Članek o metodah in značilnostih odobritve (odobritve) posodobitev na strežniku Windows Server Update Services (WSUS) je bil v mojem osnutku in na vztrajne zahteve enega od rednih naročnikov sem se odločil, da ga dokončam in objavim..
Ena glavnih nalog skrbnika WSUS je upravljanje posodobitev, ki so odobrene za namestitev v računalnike in Windows strežnik. Po namestitvi in konfiguraciji strežnik WSUS začne redno prenašati posodobitve za izbrane izdelke s strežnikov Microsoft Update..
Vsebina:
- Računalniške ciljne skupine WSUS
- Ročno odobravanje in namestitev posodobitev prek WSUS
- Konfigurirajte pravila za samodejno odobritev posodobitev na WSUS
- Preklic nameščenih posodobitev na WSUS
- Metodologija odobritve produktivnosti WSUS
Računalniške ciljne skupine WSUS
Ko so posodobitve v bazi WSUS, jih je mogoče namestiti v računalnike. Preden računalniki začnejo prenašati in nameščati nove posodobitve, jih mora odobriti (ali zavrniti) skrbnik WSUS. Pomembno je vedeti, da jih je treba v večini primerov pred namestitvijo posodobitev na produktivne sisteme preizkusiti na več značilnih delovnih postajah in strežnikih.
Če želite organizirati postopek testiranja in namestiti posodobitev v računalnike in domenske strežnike, mora skrbnik WSUS ustvariti računalniške skupine. Glede na naloge podjetja, vrste uporabniških delovnih postaj in kategorij strežnikov lahko ustvarite različne skupine računalnikov. Na splošno v konzoli WSUS pod Računalniki -> Vsi računalniki V WSUS je smiselno ustvariti naslednje skupine:
- Test_Srv_WSUS - skupina s testnimi strežniki (nekritični za poslovne strežnike in namenske strežnike s testnim okoljem, ki je enak produktivnemu);
- Test_Wks_WSUS - testne delovne postaje;
- Prod_Srv_WSUS - produktivni Windows strežnik;
- Prod_Wks_WSUS - vse uporabniške delovne postaje.
Te računalniške skupine je mogoče ročno poseliti s strežniki (to je običajno smiselno za preskusne skupine) ali pa lahko povežete računalnike in strežnike na skupine WSUS z uporabo skupinskih pravilnikov Omogoči ciljanje na strani stranke (Dovoli stranki, da se pridruži ciljni skupini).
Ko so skupine ustvarjene, lahko odobrite posodobitve zanje. Obstajata dva načina za odobritev posodobitev za namestitev v računalnike: ročna in samodejna posodobitev.
Ročno odobravanje in namestitev posodobitev prek WSUS
Odprite konzolo za upravljanje WSUS (Update Services) in izberite razdelek Posodobitve. Prikaže zbirno poročilo o razpoložljivih posodobitvah. V tem razdelku so privzeto 4 pododdelki: Vse posodobitve, Kritične posodobitve, Varnostne posodobitve in Posodobitve WSUS-a. Dovoljeno posodobitev namestitve lahko odobrite tako, da jo poiščete v enem od teh razdelkov (iskanje lahko uporabite po imenu KB v konzoli za posodobitev ali številki Microsoftovega varnostnega biltena) ali pa razvrstite posodobitve po datumu izdaje ali številkah.
Prikažite seznam še ne odobrenih posodobitev (filter - Odobritev = Neodobren). Poiščite potrebno posodobitev, kliknite nanjo z RMB in izberite postavko menija Odobri.
V oknu, ki se prikaže, izberite skupino računalnikov WSUS, za katere želite odobriti namestitev te posodobitve (na primer Test_Srv_WSUS). Izberite element Odobrite za namestitev. Posodobitev lahko takoj potrdite za vse skupine računalnikov, tako da izberete Vsi računalniki, ali za vsako skupino posebej. Najprej lahko na primer odobrite namestitev posodobitev v skupini testnih računalnikov in po 4-7 dneh, če ni težav, odobrite namestitev posodobitve na vse računalnike.
Odpre se okno z rezultati postopka odobritve posodobitve. Če je posodobitev uspešno odobrena, se prikaže sporočilo. Uspeh. Zaprite to okno.
Kot razumete, je to ročna shema za odobritev določenih posodobitev. Je precej naporno, saj Vsaka posodobitev mora biti posamično odobrena. Če ne želite ročno odobriti posodobitev, lahko ustvarite pravila za samodejno odobritev posodobitev (samodejno odobritev).
