Server aktualizací systému Windows v podnikové síti. Zásady skupiny WSUS pro servery Windows. Konfigurace klientů WSUS pomocí zásad skupiny

Server aktualizací systému Windows v podnikové síti. Zásady skupiny WSUS pro servery Windows. Konfigurace klientů WSUS pomocí zásad skupiny

Konfigurace automatických aktualizací pro počítače v pracovních skupinách

Chcete-li zajistit bezpečnost a udržovat váš operační systém aktuální, je důležité pravidelně stahovat a instalovat nejnovější aktualizace. Aktualizaci lze provést buď každým klientským počítačem z webu Microsoft Update, nebo centrálně pomocí serveru Windows Server Update Services (WSUS).

Nejlepší způsob, jak nakonfigurovat automatické aktualizace, je použít zásady skupiny, ale to je možné pouze v případě, že vaše organizace má službu Active Directory. Pokud není služba AD v organizaci nasazena a počítače jsou v pracovních skupinách, zásady skupiny domény zmizí a můžete klienta nakonfigurovat tak, aby používal službu WSUS buď prostřednictvím zásad místní skupiny, nebo přímo provedením změn v systémovém registru počítače.

Přednastavení

Nejprve musíme provést některá nastavení na serveru WSUS. Otevřete konzolu pro správu služby WSUS a v části „Počítače“ vytvořte novou skupinu, která bude zahrnovat naše počítače. Říkejme tomu Workgroup.

Po vytvoření skupiny přejděte na kartu „Možnosti“ a tam v části „Počítače“ dáme serveru WSUS pokyn, aby umístil počítače do skupin podle zásad skupiny nebo nastavení registru. Jinak všechny nové počítače automaticky spadají do skupiny Nepřiřazené počítače.

Zásady skupiny

Nyní můžete začít s nastavením klienta. Jdeme na klientský počítač, klikneme Win+R a nabrat tým gpedit.msc. Otevře se Editor zásad místního počítače. Za nastavení aktualizací je zodpovědná sekce Konfigurace počítače - Šablony pro správu - Komponenty Windows - Windows Update.

Musíme nakonfigurovat následující zásady:

Zadejte umístění aktualizační služby společnosti Microsoft na intranetu— nastavte adresu nebo název aktualizačního serveru, ke kterému se bude klient připojovat, a také adresu statistického serveru. Pro oba úkoly můžete zadat stejnou adresu.

Umožnit klientovi připojit se k cílové skupině − zadejte název skupiny na serveru WSUS, ke které má být tento počítač připojen. V našem případě je to Workgroup.

Nastavení automatických aktualizací— zde nastavíme režim stahování a instalace aktualizací a harmonogram, podle kterého se budou aktualizace instalovat. Pokud není plán zadán, budou aktualizace standardně instalovány denně ve 3:00.

Frekvence vyhledávání automatických aktualizací— určete frekvenci volání na server pro kontrolu aktualizací. Nyní budou volání na server WSUS probíhat v určeném časovém období s náhodnou odchylkou, aby se zkontrolovaly aktualizace povolené k instalaci.

Přesouvání plánovaných instalací automatických aktualizací— nastavíme dobu čekání před instalací aktualizací, pokud byla plánovaná instalace z nějakého důvodu přeskočena.

Nerestartujte automaticky, pokud jsou uživatelé přihlášeni— dáváme uživateli možnost zvolit si čas restartu po instalaci aktualizací. Pokud toto nastavení není zadáno nebo zakázáno, uživatel je upozorněn a počítač se po 5 minutách automaticky restartuje.

Registr

Nyní provedeme stejné nastavení úpravou registru.

Přejděte do sekce registru HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate. Pokud žádná sekce neexistuje, vytvořte ji. V sekci vytvoříme následující klíče:

″WUServer″=http://192.168.0.1— aktualizovat adresu serveru;
″WUSatusServer″=http://192.168.0.1— adresa statistického serveru;
— zařadit počítač do cílové skupiny;
″TargetGroup″=″Workgroup″— název cílové skupiny pro počítač.

