Konfigurálja a WSUS-ügyfeleket a csoportházirendek segítségével

Egy előző cikkben részletesen ismertettük a Windows Server 2012 R2 / 2016 alapú WSUS-kiszolgáló telepítésének eljárását. A kiszolgáló konfigurálása után a Windows-ügyfeleket (szerverek és munkaállomások) úgy kell konfigurálnia, hogy a WSUS-kiszolgálót frissítések fogadására használják, hogy az ügyfelek a belső frissítőkiszolgálótól kapott frissítéseket, nem pedig a Microsoft Update kiszolgálóitól az interneten keresztül. Ebben a cikkben megvizsgáljuk, hogyan konfigurálhatjuk az ügyfeleket a WSUS használatához az Active Directory tartományi csoportszabályainak használatával..

Tartalom:

  • WSUS csoportházirend a Windows kiszolgálókhoz
  • A WSUS frissíti a munkaállomások telepítési irányelveit
  • Rendeljen WSUS-házirendeket az Active Directory OU-hoz

Az AD-csoport házirendek lehetővé teszik a rendszergazda számára a számítógépek automatikus hozzárendelését a különböző WSUS-csoportokhoz, elkerülve a számítógépek kézi mozgatását a WSUS-konzol csoportjai között, és ezeket a csoportokat naprakészen tartva. Az ügyfelek különböző WSUS célcsoportokhoz rendelése az ügyfél nyilvántartásában szereplő címke alapján történik (a címkéket a csoportházirend vagy a beállításjegyzék közvetlen szerkesztése határozza meg). Az ilyen típusú ügyfelek WSUS-leképezését hívják ügyfél oldalsó célzás (Ügyféloldali célzás).

Feltételezzük, hogy hálózatunk két különféle frissítési házirendet fog használni - külön házirendet a szerver frissítéseinek telepítésére (szerverek) és munkaállomások számára (munkaállomások). Ezt a két csoportot a WSUS konzolban, az Összes számítógép szakaszban kell létrehozni..

tanács. A WSUS frissítési kiszolgáló ügyfelek használatára vonatkozó politika nagymértékben függ az Active Directory OU szervezeti felépítésétől és a frissítés telepítésének szabályaitól. Ebben a cikkben csak egy olyan privát opciót vizsgálunk meg, amely segít megérteni az AD házirendeknek a Windows frissítések telepítéséhez történő használatának alapelveit..

Mindenekelőtt meg kell határoznia a számítógépek WSUS-konzolon történő csoportosítási szabályát (célzás). Alapértelmezés szerint a WSUS konzolban az adminisztrátorok a számítógépeket manuálisan csoportosítják a csoportokhoz (szerveroldali célzás). Ez nem felel meg nekünk, ezért azt jelezzük, hogy a számítógépek csoportokban vannak elosztva az ügyféloldali célzás alapján (az ügyfél-nyilvántartás meghatározott kulcsával). Ehhez lépjen a WSUS konzolon a következőre: Options és nyissa meg az opciót Számítógépek. Változtassa meg az értéket Használjon csoportházirendet vagy regisztrációs beállítást a számítógépeken (Használjon csoportházirendet vagy regisztrációs beállításokat a számítógépeken). 

Most létrehozhat egy csoportházirend-objektumot a WSUS-ügyfelek konfigurálásához. Nyissa meg a Csoportházirend-kezelési tartománykonzolt, és hozzon létre két új csoportházirendet: ServerWSUSPolicy és WorkstationWSUSPolicy.

WSUS csoportházirend a Windows kiszolgálókhoz

Kezdjük a szerver házirendjének leírásával. ServerWSUSPolicy.

A Windows Update szolgáltatás üzemeltetéséért felelős csoportszabályok beállításai a GPO szakaszban találhatók: számítógép Configuration -> házirendje-> közigazgatási sablonok-> A windows összetevő-> A windows frissítés (Számítógépes konfiguráció -> Felügyeleti sablonok -> Windows-összetevők -> Windows Update).

