Ecco come funziona. Configurazione dei client WSUS utilizzando criteri di gruppo

Installazione del server di aggiornamento WindowsServer Update Services per la piattaforma Windows 2008 R2 non è un compito difficile. Devi solo ricordare che il kit di distribuzione per WSUS stesso non deve più essere scaricato dal sito Web di Microsoft. Questo server viene installato allo stesso modo della maggior parte degli altri Servizi Windows Server 2008 R2 - tramite installazione ruoli del server.

Va notato che potresti comunque aver bisogno del pacchetto di installazione WSUS, ma solo se desideri installarlo console di amministrazione separata ad una delle postazioni di lavoro. In questo caso potete scaricarlo da qui.

Configurazione di un server WSUS

Quindi iniziamo l'installazione. Partiremo dal presupposto che tu abbia già installato il sistema operativo Windows 2008 R2 e che tu abbia effettuato l'accesso utilizzando un account con i diritti amministratore locale. Prima dell'installazione, è necessario assicurarsi che il server sia connesso alla rete e che Internet sia accessibile da esso (questo è importante).

1. Aprire lo snap-in “Server Manager”. Quindi, nel pannello di sinistra, apri il ramo “Ruoli” e nel pannello di destra, avvia la procedura guidata “Aggiungi ruoli” (vedi figura sotto):

2. Dopo aver selezionato la riga di elenco "Windows Server Update Services", verrà visualizzata una finestra della procedura guidata che richiede di aggiungere il servizio server Web, nonché i componenti necessari. Siamo d'accordo con questa proposta e facciamo clic su "Avanti" tre volte.

3. Il passaggio successivo consiste nell'installare effettivamente il servizio WSUS. Fare clic su "Avanti" e poi su "Installa". A questo punto il server inizierà il download da Internet e l'installazione del servizio. Durante il processo di installazione ti verrà richiesto di accettare i termini del contratto di licenza:

Installeremo questo pacchetto in seguito.

5. Il passaggio successivo consiste nell'indicare la posizione della cartella in cui verranno archiviati gli aggiornamenti. Puoi accettare l'opzione suggerita o specificare una cartella diversa. Questa cartella d.b. su disco con file Sistema NTFS. Assicurati che ci sia abbastanza spazio lì. A titolo di esempio di stima, ti informo che gli aggiornamenti di Windows per server e workstation in due lingue (russo, inglese) richiederanno circa 40 - 60 GB. Non consiglio di salvare...

6. Il database MS SQL viene utilizzato per far funzionare WSUS 3.0. Puoi utilizzare un database interno o utilizzarne uno esistente sulla tua rete:

Qui è indicato anche l'indirizzo del servizio WSUS, che sarà richiesto durante la configurazione dei client del servizio.

9. Questo è tutto... a questo punto il processo di installazione vero e proprio può considerarsi concluso.

10. Ma il lavoro del maestro continuerà. Il passaggio successivo consiste nel configurare direttamente il servizio di aggiornamento:

11. I seguenti passaggi della procedura guidata ti aiuteranno a definire le impostazioni iniziali per il servizio WSUS. Sarà necessario specificare da quale server verrà sincronizzato questo server WSUS. Opzioni possibili: server Microsoft o server WSUS upstream

12. È necessario specificare le impostazioni del server proxy durante la sincronizzazione:

13. Nel passaggio successivo ci collegheremo al server Microsoft (o server upstream). L'operazione potrebbe richiedere alcuni minuti:

Se questo processo fallisce, controlla le impostazioni del server proxy che hai inserito in precedenza. Assicurati che il server Microsoft o il server WSUS upstream sia raggiungibile da quel server e riprova.

15. Su prossimo passo Ti verrà richiesto di selezionare i prodotti Microsoft per i quali verranno scaricati gli aggiornamenti.

16. Inoltre, è necessario selezionare le classi di aggiornamento:

Il processo di download dell'aggiornamento richiederà molto tempo. Il download iniziale richiederà diverse ore e potrà ammontare a diverse decine di gigabyte. Per ridurre la quantità di traffico, il server WSUS può ricevere il catalogo degli aggiornamenti da un altro server. Ciò è particolarmente vero nei casi in cui il server WSUS viene distribuito su una LAN che ha accesso a Internet tramite un canale di comunicazione lento.

Se hai fatto qualcosa di sbagliato durante il processo di configurazione del server, apri la console di Windows Server Update Services e seleziona "Opzioni" nel riquadro di sinistra. Nel pannello centrale è possibile modificare manualmente impostazioni separate oppure eseguire nuovamente la configurazione guidata del server WSUS.

I proprietari di reti di computer hanno riscontrato almeno una volta il problema dell'aggiornamento dei programmi. Fallo da solo, senza aiuto software speciale, è quasi impossibile, poiché richiede una quantità incredibile di tempo. E il tempo è la risorsa più preziosa. Se solo esistesse un servizio che aiutasse a risolvere questo problema automatizzando il processo di ricerca, aggiornamento e installazione di nuove versioni di tutti i programmi aziendali.

Un sistema del genere esiste. Microsoft lo ha rilasciato nel 2005 Servizio Windows Servizi di aggiornamento del server. Il suo scopo principale è quello di applicare patch e aggiornare i prodotti Microsoft nell'intera rete di computer. Inoltre, la dimensione di quest'ultimo non gioca alcun ruolo. Puoi installare e configurare WSUS per due computer o per un paio di centinaia. Tutto dipende esclusivamente dalle tue esigenze. Nuove versioni vengono rilasciate e supportate fino ad oggi

Requisiti di sistema

La configurazione di WSUS su Server 2012 non richiede che l'utente abbia una conoscenza approfondita della programmazione e delle reti di computer. L'interfaccia è intuitiva e conveniente. L'attenzione è rivolta a un'ampia gamma di persone che utilizzeranno il loro prodotto.

Inoltre, i requisiti per funzionamento normale i servizi sono piuttosto scadenti, soprattutto per gli standard moderni. Ad esempio, per mantenere elevate le prestazioni di un server la cui rete comprende fino a cinquecento computer, la dimensione consigliata RAM deve essere almeno 1 GB. E la velocità di clock del processore è superiore a 1 GHz. D'accordo, anche i vecchi computer da ufficio hanno ottime prestazioni.

Preparare tutto il necessario per WSUS

Quindi, hai deciso di utilizzare WSUS per le tue reti. L'installazione e la configurazione non dovrebbero essere difficili se prepari adeguatamente il tuo computer per questo.

• Assicurati di formattare la partizione del disco su cui installerai WSUS, nonché quella prevista per il sistema, su NTFS.
• Assicurati che il tuo computer abbia almeno 1 gigabyte di RAM.
• A seconda del numero di computer sulla rete, selezionare quello gratuito richiesto spazio su disco. Per piccole retiÈ richiesto un minimo di 6 gigabyte. In base all'esperienza dell'utente, si consiglia di allocare 30 gigabyte di memoria sul disco in cui verranno archiviati i dati WSUS. Il servizio scaricherà e installerà software aggiuntivo, quindi è meglio aggiungere più memoria ed essere sicuri di un funzionamento stabile piuttosto che pentirsi e controllarne costantemente il funzionamento.

Componenti richiesti

Non dimenticare che WSUS è un sistema di aggiornamento software e deve essere installato sul sistema operativo Famiglia Windows. Preparare anche altri componenti da questo elenco prima dell'installazione:

1. Microsoft Internet Information Services (IIS) 6.0.
2. Microsoft .NET Framework 1.1 Service Pack 1 o versione successiva.
3. Servizio di trasferimento intelligente in background (BITS) 2.0.

Oltre a preparare il server, devi includere tutto computer client reti. Accendili servizio automatico aggiornamenti. È presente in tutti i sistemi operativi Microsoft. Dopo aver completato questo fase preparatoria Puoi tranquillamente passare a quello successivo.

Processo di installazione

Puoi installare il servizio WSUS solo se disponi dei diritti di amministratore. Accedi quindi con un account amministratore. Successivamente, esegui WSUSSetup. Ha l'estensione .exe e pesa parecchio: circa 130 megabyte.

Si aprirà finestra standard Procedura guidata di installazione. Leggilo e accettalo contratto di licenza. Nella finestra successiva potrai selezionare la fonte degli aggiornamenti. Puoi scegliere di archiviare i dati localmente sul server o scaricarli dai siti Microsoft.

Per risparmiare traffico, si consiglia di impostare il tipo locale. In questo caso, non solo ridurrai i costi Internet dell'azienda, ma aumenterai anche la velocità di installazione degli aggiornamenti sui computer client. Non dovresti dare troppa importanza a questa scelta; avrai comunque la possibilità di configurarla successivamente a tua discrezione.

La finestra successiva richiede di selezionare quali parametri verranno impostati per i database:

1. Anche WMSDE verrà installato insieme a WSUS. È incluso nel programma e non è necessario pagarlo. Pertanto, la maggior parte degli utenti lo installa. Non c'è motivo di rifiutarlo e inoltre aiuta a evitare problemi in futuro.
2. Nel secondo caso, WMSDE non verrà installato. Verrà utilizzato invece basi esistenti dati da Microsoft SQL. Quando si seleziona questa voce quando lungo lavoro Potrebbero sorgere difficoltà in quanto i dati potrebbero diventare obsoleti e quando viene rilasciato un aggiornamento sui computer, non sarà immediatamente possibile aggiornarli.

Nella finestra successiva è possibile scegliere il sito Web che utilizzerà il server WSUS. Qui non è richiesta alcuna configurazione e nella maggior parte dei casi vengono utilizzati i parametri standard suggeriti. Questo è l'host IIS e il numero di porta 80.

Nell'ultima finestra di installazione viene selezionato il ruolo di gestione del server. Se questo è il primo e unico server sulla tua rete, sentiti libero di saltarlo.