— automatická aktualizace je povolena;
″AUOptions″=dword:00000004— stahovat a instalovat aktualizace podle plánu;
— instalovat aktualizace 1. den v týdnu (neděle). Pro denní aktualizaci je třeba nastavit hodnotu na nulu;
— instalovat aktualizace ve 03:00;
″UseWUServer″=dword:00000001— pro aktualizace použijte server WSUS. Pokud je nastavena na nulu, aktualizace se provede pomocí služby Microsoft Update;
— frekvence kontroly aktualizací je povolena;
— kontrolovat aktualizace na serveru každých 12 hodin;
— přeplánovat zmeškanou instalaci aktualizací;
— spusťte zmeškanou instalaci aktualizací 10 minut po zapnutí počítače;
- nerestartujte počítač automaticky, pokud na něm uživatelé pracují.

Automatizace nastavení

Máte-li ke konfiguraci více než jeden počítač, proces lze automatizovat. Chcete-li to provést, otevřete Poznámkový blok, vytvořte soubor reg a přidejte jej do potřebných klíčů registru. V našem případě jsme skončili s následujícím souborem:

Editor registru systému Windows verze 5.00


″WUServer″=″http://192.168.0.1″
″WUSatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″


″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″Frequency detekce″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Nyní pro nastavení automatických aktualizací bude stačit přenést tento soubor do cílového počítače a spustit jej.

Možné problémy

Pokud se po konfiguraci počítače neobjeví v konzole WSUS, může to být způsobeno tím, že pracovní stanice byly připraveny pomocí nesprávně připravených obrázků, tzn. bez použití nástroje sysprep nebo podobných programů. V tomto případě může mít počítač v registru duplicitní hodnoty SusClientID.

Chcete-li problém vyřešit, musíte na klientovi provést následující akce:

  • spusťte příkaz v konzole cmd net stop wuauserv zastavit službu automatických aktualizací;
  • spusťte regedit a přejděte do větve registru HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate;
  • odstranit klíče PingID, AccountDomainSid, SusClientId, SusClientIDValidation (pokud existují);
  • odstranit veškerý obsah složky %WinDir%\SoftwareDistribution (neoficiální doporučení);
  • spusťte příkaz v konzole čistý start wuauserv ke spuštění služby automatické aktualizace;
  • spusťte příkaz v konzole wuauclt.exe /resetauthorization /detectnow a počkejte na dokončení registrace pracovní stanice na serveru WSUS (10–15 minut);
  • pokud se počítač v konzole nezobrazí, spusťte příkaz wuauclt.exe /detectnow. Obvykle stačí jedno opakování, ale může být zapotřebí více;
  • přejděte do konzoly pro správu služby WSUS a ujistěte se, že se pracovní stanice úspěšně zaregistrovala.

Windows Server Update Services (WSUS) - aktualizační server pro operační systémy a produkty společnosti Microsoft. Velmi užitečná konzole, pokud je v kanceláři více než 10 počítačů. Je užitečná v tom, že vám umožňuje „distribuovat“ aktualizace z JEDNOHO serveru na všechny počítače v síti, tj. ne každý jednotlivý počítač musí stahovat internetový kanál, ale jeden server stahuje aktualizace a „distribuuje“ je po síti do všechny pracovní stanice a servery.

Zpočátku bylo ve Windows 2003 nutné stáhnout distribuční sadu WSUS ze stránek Microsoftu, s příchodem Ms Windows 2008 a Ms a Windows 2008 R 2 tato potřeba zmizela, protože Objevila se role WSUS, i když distribuční sadu si můžete stáhnout z webu Microsoftu staromódním způsobem.

Chcete-li nainstalovat, musíte splnit minimální požadavky, konkrétně:
Operační systém: Windows Server 2003 SP1 a vyšší.
Další role serveru: IIS 6.0 a vyšší (pro Windows Server 2008 vás při přidávání role vyzve k její instalaci)
Další aktualizace OS: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
Další programy: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS umí nainstalovat službu Windows Internal Database Service).
Je potřeba počítat s místem na vašem pevném disku, doporučil bych minimálně 100 GB, podle toho, jaké máte nastavení ve WSUS.
Takže bez ohledu na to, jakým způsobem instalujete (pomocí distribuce nebo přidáním role), kroky budou stejné.

