Configurarea clienților WSUS folosind politici de grup.

A fost descris procesul de instalare pentru acest serviciu de rețea. Această postare descrie procesul de configurare a computerelor pentru a se actualiza de pe serverele WSUS disponibile pentru dvs.

Configurarea computerelor de grup de lucru sau a serverelor autonome

Pentru a configura computerele în acest caz, veți avea nevoie de snap-in Editor de obiecte de politică de grup. Pentru a-l deschide, procedați în felul următor:

1. 1. Deschideți meniul Start - Run. În linia „deschisă” – tastați „mmc” - apoi OK
2. 2. În consola MMC, deschideți meniul Fișier – Adăugați sau eliminați snap-in...
3. 3. Selectați snap-in „Editor de obiecte de politică de grup” - Terminat - OK
4. 4. Dorim să creăm o regulă pentru a actualiza sistemul de operare al computerului. Prin urmare, în partea dreaptă a editorului, în stupul „Configurație computer”, deschideți ramura Politici – Șabloane administrative – Componente Windows – Actualizare Windows
5. 5. În partea dreaptă a ferestrei editorului veți vedea reguli care descriu comportamentul computerelor în ceea ce privește procesele de actualizare. Selectați regula „Configurați actualizarea automată”.
6. 6. În fereastra de setări de actualizare automată, activați regula și specificați parametrii. În mod implicit, modul de setare nr. 3 va fi selectat - notificare automată de descărcare și instalare. În acest caz, instalarea va fi efectuată numai după confirmarea actualizării. De asemenea, este posibil să instalați actualizări într-un program. După finalizarea setărilor, faceți clic pe butoanele „Aplicați” și „Setarea următoare”.
7. 7. Următorul parametru va fi regula „Specificați locația serviciului de actualizare Microsoft pe intranet”, unde trebuie să specificați locația serviciului de actualizare, precum și serverul de statistici (de obicei, acesta este același server). Faceți clic pe OK În principiu, este suficient. Dar puteți, de asemenea, să reglați fin procesul de actualizare. După ce ați citit sfaturile încorporate pentru reguli, veți înțelege de ce aveți nevoie.
8. 8. Închideți dispozitivul de fixare

Toate... regulile vor intra în vigoare imediat.

În general, puteți configura computerele de domeniu în acest fel. Dar dacă administratorul de rețea a făcut deja aceste setări la nivel de domeniu, atunci regulile de mai sus nu se vor aplica, deoarece acestea vor fi înlocuite de politicile grupului de domenii.

Configurarea computerelor de domeniu

Pentru a configura computerele de domeniu pentru a se actualiza de pe un server WSUS corporativ, trebuie să aveți drepturi de administrator de domeniu Windows.

Pentru a configura, veți avea nevoie de snap-in GPMC (Group Policy Management Console).

Pe computerele care rulează Windows 7, este mai bine să instalați snap-in-ul cu kitul de administrare la distanță RSAT (există o versiune localizată). După instalarea kitului de administrare la distanță, nu uitați să activați componentele de control necesare (Panou de control - Programe și caracteristici - Porniți sau dezactivați componentele Windows)

Trebuie să faceți următoarele:
1. Rulați utilizând meniul Start - Run - GPMC.msc

2. Deschideți ramura Domains – Domain_Name – Group Policy Objects și faceți clic dreapta pe meniul „Creare”
3. În câmpul „Nume”, specificați numele noului obiect de politică de grup (să fie „Politica de grup WSUS”), apoi OK
4. În fereastra din dreapta a snap-in-ului, găsiți numele obiectului dvs. și faceți clic dreapta pe meniul „Editare”. Se deschide snap-in-ul Editor de gestionare a politicilor de grup.
5. În continuare, trebuie să urmați aceiași pași ca cei descriși în secțiunea anterioară.

Deci, obiectul de politică de grup (GPO) a fost creat, dar GPO-ul creat este încă doar o declarație simplă. Pentru ca instrucțiunea să funcționeze, trebuie să legați acest GPO la containerul Windows AD corespunzător. Aceste computere de domeniu care se află în acest container vor executa aceste instrucțiuni (adică, actualizarea). Acest container poate fi un întreg domeniu, site sau departament.
Ce recipient să alegi depinde de tine. Dar criteriile sunt următoarele:

• -- Dacă doriți ca toate computerele din domeniul dvs. să fie actualizate, conectați GPO-ul la domeniu
• -- Dacă doriți să actualizați doar o parte din computere, de exemplu, servere individuale, creați o divizie în domeniu, plasați serverele necesare acolo și conectați-vă la această divizie
• -- Dacă rețeaua dvs. are mai multe site-uri în orașe diferite, atunci subrețelele acestor site-uri ar trebui să aparțină unor site-uri separate. În acest caz, pentru a nu încărca canale de comunicare între site-uri, este logic să instalați propriul server WSUS pe fiecare site și să creați un GPO separat pentru fiecare site care să indice în mod specific acesta. În viitor, ar trebui să le legați la site-urile corespunzătoare (vezi figura de mai jos)

Următorii pași descriu procesul de conectare a GPO-urilor pe care le-ați creat la containerele Windows AD adecvate.

Să presupunem că decideți să actualizați toate computerele dintr-un domeniu.