Szervezetünkben ezt a házirendet szándékozunk a WSUS frissítések telepítésére a Windows szerverekre. Feltételezzük, hogy az összes számítógép, amelyre ez a házirend vonatkozik, a WSUS konzol Kiszolgálók csoportjába kerül. Ezenkívül meg akarjuk tiltani a frissítések automatikus telepítését a szerverekre, amikor azok megérkeznek. A WSUS kliensnek egyszerűen le kell töltenie a rendelkezésre álló frissítéseket a lemezen, megjeleníteni egy értesítést az új frissítések elérhetőségéről a tálcán, és várnia, amíg az adminisztrátor megkezdi a telepítést (kézi vagy távvezérlő a PSWindowsUpdate modul segítségével) a telepítés megkezdéséhez. Ez azt jelenti, hogy a produktív kiszolgálók nem telepítik automatikusan a frissítéseket és nem indulnak újra az adminisztrátor jóváhagyása nélkül (általában ezeket a feladatokat a rendszergazda havonta ütemezett karbantartási munkák részeként hajtja végre). Egy ilyen rendszer megvalósításához az alábbi irányelveket állítottuk be:

  • konfigurálása automatikus Frissítés (Automatikus frissítések konfigurálása): engedélyezése. 3 - Automatikus letöltés és értesít mert felszerel (A frissítések automatikus letöltése, és értesítés a telepítésre való felkészültségről) - az ügyfél automatikusan letölti az új frissítéseket, és értesíti őket megjelenéséről;
  • Bővített Intranet Microsoft frissítés szolgáltatás elhelyezkedés (Adja meg a Microsoft Update Service helyét az intraneten): engedélyezése.  Az intranet frissítési szolgáltatásának beállítása a frissítések észleléséhez (Adjon meg egy intranetes frissítési szolgáltatást a frissítések kereséséhez): http://srv-wsus.winitpro.ru:8530, Állítsa be az intranetes statisztikai szervert (Adja meg az intraneten a statisztikai szervert): http://srv-wsus.winitpro.ru:8530 - itt meg kell adnia a WSUS-kiszolgáló és a statisztikai kiszolgáló címét (általában egybeesnek);
  • Nincs automatikus újraindítás bejelentkezett felhasználókkal az ütemezett automatikus frissítés telepítéséhez (Ne indítsa újra automatikusan, ha a frissítések automatikusan települnek, ha a felhasználó a rendszeren dolgozik): engedélyezése - tiltsa az automatikus újraindítást felhasználói munkamenet jelenlétében;
  • engedélyezése ügyfél-oldalsó célzás (Engedélyezze az ügyfél csatlakozását a célcsoporthoz): engedélyezése. Célcsoport neve ehhez a számítógéphez: szerverek - a WSUS konzolban rendeljen klienseket a kiszolgálók csoporthoz.
megjegyzés. A frissítési házirend beállításakor azt javasoljuk, hogy alaposan ismerkedjen meg a csoportházirend-objektum szakaszban szereplő opciókban elérhető összes beállítással. A windows frissítés és állítsa be az infrastruktúra és a szervezet számára megfelelő paramétereket.

A WSUS frissíti a munkaállomások telepítési irányelveit

Feltételezzük, hogy az ügyfél munkaállomások frissítései, a kiszolgálói házirendektől eltérően, automatikusan éjszaka települnek, közvetlenül a frissítések kézhezvétele után. A számítógépeknek a frissítések telepítése után automatikusan újra kell indulniuk (figyelmeztetik a felhasználót 5 perc alatt).