Nel caso in cui il server non sia il primo, la finestra “Impostazioni aggiornamento mirror” deve essere configurata correttamente. Se ciò non viene fatto, potrebbero verificarsi conflitti tra questi server. Sul secondo server e su quelli successivi, seleziona la casella e inserisci il nome del server installato inizialmente.

Avvio della console di amministrazione

Immediatamente dopo aver installato con successo WSUS, all'utente viene richiesto di avviare la console di amministrazione. Questo può essere fatto non solo dal server, ma anche da qualsiasi altro computer della rete. Ma vale la pena ricordare che solo un utente con diritti di amministratore può farlo. La console si trova in all'indirizzo successivo: http://nomeserver/wsusadmin.

Configurazione di WSUS

Dopo l'installazione, è possibile configurare le seguenti impostazioni in WSUS:

• creazione di un gruppo di computer;
• sincronizzazione;
• aggiornamento automatico.

Creazione di un gruppo di computer

Il punto più importante che non può essere evitato Configurazione WSUS 2012 r2, è la creazione di un gruppo di computer. Questo è necessario per aggiornamento conveniente programmi per computer specifici che eseguono compiti diversi.

Esistono due modi per aggiungere computer ai gruppi:

• Dal lato server.
• Dal lato cliente.

In cosa differiscono? Possibilità di automazione dei processi. Nel primo caso, dovrai assegnare manualmente ogni singolo computer utilizzando la console. Nel secondo caso, dovrai configurare i criteri di gruppo e il registro del sistema operativo.

Per aggiungere computer, apri la pagina con le loro impostazioni. Successivamente, seleziona il metodo di destinazione.

Per creare un gruppo, apri la scheda Computer nella console. C'è un pulsante "Crea un gruppo di computer". Verrà creato un gruppo al quale i computer sono già aggiunti in base alle tue esigenze.

Configurazione delle impostazioni di sincronizzazione

Una volta creati i gruppi, la configurazione di WSUS richiede la selezione delle opzioni per il download degli aggiornamenti. Puoi scegliere modalità manuale avviare la sincronizzazione o automaticamente secondo una pianificazione specificata.

Apri la sezione "Prodotti e Corsi" e seleziona i programmi che necessitano di essere aggiornati. Per trasferire gli aggiornamenti dal server ai computer, selezionare i programmi che soddisfano i requisiti negli elenchi.

In questo modo puoi scaricare non solo programmi, ma anche molto altro: driver, correzioni critiche per sistemi operativi, service pack, chiavi per sistemi di sicurezza. Puoi modificare queste impostazioni in qualsiasi momento.

Configurazione delle fonti di aggiornamento

Se WSUS viene installato per la prima volta e non sono presenti altri server, lasciare tutto come predefinito. Il download verrà effettuato dall'ufficiale Ospite Microsoft Aggiornamento.

Se il server non è il primo, specificare i dati WSUS principali.

Impostazione dell'approvazione automatica

Un altro importante parametro di automazione del processo è l'approvazione automatica. Ciò ti consentirà di non distrarti e di non dover confermare manualmente il download e il trasferimento di nuovi aggiornamenti. Questa impostazione WSUS si trova nella console.

Impostazione della sincronizzazione

L'ultimo passaggio nell'impostazione dei parametri è la sincronizzazione. Controlla tutto il software di rete per assicurarsi che sia aggiornato con gli ultimi aggiornamenti.

Se un computer è connesso alla rete, il server determinerà la versione dei programmi su di esso e, se differiscono da quelli più recenti, gli invierà tutti gli aggiornamenti.

Una breve postfazione

Come hai già capito, l'installazione è semplice e diretta. L'amministratore di sistema non dovrebbe avere problemi nell'installazione e nella configurazione del server. È possibile utilizzare qualsiasi versione. Non c'è differenza l'uno dall'altro non sono presenti impostazioni WSUS per Windows Server 2012 o qualsiasi altra versione. Ogni versione più recente funziona in modo più veloce e stabile e utilizza le risorse del computer in modo più efficiente.

Allo stesso tempo, il servizio è estremamente utile e funzionale. È semplicemente indispensabile per le imprese di qualsiasi livello. Con WSUS puoi risparmiare nervi e tempo preziosi. Non per niente tutti ne consigliano l’uso.

Il processo di installazione di questo servizio di rete. Questo post descrive il processo di configurazione dei computer per l'aggiornamento dai server WSUS a tua disposizione.

Configurazione di computer di gruppi di lavoro o server autonomi

Per configurare i computer in questo caso, sarà necessario lo snap-in Editor oggetti Criteri di gruppo. Per aprirlo, procedi come segue:

1. 1. Aprire il menu Start - Esegui. Nella riga "apri" digitare "mmc" - quindi OK
2. 2. Nella console MMC, aprire il menu File – Aggiungi o rimuovi snap-in...
3. 3. Selezionare lo snap-in "Editor oggetti Criteri di gruppo" - Fine - OK
4. 4. Vogliamo creare una regola per aggiornare il sistema operativo del computer. Pertanto, nella parte destra dell’editor, nell’hive “Configurazione computer”, aprire il ramo Politiche – Modelli amministrativi – Componenti di Windows – Windows Update
5. 5. Sul lato destro della finestra dell'editor vedrai le regole che descrivono il comportamento dei computer riguardo ai processi di aggiornamento. Seleziona la regola "Imposta aggiornamento automatico".
6. 6. Nella finestra delle impostazioni di aggiornamento automatico, abilitare la regola e specificare i parametri. Per impostazione predefinita, verrà selezionata la modalità di impostazione n. 3: notifica automatica di download e installazione. In questo caso l'installazione verrà effettuata solo dopo la conferma dell'aggiornamento. È anche possibile installare gli aggiornamenti in base a una pianificazione. Dopo aver completato le impostazioni, fare clic sui pulsanti “Applica” e “Impostazioni successive”.
7. 7. Il parametro successivo sarà la regola "Specificare la posizione del servizio di aggiornamento Microsoft sull'intranet", dove è necessario specificare la posizione del servizio di aggiornamento, nonché il server delle statistiche (di solito è lo stesso server). Fare clic su OK In linea di principio, questo è sufficiente. Ma puoi anche ottimizzare il processo di aggiornamento. Dopo aver letto i suggerimenti integrati per le regole, capirai di cosa hai bisogno.
8. 8. Chiudere lo snap-in

Tutto... le regole entreranno in vigore immediatamente.

In generale, è possibile configurare i computer del dominio in questo modo. Ma se l'amministratore di rete ha già effettuato queste impostazioni a livello di dominio, le regole di cui sopra non verranno applicate, poiché verranno sovrascritte dalle regole del dominio. politiche di gruppo.

Configurazione dei computer del dominio

Per configurare i computer del dominio per l'aggiornamento da un server WSUS aziendale, è necessario disporre dei diritti di amministratore di dominio Windows.

Per la configurazione sarà necessario lo snap-in GPMC (Group Policy Management Console).

Sui computer con Windows 7 è preferibile installare l'apparecchiatura con il kit amministrazione remota RSAT (versione localizzata disponibile). Dopo aver installato il Remote Administration Kit, non dimenticare di abilitare i componenti di controllo necessari (Pannello di controllo - Programmi e funzionalità - Attiva o disattiva i componenti di Windows)

È necessario effettuare le seguenti operazioni:
1. Esegui utilizzando il menu Start - Esegui - GPMC.msc

2. Aprire il ramo Domini – Nome_dominio – Oggetti Criteri di gruppo e fare clic con il tasto destro mouse seleziona il menu “Crea”.
3. Nel campo "Nome", specificare il nome del nuovo oggetto criteri di gruppo (che sia "WSUS Group Policy"), quindi OK
4. Nella finestra di destra dello snap-in, trova il nome del tuo oggetto e fai clic con il pulsante destro del mouse sul menu "Modifica". Si apre lo snap-in Editor Gestione Criteri di gruppo.
5. Successivamente, è necessario seguire gli stessi passaggi descritti nella sezione precedente.

Pertanto, l'oggetto Criteri di gruppo (GPO) è stato creato, ma l'oggetto Criteri di gruppo creato è ancora solo una semplice dichiarazione. Affinché le istruzioni funzionino, è necessario associare questo oggetto Criteri di gruppo al contenitore Windows AD corrispondente. Sono i computer del dominio che si trovano in questo contenitore che eseguiranno queste istruzioni (ovvero l'aggiornamento). Questo contenitore può essere un intero dominio, sito o reparto.
Quale contenitore scegliere dipende da te. Ma i criteri sono i seguenti:

• -- Se desideri che tutti i computer del tuo dominio vengano aggiornati, collega l'oggetto Criteri di gruppo al dominio
• -- Se desideri aggiornare solo una parte dei computer, ad esempio singoli server, crea una divisione nel dominio e posizionala lì server richiesti e collegarsi a questa divisione
• -- Se la tua rete ha diversi siti in città diverse, le sottoreti di questi siti dovrebbero appartenere a siti separati. In questo caso, per non caricare i canali di comunicazione tra i siti, è opportuno installare il proprio server WSUS su ciascun sito e creare un GPO separato per ciascun sito puntando specificamente ad esso. In futuro dovresti collegarli ai siti corrispondenti (vedi figura sotto)

I passaggi seguenti descrivono il processo di collegamento degli oggetti Criteri di gruppo creati ai contenitori Windows AD appropriati.

Supponiamo che tu decida di aggiornare tutti i computer in un dominio.

1. Quindi nello snap-in “Gestione criteri di gruppo” precedentemente aperto, sul lato sinistro della finestra, aprire il ramo “Foresta: Nome_foresta – Domini – Nome_dominio”
2. Fai clic con il pulsante destro del mouse sul nome del tuo dominio e seleziona il menu "Collega un oggetto Criteri di gruppo esistente...".
3. Nella finestra "Seleziona oggetto Criteri di gruppo", trova l'oggetto Criteri di gruppo corrispondente, che in precedenza abbiamo denominato "Criteri di gruppo WSUS" e fai clic su OK.