1. Apoi, în snap-in-ul „Gestionarea politicii de grup” deschis anterior, în partea stângă a ferestrei, deschideți ramura „Pădure: Nume_Pădure – Domenii – Nume_Domeniu”
2. Faceți clic dreapta pe numele dvs. de domeniu și selectați meniul „Conectați un GPO existent...”.
3. În fereastra „Select Group Policy Object”, găsiți GPO-ul corespunzător, pe care l-am numit anterior „WSUS Group Policy” și faceți clic pe OK.

Filtre WMI pentru GPO

Consider că este o practică bună să actualizezi sistemele de operare client și server folosind politici separate de grup de domenii. În acest caz, pornesc de la faptul că:

• - OS server este mai bine să actualizați manual ca parte a întreținerii programate (în acest caz, prudența este destul de adecvată);
• - sistemul de operare client Este mai bine să actualizați automat. Actualizarea lor manuală cu o flotă mare de computere este foarte problematică, iar utilizatorii este puțin probabil să facă acest lucru (chiar dacă le arăți cum).

Ce trebuie făcut pentru asta?

Mai întâi, ar trebui să creați GPO-uri separate în snap-in-ul GPMC.msc, de exemplu

• Politica de grup ServerOS WSUS
• Politica de grup ClientOS WSUS

și configurați-le pentru manual (descărcare automată și notificare de instalare) și, respectiv, modurile de actualizare automată a sistemului de operare.

În al doilea rând, creați două filtre WMI în același snap-in. Aceste filtre vor determina care dintre GPO-urile de mai sus vor fi în vigoare atunci când actualizați fiecare computer din rețeaua dvs.

În al treilea rând, puteți asocia filtre WMI cu GPO-urile corespunzătoare, iar ambele GPO-uri pot fi acum asociate direct cu un domeniu sau site (după cum doriți).

Cum se creează filtre

În snap-in-ul GPMC deja deschis, accesați filiala Forest - Domenii - _Nume_domeniu_ - Filtre WMI. Faceți clic dreapta pe „Creați” pentru a crea un filtru cu numele Sisteme de operare server și DC

Adăugăm o solicitare în spațiul root\CIMv2

Politica de grup ServerOS WSUS„funcționează numai cu computere care rulează server OS Windows (inclusiv controlere de domeniu).

În mod similar, creați un filtru cu numele Sistemele de operare client

Adăugați o solicitare în root\CIMv2

Acest filtru va permite un GPO numit " Politica de grup ClientOS WSUS„funcționează numai cu computere care rulează sistemul de operare client Windows, indiferent de versiune (Windows 2000 pro, Windows XP, Vista, Windows 7 și Windows 8)

Filtrele sunt gata.

După cum am scris deja, trebuie să conectați un GPO Politica de grup ServerOS WSUSŞi Politica de grup ClientOS WSUS cu filtre adecvate. De exemplu, acest lucru se poate face după cum urmează: în ramura „Obiecte de politică de grup”, selectați GPO-ul dorit, apoi în dreapta jos „Filtru WMI” selectați filtrul dorit din lista derulantă.

Deci, acum computerele client ale domeniului vor fi actualizate automat, iar serverele vă vor aștepta cu ascultare atenția.

Aceasta completează configurarea.

Cum se verifică rezultatul?

Ca urmare a tuturor acțiunilor de mai sus, ne așteptăm să începem actualizarea acelei părți a computerelor de domeniu care, în opinia noastră, ar trebui să facă obiectul politicii configurate.

În primul rând, puteți căuta în jurnalele snap-in WSUS Server Management pentru intrări despre starea clienților de actualizare automată.

În al doilea rând, puteți verifica dacă politica configurată se aplică clienților WSUS. Deschideți Panoul de control - Windows Update și asigurați-vă că în partea dreaptă a ferestrei de actualizare apare următorul mesaj: „Controlat de administratorul de sistem” (pentru Windows 7/Vista/2008/2008R2) Dacă nu este cazul, politica nu este în vigoare.

Dar asta nu înseamnă că ai greșit undeva. Este posibil ca computerul să nu fi actualizat încă setările de la controlerul de domeniu.

Acest lucru se datorează faptului că politicile de grup de pe computerele de domeniu nu sunt aplicate instantaneu (actualizările GP în rețeaua locală apar în mod implicit la intervale de 15 minute, iar replicarea între site-uri are loc și mai rar)
Prin urmare, puteți pur și simplu să așteptați sau să actualizați politicile de grup pe computere cu comanda

Computerul client WSUS nu rulează serviciile necesare (cum ar fi Windows Update și Group Policy Client etc.)

GPO nu a funcționat pentru computerele individuale. În acest caz, va trebui să vă ocupați de fiecare separat. Recomand simularea efectului politicii de grup pe computerele cu probleme folosind același snap-in GPMC.msc. Acest lucru vă va permite să verificați dacă GPO-ul creat a fost aplicat computerului analizat. Din păcate, depanarea politicii de grup Windows AD depășește scopul acestei postări.

Ei bine, și cel mai important... jurnalul clientului WSUS este aici --> c:\Windows\WindowsUpdate.log

Servicii de actualizare Windows Server (WSUS) - server de actualizare pentru sistemele de operare și produsele Microsoft. O consolă foarte utilă dacă există mai mult de 10 computere în birou. Este util prin faptul că vă permite să „distribuiți” actualizări de pe UNUL server către toate computerele din rețea, adică nu fiecare computer individual trebuie să descarce canalul de Internet, dar un server descarcă actualizări și le „distribuie” în rețea pentru toate stațiile de lucru și serverele.

