Már jó ideje a Windows Server Update Services (WSUS) kiszolgálón a frissítések jóváhagyásának (jóváhagyásának) módjáról és tulajdonságairól szóló cikk volt a tervezetben, és az egyik szokásos előfizető kitartó kérésére úgy döntöttem, hogy befejezem és közzéteszem azt..
A WSUS-rendszergazda egyik fő feladata a számítógépen és a Windows-kiszolgálón történő telepítésre jóváhagyott frissítések kezelése. A telepítés és a konfigurálás után a WSUS-kiszolgáló rendszeresen elkezdi a kiválasztott termékek frissítéseinek letöltését a Microsoft Update-kiszolgálókról..
Tartalom:
- WSUS számítógép célcsoportok
- A frissítések manuális jóváhagyása és telepítése a WSUS segítségével
- Konfigurálja a WSUS frissítéseinek automatikus jóváhagyására vonatkozó szabályokat
- A WSUS telepített frissítéseinek visszavonása
- A WSUS termelékenység-jóváhagyási jóváhagyási módszertana
WSUS számítógép célcsoportok
Miután a frissítések a WSUS adatbázisban vannak, telepíthetők a számítógépekre. Mielőtt azonban a számítógépek megkezdenék az új frissítések letöltését és telepítését, azokat a WSUS rendszergazdájának jóvá kell hagynia (vagy el kell utasítania). Fontos szem előtt tartani, hogy a frissítéseknek a produktív rendszerekre történő telepítése előtt a legtöbb esetben számos tipikus munkaállomáson és kiszolgálón kell tesztelni őket..
A tesztelési folyamat megszervezéséhez és a frissítés telepítéséhez a számítógépekre és a tartománykiszolgálókra a WSUS rendszergazdájának számítógépes csoportokat kell létrehoznia. Az üzleti feladatoktól, a felhasználói munkaállomások típusától és a szerverkategóriáktól függően különféle számítógépcsoportok hozhatók létre. Általában a WSUS konzol alatt Számítógépek -> Minden számítógép Érdemes a következő csoportokat létrehozni a WSUS-on:
- Test_Srv_WSUS - csoport tesztkiszolgálókkal (nem kritikus az üzleti szerverekre és a dedikált szerverekre, a tesztkörnyezettel megegyezően a produktívkal);
- Test_Wks_WSUS - teszt munkaállomások;
- Prod_Srv_WSUS - produktív Windows szerver;
- Prod_Wks_WSUS - minden felhasználói munkaállomás.
Ezeket a számítógépcsoportokat manuálisan kitölthetjük a szerverekkel (ez általában a tesztcsoportoknak van értelme), vagy a csoportházirenddel összekapcsolhatjuk a számítógépeket és a kiszolgálókat a WSUS-csoportokkal. Engedélyezze az ügyféloldali célzást (Az ügyfél csatlakozása a célcsoporthoz).
A csoportok létrehozása után jóváhagyhatja a frissítéseket. Kétféle módon hagyhatja jóvá a frissítéseket a számítógépen történő telepítéshez: kézi és automatikus frissítések.
A frissítések manuális jóváhagyása és telepítése a WSUS segítségével
Nyissa meg a WSUS felügyeleti konzolt (frissítési szolgáltatások) és válassza ki a részt Frissítés. Összefoglaló jelentést jelenít meg az elérhető frissítésekről. Ebben a szakaszban alapértelmezés szerint négy alszakasz található: Minden frissítés, Kritikus frissítések, Biztonsági frissítések és WSUS frissítések. Egy adott frissítést a telepítéshez jóváhagyhat, ha megtalálja az alábbi szakaszok egyikében (használhatja a keresést a KB név alapján a frissítési keresőpulton vagy a Microsoft biztonsági közleményszámán), vagy rendezheti a frissítéseket kiadási dátum vagy számok szerint.
Jelenítse meg a még nem jóváhagyott frissítések listáját (szűrő - jóváhagyás = nem jóváhagyva). Keresse meg a szükséges frissítést, kattintson rá az RMB segítségével és válassza a menüpontot jóváhagy.
A megjelenő ablakban válassza ki a WSUS számítógépek azon csoportját, amelyre jóváhagyja a frissítés telepítését (például Test_Srv_WSUS). Válassza ki az elemet Jóváhagyja a telepítést. Azonnal jóváhagyhatja a frissítést az összes számítógépcsoporthoz a kiválasztásával Minden számítógép, vagy minden csoportra külön-külön. Például először jóváhagyhatja a frissítések telepítését egy tesztszámítógép-csoportra, és 4-7 nap elteltével, ha nincs probléma, hagyja jóvá a frissítés telepítését minden számítógépre.
Megjelenik egy ablak a frissítés jóváhagyási folyamatának eredményeivel. Ha a frissítést sikeresen jóváhagyták, akkor az üzenet jelenik meg. siker. Zárja be ezt az ablakot.
Amint megérti, ez egy kézi séma a konkrét frissítések jóváhagyásához. Ez elég fárasztó, mert Minden frissítést külön-külön jóvá kell hagyni. Ha nem akarja jóváhagyni a frissítéseket manuálisan, akkor létrehozhat szabályokat a frissítések automatikus jóváhagyására (automatikus jóváhagyás).