Filtri WMI per oggetti Criteri di gruppo

Considero una buona pratica aggiornare i sistemi operativi client e server utilizzando criteri di gruppo di dominio separati. In questo caso parto dal fatto che:

• - sistema operativo del serverè meglio aggiornare manualmente nell'ambito della manutenzione programmata (in questo caso è opportuna la cautela);
• - sistema operativo clientÈ meglio aggiornare automaticamente. Aggiornali manualmente quando grande parco computer è molto problematico ed è improbabile che gli utenti lo facciano (anche se viene loro mostrato come).

Cosa è necessario fare per questo?

Innanzitutto, dovresti creare oggetti Criteri di gruppo separati nello snap-in GPMC.msc, ad esempio

• Criteri di gruppo WSUS ServerOS
• Criteri di gruppo WSUS ClientOS

e impostarli su manuale (notifica automatica di download e installazione) e modalità automatiche Il sistema operativo si aggiorna di conseguenza.

In secondo luogo, crea due filtri WMI nello stesso snap-in. Sono questi filtri che determineranno quale dei suddetti GPO sarà attivo durante l'aggiornamento di ciascun computer sulla rete.

In terzo luogo, puoi associare i filtri WMI agli oggetti Criteri di gruppo corrispondenti ed entrambi questi oggetti Criteri di gruppo possono ora essere associati direttamente a un dominio o sito (come desideri).

Come creare filtri

Nello snap-in GPMC già aperto, vai al ramo Foresta - Domini - _Nome_dominio_ - Filtri WMI. Fare clic con il tasto destro su "Crea" per creare un filtro con il nome Sistemi operativi server e controller di dominio

Aggiungiamo una richiesta nello spazio root\CIMv2

Criteri di gruppo WSUS ServerOS"funziona solo con computer che eseguono il sistema operativo server Windows (inclusi i controller di dominio).

Allo stesso modo, crea un filtro con il nome Sistemi operativi client

Aggiungere una richiesta in root\CIMv2

Questo filtro consentirà un oggetto Criteri di gruppo denominato " Criteri di gruppo WSUS ClientOS"funziona solo con computer che eseguono il sistema operativo client Windows, indipendentemente dalla versione (Windows 2000 pro, Windows XP, Vista, Windows 7 e Windows 8)

I filtri sono pronti.

Come abbiamo già scritto, è necessario collegare un oggetto Criteri di gruppo Criteri di gruppo WSUS ServerOS E Criteri di gruppo WSUS ClientOS con appositi filtri. Ad esempio, questo può essere fatto come segue: nel ramo "Oggetti Criteri di gruppo", selezionare l'oggetto Criteri di gruppo desiderato, quindi in basso a destra "Filtro WMI" selezionare il filtro desiderato dall'elenco a discesa.

Quindi, ora i computer client del dominio verranno aggiornati automaticamente e i server attenderanno obbedientemente la tua attenzione.

Questo completa la configurazione.

Come verificare il risultato?

Come risultato di tutte le azioni di cui sopra, prevediamo di iniziare ad aggiornare quella parte dei computer del dominio che, a nostro avviso, dovrebbe essere soggetta alla policy configurata.

Innanzitutto è possibile cercare nei registri dello snap-in Gestione server WSUS le voci relative allo stato dei client di aggiornamento automatico.

In secondo luogo, puoi verificare che la policy configurata si applichi ai client WSUS. Apri Pannello di controllo - Windows Update e assicurati che sul lato destro della finestra del Centro aggiornamenti venga visualizzato il seguente messaggio: "Controllato dall'amministratore di sistema" (per Windows 7/Vista/2008/2008R2) In caso contrario, la politica non è in vigore.

Ma questo non significa che tu abbia commesso un errore da qualche parte. Il computer potrebbe non aver ancora aggiornato le proprie impostazioni dal controller di dominio.

Ciò è dovuto al fatto che i criteri di gruppo sui computer del dominio non vengono applicati immediatamente (gli aggiornamenti GP sulla rete locale si verificano per impostazione predefinita a intervalli di 15 minuti e la replica tra siti avviene anche meno frequentemente)
Pertanto, puoi semplicemente attendere o aggiornare i criteri di gruppo sui computer con il comando

Il computer client WSUS non esegue i servizi richiesti (come Windows Update e client Criteri di gruppo, ecc.)

L'oggetto Criteri di gruppo non funzionava per i singoli computer. In questo caso, dovrai affrontarli separatamente. Consiglio di simulare l'effetto dei Criteri di gruppo sui computer problematici utilizzando lo stesso snap-in GPMC.msc. Ciò consentirà di verificare se l'oggetto Criteri di gruppo creato è stato applicato al computer analizzato. Sfortunatamente, la risoluzione dei problemi di Windows AD di Criteri di gruppo va oltre lo scopo di questo post.

Bene, e soprattutto... il registro del client WSUS è qui --> c:\Windows\WindowsUpdate.log

Febbraio10

Per. è necessario WSUS (Windows Server Update Services). scaricamento automatico patch, pacchetti di aggiornamento e altri gadget dal sito Web Microsoft e distribuzione di questi contenuti all'interno della rete locale. Quelli. gli amministratori non devono scaricare le patch separatamente e installarle su ogni macchina. È sufficiente installare WSUS sul server, configurarlo e anche configurare le macchine da lavoro per utilizzare questo server. L'aggiornamento viene scaricato una volta sul server stesso e da lì installato sulla rete locale. Inoltre, l'utilizzo di WSUS consente di risparmiare notevolmente il traffico su Internet, utilizzato per scaricare aggiornamenti e patch di sistema.

WSUS lo è prodotto gratuito, tuttavia, è necessario disporre della licenza corretta per il sistema operativo del server, nonché delle licenze CAL (Windows Client Access) per ciascun postazione di lavoro, che viene aggiornato dal server WSUS. Microsoft offre l'opportunità gratuita di utilizzare il servizio di aggiornamento per i propri prodotti software durante l'intero periodo di supporto del prodotto software. Gli aggiornamenti necessari sono disponibili via Internet per tutti gli utenti di prodotti software.

Installazione di WSUS

Nel sistema operativo Windows Server 2008 esiste un ruolo server Windows Server Update Services.

Per Windows Server 2003, i seguenti requisiti di sistema per l'installazione di WSUS 3.0 SP1:

• Sistema operativo: Windows Server 2003 SP1 e versioni successive.
• Ruoli server aggiuntivi: IIS 6.0 e versioni successive
• Ulteriori aggiornamenti Sistema operativo: Microsoft.NET Framework 2.0, Gestione Microsoft Consolle 3.0.
• Programmi aggiuntivi: Microsoft Report Viewer, SQLServer 2005 SP1 (è possibile installare WSUS servizio interno database interno di Windows).

Nonostante il servizio non sia praticamente impegnativo per il processore e la RAM, richiede una buona parte dello spazio su disco. Preferibilmente 40 GB o più. In definitiva, la quantità di spazio su disco consumato dipenderà dal numero di prodotti che devono essere aggiornati e dal numero di aggiornamenti dell'infrastruttura richiesti. Se durante l'installazione il server non soddisfa requisiti di sistema, apparirà una finestra di avviso, che descriverà cosa è necessario installare.

Configurazione di un server WSUS

Per il normale funzionamento del server, è necessario specificare una serie di parametri che vengono effettuati utilizzando la “Configurazione guidata di Windows Server Update Services”

Nella finestra "Seleziona un server upstream", devi selezionare l'opzione "Sincronizza con Microsoft Update".

Quando si applica un server proxy a un ambiente aziendale, nella finestra "Impostazioni server proxy", è necessario specificare l'indirizzo IP, il numero di porta e i parametri di autenticazione sul server proxy.

Nella finestra “Seleziona lingue”, devi selezionare l'opzione “Scarica aggiornamenti solo nelle seguenti lingue” assicurati di selezionare “Inglese”. La scelta delle altre lingue va fatta in base ai sistemi installati in azienda solitamente si aggiunge anche “russo”. Non è necessario selezionare "Scarica aggiornamenti in tutte le lingue, comprese quelle nuove" poiché ciò aumenterà il numero di aggiornamenti archiviati sullo spazio su disco.

Nella finestra Seleziona prodotti è necessario selezionare i prodotti installati nel proprio ambiente aziendale.

IMPORTANTE! Non installare mai tutti i prodotti, poiché ciò potrebbe causare un aumento delle dimensioni degli aggiornamenti archiviati e gli aggiornamenti non verranno utilizzati. È necessario selezionare metodicamente e coerentemente solo i prodotti utilizzati nell'ambiente aziendale.

Nella finestra "Seleziona classi", è necessario specificare solo quelle classi che richiedono aggiornamenti. Poiché la specifica di classi aggiuntive aumenta significativamente la dimensione degli aggiornamenti archiviati.

Nella finestra "Impostazioni pianificazione sincronizzazione", è necessario selezionare un orario di sincronizzazione. Entro Sincronizzazione WSUS non comporta il download degli aggiornamenti. In questo caso, la sincronizzazione aggiornerà solo le informazioni dal server Microsoft Update."

Dopo la prima sincronizzazione, è necessario aprire la console WSUS e selezionare "Opzioni". In “Impostazioni”, aprire la voce “File e lingue di aggiornamento”.

Nella scheda "File di aggiornamento" della finestra "File di aggiornamento e lingue", è necessario specificare come verranno archiviati i file di aggiornamento. Poiché vogliamo ridurre la dimensione del traffico Internet, dobbiamo selezionare "Memorizza i file di aggiornamento localmente su questo server" e selezionare SEMPRE le voci "carica i file di aggiornamento sul server solo dopo l'approvazione dell'aggiornamento" e "Scarica file di installazione rapida". La voce "Carica i file di aggiornamento sul server solo dopo l'approvazione dell'aggiornamento" è necessaria, poiché per impostazione predefinita il server scaricherà TUTTI gli aggiornamenti che ritiene necessari per i prodotti selezionati. Tuttavia, poiché nel tempo si accumulano molti aggiornamenti nel Service Pack, molto probabilmente non saranno necessari e occuperanno spazio su disco.