Inițial, în Windows 2003, a fost necesară descărcarea kitului de distribuție WSUS de pe site-ul Microsoft, odată cu apariția Ms Windows 2008 și Ms și Windows 2008 R 2, această nevoie a dispărut, deoarece A apărut rolul WSUS, deși se poate descărca kit-ul de distribuție de pe site-ul Microsoft la modă veche.

Pentru a instala, trebuie să îndepliniți cerințele minime, și anume:
Sistem de operare: Windows Server 2003 SP1 și o versiune ulterioară.
Roluri suplimentare de server: IIS 6.0 și o versiune ulterioară (pentru Windows Server 2008, atunci când adăugați un rol, vă va solicita să îl instalați)
Actualizări suplimentare ale sistemului de operare: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Programe suplimentare: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS poate instala serviciul Windows Internal Database).
Este necesar sa tii cont de spatiul de pe hard disk eu ti-as recomanda minim 100 GB, in functie de ce setari ai in WSUS.
Deci, indiferent de modul în care instalați (folosind o distribuție sau adăugând un rol), pașii vor fi aceiași.

După ce începe instalarea, trebuie să faceți clic pe Următorul de mai multe ori. Mă voi concentra pe pașii principali:
Indicăm unde vor fi stocate actualizările (disc cu cel puțin 100 GB spațiu liber)

Specificați folderul în care va fi stocată baza de date de actualizare (2-4 GB spațiu liber).

Un pas foarte important este alegerea portului pe care se va distribui update-ul implicit, se folosește portul 80, dar nu recomand să-l folosești, deoarece acest port este adesea folosit de alte aplicații. Este mai bine să creați un site web de servicii WSUS și să utilizați portul 8530.

După instalarea serviciului Wsus, trebuie să-l configurați corect din nou, să ne uităm la pașii de bază:
Alegem de unde vom obține actualizări, dacă acesta este primul server cu Wsus, atunci selectăm sincronizarea din Microsoft Update Center.

Limbile pe care le alegeți ar trebui să fie engleza (obligatoriu) + acele limbi care se găsesc în rețeaua dvs.

Selectăm produsele care vor fi actualizate (ar trebui să le indicați doar pe cele pe care le utilizați, altfel actualizările fără sens vor ocupa spațiu pe hard disk).

Selectați clasele de produse care vor fi actualizate.

Setările de bază sunt finalizate, să trecem la setări suplimentare, configurarea directă a consolei WSUS Pentru comoditate, aș recomanda crearea a 2 grupuri de computere, un grup va avea servere, celălalt va avea stații de lucru (acest lucru se face astfel încât. poate limita instalarea de actualizări pentru servere).

Inițial, toate computerele vor fi localizate în Calculatoare nealocate, apoi trebuie să mutați manual computerele în grupurile necesare. Pentru stațiile de lucru, recomand să instalați toate actualizările pentru a face acest lucru, accesați „; Opțiuni - Aprobari automate" și faceți următoarea regulă.

Și pentru servere, facem o regulă pentru a aproba doar actualizările critice (Pentru servere, nu este foarte recomandat să instalați toate actualizările, deoarece acest lucru poate cauza întreruperi în funcționarea lor, am întâlnit asta de mai multe ori).

Acum este necesar să faceți modificări la toate computerele din rețea, astfel încât acestea să știe de unde să „obțină” actualizări. Acest lucru se face folosind politici de grup. Accesați controlerul de domeniu " Start - Instrumente administrative - Gestionare politici de grup" Selectați politica care funcționează în domeniu (politica de grup implicită) sau creați una nouă. Faceți clic dreapta și selectați „ Schimba" In fereastra" Editor de gestionare a politicilor de grup"Să mergem" Configurare computer – Politici – Șabloane administrative – Componente Windows – Actualizare Windows" Mai jos sunt setări gata făcute și testate. Unde este linia roșie, introduceți numele sau adresa IP a serverului dvs. pe care este instalat WSUS.

în rusă:

Dacă în infrastructură există stații de lucru care nu fac parte din domeniu (de exemplu, stații de lucru mobile), dar serviciul de actualizare pentru aceste stații de lucru este necesar, atunci este posibil să specificați acest serviciu în " Politica locală de securitate».
La linia de comandă, tastați gpedit.msc și efectuați aceleași operațiuni descrise mai sus pentru politica de grup din domeniu.
La câteva minute după toate procedurile, computerele din rețea vor începe să apară în consola Wsus din grupul Calculatoare nealocate. În funcție de sistemul lor de operare, îi mutați în grupul dorit (Server sau Grup de lucru). Permiteți-mi să vă reamintesc că, conform setărilor noastre, toate actualizările vor fi instalate pe computerele care se află în Workgroup, doar pe cele critice pentru servere.

Pentru a reduce traficul în rețelele distribuite geografic ale companiilor mari, se recomandă utilizarea scriptului de instalare a serverului de actualizare wsus cu suport pentru servere slave primare și multiple. Acest scenariu vă permite să reduceți semnificativ încărcarea pe canalele de transmisie a datelor și să utilizați un punct centralizat pentru gestionarea actualizărilor și a rapoartelor.

Arhitectura soluției

Există un birou central și mai multe site-uri distribuite geografic, interconectate prin canale private virtuale (VPN). Site-ul A este site-ul central care descarcă actualizări și le distribuie către site-urile subordonate (Site B, Site C). Serverele slave trimit toate informațiile despre starea clienților lor către site-ul central. Vom folosi un server MS SQL dedicat ca server de baze de date.

