Od dłuższego czasu artykuł w sprawie metod i funkcji zatwierdzania (zatwierdzania) aktualizacji na serwerze usług Windows Server Update Services (WSUS) był w mojej wersji roboczej i na natarczywe żądania jednego z regularnych subskrybentów postanowiłem go zakończyć i opublikować.
Jednym z głównych zadań administratora WSUS jest zarządzanie aktualizacjami zatwierdzonymi do instalacji na komputerach i serwerze Windows. Po instalacji i konfiguracji serwer WSUS zaczyna regularnie pobierać aktualizacje dla wybranych produktów z serwerów Microsoft Update..
Treść
- Komputerowe grupy docelowe WSUS
- Ręczne zatwierdzanie i instalowanie aktualizacji za pośrednictwem programu WSUS
- Skonfiguruj reguły automatycznego zatwierdzania aktualizacji w programie WSUS
- Odwoływanie zainstalowanych aktualizacji w programie WSUS
- Metodyka zatwierdzania wydajności WSUS
Komputerowe grupy docelowe WSUS
Gdy aktualizacje znajdą się w bazie danych WSUS, można je zainstalować na komputerach. Ale zanim komputery zaczną pobierać i instalować nowe aktualizacje, muszą zostać zatwierdzone (lub odrzucone) przez administratora WSUS. Należy pamiętać, że w większości przypadków przed zainstalowaniem aktualizacji w systemach produkcyjnych należy je przetestować na kilku typowych stacjach roboczych i serwerach.
Aby zorganizować proces testowania i zainstalować aktualizację na komputerach i serwerach domeny, administrator programu WSUS musi utworzyć grupy komputerów. W zależności od zadań firmy, typów stacji roboczych użytkowników i kategorii serwerów można tworzyć różne grupy komputerów. Ogólnie w konsoli WSUS pod Komputery -> Wszystkie komputery Sensowne jest utworzenie następujących grup w WSUS:
- Test_Srv_WSUS - grupa z serwerami testowymi (niekrytyczna dla serwerów biznesowych i serwerów dedykowanych ze środowiskiem testowym identycznym z produktywnym);
- Test_Wks_WSUS - testowe stacje robocze;
- Prod_Srv_WSUS - produktywny serwer Windows;
- Prod_Wks_WSUS - wszystkie stacje robocze użytkowników.
Te grupy komputerów można ręcznie zapełnić serwerami (zwykle ma to sens w przypadku grup testowych) lub można powiązać komputery i serwery z grupami WSUS przy użyciu zasad grupy Włącz kierowanie po stronie klienta (Pozwól klientowi dołączyć do grupy docelowej).
Po utworzeniu grup możesz zatwierdzać dla nich aktualizacje. Istnieją dwa sposoby zatwierdzania aktualizacji do instalacji na komputerach: aktualizacje ręczne i automatyczne.
Ręczne zatwierdzanie i instalowanie aktualizacji za pośrednictwem programu WSUS
Otwórz konsolę zarządzania usługami WSUS (usługi aktualizacji) i wybierz sekcję Aktualizacje. Wyświetla raport podsumowujący dostępne aktualizacje. W tej sekcji domyślnie są 4 podsekcje: Wszystkie aktualizacje, Krytyczne aktualizacje, Aktualizacje bezpieczeństwa i Aktualizacje WSUS. Możesz zatwierdzić konkretną aktualizację instalacji, znajdując ją w jednej z tych sekcji (możesz użyć wyszukiwania według nazwy KB w konsoli wyszukiwania aktualizacji lub numeru biuletynu zabezpieczeń firmy Microsoft), lub możesz posortować aktualizacje według daty wydania lub według liczb.
Wyświetl listę niezatwierdzonych aktualizacji (filtr - Zatwierdzenie = Niezatwierdzone). Znajdź potrzebną aktualizację, kliknij ją za pomocą RMB i wybierz element menu Zatwierdź.
W wyświetlonym oknie wybierz grupę komputerów WSUS, dla których chcesz zatwierdzić instalację tej aktualizacji (na przykład Test_Srv_WSUS). Wybierz element Zatwierdź do instalacji. Możesz natychmiast zatwierdzić aktualizację dla wszystkich grup komputerów, wybierając Wszystkie komputery, lub dla każdej grupy indywidualnie. Na przykład najpierw możesz zatwierdzić instalację aktualizacji na grupie komputerów testowych, a po 4-7 dniach, jeśli nie ma żadnych problemów, zatwierdzić instalację aktualizacji na wszystkich komputerach.
Pojawi się okno z wynikami procesu zatwierdzania aktualizacji. Jeśli aktualizacja zostanie pomyślnie zatwierdzona, pojawi się komunikat. Sukces. Zamknij to okno.
Jak rozumiesz, jest to ręczny schemat zatwierdzania określonych aktualizacji. Jest to dość pracochłonne, ponieważ Każda aktualizacja musi być indywidualnie zatwierdzona. Jeśli nie chcesz ręcznie zatwierdzać aktualizacji, możesz utworzyć reguły automatycznego zatwierdzania aktualizacji (automatyczne zatwierdzanie).
