Shikoni se si funksionon. Konfigurimi i klientëve WSUS duke përdorur politikat e grupit

Instalimi i serverit të përditësimit Windows Server Shërbimet e përditësimit për platformën Windows 2008 R2 nuk është një detyrë e vështirë. Thjesht duhet të mbani mend se kompleti i shpërndarjes për vetë WSUS nuk duhet më të shkarkohet nga faqja e internetit e Microsoft. Ky server është instaluar në të njëjtën mënyrë si shumica e të tjerëve shërbimet e Windows Serveri 2008 R2 - nëpërmjet instalimit rolet e serverit.

Duhet të theksohet se mund t'ju duhet ende paketa e instalimit WSUS, por vetëm nëse dëshironi ta instaloni tastierë e veçantë e administrimit në një nga stacionet e punës. Në këtë rast, mund ta shkarkoni nga këtu.

Vendosja e një serveri WSUS

Pra, le të fillojmë instalimin. Ne do të supozojmë se ju keni instaluar tashmë sistemin operativ Windows 2008 R2 dhe jeni identifikuar duke përdorur një llogari që ka të drejtat administratori lokal. Para instalimit, duhet të siguroheni që serveri është i lidhur me rrjetin dhe interneti është i aksesueshëm prej tij (kjo është e rëndësishme).

1. Hapni skedarin "Menaxheri i Serverit". Pastaj, në panelin e majtë, hapni degën "Roles" dhe në panelin e djathtë, hapni magjistarin "Shto role" (shih figurën më poshtë):

2. Pas zgjedhjes së linjës së listës “Windows Server Update Services”, do të shfaqet një dritare e magjistarit që ju kërkon të shtoni shërbimin e serverit në ueb, si dhe komponentët e nevojshëm. Ne pajtohemi me këtë propozim dhe klikojmë "Next" tre herë.

3. Hapi tjetër është instalimi i shërbimit WSUS. Klikoni "Next" dhe më pas "Instalo". Në këtë pikë, serveri do të fillojë shkarkimin nga Interneti dhe instalimin e shërbimit. Gjatë procesit të instalimit, do t'ju kërkohet të pranoni kushtet e marrëveshjes së licencës:

Ne do ta instalojmë këtë paketë më vonë.

5. Hapi tjetër është të tregoni vendndodhjen e dosjes ku do të ruhen përditësimet. Mund të pranoni opsionin e sugjeruar ose të specifikoni një dosje tjetër. Kjo dosje d.b. në disk me skedar Sistemi NTFS. Sigurohuni që të ketë hapësirë ​​të mjaftueshme atje. Si shembull për vlerësim, do t'ju informoj se përditësimet e Windows për serverët dhe stacionet e punës në dy gjuhë (rusisht, anglisht) do të kërkojnë afërsisht 40 - 60 GB. Unë nuk rekomandoj të kurseni ...

6. Baza e të dhënave MS SQL përdoret për të operuar WSUS 3.0. Ju mund të përdorni një bazë të dhënash të brendshme ose të përdorni një ekzistuese në rrjetin tuaj:

Këtu tregohet gjithashtu adresa e shërbimit WSUS, e cila do të kërkohet gjatë konfigurimit të klientëve të shërbimit.

9. Kjo është ajo... në këtë pikë, vetë procesi i instalimit mund të konsiderohet i përfunduar.

10. Por puna e mjeshtrit do të vazhdojë. Hapi tjetër është të konfiguroni drejtpërdrejt shërbimin e përditësimit:

11. Hapat e mëposhtëm të magjistarit do t'ju ndihmojnë të bëni cilësimet fillestare për shërbimin WSUS. Ju do të duhet të specifikoni nga cili server do të sinkronizohet ky server WSUS. Opsionet e mundshme: Serveri Microsoft ose serveri WSUS në rrjedhën e sipërme

12. Është e nevojshme të specifikoni cilësimet e serverit proxy gjatë sinkronizimit:

13. Në hapin tjetër do të lidhemi me serverin Microsoft (ose serverin në rrjedhën e sipërme). Kjo mund të zgjasë disa minuta:

Nëse ky proces dështon, kontrolloni cilësimet e serverit proxy që keni futur më parë. Sigurohuni që serveri Microsoft ose serveri WSUS në rrjedhën e sipërme të jetë i arritshëm nga ai server dhe provoni përsëri.

15. Në hapi tjeter Do t'ju kërkohet të zgjidhni produktet e Microsoft për të cilat përditësimet do të shkarkohen

16. Gjithashtu, duhet të zgjidhni klasat e përditësimit:

Procesi i shkarkimit të përditësimit do të zgjasë shumë. Shkarkimi fillestar do të zgjasë disa orë dhe mund të arrijë në disa dhjetëra gigabajt. Për të zvogëluar sasinë e trafikut, serveri WSUS mund të "ushqehet" me katalogun e përditësimeve nga një server tjetër. Kjo është veçanërisht e vërtetë në rastet kur serveri WSUS vendoset në një LAN që ka akses në internet përmes një kanali të ngadaltë komunikimi.

Nëse keni bërë ndonjë gabim gjatë procesit të konfigurimit të serverit, hapni tastierën e Shërbimeve të Përditësimit të Serverit të Windows dhe zgjidhni "Opsionet" në panelin e majtë. Në panelin qendror mund të ndryshoni manualisht cilësimet individuale ose ekzekutoni përsëri magjistarin e konfigurimit të serverit WSUS.

Pronarët e rrjeteve kompjuterike të paktën një herë kanë hasur në problemin e përditësimit të programeve. Bëjeni vetë, pa ndihmë softuer special, është pothuajse e pamundur, pasi kërkon një kohë të pabesueshme. Dhe koha është burimi më i vlefshëm. Sikur të kishte një shërbim që do të ndihmonte në zgjidhjen e këtij problemi duke automatizuar procesin e kërkimit, përditësimit dhe instalimit të versioneve të reja të të gjitha programeve të kompanisë.

Një sistem i tillë ekziston. Microsoft u lëshua në vitin 2005 shërbim Windows Shërbimet e përditësimit të serverit. Qëllimi i tij kryesor është të rregullojë dhe përditësojë produktet e Microsoft në të gjithë rrjetin kompjuterik. Për më tepër, madhësia e kësaj të fundit nuk luan ndonjë rol. Mund të instaloni dhe konfiguroni WSUS për dy kompjuterë ose për disa qindra. E gjitha varet vetëm nga kërkesat tuaja. Versionet e reja lëshohen dhe mbështeten deri më sot

Kërkesat e sistemit

Vendosja e WSUS në Server 2012 nuk kërkon që përdoruesi të ketë njohuri të thella të programimit dhe rrjeteve kompjuterike. Ndërfaqja është intuitive dhe e përshtatshme. Fokusi është në një gamë të gjerë njerëzish që do të përdorin produktin e tyre.

Përveç kësaj, kërkesat për funksionimin normal shërbimet janë mjaft të dobëta, veçanërisht sipas standardeve moderne. Për shembull, për të ruajtur performancën e lartë të një serveri, rrjeti i të cilit përfshin deri në pesëqind kompjuterë, madhësia e rekomanduar kujtesë e gjallë duhet të jetë së paku 1 GB. Dhe shpejtësia e orës së procesorit është mbi 1 GHz. Pajtohem, edhe kompjuterët e vjetër të zyrës kanë performancë të shkëlqyer.

Përgatitja e gjithçkaje që ju nevojitet për WSUS

Pra, ju keni vendosur të përdorni WSUS për rrjetet tuaja. Instalimi dhe konfigurimi nuk duhet të jetë i vështirë nëse e përgatitni siç duhet kompjuterin tuaj për këtë.

• Sigurohuni që të formatoni ndarjen e diskut në të cilën do të instaloni WSUS, si dhe atë të destinuar për sistemin, në NTFS.
• Sigurohuni që kompjuteri juaj të ketë të paktën 1 gigabajt RAM.
• Në varësi të numrit të kompjuterëve në rrjet, zgjidhni falas që ju nevojitet hapësirë ​​në disk. Për rrjete të vogla Kërkohet një minimum prej 6 gigabajt. Bazuar në përvojën e përdoruesit, rekomandohet të ndani 30 gigabajt memorie në diskun ku do të ruhen të dhënat WSUS. Shërbimi do të shkarkojë dhe instalojë softuer shtesë, kështu që është më mirë të shtoni më shumë memorie dhe të jeni të sigurt për funksionimin e qëndrueshëm sesa të pendoheni dhe të kontrolloni vazhdimisht funksionimin e tij.

Komponentët e kërkuar

Mos harroni se WSUS është një sistem përditësimi i softuerit dhe duhet të instalohet në sistemin operativ Familja e Windows. Përgatitni gjithashtu komponentë të tjerë nga kjo listë përpara instalimit:

1. Microsoft Internet Information Services (IIS) 6.0.
2. Microsoft .NET Framework 1.1 Service Pack 1 ose më i lartë.
3. Shërbimi Inteligjent i Transferimit të Sfondit (BITS) 2.0.

Përveç përgatitjes së serverit, duhet të përfshini gjithçka kompjuterët e klientit rrjetet. Ndizni ato shërbim automatik përditësimet. Është i pranishëm në të gjitha sistemet operative të Microsoft. Pas përfundimit të kësaj fazë përgatitore Mund të kaloni me siguri në tjetrën.

Procesi i instalimit

Ju mund ta instaloni shërbimin WSUS vetëm nëse keni të drejta administratori. Prandaj, regjistrohuni me një llogari administratori. Pas kësaj, ekzekutoni WSUSSetup. Ka zgjerimin .exe dhe peshon mjaft - rreth 130 megabajt.

Do të hapet dritare standarde Magjistari i instalimit. Lexojeni dhe pranojeni Marrëveshja e licencës. Në dritaren tjetër do të mund të zgjidhni burimin e përditësimit. Mund të zgjidhni t'i ruani të dhënat në nivel lokal në server ose t'i shkarkoni nga sajtet e Microsoft.

Për të kursyer trafikun, rekomandohet të vendosni llojin lokal. Në këtë rast, jo vetëm që do të ulni kostot e internetit të kompanisë, por gjithashtu do të rrisni shpejtësinë e instalimit të përditësimeve në kompjuterët e klientëve. Ju nuk duhet t'i kushtoni shumë rëndësi kësaj zgjedhjeje; ju do të keni ende mundësinë për ta konfiguruar atë më vonë sipas gjykimit tuaj.

Dritarja tjetër ju kërkon të zgjidhni cilat parametra do të vendosen për bazat e të dhënave:

1. WMSDE gjithashtu do të instalohet së bashku me WSUS. Ai është i përfshirë në program dhe nuk keni nevojë të paguani për të. Prandaj, shumica e përdoruesve e instalojnë atë. Nuk ka asnjë arsye për ta refuzuar atë, dhe përveç kësaj, ndihmon për të shmangur problemet në të ardhmen.
2. Në rastin e dytë, WMSDE nuk do të instalohet. Në vend të kësaj do të përdoret bazat ekzistuese të dhëna nga Microsoft SQL. Kur zgjidhni këtë artikull kur punë e gjatë Vështirësitë mund të lindin në atë që të dhënat mund të bëhen të vjetruara dhe kur një përditësim lëshohet në kompjuterë, nuk do të jetë e mundur menjëherë të përditësohet.