Implementarea

Ne vom desfășura pe teritoriul biroului central Windows Server 2012 R2 cu rolul Serviciul de actualizare Windows Server(WSUS), pentru aceasta trebuie să selectați instalarea în Server Manager roluri şi componente.

Tip de instalare: instalarea de roluri sau componente.

Să selectăm un server local pe care implementăm rolul de server WSUS.

Bifați caseta de lângă serviciu Serviciul de actualizare Windows Server.

Să adăugăm componentele necesare.

În etapa de selecție a componentelor este necesar refuza de la instalare Baza de date internă Windows.

Să scoatem componentele.

În captura de ecran de mai jos, vedem că componenta Baza de date internă Windows nu va fi instalat. Clic Următorul.

Ecranul Servicii de rol oferă două baze de date din care să alegeți. Unul dintre ele este baza de date și baza de date WID. Baza de date WID nu este altceva decât Baza de date internă Windows este o variantă a SQL Server Express 2005 inclusă cu Windows Server 2008 și, de asemenea, inclusă cu alte produse Microsoft gratuite. Deoarece noi, conform arhitecturii noastre, plănuim să folosim o bază de date externă, vom alege Baza de date.

Vom indica calea către folderul în care vom stoca actualizările și patch-urile descărcate.

La scenă instanță de bază de date specificați adresa serverului SQL și apăsați butonul verificarea conexiunii.

Dacă verificarea se încheie cu succes, acest lucru va fi indicat prin mesaj Conexiunea la server a avut succes, poti continua Următorul.

Setări suplimentare sau instalarea componentelor serviciului de rol server web nu necesită, așa că faceți clic Următorul.

Să ne bucurăm de procesul de instalare......

Apoi apăsați butonul Aproape.

Și să trecem la setare primar server de actualizare. Pentru a face acest lucru, deschideți instrumentele și selectați din lista verticală Serviciul de actualizare Windows Server.

Pentru a finaliza instalarea, trebuie să specificați instanța bazei de date și calea către directorul de actualizare.

Odată ce sarcinile post-instalare sunt finalizate, se va deschide expertul. Setări Windows Server Update Services. Procesul de configurare detaliat este descris în, dar suntem interesați de configurarea serverelor slave.

Configurarea unui server slave

Pentru a conecta serverul slave wsus la serverul primar, trebuie să rulați Expertul de configurare a serverului și în vrăjitor, în secțiunea selectarea unui server din amonte specificați numele serverului principal. Conform recomandării Microsoft, specificați să utilizați SSL în timpul sincronizării și rețineți că acest server este o replică.

Ca urmare a acestor setări, parametrii suplimentari ai asistentului vor deveni inactivi și toată gestionarea actualizărilor și a grupurilor de computere se va muta pe un server de nivel superior. Să facem o procedură similară pentru serverele slave rămase.

Începeți sincronizarea datelor, după care toate datele vor fi descărcate pe serverul slave. actualizări aprobate de serverul din amonte, precum și grupuri de computere.

Concluzie

Într-un scenariu în care utilizați un server din amonte și mai multe servere din aval, toate acțiunile de aprobare a actualizărilor, revocarea acestora și crearea de grupuri de computere sunt efectuate pe serverul din amonte, ceea ce reduce semnificativ timpul de întreținere. servere WSUS. De asemenea, beneficiați de o gestionare centralizată a actualizărilor și rapoartelor, deoarece serverele subordonate trimit toate datele către serverul superior.

Proprietarii de rețele de calculatoare s-au confruntat cel puțin o dată cu problema actualizării programelor. A face acest lucru pe cont propriu, fără ajutorul unui software special, este aproape imposibil, deoarece este nevoie de o perioadă incredibilă de timp. Iar timpul este cea mai valoroasă resursă. Dacă ar exista un serviciu care să ajute la rezolvarea acestei probleme prin automatizarea procesului de căutare, actualizare și instalare de noi versiuni ale tuturor programelor companiei.

Un astfel de sistem există. Microsoft a lansat Windows Server Update Services încă din 2005. Scopul său principal este de a corela și actualiza produsele Microsoft în întreaga rețea de calculatoare. Mai mult, dimensiunea acestuia din urmă nu joacă niciun rol. Puteți instala și configura WSUS pentru două computere sau pentru câteva sute. Totul depinde doar de cerințele dvs. Versiuni noi sunt lansate și acceptate până în prezent

Cerințe de sistem

Configurarea WSUS pe Server 2012 nu necesită ca utilizatorul să aibă cunoștințe aprofundate despre programare și rețele de calculatoare. Interfața este intuitivă și convenabilă. Accentul se pune pe o gamă largă de oameni care își vor folosi produsul.

În plus, cerințele pentru funcționarea normală a serviciului sunt destul de scăzute, mai ales la standardele moderne. De exemplu, pentru a menține performanța ridicată a unui server a cărui rețea include până la cinci sute de computere, dimensiunea recomandată a RAM ar trebui să fie de cel puțin 1 GB. Iar viteza procesorului este peste 1 GHz. De acord, chiar și computerele vechi de birou au performanțe grozave.

Pregătiți tot ce aveți nevoie pentru WSUS

Deci, ați decis să utilizați WSUS pentru rețelele dvs. Instalarea și configurarea nu ar trebui să fie dificile dacă vă pregătiți corespunzător computerul pentru aceasta.

