas kada budu spremna za instalaciju)– klijent automatski preuzima nova ažuriranja i obavještava o njihovoj dostupnosti;
  • NavediteIntranetMicrosoftAžurirajservismjesto(Navedite intranetsku lokaciju Microsoft Update): Omogućiti. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– ovdje morate navesti adresu vašeg WSUS poslužitelja i statističkog poslužitelja (obično su isti);
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja(Nemojte izvoditi automatsko ponovno pokretanje prilikom automatske instalacije ažuriranja ako postoje korisnici u sustavu): Omogućiti– zabrani automatsko ponovno pokretanje kada postoji korisnička sesija;
  • Omogućitiklijent-stranaciljanje ( Dopustite klijentu da se pridruži ciljnoj skupini): Omogućiti. Naziv ciljne skupine za ovo računalo Ciljna skupina za ovo računalo): poslužitelji– u WSUS konzoli dodijelite klijente grupi Servers.

Bilješka. Prilikom postavljanja pravila ažuriranja, preporučujemo da se pažljivo upoznate sa svim postavkama dostupnim u svakoj od opcija u odjeljku GPO WindowsAžuriraj i postavite parametre koji odgovaraju vašoj infrastrukturi i organizaciji.

Pravila instalacije ažuriranja WSUS-a za radne stanice

Pretpostavljamo da će se ažuriranja na klijentskim radnim stanicama, za razliku od pravila poslužitelja, automatski instalirati noću odmah nakon primanja ažuriranja. Nakon instaliranja ažuriranja, računala bi se trebala automatski ponovno pokrenuti (upozorenje korisnika 5 minuta unaprijed).

U ovom GPO-u (WorkstationWSUSPolicy) navodimo:

  • DopustiAutomatskinadopuneneposrednamontaža(Dopusti trenutnu instalaciju automatskih ažuriranja): Onemogućeno- zabrana trenutne instalacije ažuriranja nakon što su primljena;
  • Dopustine- administratoridoprimitiAžurirajobavijesti(Dopusti korisnicima koji nisu administratori primanje obavijesti o ažuriranju): Omogućeno- prikazati upozorenje neadministratorima o novim ažuriranjima i omogućiti njihovu ručnu instalaciju;
  • Konfigurirajte automatska ažuriranja:Omogućeno. Konfigurirajte automatsko ažuriranje: 4 - Automatsko preuzimanje i zakazivanje instalacije. Planirani dan instalacije: 0 - Svakidan. Zakazano vrijeme instalacije: 05:00 – kada se primi nova ažuriranja, klijent ih preuzima u lokalnu predmemoriju i zakazuje njihovu automatsku instalaciju u 5:00 ujutro;
  • Naziv ciljne skupine za ovo računalo: Radne stanice– u WSUS konzoli dodijelite klijenta grupi Radne stanice;
  • Nema automatskog ponovnog pokretanja s prijavljenim korisnicima za planirane instalacije automatskih ažuriranja: Onemogućeno- sustav će se automatski ponovno pokrenuti 5 minuta nakon završetka instalacije ažuriranja;
  • Navedite intranet Microsoftovo ažuriranje servisno mjesto: Omogući. Postavite intranetsku uslugu ažuriranja za otkrivanje ažuriranja: http://srv-wsus.site:8530, Postavite intranet poslužitelj statistike: http://srv-wsus.site:8530– adresa korporativnog WSUS poslužitelja.

U sustavu Windows 10 1607 i novijim, iako ste im dali upute da primaju ažuriranja s internog WSUS-a, oni mogu i dalje pokušati pristupiti Windows poslužitelji Ažuriranje na internetu. Ova se "osobina" zove DualSkenirati. Da biste onemogućili primanje ažuriranja s interneta, morate dodatno omogućiti pravilo ČininedopustitiAžurirajodgodapolitikedouzrokskeniraprotivWindowsAžuriraj ().

Savjet. Kako bi se poboljšala "razina krpanja" računala u organizaciji, obje politike mogu se konfigurirati da prisilno pokreću uslugu ažuriranja (wuauserv) na klijentima. Da biste to učinili, u odjeljku Konfiguracija računala -> Pravila-> Postavke sustava Windows -> Sigurnosne postavke -> Usluge sustava Pronađite uslugu Windows Update i postavite je da se automatski pokreće ( Automatski).