Në dritaren tjetër, ju jepet një zgjedhje e faqes në internet që do të përdorë serverin WSUS. Këtu nuk kërkohet asnjë konfigurim dhe në shumicën e rasteve përdoren parametrat standardë të sugjeruar. Ky është hosti i IIS dhe numri i portit 80.

Në dritaren e fundit të instalimit, zgjidhet roli i menaxhimit të serverit. Nëse ky është serveri i parë dhe i vetëm në rrjetin tuaj, atëherë mos ngurroni ta kaloni atë.

Në rastin kur serveri nuk është i pari, dritarja "Cilësimet e përditësimit të pasqyrës" duhet të konfigurohet saktë. Nëse kjo nuk bëhet, mund të lindin konflikte midis këtyre serverëve. Në serverët e dytë dhe pasues, kontrolloni kutinë dhe shkruani emrin e serverit që ishte instaluar fillimisht.

Nisja e tastierës së administratës

Menjëherë pas instalimit të suksesshëm të WSUS, përdoruesit i kërkohet të nisë konsolën e administrimit. Kjo mund të bëhet jo vetëm nga serveri, por edhe nga çdo kompjuter tjetër në rrjet. Por ia vlen të kujtojmë se vetëm një përdorues që ka të drejta administratori mund ta bëjë këtë. Konsola ndodhet në në adresën tjetër: http://emri i serverit/wsusadmin.

Vendosja e WSUS

Pas instalimit, mund të konfiguroni cilësimet e mëposhtme në WSUS:

• krijimi i një grupi kompjuterësh;
• sinkronizimi;
• përditësim automatik.

Krijimi i një grupi kompjuterësh

Pika më e rëndësishme që nuk mund të shmanget Konfigurimi i WSUS 2012 r2, është krijimi i një grupi kompjuterësh. Kjo është e nevojshme për përditësim i përshtatshëm programe për kompjuterë të veçantë që kryejnë detyra të ndryshme.

Ka dy mënyra për të shtuar kompjuterë në grupe:

• Nga ana e serverit.
• Nga ana e klientit.

Qfare eshte dallimi? Mundësia e automatizimit të procesit. Në rastin e parë, do të duhet të caktoni çdo kompjuter individual me dorë duke përdorur tastierën. Në rastin e dytë, do t'ju duhet të konfiguroni politikën e grupit dhe regjistrin e sistemit operativ.

Për të shtuar kompjuterë, hapni faqen me parametrat e tyre. Më pas, zgjidhni metodën e destinacionit.

Për të krijuar një grup, hapni skedën Kompjuterë në tastierë. Ekziston një buton "Krijo një grup kompjuterash". Do të krijohet një grup në të cilin kompjuterët janë shtuar tashmë në bazë të kërkesave tuaja.

Konfigurimi i cilësimeve të sinkronizimit

Pasi të krijohen grupet, konfigurimi i WSUS kërkon që të zgjidhni opsionet për shkarkimin e përditësimeve. Ti mund te zgjedhesh modaliteti manual filloni sinkronizimin ose automatikisht sipas një orari të caktuar.

Hapni seksionin "Produktet dhe klasat" dhe zgjidhni programet që duhet të përditësohen. Për të transferuar përditësime nga serveri te kompjuterët, zgjidhni programe që plotësojnë kërkesat në lista.

Në këtë mënyrë, ju mund të shkarkoni jo vetëm programe, por edhe shumë më tepër: drejtues, rregullime kritike për sistemet operative, paketa shërbimi, çelësa për sistemet e sigurisë. Ju mund t'i ndryshoni këto cilësime në çdo kohë.

Vendosja e burimeve të përditësimit

Nëse WSUS instalohet për herë të parë dhe nuk ka serverë të tjerë, lini gjithçka si parazgjedhje. Shkarkimi do të bëhet nga zyrtari Pritësi i Microsoft Përditëso.

Nëse serveri nuk është i pari, atëherë specifikoni të dhënat kryesore të WSUS.

Vendosja e miratimit automatik

Një tjetër parametër i rëndësishëm i automatizimit të procesit është miratimi automatik. Kjo do t'ju lejojë të mos shpërqendroheni dhe të mos keni nevojë të konfirmoni manualisht shkarkimin dhe transferimin e përditësimeve të reja. Ky cilësim WSUS ndodhet në tastierë.

Vendosja e sinkronizimit

Hapi i fundit në konfigurimin e parametrave është sinkronizimi. Ai kontrollon të gjithë softuerin e rrjetit për t'u siguruar që është i përditësuar me përditësimet më të fundit.

Nëse një kompjuter është i lidhur me rrjetin, serveri do të përcaktojë versionin e programeve në të dhe, nëse ato ndryshojnë nga ato më të fundit, do t'i dërgojë të gjitha përditësimet në të.

Një pasthënie e shkurtër

Siç e keni kuptuar tashmë, instalimi është i thjeshtë dhe i drejtpërdrejtë. Administratori i sistemit nuk duhet të ketë probleme me instalimin dhe konfigurimin e serverit. Mund të përdoret çdo version. Nuk ka asnjë ndryshim përsa i përket njëri-tjetrit nuk ka cilësime WSUS për Windows Server 2012 ose ndonjë version tjetër. Çdo version i ri funksionon më shpejt dhe më i qëndrueshëm dhe përdor burimet e kompjuterit në mënyrë më efikase.

Në të njëjtën kohë, shërbimi është jashtëzakonisht i dobishëm dhe funksional. Është thjesht i domosdoshëm për ndërmarrjet e çdo niveli. Me WSUS ju mund të kurseni nerva dhe kohë të çmuar. Nuk është më kot që të gjithë e rekomandojnë përdorimin e tij.

Procesi i instalimit të kësaj shërbimi i rrjetit. Ky postim përshkruan procesin e konfigurimit të kompjuterëve për përditësime nga serverët WSUS të disponueshëm për ju.

Vendosja e kompjuterëve të grupeve të punës ose serverëve të pavarur

Për të konfiguruar kompjuterët në këtë rast, do t'ju duhet redaktuesi i objektit të politikës së grupit. Për ta hapur, bëni sa më poshtë:

1. 1. Hapni menynë Start - Run. Në rreshtin "hapur" - shkruani "mmc" - pastaj OK
2. 2. Në tastierën MMC, hapni menynë File – Shto ose hiq snap-in...
3. 3. Zgjidhni skedarin "Group Policy Object Editor" - U krye - OK
4. 4. Ne duam të krijojmë një rregull për të përditësuar sistemin operativ të kompjuterit. Prandaj, në anën e djathtë të redaktorit, në kutinë "Computer Configuration", hapni degën Politikat - Modelet Administrative - Përbërësit e Windows - Përditësimi i Windows
5. 5. Në anën e djathtë të dritares së redaktorit do të shihni rregullat që përshkruajnë sjelljen e kompjuterëve në lidhje me proceset e përditësimit. Zgjidhni rregullin "Konfiguro përditësimin automatik".
6. 6. Në dritaren e cilësimeve të përditësimit automatik, aktivizoni rregullin dhe specifikoni parametrat. Si parazgjedhje, do të zgjidhet mënyra e cilësimit nr. 3 - njoftimi automatik i shkarkimit dhe instalimit. Në këtë rast, instalimi do të kryhet vetëm pas konfirmimit për përditësimin. Është gjithashtu e mundur të instaloni përditësime sipas një orari. Pasi të keni përfunduar cilësimet, klikoni butonat "Aplikoni" dhe "Cilësimi tjetër".
7. 7. Parametri tjetër do të jetë rregulli "Specifikoni vendndodhjen e shërbimit të përditësimit të Microsoft në intranet", ku duhet të specifikoni vendndodhjen e shërbimit të përditësimit, si dhe serverin e statistikave (zakonisht ky është i njëjti server). Klikoni OK. Në parim, kjo është e mjaftueshme. Por gjithashtu mund të rregulloni mirë procesin e përditësimit. Pasi të keni lexuar këshillat e integruara për rregullat, do të kuptoni se çfarë ju nevojitet.
8. 8. Mbyllni snap-in

Të gjitha... rregullat do të hyjnë në fuqi menjëherë.

Në përgjithësi, ju mund të konfiguroni kompjuterët e domenit në këtë mënyrë. Por nëse administratori i rrjetit i ka bërë tashmë këto cilësime në nivelin e domenit, atëherë rregullat e mësipërme nuk do të zbatohen, pasi ato do të anashkalohen nga rregullat e domenit. politikat e grupit.

Vendosja e kompjuterëve të domenit

Për të konfiguruar kompjuterët e domenit që të përditësohen nga një server i korporatës WSUS, duhet të keni të drejta administratori të domenit të Windows.

Për të konfiguruar, do t'ju duhet GPMC (Group Policy Management Console).

Në kompjuterët me Windows 7, është më mirë të instaloni pajisjet me komplet administrim në distancë RSAT (versioni i lokalizuar në dispozicion). Pas instalimit të kompletit të administrimit në distancë, mos harroni të aktivizoni komponentët e nevojshëm të kontrollit (Paneli i kontrollit - Programet dhe veçoritë - Aktivizoni ose çaktivizoni komponentët e Windows)

Ju duhet të bëni sa më poshtë:
1. Ekzekutoni duke përdorur menynë Start - Run - GPMC.msc

2. Hapni degën Domains – Domain_Name – Group Policy Objects dhe klikoni me të djathtën miu zgjidhni menunë "Krijo".
3. Në fushën "Emri", specifikoni emrin e objektit të ri të politikës së grupit (le të jetë "WSUS Group Policy"), më pas OK
4. Në dritaren e djathtë të snap-in, gjeni emrin e objektit tuaj dhe kliko me të djathtën në menunë "Edit". Hapet skedari i redaktimit të menaxhimit të politikave të grupit.
5. Më pas, duhet të ndiqni të njëjtat hapa siç përshkruhet në seksionin e mëparshëm.

Pra, Objekti i Politikës së Grupit (GPO) është krijuar, por GPO e krijuar është ende vetëm një deklaratë e zhveshur. Në mënyrë që udhëzimi të funksionojë, duhet ta lidhni këtë GPO me kontejnerin përkatës të Windows AD. Janë ata kompjuterë të domenit që janë në këtë kontejner që do të ekzekutojnë këto udhëzime (d.m.th., përditësimin). Ky kontejner mund të jetë një domen, sajt ose departament i tërë.
Cilin enë të zgjidhni varet nga ju. Por kriteret janë si më poshtë:

• -- Nëse dëshironi që të gjithë kompjuterët në domenin tuaj të përditësohen, lidhni GPO-në me domenin
• -- Nëse dëshironi të përditësoni vetëm një pjesë të kompjuterëve, për shembull serverë individualë, krijoni një ndarje në domen dhe vendoseni atje serverët e kërkuar dhe lidhje me këtë ndarje
• -- Nëse rrjeti juaj ka disa sajte në qytete të ndryshme, atëherë nënrrjetet e këtyre sajteve duhet t'i përkasin sajteve të veçanta. Në këtë rast, për të mos ngarkuar kanalet e komunikimit midis sajteve, ka kuptim të instaloni serverin e vet WSUS në çdo sit dhe të krijoni një GPO të veçantë për secilën faqe që tregon posaçërisht për të. Në të ardhmen, ju duhet t'i lidhni ato me faqet përkatëse (shih figurën më poshtë)

Hapat e mëposhtëm përshkruajnë procesin e lidhjes së GPO-ve që keni krijuar me kontejnerët e duhur të Windows AD.