• Asigurați-vă că formatați partiția discului pe care urmează să instalați WSUS, precum și cea destinată sistemului, în NTFS.
• Asigurați-vă că computerul are cel puțin 1 gigaoctet de memorie RAM.
• În funcție de numărul de computere din rețea, alocați spațiul liber necesar pe disc. Pentru rețelele mici, este necesar un minim de 6 gigaocteți. Pe baza experienței utilizatorului, se recomandă alocarea a 30 de gigaocteți de memorie pe discul pe care vor fi stocate datele WSUS. Serviciul va descărca și instala software suplimentar, așa că este mai bine să adăugați mai multă memorie și să fiți sigur de funcționarea stabilă decât să regretați și să verificați constant funcționarea acestuia.

Componentele necesare

Nu uitați că WSUS este un sistem de actualizare a programelor și trebuie instalat pe un sistem de operare Windows. Pregătiți și alte componente din această listă înainte de instalare:

1. Microsoft Internet Information Services (IIS) 6.0.
2. Microsoft .NET Framework 1.1 Service Pack 1 sau o versiune ulterioară.
3. Serviciu de transfer inteligent de fundal (BITS) 2.0.

Pe lângă pregătirea serverului, trebuie să activați toate computerele client din rețea. Activați serviciul de actualizare automată pentru ele. Este prezent în toate sistemele de operare Microsoft. După finalizarea acestei etape pregătitoare, puteți trece în siguranță la următoarea.

Procesul de instalare

Puteți instala serviciul WSUS numai dacă aveți drepturi de administrator. Prin urmare, conectați-vă cu un cont de administrator. După aceea, rulați WSUSSetup. Are extensia .exe și cântărește destul de mult - aproximativ 130 de megaocteți.

Se va deschide fereastra standard Instalare Expert. În el, citiți și acceptați acordul de licență. În fereastra următoare veți putea selecta sursa de actualizare. Puteți alege să stocați datele local pe server sau să le descărcați de pe site-urile Microsoft.

Pentru a economisi trafic, este recomandat să setați tipul local. În acest caz, nu numai că vei reduce costurile de internet ale companiei, dar vei crește și viteza de instalare a actualizărilor pe computerele client. Nu ar trebui să acordați prea multă importanță acestei alegeri, veți avea în continuare posibilitatea de a o configura ulterior, la discreția dvs.

Următoarea fereastră vă solicită să selectați ce parametri vor fi setați pentru bazele de date:

1. WMSDE va ​​fi, de asemenea, instalat împreună cu WSUS. Este inclus în program și nu trebuie să plătiți pentru el. Prin urmare, majoritatea utilizatorilor îl instalează. Nu există niciun motiv să-l refuzi și, în plus, ajută la evitarea problemelor pe viitor.
2. În al doilea caz, WMSDE nu va fi instalat. În schimb, vor fi utilizate bazele de date Microsoft SQL existente. Dacă selectați acest element în timpul lucrului pe termen lung, pot apărea dificultăți, deoarece datele pot deveni învechite, iar atunci când o actualizare este lansată pe computere, actualizarea nu va fi imediat posibilă.

În fereastra următoare, vi se oferă posibilitatea de a alege site-ul Web care va utiliza serverul WSUS. Nu este necesară nicio configurație aici și, în majoritatea cazurilor, sunt utilizați parametrii standard sugerați. Aceasta este gazda IIS și numărul portului 80.

În ultima fereastră de instalare, este selectat rolul de gestionare a serverului. Dacă acesta este primul și singurul server din rețeaua dvs., atunci nu ezitați să-l omiteți.

În cazul în care serverul nu este primul, fereastra „Setări de actualizare în oglindă” trebuie configurată corect. Dacă acest lucru nu se face, pot apărea conflicte între aceste servere. Pe al doilea server și pe următorul, bifați caseta și introduceți numele serverului care a fost instalat inițial.

Lansarea consolei de administrare

Imediat după instalarea cu succes a WSUS, utilizatorului i se solicită să lanseze consola de administrare. Acest lucru se poate face nu numai de pe server, ci și de pe orice alt computer din rețea. Dar merită să ne amintim că numai un utilizator care are drepturi de administrator poate face acest lucru. Consola se află la următoarea adresă: http://nume server/wsusadmin.

Configurarea WSUS

După instalare, puteți configura următoarele setări în WSUS:

• crearea unui grup de calculatoare;
• sincronizare;
• actualizare automată.

Crearea unui grup de calculatoare

Cel mai important punct de care nu se poate face configurarea WSUS 2012 r2 este crearea unui grup de computere. Acest lucru este necesar pentru actualizarea convenabilă a programelor pentru anumite computere care efectuează diferite sarcini.

Există două moduri de a adăuga computere la grupuri:

• Din partea serverului.
• Din partea clientului.

Cum sunt ele diferite? Posibilitate de automatizare a proceselor. În primul caz, va trebui să atribuiți manual fiecare computer individual folosind consola. În al doilea caz, va trebui să configurați politica de grup și registrul sistemului de operare.

Pentru a adăuga computere, deschideți pagina cu setările acestora. Apoi, selectați metoda de destinație.

Pentru a crea un grup, deschideți fila Calculatoare din consolă. Există un buton „Creați un grup de computere”. Va fi creat un grup la care computerele sunt deja adăugate în funcție de cerințele dumneavoastră.