Po spuštění instalace musíte několikrát kliknout na tlačítko Další. Zaměřím se na hlavní kroky:
Označíme, kde budou aktualizace uloženy (disk s alespoň 100 GB volného místa)

Určete složku, kde bude uložena databáze aktualizací (2-4 GB volného místa).

Velmi důležitým krokem je výběr portu, na kterém bude aktualizace distribuována, standardně se používá port 80, ale nedoporučuji jej používat, protože tento port je často používán jinými aplikacemi. Je lepší vytvořit web služby WSUS a používat port 8530.

Po instalaci služby Wsus je potřeba ji znovu správně nakonfigurovat, podívejme se na základní kroky:
Vybereme, odkud budeme dostávat aktualizace, pokud je to první server s Wsus, pak vybereme synchronizaci z Microsoft Update Center.

Jazyky, které si vyberete, by měly být angličtina (povinné) + jazyky, které se nacházejí ve vaší síti.

Vybíráme produkty, které budou aktualizovány (uveďte pouze ty, které používáte, jinak vám nesmyslné aktualizace zaberou místo na pevném disku).

Vyberte třídy produktů, které budou aktualizovány.

Základní nastavení je hotovo, přejdeme k dalšímu nastavení, přímému nastavení konzole WSUS Pro pohodlí bych doporučil vytvořit 2 skupiny počítačů, jedna skupina bude mít servery, druhá bude mít pracovní stanice (to se děje tak, že si. může omezit instalaci aktualizací pro servery).

Zpočátku budou všechny počítače umístěny v Nepřiřazené počítače, pak musíte počítače ručně přesunout do požadovaných skupin. Pro pracovní stanice doporučuji nainstalovat všechny aktualizace, přejděte na „; Možnosti – Automatické schvalování“ a udělejte následující pravidlo.

A pro servery máme pravidlo schvalovat pouze kritické aktualizace (U serverů důrazně nedoporučujeme instalovat všechny aktualizace, protože to může způsobit narušení jejich provozu, setkal jsem se s tím několikrát).

Nyní je nutné provést změny na všech počítačích v síti, aby věděly, odkud „získat“ aktualizace. To se provádí pomocí zásad skupiny. Přejděte na řadič domény " Start - Nástroje pro správu - Správa zásad skupiny" Vyberte zásadu, která funguje v doméně (výchozí zásada skupiny ve výchozím nastavení), nebo vytvořte novou. Klikněte pravým tlačítkem a vyberte „ Změna" V okně" Editor správy zásad skupiny"Pojďme" Konfigurace počítače – Zásady – Šablony pro správu – Součásti systému Windows – Windows Update" Níže jsou připravená a otestovaná nastavení. Tam, kde je červená čára, zadejte název nebo IP adresu svého serveru, na kterém je nainstalována služba WSUS.

v Rusku:

Pokud v rámci infrastruktury existují pracovní stanice, které nejsou součástí domény (například mobilní pracovní stanice), ale je pro tyto pracovní stanice nezbytná aktualizační služba, je možné tuto službu specifikovat v " Místní bezpečnostní politika».
Na příkazový řádek zadejte gpedit.msc a proveďte stejné operace, které byly popsány výše pro zásady skupiny v doméně.
Několik minut po provedení všech procedur se síťové počítače začnou objevovat v konzole Wsus ve skupině Nepřiřazené počítače. Podle jejich operačního systému je přesunete do požadované skupiny (Server nebo Workgroup). Připomínám, že podle našeho nastavení budou všechny aktualizace instalovány na počítače, které jsou ve skupině Workgroup, pouze kritické pro servery.

Pro snížení provozu v geograficky distribuovaných sítích velkých společností se doporučuje použít instalační skript aktualizačního serveru wsus s podporou primárních a více podřízených serverů. Tento scénář umožňuje výrazně snížit zatížení kanálů přenosu dat a využívat centralizovaný bod pro správu aktualizací a sestav.