Le të themi se keni vendosur të përditësoni të gjithë kompjuterët në një domen.

1. Më pas në skedarin e hapur më parë “Group Policy Management”, në anën e majtë të dritares, hapni degën “Forest: Forest_Name – Domains – Domain_Name”
2. Klikoni me të djathtën mbi emrin e domenit tuaj dhe zgjidhni menynë "Lidh një GPO ekzistuese...".
3. Në dritaren “Zgjidhni objektin e politikës së grupit”, gjeni GPO-në përkatëse, të cilën më parë e emërtuam “WSUS Group Policy” dhe klikoni OK.

Filtrat WMI për GPO

Unë e konsideroj një praktikë të mirë përditësimin e OS-ve të klientëve dhe serverëve duke përdorur politika të veçanta të grupeve të domenit. Në këtë rast, unë vij nga fakti se:

• - OS serverështë më mirë të përditësoni manualisht si pjesë e mirëmbajtjes së planifikuar (në këtë rast, kujdes është mjaft i përshtatshëm);
• - OS klientiËshtë më mirë të përditësohet automatikisht. Përditësoni ato manualisht kur park i madh kompjuterët janë shumë problematikë dhe përdoruesit nuk kanë gjasa ta bëjnë këtë (edhe nëse u tregohet se si).

Çfarë duhet të bëj?

Së pari, për shembull, duhet të krijoni GPO të veçanta në snap-in GPMC.msc

• Politika e Grupit ServerOS WSUS
• Politika e Grupit ClientOS WSUS

dhe vendosini ato në manual (njoftim automatik i shkarkimit dhe instalimit) dhe mënyrat automatike Përditësimet e OS në përputhje me rrethanat.

Së dyti, krijoni dy filtra WMI në të njëjtën snap-in. Janë këta filtra që do të përcaktojnë se cili nga GPO-të e mësipërme do të jetë në fuqi kur përditësohet çdo kompjuter në rrjetin tuaj.

Së treti, ju mund të lidhni filtrat WMI me GPO-të përkatëse, dhe të dyja këto GPO tani mund të lidhen drejtpërdrejt me një domen ose sajt (sipas dëshirës).

Si të krijoni filtra

Në snap-in tashmë të hapur GPMC, shkoni te dega Forest - Domains - _Domain_name_ - Filtrat WMI. Klikoni me të djathtën "Krijo" për të krijuar një filtër me emrin Server OS dhe DC

I shtojmë një kërkesë në hapësirën rrënjë\CIMv2

Politika e Grupit ServerOS WSUS"punoni vetëm me kompjuterë që përdorin serverin OS Windows (përfshirë kontrolluesit e domenit).

Në mënyrë të ngjashme, krijoni një filtër me emrin Sistemi operativ i klientit

Shtoni një kërkesë në të në root\CIMv2

Ky filtër do të lejojë një GPO të quajtur " Politika e Grupit ClientOS WSUS"punoni vetëm me kompjuterë që përdorin OS klient Windows, pavarësisht nga versioni (Windows 2000 pro, Windows XP, Vista, Windows 7 dhe Windows 8)

Filtrat janë gati.

Siç kemi shkruar tashmë, ju duhet të lidhni një GPO Politika e Grupit ServerOS WSUS Dhe Politika e Grupit ClientOS WSUS me filtra të përshtatshëm. Për shembull, kjo mund të bëhet si më poshtë: në degën "Objektet e politikës së grupit", zgjidhni GPO-në e dëshiruar, pastaj në fund të djathtë "WMI Filter" zgjidhni filtrin e dëshiruar nga lista rënëse.

Pra, tani kompjuterët e klientëve të domenit do të përditësohen automatikisht dhe serverët do të presin me bindje vëmendjen tuaj.

Kjo përfundon konfigurimin.

Si të kontrolloni rezultatin?

Si rezultat i të gjitha veprimeve të mësipërme, ne presim që të fillojmë përditësimin e asaj pjese të kompjuterëve të domenit që, sipas mendimit tonë, duhet t'i nënshtrohen politikës së konfiguruar.

Së pari, mund të shikoni në regjistrat e skedarëve të Menaxhimit të Serverit WSUS për çdo hyrje në lidhje me statusin e klientëve të Përditësimit Automatik.

Së dyti, mund të verifikoni që politika e konfiguruar zbatohet për klientët WSUS. Hapni Panelin e Kontrollit - Windows Update dhe sigurohuni që mesazhi i mëposhtëm të shfaqet në anën e djathtë të dritares së Qendrës së Përditësimit: "Kontrollohet nga administratori i sistemit" (për Windows 7/Vista/2008/2008R2) Nëse nuk është kështu, politika nuk është në fuqi.

Por kjo nuk do të thotë se keni bërë një gabim diku. Kompjuteri mund të mos i ketë përditësuar ende cilësimet e tij nga kontrolluesi i domenit.

Kjo për faktin se politikat e grupit në kompjuterët e domenit nuk zbatohen menjëherë (përditësimet e GP në rrjetin lokal ndodhin si parazgjedhje në intervale prej 15 minutash, dhe përsëritja ndër-site ndodh edhe më rrallë)
Prandaj, thjesht mund të prisni ose përditësoni politikat e grupit në kompjuterë me komandën

Kompjuteri i klientit WSUS nuk po ekzekuton shërbimet e kërkuara (si p.sh. Windows Update dhe Group Policy Client, etj.)

GPO nuk funksionoi për kompjuterë individualë. Në këtë rast, do të duhet të merreni me secilën veç e veç. Unë rekomandoj simulimin e efektit të Politikës së Grupit në kompjuterët me probleme duke përdorur të njëjtin snap-in GPMC.msc. Kjo do t'ju lejojë të verifikoni nëse GPO e krijuar është aplikuar në kompjuterin që po analizohet. Fatkeqësisht, zgjidhja e problemeve të Politikës së Grupit Windows AD është përtej qëllimit të këtij postimi.

Epo, dhe më e rëndësishmja... regjistri i klientit WSUS është këtu --> c:\Windows\WindowsUpdate.log

10 shkurt

WSUS (Shërbimet e Përditësimit të Serverit të Windows) nevojitet për shkarkim automatik arnime, paketa përditësuese dhe pajisje të tjera nga faqja e internetit e Microsoft-it dhe shpërndarja e kësaj përmbajtje brenda rrjetit lokal. Ato. administratorët nuk kanë nevojë të shkarkojnë arna veçmas dhe t'i instalojnë ato në secilën makinë. Mjafton të instaloni WSUS në server, ta konfiguroni atë dhe gjithashtu të konfiguroni makinat e punës për të përdorur këtë server. Përditësimi shkarkohet një herë në vetë serverin dhe instalohet prej andej më tej në rrjetin lokal. Gjithashtu, përdorimi i WSUS kursen ndjeshëm trafikun në internet, i përdorur për shkarkimin e përditësimeve dhe arnimeve të sistemit.

WSUS është produkt falas, megjithatë, duhet të keni licencën e saktë për OS serverin, si dhe licencat e Windows Client Access (CAL) për secilin stacioni i punës, i cili përditësohet nga serveri WSUS. Microsoft ofron një mundësi falas për të përdorur shërbimin e përditësimit për produktet e tij softuerike gjatë gjithë periudhës së mbështetjes për produktin softuer. Përditësimet e nevojshme janë të disponueshme nëpërmjet internetit për të gjithë përdoruesit e produkteve softuerike.

Instalimi i WSUS

Brenda sistemit operativ Windows Server 2008, ekziston një rol serveri i Shërbimeve të Përditësimit të Windows Server.

Për Windows Server 2003, kërkesat e mëposhtme të sistemit për instalimin e WSUS 3.0 SP1:

• Sistemi operativ: Windows Server 2003 SP1 dhe më i lartë.
• Rolet shtesë të serverit: IIS 6.0 dhe më i lartë
• Përditësime shtesë OS: Microsoft .NET Framework 2.0, Menaxhimi i Microsoft Konsola 3.0.
• Programe shtesë: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS mund të instalojë shërbimi i brendshëm Baza e të dhënave të brendshme të Windows).

Përkundër faktit se shërbimi praktikisht nuk është kërkues për procesorin dhe RAM-in, ai kërkon një pjesë të drejtë të hapësirës në disk. Preferohet 40 GB ose më shumë. Në fund të fundit, sasia e hapësirës në disk të konsumuar do të varet nga numri i produkteve që duhet të përditësohen dhe numri i përditësimeve të nevojshme të infrastrukturës. Nëse gjatë instalimit serveri nuk kënaq Kërkesat e sistemit, do të shfaqet një dritare paralajmëruese, e cila do të përshkruajë se çfarë duhet të instalohet.

Vendosja e një serveri WSUS

Për funksionimin normal të serverit, duhet të specifikoni një numër parametrash që bëhen duke përdorur "Windows Server Update Services Configuration Wizard"

Në dritaren "Zgjidhni një server në rrjedhën e sipërme", duhet të zgjidhni opsionin "Sinkronizo me Microsoft Update".

Kur aplikoni një server proxy në një mjedis të korporatës, në dritaren "Konfigurimi i serverit proxy", duhet të specifikoni adresën IP, numrin e portit dhe parametrat e vërtetimit në serverin proxy.

Në dritaren "Zgjidh gjuhët", duhet të zgjidhni opsionin "Shkarko përditësimet vetëm në gjuhët e mëposhtme"; sigurohuni që të zgjidhni "Anglisht". Zgjedhja e gjuhëve të tjera duhet të bëhet në bazë të sistemeve të instaluara në kompani; zakonisht ato shtojnë edhe "rusisht". Nuk ka nevojë të zgjidhni "Shkarko përditësimet në të gjitha gjuhët, duke përfshirë ato të reja", pasi kjo do të rrisë numrin e përditësimeve të ruajtura në hapësirën e diskut.

Në dritaren Zgjidh Produktet, duhet të zgjidhni produktet e instaluara në mjedisin tuaj të korporatës.

E RËNDËSISHME! Asnjëherë mos i instaloni të gjitha produktet, pasi kjo mund të shkaktojë rritjen e madhësisë së përditësimeve të ruajtura dhe përditësimet nuk do të përdoren. Është e nevojshme që në mënyrë metodike dhe të vazhdueshme të zgjidhni vetëm ato produkte që përdoren në mjedisin e korporatës.

Në dritaren "Zgjidh klasat", duhet të specifikoni vetëm ato klasa që kërkojnë përditësime. Meqenëse specifikimi i klasave shtesë rrit ndjeshëm madhësinë e përditësimeve të ruajtura.

Në dritaren "Konfigurimi i orarit të sinkronizimit", duhet të zgjidhni një kohë sinkronizimi. Brenda Sinkronizimi WSUS nuk përfshin shkarkimin e përditësimeve. Në këtë rast, sinkronizimi do të përditësojë vetëm informacionin nga serveri i Microsoft Update."

Pas sinkronizimit të parë, duhet të hapni tastierën WSUS dhe të zgjidhni "Opsionet". Në "Cilësimet", hapni artikullin "Skedarët dhe përditësoni gjuhët".