Configurarea setărilor de sincronizare

Odată ce grupurile sunt create, configurarea WSUS necesită să selectați opțiuni pentru descărcarea actualizărilor. Puteți alege să începeți sincronizarea manual sau automat, conform unui program specificat.

Deschideți secțiunea „Produse și clase” și selectați programele care trebuie actualizate. Pentru a transfera actualizări de pe server pe computere, selectați programele care îndeplinesc cerințele din liste.

În acest fel, puteți descărca nu numai programe, ci și multe altele: drivere, remedieri critice pentru sistemele de operare, pachete de servicii, chei pentru sistemele de securitate. Puteți modifica oricând aceste setări.

Configurarea surselor de actualizare

Dacă WSUS este instalat pentru prima dată și nu există alte servere, lăsați totul ca implicit. Descărcarea se va face de pe site-ul oficial Microsoft Update.

Dacă serverul nu este primul, atunci specificați datele principale WSUS.

Configurarea aprobării automate

Un alt parametru important de automatizare a procesului este aprobarea automată. Acest lucru vă va permite să nu fiți distras și să nu fiți nevoit să confirmați manual descărcarea și transferul de noi actualizări. Această setare WSUS se află în consolă.

Configurarea sincronizării

Ultimul pas în setarea parametrilor este sincronizarea. Verifică tot software-ul de rețea pentru a se asigura că este actualizat cu cele mai recente actualizări.

Dacă un computer este conectat la rețea, serverul va determina versiunea programelor de pe acesta și, dacă acestea diferă de cele mai recente, îi va trimite toate actualizările.

O scurtă postfață

După cum ați înțeles deja, instalarea este atât simplă, cât și simplă. Administratorul de sistem nu ar trebui să aibă probleme la instalarea și configurarea serverului. Se poate folosi orice versiune. Nu există nicio diferență unul față de celălalt nu există setări WSUS pentru Windows Server 2012 sau orice altă versiune. Fiecare versiune mai nouă funcționează mai rapid și mai stabil și utilizează resursele computerului mai eficient.

În același timp, serviciul este extrem de util și funcțional. Este pur și simplu indispensabil pentru întreprinderile de orice nivel. Cu WSUS puteți economisi nervi și timp prețios. Nu degeaba toată lumea recomandă să-l folosească.

Într-un articol anterior despre Windows Server Update Services, Planning a WSUS Architecture, am spus că este logic să folosim grupuri de computere pentru fiecare model de implementare a serverului WSUS. Grupurile vă permit să împiedicați implementarea actualizărilor care ar putea degrada sistemele de operare ale angajaților dvs. De exemplu, puteți crea grupuri de testare și pilotare a actualizărilor pentru a testa actualizări noi în laborator și le puteți implementa unei echipe de testare care are profesioniști IT cunoscători pentru a ajuta la identificarea și rezolvarea problemelor. În plus, puteți crea grupuri suplimentare pentru a implementa actualizări pentru diferite modele de computer, de exemplu, grupuri separate pentru servere de e-mail, pentru controlere de domeniu, precum și grupuri care vă vor include utilizatorii. Configurarea utilizatorilor în grupuri specifice vă permite să vă asigurați că fiecare computer primește actualizarea corectă de funcționare la convenția utilizatorului. Este de remarcat faptul că fiecare computer client poate fi configurat să se conecteze la un singur server de actualizare. Cu alte cuvinte, dacă organizația dvs. implementează un server WSUS suplimentar și computerul unui utilizator este redirecționat către al doilea server WSUS, computerul utilizatorului încetează automat conectarea la primul server. În ciuda acestui fapt, pe serverul de actualizare pe care clientul l-a folosit anterior, computerul client va rămâne în continuare în lista de computere și grupuri, iar serverul însuși vă va aminti periodic data la care computerul a fost conectat ultima dată la acest server.

În mod implicit, două grupuri sunt create pe serverele WSUS: „Toate computerele”Şi „Computere nealocate”, care include inițial toate computerele client conectate la serverul WSUS. Puteți crea grupuri manual, formând o așa-numită ierarhie. Numărul de grupuri nu poate fi limitat. În acest articol, veți afla despre procesul de creare a grupurilor, precum și despre cum să configurați computerele client folosind Politica de grup.

Crearea de grupuri de computere și atribuirea computerelor la grupuri de pe partea serverului

Crearea de grupuri de computere folosind un snap-in „Servicii de actualizare”– procesul este destul de simplu. Pentru a crea un grup suplimentar, urmați acești pași:

Dacă organizația dvs. nu folosește atribuiri la nivelul clientului folosind setările politicii de grup sau registrul de sistem pentru a atribui computere grupurilor de computere, puteți atribui computere client la grupuri din partea serverului folosind instrumente snap-in „Servicii de actualizare”. Pentru a atribui un computer unui grup de computere din partea serverului, urmați acești pași:

1. Într-o clipă „Servicii de actualizare”, în arborele consolei, extindeți nodurile "calculatoare"Şi „Toate computerele”, apoi selectați un grup „Computere nealocate”, unde trebuie afișate computerele care nu au fost alocate unor grupuri specifice;
2. Selectați computerul care ar trebui să fie plasat într-un anumit grup, faceți clic dreapta pe el și selectați comanda din meniul contextual „Schimbați calitatea de membru”;
3. În caseta de dialog „Configurarea apartenenței la grupuri de computere” bifați caseta pentru unul sau mai multe grupuri în care doriți să includeți computerul și faceți clic pe butonul "BINE".