Architektura řešení

Je zde centrála a několik geograficky distribuovaných míst propojených virtuálními privátními kanály (VPN). Web A je centrální web, který stahuje aktualizace a distribuuje je na podřízené weby (místo B, web C). Slave servery odesílají veškeré informace o stavu svých klientů do centrální lokality. Jako databázový server použijeme dedikovaný MS SQL server.

Implementace

Nasadíme na území centrály Windows Server 2012 R2 s rolí Windows Server Update Service(WSUS), k tomu musíte vybrat instalaci ve Správci serveru role a složky.

Typ instalace: instalace rolí nebo komponent.

Vyberme místní server, na který nasadíme roli serveru WSUS.

Zaškrtněte políčko vedle služby Windows Server Update Service.

Přidáme potřebné komponenty.

Ve fázi výběru komponentů je to nutné odmítnout z instalace Interní databáze Windows.

Odebereme součásti.

Na níže uvedeném snímku obrazovky vidíme, že komponenta Interní databáze Windows nebude nainstalováno. Klikněte Dále.

Obrazovka Služby rolí nabízí na výběr dvě databáze. Jedním z nich je WID Database and Database. Databáze WID není nic jiného než Interní databáze Windows je variantou SQL Server Express 2005, která je součástí systému Windows Server 2008 a je také součástí některých dalších bezplatných produktů společnosti Microsoft. Vzhledem k tomu, že dle naší architektury plánujeme použít externí databázi, vybereme si Databáze.

Uvedeme cestu ke složce, do které budeme ukládat stažené aktualizace a záplaty.

Na jevišti instance databáze zadejte adresu SQL serveru a stiskněte tlačítko kontrola připojení.

Pokud je kontrola úspěšně dokončena, bude to indikováno zprávou Připojení k serveru bylo úspěšné, můžete pokračovat Dále.

Další nastavení nebo instalace komponent služby role webový server to nevyžaduje, stačí kliknout Dále.

Pojďme si proces instalace užít......

Poté stiskněte tlačítko Zavřít.

A pojďme dál na staveništi hlavní aktualizační server. Chcete-li to provést, otevřete nástroje a vyberte z rozevíracího seznamu Windows Server Update Service.

Chcete-li dokončit instalaci, musíte zadat instanci databáze a cestu k adresáři aktualizace.

Po dokončení úloh po instalaci se otevře průvodce Nastavení služby Windows Server Update Services. Podrobný proces konfigurace je popsán v, ale nás zajímá konfigurace podřízených serverů.

Nastavení podřízeného serveru

Chcete-li připojit podřízený server wsus k primárnímu serveru, musíte spustit Průvodce konfigurací serveru a v průvodci v části výběr upstream serveru zadejte název hlavního serveru. Podle doporučení společnosti Microsoft určete použití protokolu SSL během synchronizace a uvědomte si, že tento server je replikou.

V důsledku těchto nastavení budou další parametry průvodce neaktivní a veškerá správa aktualizací a skupin počítačů se přesune na server vyšší úrovně. Udělejme podobný postup pro zbývající podřízené servery.

Spusťte synchronizaci dat, po které budou všechna data stažena na podřízený server. aktualizace schválené nadřazeným serverem, stejně jako skupiny počítačů.

Sečteno a podtrženo

Ve scénáři, kde používáte upstream server a několik downstream serverů, jsou všechny akce pro schválení aktualizací, jejich odvolání a vytvoření skupin počítačů prováděny na upstream serveru, což výrazně zkracuje dobu údržby. servery WSUS. Získáte také centralizovanou správu aktualizací a reportů, protože podřízené servery odesílají všechna data na nadřízený server.

Instalace aktualizací a oprav je velmi důležitou součástí zabezpečení. Pro všechny profesionály v oblasti informační bezpečnosti je monitorování, analýza a náprava zranitelností softwaru zásadní nutností. Společnost Microsoft poskytuje bezplatnou možnost využívat službu aktualizace pro své softwarové produkty po celou dobu podpory softwarového produktu. Potřebné aktualizace jsou dostupné prostřednictvím internetu všem uživatelům softwarových produktů.