Në skedën "Përditëso skedarët" të dritares "Përditëso skedarët dhe gjuhët", duhet të specifikoni se si do të ruhen skedarët e përditësimit. Meqenëse duam të zvogëlojmë madhësinë e trafikut të internetit, duhet të zgjedhim "Ruaj skedarët e përditësimit lokalisht në këtë server" dhe GJITHMONË të zgjedhim artikujt "ngarko skedarët e përditësimit në server vetëm pasi të miratohet përditësimi" dhe "Shkarko skedarët e instalimit të shpejtë". Artikulli "Ngarko skedarët e përditësimit në server vetëm pasi të miratohet përditësimi" është i nevojshëm, pasi si parazgjedhje serveri do të shkarkojë TË GJITHA përditësimet që i konsideron të nevojshme për produktet e zgjedhura. Sidoqoftë, meqenëse me kalimin e kohës shumë përditësime grumbullohen në Paketën e Shërbimit, ka shumë të ngjarë që ato nuk do të nevojiten dhe do të zënë hapësirë ​​në disk.

Pas të gjitha cilësimeve, duhet të shtoni kompjuterë në shërbimin WSUS.

Shtimi i kompjuterëve në WSUS

Nëse keni një domen, atëherë gjithçka që duhet të bëni është të regjistroni shërbimin WSUS në politikën e tij të grupit dhe të zgjidhni rregullat e përditësimit të kompjuterit.

Kjo bëhet si më poshtë: "Fillimi - Mjetet Administrative - Menaxhimi i Politikave të Grupit". Zgjidhni politikën që është e vlefshme në domen (Default Group Policy by default). Klikoni me të djathtën dhe zgjidhni "Ndrysho".

Në dritaren "Redaktori i menaxhimit të politikave të grupit", shkoni te "Konfigurimi i kompjuterit - Politikat - Modelet administrative - Komponentët e Windows - Përditësimi i Windows". Zgjidhni artikullin " Specifikoni vendndodhjen e shërbimit të përditësimit në Intranet".

Në "Properties: Specifikoni vendndodhjen e shërbimit të përditësimit në dritaren e Intranetit", specifikoni parametrin "Enabled" dhe në rreshtin "Specifikoni shërbimin e përditësimit në intranet për të kërkuar përditësime" vendosni një rresht si: http:// . Kopjoni adresën në dritaren "Specifiko serverin e statistikave të intranetit". Brenda Redaktorit të Politikave të Grupit, ka këshilla në dritaren "Shpjego".

Ju gjithashtu duhet të përcaktoni një politikë përditësimi. Kjo bëhet përmes artikullit "Cilësimet". përditësime automatike».

Në dritaren "Properties: Vendosja e përditësimeve automatike", specifikoni opsionin "Enabled" dhe parametrat "Konfigurimi i përditësimeve automatike", "Instalimi i planifikuar - ditë", "Instalimi i planifikuar - koha". Dritarja e Shpjegimit përmban një përshkrim të të gjithë parametrave për serverët dhe këshillohet të vendosni opsionin "2 - njoftime për shkarkimin dhe instalimin", i cili do t'i lejojë administratorët të zgjedhin kur përditësimet instalohen në serverë.

Nëse brenda infrastrukturës ka stacione pune që nuk janë pjesë e domenit (për shembull, stacione pune celulare), por shërbimi i përditësimit për këto stacione pune është i nevojshëm, atëherë është e mundur të specifikoni këtë shërbim në " Politika lokale sigurinë."

Në vijën e komandës, shkruani gpedit.msc dhe kryeni të njëjtat operacione që u përshkruan më lart për politikën e grupit në domen.

Pas ca kohësh, kompjuteri do të shfaqet në dritaren "Kompjuterët - Të gjithë kompjuterët - Kompjuterët e pacaktuar" me "Status: Çdo".

Menaxhimi i përditësimeve

Për të parë dhe miratuar përditësimet e nevojshme, duhet të zgjidhni artikujt e mëposhtëm të filtrit në "Përditësimet - Të gjitha përditësimet": "Miratimi: i pamiratuar" dhe statusi: i detyrueshëm" dhe klikoni "Përditëso".

E RËNDËSISHME! Për të kontrolluar përditësimet e nevojshme, sigurohuni gjithmonë që cilësimet e filtrit të jenë vendosur në "Miratimi: i pamiratuar" dhe statusi: i nevojshëm, përndryshe rrezikoni të shkarkoni përditësime që nuk ju nevojiten ose të mos i shkarkoni fare. Nëse filtri në cilësimet "Aprovimi: i pamiratuar" dhe "Statusi: Required" shfaq një fushë bosh, atëherë të gjitha përditësimet e nevojshme për kompjuterët tashmë janë miratuar dhe janë në server.

Pas miratimit, përditësimet do të shfaqen në kompjuter pas disa kohësh sipas rregullave të konfiguruara në politikën e sigurisë.

Shumë shpesh ekziston nevoja për të detyruar kompjuterin të kontrollojë për përditësime në serverin e përditësimit. Për ta bërë këtë, ekziston një program i quajtur wuauclt.exe, i cili niset përmes linjës së komandës. Për të kontrolluar për përditësime, duhet ta ekzekutoni me tastin /detectnow (wuauclt.exe /detectnow). Për të dërguar një raport statusi (shpesh i nevojshëm kur lidheni me serverin e përditësimit për herë të parë), duhet ta ekzekutoni atë me tastin /reportnow (wuauclt.exe /reportnow).

feanor184.ru

Konfigurimi i klientëve WSUS duke përdorur politikat e grupit

Pra, supozohet se keni të instaluar një server Wsus. Politikat e Grupit Active Directory (më tutje referuar si GPO) lejojnë administratorët e sistemit të caktojnë automatikisht klientët në grupe të ndryshme të serverëve WSUS, duke eliminuar nevojën për të lëvizur manualisht kompjuterët midis grupeve në tastierën WSUS . Kjo detyrë e klientëve për të grupe të ndryshme bazohet në etiketat e klientit, etiketa të tilla vendosen nga politika ose modifikimi i thjeshtë i regjistrit. Ky lloj Hartëzimi i klientëve në grupet WSUS quhet shënjestrimi nga ana e klientit.

Në mënyrë tipike, përdoren dy politika të ndryshme përditësimi: për stacionet e punës dhe për serverët. Së pari, ne specifikojmë rregullin për grupimin e kompjuterëve të klientëve në tastierën WSUS. Si parazgjedhje, në tastierë, kompjuterët shpërndahen në grupe me dorë (shënjestrimi nga ana e serverit). Le të tregojmë se klientët shpërndahen në grupe bazuar në shënjestrimin e klientit (politikat e grupit ose cilësimet e regjistrit). Për ta bërë këtë, në tastierën WSUS, shkoni te Seksioni i opsioneve hapni parametrin Computers dhe zëvendësoni vlerën me Përdorni politikën e grupit ose cilësimin e regjistrit në kompjuterë (Përdorni politikat ose vlerat e grupit në regjistër, shikoni pamjen e ekranit).

Pas kësaj, ne do të fillojmë të konfigurojmë drejtpërdrejt klientët WSUS duke përdorur Politikat e Grupit (GPO). Hapni tastierën e menaxhimit të politikave të grupit dhe krijoni dy politika të reja grupi: ServerWSUSPolicy dhe WorkstationWSUSPolicy.

Politika e grupit për instalimin e përditësimeve WSUS për stacionet e punës (WorkstationWSUSPolicy)

Logjika e politikës është intuitive; në rastin tonë, ne planifikojmë të instalojmë përditësime automatikisht gjatë natës pasi ato të merren. Klientët rindizen automatikisht pas instalimit të përditësimeve (duke paralajmëruar përdoruesin 10 minuta përpara). Hapni tastierën e redaktimit të GPO (gpmc.msc), shkoni te Cilësimet e politikës së grupit: Konfigurimi i kompjuterit -> Politikat-> Modelet administrative-> Komponenti i Windows-> Përditësimi i Windows)

Në politikë ne tregojmë:

• Lejo instalimin e menjëhershëm të përditësimeve automatike: i çaktivizuar - çaktivizon instalimin e menjëhershëm të përditësimeve kur ato merren
• Lejo që jo-administratorët të marrin njoftime përditësimi: Aktivizuar - shfaqni një paralajmërim për përdoruesit për përditësime të reja dhe lejojini ata instalim manual
• Konfiguro përditësimet automatike: Aktivizuar. Konfiguro përditësimin automatik: 4 - Shkarko automatikisht dhe planifiko instalimin. Dita e planifikuar e instalimit: 0 - Çdo ditë. Koha e planifikuar e instalimit: 03:00 – kompjuteri i klientit shkarkon përditësime të reja dhe planifikon instalimin e tyre automatik në orën 3:00 të mëngjesit
• Emri i grupit të synuar për këtë kompjuter: Stacionet e punës - në tastierën WSUS caktoni klientët në grupin e stacioneve të punës
• Nuk ka rinisje automatike me përdoruesit e regjistruar për instalimet e planifikuara të përditësimeve automatike: i çaktivizuar - sistemi do të rindizet automatikisht 10 minuta pasi të përfundojë instalimi i përditësimit
• Specifikoni Intranetin Microsoft shërbimi i përditësimit vendndodhja: Aktivizo. Caktoni shërbimin e përditësimit të intranetit për zbulimin e përditësimeve: http://wsus:8530, Vendosni intranetin serveri i statistikave: http://wsus:8530 – adresa e serverit të korporatës WSUS

Nëse specifikoni adresën http://wsus, sigurohuni që kjo adresë të zgjidhet nga DNS (ping wsus), nëse jo, atëherë shtoni adresën në serverin DNS.

Politika e grupit për instalimin e përditësimeve të WSUS për serverët (ServerWSUSPolicy)

Ju kujtojmë se cilësimet e politikës së grupit janë përgjegjës për funksionimin e shërbimit Përditësimet e Windows ndodhen në seksionin GPO: Konfigurimi i kompjuterit -> Politikat-> Modelet administrative-> Komponenti i Windows-> Përditësimi i Windows (Konfigurimi i kompjuterit -> Politika -> Modelet administrative -> Komponentët e Windows -> Përditësimi i dritares).

Kjo politikë është menduar për serverët për të cilët kemi nevojë për disponueshmëri të vazhdueshme, të paktën gjatë orarit të punës. Për ta arritur këtë, ne parandalojmë instalimin automatik të përditësimeve në serverët e synuar kur ato merren. Supozohet se klienti i serverit WSUS duhet thjesht të shkarkojë përditësimet e disponueshme, më pas shfaqni një sinjalizim dhe prisni konfirmimin nga administratori i sistemit për të filluar instalimin e tij. Në këtë mënyrë sigurojmë që serverët e prodhimit nuk do të instalojnë automatikisht përditësimet dhe nuk do të rinisin pa kontrollin e administratorit.

Në politikë ne tregojmë:

Këshilla. Ne rekomandojmë konfigurimin e të dyja politikave fillimi i detyruar shërbimi i përditësimit (wuauserv) në klient për t'u siguruar që përditësimet arrijnë serverin e synuar. Për ta bërë këtë, në seksionin Konfigurimi i kompjuterit -> Politikat-> Cilësimet e Windows -> Cilësimet e sigurisë -> Shërbimet e sistemit (në rusisht lokalizimi: Konfigurimi i kompjuterit -> Politikat -> Cilësimet e sigurisë-> Shërbimet e sistemit), gjeni shërbimin e Windows Update ( wuauserv) dhe cakto llojin e tij të nisjes në "Automatic".

