V prejšnjem članku smo podrobno opisali postopek namestitve strežnika WSUS, ki temelji na sistemu Windows Server 2012 R2 / 2016. Ko konfigurirate strežnik, morate konfigurirati Windows odjemalce (strežnike in delovne postaje) za uporabo strežnika WSUS za prejem posodobitev, tako da bodo odjemalci prejemali posodobitve od notranjega strežnika za posodobitve in ne s strežnikov Microsoft Update prek interneta. V tem članku bomo pogledali, kako konfigurirati odjemalce za uporabo WSUS z uporabo pravilnikov skupin domen Active Directory..
Vsebina:
- Pravilnik skupine WSUS za strežnike Windows
- WSUS posodablja namestitveno politiko za delovne postaje
- Določite pravila WSUS za Active Directory OU
Politike skupin AD omogočajo skrbniku, da samodejno dodeli računalnik različnim skupinam WSUS, kar odpravi potrebo po ročnem premikanju računalnikov med skupinami na konzoli WSUS in posodabljanje teh skupin. Dodeljevanje strank različnim ciljnim skupinam WSUS temelji na oznaki v registru na odjemalcu (oznake so določene s skupinsko politiko ali z neposrednim urejanjem registra). Ta vrsta preslikave odjemalcev na WSUS se imenuje odjemalec strani ciljanje (Ciljno usmerjanje na stranko).
Domneva se, da bo naše omrežje uporabljalo dve različni politiki posodabljanja - ločen pravilnik za namestitev posodobitev za strežnike (Strežniki) in za delovne postaje (Delovne postaje) Ti dve skupini morata biti ustvarjeni v konzoli WSUS v razdelku Vsi računalniki..
Namig. Politika uporabe odjemalcev strežnika posodobitev WSUS je v veliki meri odvisna od organizacijske strukture OU v Active Directory in pravil za namestitev posodobitve v organizacijo. V tem članku si bomo ogledali samo zasebno možnost, ki vam pomaga razumeti osnovna načela uporabe pravilnikov AD za namestitev posodobitev sistema Windows..Najprej morate določiti pravilo za razvrščanje računalnikov v konzolo WSUS (ciljanje). Privzeto je v konzoli WSUS skrbnik računalnikom dodeljen ročno skupinam (ciljanje na strani strežnika). To nam ne ustreza, zato navajamo, da so računalniki razdeljeni v skupine na podlagi ciljanja na stranko (s posebnim ključem v registru odjemalcev). Če želite to narediti, v konzoli WSUS pojdite na Možnosti in odprite možnost Računalniki. Spremenite vrednost v Uporaba računalniške politike ali nastavitve registra v računalnikih (Uporaba računalniških pravilnikov ali nastavitev registra v računalnikih).
Zdaj lahko ustvarite GPO za konfiguriranje odjemalcev WSUS. Odprite konzolo domene Upravljanje skupinskih pravilnikov in ustvarite dve novi pravilniki skupine: ServerWSUSPolicy in WorkstationWSUSPolicy.
Pravilnik skupine WSUS za strežnike Windows
Začnimo z opisom strežniške politike. ServerWSUSPolicy.
Nastavitve skupinskih pravilnikov, odgovornih za delovanje storitve Windows Update, so v razdelku GPO: Računalnik Konfiguracija -> Politike-> Upravni predloge-> Windows Komponenta-> Windows Posodobiti (Konfiguracija računalnika -> Administrativne predloge -> Komponente Windows -> Posodobitev sistema Windows).