Konfigurálja a WSUS frissítéseinek automatikus jóváhagyására vonatkozó szabályokat
Az automatikus jóváhagyás lehetővé teszi, hogy rendszergazdai beavatkozás nélkül azonnal jóváhagyja a WSUS-kiszolgálón megjelent új frissítéseket, és beillesztheti őket az ügyfelekre történő telepítésre. A WSUS frissítéseinek automatikus jóváhagyása a jóváhagyási szabályok alapján.
A WSUS Management Console-ban nyissa meg a részt Options és válassza ki Automatikus jóváhagyások.
A fülön megjelenő ablakban Frissítési szabályok csak egy szabály van megadva a névvel Alapértelmezett automatikus jóváhagyási szabály (alapértelmezés szerint le van tiltva).
Új szabály létrehozásához kattintson a gombra. Új szabály.
A szabály 3 lépésből áll. Ki kell választania a szükséges frissítési tulajdonságokat, ki kell választania a frissítés jóváhagyásához szükséges WSUS számítógépek csoportjait és a szabály nevét.
Az egyes kék hivatkozásokra kattintva megnyílik a megfelelő tulajdonságok ablaka..
Engedélyezheti például a tesztkiszolgálók biztonsági frissítéseinek automatikus jóváhagyását. Ehhez válassza a Klasszikus frissítések kiválasztása szakaszban a Kritikus frissítéseket, Biztonsági frissítéseket, Meghatározási frissítéseket (törölje a fennmaradó dalok jelölését). Ezután a Frissítés jóváhagyása párbeszédpanelen válassza ki a Test_Srv_WSUS nevű WSUS csoportot.
lap fejlett Kiválaszthatja, hogy automatikusan jóváhagyja-e a WSUS frissítéseit, és jóváhagyja-e a Microsoft által módosított frissítéseket is. Általában ezen a lapon az összes hajnal be van kapcsolva..
Most, amikor a hónap második második kedden a WSUS-kiszolgáló letölt új frissítéseket (vagy manuálisan importálva a frissítéseket), akkor azok jóváhagyásra kerülnek a tesztcsoport automatikus telepítéséhez. A Windows kliensek alapértelmezés szerint 22 óránként ellenőrzik az új frissítéseket a WSUS kiszolgálón. Annak biztosítása érdekében, hogy a kritikus számítógépek a lehető leghamarabb új frissítéseket kapjanak, megváltoztathatja az ilyen szinkronizálás gyakoriságát az automatikus frissítés észlelési frekvenciaszabályzatával akár több órán keresztül (a PSWindowsUpdate modul használatával manuálisan is megkeresheti a frissítéseket). A WSUS-kiszolgálón nagyszámú ügyfél esetén (több mint 2000 számítógép) a frissítési kiszolgáló teljesítménye normál beállításokkal nem kielégítő, ezért optimalizálni kell (lásd a cikket).
A WSUS telepített frissítéseinek visszavonása
Ha az egyik jóváhagyott frissítés problémásnak bizonyult, és hibákat okoz a számítógépekben vagy a szerverekben, a WSUS rendszergazda visszavonhatja azt. Ehhez keresse meg a frissítést a WSUS konzolban, és válassza a lehetőséget hanyatlás. Akkor jelezze
Most válassza ki azt a WSUS-csoportot, amelynek a telepítését meg szeretné szakítani, majd válassza a lehetőséget Eltávolításra jóváhagyva. Néhány idő múlva a frissítés törlődik az ügyfélen (további részletek: A Windows frissítések eltávolításának módszerei című cikkben)..
A WSUS termelékenység-jóváhagyási jóváhagyási módszertana
Miután telepítette és tesztelte a frissítéseket a tesztcsoportokban, és megbizonyosodott arról, hogy nincsenek minták (általában 3-6 nap elegendő a teszteléshez), jóváhagyhatja az új frissítéseket a produktív rendszerekre történő telepítéshez. Ezenkívül nem tudja automatikusan jóváhagyni a frissítéseket némi késéssel (például 7 nap után) a produktív rendszereken.
Sajnos a WSUS konzol nem tudja lemásolni az összes jóváhagyott frissítést a WSUS számítógépek egyik csoportjából a másikba. Egyszerre kereshet új frissítéseket, és manuálisan jóváhagyhatja azokat a hatékonyabb kiszolgálók és számítógépek csoportjába történő telepítéshez. Ez elég hosszú és fárasztó.
Saját magamnak készítettem egy kis PowerShell-parancsfájlt, amely összegyűjti a tesztcsoport számára jóváhagyott frissítések listáját, és automatikusan jóváhagyja az összes észlelt frissítést a produktív csoportba (lásd: A jóváhagyott frissítések másolása a WSUS csoportok között). Most futtatom ezt a szkriptet 7 nappal a frissítések telepítése és a tesztcsoportok tesztelése után. Ha a javítások között problémás javítások találhatók, azokat el kell utasítani a tesztcsoporton..