Caktimi i një politike WSUS në një OU (kontejner) në Active Directory

Më pas do të caktojmë në mënyrë standarde politika për kontejnerët që kemi, në rastin tonë këto janë dy kontejnerë për stacione pune dhe serverë. NË në këtë shembull Ne po shqyrtojmë opsionin më të thjeshtë për lidhjen e politikave WSUS me kompjuterët. Në kushte reale, ju mund të shpërndani një politikë WSUS në të gjitha domenet (GPO është e lidhur me rrënjën e domenit) ose të shpërndani klientë të ndryshëm në kontejnerë të ndryshëm. Për rrjete të mëdha dhe të shpërndara, ia vlen të lidhni serverë të ndryshëm WSUS me faqet AD, ose të caktoni GPO bazuar në filtrat WMI, ose të kombinoni metodat e mësipërme.

Për të lidhur politikën e krijuar me një kontejner, hapni skedarin e redaktimit të politikës së grupit (gpmc.msc), kliko me të djathtën në kontejner -> Lidhni një GPO ekzistuese dhe specifikoni kontejnerin me serverët, në shembullin tonë, serverin në kontejneri i serverëve. Kjo mund të bëhet gjithashtu duke zvarritur dhe hedhur politikën e grupit në kontejner; do të krijohet automatikisht një lidhje me politikën (shigjeta e zezë), që do të thotë se politika është e lidhur me kontejnerin. Më pas, kliko me të djathtën në kontejner dhe -> Përditësimi i Politikës së Grupit.

Për të shpejtuar marrjen e politikës në klient, mund të ekzekutoni komandën: gpupdate /force, këtë komandë shkakton zbatimin e menjëhershëm të Politikës së Grupit.

Dhe pas një periudhe të shkurtër kohe, mund të kontrolloni klientët për njoftime kërcyese rreth disponueshmërisë së përditësimeve të reja. Në tastierën WSUS, klientët duhet të shfaqen në grupet e duhura (tabela tregon emrin e klientit, IP, OS, përqindjen e tyre "të përditësuar" dhe datën e përditësimit të fundit të statusit).

Ekzistojnë një numër komandash të disponueshme për të menaxhuar Shërbimet e Përditësimit të Serverit të Windows (WSUS) dhe shërbimin Wuauclt, më të zakonshmet prej të cilave janë:

/DetectNow - kërkoni për përditësime

/ResetAuthorization - kërkesa për përditësimin e autorizimit

runas /user:admin "wuauclt /detectnow" - kërkoni për përditësime nën një përdorues specifik

/ReportNow - krijoni një raport

www.itworkroom.com

Konfigurimi i klientëve të Windows Server Update Services (WSUS).

Artikulli i mëparshëm, Instalimi i WSUS 3.0 në Windows 2008 R2, përshkroi procesin e instalimit për këtë shërbim rrjeti. Ky postim përshkruan procesin e konfigurimit të kompjuterëve për përditësime nga serverët WSUS të disponueshëm për ju.

Për të konfiguruar kompjuterët në këtë rast, do t'ju duhet redaktuesi i objektit të politikës së grupit. Për ta hapur, bëni sa më poshtë:

1. 1. Hapni menynë Start - Run. Në rreshtin "hapur" - shkruani "mmc" - pastaj OK
2. 2. Në tastierën MMC, hapni menynë File – Shto ose hiq snap-in...
3. 3. Zgjidhni skedarin "Group Policy Object Editor" - U krye - OK
4. 4. Ne duam të krijojmë një rregull për të përditësuar sistemin operativ të kompjuterit. Prandaj, në anën e djathtë të redaktorit, në kutinë "Computer Configuration", hapni degën Politikat - Modelet Administrative - Përbërësit e Windows - Përditësimi i Windows
5. 5. Në anën e djathtë të dritares së redaktorit do të shihni rregullat që përshkruajnë sjelljen e kompjuterëve në lidhje me proceset e përditësimit. Zgjidhni rregullin "Konfiguro përditësimin automatik".
6. 6. Në dritaren e cilësimeve të përditësimit automatik, aktivizoni rregullin dhe specifikoni parametrat. Si parazgjedhje, do të zgjidhet mënyra e cilësimit nr. 3 - njoftimi automatik i shkarkimit dhe instalimit. Në këtë rast, instalimi do të kryhet vetëm pas konfirmimit për përditësimin. Është gjithashtu e mundur të instaloni përditësime sipas një orari. Pasi të keni përfunduar cilësimet, klikoni butonat "Aplikoni" dhe "Cilësimi tjetër".
7. 7. Parametri tjetër do të jetë rregulli "Specifikoni vendndodhjen e shërbimit të përditësimit të Microsoft në intranet", ku duhet të specifikoni vendndodhjen e shërbimit të përditësimit, si dhe serverin e statistikave (zakonisht ky është i njëjti server). Klikoni OK. Në parim, kjo është e mjaftueshme. Por gjithashtu mund të rregulloni mirë procesin e përditësimit. Pasi të keni lexuar këshillat e integruara për rregullat, do të kuptoni se çfarë ju nevojitet.
8. 8. Mbyllni snap-in

Të gjitha... rregullat do të hyjnë në fuqi menjëherë.

Në përgjithësi, ju mund të konfiguroni kompjuterët e domenit në këtë mënyrë. Por nëse administratori i rrjetit i ka bërë tashmë këto cilësime në nivelin e domenit, atëherë rregullat e mësipërme nuk do të zbatohen, pasi ato do të anashkalohen nga politikat e grupit të domenit.

Për të konfiguruar kompjuterët e domenit që të përditësohen nga një server i korporatës WSUS, duhet të keni të drejta administratori të domenit të Windows.

Për të konfiguruar, do t'ju duhet GPMC (Group Policy Management Console).

Në serverët Windows 2008 R2 që veprojnë si kontrollues domeni, ky skedar është instaluar dhe aktivizuar si parazgjedhje. Në serverët e versioneve të mëparshme, mund t'ju duhet ta instaloni veçmas. Ju mund ta shkarkoni pajisjen këtu. Në kompjuterët që funksionojnë Windows 7, është më mirë të instaloni snap-in me çantën e administrimit në distancë RSAT (ekziston një version i lokalizuar). Pas instalimit të kompletit të administrimit në distancë, mos harroni të aktivizoni komponentët e nevojshëm të kontrollit (Paneli i kontrollit - Programet dhe veçoritë - Aktivizoni ose çaktivizoni komponentët e Windows)

Ju duhet të bëni sa më poshtë: 1. Ekzekutoni duke përdorur menynë Start - Run - GPMC.msc

2. Hapni degën Domains – Domain_Name – Group Policy Objects dhe kliko me të djathtën në menunë “Create” 3. Në fushën “Name”, specifikoni emrin e GPO-së së re (le të jetë “WSUS Group Policy”), më pas OK. 4. Në dritaren e djathtë të snap-in, gjeni emrin e objektit tuaj dhe kliko me të djathtën në menunë "Edit". Hapet skedari i redaktimit të menaxhimit të politikave të grupit.

Pra, Objekti i Politikës së Grupit (GPO) është krijuar, por GPO e krijuar është ende vetëm një deklaratë e zhveshur. Në mënyrë që udhëzimi të funksionojë, duhet ta lidhni këtë GPO me kontejnerin përkatës të Windows AD. Janë ata kompjuterë të domenit që janë në këtë kontejner që do të ekzekutojnë këto udhëzime (d.m.th., përditësimin). Ky kontejner mund të jetë një domen, sajt ose departament i tërë. Cilin enë të zgjidhni varet nga ju. Por kriteret janë si më poshtë:

• -- Nëse dëshironi që të gjithë kompjuterët në domenin tuaj të përditësohen, lidhni GPO-në me domenin
• -- Nëse dëshironi të përditësoni vetëm një pjesë të kompjuterëve, për shembull, serverë individualë, krijoni një ndarje në domen, vendosni serverët e nevojshëm atje dhe lidheni me këtë ndarje
• -- Nëse rrjeti juaj ka disa sajte në qytete të ndryshme, atëherë nënrrjetet e këtyre sajteve duhet t'i përkasin sajteve të veçanta. Në këtë rast, për të mos ngarkuar kanalet e komunikimit midis sajteve, ka kuptim të instaloni serverin e vet WSUS në çdo sit dhe të krijoni një GPO të veçantë për secilën faqe që tregon posaçërisht për të. Në të ardhmen, ju duhet t'i lidhni ato me faqet përkatëse (shih figurën më poshtë)

Hapat e mëposhtëm përshkruajnë procesin e lidhjes së GPO-ve që keni krijuar me kontejnerët e duhur të Windows AD.

Le të themi se keni vendosur të përditësoni të gjithë kompjuterët në një domen.

1. Më pas në skedarin e hapur më parë “Group Policy Management”, në anën e majtë të dritares, hapni degën “Forest: Forest_Name – Domains – Domain_Name” 2. Klikoni me të djathtën mbi emrin e domenit tuaj, zgjidhni menuja "Lidhni një GPO ekzistuese..."

3. Në dritaren “Zgjidhni objektin e politikës së grupit”, gjeni GPO-në përkatëse, të cilën më parë e emërtuam “WSUS Group Policy” dhe klikoni OK.

Unë e konsideroj një praktikë të mirë përditësimin e OS-ve të klientëve dhe serverëve duke përdorur politika të veçanta të grupeve të domenit. Në këtë rast, unë vij nga fakti se:

• - është më mirë të përditësoni OS-të e serverëve manualisht si pjesë e mirëmbajtjes së planifikuar (në këtë rast, kujdes është mjaft i përshtatshëm);
• - është më mirë të përditësoni sistemet operative të klientit automatikisht. Përditësimi i tyre manualisht me një flotë të madhe kompjuterësh është shumë problematik dhe përdoruesit nuk kanë gjasa ta bëjnë këtë (edhe nëse u tregohet se si).

Çfarë duhet të bëj?

Së pari, për shembull, duhet të krijoni GPO të veçanta në snap-in GPMC.msc

• Politika e Grupit ServerOS WSUS
• Politika e Grupit ClientOS WSUS

dhe konfiguroni ato për modalitetin manual (automatik të shkarkimit dhe instalimit) dhe modalitetet e përditësimit automatik të OS, përkatësisht.

Së dyti, krijoni dy filtra WMI në të njëjtën snap-in. Janë këta filtra që do të përcaktojnë se cili nga GPO-të e mësipërme do të jetë në fuqi kur përditësohet çdo kompjuter në rrjetin tuaj.

Së treti, ju mund të lidhni filtrat WMI me GPO-të përkatëse, dhe të dyja këto GPO tani mund të lidhen drejtpërdrejt me një domen ose sajt (sipas dëshirës).

Si të krijoni filtra

Në snap-in tashmë të hapur GPMC, shkoni te dega Forest - Domains - _Domain_name_ - Filtrat WMI. Klikoni me të djathtën "Krijo" për të krijuar një filtër të quajtur Server OS dhe DC

I shtojmë një kërkesë në hapësirën rrënjë\CIMv2

zgjidhni * nga Win32_OperatingSystem ku ProductType="2" ose ProductType="3"

Ky filtër do të lejojë që një GPO me emrin "ServerOS WSUS Group Policy" të punojë vetëm me kompjuterë që përdorin serverin OS Windows (duke përfshirë kontrolluesit e domenit).

