Konfigurace klientů WSUS pomocí zásad skupiny

V předchozím článku jsme podrobně popsali postup instalace serveru WSUS založeného na systému Windows Server 2012 R2 / 2016. Po konfiguraci serveru musíte nakonfigurovat klienty Windows (servery a pracovní stanice), aby používali server WSUS k přijímání aktualizací tak, aby klienti přijaté aktualizace z interního aktualizačního serveru, a nikoli ze serverů Microsoft Update přes internet. V tomto článku se podíváme na to, jak nakonfigurovat klienty tak, aby používali službu WSUS pomocí zásad skupiny domén služby Active Directory..

Obsah:

  • Zásady skupiny WSUS pro servery Windows
  • Služba WSUS aktualizuje zásady instalace pracovních stanic
  • Přiřaďte zásady WSUS OU služby Active Directory

Zásady skupiny AD umožňují správci automaticky přiřadit počítače k ​​různým skupinám WSUS, což eliminuje potřebu ručně přesouvat počítače mezi skupinami v konzole WSUS a udržovat tyto skupiny aktuální. Přiřazení klientů různým cílovým skupinám WSUS je založeno na štítku v registru na klientovi (štítky jsou nastaveny zásadami skupiny nebo přímou úpravou registru). Tento typ mapování klientů se nazývá WSUS klient strana cílení (Cílení na straně klienta).

Předpokládá se, že naše síť bude používat dvě různé zásady aktualizace - samostatnou politiku pro instalaci aktualizací pro servery (Servery) a pro pracovní stanice (Pracovní stanice) Tyto dvě skupiny musí být vytvořeny v konzole WSUS v části Všechny počítače..

Tip. Zásady pro použití klientů aktualizačního serveru WSUS do značné míry závisí na organizační struktuře OU ve službě Active Directory a pravidlech pro instalaci aktualizace v organizaci. V tomto článku se podíváme pouze na soukromou možnost, která vám pomůže pochopit základní zásady používání zásad AD k instalaci aktualizací systému Windows..

Nejprve musíte zadat pravidlo pro seskupování počítačů v konzole WSUS (cílení). Ve výchozím nastavení jsou v konzole WSUS administrátorům počítače přiřazeny skupiny ručně (cílení na straně serveru). To nám nevyhovuje, proto označujeme, že počítače jsou distribuovány do skupin na základě cílení na straně klienta (podle konkrétního klíče v registru klientů). Chcete-li to provést, v konzole WSUS přejděte na Možnosti a otevřete možnost Počítače. Změňte hodnotu na V počítačích použijte zásady skupiny nebo nastavení registru (Použijte skupinovou politiku nebo nastavení registru v počítačích). 

Nyní můžete vytvořit GPO pro konfiguraci klientů WSUS. Otevřete konzolu správy zásad skupiny a vytvořte dvě nové zásady skupiny: ServerWSUSPolicy a WorkstationWSUSPolicy.

Zásady skupiny WSUS pro servery Windows

Začněme popisem zásady serveru. ServerWSUSPolicy.

Nastavení skupinových zásad odpovědných za provozování služby Windows Update se nachází v sekci GPO: Počítač Konfigurace -> Zásady-> Administrativní šablony-> Windows Komponenta-> Windows Aktualizace (Konfigurace počítače -> Šablony pro správu -> Součásti systému Windows -> Windows Update).

V naší organizaci máme v úmyslu použít tuto zásadu k instalaci aktualizací WSUS na servery Windows. Předpokládá se, že všechny počítače, na které se tato politika vztahuje, budou přiřazeny ke skupině serverů v konzole WSUS. Kromě toho chceme zakázat automatickou instalaci aktualizací na serverech, jakmile jsou přijaty. Klient WSUS by měl jednoduše stáhnout dostupné aktualizace na disk, zobrazit oznámení o dostupnosti nových aktualizací v systémové liště a počkat, až administrátor zahájí instalaci (manuální nebo vzdálené pomocí modulu PSWindowsUpdate), aby zahájil instalaci. To znamená, že produktivní servery nebudou automaticky instalovat aktualizace a restartovat bez potvrzení správce (obvykle tyto úkoly provádí správce systému v rámci měsíčních plánovaných údržbářských prací). K implementaci takového schématu stanovíme následující zásady:

  • Konfigurovat Automatické Aktualizace (Konfigurovat automatické aktualizace): Povolit. 3 - Auto stáhnout a oznámit pro nainstalovat (Automaticky stahujte aktualizace a informujte o jejich připravenosti k instalaci) - klient automaticky stahuje nové aktualizace a upozorňuje je na jejich vzhled;
  • Určete Intranet Microsoft aktualizace služby umístění (Uveďte umístění služby Microsoft Update na intranetu): Povolit.  Nastavení služby aktualizace intranetu pro detekci aktualizací (Určete službu aktualizace intranetu pro vyhledávání aktualizací): http://srv-wsus.winitpro.ru:8530, Nastavení statistického serveru intranetu (Určete statistický server na intranetu): http://srv-wsus.winitpro.ru:8530 - zde musíte zadat adresu serveru WSUS a statistického serveru (obvykle se shodují);
  • Neexistuje automatický restart s přihlášenými uživateli pro instalaci naplánovaných automatických aktualizací (Neprovádějte automatické restartování, pokud jsou aktualizace nainstalovány automaticky, pokud uživatel pracuje na systému): Povolit - zakázat automatický restart za přítomnosti uživatelské relace;
  • Povolit klient-strana cílení (Povolit klientovi připojení k cílové skupině): Povolit. Název cílové skupiny pro tento počítač: Servery - v konzole WSUS přiřaďte klienty ke skupině Servery.
Poznámka:. Při nastavování zásad aktualizace doporučujeme pečlivě se seznámit se všemi nastaveními dostupnými v každé z možností v sekci GPO. Windows Aktualizace a nastavte příslušné parametry pro vaši infrastrukturu a organizaci.

Služba WSUS aktualizuje zásady instalace pracovních stanic

Předpokládáme, že aktualizace klientských pracovních stanic budou na rozdíl od serverových zásad nainstalovány automaticky v noci ihned po přijetí aktualizací. Počítače po instalaci aktualizací by se měly automaticky restartovat (upozornění uživatele do 5 minut).

V tomto GPO (WorkstationWSUSPolicy) určujeme:

  • Povolit Automatické Aktualizace okamžitě instalace (Povolit okamžitou instalaci automatických aktualizací): Zakázáno - zákaz okamžité instalace aktualizací po přijetí;
  • Povolit ne-administrátoři do přijímat aktualizace oznámení (Povolit neautorizovaným uživatelům přijímat oznámení o aktualizaci): Povoleno - Ukažte neadministrátorům varování o nových aktualizacích a umožněte jejich ruční instalaci;
  • Konfigurovat automatické aktualizace: Povoleno.   Konfigurovat automatickou aktualizaci: 4 - Automatické stahování a naplánování instalace. Plánovaný den instalace: 0 - Každý den. Plánovaná doba instalace: 05:00 - po přijetí nových aktualizací se klient stáhne do místní mezipaměti a plánuje je automaticky nainstalovat v 5:00 ráno;
  • Název cílové skupiny pro tento počítač: Pracovní stanice - v konzole WSUS přiřaďte klienta do skupiny Workstations;
  • Neexistuje automatický restart s přihlášenými uživateli pro instalaci naplánovaných automatických aktualizací: Zakázáno - systém se automaticky restartuje 5 minut po instalaci aktualizací;
  • Určete umístění intranetové aktualizace společnosti Microsoft: Povolit. Nastavte službu aktualizace intranetu pro detekci aktualizací: http://srv-wsus.winitpro.ru:8530, Nastavit statistický server intranetu: http://srv-wsus.winitpro.ru:8530 -firemní adresa serveru WSUS.

V systému Windows 10 1607 a novějších, ačkoli jste jim řekli, aby přijímali aktualizace z interního serveru WSUS, mohou se přesto pokusit o přístup k serverům Windows Update na Internetu. Tato „funkce“ se nazývá Duální Skenovat. Chcete-li zakázat příjem aktualizací z Internetu, musíte tuto zásadu navíc povolit Do ne dovolit aktualizace odklad politiky do příčina skenuje proti Windows Aktualizace (odkaz).

Tip. Pro zlepšení „opravené úrovně“ počítačů v organizaci můžete v obou zásadách nakonfigurovat vynucené spuštění aktualizační služby (wuauserv) na klientech. Za tímto účelem v sekci Konfigurace počítače -> Zásady-> Nastavení systému Windows -> Nastavení zabezpečení -> Systémové služby najděte službu Windows Update a nastavte ji na automatické spuštění (Automatické).

Přiřaďte zásady WSUS OU služby Active Directory

Dalším krokem je přiřazení vytvořených zásad k příslušným kontejnerům služby Active Directory (OU). V našem příkladu je struktura OU v doméně AD co nejjednodušší: existují dva kontejnery - Servery (kromě řadičů domén obsahuje všechny servery organizace) a WKS (Počítače uživatelů pracovních stanic).

Tip. Uvažujeme pouze o jedné poměrně jednoduché možnosti, jak zavázat zásady WSUS ke klientům. Ve skutečných organizacích je možné svázat jednu zásadu WSUS na všechny doménové počítače (GPO s nastavením WSUS je zavěšen v kořenovém adresáři domény), distribuovat různé typy klientů do různých OU (jako v našem příkladu jsme vytvořili různé zásady WSUS pro servery a pracovní stanice), obecně distribuované domény mohou svázat různé servery WSUS k webům AD, nebo přiřadit GPO na základě filtrů WMI nebo kombinovat výše uvedené metody.

Chcete-li přiřadit zásadu OU, klikněte na požadovanou OU v konzole pro správu zásad skupiny a vyberte položku nabídky Odkaz jako existující GPO a vyberte příslušnou politiku.

Tip. Nezapomeňte na samostatný OU s řadiči domény (řadiče domény), ve většině případů by měla být tomuto kontejneru přiřazena politika serveru WSUS..

Stejným způsobem je třeba přiřadit zásadu WorkstationWSUSPolicy kontejneru AD WKS, ve kterém jsou umístěny pracovní stanice Windows.

Zbývá aktualizovat zásady skupiny na klientech, aby se klient připojil k serveru WSUS:

gpupdate / force

Všechna nastavení aktualizačního systému Windows, která jsme nastavili pomocí skupinových zásad, by se měla objevit v registru klientů ve větvi HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.

Tento reg soubor lze použít k přenosu nastavení WSUS do jiných počítačů, na kterých není možné konfigurovat nastavení aktualizace pomocí GPO (počítače v pracovní skupině, izolované segmenty, DMZ atd.)

Editor registru systému Windows verze 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Servery"
"ElevateNonAdmins" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
"AUOptions" = dword: 00000003
"ScheduledInstallDay" = dword: 00000000
"ScheduledInstallTime" = dword: 00000003
"ScheduledInstallEveryWeek" = dword: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001

Je také vhodné monitorovat použitá nastavení WSUS na klientech pomocí rsop.msc.

A po chvíli (v závislosti na počtu aktualizací a šířce pásma kanálu na serveru WSUS) je třeba zkontrolovat v okně vyskakovací upozornění na nové aktualizace. Klienti by se měli objevit v konzole WSUS v příslušných skupinách (tabulka zobrazuje jméno klienta, IP, OS, procento jejich "opravené" a datum poslední aktualizace stavu). Protože politici jsme přiřadili počítače a servery k různým skupinám WSUS, dostanou pouze aktualizace schválené k instalaci na odpovídající skupiny WSUS.

Poznámka:. Pokud se aktualizace neobjeví na klientovi, doporučujeme pečlivě prozkoumat protokol aktualizační služby systému Windows na problémovém klientovi (C: \ Windows \ WindowsUpdate.log). Systém Windows 10 (Windows Server 2016) používá jiný formát protokolu aktualizace WindowsUpdate.log. Klient stáhne aktualizace do místní složky C: \ Windows \ SoftwareDistribution \ Download. Chcete-li zahájit hledání nových aktualizací na serveru WSUS, musíte spustit příkaz:

wuauclt / Detekovat

Někdy musíte také přinutit klienta, aby se znovu zaregistroval na serveru WSUS:

wuauclt / detectionnow / resetAuthorization

Ve zvláště obtížných případech můžete zkusit opravit službu wuauserv jako je tato. Pokud dojde k chybě 0x80244010 při přijímání aktualizací na klientech, zkuste změnit frekvenci kontroly aktualizací na serveru WSUS pomocí zásady frekvence detekce automatické aktualizace.

V dalším článku popisujeme funkce schvalování aktualizací na serveru WSUS. Doporučujeme také si přečíst článek o přenosu schválených aktualizací mezi skupinami na serveru WSUS..