V naši organizaciji nameravamo uporabiti ta pravilnik za namestitev posodobitev WSUS na strežnike Windows. Predvidevamo, da bodo vsi računalniki, ki spadajo pod ta pravilnik, dodeljeni skupini strežnikov v konzoli WSUS. Poleg tega želimo prepovedati samodejno namestitev posodobitev na strežnike, ko jih prejmejo. Odjemalec WSUS mora preprosto prenesti razpoložljive posodobitve na disk, prikazati obvestilo o razpoložljivosti novih posodobitev v sistemski vrstici in počakati, da administrator začne namestitev (ročno ali oddaljeno z modulom PSWindowsUpdate), da začne namestitev. To pomeni, da produktivni strežniki ne bodo samodejno namestili posodobitev in znova zagnali brez potrditve skrbnika (ponavadi te naloge izvaja sistemski administrator kot del mesečnih vzdrževalnih del). Za izvajanje takšne sheme smo postavili naslednje politike:
- Konfigurirajte Samodejno Posodobitve (Konfigurirajte samodejne posodobitve): Omogoči. 3 - Samodejno prenos in obvestiti za namestite (Samodejno prenesite posodobitve in obvestite o njihovi pripravljenosti za namestitev) - odjemalec samodejno prenese nove posodobitve in jih obvesti o svojem videzu;
- Navedite Intranet Microsoft posodobitev storitev lokacijo (Navedite lokacijo storitve Microsoft Update Service v intranetu): Omogoči. Nastavite storitev za posodabljanje intraneta za zaznavanje posodobitev (Za iskanje posodobitev določite storitev posodabljanja intraneta): http://srv-wsus.winitpro.ru:8530, Nastavite strežnik statistike intraneta (Določite statistični strežnik v intranetu): http://srv-wsus.winitpro.ru:8530 - tukaj morate določiti naslov vašega strežnika WSUS in statističnega strežnika (običajno se ujemata);
- Brez samodejnega ponovnega zagona s prijavljenimi uporabniki za nameščene samodejne posodobitve (Ne zaženite se samodejno, ko se samodejno namesti posodobitve, če uporabnik deluje v sistemu): Omogoči - prepovedati samodejni ponovni zagon v prisotnosti uporabniške seje;
- Omogoči odjemalec-strani ciljanje (Dovoli stranki, da se pridruži ciljni skupini): Omogoči. Ime ciljne skupine za ta računalnik: Strežniki - v konzoli WSUS odjemalce dodelite skupini strežnikov.
WSUS posodablja namestitveno politiko za delovne postaje
Predvidevamo, da se bodo posodobitve delovnih postaj za stranke, za razliko od pravilnikov za strežnike, samodejno namestile ponoči takoj po prejemu posodobitev. Računalniki po namestitvi posodobitev bi se morali samodejno znova zagnati (uporabnika opozoriti v 5 minutah).
V tej GPO (WorkstationWSUSPolicy) določimo:
- Dovoli Samodejno Posodobitve takojšen namestitev (Dovoli takojšnjo namestitev samodejnih posodobitev): Invalidi - prepoved takojšnje namestitve posodobitev po prejemu;
- Dovoli ne-skrbniki do prejeti posodobitev obvestila (Dopustite neupraviteljem prejemanje obvestil o posodobitvah): Omogočeno - Prikaži neupraviteljem opozorilo o novih posodobitvah in dovolite njihovo ročno namestitev;
- Konfiguracija samodejnih posodobitev: Omogočeno. Konfigurirajte samodejno posodabljanje: 4 - Samodejno prenesite in načrtujte namestitev. Predviden dan namestitve: 0 - Vsak dan. Predviden čas namestitve: 05:00 - odjemalec po prejemu novih posodobitev prenese v lokalni predpomnilnik in jih namerava samodejno namestiti ob 5. uri zjutraj;
- Ime ciljne skupine za ta računalnik: Delovne postaje - v konzoli WSUS odjemalca dodelite skupini Workstations;
- Ni samodejnega ponovnega zagona z prijavljenimi uporabniki za nameščene samodejne posodobitve: Invalidi - sistem se bo samodejno znova zagnal 5 minut po namestitvi posodobitev;
- Določite lokacijo storitve za posodobitev Intranet Microsofta: Omogoči Nastavite storitev za posodabljanje intraneta za zaznavanje posodobitev: http://srv-wsus.winitpro.ru:8530, Nastavite strežnik statistike intraneta: http://srv-wsus.winitpro.ru:8530 -naslov strežnika WSUS podjetja.
V operacijskem sistemu Windows 10 1607 in novejših različicah, čeprav ste jim rekli, da prejemajo posodobitve od notranjega WSUS, bodo morda še vedno poskušali dostopati do strežnikov Windows Update v internetu. Ta "funkcija" se imenuje Dvojno Optično branje. Če želite onemogočiti prejemanje posodobitev iz interneta, morate dodatno omogočiti pravilnik Naredi ne dovoli posodobitev odlog politike do vzrok pregledov proti Windows Posodobiti (povezava).
Namig. Če želite izboljšati "popravljeno raven" računalnikov v organizaciji, lahko v obeh politikah konfigurirate prisilni zagon storitve posodabljanja (wuauserv) na odjemalcih. Za to v razdelku Konfiguracija računalnika -> Politike-> Nastavitve sistema Windows -> Varnostne nastavitve -> Sistemske storitve poiščite storitev Windows Update in nastavite, da se samodejno zažene (Samodejno).Določite pravila WSUS za Active Directory OU
Naslednji korak je dodelitev ustvarjenih pravilnikov ustreznim vsebnikom Active Directory (OU). V našem primeru je struktura OU v domeni AD čim bolj preprosta: obstajata dva vsebnika - strežniki (poleg krmilnikov domen vsebuje vse strežnike organizacije) in WKS (računalniki z uporabniškimi postajami delovnih postaj).
