Skonfiguruj klientów WSUS przy użyciu zasad grupy

W poprzednim artykule szczegółowo opisaliśmy procedurę instalowania serwera WSUS opartego na systemie Windows Server 2012 R2 / 2016. Po skonfigurowaniu serwera należy skonfigurować klientów Windows (serwery i stacje robocze), aby korzystali z serwera WSUS w celu otrzymywania aktualizacji, dzięki czemu klienci otrzymywał aktualizacje z wewnętrznego serwera aktualizacji, a nie z serwerów Microsoft Update przez Internet. W tym artykule przyjrzymy się, jak skonfigurować klientów do korzystania z usług WSUS przy użyciu zasad grupy domen Active Directory..

Treść

  • Zasady grupy WSUS dla serwerów Windows
  • Aktualizacje WSUS Zasady instalacji dla stacji roboczych
  • Przypisz zasady WSUS do OU usługi Active Directory

Zasady grup AD pozwalają administratorowi automatycznie przypisywać komputery do różnych grup WSUS, eliminując potrzebę ręcznego przenoszenia komputerów między grupami w konsoli WSUS i aktualizowania tych grup. Przypisywanie klientów do różnych grup docelowych WSUS odbywa się na podstawie etykiety w rejestrze klienta (etykiety są ustawiane przez zasady grupy lub bezpośrednią edycję rejestru). Ten typ mapowania klienta na WSUS jest nazywany klient z boku celowanie (Kierowanie po stronie klienta).

Zakłada się, że nasza sieć będzie używać dwóch różnych zasad aktualizacji - osobnej zasady instalowania aktualizacji dla serwerów (Serwery) i na stacje robocze (Stacje robocze) Te dwie grupy należy utworzyć w konsoli WSUS w sekcji Wszystkie komputery..

Wskazówka. Zasady korzystania z klientów serwerów aktualizacji WSUS zależą w dużej mierze od struktury organizacyjnej jednostki organizacyjnej w usłudze Active Directory i zasad instalowania aktualizacji w organizacji. W tym artykule przyjrzymy się tylko prywatnej opcji, która pomaga zrozumieć podstawowe zasady korzystania z zasad AD do instalowania aktualizacji systemu Windows..

Przede wszystkim musisz określić regułę grupowania komputerów w konsoli WSUS (targetowanie). Domyślnie w konsoli WSUS komputery są przypisywane przez administratora do grup ręcznie (targetowanie po stronie serwera). To nam nie odpowiada, dlatego wskazujemy, że komputery są dystrybuowane w grupach na podstawie targetowania po stronie klienta (według określonego klucza w rejestrze klienta). Aby to zrobić, w konsoli WSUS przejdź do Opcje i otwórz opcję Komputery. Zmień wartość na Użyj zasad grupy lub ustawienia rejestru na komputerach (Użyj zasad grupy lub ustawień rejestru na komputerach). 

Teraz możesz utworzyć obiekt zasad grupy, aby skonfigurować klientów WSUS. Otwórz konsolę domeny Zarządzanie zasadami grupy i utwórz dwie nowe zasady grupy: ServerWSUSPolicy i WorkstationWSUSPolicy.

Zasady grupy WSUS dla serwerów Windows

Zacznijmy od opisu zasad serwera. ServerWSUSPolicy.

Ustawienia zasad grupy odpowiedzialnych za działanie usługi Windows Update znajdują się w sekcji GPO: Komputer Konfiguracja -> Zasady-> Administracyjne szablony-> Windows Komponent-> Windows Aktualizacja (Konfiguracja komputera -> Szablony administracyjne -> Składniki systemu Windows -> Windows Update).

W naszej organizacji zamierzamy wykorzystać tę zasadę do zainstalowania aktualizacji WSUS na serwerach Windows. Zakłada się, że wszystkie komputery, które podlegają tym zasadom, zostaną przypisane do grupy Serwery w konsoli WSUS. Ponadto chcemy zabronić automatycznej instalacji aktualizacji na serwerach po ich otrzymaniu. Klient WSUS powinien po prostu pobrać dostępne aktualizacje na dysk, wyświetlić powiadomienie o dostępności nowych aktualizacji na pasku zadań i poczekać, aż administrator rozpocznie instalację (ręcznie lub zdalnie za pomocą modułu PSWindowsUpdate), aby rozpocząć instalację. Oznacza to, że produktywne serwery nie będą automatycznie instalować aktualizacji i restartować się bez potwierdzenia administratora (zwykle zadania te są wykonywane przez administratora systemu w ramach miesięcznych zaplanowanych prac konserwacyjnych). Aby wdrożyć taki schemat, ustalimy następujące zasady:

