Schvaľovanie aktualizácií služby WSUS v systéme Windows Server 2012 R2 / 2016

Po dlhú dobu bol v mojom návrhu článok o metódach a vlastnostiach schvaľovania (schvaľovania) aktualizácií na serveri Windows Server Update Services (WSUS) a na naliehavé žiadosti jedného z pravidelných účastníkov som sa rozhodol ho dokončiť a zverejniť..

Jednou z hlavných úloh správcu WSUS je správa aktualizácií, ktoré sú schválené na inštaláciu do počítačov a serverov Windows. Po inštalácii a konfigurácii začne server WSUS pravidelne sťahovať aktualizácie pre vybrané produkty zo serverov Microsoft Update..

obsah:

  • Cieľové skupiny pre počítač WSUS
  • Manuálne schvaľovanie a inštalácia aktualizácií prostredníctvom služby WSUS
  • Nakonfigurujte pravidlá automatického schvaľovania aktualizácií na serveri WSUS
  • Odvolanie nainštalovaných aktualizácií na serveri WSUS
  • Metodika schvaľovania produktivity WSUS

Cieľové skupiny pre počítač WSUS

Keď sú aktualizácie v databáze WSUS, môžu sa nainštalovať do počítačov. Pred tým, ako počítače začnú sťahovať a inštalovať nové aktualizácie, musia byť schválené (alebo zamietnuté) správcom služby WSUS. Je dôležité mať na pamäti, že vo väčšine prípadov sa pred inštaláciou aktualizácií na produktívne systémy musia testovať na niekoľkých typických pracovných staniciach a serveroch..

Na usporiadanie procesu testovania a inštaláciu aktualizácie na počítače a doménové servery musí správca WSUS vytvoriť skupiny počítačov. V závislosti od úloh podniku, typov pracovných staníc používateľov a kategórií serverov je možné vytvoriť rôzne skupiny počítačov. Všeobecne platí, že v konzole WSUS pod Počítače -> Všetky počítače Má zmysel vytvárať na WSUS tieto skupiny:

  1. Test_Srv_WSUS - skupina s testovacími servermi (nekritické pre podnikové servery a dedikované servery s testovacím prostredím identickým s produktívnym);
  2. Test_Wks_WSUS - testovacie pracovné stanice;
  3. Prod_Srv_WSUS - produktívny Windows server;
  4. Prod_Wks_WSUS - všetky užívateľské pracovné stanice.

Tieto skupiny počítačov je možné zaplniť servermi manuálne (zvyčajne to má zmysel pre testovacie skupiny) alebo môžete počítače a servery spojiť so skupinami WSUS pomocou politiky skupiny Povoliť zacielenie na strane klienta (Povoliť klientovi pripojenie sa k cieľovej skupine).

Po vytvorení skupín ich môžete schváliť. Existujú dva spôsoby, ako schvaľovať aktualizácie pre inštaláciu do počítačov: manuálne a automatické aktualizácie.

Manuálne schvaľovanie a inštalácia aktualizácií prostredníctvom služby WSUS

Otvorte konzolu WSUS Management Console (Update Services) a vyberte časť aktualizácie. Zobrazí súhrnnú správu o dostupných aktualizáciách. V tejto časti sú predvolene k dispozícii 4 podsekcie: Všetky aktualizácie, Kritické aktualizácie, Aktualizácie zabezpečenia a Aktualizácie služby WSUS. Konkrétnu aktualizáciu pre inštaláciu môžete schváliť tak, že ju nájdete v jednej z týchto sekcií (môžete použiť vyhľadávanie podľa názvu KB ​​v konzole na vyhľadávanie aktualizácií alebo v čísle bulletinu zabezpečenia spoločnosti Microsoft) alebo môžete zoradiť aktualizácie podľa dátumu vydania alebo podľa čísel.

Zobraziť zoznam ešte neschválených aktualizácií (filter - Schválenie = Neschválené). Vyhľadajte potrebnú aktualizáciu, kliknite na ňu pomocou RMB a vyberte položku ponuky schvaľovať.

V zobrazenom okne vyberte skupinu počítačov WSUS, pre ktorú chcete schváliť inštaláciu tejto aktualizácie (napríklad Test_Srv_WSUS). Vyberte položku Schváliť na inštaláciu. Aktualizáciu môžete schváliť okamžite pre všetky skupiny počítačov výberom možnosti Všetky počítače, alebo pre každú skupinu jednotlivo. Napríklad najskôr môžete schváliť inštaláciu aktualizácií na skupine testovacích počítačov a po 4 až 7 dňoch, ak neexistujú žiadne problémy, schváliť inštaláciu aktualizácie na všetkých počítačoch..

Zobrazí sa okno s výsledkami procesu schválenia aktualizácie. Ak je aktualizácia úspešne schválená, zobrazí sa správa. úspech. Zatvorte toto okno.