Konfigurirajte pravila za samodejno odobritev posodobitev na WSUS
Samodejna odobritev vam omogoča, da takoj, brez posredovanja skrbnika, odobrite nove posodobitve, ki so se pojavile na strežniku WSUS, in jim dodelite namestitev na odjemalce. Samodejno odobritev posodobitev WSUS na podlagi pravil o odobritvi.
V konzoli za upravljanje WSUS odprite razdelek Možnosti in izberite Samodejne odobritve.
V oknu, ki se prikaže na zavihku Posodobite pravila z imenom je določeno samo eno pravilo Privzeto pravilo samodejnega odobravanja (privzeto je onemogočeno).
Če želite ustvariti novo pravilo, kliknite na gumb. Novo pravilo.
Pravilo je sestavljeno iz 3 korakov. Izbrati morate potrebne lastnosti posodobitve, izbrati, katere skupine računalnikov WSUS morate odobriti posodobitev in ime pravila.
S klikom na vsako modro povezavo se odpre ustrezno okno lastnosti..
Na primer, lahko omogočite samodejno odobritev varnostnih posodobitev za preskusne strežnike. Če želite to narediti, v razdelku Izberi posodobitve klasifikacij izberite Kritične posodobitve, Varnostne posodobitve, Posodobitve definicije (počistite potrditveno polje preostalih rosov). Nato v pogovornem oknu Odobri posodobitev za pogovor izberite skupino WSUS z imenom Test_Srv_WSUS.
Zavihek Napredno lahko izberete, ali naj samodejno odobri posodobitve za sam WSUS in ali bo dodatno odobril posodobitve, ki jih je spremenil Microsoft. Običajno so vse zore na tem zavihku vklopljene..
Ko bo drugi torek v mesecu vaš strežnik WSUS naložil nove posodobitve (ali ročno uvozil posodobitve), bodo odobrene za samodejno namestitev na testno skupino. Odjemalci sistema Windows privzeto pregledajo nove posodobitve na strežniku WSUS vsakih 22 ur. Če želite zagotoviti, da kritični računalniki čim prej prejmejo nove posodobitve, lahko spremenite frekvenco takšne sinhronizacije z uporabo pravilnika o samodejnem zaznavanju frekvence samodejnega posodabljanja do nekaj ur (posodobitve lahko tudi ročno iščete s pomočjo modula PSWindowsUpdate). Z velikim številom odjemalcev na strežniku WSUS (več kot 2000 računalnikov) je zmogljivost posodobitvenega strežnika s standardnimi nastavitvami morda nezadostna, zato ga je treba optimizirati (glejte članek).
Preklic nameščenih posodobitev na WSUS
Če se je ena od odobrenih posodobitev izkazala za problematično in povzroča napake v računalnikih ali strežnikih, jo lahko skrbnik WSUS prekliče. Če želite to narediti, poiščite posodobitev v konzoli WSUS in izberite Zavrni. Nato navedite
Zdaj izberite skupino WSUS, za katero želite preklicati namestitev, in izberite Odobreno za odstranitev. Čez nekaj časa bo posodobitev izbrisana na odjemalcu (za več podrobnosti glejte članek Načini za odstranjevanje posodobitev sistema Windows..
Metodologija odobritve produktivnosti WSUS
Ko namestite in preizkusite posodobitve na testnih skupinah in se prepričate, da ni vzorcev (ponavadi je 3-6 dni dovolj za testiranje), lahko odobrite nove posodobitve za namestitev v produktivne sisteme. Prav tako ne morete samodejno odobriti posodobitev z nekaj zamude (na primer po sedmih dneh) na produktivnih sistemih.
Na žalost konzola WSUS ne more kopirati vseh odobrenih posodobitev iz ene skupine računalnikov WSUS v drugo. Posamezno lahko iščete nove posodobitve in jih ročno odobrite, da jih namestite na bolj produktivno skupino strežnikov in računalnikov. Je precej dolga in naporna.
Zase sem naredil majhen skript PowerShell, ki zbira seznam posodobitev, odobrenih za preskusno skupino in samodejno odobri vse zaznane posodobitve produktivne skupine (glej članek Kopiranje odobrenih posodobitev med skupinami WSUS). Zdaj te skripte izvajam 7 dni po namestitvi posodobitev in testiranju posodobitev na testnih skupinah. Če so med obliži najdeni težavni popravki, jih je treba v preskusni skupini zavrniti..