Dopo tutte le impostazioni, è necessario aggiungere computer al servizio WSUS.

Aggiunta di computer a WSUS

Se disponi di un dominio, tutto ciò che devi fare è registrare il servizio WSUS nei suoi criteri di gruppo e selezionare le regole di aggiornamento del computer.

Questo viene fatto come segue: "Start - Strumenti di amministrazione - Gestione criteri di gruppo". Seleziona la policy valida nel dominio (Criteri di gruppo predefiniti per impostazione predefinita). Fare clic con il tasto destro e selezionare "Modifica".

Nella finestra “Editor Gestione Criteri di gruppo”, andare su “Configurazione computer – Criteri – Modelli amministrativi – Componenti di Windows – Windows Update”. Seleziona la voce " Specificare la posizione del servizio di aggiornamento sulla Intranet".

Nella finestra "Proprietà: specificare la posizione del servizio di aggiornamento sull'Intranet", specificare il parametro "Abilitato" e nella riga "Specificare il servizio di aggiornamento sull'Intranet per la ricerca degli aggiornamenti" inserire una riga come: http:// . Copia l'indirizzo nella finestra "Specifica server statistiche intranet". All'interno dell'Editor criteri di gruppo sono presenti suggerimenti nella finestra Spiega.

È inoltre necessario definire una politica di aggiornamento. Questo viene fatto attraverso la voce “Impostazioni”. aggiornamenti automatici».

Nella finestra “Proprietà: Impostazione aggiornamenti automatici”, specificare l'opzione “Abilitato” e i parametri “Impostazione aggiornamenti automatici”, “Installazione pianificata - giorno”, “Installazione pianificata - ora”. La finestra Spiegazione contiene una descrizione di tutti i parametri per i server ed è consigliabile impostare l'opzione “2 – Notifiche di download e installazione”, che consentirà agli amministratori di scegliere quando installare gli aggiornamenti sui server.

Se all'interno dell'infrastruttura sono presenti postazioni che non fanno parte del dominio (ad esempio postazioni mobili), ma è necessario il servizio di aggiornamento per tali postazioni, allora è possibile specificare tale servizio in " Politica locale sicurezza."

Nella riga di comando, digita gpedit.msc ed esegui le stesse operazioni descritte sopra per i criteri di gruppo nel dominio.

Dopo qualche tempo, il computer apparirà nella finestra “Computer – Tutti i computer – Computer non assegnati” con “Stato: Qualsiasi”.

Gestione degli aggiornamenti

Per visualizzare e approvare gli aggiornamenti necessari, è necessario selezionare i seguenti elementi di filtro in “Aggiornamenti – Tutti gli aggiornamenti”: “Approvazione: Non approvato” e Stato: Richiesto” e fare clic su “Aggiorna”.

IMPORTANTE! Per verificare la presenza degli aggiornamenti necessari, assicurati sempre che le impostazioni del filtro siano impostate su "Approvazione: non approvato" e Stato: richiesto", altrimenti rischi di scaricare aggiornamenti non necessari o di non scaricarli affatto. Se il filtro nelle impostazioni "Approvazione: non approvato" e Stato: richiesto mostra un campo vuoto, tutti gli aggiornamenti necessari per i computer sono già stati approvati e si trovano sul server.

Dopo l'approvazione, gli aggiornamenti verranno visualizzati sul computer dopo un po' di tempo secondo le regole configurate nella politica di sicurezza.

Molto spesso è necessario forzare il computer a verificare la presenza di aggiornamenti sul server di aggiornamento. Per fare ciò esiste un programma chiamato wuauclt.exe, che viene avviato tramite la riga di comando. Per verificare la presenza di aggiornamenti, è necessario eseguirlo con la chiave /detectnow (wuauclt.exe /detectnow). Per inviare un rapporto sullo stato (molto spesso necessario quando ci si connette al server di aggiornamento per la prima volta), è necessario eseguirlo con la chiave /reportnow (wuauclt.exe /reportnow).

feanor184.ru

Configurazione dei client WSUS utilizzando criteri di gruppo

Pertanto, si presuppone che sia installato un server Wsus. I criteri di gruppo di Active Directory (di seguito denominati GPO) consentono agli amministratori di sistema di assegnare automaticamente i client a vari gruppi di server WSUS, eliminando la necessità di spostare manualmente i computer tra i gruppi nella console WSUS. . Questa assegnazione di clienti a vari gruppi si basa sulle etichette del client, tali etichette vengono impostate tramite policy o semplice modifica del registro. Questo tipo La mappatura dei client ai gruppi WSUS è denominata targeting lato client.

In genere vengono utilizzati due diversi criteri di aggiornamento: per le workstation e per i server. Innanzitutto specifichiamo la regola per raggruppare i computer client nella console WSUS. Per impostazione predefinita, nella console, i computer vengono distribuiti manualmente in gruppi (targeting lato server). Indichiamo che i client sono distribuiti in gruppi in base al targeting lato client (criteri di gruppo o impostazioni del registro). Per fare ciò, nella console WSUS, vai a Sezione Opzioni aprire il parametro Computer e sostituire il valore con Utilizza criteri di gruppo o impostazioni del registro sui computer (Utilizza criteri di gruppo o valori nel registro, vedere screenshot).

Successivamente, inizieremo a configurare direttamente i client WSUS utilizzando Criteri di gruppo (GPO). Apri la console Gestione criteri di gruppo e crea due nuovi criteri di gruppo: ServerWSUSPolicy e WorkstationWSUSPolicy.

Criteri di gruppo per l'installazione degli aggiornamenti WSUS per le workstation (WorkstationWSUSPolicy)

La logica della policy è intuitiva; nel nostro caso prevediamo di installare automaticamente gli aggiornamenti di notte dopo averli ricevuti. I client si riavviano automaticamente dopo l'installazione degli aggiornamenti (avvisando l'utente con 10 minuti di anticipo). Apri la console di modifica dell'oggetto Criteri di gruppo (gpmc.msc), vai a Impostazioni criteri di gruppo: Configurazione computer -> Criteri-> Modelli amministrativi-> Componente Windows-> Aggiornamento di Windows)

Nella policy indichiamo:

• Consenti l'installazione immediata degli aggiornamenti automatici: Disabilitato: disabilita l'installazione immediata degli aggiornamenti quando vengono ricevuti
• Consenti ai non amministratori di ricevere notifiche di aggiornamento: abilitato: visualizza un avviso agli utenti sui nuovi aggiornamenti e li consente installazione manuale
• Configura Aggiornamenti automatici: abilitato. Configura l'aggiornamento automatico: 4 - Download automatico e pianificazione dell'installazione. Giorno di installazione pianificata: 0 - Ogni giorno. Orario di installazione pianificato: 03:00: il PC client scarica i nuovi aggiornamenti e pianifica l'installazione automatica alle 3:00
• Nome del gruppo target per questo computer: Workstation: nella console WSUS assegna i client al gruppo Workstation
• Nessun riavvio automatico con gli utenti connessi per le installazioni pianificate di aggiornamenti automatici: Disabilitato: il sistema si riavvierà automaticamente 10 minuti dopo il completamento dell'installazione dell'aggiornamento
• Specificare Intranet Microsoft servizio di aggiornamento posizione: Abilita. Imposta il servizio di aggiornamento Intranet per il rilevamento degli aggiornamenti: http://wsus:8530, Imposta Intranet server statistico: http://wsus:8530 – indirizzo del server WSUS aziendale

Se specifichi l'indirizzo http://wsus, assicurati che questo indirizzo venga risolto dal DNS (ping wsus), in caso contrario aggiungi l'indirizzo al server DNS.

Criteri di gruppo per l'installazione degli aggiornamenti WSUS per i server (ServerWSUSPolicy)

Ti ricordiamo che le impostazioni dei criteri di gruppo sono responsabili del funzionamento del servizio Aggiornamenti di Windows si trovano nella sezione GPO: Configurazione computer -> Criteri-> Modelli amministrativi-> Componenti di Windows-> Windows Update (Configurazione computer -> Criteri -> Modelli amministrativi -> Componenti di Windows -> Aggiornamento finestra).

Questa politica è destinata ai server per i quali abbiamo bisogno di disponibilità continua, almeno durante l'orario di lavoro. Per raggiungere questo obiettivo, impediamo l'installazione automatica degli aggiornamenti sui server di destinazione quando vengono ricevuti. Si presuppone che il client del server WSUS debba semplicemente scaricarsi aggiornamenti disponibili, quindi visualizzare un avviso e attendere la conferma da parte dell'amministratore di sistema per iniziare l'installazione. In questo modo ci assicuriamo che i server di produzione non installino automaticamente gli aggiornamenti e si riavviino senza il controllo dell'amministratore.

Nella policy indichiamo:

Consiglio. Ti consigliamo di impostare entrambe le policy partenza forzata servizio di aggiornamento (wuauserv) sul client per assicurarsi che gli aggiornamenti raggiungano il server di destinazione. Per fare ciò, nella sezione Configurazione computer -> Criteri-> Impostazioni di Windows -> Impostazioni di sicurezza -> Servizi di sistema (nella localizzazione russa: Configurazione computer -> Criteri -> Impostazioni di sicurezza-> Servizi di sistema), trova il servizio Windows Update ( wuauserv) e impostare il tipo di avvio su "Automatico".