Ako viete, toto je manuálna schéma na schvaľovanie konkrétnych aktualizácií. Je to dosť namáhavé, pretože Každá aktualizácia musí byť schválená individuálne. Ak nechcete aktualizácie schvaľovať manuálne, môžete vytvoriť pravidlá automatického schvaľovania aktualizácií (automatické schvaľovanie)..

Nakonfigurujte pravidlá automatického schvaľovania aktualizácií na serveri WSUS

Automatické schválenie vám umožňuje okamžite, bez zásahu správcu, schváliť nové aktualizácie, ktoré sa objavili na serveri WSUS, a priradiť ich na inštaláciu na klientov. Automatické schvaľovanie aktualizácií služby WSUS na základe pravidiel schválenia.

V konzole WSUS Management Console otvorte túto sekciu možnosti a vyberte Automatické schválenia.

V okne, ktoré sa zobrazí na karte Aktualizujte pravidlá s menom je zadané iba jedno pravidlo Predvolené pravidlo automatického schválenia (predvolene je vypnutá).

Ak chcete vytvoriť nové pravidlo, kliknite na tlačidlo. Nové pravidlo.

Pravidlo pozostáva z 3 krokov. Musíte vybrať potrebné vlastnosti aktualizácie, vybrať, ktoré skupiny počítačov WSUS musíte schváliť aktualizáciu a názov pravidla.

Kliknutím na každý modrý odkaz sa otvorí príslušné okno vlastností..

Napríklad môžete povoliť automatické schvaľovanie aktualizácií zabezpečenia pre testovacie servery. Ak to chcete urobiť, v sekcii Vybrať klasifikácie aktualizácií vyberte položku Kritické aktualizácie, Aktualizácie zabezpečenia, Aktualizácie definícií (zrušte začiarknutie zostávajúcich dažďov). Potom v dialógovom okne Schváliť aktualizáciu pre skupinu vyberte skupinu WSUS s názvom Test_Srv_WSUS.

pútko pokročilý môžete si vybrať, či sa majú automaticky schvaľovať aktualizácie pre samotný WSUS a či sa majú schvaľovať aj aktualizácie, ktoré spoločnosť Microsoft zmenila. Zvyčajne sú všetky dlane na tejto karte zapnuté..

Keď druhý týždeň v utorok v mesiaci server WSUS stiahne nové aktualizácie (alebo ručne importuje aktualizácie), budú schválené na automatickú inštaláciu v testovacej skupine. Klienti Windows predvolene skenujú nové aktualizácie na serveri WSUS každých 22 hodín. Ak chcete, aby kritické počítače dostávali nové aktualizácie čo najskôr, môžete zmeniť frekvenciu takejto synchronizácie pomocou politiky frekvencie zisťovania automatických aktualizácií až na niekoľko hodín (aktualizácie môžete tiež manuálne vyhľadať pomocou modulu PSWindowsUpdate). Pri veľkom počte klientov na serveri WSUS (viac ako 2000 počítačov) nemusí byť výkon aktualizačného servera so štandardnými nastaveniami dostatočný, takže je potrebné ho optimalizovať (pozri článok).

Odvolanie nainštalovaných aktualizácií na serveri WSUS

Ak sa ukázalo, že niektorá zo schválených aktualizácií je problematická a spôsobuje chyby v počítačoch alebo serveroch, správca WSUS ju môže zrušiť. Ak to chcete urobiť, vyhľadajte aktualizáciu v konzole WSUS a vyberte položku pokles. Potom označte

Teraz vyberte skupinu WSUS, pre ktorú chcete zrušiť inštaláciu, a vyberte Schválené na odstránenie. Po určitej dobe bude aktualizácia odstránená na klientovi (ďalšie podrobnosti nájdete v článku Metódy odstránenia aktualizácií systému Windows..

Metodika schvaľovania produktivity WSUS

Po nainštalovaní a testovaní aktualizácií v testovacích skupinách a uistení sa, že nie sú k dispozícii žiadne vzorky (zvyčajne trvá 3 až 6 dní na testovanie), môžete schváliť nové aktualizácie na inštaláciu do produktívnych systémov. Aktualizácie tiež nemôžete automaticky schváliť s určitým oneskorením (napríklad po 7 dňoch) na produktívnych systémoch.

Konzola WSUS bohužiaľ nedokáže kopírovať všetky schválené aktualizácie z jednej skupiny počítačov WSUS do druhej. Môžete vyhľadávať nové aktualizácie jeden po druhom a manuálne ich schvaľovať na inštaláciu na produktívnejšiu skupinu serverov a počítačov. Je to dosť dlhé a únavné.

Pre seba som vytvoril malý skript PowerShell, ktorý zhromažďuje zoznam aktualizácií schválených pre testovaciu skupinu a automaticky schvaľuje všetky zistené aktualizácie produktívnej skupiny (pozri článok Kopírovanie schválených aktualizácií medzi skupinami WSUS). Teraz spustím tento skript 7 dní po inštalácii aktualizácií a testovacích aktualizácií na testovacie skupiny. Ak sa medzi náplasťami nájdu problémové miesta, musia sa v testovacej skupine zamietnuť..