  • Konfiguruj Automatyczne Aktualizacje (Skonfiguruj automatyczne aktualizacje): Włącz. 3 - Auto pobierz i powiadomić dla zainstaluj (Automatycznie pobieraj aktualizacje i powiadamiaj o ich gotowości do instalacji) - klient automatycznie pobiera nowe aktualizacje i powiadamia o ich wyglądzie;
  • Określ Intranet Microsoft aktualizacja usługa lokalizacja (Wskaż lokalizację usługi Microsoft Update w intranecie): Włącz.  Ustaw usługę aktualizacji intranetu w celu wykrywania aktualizacji (Określ usługę aktualizacji intranetu, aby wyszukać aktualizacje): http://srv-wsus.winitpro.ru:8530, Ustaw serwer statystyk intranetu (Określ serwer statystyk w intranecie): http://srv-wsus.winitpro.ru:8530 - tutaj musisz podać adres serwera WSUS i serwera statystyk (zwykle są one zbieżne);
  • Brak automatycznego restartu z zalogowanymi użytkownikami dla zaplanowanych instalacji automatycznych aktualizacji (Nie uruchamiaj ponownie automatycznie, gdy aktualizacje są instalowane automatycznie, jeśli użytkownik pracuje w systemie): Włącz - zabraniają automatycznego ponownego uruchamiania w obecności sesji użytkownika;
  • Włącz klient-z boku celowanie (Zezwól klientowi na dołączenie do grupy docelowej): Włącz. Nazwa grupy docelowej dla tego komputera: Serwery - w konsoli WSUS przypisz klientów do grupy Serwery.
Uwaga. Podczas konfigurowania zasad aktualizacji zalecamy dokładne zapoznanie się ze wszystkimi ustawieniami dostępnymi w każdej z opcji w sekcji GPO Windows Aktualizacja i ustaw odpowiednie parametry dla swojej infrastruktury i organizacji.

Aktualizacje WSUS Zasady instalacji dla stacji roboczych

Zakładamy, że aktualizacje stacji roboczych klienta, w przeciwieństwie do zasad serwera, zostaną zainstalowane automatycznie w nocy natychmiast po otrzymaniu aktualizacji. Komputery po zainstalowaniu aktualizacji powinny uruchomić się ponownie automatycznie (ostrzeżenie użytkownika za 5 minut).

W tym obiekcie zasad grupy (WorkstationWSUSPolicy) określamy:

  • Pozwól Automatyczne Aktualizacje natychmiastowe instalacja (Zezwól na natychmiastową instalację automatycznych aktualizacji): Niepełnosprawnych - zakaz natychmiastowej instalacji aktualizacji po otrzymaniu;
  • Pozwól non-administratorzy do otrzymać aktualizacja powiadomienia (Zezwalaj osobom niebędącym administratorami na otrzymywanie powiadomień o aktualizacjach): Włączone - Pokaż osobom niebędącym administratorami ostrzeżenie o nowych aktualizacjach i zezwól na ich ręczną instalację;
  • Konfiguruj automatyczne aktualizacje: Włączone.   Skonfiguruj automatyczne aktualizowanie: 4 - Automatyczne pobieranie i zaplanuj instalację. Zaplanowany dzień instalacji: 0 - Co dzień. Zaplanowany czas instalacji: 05:00 - po otrzymaniu nowych aktualizacji klient pobiera do lokalnej pamięci podręcznej i planuje ich automatyczną instalację o 5:00 rano;
  • Nazwa grupy docelowej dla tego komputera: Stacje robocze - w konsoli WSUS przypisz klienta do grupy Stacje robocze;
  • Brak automatycznego restartu z zalogowanymi użytkownikami dla zaplanowanych instalacji automatycznych aktualizacji: Niepełnosprawnych - system automatycznie uruchomi się ponownie 5 minut po instalacji aktualizacji;
  • Określ lokalizację usługi aktualizacji firmy Microsoft w intranecie: Włącz. Ustaw usługę aktualizacji intranetu w celu wykrywania aktualizacji: http://srv-wsus.winitpro.ru:8530, Ustaw serwer statystyk intranetu: http://srv-wsus.winitpro.ru:8530 -adres serwera korporacyjnego WSUS.

W systemie Windows 10 1607 i nowszych, chociaż powiedziano im, aby otrzymywali aktualizacje z wewnętrznego programu WSUS, mogą nadal próbować uzyskać dostęp do serwerów Windows Update w Internecie. Ta „funkcja” jest nazywana Dual Skanuj. Aby wyłączyć otrzymywanie aktualizacji z Internetu, musisz dodatkowo włączyć zasady Zrób nie pozwolić aktualizacja odroczenie zasady do przyczyną skanuje przeciw Windows Aktualizacja (link).

Wskazówka. Aby poprawić „załatany poziom” komputerów w organizacji, w obu politykach można skonfigurować wymuszone uruchomienie usługi aktualizacji (wuauserv) na klientach. W tym celu w sekcji Konfiguracja komputera -> Zasady-> Ustawienia systemu Windows -> Ustawienia zabezpieczeń -> Usługi systemowe znajdź usługę Windows Update i ustaw ją tak, aby uruchamiała się automatycznie (Automatyczne).