Ebben a csoportházirend-objektumban (WorkstationWSUSPolicy) meghatározzuk:

  • Hagyjuk automatikus Frissítés azonnali telepítés (Az automatikus frissítések azonnali telepítésének engedélyezése): mozgássérült - a frissítések azonnali telepítésének tilalma a kézhezvétel után;
  • Hagyjuk nem-adminisztrátorok hogy kap frissítés értesítések (Engedélyezze a nem adminisztrátorok számára, hogy frissítési értesítéseket kapjanak): Bekapcsolt - Figyelmeztetés a nem rendszergazdák számára az új frissítésekről, és engedélyezze azok kézi telepítését;
  • Az automatikus frissítések konfigurálása: Bekapcsolt.   Konfigurálja az automatikus frissítést: 4 - Automatikus letöltés és ütemezés a telepítéshez. Ütemezett telepítési nap: 0 - minden nap. Ütemezett telepítési idő: 05:00 - Az új frissítések kézhezvétele után az ügyfél letölt a helyi gyorsítótárba, és azt tervezi, hogy reggel 5-kor automatikusan telepíti azokat;
  • Célcsoport neve ehhez a számítógéphez: munkaállomások - a WSUS konzolban rendelje hozzá az ügyfelet a munkaállomások csoporthoz;
  • Nincs automatikus újraindítás a bejelentkezett felhasználókkal az ütemezett automatikus frissítés telepítéséhez: mozgássérült - a rendszer automatikusan újraindul 5 perccel a frissítések telepítése után;
  • Adja meg az intranetes Microsoft frissítési szolgáltatás helyét: Engedélyezés. Az intranet frissítési szolgáltatásának beállítása a frissítések észleléséhez: http://srv-wsus.winitpro.ru:8530, Állítsa be az intranetes statisztikai kiszolgálót: http://srv-wsus.winitpro.ru:8530 -vállalati WSUS szerver címe.

A Windows 10 1607 vagy újabb verziókban, bár azt mondtad nekik, hogy frissítéseket kapjanak a belső WSUS-tól, továbbra is megpróbálhatják elérni a Windows Update kiszolgálókat az interneten. Ezt a "funkciót" hívják kettős letapogatás. Az internetről történő frissítések fogadásának letiltásához további engedélyeznie kell a házirendet Do nem lehetővé frissítés halasztás politikák hogy ok vizsgál ellen A windows frissítés (Referencia).

tanács. A számítógépek "javított szintjének" javításához a szervezetben mindkét házirendben beállíthatja a frissítési szolgáltatás (wuauserv) kényszerített indítását az ügyfeleknél. Erre a szakaszban Számítógép konfigurálása -> Házirendek-> Windows beállítások -> Biztonsági beállítások -> Rendszer szolgáltatások keresse meg a Windows Update szolgáltatást, és állítsa be az automatikus indításra (automatikus).

Rendeljen WSUS-házirendeket az Active Directory OU-hoz

A következő lépés a létrehozott házirendek hozzárendelése a megfelelő Active Directory tárolókhoz (OU). Példánkban az OU struktúrája az AD tartományban a lehető legegyszerűbb: két tároló van - Szerverek (a tartományvezérlőkön kívül tartalmazza a szervezet összes szerverét) és WKS (munkaállomások-felhasználói számítógépek).

tanács. Csak egy meglehetősen egyszerű lehetőséget fontolgatunk a WSUS-irányelveknek az ügyfelekhez történő kötéséhez. Valódi szervezetekben lehetséges egy WSUS-házirendet kötni a domain összes számítógépéhez (a domain gyökerébe egy WSUS-beállításokkal rendelkező GPO-t lógnak), különféle ügyféltípusokat eloszthatunk különböző OU-kba (mint például a példánkban különféle WSUS-irányelveket hoztunk létre a szerverekhez és a munkaállomásokhoz), nagyban az elosztott tartományok különféle WSUS-kiszolgálókat köthetnek AD-helyekhez, vagy WMI-szűrők alapján rendelhetnek GPO-kat, vagy kombinálhatják a fenti módszereket.

Házirend hozzárendelése OU-hoz, kattintson a kívánt OU-ra a csoportházirend-kezelési konzolban, válassza a menüpontot Link létező csoportházirend-objektumként és válassza ki a megfelelő irányelvet.

tanács. Ne felejtsen el egy különálló egységet a tartományvezérlőkkel (tartományvezérlőkkel), a legtöbb esetben a WSUS szerver házirendet kell hozzárendelni ehhez a tárolóhoz.