Namig. Razmišljamo le o eni dokaj preprosti možnosti za zavezujoče se politike WSUS strankam. V resničnih organizacijah je mogoče povezati eno politiko WSUS na vse domenske računalnike (GPO z nastavitvami WSUS je obešen na koren domene), razdeliti različne vrste odjemalcev v različne OU (kot v našem primeru smo ustvarili različne politike WSUS za strežnike in delovne postaje) porazdeljene domene lahko na mesta AD privežejo različne strežnike WSUS ali dodelijo GPO na podlagi filtrov WMI ali kombinirajo zgornje metode.Če želite politiki dodeliti OU, kliknite želeni OU v konzoli za upravljanje skupinskih politik in izberite postavko v meniju Povezava kot obstoječi GPO in izberite ustrezen pravilnik.
Namig. Ne pozabite na ločen OU s krmilniki domen (Domain Controllers), v večini primerov je treba tem vsebniku dodeliti pravilnik strežnika WSUS.Na povsem enak način morate pravilnik WorkstationWSUSPolicy dodeliti vsebniku AD WKS, v katerem so delovne postaje Windows.
Ostaja posodobitev skupinskih pravilnikov za odjemalce, da lahko stranko vežejo na strežnik WSUS:
gpupdate / force
Vse nastavitve sistema za posodobitev sistema Windows, ki smo jih določili s skupinskimi pravilniki, bi morale biti prikazane v registru odjemalcev v podružnici HKEY_LOCAL_MACHINE \ SOFTWARE \ Politike \ Microsoft \ Windows \ WindowsUpdate.
To reg datoteko lahko uporabite za prenos nastavitev WSUS na druge računalnike, na katerih ni mogoče konfigurirati nastavitev posodobitev s pomočjo GPO (računalniki v delovni skupini, izolirani segmenti, DMZ itd.)
Različica urejevalnika registra Windows 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Politike \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Strežniki"
"ElevateNonAdmins" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Politike \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
"AUOptions" = dword: 00000003
"ScheduledInstallDay" = dword: 00000000
"ScheduledInstallTime" = dword: 00000003
"ScheduledInstallEveryWeek" = dword: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001
Prav tako je priročno spremljati uporabljene nastavitve WSUS na odjemalcih z uporabo rsop.msc.
Čez nekaj časa (odvisno od števila posodobitev in pasovne širine kanala na strežniku WSUS) morate v pladnju preveriti pojavna opozorila za nove posodobitve. Odjemalci naj se v konzoli WSUS pojavijo v ustreznih skupinah (tabela prikazuje ime odjemalca, IP, OS, odstotek njihovega "popravka" in datum zadnje posodobitve stanja). Ker politiki smo različnim skupinam WSUS dodelili računalnike in strežnike, prejeli bodo samo posodobitve, odobrene za namestitev v ustrezne skupine WSUS.
Opomba. Če se na odjemalcu ne pojavijo posodobitve, priporočamo, da natančno preučite dnevnik storitve posodabljanja sistema Windows na problematičnem odjemalcu (C: \ Windows \ WindowsUpdate.log). Upoštevajte, da Windows 10 (Windows Server 2016) uporablja drugačno obliko dnevnika posodobitev sistema WindowsUpdate.log. Odjemalec naloži posodobitve v lokalno mapo C: \ Windows \ SoftwareDistribution \ Download. Če želite začeti iskanje novih posodobitev na strežniku WSUS, morate zagnati ukaz:wuauclt / detectnow
Včasih morate stranko prisiliti, da se ponovno registrira na strežniku WSUS:
wuauclt / detectnow / resetAuthorization
V posebej težkih primerih lahko poskusite popraviti storitev wuauserv, kot je ta. Če se med prejemom posodobitev odjemalcev pojavi napaka 0x80244010, poskusite spremeniti pogostost preverjanja posodobitev na strežniku WSUS z uporabo pravilnika o pogostosti zaznavanja samodejnega posodabljanja posodobitev.
V naslednjem članku opisujemo lastnosti odobravanja posodobitev na WSUS strežniku. Priporočamo tudi, da preberete članek o prenosu odobrenih posodobitev med skupinami na strežniku WSUS..