Assegnazione di un criterio WSUS a un'unità organizzativa (contenitore) in Active Directory

Successivamente assegneremo in modo standard politica per i contenitori che abbiamo, nel nostro caso si tratta di due contenitori per workstation e server. IN in questo esempio Stiamo considerando l'opzione più semplice per associare i criteri WSUS ai computer. In condizioni reali, puoi distribuire una policy WSUS su tutti i domini (l'oggetto Criteri di gruppo è legato alla radice del dominio) o distribuire client diversi in contenitori diversi. Per reti grandi e distribuite, vale la pena collegare vari server WSUS a siti AD o assegnare oggetti Criteri di gruppo in base ai filtri WMI o combinare i metodi sopra indicati.

Per associare la policy creata a un contenitore, avviare lo snap-in di modifica Criteri di gruppo (gpmc.msc), fare clic con il pulsante destro del mouse sul contenitore -> Associa un oggetto Criteri di gruppo esistente e specificare il contenitore con i server, nel nostro esempio, il server in il contenitore dei server. Questo può essere fatto anche trascinando la policy di gruppo nel contenitore; verrà creato automaticamente un collegamento alla policy (freccia nera), il che significa che la policy è collegata al contenitore. Successivamente, fai clic con il pulsante destro del mouse sul contenitore e -> Aggiornamento criteri di gruppo.

Per velocizzare la ricezione della policy sul client è possibile eseguire il comando: gpupdate /force, questo comando attiva l'applicazione immediata dei Criteri di gruppo.

E dopo un breve periodo di tempo, puoi controllare nei client le notifiche pop-up sulla disponibilità di nuovi aggiornamenti. Nella console WSUS, i client dovrebbero apparire nei gruppi appropriati (la tabella mostra il nome del client, l'IP, il sistema operativo, la percentuale di essi "aggiornati" e la data dell'ultimo aggiornamento dello stato).

Sono disponibili numerosi comandi per gestire Windows Server Update Services (WSUS) e il servizio Wuauclt, i più comuni dei quali sono:

/DetectNow: cerca gli aggiornamenti

/ResetAuthorization: richiesta di aggiornamento dell'autorizzazione

runas /user:admin “wuauclt /detectnow”: cerca gli aggiornamenti con un utente specifico

/ReportNow: genera un rapporto

www.itworkroom.com

Configurazione dei client Windows Server Update Services (WSUS).

L'articolo precedente, Installazione di WSUS 3.0 su Windows 2008 R2, descriveva il processo di installazione per questo servizio di rete. Questo post descrive il processo di configurazione dei computer per l'aggiornamento dai server WSUS a tua disposizione.

Per configurare i computer in questo caso, sarà necessario lo snap-in Editor oggetti Criteri di gruppo. Per aprirlo, procedi come segue:

1. 1. Aprire il menu Start - Esegui. Nella riga "apri" digitare "mmc" - quindi OK
2. 2. Nella console MMC, aprire il menu File – Aggiungi o rimuovi snap-in...
3. 3. Selezionare lo snap-in "Editor oggetti Criteri di gruppo" - Fine - OK
4. 4. Vogliamo creare una regola per aggiornare il sistema operativo del computer. Pertanto, nella parte destra dell’editor, nell’hive “Configurazione computer”, aprire il ramo Politiche – Modelli amministrativi – Componenti di Windows – Windows Update
5. 5. Sul lato destro della finestra dell'editor vedrai le regole che descrivono il comportamento dei computer riguardo ai processi di aggiornamento. Seleziona la regola "Imposta aggiornamento automatico".
6. 6. Nella finestra delle impostazioni di aggiornamento automatico, abilitare la regola e specificare i parametri. Per impostazione predefinita, verrà selezionata la modalità di impostazione n. 3: notifica automatica di download e installazione. In questo caso l'installazione verrà effettuata solo dopo la conferma dell'aggiornamento. È anche possibile installare gli aggiornamenti in base a una pianificazione. Dopo aver completato le impostazioni, fare clic sui pulsanti “Applica” e “Impostazioni successive”.
7. 7. Il parametro successivo sarà la regola "Specificare la posizione del servizio di aggiornamento Microsoft sull'intranet", dove è necessario specificare la posizione del servizio di aggiornamento, nonché il server delle statistiche (di solito è lo stesso server). Fare clic su OK In linea di principio, questo è sufficiente. Ma puoi anche ottimizzare il processo di aggiornamento. Dopo aver letto i suggerimenti integrati per le regole, capirai di cosa hai bisogno.
8. 8. Chiudere lo snap-in

Tutto... le regole entreranno in vigore immediatamente.

In generale, è possibile configurare i computer del dominio in questo modo. Ma se l'amministratore di rete ha già effettuato queste impostazioni a livello di dominio, le regole di cui sopra non verranno applicate, poiché verranno sovrascritte dai criteri di gruppo del dominio.

Per configurare i computer del dominio per l'aggiornamento da un server WSUS aziendale, è necessario disporre dei diritti di amministratore di dominio Windows.

Per la configurazione sarà necessario lo snap-in GPMC (Group Policy Management Console).

Sui server Windows 2008 R2 che fungono da controller di dominio, questo snap-in è installato e abilitato per impostazione predefinita. Sui server di versioni precedenti potrebbe essere necessario installarlo separatamente. Potete scaricare l'attrezzatura qui. Sui computer che eseguono Windows 7, è preferibile installare lo snap-in con il kit di amministrazione remota RSAT (esiste una versione localizzata). Dopo aver installato il Remote Administration Kit, non dimenticare di abilitare i componenti di controllo necessari (Pannello di controllo - Programmi e funzionalità - Attiva o disattiva i componenti di Windows)

È necessario effettuare le seguenti operazioni: 1. Eseguire utilizzando il menu Start - Esegui - GPMC.msc

2. Apri il ramo Domini – Nome_dominio – Oggetti Criteri di gruppo e fai clic con il pulsante destro del mouse sul menu “Crea” 3. Nel campo “Nome”, specifica il nome del nuovo oggetto Criteri di gruppo (lascia che sia “Criteri di gruppo WSUS”), quindi OK 4. Nella finestra snap-in di destra, trova il nome del tuo oggetto e fai clic con il pulsante destro del mouse sul menu "Modifica". Si apre lo snap-in Editor Gestione Criteri di gruppo.

Pertanto, l'oggetto Criteri di gruppo (GPO) è stato creato, ma l'oggetto Criteri di gruppo creato è ancora solo una semplice dichiarazione. Affinché le istruzioni funzionino, è necessario associare questo oggetto Criteri di gruppo al contenitore Windows AD corrispondente. Sono i computer del dominio che si trovano in questo contenitore che eseguiranno queste istruzioni (ovvero l'aggiornamento). Questo contenitore può essere un intero dominio, sito o reparto. Quale contenitore scegliere dipende da te. Ma i criteri sono i seguenti:

• -- Se desideri che tutti i computer del tuo dominio vengano aggiornati, collega l'oggetto Criteri di gruppo al dominio
• -- Se desideri aggiornare solo una parte dei computer, ad esempio i singoli server, crea una divisione nel dominio, posiziona lì i server necessari e collegali a questa divisione
• -- Se la tua rete ha diversi siti in città diverse, le sottoreti di questi siti dovrebbero appartenere a siti separati. In questo caso, per non caricare i canali di comunicazione tra i siti, è opportuno installare il proprio server WSUS su ciascun sito e creare un GPO separato per ciascun sito puntando specificamente ad esso. In futuro dovresti collegarli ai siti corrispondenti (vedi figura sotto)

I passaggi seguenti descrivono il processo di collegamento degli oggetti Criteri di gruppo creati ai contenitori Windows AD appropriati.

Supponiamo che tu decida di aggiornare tutti i computer in un dominio.

1. Quindi nello snap-in “Gestione criteri di gruppo” precedentemente aperto, sul lato sinistro della finestra, aprire il ramo “Forest: Forest_Name – Domains – Domain_Name” 2. Fare clic con il tasto destro del mouse sul nome del proprio dominio, selezionare il menu "Collega un oggetto Criteri di gruppo esistente..."

3. Nella finestra "Seleziona oggetto Criteri di gruppo", trova l'oggetto Criteri di gruppo corrispondente, che in precedenza abbiamo denominato "Criteri di gruppo WSUS" e fai clic su OK.

Considero una buona pratica aggiornare i sistemi operativi client e server utilizzando criteri di gruppo di dominio separati. In questo caso parto dal fatto che:

• - è preferibile aggiornare manualmente i sistemi operativi del server nell'ambito della manutenzione programmata (in questo caso è opportuna cautela);
• - è preferibile aggiornare automaticamente i sistemi operativi client. Aggiornarli manualmente con una vasta flotta di computer è molto problematico ed è improbabile che gli utenti lo facciano (anche se mostri loro come).

Cosa è necessario fare per questo?

Innanzitutto, dovresti creare oggetti Criteri di gruppo separati nello snap-in GPMC.msc, ad esempio

• Criteri di gruppo WSUS ServerOS
• Criteri di gruppo WSUS ClientOS

e configurarli rispettivamente per le modalità manuale (download automatico e notifica di installazione) e automatica di aggiornamento del sistema operativo.

In secondo luogo, crea due filtri WMI nello stesso snap-in. Sono questi filtri che determineranno quale dei suddetti GPO sarà attivo durante l'aggiornamento di ciascun computer sulla rete.

In terzo luogo, puoi associare i filtri WMI agli oggetti Criteri di gruppo corrispondenti ed entrambi questi oggetti Criteri di gruppo possono ora essere associati direttamente a un dominio o sito (come desideri).

Come creare filtri

Nello snap-in GPMC già aperto, vai al ramo Foresta - Domini - _Nome_dominio_ - Filtri WMI. Fare clic con il pulsante destro del mouse su "Crea" per creare un filtro denominato Sistema operativo server e controller di dominio

Aggiungiamo una richiesta nello spazio root\CIMv2

selezionare * da Win32_OperatingSystem dove ProductType="2" o ProductType="3"

Questo filtro consentirà a un oggetto Criteri di gruppo con il nome "Criteri di gruppo ServerOS WSUS" di funzionare solo con computer che eseguono il sistema operativo Windows del server (inclusi i controller di dominio).