Atribuirea computerelor client la grupuri de computere din partea clientului

În cele mai multe cazuri, este o practică obișnuită în organizații de a atribui computere client la grupuri de computere din partea clientului, și anume folosind politici de grup. Această metodă vă permite să atribuiți automat toate setările clienților care sunt adăugați în rețea. Înainte de a trece la procedura de atribuire a unui computer unui grup de computere folosind Politica de grup, să ne uităm la setările politicii de grup disponibile pentru gestionarea computerelor client Windows Server Update Services:

• Activați actualizările recomandate prin actualizări automate. Folosind această setare de politică de grup, puteți determina dacă Actualizările automate Windows vor furniza actualizări pe un computer client care sunt marcate ca importante și recomandate din Windows Update. Dacă dezactivați această opțiune, vor fi livrate numai actualizările importante;
• Activați notificarea despre disponibilitatea programelor. Această setare vă permite să afișați notificări detaliate și îmbunătățite de la serviciul Microsoft Update pentru utilizatorii dvs., făcând instalarea și utilizarea aplicațiilor suplimentare mai rapidă;
• Întârziere de repornire pentru instalările programate. Cu această setare, puteți specifica perioada de timp pe care sistemul de operare va aștepta înainte de a efectua o repornire programată. Această setare se aplică serviciului de actualizare automată numai dacă instalarea actualizării este configurată conform unui program, altfel va trebui să efectuați o repornire manuală. Dacă această setare de politică este dezactivată, computerul va aștepta 15 minute înainte de a reporni, dar dacă activați această setare, perioada de timp va fi modificată la 5 minute;
• Configurarea actualizărilor automate. Această setare de politică de grup vă permite să determinați modul în care computerul client primește actualizări ale sistemului de operare și ale aplicațiilor. Dacă activați această opțiune, va trebui să selectați una dintre cele patru opțiuni care îndeplinesc aceleași funcții ca și opțiunile din lista derulantă „Actualizări importante”în fereastra de setări Windows Update. Dacă selectați opțiunea „2 – notificare de descărcare și instalare”, apoi atunci când sistemul de operare detectează noi actualizări, va fi afișată o pictogramă în zona de notificare care indică faptul că puteți descărca și instala actualizări. Odată ce selectați actualizările pe care trebuie să le descărcați, acestea se vor descărca în fundal și va trebui să le instalați. Această opțiune este acceptabilă pentru actualizările de testare a personalului, precum și pentru unii utilizatori casnici, dar în niciun caz nu ar trebui să o alegeți pentru utilizatorii dintr-o organizație, deoarece cel mult unul din zece dintre utilizatorii dvs. va monitoriza starea sistemului de operare. Dacă setați parametrul, care este echivalent cu valoarea „Descărcați actualizări, dar decizia de instalare este luată de mine”în interfața grafică cu utilizatorul, apoi după ce sistemul de operare detectează noi actualizări, le va descărca automat pe computer în fundal și va trebui doar să instalați actualizările descărcate. Prin selectarea opțiunii, actualizările vor fi descărcate și instalate automat la ora specificată în această opțiune, iar dacă trebuie să reporniți computerul pentru a finaliza instalarea, acesta va reporni automat. Prin setarea opțiunii numărul 5, veți permite administratorilor locali să aleagă modul de afișare a notificărilor despre actualizări și instalarea acestora, care, după părerea mea, ar trebui selectată doar în cazurile cele mai extreme.
• Nu reporniți automat când instalați automat actualizări dacă există utilizatori care rulează pe sistem. Această setare de politică de grup vă permite să împiedicați repornirea automată a computerului pentru a finaliza instalarea actualizărilor programate, permițând astfel utilizatorilor să repornească automat sistemul prima dată când se conectează;
• Nu setați opțiunea „Instalați actualizări și închideți” în caseta de dialog Închideți Windows în mod implicit. Folosind setarea curentă, puteți determina dacă caseta de dialog de închidere a sistemului de operare afișează comanda în mod implicit. În cazul în care finalizarea instalării unei actualizări necesită o repornire, aceasta este comanda care este afișată, dar dacă activați această setare de politică de grup, atunci în caseta de dialog de închidere a sistemului de operare, comanda specificată în setările sistemului de operare va să fie instalat implicit;
• Nu afișați opțiunea Instalați actualizări și opriți în caseta de dialog Închideți Windows. Mulți dintre voi știu că, dacă există actualizări pe computer care vor fi instalate după repornirea computerului, atunci comanda "Taci" modificări la „Instalează actualizări și închide”. Acest nume de comandă poate aduce unii utilizatori aproape într-o stare pre-infarct. Pentru a evita astfel de situații, puteți utiliza această setare de Politică de grup. Când parametrul este activat, comanda "Închidere" va avea întotdeauna acest nume chiar dacă există actualizări pe computer care vor fi instalate după repornirea sau închiderea computerului;
• Mutarea instalărilor de actualizare automată programate. Această setare de politică de grup vă permite să specificați o perioadă de timp de așteptat după ce sistemul de operare pornește înainte ca actualizările programate să poată fi instalate care au fost pierdute anterior. În mod implicit, o instalare programată ratată a actualizărilor este efectuată la un minut după pornirea sistemului, dacă dezactivați această opțiune, sistemul va aștepta până la următoarea instalare programată; Dacă activați această opțiune, puteți specifica perioada de timp în care sistemul de operare va aștepta înainte de a instala actualizările pierdute;