Në mënyrë të ngjashme, krijoni një filtër të quajtur Client OS "s

Shtoni një kërkesë në të në root\CIMv2

zgjidhni * nga Win32_OperatingSystem ku ProductType="1"

Ky filtër do të lejojë një GPO të quajtur "ClientOS WSUS Group Policy" të punojë vetëm me kompjuterë që përdorin OS Windows të klientit, pavarësisht nga versioni (Windows 2000 pro, Windows XP, Vista, Windows 7 dhe Windows 8)

Filtrat janë gati.

Siç kemi shkruar tashmë, ju duhet të lidhni GPO-të e Politikës së Grupit ServerOS WSUS dhe Politikës së Grupit ClientOS WSUS me filtrat përkatës. Për shembull, kjo mund të bëhet si më poshtë: në degën "Objektet e politikës së grupit", zgjidhni GPO-në e dëshiruar, pastaj në fund të djathtë "WMI Filter" zgjidhni filtrin e dëshiruar nga lista rënëse. Pra, tani kompjuterët e klientëve të domenit do të përditësohen automatikisht dhe serverët do të presin me bindje vëmendjen tuaj.

Kjo përfundon konfigurimin.

Si rezultat i të gjitha veprimeve të mësipërme, ne presim që të fillojmë përditësimin e asaj pjese të kompjuterëve të domenit që, sipas mendimit tonë, duhet t'i nënshtrohen politikës së konfiguruar.

Së pari, mund të shikoni në regjistrat e skedarëve të Menaxhimit të Serverit WSUS për çdo hyrje në lidhje me statusin e klientëve të Përditësimit Automatik.

Së dyti, mund të verifikoni që politika e konfiguruar zbatohet për klientët WSUS. Hapni Panelin e Kontrollit - Windows Update dhe sigurohuni që mesazhi i mëposhtëm të shfaqet në anën e djathtë të dritares së Qendrës së Përditësimit: "Kontrollohet nga administratori i sistemit" (për Windows 7/Vista/2008/2008R2) Nëse nuk është kështu, politika nuk është në fuqi.

Por kjo nuk do të thotë se keni bërë një gabim diku. Kompjuteri mund të mos i ketë përditësuar ende cilësimet e tij nga kontrolluesi i domenit.

Kjo për faktin se politikat e grupit në kompjuterët e domenit nuk zbatohen në çast (përditësimet e GP në rrjetin lokal ndodhin si parazgjedhje në intervale prej 15 minutash dhe përsëritja në faqe ndodh edhe më rrallë). Prandaj, thjesht mund të prisni ose përditësoni politikat e grupit në kompjuterë me komandën

Pas përditësimit të politikave të grupit, përditësimet e Windows do të fillojnë të shkarkohen në kompjuterin tuaj.

Më poshtë është një listë e problemeve të mundshme me WSUS dhe Windows Update:

Serveri WSUS nuk është i disponueshëm (kontrollo cilësimet muri i zjarrit i Windows, serveri IIS, etj.)

Adresa e serverit WSUS u specifikua gabimisht në cilësimet e GPO

Serveri WSUS funksionon port jo standard. Për shembull, serveri WSUS ndodhet në http://wsus.office.local:8080, dhe kur vendosni adresën në GPO, nuk keni specifikuar fare numrin e portit ose keni specifikuar diçka tjetër

Kompjuteri i klientit WSUS nuk po ekzekuton shërbimet e kërkuara (si p.sh. Windows Update dhe Group Policy Client, etj.)

GPO nuk funksionoi për kompjuterë individualë. Në këtë rast, do të duhet të merreni me secilën veç e veç. Unë rekomandoj simulimin e efektit të Politikës së Grupit në kompjuterët me probleme duke përdorur të njëjtin snap-in GPMC.msc. Kjo do t'ju lejojë të verifikoni nëse GPO e krijuar është aplikuar në kompjuterin që po analizohet. Fatkeqësisht, zgjidhja e problemeve të Politikës së Grupit Windows AD është përtej qëllimit të këtij postimi.

Epo, dhe më e rëndësishmja... regjistri i klientit WSUS është këtu --> c:\Windows\WindowsUpdate.log

r67rus.blogspot.ru

Vendosja e WSUS

Windows Server Update Services (WSUS) është një server përditësimi për sistemet operative dhe produktet e Microsoft. Një tastierë shumë e dobishme nëse ka më shumë se 10 kompjuterë në zyrë. Është i dobishëm në atë që ju lejon të "shpërndani" përditësime nga serveri ONE në të gjithë kompjuterët në rrjet, d.m.th., jo çdo kompjuter individual duhet të shkarkojë kanalin e Internetit, por një server shkarkon përditësime dhe "i shpërndan" ato nëpër rrjet në të gjitha stacionet e punës dhe serverët.

Fillimisht, në Windows 2003, ishte e nevojshme të shkarkohej kompleti i shpërndarjes WSUS nga faqja e internetit e Microsoft, me ardhjen e MsWindows 2008 dhe Ms dhe Windows 2008 R2, kjo nevojë u zhduk, sepse Roli WSUS është shfaqur, megjithëse mund ta shkarkoni kompletin e shpërndarjes nga faqja e internetit e Microsoft në mënyrën e vjetër.

Për të instaluar duhet të bëni kerkesa minimale, përkatësisht: Sistemi operativ: Windows Server 2003 SP1 dhe më i lartë. Rolet shtesë të serverit: IIS 6.0 dhe më i lartë (për Windows Server 2008, kur shtoni një rol, do t'ju kërkojë ta instaloni) Përditësimet shtesë të OS: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0. Programe shtesë: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS mund të instalojë shërbimin e bazës së të dhënave të brendshme të Windows). Është e nevojshme të merret parasysh hapësira në hard diskun tuaj; unë do të rekomandoja një minimum prej 100 GB, në varësi të cilësimeve që keni në WSUS.

Pra, pavarësisht se në cilën mënyrë instaloni (duke përdorur një shpërndarje ose duke shtuar një rol), hapat do të jenë të njëjtë.

Pasi të fillojë instalimi, duhet të klikoni Tjetër disa herë. Do të përqendrohem në hapat kryesorë: Ne tregojmë se ku do të ruhen përditësimet (një disk me një kapacitet prej të paktën 100 GB hapesire e lire)

Specifikoni dosjen ku do të ruhet baza e të dhënave të përditësimit (2-4 GB hapësirë ​​të lirë).

Shumë hap i rëndësishëm zgjedhja e portit në të cilin do të shpërndahet përditësimi; si parazgjedhje, përdoret porti 80, por nuk e rekomandoj përdorimin e tij, sepse ky port shpesh përdoret nga aplikacione të tjera. Është më mirë të krijoni një uebsajt të shërbimit WSUS dhe të përdorni portin 8530.

Pas instalimit të shërbimit Wsus, duhet ta konfiguroni saktë, përsëri le të shohim hapat kryesorë: Zgjidhni nga do të marrim përditësime, nëse ky është serveri i parë me Wsus, atëherë zgjidhni sinkronizimin me Microsoft Update.

Gjuhët që zgjidhni duhet të jenë anglisht (kërkohet) + ato gjuhë që gjenden në rrjetin tuaj.

Ne zgjedhim produktet që do të përditësohen (duhet të tregoni vetëm ato që përdorni, përndryshe përditësimet e pakuptimta do të zënë hapësirë ​​në hard diskun tuaj).

Zgjidhni klasat e produkteve që do të përditësohen.

Cilësimet bazë janë përfunduar, le të kalojmë te cilësimet shtesë, duke konfiguruar drejtpërdrejt konsolën WSUS. Për lehtësi, do të rekomandoja krijimin e 2 grupeve kompjuterësh, njëri grup do të ketë serverë, tjetri do të ketë stacione pune (kjo bëhet në mënyrë që ju mund të kufizojë instalimin e përditësimeve për serverët).

Fillimisht, të gjithë kompjuterët do të vendosen në kompjuterët e pacaktuar, më pas duhet t'i zhvendosni manualisht kompjuterët në grupet e kërkuara. Për stacionet e punës, unë rekomandoj instalimin e të gjitha përditësimeve; për ta bërë këtë, shkoni te " Opsionet - Automatike miratim" dhe bëj rregulli tjetër.

Dhe për serverët ne bëjmë një rregull për të miratuar vetëm përditësimet kritike (Për serverët nuk rekomandohet shumë instalimi i të gjitha përditësimeve, pasi kjo mund të shkaktojë ndërprerje në funksionimin e tyre, këtë e kam hasur disa herë).

Tani është e nevojshme të bëhen ndryshime në të gjithë kompjuterët në rrjet, në mënyrë që ata të dinë se nga të "marrin" përditësimet. Kjo bëhet duke përdorur politikat e grupit. Shkoni te kontrolluesi i domenit "Fillimi - Mjetet Administrative - Menaxhimi i Politikave të Grupit". Zgjidhni politikën që funksionon në domen (Politika e paracaktuar e grupit sipas parazgjedhjes) ose krijoni një të re. Klikoni me të djathtën dhe zgjidhni "Ndrysho". Në dritaren "Redaktori i menaxhimit të politikave të grupit", shkoni te "Konfigurimi i kompjuterit - Politikat - Modelet administrative - Komponentët e Windows - Përditësimi i Windows". Më poshtë janë cilësimet e gatshme dhe të testuara. Aty ku është vija e kuqe, shkruani emrin ose adresën IP të serverit tuaj në të cilin është instaluar WSUS.

në rusisht:

Nëse brenda infrastrukturës ka vende pune që nuk janë pjesë e domenit (për shembull, vendet e punës të lëvizshme), por shërbimi i përditësimit për këto vende pune është i nevojshëm, atëherë është e mundur të specifikoni këtë shërbim në "Politikën e Sigurisë Lokale". rreshti i komandës, shkruani gpedit.msc dhe Ne kryejmë të njëjtat operacione që u përshkruan më sipër për politikën e grupit në domen.

Disa minuta pas të gjitha procedurave, kompjuterët e rrjetit do të fillojnë të shfaqen në tastierën Wsus në grupin e kompjuterëve të pacaktuar. Sipas sistemit të tyre operativ, i zhvendosni në grupin e dëshiruar (Server ose Grupi i Punës). Më lejoni t'ju kujtoj se sipas cilësimeve tona, të gjitha përditësimet do të instalohen në kompjuterët që janë në grupin e grupit të punës, vetëm ato kritike për serverët.

pk-help.com

Instaloni dhe konfiguroni WSUS.

Çdo administrator e kupton rëndësinë e përditësimeve në kohë, veçanërisht kur bëhet fjalë për përditësime kritike të sigurisë. Megjithatë, me rritjen e rrjetit dhe rritjen e numrit të produkteve softuerike, kjo bëhet një detyrë shumë e vështirë. Pra, është koha për të vendosur WSUS (Shërbimet e Përditësimit të Serverit të Windows) - server lokal përditësime në rrjetin tuaj.

Me këtë ju do të vrisni disa zogj me një gur: zvogëloni ndjeshëm ngarkesën e kanalit dhe trafikun e konsumuar të internetit, dhe gjithashtu do të merrni në dorë një mjet të fuqishëm për monitorimin dhe menaxhimin e procesit të përditësimit. Tani e tutje, të gjithë kompjuterët lokalë do të përditësohen nga serveri juaj dhe do të instalojnë vetëm përditësimet që zgjidhni.