Allo stesso modo, crea un filtro denominato Client OS "s

Aggiungere una richiesta in root\CIMv2

seleziona * da Win32_OperatingSystem dove ProductType="1"

Questo filtro consentirà a un oggetto Criteri di gruppo denominato "ClientOS WSUS Group Policy" di funzionare solo con computer che eseguono il sistema operativo client Windows, indipendentemente dalla versione (Windows 2000 pro, Windows XP, Vista, Windows 7 e Windows 8)

I filtri sono pronti.

Come abbiamo già scritto, è necessario associare il GPO ServerOS WSUS Group Policy e ClientOS WSUS Group Policy ai filtri corrispondenti. Ad esempio, questo può essere fatto come segue: nel ramo "Oggetti Criteri di gruppo", selezionare l'oggetto Criteri di gruppo desiderato, quindi in basso a destra "Filtro WMI" selezionare il filtro desiderato dall'elenco a discesa. Quindi, ora i computer client del dominio verranno aggiornati automaticamente e i server attenderanno obbedientemente la tua attenzione.

Questo completa la configurazione.

Come risultato di tutte le azioni di cui sopra, prevediamo di iniziare ad aggiornare quella parte dei computer del dominio che, a nostro avviso, dovrebbe essere soggetta alla policy configurata.

Innanzitutto è possibile cercare nei registri dello snap-in Gestione server WSUS le voci relative allo stato dei client di aggiornamento automatico.

In secondo luogo, puoi verificare che la policy configurata si applichi ai client WSUS. Apri Pannello di controllo - Windows Update e assicurati che sul lato destro della finestra del Centro aggiornamenti venga visualizzato il seguente messaggio: "Controllato dall'amministratore di sistema" (per Windows 7/Vista/2008/2008R2) In caso contrario, la politica non è in vigore.

Ma questo non significa che tu abbia commesso un errore da qualche parte. Il computer potrebbe non aver ancora aggiornato le proprie impostazioni dal controller di dominio.

Ciò è dovuto al fatto che i criteri di gruppo sui computer del dominio non vengono applicati immediatamente (gli aggiornamenti GP sulla rete locale si verificano per impostazione predefinita a intervalli di 15 minuti e la replica tra siti avviene anche meno frequentemente, quindi puoi semplicemente attendere o). aggiorna i criteri di gruppo sui computer con il comando

Dopo aver aggiornato i criteri di gruppo, gli aggiornamenti di Windows inizieranno a essere scaricati sul tuo computer.

Di seguito è riportato un elenco di possibili problemi con WSUS e Windows Update:

Il server WSUS non è disponibile (controlla le impostazioni firewall di Windows, server IIS, ecc.)

L'indirizzo del server WSUS è stato specificato in modo errato nelle impostazioni dell'oggetto Criteri di gruppo

Il server WSUS viene eseguito porta non standard. Ad esempio, il server WSUS si trova all'indirizzo http://wsus.office.local:8080 e durante l'impostazione dell'indirizzo nell'oggetto Criteri di gruppo non è stato specificato il numero di porta o è stato specificato qualcos'altro

Il computer client WSUS non esegue i servizi richiesti (come Windows Update e client Criteri di gruppo, ecc.)

L'oggetto Criteri di gruppo non funzionava per i singoli computer. In questo caso, dovrai affrontarli separatamente. Consiglio di simulare l'effetto dei Criteri di gruppo sui computer problematici utilizzando lo stesso snap-in GPMC.msc. Ciò consentirà di verificare se l'oggetto Criteri di gruppo creato è stato applicato al computer analizzato. Sfortunatamente, la risoluzione dei problemi di Windows AD di Criteri di gruppo va oltre lo scopo di questo post.

Bene, e soprattutto... il registro del client WSUS è qui --> c:\Windows\WindowsUpdate.log

r67rus.blogspot.ru

Configurazione di WSUS

Windows Server Update Services (WSUS) è ​​un server di aggiornamento per sistemi operativi e prodotti Microsoft. Una console molto utile se in ufficio ci sono più di 10 computer. È utile in quanto consente di "distribuire" gli aggiornamenti da UN server a tutti i computer della rete, ovvero non ogni singolo computer deve scaricare il canale Internet, ma un server scarica gli aggiornamenti e li "distribuisce" attraverso la rete a tutte le workstation e i server.

Inizialmente, in Windows 2003, era necessario scaricare il kit di distribuzione WSUS dal sito Microsoft, con l'avvento di MsWindows 2008 e Ms e Windows 2008 R2, questa necessità è scomparsa, perché È apparso il ruolo WSUS, sebbene sia possibile scaricare il kit di distribuzione dal sito Web di Microsoft alla vecchia maniera.

Per installare devi fare requisiti minimi, vale a dire: Sistema operativo: Windows Server 2003 SP1 e versioni successive. Ruoli server aggiuntivi: IIS 6.0 e versioni successive (per Windows Server 2008, quando si aggiunge un ruolo, verrà richiesto di installarlo) Aggiornamenti aggiuntivi del sistema operativo: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0. Programmi aggiuntivi: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS può installare il servizio di database interno di Windows). È necessario tenere conto dello spazio sul disco rigido; consiglierei un minimo di 100 GB, a seconda delle impostazioni che hai in WSUS.

Pertanto, indipendentemente dal modo in cui installi (utilizzando una distribuzione o aggiungendo un ruolo), i passaggi saranno gli stessi.

Dopo l'avvio dell'installazione, è necessario fare clic più volte su Avanti. Mi concentrerò sui passaggi principali: Indichiamo dove verranno archiviati gli aggiornamenti (un disco con una capacità di almeno 100 GB spazio libero)

Specificare la cartella in cui verrà archiviato il database di aggiornamento (2-4 GB di spazio libero).

Molto passo importante selezionando la porta su cui verrà distribuito l'aggiornamento, di default viene utilizzata la porta 80, ma sconsiglio di utilizzarla, perché questa porta viene spesso utilizzata da altre applicazioni. È preferibile creare un sito Web del servizio WSUS e utilizzare la porta 8530.

Dopo aver installato il servizio Wsus, è necessario configurarlo correttamente, diamo ancora un'occhiata ai passaggi principali: seleziona da dove riceveremo gli aggiornamenti, se questo è il primo server con Wsus, quindi seleziona la sincronizzazione con Microsoft Update.

Le lingue che scegli dovrebbero essere l'inglese (richiesto) + le lingue trovate sulla tua rete.

Selezioniamo i prodotti che verranno aggiornati (ti consigliamo di indicare solo quelli che utilizzi, altrimenti aggiornamenti senza senso occuperanno spazio sul tuo disco rigido).

Seleziona le classi di prodotto che verranno aggiornate.

Le impostazioni di base sono completate, passiamo alle impostazioni aggiuntive, configurando direttamente la console WSUS. Per comodità, consiglierei di creare 2 gruppi di computer, un gruppo avrà dei server, l'altro avrà delle workstation (questo viene fatto in modo che tu. può limitare l'installazione di aggiornamenti per i server).

Inizialmente, tutti i computer verranno posizionati in Computer non assegnati, quindi sarà necessario spostare manualmente i computer nei gruppi richiesti. Per le workstation consiglio di installare tutti gli aggiornamenti, per farlo andate su “; Opzioni - Automatico approvazione" e farlo regola successiva.

E per i server stabiliamo una regola per approvare solo gli aggiornamenti critici (per i server è altamente sconsigliato installare tutti gli aggiornamenti, poiché ciò può causare interruzioni nel loro funzionamento, l'ho riscontrato diverse volte).

Ora è necessario apportare modifiche a tutti i computer della rete in modo che sappiano da dove "prendere" gli aggiornamenti. Questo viene fatto utilizzando i criteri di gruppo. Andare al controller di dominio “Start – Strumenti di amministrazione – Gestione criteri di gruppo”. Seleziona la policy che opera nel dominio (Criteri di gruppo predefiniti per impostazione predefinita) o creane una nuova. Fare clic con il tasto destro e selezionare "Modifica". Nella finestra “Editor Gestione Criteri di gruppo”, andare su “Configurazione computer – Criteri – Modelli amministrativi – Componenti di Windows – Windows Update”. Di seguito sono riportate le impostazioni già pronte e testate. Dove si trova la linea rossa, inserisci il nome o l'indirizzo IP del tuo server su cui è installato WSUS.

in russo:

Se all'interno dell'infrastruttura sono presenti postazioni di lavoro che non fanno parte del dominio (ad esempio postazioni di lavoro mobili), ma è necessario il servizio di aggiornamento per tali postazioni, è possibile specificare tale servizio nella “Politica di sicurezza locale”. riga di comando, digitare gpedit.msc ed eseguire le stesse operazioni descritte sopra per i criteri di gruppo nel dominio.

Pochi minuti dopo tutte le procedure, i computer della rete inizieranno a comparire nella console Wsus nel gruppo Computer non assegnati. A seconda del loro sistema operativo, li sposti nel gruppo desiderato (Server o Gruppo di lavoro). Lascia che ti ricordi che, in base alle nostre impostazioni, tutti gli aggiornamenti verranno installati sui computer presenti nel gruppo di lavoro, solo quelli critici per i server.

pk-help.com

Installa e configura WSUS.

Ogni amministratore comprende l'importanza di aggiornamenti tempestivi, soprattutto quando si tratta di aggiornamenti critici per la sicurezza. Tuttavia, con la crescita della rete e l’aumento del numero di prodotti software, questo diventa un compito molto difficile. Quindi è il momento di distribuire WSUS (Windows Server Update Services) - server locale aggiornamenti sulla tua rete.

Con questo ucciderai diversi piccioni con una fava: ridurrai significativamente il carico del canale e il traffico Internet consumato, oltre a mettere le mani su un potente strumento per monitorare e gestire il processo di aggiornamento. D'ora in poi, tutti i PC locali verranno aggiornati dal tuo server e installeranno solo gli aggiornamenti selezionati.