Použití aktualizací na podnikové prostředí vyžaduje další ovládací prvky. Společnost Microsoft nabízí použití výkonného bezplatného produktu Windows Server Update Services (WSUS) v podnikovém prostředí, který umožňuje šetřit provoz na internetu a centrálně spravovat aktualizace pro servery a pracovní stanice.

Tento článek shrnuje zkušenosti s instalací a údržbou WSUS v podnikovém prostředí, což začátečníkům umožní vyhnout se řadě nástrah.

Instalace WSUS

V rámci operačního systému Windows Server 2008 existuje role serveru Windows Server Update Services (obr. 1).

Pro Windows Server 2003 platí následující systémové požadavky pro instalaci WSUS 3.0 SP1:

    Operační systém: Windows Server 2003 SP1 a vyšší.

    Další role serveru: IIS 6.0 a vyšší

    Další aktualizace OS: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

    Další programy: Microsoft Report Viewer, SQL Server 2005 SP1 (WSUS umí nainstalovat službu Windows Internal Database Service).

I přes to, že služba je prakticky nenáročná na procesor a RAM, vyžaduje pořádnou porci místa na disku. Nejlépe 40 GB nebo více. V konečném důsledku bude množství spotřebovaného místa na disku záviset na počtu produktů, které je třeba aktualizovat, a počtu požadovaných aktualizací infrastruktury.

Pokud během instalace server nesplňuje systémové požadavky, zobrazí se varovné okno, které popíše, co je potřeba nainstalovat (obr. 2).

Nastavení serveru WSUS

Pro normální provoz serveru musíte zadat řadu parametrů, které se provádějí pomocí „Průvodce konfigurací služby Windows Server Update Services“

V okně „Select an upstream server“ musíte vybrat možnost „Synchronize with Microsoft Update“ (obr. 3).

Při použití proxy serveru v podnikovém prostředí musíte v okně „Nastavení proxy serveru“ zadat IP adresu, číslo portu a autentizační parametry na proxy serveru (obr. 4).

V okně „Vybrat jazyky“ musíte vybrat možnost „Stahovat aktualizace pouze v následujících jazycích“; Výběr dalších jazyků musí být proveden na základě systémů nainstalovaných ve společnosti, obvykle se také přidává „ruština“ (obr. 5). Není třeba vybírat „Stahovat aktualizace ve všech jazycích, včetně nových“, protože se tím zvýší počet aktualizací uložených na disku.

V okně Vybrat produkty musíte vybrat produkty nainstalované ve vašem podnikovém prostředí. POZORNOST! Nikdy neinstalujte všechny produkty, protože to může způsobit zvětšení velikosti uložených aktualizací a aktualizace nebudou použity. Je nutné metodicky a důsledně vybírat pouze ty produkty, které se používají v rámci podnikového prostředí (obr. 6).

V okně „Vybrat třídy“ musíte zadat pouze ty třídy, které vyžadují aktualizace. Vzhledem k tomu, že určení extra tříd výrazně zvyšuje velikost uložených aktualizací (obr. 7).

V okně „Nastavení plánu synchronizace“ musíte vybrat čas synchronizace (obr. 8). Synchronizace WSUS nezahrnuje stahování aktualizací. V tomto případě synchronizace aktualizuje pouze informace ze serveru Microsoft Update."