Skonfiguruj reguły automatycznego zatwierdzania aktualizacji w programie WSUS
Automatyczne zatwierdzanie pozwala natychmiast, bez interwencji administratora, zatwierdzać nowe aktualizacje, które pojawiły się na serwerze WSUS i przypisywać je do zainstalowania na klientach. Automatyczne zatwierdzanie aktualizacji WSUS na podstawie reguł zatwierdzania.
W konsoli zarządzania programu WSUS otwórz sekcję Opcje i wybierz Automatyczne zatwierdzenia.
W oknie, które pojawia się na karcie Zaktualizuj reguły z nazwą podana jest tylko jedna reguła Domyślna reguła automatycznego zatwierdzania (domyślnie jest wyłączone).
Aby utworzyć nową regułę, kliknij przycisk. Nowa zasada.
Reguła składa się z 3 kroków. Musisz wybrać niezbędne właściwości aktualizacji, wybrać grupy komputerów WSUS, które chcesz zatwierdzić aktualizację i nazwę reguły.
Kliknięcie każdego niebieskiego linku otworzy odpowiednie okno właściwości..
Na przykład można włączyć automatyczne zatwierdzanie aktualizacji zabezpieczeń dla serwerów testowych. Aby to zrobić, w sekcji Wybierz klasyfikacje aktualizacji wybierz Aktualizacje krytyczne, Aktualizacje zabezpieczeń, Aktualizacje definicji (odznacz pozostałe porcje). Następnie w oknie dialogowym Zatwierdź aktualizację dla wybierz grupę WSUS o nazwie Test_Srv_WSUS.
Tab Zaawansowane możesz wybrać, czy automatycznie zatwierdzać aktualizacje dla samego programu WSUS i czy dodatkowo zatwierdzać aktualizacje, które zostały zmienione przez Microsoft. Zwykle wszystkie porcje na tej karcie są włączone..
Teraz, gdy w drugi drugi wtorek miesiąca serwer WSUS pobierze nowe aktualizacje (lub ręcznie importując aktualizacje), zostaną one zatwierdzone do automatycznej instalacji w grupie testowej. Klienci Windows domyślnie skanują nowe aktualizacje na serwerze WSUS co 22 godziny. Aby krytyczne komputery mogły otrzymywać nowe aktualizacje tak szybko, jak to możliwe, możesz zmienić częstotliwość takiej synchronizacji za pomocą zasad częstotliwości wykrywania Automatycznych aktualizacji na kilka godzin (możesz również ręcznie skanować w poszukiwaniu aktualizacji za pomocą modułu PSWindowsUpdate). W przypadku dużej liczby klientów na serwerze WSUS (ponad 2000 komputerów) wydajność serwera aktualizacji ze standardowymi ustawieniami może być niewystarczająca, dlatego należy go zoptymalizować (zobacz artykuł).
Odwoływanie zainstalowanych aktualizacji w programie WSUS
Jeśli jedna z zatwierdzonych aktualizacji okazała się problematyczna i powoduje błędy na komputerach lub serwerach, administrator WSUS może ją odwołać. Aby to zrobić, znajdź aktualizację w konsoli WSUS i wybierz Odrzuć. Następnie wskaż
Teraz wybierz grupę WSUS, dla której chcesz anulować instalację, i wybierz Zatwierdzony do usunięcia. Po pewnym czasie aktualizacja zostanie usunięta na kliencie (więcej szczegółów znajduje się w artykule Metody usuwania aktualizacji systemu Windows..
Metodyka zatwierdzania wydajności WSUS
Po zainstalowaniu i przetestowaniu aktualizacji w grupach testowych i upewnieniu się, że nie ma próbek (zwykle wystarczą 3-6 dni na przetestowanie), możesz zatwierdzić nowe aktualizacje do zainstalowania w systemach produkcyjnych. Ponadto nie można automatycznie zatwierdzać aktualizacji z pewnym opóźnieniem (na przykład po 7 dniach) w systemach produkcyjnych.
Niestety konsola WSUS nie może skopiować wszystkich zatwierdzonych aktualizacji z jednej grupy komputerów WSUS do innej. Możesz wyszukiwać nowe aktualizacje jeden po drugim i ręcznie zatwierdzać je w celu zainstalowania na bardziej produktywnej grupie serwerów i komputerów. Jest dość długi i męczący.
Dla siebie stworzyłem mały skrypt PowerShell, który zbiera listę aktualizacji zatwierdzonych dla grupy testowej i automatycznie zatwierdza wszystkie wykryte aktualizacje w grupie produktywnej (zobacz artykuł Kopiowanie zatwierdzonych aktualizacji między grupami WSUS). Teraz uruchamiam ten skrypt 7 dni po zainstalowaniu aktualizacji i przetestowaniu aktualizacji w grupach testowych. Jeśli łatki problemowe zostaną znalezione wśród łatek, należy je odrzucić w grupie testowej..