Attenzione! Questo materialeè destinato alle versioni obsolete di Windows Server, ti consigliamo anche di leggere l'articolo attuale: Windows Server 2012 - installazione e configurazione di WSUS.

Cominciamo. Prima di installare WSUS è necessario preparare il server, noi utilizzeremo Windows Server 2008 R2, tuttavia, con piccole modifiche, tutto quanto detto sarà vero per le altre versioni di Windows Server. Di cosa abbiamo bisogno:

• IIS 6 o versione successiva
• .NET Framework 2.0 o versione successiva,
• Visualizzatore report ridistribuibile 2008,
• SQL Server 2005 SP2 Express o versione successiva.

WSUS può archiviare gli aggiornamenti nel proprio database o utilizzare un server SQL, quest'ultimo è preferibile dal punto di vista delle prestazioni. Se avete già un server SQL installato nella vostra rete, potete utilizzarlo, altrimenti è più adatto il SQL Express gratuito.

Puoi ottenere tutti i componenti necessari sul sito Web di Microsoft:

Durante il download, prestare attenzione alla profondità in bit; per un sistema operativo a 64 bit, scarichiamo versioni dei prodotti a 64 bit.

Ciao download in corso Aggiungiamo i ruoli del server. Avremo bisogno di un Web Server (IIS) e di un Application Server (in versioni precedenti Windows Server installa .NET Framework). L'Application Server viene installato con i valori predefiniti e le seguenti opzioni devono essere aggiunte al Web Server:

• ASP.NET
• Windows - Autenticazione
• Compressione dinamica dei contenuti
• Compatibilità di gestione IIS6

Dopo aver aggiunto i ruoli necessari, installeremo Report Viewer e SQL Server con parametri predefiniti. Tutto è pronto, puoi installare WSUS Dopo aver avviato il programma di installazione, seleziona l'installazione del server e della console di amministrazione e la cartella di installazione. Nei parametri del database indichiamo il nostro server SQL. Il resto delle impostazioni può essere lasciato come predefinito.

La procedura guidata verrà avviata immediatamente dopo l'installazione configurazione iniziale. Tutte le opzioni sono abbastanza semplici e chiare. Nelle impostazioni di sincronizzazione indichiamo da dove il nostro server riceverà gli aggiornamenti: da un server Microsoft o da un altro server WSUS. L'ultima opzione dovrebbe essere utilizzata se è necessario distribuire un server di aggiornamento aggiuntivo, ad esempio per una filiale. In questo caso, il server slave riceverà solo gli aggiornamenti approvati.

Nella scheda successiva, se necessario, specificare i parametri del server proxy ed effettuare la connessione iniziale. Verranno scaricate le informazioni dal server a monte: elenchi di prodotti, tipologie di aggiornamenti, ecc.

Nella scelta dei prodotti non essere avido; indica solo ciò di cui hai veramente bisogno in seguito potrai sempre modificare questa lista;

Nella pagina successiva, indica quali classi di aggiornamenti desideri ricevere: tutto dipende dalla politica di aggiornamento della tua azienda; Va ricordato che è altamente sconsigliabile distribuire automaticamente gli aggiornamenti dei driver e i nuovi pacchetti di funzionalità, senza previa verifica. Se non hai l'opportunità di farlo, non è necessario specificare queste classi.

Non dimenticare di impostare anche una pianificazione per la sincronizzazione con il server upstream. Questo completa la configurazione iniziale.

Dopo aver aperto la console (disponibile nel menu Amministrazione), prima di tutto esegui sincronizzazione manuale per scaricare tutti gli aggiornamenti attualmente disponibili per i prodotti selezionati. A seconda di cosa e quanto hai scelto durante la configurazione, nonché della velocità della tua connessione, l'operazione potrebbe richiedere molto tempo.

Mentre la sincronizzazione è in corso, configuriamo i PC client. Se è stato distribuito Active Directory, è possibile farlo utilizzando i criteri di gruppo. Aprire Gestione criteri di gruppo, selezionare l'oggetto richiesto, fare clic con il pulsante destro del mouse, quindi fare clic su Modifica. Nella finestra che si apre, seleziona Configurazione computer - Criteri - Modelli amministrativi - Windows Update. Siamo interessati all'opzione Specificare la posizione del servizio di aggiornamento Microsoft sull'Intranet. Lo passiamo alla posizione Abilitato e specifichiamo il percorso del nostro server WSUS nel formato http:\\NOME_SERVER.

Ti consigliamo inoltre di impostare l'opzione Impostazioni di aggiornamento automatico, che si replica completamente impostazione simile sui PC client. Dopo il tempo necessario per aggiornare i criteri di gruppo, i computer sulla rete inizieranno a connettersi al server e a ricevere gli aggiornamenti.

Se la tua rete ha una struttura peer-to-peer, dovrai configurare ciascun PC individualmente. Questo viene fatto tramite l'Editor Criteri di gruppo locali (Start - Esegui - gpedit.msc), il processo di installazione stesso è completamente simile a quello descritto sopra.

Puoi controllare il numero di PC e il loro stato nella sezione Computer della console di amministrazione.

Ci sono informazioni sufficienti per valutare rapidamente la situazione generale e prestare attenzione alle aree problematiche. Le croci rosse indicano che si sono verificati errori di aggiornamento su questi PC; ciascuno di questi casi deve essere trattato separatamente. Per ogni aggiornamento viene generato un report dettagliato contenente tutti i dati necessari per analizzare il problema.

Consigliamo inoltre di dividere il proprio PC in gruppi; ad ogni gruppo è possibile assegnare la propria policy di aggiornamento. Quindi dentro gruppo separatoè possibile selezionare solo i server per i quali è possibile effettuare l'installazione automatica aggiornamenti critici sicurezza.

Eccoci arrivati ​​ad un altro impostazione importante server: approvazione automatica. I PC client possono ricevere solo aggiornamenti approvati, ma eseguire tutto manualmente ogni volta non è realistico, quindi alcuni aggiornamenti possono essere approvati automaticamente. Apriamo Impostazioni - Approvazioni automatiche e attiviamo la policy già presente, che consente di installare automaticamente gli aggiornamenti critici e di sicurezza.

Qui puoi creare le tue regole e assegnarle a qualsiasi gruppo di PC. Ad esempio, abbiamo creato una regola: approva automaticamente tutti gli aggiornamenti di MS Office per il gruppo Workstation.

Puoi visualizzare tutti gli aggiornamenti disponibili nella sezione Aggiornamenti e qui puoi approvarli manualmente. Ti consigliamo di avere uno o più PC di prova (sono possibili quelli virtuali) e di testare su di essi gli aggiornamenti e i nuovi pacchetti di funzionalità, e solo dopo approvare gli aggiornamenti per l'installazione. È possibile approvare gli aggiornamenti sia per tutti i PC che per un gruppo; ad esempio abbiamo approvato l'installazione del pacchetto Silverlight per il gruppo Workstation.

Nell'ambito della manutenzione del server, è opportuno pulirlo di tanto in tanto (circa una volta al mese). Ciò consentirà di evitare di aumentare eccessivamente le dimensioni del database eliminando gli aggiornamenti non reclamati, non più necessari e non approvati.

Come installare il disco Yandex su un computer

In uno degli articoli precedenti abbiamo descritto la procedura nel dettaglio. Dopo aver configurato il server, è necessario configurare i client Windows (server e workstation) per utilizzare il server WSUS per ricevere gli aggiornamenti in modo che i client ricevano gli aggiornamenti dal server di aggiornamento interno anziché da Server Microsoft Aggiornamento tramite Internet. In questo articolo esamineremo la procedura per configurare i client per utilizzare un server WSUS utilizzando Criteri di gruppo dominio attivo Direttorio.

I criteri di gruppo AD consentono a un amministratore di assegnare automaticamente i computer a diversi gruppi WSUS, eliminando la necessità di spostare manualmente i computer tra i gruppi nella console WSUS e di mantenere aggiornati tali gruppi. L'assegnazione dei client a diversi gruppi di destinazione WSUS si basa su un'etichetta del registro sul client (le etichette vengono impostate da Criteri di gruppo o modificando direttamente il registro). Questo tipo di assegnazione dei client ai gruppi WSUS viene chiamato clientelatotargeting(Targeting lato client).

Si presuppone che la nostra rete utilizzerà due diverse politiche di aggiornamento: una politica di installazione degli aggiornamenti separata per i server ( Server) e per le postazioni di lavoro ( Postazioni di lavoro). Questi due gruppi devono essere creati nella console WSUS nella sezione Tutti i computer.

Consiglio. La policy relativa al modo in cui i client utilizzano il server di aggiornamento WSUS dipende in gran parte da struttura organizzativa UO in Active Directory e aggiornare le regole di installazione nell'organizzazione. In questo articolo vedremo solo opzione privata per aiutarti a comprendere i principi di base dell'utilizzo dei criteri AD per installare gli aggiornamenti di Windows.

Prima di tutto, devi specificare una regola per raggruppare i computer nella console WSUS (targeting). Per impostazione predefinita, nella console WSUS, i computer vengono distribuiti manualmente dall'amministratore in gruppi (destinazione lato server). Non siamo soddisfatti di questo, quindi sottolineeremo che i computer sono distribuiti in gruppi in base al targeting lato client (tramite una chiave specifica nel registro del client). Per fare ciò, nella console WSUS, vai alla sezione Opzioni e aprire il parametro Computer. Modificare il valore in Utilizzare criteri di gruppo o impostazioni del registro sui computer(Utilizzare criteri di gruppo o impostazioni del registro sui computer).

È ora possibile creare un oggetto Criteri di gruppo per configurare i client WSUS. Aprire la console Gestione criteri di gruppo del dominio e creare due nuovi criteri di gruppo: ServerWSUSPolicy e WorkstationWSUSPolicy.

Criteri di gruppo WSUS per server Windows

Iniziamo con una descrizione della politica del server ServerWSUSPolicy.

