Po určitou dobu byl v mém návrhu článek o metodách a funkcích schvalování (schvalování) aktualizací na serveru Windows Server Update Services (WSUS) a na naléhavé žádosti jednoho z pravidelných odběratelů jsem se rozhodl jej dokončit a zveřejnit.
Jedním z hlavních úkolů správce WSUS je správa aktualizací, které jsou schváleny pro instalaci do počítačů a serveru Windows. Po instalaci a konfiguraci začne server WSUS pravidelně stahovat aktualizace pro vybrané produkty ze serverů Microsoft Update..
Obsah:
- Cílové skupiny počítače WSUS
- Ruční schvalování a instalace aktualizací prostřednictvím služby WSUS
- Nakonfigurujte pravidla pro automatické schvalování aktualizací na serveru WSUS
- Odvolání nainstalovaných aktualizací na serveru WSUS
- Metodika schválení schválení WSUS
Cílové skupiny počítače WSUS
Jakmile jsou aktualizace v databázi WSUS, lze je nainstalovat do počítačů. Než však počítače začnou stahovat a instalovat nové aktualizace, musí být schváleny (nebo odmítnuty) správcem WSUS. Je důležité mít na paměti, že ve většině případů musí být před instalací aktualizací na produktivní systémy testovány na několika typických pracovních stanicích a serverech..
Chcete-li organizovat proces testování a nainstalovat aktualizaci do počítačů a doménových serverů, musí správce WSUS vytvořit skupiny počítačů. V závislosti na úkolech firmy, typech uživatelských pracovních stanic a kategorií serverů lze vytvořit různé skupiny počítačů. Obecně v konzole WSUS pod Počítače -> Všechny počítače Má smysl vytvořit na WSUS následující skupiny:
- Test_Srv_WSUS - skupina s testovacími servery (nekritické pro obchodní servery a dedikované servery s testovacím prostředím shodným s produkčním);
- Test_Wks_WSUS - testovat pracovní stanice;
- Prod_Srv_WSUS - produktivní Windows server;
- Prod_Wks_WSUS - všechny uživatelské pracovní stanice.
Tyto skupiny počítačů lze ručně naplnit servery (to obvykle dává smysl testovacím skupinám) nebo můžete počítače a servery svázat se skupinami WSUS pomocí zásad skupiny Povolit cílení na straně klienta (Povolit klientovi připojit se k cílové skupině).
Po vytvoření skupin můžete aktualizace schválit. Existují dva způsoby, jak schválit aktualizace pro instalaci do počítačů: ruční a automatické aktualizace.
Ruční schvalování a instalace aktualizací prostřednictvím služby WSUS
Otevřete konzolu WSUS Management Console (Update Services) a vyberte sekci Aktualizace. Zobrazí souhrnnou zprávu o dostupných aktualizacích. V této části jsou standardně k dispozici 4 podčásti: Všechny aktualizace, Kritické aktualizace, Aktualizace zabezpečení a Aktualizace WSUS. Konkrétní aktualizaci pro instalaci můžete schválit tak, že ji najdete v jedné z těchto sekcí (můžete použít vyhledávání podle názvu KB v konzole pro vyhledávání aktualizací nebo v čísle bulletinu zabezpečení společnosti Microsoft), nebo je můžete třídit podle data vydání nebo podle čísel.
Zobrazit seznam dosud neschválených aktualizací (filtr - Schválení = Neschváleno). Najděte potřebnou aktualizaci, klikněte na ni pomocí RMB a vyberte položku nabídky Schválit.
V zobrazeném okně vyberte skupinu počítačů WSUS, pro které chcete schválit instalaci této aktualizace (například Test_Srv_WSUS). Vyberte položku Schválit k instalaci. Aktualizaci můžete schválit okamžitě pro všechny skupiny počítačů výběrem Všechny počítače, nebo pro každou skupinu zvlášť. Například nejprve můžete schválit instalaci aktualizací na skupině testovacích počítačů a po 4-7 dnech, pokud neexistují žádné problémy, schválit instalaci aktualizace na všech počítačích.
Zobrazí se okno s výsledky procesu schvalování aktualizací. Pokud je aktualizace úspěšně schválena, zobrazí se zpráva. Úspěch. Zavřete toto okno.
Jak víte, jedná se o ruční schéma schvalování konkrétních aktualizací. Je to docela pracné, protože Každá aktualizace musí být schválena jednotlivě. Pokud aktualizace nechcete schvalovat ručně, můžete vytvořit pravidla pro automatické schvalování aktualizací (automatické schvalování)..