Pontosan ugyanúgy hozzá kell rendelnie a WorkstationWSUSPolicy házirendet az AD WKS tárolóhoz, amelyben a Windows munkaállomások találhatók..

A klienscsoport WSUS-kiszolgálóhoz történő kötéséhez továbbra is frissíteni kell az ügyfélcsoport-irányelveket:

gpupdate / force

A Windows házirend-frissítő rendszercsoportcsoport-házirendek által beállított összes beállításának megjelennie kell az ág kliens-nyilvántartásában HKEY_LOCAL_MACHINE \ SOFTWARE \ házirendek \ Microsoft \ Windows \ WindowsUpdate.

Ez a reg-fájl felhasználható a WSUS-beállítások átvitelére más számítógépekre, amelyeken nem lehet a frissítési beállításokat GPO-val konfigurálni (munkacsoportbeli számítógépek, izolált szegmensek, DMZ stb.)

A Windows beállításjegyzék-szerkesztő 5.00-as verziója
[HKEY_LOCAL_MACHINE \ SZOFTVER \ irányelvek \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Szerverek"
"ElevateNonAdmins" = jel: 00000000
[HKEY_LOCAL_MACHINE \ SZOFTVER \ irányelvek \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
"AUOptions" = dword: 00000003
"ScheduledInstallDay" = jel: 00000000
"ScheduledInstallTime" = szó: 00000003
"ScheduledInstallEveryWeek" = jel: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001

Ezenkívül az rsop.msc használatával az ügyfeleknél alkalmazott WSUS-beállításokat is figyelemmel lehet kísérni.

És egy idő után (a frissítések számától és a WSUS szerver csatorna sávszélességétől függően) ellenőriznie kell a tálcán az előugró értesítéseket az új frissítésekről. Az ügyfeleknek meg kell jelenniük a WSUS konzolban a megfelelő csoportokban (a táblázat megjeleníti az ügyfél nevét, IP-t, operációs rendszert, a javításuk százalékát és az utolsó állapotfrissítés dátumát). mert a politikusok különféle WSUS-csoportokhoz rendeltek számítógépeket és kiszolgálókat, ők csak a megfelelő WSUS-csoportokba telepítésre jóváhagyott frissítéseket kapnak.

megjegyzés. Ha a frissítések nem jelennek meg az ügyfélen, javasoljuk, hogy alaposan vizsgálja meg a Windows frissítési szolgáltatás naplóját a problémás ügyfélen (C: \ Windows \ WindowsUpdate.log). Vegye figyelembe, hogy a Windows 10 (Windows Server 2016) más WindowsUpdate.log frissítési naplóformátumot használ. Az ügyfél frissítéseket tölt le a helyi C: \ Windows \ SoftwareDistribution \ Download mappába. Az új frissítések keresésének a WSUS-kiszolgálón történő elindításához a következő parancsot kell futtatnia:

wuauclt / detektál

Ezenkívül néha kényszerítenie kell az ügyfelet, hogy újra regisztráljon a WSUS szerveren:

wuauclt / detektívan / resetAuthorization

Különösen nehéz esetekben megpróbálhatja megjavítani a wuauserv szolgáltatást. Ha a 0x80244010 számú hiba jelentkezik az ügyfelek frissítéseinek fogadása közben, próbálja meg módosítani a frissítések keresésének gyakoriságát a WSUS-kiszolgálón az Automatikus frissítés észlelési frekvenciaszabályzat segítségével.

A következő cikkben leírjuk a frissítések jóváhagyásának a WSUS-kiszolgálón jellemzőit. Azt is javasoljuk, hogy olvassa el a jóváhagyott frissítéseknek a WSUS-kiszolgálón lévő csoportok közötti átviteléről szóló cikket..