Po první synchronizaci je třeba otevřít konzolu WSUS a vybrat „Možnosti“. V „Možnosti“ otevřete položku „Soubory a jazyky aktualizace“ (obr. 9)

Na kartě „Aktualizační soubory“ v okně „Aktualizační soubory a jazyky“ musíte určit, jak budou aktualizační soubory uloženy. Protože chceme snížit objem internetového provozu, musíme vybrat „Ukládat aktualizační soubory lokálně na tento server“ a POVINNÉ! vyberte položky „nahrát aktualizační soubory na server až po schválení aktualizace“ a „nahrát expresní instalační soubory“ (obr. 10). Položka „Nahrávat aktualizační soubory na server až po schválení aktualizace“ je nutná, protože ve výchozím nastavení bude server stahovat VŠECHNY aktualizace, které u vybraných produktů považuje za nutné. Protože se však v průběhu času v aktualizaci Service Pack nashromáždí mnoho aktualizací, s největší pravděpodobností nebudou potřeba a budou zabírat místo na disku.

Po všech nastaveních je potřeba přidat počítače do služby WSUS.

Přidávání počítačů do služby WSUS

Pokud máte doménu, stačí zaregistrovat službu WSUS v jejích zásadách skupiny a vybrat pravidla aktualizace počítače.

To se provádí následovně " Start - Nástroje pro správu - Správa zásad skupiny" Vyberte zásadu, která je platná v doméně (výchozí zásady skupiny ve výchozím nastavení). Klikněte pravým tlačítkem a vyberte „Upravit“.

V okně „Editor správy zásad skupiny“ přejděte na „ Konfigurace počítače – Zásady – Šablony pro správu – Součásti systému Windows – Windows Update" Vyberte položku „Upřesnit umístění aktualizační služby na intranetu“ (obr. 11)

V okně „Vlastnosti: Zadejte umístění aktualizační služby na intranetu“ zadejte parametr „Povoleno“ a do řádku „Zadejte aktualizační službu na intranetu pro vyhledávání aktualizací“ zadejte řádek jako: http:// [ IP adresa nebo DNS jméno aktualizačního serveru v síti]. Zkopírujte adresu do okna „Určit statistický server na intranetu“ (obr. 12). V rámci Editoru zásad skupiny jsou v okně vysvětlení (obrázek 12) tipy.

Musíte také definovat zásady aktualizace. To se provádí pomocí položky „Nastavení automatických aktualizací“ (obr. 13)

V okně „Vlastnosti: Nastavení automatických aktualizací“ zadejte možnost „Povoleno“ a parametry „Nastavení automatických aktualizací“, „Plánovaná instalace – den“, „Naplánovaná instalace – čas“. V okně „Vysvětlení“ je popis všech parametrů pro servery a je vhodné nastavit parametr „2 – upozornění na stažení a instalaci“, který umožní správcům vybrat, kdy budou aktualizace na servery instalovány (obr. 14 ).

Pokud se v rámci infrastruktury nacházejí pracovní stanice, které nejsou součástí domény (například mobilní pracovní stanice), ale je pro tyto pracovní stanice nezbytná aktualizační služba, je možné tuto službu specifikovat v „Local Security Policy“.

Na příkazový řádek zadejte gpedit.msc a proveďte stejné operace, které byly popsány výše pro zásady skupiny v doméně.

Po nějaké době se počítač objeví v „ Počítače – Všechny počítače – Nepřiřazené počítače"u "Stav: Libovolný" (obr. 15).

Správa aktualizací

Abyste viděli a schválili potřebné aktualizace, musíte v „Aktualizace – Všechny aktualizace“ vybrat následující položky filtru: „Schválení: Neschváleno“ a Stav: Vyžadováno“ a kliknout na „Aktualizovat“ (obr. 16). POZORNOST! Chcete-li zkontrolovat potřebné aktualizace, vždy se ujistěte, že nastavení filtru je nastaveno na „Schválení: Neschváleno“ a Stav: Požadováno, jinak riskujete, že stáhnete aktualizace, které nepotřebujete, nebo je nestáhnete vůbec. Pokud filtr v nastavení „Schválení: Neschváleno“ a Stav: Povinné zobrazuje prázdné pole, pak všechny potřebné aktualizace pro počítače již byly schváleny a jsou na serveru.

Po schválení se na počítači po nějaké době objeví aktualizace podle pravidel nakonfigurovaných v bezpečnostní politice.

