V predchádzajúcom článku sme podrobne opísali postup inštalácie servera WSUS založený na systéme Windows Server 2012 R2 / 2016. Po nakonfigurovaní servera musíte nakonfigurovať klientov systému Windows (servery a pracovné stanice) na používanie servera WSUS na prijímanie aktualizácií tak, aby klienti prijaté aktualizácie z interného aktualizačného servera, a nie zo serverov Microsoft Update cez internet. V tomto článku sa pozrieme na to, ako nakonfigurovať klientov tak, aby používali službu WSUS pomocou zásad skupiny domén služby Active Directory..
obsah:
- Zásady skupiny WSUS pre servery Windows
- Služba WSUS aktualizuje zásady inštalácie pracovných staníc
- Priradiť politiky WSUS k OU služby Active Directory
Zásady skupiny AD umožňujú správcovi automaticky priraďovať počítače rôznym skupinám WSUS, čím sa eliminuje potreba ručne premiestňovať počítače medzi skupinami v konzole WSUS a aktualizovať tieto skupiny. Priradenie klientov k rôznym cieľovým skupinám WSUS je založené na štítku v registri na klientovi (štítky sa nastavujú pomocou skupinovej politiky alebo priamou úpravou registra). Tento typ klientskeho mapovania sa nazýva WSUS zákazník bočné zacielenia (Zacielenie na strane klienta).
Predpokladá sa, že naša sieť bude používať dve rôzne pravidlá aktualizácie - samostatnú politiku pre inštaláciu aktualizácií pre servery (servery) a pre pracovné stanice (pracovné stanice). Tieto dve skupiny musia byť vytvorené v konzole WSUS v časti Všetky počítače..
rada. Zásady používania klientov aktualizačného servera WSUS do veľkej miery závisia od organizačnej štruktúry OU v službe Active Directory a od pravidiel pre inštaláciu aktualizácie v organizácii. V tomto článku sa zameriame iba na súkromnú možnosť, ktorá vám pomôže pochopiť základné princípy používania politík AD na inštaláciu aktualizácií systému Windows..Najprv musíte zadať pravidlo zoskupovania počítačov v konzole WSUS (zacielenie). V konzole WSUS je predvolene počítač priradený správcom do skupín manuálne (zacielenie na strane servera). To nám nevyhovuje, preto uvádzame, že počítače sú distribuované do skupín na základe zacielenia na strane klienta (podľa konkrétneho kľúča v registri klientov). V konzole WSUS prejdite na adresu možnosti a otvorte možnosť Počítače. Zmeňte hodnotu na Použite skupinovú politiku alebo nastavenie registra v počítačoch (Použite skupinovú politiku alebo nastavenia registra v počítačoch).
Teraz môžete vytvoriť objekt GPO na konfiguráciu klientov WSUS. Otvorte konzolu domény Správa politiky skupiny a vytvorte dve nové pravidlá skupiny: ServerWSUSPolicy a WorkstationWSUSPolicy.
Zásady skupiny WSUS pre servery Windows
Začnime popisom politiky servera. ServerWSUSPolicy.
Nastavenia skupinových politík zodpovedných za prevádzku služby Windows Update sa nachádzajú v časti GPO: počítačový konfigurácia -> zásady-> administratívne šablóny-> windows komponentov-> windows aktualizovať (Konfigurácia počítača -> Šablóny pre správu -> Súčasti systému Windows -> Windows Update).