Kujdes! Ky materialështë menduar për versionet e vjetëruara të Windows Server, ju rekomandojmë gjithashtu të lexoni artikullin aktual: Windows Server 2012 - instalimi dhe konfigurimi i WSUS.

Le të fillojmë. Para se të instaloni WSUS, duhet të përgatisni serverin, ne do të përdorim Windows Server 2008 R2, megjithatë, me ndryshime të vogla, gjithçka që thuhet do të jetë e vërtetë për versionet e tjera të Windows Server. Ajo që na nevojitet:

• IIS 6 ose më i lartë
• .NET Framework 2.0 ose më i lartë,
• Shikuesi i raportit i rishpërndashëm 2008,
• SQL Server 2005 SP2 Express ose më i lartë.

WSUS mund të ruajë përditësimet në bazën e tij të të dhënave ose të përdorë një server SQL, ky i fundit është më i preferueshëm nga pikëpamja e performancës. Nëse tashmë keni një server SQL të vendosur në rrjetin tuaj, mund ta përdorni, përndryshe SQL Express falas është mjaft i përshtatshëm.

Ju mund të merrni të gjithë komponentët e nevojshëm në faqen e internetit të Microsoft:

Kur shkarkoni, kushtojini vëmendje thellësisë së bitit; për një OS 64-bit, ne shkarkojmë versione 64-bit të produkteve.

Mirupafshim shkarkimi në vazhdim Le të shtojmë rolet e serverit. Do të na duhet një Server Web (IIS) dhe një Server Aplikimi (në versionet e mëparshme Windows Server instaloni .NET Framework). Serveri i aplikacionit është instaluar me vlerat e paracaktuara dhe opsionet e mëposhtme duhet të shtohen në serverin e uebit:

• ASP.NET
• Windows - Autentifikimi
• Kompresimi dinamik i përmbajtjes
• Përputhshmëria e menaxhimit të IIS6

Pasi të kemi shtuar rolet e nevojshme, ne do të instalojmë Report Viewer dhe SQL Server me parametrat e paracaktuar. Gjithçka është gati, mund të instaloni WSUS. Pasi të keni nisur instaluesin, zgjidhni instalimin e serverit dhe konsolës së administrimit dhe dosjen e instalimit. Në parametrat e bazës së të dhënave ne tregojmë serverin tonë SQL. Pjesa tjetër e cilësimeve mund të lihen si parazgjedhje.

Magjistari do të nisë menjëherë pas instalimit konfigurimi fillestar. Të gjitha opsionet janë mjaft të thjeshta dhe të qarta. Në cilësimet e sinkronizimit, ne tregojmë se nga do të marrë përditësimet serveri ynë: nga një server Microsoft ose nga një server tjetër WSUS. Opsioni i fundit duhet të përdoret nëse keni nevojë të vendosni një server shtesë përditësimi, për shembull, për një degë. Në këtë rast, serveri skllav do të marrë vetëm përditësimet që ju miratoni.

Në skedën tjetër, nëse është e nevojshme, specifikoni parametrat e serverit proxy dhe bëni lidhjen fillestare. Informacioni nga serveri në rrjedhën e sipërme do të shkarkohet: listat e produkteve, llojet e përditësimeve, etj.

Kur zgjidhni produkte, mos jini të pangopur; tregoni vetëm atë që ju nevojitet vërtet; më vonë mund ta ndryshoni gjithmonë këtë listë.

Në faqen tjetër, tregoni se cilat klasa përditësimesh dëshironi të merrni; këtu gjithçka varet nga politika e përditësimit në ndërmarrjen tuaj. Duhet mbajtur mend se përditësimet e drejtuesve dhe paketat e reja të veçorive nuk rekomandohen të vendosen automatikisht, pa testime paraprake. Nëse nuk keni mundësi ta bëni këtë, atëherë nuk keni nevojë të specifikoni këto klasa.

Mos harroni të vendosni gjithashtu një orar për sinkronizimin me serverin në rrjedhën e sipërme. Kjo përfundon konfigurimin fillestar.

Pasi të keni hapur tastierën (e disponueshme në menunë Administrata), së pari ekzekutoni sinkronizimi manual për të shkarkuar të gjitha përditësimet e disponueshme aktualisht për produktet e zgjedhura. Në varësi të asaj që dhe sa keni zgjedhur gjatë konfigurimit, si dhe shpejtësisë së lidhjes suaj, kjo mund të marrë shumë kohë.

Ndërsa sinkronizimi është në proces, le të konfigurojmë kompjuterët e klientit. Nëse keni të vendosur Active Directory, kjo mund të bëhet duke përdorur politikat e grupit. Hapni Menaxhimin e Politikave të Grupit, zgjidhni objektin e kërkuar dhe kliko me të djathtën dhe kliko Edit. Në dritaren që hapet, zgjidhni Konfigurimi i kompjuterit - Politikat - Modelet Administrative - Përditësimi i Windows. Ne jemi të interesuar për opsionin Specifikoni vendndodhjen e shërbimit të përditësimit të Microsoft në intranet. Ne e kalojmë atë në pozicionin Enabled dhe specifikojmë shtegun për në serverin tonë WSUS në formën http:\\SERVER_NAME.

Ne rekomandojmë gjithashtu konfigurimin e opsionit të cilësimeve të përditësimit automatik, i cili përsëritet plotësisht vendosje të ngjashme në kompjuterët e klientit. Pas njëfarë kohe që kërkohet për të përditësuar politikat e grupit, kompjuterët në rrjetin tuaj do të fillojnë të lidhen me serverin dhe të marrin përditësime.

Nëse rrjeti juaj ka një strukturë peer-to-peer, atëherë do t'ju duhet të konfiguroni çdo PC individualisht. Kjo bëhet përmes Redaktorit të Politikave të Grupit Lokal (Start - Run - gpedit.msc), vetë procesi i konfigurimit është plotësisht i ngjashëm me atë të përshkruar më sipër.

Ju mund të kontrolloni numrin e PC-ve dhe statusin e tyre në seksionin Kompjuterë të tastierës së administrimit.

Ka informacion të mjaftueshëm për të vlerësuar shpejt situatën e përgjithshme dhe për t'i kushtuar vëmendje zonave problematike. Kryqet e kuqe tregojnë se gabimet e përditësimit kanë ndodhur në këto PC; secili rast i tillë duhet të trajtohet veçmas. Për çdo përditësim, gjenerohet një raport i detajuar që përmban të gjitha të dhënat e nevojshme për të analizuar problemin.

Ne rekomandojmë gjithashtu ndarjen e kompjuterit tuaj në grupe; për secilin grup mund të caktoni politikën tuaj të përditësimit. Pra në grup i veçantë ju mund të zgjidhni serverë për të cilët mund të instaloni vetëm automatikisht përditësime kritike sigurinë.

Këtu kemi ardhur te një tjetër vendosje e rëndësishme server - miratim automatik. Kompjuterët e klientëve mund të marrin vetëm përditësime të miratuara, por të bësh gjithçka manualisht çdo herë është joreale, kështu që disa përditësime mund të miratohen automatikisht. Le të hapim Cilësimet - Miratimet automatike dhe të aktivizojmë politikën tashmë atje, e cila ju lejon të instaloni automatikisht përditësime kritike dhe të sigurisë.

Këtu mund të krijoni rregullat tuaja dhe t'i caktoni ato në çdo grup PC. Për shembull, ne krijuam një rregull: miratoni automatikisht të gjitha përditësimet e MS Office për grupin e stacioneve të punës.

Ju mund t'i shikoni të gjitha përditësimet e disponueshme në seksionin Përditësimet dhe këtu mund t'i miratoni ato manualisht. Ne rekomandojmë që të keni një ose më shumë kompjuterë testues (të mundshëm virtualë) dhe të testoni përditësimet dhe paketat e reja të veçorive në to, dhe vetëm pas kësaj të miratoni përditësimet për instalim. Ju mund të miratoni përditësime si për të gjithë kompjuterët ashtu edhe për një grup; si shembull, ne miratuam instalimin e paketës Silverlight për grupin e stacioneve të punës.

Si pjesë e mirëmbajtjes së serverit, ia vlen të pastroni serverin herë pas here (rreth një herë në muaj). Kjo do t'ju lejojë të shmangni rritjen e tepërt të madhësisë së bazës së të dhënave duke fshirë përditësimet e pakërkuara, jo më të nevojshme dhe të pamiratuara.

Si të instaloni diskun Yandex në një kompjuter

Në një nga artikujt e mëparshëm ne përshkruam procedurën në detaje. Pasi të keni konfiguruar serverin, duhet të konfiguroni klientët e Windows (serverët dhe stacionet e punës) për të përdorur serverin WSUS për të marrë përditësime në mënyrë që klientët të marrin përditësime nga serveri i brendshëm i përditësimit dhe jo nga Serverët e Microsoft Përditëso nëpërmjet internetit. Në këtë artikull, ne do të shikojmë procedurën për konfigurimin e klientëve për të përdorur një server WSUS duke përdorur Politikat e Grupit domeni aktiv Drejtoria.

Politikat e Grupit AD lejojnë një administrator të caktojë automatikisht kompjuterë në grupe të ndryshme WSUS, duke eliminuar nevojën për të lëvizur manualisht kompjuterët midis grupeve në tastierën WSUS dhe për t'i mbajtur ato grupe të përditësuara. Caktimi i klientëve në grupe të ndryshme të synuara WSUS bazohet në një etiketë regjistri të klientit (etiketat vendosen nga Politika e Grupit ose duke redaktuar drejtpërdrejt regjistrin). Ky lloj caktimi i klientëve në grupet WSUS quhet klientanësorsynimi(Synimi nga ana e klientit).

Supozohet se rrjeti ynë do të përdorë dy politika të ndryshme përditësimi - një politikë të veçantë instalimi të përditësimeve për serverët ( Serverat) dhe për stacionet e punës ( Stacione pune). Këto dy grupe duhet të krijohen në tastierën WSUS në seksionin Të gjithë kompjuterët.

Këshilla. Politika për mënyrën se si klientët përdorin serverin e përditësimit WSUS varet kryesisht nga Struktura organizative OU në Active Directory dhe përditësoni rregullat e instalimit në organizatë. Në këtë artikull ne do të shohim vetëm opsion privat, i cili ju ndihmon të kuptoni parimet bazë të përdorimit të politikave AD për të instaluar përditësimet e Windows.

Para së gjithash, duhet të specifikoni një rregull për grupimin e kompjuterëve në tastierën WSUS (shënjestrim). Si parazgjedhje, në konsolën WSUS, kompjuterët shpërndahen manualisht nga administratori në grupe (shënjestrimi nga ana e serverit). Ne nuk jemi të kënaqur me këtë, kështu që do të theksojmë se kompjuterët shpërndahen në grupe bazuar në shënjestrimin e klientit (nga një çelës specifik në regjistrin e klientit). Për ta bërë këtë, në tastierën WSUS, shkoni te seksioni Opsione dhe hapni parametrin Kompjuterët. Ndryshoni vlerën në Përdorni politikën e grupit ose cilësimin e regjistrit në kompjuterë(Përdorni Politikat e Grupit ose cilësimet e regjistrit në kompjuterë).