Le impostazioni dei criteri di gruppo responsabili del funzionamento del servizio Windows Update si trovano nella sezione GPO: ComputerConfigurazione -> Politiche-> Amministrativomodelli-> FinestreComponente-> FinestreAggiornamento(Configurazione computer -> Modelli amministrativi -> Componenti di Windows -> Windows Update).

Nella nostra organizzazione prevediamo di utilizzare questa policy per installare gli aggiornamenti WSUS sui server Windows. Si prevede che tutti i computer coperti da questo criterio verranno assegnati al gruppo Server nella console WSUS. Inoltre, vogliamo impedire l'installazione automatica degli aggiornamenti sui server quando vengono ricevuti. Il client WSUS deve semplicemente scaricare gli aggiornamenti disponibili sul disco, visualizzare un avviso per i nuovi aggiornamenti nella barra delle applicazioni e attendere che un amministratore avvii l'installazione (manualmente o in remoto utilizzando ) per avviare l'installazione. Ciò significa che i server di produzione non installeranno automaticamente gli aggiornamenti e non si riavvieranno senza l'approvazione dell'amministratore (questo lavoro viene solitamente eseguito amministratore di sistema nell’ambito della manutenzione programmata mensile). Per implementare tale schema, imposteremo le seguenti politiche:

• ConfiguraAutomaticoAggiornamenti(Impostazione dell'aggiornamento automatico): Abilitare. 3 – AutomaticoscaricamentoEavvisareperinstallare(Scarica automaticamente gli aggiornamenti e ti avvisa quando sono pronti per l'installazione)– il client scarica automaticamente i nuovi aggiornamenti e avvisa della loro disponibilità;
• SpecificareIntranetMicrosoftaggiornamentoservizioposizione(Specificare il percorso intranet di Microsoft Update): Abilitare. Imposta il servizio di aggiornamento intranet per il rilevamento degli aggiornamenti: http://srv-wsus.site:8530, Imposta il server delle statistiche intranet: http://srv-wsus.site:8530– qui devi specificare l’indirizzo del tuo server WSUS e del server statistico (di solito sono gli stessi);
• Nessun riavvio automatico con gli utenti registrati per installazioni di aggiornamenti automatici pianificati(Non eseguire riavvio automatico durante l'installazione automatica degli aggiornamenti se sono presenti utenti nel sistema): Abilitare– vietare il riavvio automatico quando è presente una sessione utente;
• Abilitarecliente-latotargeting ( Consenti al cliente di unirsi al gruppo target): Abilitare. Nome del gruppo target per questo computer gruppo target per questo computer): Server– nella console WSUS, assegnare i client al gruppo Server.

Nota. Quando imposti una politica di aggiornamento, ti consigliamo di familiarizzare attentamente con tutte le impostazioni disponibili in ciascuna delle opzioni nella sezione GPO FinestreAggiornamento e imposta i parametri adatti alla tua infrastruttura e organizzazione.

Criteri di installazione degli aggiornamenti WSUS per workstation

Partiamo dal presupposto che gli aggiornamenti sulle postazioni di lavoro client, contrariamente alla politica del server, verranno installati automaticamente di notte subito dopo aver ricevuto gli aggiornamenti. Dopo aver installato gli aggiornamenti, i computer dovrebbero riavviarsi automaticamente (avvisando l'utente con 5 minuti di anticipo).

In questo GPO (WorkstationWSUSPolicy) specifichiamo:

• PermettereAutomaticoAggiornamentiimmediatoinstallazione(Consenti l'installazione immediata degli aggiornamenti automatici): Disabilitato- divieto di installazione immediata degli aggiornamenti una volta ricevuti;
• Permetterenon-amministratoriAricevereaggiornamentonotifiche(Consenti agli utenti non amministratori di ricevere notifiche di aggiornamento): Abilitato- visualizzare un avviso ai non amministratori sui nuovi aggiornamenti e consentirne l'installazione manuale;
• Configura Aggiornamenti automatici:Abilitato. Configura l'aggiornamento automatico: 4 - Download automatico e pianificazione dell'installazione. Giorno di installazione pianificato: 0 - Ognigiorno. Orario di installazione pianificato: 05:00 – quando vengono ricevuti nuovi aggiornamenti, il client li scarica nella cache locale e ne pianifica l'installazione automatica alle 5:00;
• Nome del gruppo target per questo computer: Postazioni di lavoro– nella console WSUS, assegnare il client al gruppo Workstation;
• Nessun riavvio automatico con gli utenti connessi per le installazioni di aggiornamenti automatici pianificati: Disabilitato- il sistema si riavvierà automaticamente 5 minuti dopo il completamento dell'installazione dell'aggiornamento;
• Specificare Intranet Aggiornamento Microsoft ubicazione del servizio: Abilitare. Imposta il servizio di aggiornamento intranet per il rilevamento degli aggiornamenti: http://srv-wsus.site:8530, Imposta il server delle statistiche intranet: http://srv-wsus.site:8530–indirizzo del server WSUS aziendale.

Su Windows 10 1607 e versioni successive, anche se hai chiesto loro di ricevere aggiornamenti da WSUS interno, potrebbero comunque tentare di accedere Server Windows Aggiornamento su Internet. Questa "funzionalità" si chiama DoppioScansione. Per disattivare la ricezione degli aggiornamenti da Internet, è inoltre necessario abilitare il criterio FarenonpermettereaggiornamentodifferimentopoliticheAcausascansionicontroFinestreAggiornamento ().

Consiglio. Per migliorare il "livello di applicazione delle patch" dei computer in un'organizzazione, entrambi i criteri possono essere configurati per forzare l'avvio del servizio di aggiornamento (wuauserv) sui client. Per fare ciò, nella sezione Configurazione computer -> Criteri-> Impostazioni di Windows -> Impostazioni di sicurezza -> Servizi di sistema Trova il servizio Windows Update e impostalo per l'avvio automatico ( Automatico).

Assegnazione di criteri WSUS alle unità organizzative di Active Directory

Il passaggio successivo consiste nell'assegnare le policy create ai contenitori Active Directory (UO) appropriati. Nel nostro esempio, la struttura dell'unità organizzativa nel dominio AD è la più semplice possibile: ci sono due contenitori: Server (contiene tutti i server dell'organizzazione, oltre ai controller di dominio) e WKS (Workstation – computer degli utenti).

Consiglio. Stiamo considerando solo un'opzione abbastanza semplice per vincolare le politiche WSUS ai clienti. IN organizzazioni realiè possibile associare una policy WSUS a tutti i computer del dominio (l'oggetto Criteri di gruppo con le impostazioni WSUS è collegato alla radice del dominio), distribuito vari tipi client in diverse unità organizzative (come nel nostro esempio: abbiamo creato diverse policy WSUS per server e workstation), in domini distribuiti di grandi dimensioni è possibile associare o assegnare oggetti Criteri di gruppo in base o combinare i metodi di cui sopra.

Per assegnare una policy a un'unità organizzativa, fare clic sull'unità organizzativa desiderata nella Console Gestione criteri di gruppo e selezionare la voce di menu Collegamento come oggetto Criteri di gruppo esistente e seleziona la policy appropriata.

Consiglio. Non dimenticare un'unità organizzativa separata con controller di dominio (controller di dominio), nella maggior parte dei casi la policy "server" WSUS deve essere assegnata a questo contenitore.

Esattamente allo stesso modo, è necessario assegnare la policy WorkstationWSUSPolicy al contenitore AD WKS in cui si trovano le workstation Windows.

Non resta che aggiornare le policy di gruppo sui client per associare il client al server WSUS:

Tutte le impostazioni del sistema di aggiornamento di Windows configurate utilizzando i criteri di gruppo dovrebbero essere visualizzate nel registro del client nel ramo HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Dato file di registro può essere utilizzato per trasferire le impostazioni WSUS ad altri computer che non possono configurare le impostazioni di aggiornamento utilizzando GPO (computer in un gruppo di lavoro, segmenti isolati, DMZ, ecc.)

Finestre Editor del registro Versione 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"Gruppo target"="Server"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

È inoltre utile controllare le impostazioni WSUS applicate sui client utilizzando rsop.msc.

E dopo un po' di tempo (a seconda del numero di aggiornamenti e larghezza di banda canale al server WSUS) è ​​necessario controllare la barra delle applicazioni per le notifiche pop-up sulla presenza di nuovi aggiornamenti. Nella console WSUS, i client dovrebbero essere visualizzati nei gruppi appropriati (in forma tabellare visualizza il nome del client, l'IP, il sistema operativo, la percentuale di "patchness" e la data dell'ultimo aggiornamento di stato). Perché Abbiamo assegnato computer e server a vari gruppi WSUS in base ai criteri; riceveranno solo gli aggiornamenti approvati per l'installazione nei gruppi WSUS corrispondenti.

Nota. Se gli aggiornamenti non vengono visualizzati sul client, si consiglia di esaminare attentamente il registro del servizio Windows Update sul client problematico (C:\Windows\WindowsUpdate.log). Tieni presente che Windows 10 (Windows Server 2016) utilizza . Il client scarica gli aggiornamenti nella cartella locale C:\Windows\SoftwareDistribution\Download. Per iniziare la ricerca di nuovi aggiornamenti sul server WSUS, è necessario eseguire il comando:

wuauclt/detectnow

Inoltre, a volte è necessario registrare nuovamente forzatamente il client su server WSUS:

wuauclt /detectnow /resetAuthorization

In casi particolarmente difficili, puoi provare a riparare il servizio wuauserv. In tal caso, provare a modificare la frequenza di controllo degli aggiornamenti sul server WSUS utilizzando il criterio di frequenza di rilevamento degli aggiornamenti automatici.

Nel prossimo articolo ne descriveremo le caratteristiche. Ti consigliamo inoltre di leggere l'articolo tra gruppi su un server WSUS.