V našej organizácii máme v úmysle použiť túto politiku na inštaláciu aktualizácií WSUS na servery Windows. Predpokladá sa, že všetky počítače, na ktoré sa vzťahuje táto politika, budú priradené k skupine serverov v konzole WSUS. Okrem toho chceme zakázať automatickú inštaláciu aktualizácií na serveroch po ich prijatí. Klient WSUS by mal jednoducho stiahnuť dostupné aktualizácie na disk, zobraziť upozornenie na dostupnosť nových aktualizácií na systémovej lište a počkať, kým správca začne inštaláciu (manuálne alebo vzdialene pomocou modulu PSWindowsUpdate), aby začal inštaláciu. To znamená, že produktívne servery nebudú automaticky inštalovať aktualizácie a reštartovať počítač bez potvrdenia správcom (zvyčajne tieto úlohy vykonáva správca systému ako súčasť mesačných plánovaných údržbárskych prác). Na implementáciu takejto schémy stanovíme nasledujúce politiky:
- Konfigurácia automatický aktualizácie (Konfigurovať automatické aktualizácie): umožniť. 3 - Auto download a oznámiť pre inštalovať (Automaticky sťahovať aktualizácie a informovať o ich pripravenosti na inštaláciu) - klient automaticky sťahuje nové aktualizácie a upozorňuje ich na ich vzhľad;
- špecifikovať intranet Microsoft aktualizovať služba umiestnenia (Uveďte umiestnenie služby Microsoft Update na intranete): umožniť. Nastaviť službu aktualizácie intranetu na zisťovanie aktualizácií (Ak chcete vyhľadávať aktualizácie, zadajte službu aktualizácie intranetu): http://srv-wsus.winitpro.ru:8530, Nastavte intranetový štatistický server (Zadajte intranetový štatistický server): http://srv-wsus.winitpro.ru:8530 - tu musíte zadať adresu servera WSUS a štatistického servera (zvyčajne sa zhodujú);
- Neexistuje žiadny automatický reštart s prihlásenými používateľmi na inštaláciu naplánovaných automatických aktualizácií (Ak sa inštalácia aktualizácií vykonáva automaticky, ak používateľ pracuje na systéme, nereštartujte automaticky): umožniť - zakázať automatické reštartovanie za prítomnosti užívateľskej relácie;
- umožniť zákazník-bočné zacielenia (Povoliť klientovi pripojenie sa k cieľovej skupine): umožniť. Názov cieľovej skupiny pre tento počítač: servery - v konzole WSUS priraďte klientov do skupiny Servery.
Služba WSUS aktualizuje zásady inštalácie pracovných staníc
Predpokladáme, že aktualizácie klientskych pracovných staníc sa na rozdiel od serverových zásad inštalujú automaticky v noci okamžite po prijatí aktualizácií. Počítače po inštalácii aktualizácií by sa mali automaticky reštartovať (upozornenie používateľa do 5 minút).
V tomto GPO (WorkstationWSUSPolicy) uvádzame:
- dovoliť automatický aktualizácie okamžitý inštalácia (Povoliť okamžitú inštaláciu automatických aktualizácií): invalidný - zákaz okamžitej inštalácie aktualizácií po prijatí;
- dovoliť non-administrátori na obdržať aktualizovať oznámenia (Povoliť neautorizovaným správam dostávať oznámenia o aktualizáciách): povolené - Zobraziť neautorizovaným používateľom varovanie o nových aktualizáciách a umožniť ich manuálnu inštaláciu;
- Konfigurovať automatické aktualizácie: povolené. Konfigurácia automatickej aktualizácie: 4 - Automatické stiahnutie a naplánovanie inštalácie. Plánovaný deň inštalácie: 0 - každý deň. Plánovaný čas inštalácie: 05:00 - po prijatí nových aktualizácií sa klient stiahne do miestnej vyrovnávacej pamäte a plánuje ich automatickú inštaláciu o 5:00 ráno;
- Názov cieľovej skupiny pre tento počítač: pracovné stanice - v konzole WSUS priraďte klienta do skupiny Workstations;
- Neexistuje žiadny automatický reštart s prihlásenými používateľmi na inštaláciu naplánovaných automatických aktualizácií: invalidný - systém sa automaticky reštartuje 5 minút po inštalácii aktualizácií;
- Zadajte umiestnenie aktualizačnej služby spoločnosti Microsoft pre intranet: Povoliť. Nastavte službu aktualizácie intranetu na zisťovanie aktualizácií: http://srv-wsus.winitpro.ru:8530, Nastavte štatistický server intranetu: http://srv-wsus.winitpro.ru:8530 -adresa podnikového servera WSUS.
Vo Windows 10 1607 a novších, hoci ste im povedali, aby dostávali aktualizácie z interného servera WSUS, môžu sa pokúsiť o prístup k serverom Windows Update na internete. Táto „funkcia“ sa nazýva dvojaký skenovať. Ak chcete zakázať prijímanie aktualizácií z internetu, musíte túto politiku navyše povoliť do nie dovoliť aktualizovať odklad zásady na príčina skeny proti windows aktualizovať (Referenčný).
rada. Na zlepšenie „záplatovanej úrovne“ počítačov v organizácii môžete v oboch politikách nakonfigurovať nútené spustenie aktualizačnej služby (wuauserv) na klientoch. Z tohto dôvodu v časti Konfigurácia počítača -> Zásady-> Nastavenia systému Windows -> Nastavenia zabezpečenia -> Systémové služby vyhľadajte službu Windows Update a nastavte ju na automatické spustenie (automatický).Priradiť politiky WSUS k OU služby Active Directory
Ďalším krokom je priradenie vytvorených politík k príslušným kontajnerom služby Active Directory (OU). V našom príklade je štruktúra OU v doméne AD čo najjednoduchšia: existujú dva kontajnery - servery (okrem radičov domén obsahuje všetky servery organizácie) a WKS (počítače používateľov pracovných staníc).