Poměrně často je potřeba donutit počítač, aby zkontroloval aktualizace na aktualizačním serveru. Existuje na to program wuauclt.exe, který se spouští přes příkazový řádek. Chcete-li zkontrolovat aktualizace, musíte jej spustit pomocí klíče /detectnow (wuauclt.exe /detectnow). Chcete-li odeslat zprávu o stavu (velmi často nutné při prvním připojení k aktualizačnímu serveru), musíte spustit s klíčem /nahlásit (wuauclt.exe /reportnow).

Pánové, hodně štěstí s aktualizacemi!

Vasiljev Denis

Každý správce chápe důležitost včasných aktualizací, zejména pokud jde o kritické aktualizace zabezpečení. S růstem sítě a nárůstem počtu softwarových produktů se to však stává velmi obtížným úkolem. Je tedy čas nasadit službu WSUS ( Windows Server Update Services) - lokální aktualizační server ve vaší síti.

S tím zabijete několik much jednou ranou: výrazně snížíte zatížení kanálu a spotřebovaný internetový provoz a také získáte výkonný nástroj pro monitorování a řízení procesu aktualizace. Od této chvíle budou všechny místní počítače aktualizovány z vašeho serveru a budou instalovat pouze aktualizace, které vyberete.

Začněme. Před instalací WSUS byste měli připravit server, budeme používat Windows Server 2008 R2, nicméně s drobnými úpravami bude vše, co bylo řečeno, platit i pro ostatní verze Windows Serveru. Co potřebujeme:

  • IIS 6 nebo vyšší
  • .NET Framework 2.0 nebo vyšší,
  • Report Viewer Redistributable 2008,
  • SQL Server 2005 SP2 Express nebo vyšší.

WSUS může ukládat aktualizace do své vlastní databáze nebo používat SQL server, z hlediska výkonu je výhodnější ten druhý. Pokud již máte ve své síti nasazený SQL server, můžete jej použít, jinak je bezplatný SQL Express docela vhodný.

Všechny potřebné součásti můžete získat na webu společnosti Microsoft:

Při stahování dávejte pozor na bitovou hloubku pro 64bitový OS stahujeme 64bitové verze produktů.

Zatímco stahování probíhá, pojďme přidat role serveru. Budeme potřebovat webový server (IIS) A Server aplikací(V předchozích verzích systému Windows Server nainstalujte rozhraní .NET Framework). Aplikační server je nainstalován s výchozími hodnotami a k ​​webovému serveru je třeba přidat následující možnosti:

  • ASP.NET
  • Windows – ověřování
  • Dynamická komprese obsahu
  • Kompatibilita správy IIS6

Po přidání potřebných rolí nainstalujeme Report Viewer a SQL Server s výchozími parametry. Vše je připraveno, můžete nainstalovat WSUS.

Po spuštění instalačního programu vyberte instalaci serveru a administrační konzole a instalační složku. V parametrech databáze uvádíme náš SQL server. Zbytek nastavení lze ponechat jako výchozí.

Ihned po instalaci se spustí Průvodce počátečním nastavením. Všechny možnosti jsou celkem jednoduché a jasné. V nastavení synchronizace uvádíme, odkud bude náš server přijímat aktualizace: ze serveru společnosti Microsoft nebo z jiného serveru WSUS. Poslední možnost by měla být použita, pokud potřebujete nasadit další aktualizační server, například pro pobočku. V tomto případě bude podřízený server přijímat pouze aktualizace, které schválíte.

Na další kartě v případě potřeby zadejte parametry proxy serveru a proveďte počáteční připojení. Budou staženy informace z upstream serveru: seznamy produktů, typy aktualizací atd.

Při výběru produktů nebuďte chamtiví; později můžete tento seznam změnit;

Na další stránce označte, které třídy aktualizací byste chtěli dostávat, zde vše závisí na zásadách aktualizací ve vašem podniku. Je třeba mít na paměti, že aktualizace ovladačů a nové balíčky funkcí se důrazně nedoporučuje nasazovat automaticky bez předchozího testování. Pokud k tomu nemáte příležitost, nemusíte tyto třídy specifikovat.