• Solicitare repetată de repornire în timpul instalărilor programate. Din când în când, aproape fiecare utilizator se confruntă cu astfel de situații când descarcă și instalează actualizări, dar nu dorește să repornească computerul pentru a finaliza instalarea unor actualizări. În acest caz, la fiecare 10 minute apare un mesaj de avertizare care vă cere să reporniți computerul, ceea ce poate deranja pe unii oameni. Dacă sunteți unul dintre acești utilizatori, atunci această setare de politică de grup este concepută special pentru dvs. Folosind acest parametru, puteți defini perioada de timp după care utilizatorul va vedea o solicitare de repornire a computerului;
• Permite non-administratorilor să primească notificări de actualizare. În mod implicit, dacă nu selectați instalarea programată a actualizării, numai administratorii locali de computere pot primi notificări de actualizare. Dacă vă confruntați cu sarcina de a oferi utilizatorilor obișnuiți, împreună cu administratorii locali, posibilitatea de a primi notificări, precum și de a instala actualizări importante, recomandate și opționale, atunci trebuie să utilizați setarea curentă de Politică de grup și să instalați actualizări, utilizatorii nici măcar nu vor vedea caseta de dialog UAC;
• Permiteți clientului să se alăture grupului țintă. Cu acest parametru puteți atribui un computer client grupului de computere al serverului Windows Server Update Services. Dacă grupul nu este specificat și utilizatorul se conectează la serverul WSUS, atunci puteți găsi acest computer în grup „Computere nealocate”. Dacă trebuie să plasați un utilizator nu într-un grup, ci în mai multe, atunci separați grupurile cu punct și virgulă;
• Permite instalarea imediată a actualizărilor automate. Pe lângă actualizările care necesită repornirea computerului pentru a finaliza instalarea, există și actualizări care pot fi instalate pe un sistem de operare care rulează fără repornirea computerului. Folosind setarea curentă de politică de grup, puteți spune serviciului Actualizări automate să instaleze actualizări imediat, fără a întrerupe niciun serviciu al sistemului de operare sau a reporni sistemul de operare;
• Permiteți primirea de actualizări semnate de la serviciul de actualizare intranet Microsoft. Dacă, pe lângă actualizările de la serverele Microsoft, serverul dumneavoastră WSUS distribuie actualizări dezvoltate de alte companii care sunt semnate printr-un certificat aflat în depozit „Edituri de încredere” pe computerul dvs. local, această setare de politică de grup vă va permite să instalați astfel de actualizări. Dacă această opțiune este dezactivată, atunci numai actualizările pentru produsele Microsoft vor fi distribuite computerelor client;
• Permiteți gestionării energiei Windows Update să trezească sistemul să instaleze actualizări programate. Dacă organizația dvs. instalează actualizări automat conform unui program, atunci este indicat să setați programul de instalare a actualizărilor pe timp de noapte și să nu opriți complet computerele, ci să le puneți în modul de hibernare. Această setare de politică de grup vă permite să puneți computerul în modul normal pentru a instala actualizări;
• Specificați locația serviciului de actualizare Microsoft pe intranet. În mod implicit, computerele dumneavoastră client nu știu dacă organizația dumneavoastră are instalat un server WSUS. Folosind această setare de politică de grup, puteți specifica calea către un server WSUS care va servi ca site de servicii de actualizare interne al organizației dvs. Aici trebuie să specificați doi parametri și anume numele serverului pe care se va efectua căutarea și descărcarea actualizărilor, precum și serverul pe care se vor efectua statisticile. În cele mai multe cazuri, este același server;
• Frecvența de căutare a actualizării automate. Folosind setarea curentă de politică de grup, puteți specifica intervalul de timp dintre căutarea de noi actualizări pe serverul dvs. WSUS. În mod implicit, actualizările disponibile sunt verificate la intervale de 22 de ore. Dacă activați această opțiune, puteți specifica timpul de așteptare în ore scăzând de la 0 la 20% din timpul pe care îl setați. Nu are rost să specificați această politică dacă ați configurat o setare de politică de grup „Configurarea actualizărilor automate”;
• Preveniți utilizarea oricăror instrumente Windows Update. Această setare de politică de grup este disponibilă numai în secțiunea Configurare utilizator și vă permite să blocați complet accesul la Windows Update. Nu recomand utilizarea acestei opțiuni într-un mediu de producție.

Acum că ați aflat despre setările politicii de grup care vă permit să gestionați setările centrului, să încercăm să atribuim computerul client grupului de computere de pe controlerul de domeniu. Pentru a face acest lucru, urmați acești pași:

După ce GPO este în sfârșit configurat, pentru ca setările politicii de grup să fie actualizate instantaneu pe computerele client, va trebui să rulați comanda pe fiecare computer client la linia de comandă "gpupdate /force" în numele unui cont care este membru al grupului Administratori.

Concluzie

În acest articol, ați învățat cum puteți crea și gestiona grupuri de computere. Am analizat, de asemenea, modalități de a atribui computere client la grupuri de computere din partea serverului, și anume folosind instrumentele snap-in „Servicii de actualizare”și din partea clientului, i.e. folosind politici de grup. În plus, toate setările politicii de grup care se referă la Windows Update și serviciul Actualizări automate au fost examinate în detaliu.