rada. Uvažujeme iba o jednej pomerne jednoduchej možnosti záväznej politiky WSUS pre klientov. V skutočných organizáciách je možné viazať jednu politiku WSUS na všetky doménové počítače (GPO s nastaveniami WSUS je zavesený v koreňovom adresári domény), distribuovať rôzne typy klientov do rôznych organizačných jednotiek (ako v našom príklade sme vytvorili rôzne politiky WSUS pre servery a pracovné stanice), vo veľkej miere distribuované domény môžu viazať rôzne servery WSUS na servery AD alebo priradiť objekty GPO na základe filtrov WMI alebo kombinovať vyššie uvedené metódy.Ak chcete priradiť politiku OU, kliknite na požadovaný OU v Konzole správy politiky skupiny a vyberte položku ponuky Prepojiť ako existujúci objekt GPO a vyberte príslušnú politiku.
rada. Nezabudnite na samostatný OU s radičmi domény (radiče domén), vo väčšine prípadov by mala byť k tomuto kontajneru priradená politika servera WSUS..Úplne rovnakým spôsobom musíte priradiť politiku WorkstationWSUSPolicy k kontajneru AD WKS, v ktorom sú umiestnené pracovné stanice Windows..
Zostáva aktualizovať skupinové politiky na klientoch tak, aby sa klient pripojil k serveru WSUS:
gpupdate / force
Všetky nastavenia aktualizačného systému Windows, ktoré sme nastavili podľa skupinových politík, by sa mali objaviť v registri klientov vo vetve HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.
Tento súbor reg sa dá použiť na prenos nastavení WSUS do iných počítačov, na ktorých nie je možné konfigurovať nastavenia aktualizácie pomocou GPO (počítače v pracovnej skupine, izolované segmenty, DMZ atď.)
Editor databázy Registry systému Windows, verzia 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Servery"
"ElevateNonAdmins" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
"AUOptions" = dword: 00000003
"ScheduledInstallDay" = dword: 00000000
"ScheduledInstallTime" = dword: 00000003
"ScheduledInstallEveryWeek" = dword: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001
Je tiež vhodné monitorovať aplikované nastavenia WSUS na klientoch pomocou rsop.msc.
A po chvíli (v závislosti od počtu aktualizácií a šírky pásma kanála na serveri WSUS) musíte skontrolovať na paneli rozbaľovacie upozornenia na nové aktualizácie. Klienti by sa mali objaviť v konzole WSUS v príslušných skupinách (tabuľka zobrazuje meno klienta, IP, OS, percentuálny podiel ich „záplat“ a dátum poslednej aktualizácie stavu). pretože politici priradili sme počítače a servery k rôznym skupinám WSUS, dostanú iba aktualizácie schválené na inštaláciu na zodpovedajúcich skupinách WSUS.
poznámka. Ak sa aktualizácie nezobrazia na klientovi, odporúča sa starostlivo skontrolovať protokol aktualizačnej služby Windows na problémovom klientovi (C: \ Windows \ WindowsUpdate.log). Upozorňujeme, že systém Windows 10 (Windows Server 2016) používa iný formát denníka aktualizácie systému WindowsUpdate.log. Klient sťahuje aktualizácie do lokálneho priečinka C: \ Windows \ SoftwareDistribution \ Download. Ak chcete spustiť vyhľadávanie nových aktualizácií na serveri WSUS, musíte spustiť príkaz:wuauclt / Detekovať
Niekedy musíte tiež prinútiť klienta, aby sa znova zaregistroval na serveri WSUS:
wuauclt / detectionnow / resetAuthorization
Vo zvlášť ťažkých prípadoch môžete skúsiť opraviť službu wuauserv ako je táto. Ak sa vyskytne počas prijímania aktualizácií chyba 0x80244010, skúste zmeniť frekvenciu kontroly aktualizácií na serveri WSUS pomocou politiky frekvencie zisťovania automatických aktualizácií..
V nasledujúcom článku popisujeme funkcie schvaľovania aktualizácií na serveri WSUS. Odporúčame tiež prečítať si článok o prenose schválených aktualizácií medzi skupinami na serveri WSUS..