Dodjeljivanje WSUS pravila OU-ima Active Directory-a

Sljedeći korak je dodjeljivanje kreiranih pravila odgovarajućim spremnicima aktivnog imenika (OU). U našem primjeru OU struktura u AD domeni je najjednostavnija: postoje dva spremnika – Servers (sadrži sve servere organizacije, osim kontrolera domene) i WKS (Workstations – korisnička računala).

Savjet. Razmatramo samo jednu prilično jednostavnu opciju za vezanje WSUS pravila za klijente. U prave organizacije moguće je vezati jednu WSUS politiku na sva računala u domeni (GPO s WSUS postavkama priložen je korijenu domene), širiti različite vrste klijentima u različitim OU (kao u našem primjeru - stvorili smo različita WSUS pravila za poslužitelje i radne stanice), u velikim distribuiranim domenama možete vezati, ili dodijeliti GPO-ove na temelju, ili kombinirati gore navedene metode.

Da biste dodijelili politiku OU-u, kliknite na željeni OU u konzoli za upravljanje pravilima grupe i odaberite stavku izbornika Poveži kao postojeći GPO i odaberite odgovarajuću politiku.

Savjet. Ne zaboravite na zasebnu OU s kontrolerima domene (kontrolori domene); u većini slučajeva ovom spremniku treba dodijeliti politiku WSUS "poslužitelja".

Na potpuno isti način trebate dodijeliti WorkstationWSUSPolicy pravilo AD WKS spremniku u kojem se nalaze Windows radne stanice.

Sve što preostaje je ažurirati pravila grupe na klijentima kako bi se klijent vezao na WSUS poslužitelj:

Sve postavke sustava za ažuriranje sustava Windows koje postavljamo pomoću grupnih pravila trebale bi se pojaviti u registru klijenata u grani HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

The reg datoteka može se koristiti za prijenos WSUS postavki na druga računala koja ne mogu konfigurirati postavke ažuriranja koristeći GPO (računala u radnoj grupi, izolirani segmenti, DMZ, itd.)

Windows Urednik registra Verzija 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Poslužitelji"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOpcije"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Također je zgodno kontrolirati primijenjene WSUS postavke na klijentima pomoću rsop.msc.

I nakon nekog vremena (ovisno o broju ažuriranja i propusnost kanal prema WSUS poslužitelju) trebate provjeriti ima li u traci skočnih obavijesti o prisutnosti novih ažuriranja. U WSUS konzoli klijenti bi se trebali pojaviti u odgovarajućim grupama (u tablični oblik prikazuje ime klijenta, IP, OS, postotak njihove "zakrpanosti" i datum zadnjeg ažuriranja statusa). Jer Računala i poslužitelje dodijelili smo različitim WSUS grupama prema pravilima; oni će primati samo ažuriranja odobrena za instalaciju u odgovarajućim WSUS grupama.

Bilješka. Ako se ažuriranja ne pojavljuju na klijentu, preporuča se pažljivo pregledati zapisnik usluge Windows Update Service na problematičnom klijentu (C:\Windows\WindowsUpdate.log). Imajte na umu da Windows 10 (Windows Server 2016) koristi . Klijent preuzima ažuriranja u lokalnu mapu C:\Windows\SoftwareDistribution\Download. Da biste započeli traženje novih ažuriranja na WSUS poslužitelju, morate pokrenuti naredbu:

wuauclt/detectnow

Također, ponekad morate prisilno ponovno registrirati klijenta na WSUS poslužitelj:

wuauclt /detectnow /resetAuthorization

U posebno teškim slučajevima možete pokušati popraviti uslugu wuauserv. Ako se to dogodi, pokušajte promijeniti učestalost provjere ažuriranja na WSUS poslužitelju pomoću pravila učestalosti otkrivanja automatskog ažuriranja.

U sljedećem članku ćemo opisati značajke. Također preporučujemo da pročitate članak između grupa na WSUS poslužitelju.

Najbolji članci na temu

BL u WebMoney - što je to i kako ga povećati?
BL u WebMoney - što je to i kako ga povećati?
Što je Viber i kako ga koristiti
Što je Viber i kako ga koristiti
Automatsko ažuriranje Androida
Automatsko ažuriranje Androida
Kategorije:
© 2024 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.