Tani mund të krijoni një GPO për të konfiguruar klientët WSUS. Hapni konsolën e menaxhimit të politikave të domenit dhe krijoni dy politika të reja grupi: ServerWSUSPolicy dhe WorkstationWSUSPolicy.

Politika e grupit WSUS për serverët e Windows

Le të fillojmë me një përshkrim të politikës së serverit Politika e serverit WSUSP.

Cilësimet e politikës së grupit përgjegjës për funksionimin e shërbimit të Windows Update ndodhen në seksionin GPO: KompjuterKonfigurimi -> politikat-> Administrativeshabllone-> DritaretKomponenti-> DritaretPërditëso(Konfigurimi i kompjuterit -> Modelet administrative -> Komponentët e Windows -> Përditësimi i Windows).

Në organizatën tonë, ne presim të përdorim këtë politikë për të instaluar përditësime WSUS në serverët e Windows. Pritet që të gjithë kompjuterët e mbuluar nga kjo politikë t'i caktohen grupit Serverët në tastierën WSUS. Përveç kësaj, ne duam të parandalojmë instalimin automatik të përditësimeve në serverë kur ato merren. Klienti WSUS duhet thjesht të shkarkojë përditësimet e disponueshme në disk, të shfaqë një sinjalizim për përditësime të reja në sirtarin e sistemit dhe të presë që një administrator të fillojë instalimin (me dorë ose duke përdorur në distancë) për të filluar instalimin. Kjo do të thotë që serverët e prodhimit nuk do të instalojnë automatikisht përditësimet dhe nuk do të rinisin pa miratimin e administratorit (kjo punë zakonisht kryhet administratori i sistemit në kuadër të mirëmbajtjes së planifikuar mujore). Për të zbatuar një skemë të tillë, ne do të përcaktojmë politikat e mëposhtme:

• KonfiguroAutomatikPërditësimet(Vendosja e përditësimit automatik): Aktivizo. 3 - AutoShkarkodhenjoftojpërinstaloni(Shkarkoni automatikisht përditësimet dhe ju njoftojmë kur të jenë gati për t'u instaluar)– klienti shkarkon automatikisht përditësime të reja dhe njofton për disponueshmërinë e tyre;
• PërcaktoniIntranetMicrosoftpërditësimishërbimivendndodhjen(Specifikoni vendndodhjen e Microsoft Update në intranet): Aktivizo. Vendosni shërbimin e përditësimit të intranetit për zbulimin e përditësimeve: http://srv-wsus.site:8530, Vendosni serverin e statistikave të intranetit: http://srv-wsus.site:8530– këtu duhet të specifikoni adresën e serverit tuaj WSUS dhe serverit të statistikave (zakonisht ato janë të njëjta);
• Nuk ka rinisje automatike me përdoruesit e regjistruar për instalimet e planifikuara të përditësimeve automatike(Mos kryeni rindezje automatike kur instaloni automatikisht përditësimet nëse ka përdorues në sistem): Aktivizo– ndaloni rindezjen automatike kur ka një sesion përdoruesi;
• Aktivizoklient- anësorsynimi ( Lejo klientin të bashkohet me grupin e synuar): Aktivizo. Emri i grupit të synuar për këtë kompjuter grupi i synuar për këtë kompjuter): Serverat– në tastierën WSUS, caktoni klientët në grupin Serverët.

shënim. Kur vendosni një politikë përditësimi, ju rekomandojmë që të njiheni me kujdes me të gjitha cilësimet e disponueshme në secilën prej opsioneve në seksionin GPO DritaretPërditëso dhe vendosni parametrat që i përshtaten infrastrukturës dhe organizimit tuaj.

Politika e instalimit të përditësimit të WSUS për stacionet e punës

Ne supozojmë se përditësimet në stacionet e punës të klientit, ndryshe nga politika e serverit, do të instalohen automatikisht gjatë natës menjëherë pas marrjes së përditësimeve. Pas instalimit të përditësimeve, kompjuterët duhet të rindizen automatikisht (duke paralajmëruar përdoruesin 5 minuta përpara).

Në këtë GPO (WorkstationWSUSPolicy) ne specifikojmë:

• LejoAutomatikPërditësimeti menjëhershëminstalimi(Lejo instalimin e menjëhershëm të përditësimeve automatike): I paaftë- ndalimi i instalimit të menjëhershëm të përditësimeve kur ato merren;
• Lejojo-administratorëttemarrinpërditësiminjoftimet(Lejo përdoruesit jo administrator të marrin njoftime për përditësime): Aktivizuar- shfaqni një paralajmërim për jo-administratorët për përditësimet e reja dhe lejoni instalimin manual të tyre;
• Konfiguro përditësimet automatike:Aktivizuar. Konfiguro përditësimin automatik: 4 - Shkarkoni automatikisht dhe planifikoni instalimin. Dita e planifikuar e instalimit: 0 - Çdoditë. Koha e planifikuar e instalimit: 05:00 – kur merren përditësimet e reja, klienti i shkarkon ato në memorien lokale dhe planifikon instalimin e tyre automatik në orën 5:00 të mëngjesit;
• Emri i grupit të synuar për këtë kompjuter: Stacione pune– në tastierën WSUS, caktoni klientin në grupin e stacioneve të punës;
• Nuk ka rinisje automatike me përdoruesit e regjistruar për instalimet e planifikuara të përditësimeve automatike: I paaftë- sistemi do të rindizet automatikisht 5 minuta pas përfundimit të instalimit të përditësimit;
• Specifikoni Intranetin Përditësimi i Microsoft vendndodhjen e shërbimit: Aktivizo. Vendosni shërbimin e përditësimit të intranetit për zbulimin e përditësimeve: http://srv-wsus.site:8530, Vendosni serverin e statistikave të intranetit: http://srv-wsus.site:8530– adresa e serverit të korporatës WSUS.

Në Windows 10 1607 dhe më lart, edhe pse i keni udhëzuar të marrin përditësime nga WSUS e brendshme, ata mund të përpiqen të kenë qasje serverët Windows Përditëso në internet. Kjo "veçori" quhet DyfishtëSkanoni. Për të çaktivizuar marrjen e përditësimeve nga Interneti, duhet të aktivizoni gjithashtu politikën BënijolejojnëpërditësimishtyrjepolitikatteshkakuskanimekundërDritaretPërditëso ().

Këshilla. Për të përmirësuar "nivelin e korrigjimit" të kompjuterëve në një organizatë, të dyja politikat mund të konfigurohen për të detyruar fillimin e shërbimit të përditësimit (wuauserv) te klientët. Për ta bërë këtë, në seksionin Konfigurimi i kompjuterit -> Politikat-> Cilësimet e Windows -> Cilësimet e sigurisë -> Shërbimet e sistemit Gjeni shërbimin e Windows Update dhe vendoseni që të fillojë automatikisht ( Automatik).

Caktimi i politikave WSUS në OU të Active Directory

Hapi tjetër është caktimi i politikave të krijuara në kontejnerët e duhur të Active Directory (OU). Në shembullin tonë, struktura OU në domenin AD është aq e thjeshtë sa të jetë e mundur: ka dy kontejnerë - Serverët (ai përmban të gjithë serverët e organizatës, përveç kontrolluesve të domenit) dhe WKS (Stacionet e punës - kompjuterët e përdoruesve).

Këshilla. Ne po shqyrtojmë vetëm një opsion mjaft të thjeshtë për lidhjen e politikave të WSUS me klientët. NË organizatat realeështë e mundur të lidhni një politikë WSUS me të gjithë kompjuterët në domen (GPO me cilësimet WSUS është bashkangjitur në rrënjën e domenit), përhapur lloje te ndryshme klientë në OU të ndryshme (si në shembullin tonë - ne krijuam politika të ndryshme WSUS për serverët dhe stacionet e punës), në domene të mëdha të shpërndara ju mund të lidhni, ose të caktoni GPO bazuar në, ose të kombinoni metodat e mësipërme.

Për t'i caktuar një politikë një OU, klikoni në OU të dëshiruar në panelin e menaxhimit të politikave të grupit dhe zgjidhni artikullin e menysë Lidhja si GPO ekzistuese dhe zgjidhni politikën e duhur.

Këshilla. Mos harroni për një OU të veçantë me kontrollues domeni (Kontrolluesit e domenit); në shumicën e rasteve, politika e "serverit" WSUS duhet t'i caktohet këtij kontejneri.

Pikërisht në të njëjtën mënyrë, ju duhet të caktoni politikën WorkstationWSUSPolicy në kontejnerin AD WKS në të cilin ndodhen stacionet e punës të Windows.

Gjithçka që mbetet është të përditësohen politikat e grupit për klientët për të lidhur klientin me serverin WSUS:

Të gjitha cilësimet e sistemit të përditësimit të Windows që kemi vendosur duke përdorur politikat e grupit duhet të shfaqen në regjistrin e klientit në degë HKEY_LOCAL_MACHINE\SOFTWARE\Politics\Microsoft\Windows\WindowsUpdate.

Të skedar reg mund të përdoret për të transferuar cilësimet WSUS në kompjuterë të tjerë që nuk mund të konfigurojnë cilësimet e përditësimit duke përdorur GPO (kompjuterë në një grup pune, segmente të izoluara, DMZ, etj.)

Dritaret Redaktori i Regjistrit Versioni 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Serverët"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Është gjithashtu i përshtatshëm për të kontrolluar cilësimet e aplikuara të WSUS tek klientët duke përdorur rsop.msc.

Dhe pas ca kohësh (në varësi të numrit të përditësimeve dhe gjerësia e brezit kanali në serverin WSUS) duhet të kontrolloni tabakanë për njoftime që shfaqen në lidhje me praninë e përditësimeve të reja. Në tastierën WSUS, klientët duhet të shfaqen në grupet e duhura (në formë tabelare shfaq emrin e klientit, IP, OS, përqindjen e "patchedness" të tyre dhe datën e përditësimit të fundit të statusit). Sepse Ne u kemi caktuar kompjuterë dhe serverë grupeve të ndryshme WSUS sipas politikave; ata do të marrin vetëm përditësime të miratuara për instalim në grupet përkatëse WSUS.

shënim. Nëse përditësimet nuk shfaqen në klient, rekomandohet që të ekzaminoni me kujdes regjistrin e Shërbimit të Windows Update në klientin problematik (C:\Windows\WindowsUpdate.log). Ju lutemi vini re se Windows 10 (Windows Server 2016) përdor . Klienti shkarkon përditësime në dosjen lokale C:\Windows\SoftwareDistribution\Download. Për të filluar kërkimin për përditësime të reja në serverin WSUS, duhet të ekzekutoni komandën:

wuauclt/zbuloj

Gjithashtu, ndonjëherë ju duhet të riregjistroni me forcë klientin Serveri WSUS:

wuauclt /detectnow /resetAuthorization

Në raste veçanërisht të vështira, mund të përpiqeni të rregulloni shërbimin wuauserv. Nëse kjo ndodh, provoni të ndryshoni frekuencën e kontrollit për përditësime në serverin WSUS duke përdorur politikën e frekuencës së zbulimit të përditësimit automatik.

Në artikullin tjetër do të përshkruajmë veçoritë. Ne ju rekomandojmë gjithashtu që të lexoni artikullin midis grupeve në një server WSUS.