Przypisz zasady WSUS do OU usługi Active Directory

Następnym krokiem jest przypisanie utworzonych zasad do odpowiednich kontenerów Active Directory (OU). W naszym przykładzie struktura jednostki organizacyjnej w domenie AD jest tak prosta, jak to tylko możliwe: istnieją dwa kontenery - serwery (zawiera wszystkie serwery organizacji oprócz kontrolerów domeny) i WKS (stacje robocze-komputery).

Wskazówka. Rozważamy tylko jedną dość prostą opcję wiązania zasad WSUS z klientami. W rzeczywistych organizacjach można powiązać jedną zasadę WSUS ze wszystkimi komputerami domeny (GPO z ustawieniami WSUS jest zawieszony w katalogu głównym domeny), rozdzielić różne typy klientów do różnych jednostek organizacyjnych (tak jak w naszym przykładzie stworzyliśmy różne zasady WSUS dla serwerów i stacji roboczych), w dużych domeny rozproszone mogą wiązać różne serwery WSUS z witrynami AD, przypisywać obiekty zasad grupy na podstawie filtrów WMI lub łączyć powyższe metody.

Aby przypisać zasadę do jednostki organizacyjnej, kliknij żądaną jednostkę organizacyjną w konsoli zarządzania zasadami grupy i wybierz element menu Link jako istniejący obiekt zasad grupy i wybierz odpowiednią polisę.

Wskazówka. Nie zapomnij o osobnej jednostce organizacyjnej z kontrolerami domeny (kontrolerami domeny), w większości przypadków zasady serwera WSUS powinny być przypisane do tego kontenera.

Dokładnie w ten sam sposób musisz przypisać zasadę WorkstationWSUSPolicy do kontenera AD WKS, w którym znajdują się stacje robocze Windows.

Pozostaje zaktualizować zasady grupy na klientach, aby powiązać klienta z serwerem WSUS:

gpupdate / force

Wszystkie ustawienia systemu aktualizacji Windows określone przez zasady grupy powinny pojawić się w rejestrze klienta w oddziale HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.

Tego pliku reg można użyć do przeniesienia ustawień WSUS na inne komputery, na których nie można skonfigurować ustawień aktualizacji za pomocą GPO (komputery w grupie roboczej, izolowane segmenty, DMZ itp.)

Edytor rejestru systemu Windows w wersji 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate]
„WUServer” = „http://srv-wsus.winitpro.ru:8530”
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
„TargetGroupEnabled” = dword: 00000001
„TargetGroup” = „Serwery”
„ElevateNonAdmins” = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU]
„NoAutoUpdate” = dword: 00000000 -
„AUOptions” = dword: 00000003
„ScheduledInstallDay” = dword: 00000000
„ScheduledInstallTime” = dword: 00000003
„ScheduledInstallEveryWeek” = dword: 00000001
„UseWUServer” = dword: 00000001
„NoAutoRebootWithLoggedOnUsers” = dword: 00000001

Wygodne jest również monitorowanie zastosowanych ustawień WSUS na klientach za pomocą rsop.msc.

A po chwili (w zależności od liczby aktualizacji i przepustowości kanału do serwera WSUS) musisz sprawdzić w zasobniku wyskakujące powiadomienia o nowych aktualizacjach. Klienci powinni pojawiać się w konsoli WSUS w odpowiednich grupach (tabela zawiera nazwę klienta, adres IP, system operacyjny, procent ich „załatanych” i datę ostatniej aktualizacji statusu). Ponieważ przypisaliśmy komputery i serwery do różnych grup WSUS przez polityków, będą oni otrzymywać tylko aktualizacje zatwierdzone do instalacji w odpowiednich grupach WSUS.

Uwaga. Jeśli aktualizacje nie pojawiają się na kliencie, zaleca się dokładne sprawdzenie dziennika usługi aktualizacji systemu Windows na kliencie powodującym problemy (C: \ Windows \ WindowsUpdate.log). Należy pamiętać, że system Windows 10 (Windows Server 2016) używa innego formatu dziennika aktualizacji WindowsUpdate.log. Klient pobiera aktualizacje do lokalnego folderu C: \ Windows \ SoftwareDistribution \ Download. Aby rozpocząć wyszukiwanie nowych aktualizacji na serwerze WSUS, musisz uruchomić polecenie:

wuauclt / detnow

Czasami trzeba też zmusić klienta do ponownej rejestracji na serwerze WSUS:

wuauclt / detnow / resetAuthorization

W szczególnie trudnych przypadkach możesz spróbować naprawić usługę wuauserv w ten sposób. Jeśli błąd 0x80244010 występuje podczas odbierania aktualizacji na klientach, spróbuj zmienić częstotliwość sprawdzania aktualizacji na serwerze WSUS przy użyciu zasady częstotliwości wykrywania automatycznych aktualizacji.

W następnym artykule opisujemy funkcje zatwierdzania aktualizacji na serwerze WSUS. Zalecamy również przeczytanie artykułu na temat przesyłania zatwierdzonych aktualizacji między grupami na serwerze WSUS..