Nakonfigurujte pravidla pro automatické schvalování aktualizací na serveru WSUS
Automatické schválení vám umožňuje okamžitě, bez zásahu správce, schválit nové aktualizace, které se objevily na serveru WSUS, a přiřadit je k instalaci na klienty. Automatické schvalování aktualizací WSUS na základě pravidel schvalování.
V konzole pro správu WSUS otevřete sekci Možnosti a vyberte Automatická schválení.
V okně, které se zobrazí na kartě Pravidla aktualizace se jménem je zadáno pouze jedno pravidlo Výchozí pravidlo automatického schválení (ve výchozím nastavení je zakázáno).
Chcete-li vytvořit nové pravidlo, klikněte na tlačítko. Nové pravidlo.
Pravidlo se skládá ze 3 kroků. Musíte vybrat potřebné vlastnosti aktualizace, vybrat skupiny počítačů WSUS, které musí aktualizaci schválit, a název pravidla.
Kliknutím na každý modrý odkaz se otevře příslušné okno vlastností..
Můžete například povolit automatické schvalování aktualizací zabezpečení pro testovací servery. Chcete-li to provést, vyberte v části Vybrat klasifikace aktualizací kritické aktualizace, aktualizace zabezpečení, aktualizace definic (zrušte zaškrtnutí zbývajících délek). Poté v dialogovém okně Schválení aktualizace pro vyberte skupinu WSUS s názvem Test_Srv_WSUS.
Tab Pokročilé můžete si vybrat, zda chcete automaticky schválit aktualizace pro samotný WSUS a zda dodatečně schválit aktualizace, které byly změněny společností Microsoft. Obvykle jsou všechny tóny na této kartě zapnuté..
Nyní, když druhý úterý v měsíci stáhne váš server WSUS nové aktualizace (nebo manuálním importem aktualizací), budou schváleny pro automatickou instalaci v testovací skupině. Klienti Windows ve výchozím nastavení skenují nové aktualizace na serveru WSUS každých 22 hodin. Chcete-li zajistit, aby kritické počítače dostávaly nové aktualizace co nejdříve, můžete změnit frekvenci takové synchronizace pomocí zásady frekvence detekce automatické aktualizace až na několik hodin (aktualizace můžete také ručně vyhledat pomocí modulu PSWindowsUpdate). U velkého počtu klientů na serveru WSUS (více než 2000 počítačů) může být výkon aktualizačního serveru se standardním nastavením nedostatečný, takže je třeba jej optimalizovat (viz článek).
Odvolání nainstalovaných aktualizací na serveru WSUS
Pokud se ukázalo, že některá ze schválených aktualizací je problematická a způsobuje chyby v počítačích nebo serverech, může ji správce WSUS zrušit. Chcete-li to provést, vyhledejte aktualizaci v konzole WSUS a vyberte Pokles. Pak uveďte
Nyní vyberte skupinu WSUS, pro kterou chcete zrušit instalaci, a vyberte Schváleno k odstranění. Po nějaké době bude aktualizace odstraněna na klientovi (další podrobnosti naleznete v článku Metody odstraňování aktualizací systému Windows..
Metodika schválení schválení WSUS
Po instalaci a testování aktualizací ve zkušebních skupinách a ověření, že nejsou k dispozici žádné vzorky (obvykle je k testování postačující 3–6 dní), můžete schválit nové aktualizace pro instalaci do produktivních systémů. Také nemůžete automaticky schvalovat aktualizace s určitým zpožděním (například po 7 dnech) na produktivních systémech.
Konzola WSUS bohužel nemůže kopírovat všechny schválené aktualizace z jedné skupiny počítačů WSUS do druhé. Můžete hledat nové aktualizace jeden po druhém a ručně je schválit k instalaci na produktivnější skupinu serverů a počítačů. Je to docela dlouhé a únavné.
Pro sebe jsem vytvořil malý skript PowerShell, který shromažďuje seznam aktualizací schválených pro testovací skupinu a automaticky schvaluje všechny zjištěné aktualizace produktivní skupiny (viz článek Kopírování schválených aktualizací mezi skupinami WSUS). Nyní spustím tento skript 7 dní po instalaci aktualizací a testování aktualizací na testovacích skupinách. Pokud jsou mezi náplasti nalezeny problémové záplaty, musí být v testovací skupině odmítnuty..