Nezapomeňte také nastavit plán synchronizace s upstream serverem. Tím je počáteční nastavení dokončeno.

Po otevření konzole (dostupné v nabídce Správa) je prvním krokem spuštění ruční synchronizace ke stažení všech aktuálně dostupných aktualizací pro vybrané produkty. V závislosti na tom, co a kolik jste zvolili během nastavování, a také na rychlosti vašeho připojení to může trvat dlouho.

Zatímco synchronizace probíhá, pojďme nastavit klientské počítače. Pokud máte nasazenou službu Active Directory, lze to provést pomocí zásad skupiny. OTEVŘENO Správa zásad skupiny, vyberte požadovaný objekt a klikněte pravým tlačítkem Změna. V okně, které se otevře, vyberte Konfigurace počítače - Zásady - Šablony pro správu - Windows Update. Zajímá nás parametr Zadejte umístění aktualizační služby společnosti Microsoft na intranetu. Přesuneme jej do polohy Zahrnuta a ve formuláři uveďte cestu k našemu serveru WSUS http:\\NÁZEV_SERVERU.

Doporučujeme také nastavit volbu Nastavení automatických aktualizací, který zcela replikuje stejné nastavení na klientských počítačích. Po určité době potřebné k aktualizaci zásad skupiny se počítače ve vaší síti začnou připojovat k serveru a přijímat aktualizace.

Pokud má vaše síť strukturu peer-to-peer, budete muset nakonfigurovat každý počítač samostatně. To se provádí skrz Editor místních zásad skupiny(Start - Spustit - gpedit.msc), samotný proces nastavení je zcela podobný tomu popsanému výše.

V sekci můžete ovládat počet PC a jejich stav Počítače administrační konzole.

Je dostatek informací k rychlému posouzení celkové situace a věnování pozornosti problematickým oblastem. Červené křížky označují, že se na těchto počítačích vyskytly chyby aktualizace, každý takový případ se musí řešit samostatně. Pro každou aktualizaci je vygenerována podrobná zpráva obsahující všechna data nezbytná k analýze problému.

Doporučujeme také rozdělit váš počítač do skupin, pro každou skupinu můžete přiřadit vlastní aktualizační politiku. Můžete tedy přiřadit servery do samostatné skupiny, pro kterou se automaticky instalují pouze kritické aktualizace zabezpečení.

Nyní se dostáváme k dalšímu důležitému nastavení serveru - automatickému schvalování. Klientské počítače mohou přijímat pouze schválené aktualizace, ale dělat vše pokaždé ručně je nereálné, takže některé aktualizace mohou být schváleny automaticky. Pojďme otevřít Možnosti – Automatické schvalování a aktivujte zásady, které již existují, což vám umožní automaticky instalovat důležité a bezpečnostní aktualizace.

Zde si můžete vytvořit vlastní pravidla a přiřadit je jakékoli skupině PC. Vytvořili jsme například pravidlo: automaticky schvalovat všechny aktualizace MS Office pro skupinu Pracovní stanice.

Všechny dostupné aktualizace si můžete prohlédnout v sekci Aktualizace a zde je můžete ručně schválit. Doporučujeme mít jeden nebo více testovacích počítačů (možno i virtuálních) a testovat na nich aktualizace a balíčky nových funkcí a teprve poté schvalovat aktualizace k instalaci. Aktualizace můžete schválit jak pro všechna PC, tak pro skupinu, jako příklad jsme schválili instalaci balíčku Silverlight pro skupinu Workstations.

V rámci údržby serveru se vyplatí čas od času (cca jednou za měsíc) server vyčistit. To vám umožní vyhnout se nadměrnému zvětšení velikosti databáze odstraněním nenárokovaných, již nepotřebných a neschválených aktualizací.

Na této poznámce ukončíme náš příběh materiál v tomto článku vám umožní rychle nasadit a provést základní nastavení pro aktualizační server. Úkol jemného doladění byste měli snadno zvládnout sami.

  • Štítky:

Pro zobrazení prosím povolte JavaScript

Oblíbené v kategorii:
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní