A frissítések időben történő telepítésének biztosítása a munkacsoportokban. WSUS-kliensek konfigurálása csoportházirend használatával Hol a Windows Update beállításjegyzékében

Az automatikus frissítés minden operációs rendszer fontos funkciója. Ennek köszönhetően a számítógép időben megkapja a fontos frissítéseket, ami stabilabbá és biztonságosabbá teszi a rendszert. A Windows 7 rendszerben ez a funkció alapértelmezés szerint engedélyezve van. Ez azt jelenti, hogy ha van kapcsolat a Microsoft szerverekkel, a frissítési szolgáltatás ellenőrzi, hogy vannak-e friss csomagok, letölti és telepíti. Általában az összes folyamat gyakorlatilag észrevétlenül megy végbe a felhasználó számára, de ha folyamatosan érkeznek ajánlatok a 10-re való frissítésre, az már túl sok.

Elméletileg nem éri meg a frissítések automatikus letöltésének letiltása. Hasznos, mert bezárja a biztonsági réseket, optimalizálja az OS működését, új funkciókkal egészíti ki (a „tízesek” tekintetében). Van egy lista az okokról is, amelyek miatt le kell tiltani az automatikus frissítési szolgáltatást:

  1. A felhasználónak nem tetszik, hogy a frissítés során az internet sebessége csökken, és/vagy a számítógépet nem lehet hosszú ideig kikapcsolni.
  2. Drága vagy korlátozott vezeték nélküli internet a számítógépen.
  3. Problémák a frissített operációs rendszer futtatása után.
  4. Hibák a frissítőcsomagok telepítése során.
  5. Nincs elég hely a rendszerköteten ahhoz, hogy a Windows 7 minden frissítéssel növekedjen.

Fajták

Mindazonáltal a Windows 7 frissítés letiltása előtt gondolja át, hogy valóban szükséges-e. A szolgáltatás kikapcsolása mellett az alábbi üzemmódokra kapcsolható.

  1. Teljesen automatikus - a műveletek felhasználói beavatkozás nélkül mennek végbe, csak az utóbbit értesítik a csomagok telepítésének befejezéséről.
  2. A friss javítások ütemezett keresése és letöltése, a csomagok telepítését pedig a felhasználó végzi.
  3. Automatikus ellenőrzés, hogy értesítse a felhasználót, ha frissítések állnak rendelkezésre.
  4. Az önfrissítés le van tiltva. Minden kézzel történik.

A paraméterek kiválasztása a Frissítési központ összetevőben történik.

Leállítási módszerek

A Windows beállításai a rendszerleíró adatbázisában tárolódnak. A frissítési központ beállításaiért felelős kulcshoz több egyszerű és néhány bonyolultabb módon is hozzáférhet. Tekintsük mindegyiket.

Frissítési központ beállításainak módosítása

Kezdjük azzal, hogy beállítjuk magunknak a szolgáltatást. A konfigurációs felület eléréséhez meg kell nyitnia a "Frissítési központot" a következő módok egyikén.

Rendszer

  1. A Sajátgép helyi menüjén keresztül "Tulajdonságok"-nak nevezzük.
  1. A bal oldali függőleges menüben kattintson az ablak alján található megfelelő hivatkozásra.

  1. Lépünk a "Vezérlőpultra".
  2. Nyissa meg a „Rendszer, biztonság” részt.
  1. Az azonos nevű elemet hívjuk.

Ha a vezérlőpanel elemei kategóriák helyett ikonokként jelennek meg, akkor az elemre mutató hivatkozás már a főablakban megjelenik.

  1. Tehát, miután megütötte a kívánt ablakot, kattintson a "Beállítások" gombra.
  1. Lépjünk a „Fontos frissítések” részre, és válasszuk ki a megfelelő lehetőséget a legördülő listából.

Csak a szolgáltatás leállítása segít teljesen kikapcsolni a frissítések fogadását Windows 7 rendszerű számítógépen.

Kapcsolja ki a szolgáltatást

A "hét" szolgáltatásainak kezelése a következő módon történik:

  • a rendszerleíró kulcsok közvetlen szerkesztése, ami nagyon kényelmetlen;
  • harmadik féltől származó programok az operációs rendszer beállításához (ezt az opciót kihagyjuk);
  • MMC konzol beépülő modulok;
  • rendszerbeállítások;
  • parancs sor;
  • Csoportházirend-szerkesztő (jelen van a Windows 7 Ultimate, Corporate rendszerben).

Szolgáltatás eltávolítása az indításból

A frissítések letiltása leggyorsabban a rendszerkonfigurátoron keresztül történik.

  1. A parancsértelmező ablakban végrehajtjuk az "msconfig" parancsot, amely a Win + R billentyűk lenyomása vagy a "Futtatás" gombra való kattintás után nyílik meg.
  1. Lépjen a "Szolgáltatások" fülre.
  2. Megtaláljuk a „Windows Update” (talán a Windows Update) elemet, és eltávolítjuk a mellette lévő jelölőnégyzetet.
  1. Mentjük az új beállításokat.

Az aktuális munkamenet végéig a szolgáltatás működik, megfelelően ellátja a hozzá rendelt feladatokat. Az új konfiguráció alkalmazásához a Windows 7-et újra kell indítani.

Használjuk az MMC konzol beépülő modulját

Az azonos nevű rendszerkonzol beépülő modul hozzáférést biztosít a számítógépen található összes szolgáltatás kezeléséhez. Így indul.

  1. Nyissa meg a "Sajátgép" könyvtár helyi menüjét.
  2. A "Control" parancsot hívjuk.
  1. A bal oldali függőleges menüben bontsa ki a „Szolgáltatások és alkalmazások” elemet. Ezután kattintson a "Szolgáltatások" linkre.

Ugyanazon ablak meghívásának egyszerűbb módja a „services.msc” parancs futtatása a „Futtatás” párbeszédpanelen keresztül.

  1. Végiggörgetjük a szolgáltatások listáját, és megnyitjuk a Windows Update szolgáltatás "Tulajdonságait".
  1. Az "Indítási típus" legördülő listában válassza a "Letiltva" lehetőséget az "Automatikus" helyett, hogy örökre búcsút mondjon az automatikus frissítéseknek. Ha most le kell tiltania a szolgáltatást, feltétlenül kattintson a "Leállítás" gombra. Mentse el az új beállításokat az "Alkalmaz" gombbal, és zárja be az összes ablakot.

A beállítások alkalmazásához nem kell újraindítani a számítógépet.

Csoportházirend-szerkesztő

Egy másik MMC beépülő modul, a Csoportos Helyi házirend-szerkesztő segít a rendszerbeállítások konfigurálásában.

A "hét" hazai kiadásában nem kapható!

  1. Az eszköz a "gpedit.msc" parancs futtatásával indítható el a "Futtatás" ablakban.
  1. A "PC konfiguráció" alszakaszban bontsa ki a "Felügyeleti sablonok" ágat.
  1. Nyissa meg a "Windows Components" elemet, és keresse meg a frissítési központot.
  2. Az ablak jobb oldalán találjuk a paramétert, melynek neve "Automatikus frissítés beállítása"-val kezdődik.
  3. A beállításokat hívjuk.
  1. Mozgassa a jelölőnégyzetet a "Letiltás" pozícióba, majd kattintson az "OK" gombra az ablak bezárásához és a módosítások mentéséhez.

Használjuk a parancssort

A parancssoron keresztül ugyanazokat a műveleteket hajtják végre, mint a grafikus felületen, és még többet is, de szöveges módban. A lényeg az, hogy ismerjük a szintaxisukat és a paramétereiket.

A "cmd" parancs felelős a parancssor meghívásáért.

  1. Nyisson meg egy parancsértelmezőt, és futtassa.


Ez a cikk összefoglalja a WSUS-ügynök általam ismert javításokat.

1. Az első szkript a legegyszerűbb, és valójában nem is kezelésre használják, hanem a frissítések ellenőrzésének kikényszerítésére, és egyúttal megtisztítja azt a mappát, amelyben a már telepített frissítések disztribúciói felhalmozódnak:

wsus_detect_manual.cmd

net stop wuauserv && net stop bitek && net stop cryptsvc

net start wuauserv && net start bitek && net start cryptsvc

wuauclt.exe /detectnow kijárat

2. A második szkript szükséges a tétlen WSUS szolgáltatás „újraélesztéséhez”. Megtisztítás a régi frissítésektől, ami után a SoftwareDistribution és a Catroot2 mappákat átnevezzük, ami a szolgáltatás újraindításakor azok újbóli létrehozásához vezet. Ezután a rendszer dll-könyvtárait újra regisztrálja.

fix_wsus_service.cmd

net stop bitek
net stop wuauserver
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

net kezdő bitek
net start wuauserver
net start cryptsvc

wuauclt /detectnow

kijárat

3. Ez a szkript olyan esetekben használatos, amikor a számítógépet nemrégiben klónozták, vagy olyan esetekben, amikor a számítógép nem regisztrált a WSUS-ban. Az előzőtől csak az utolsó előtti sorban tér el, amelyben az azonosító újragenerálása mellett nullázódik a jogosultság. Csak ezt a sort idézem:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo bekapcsolva
net stop wuauserver
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserver
wuauclt /resetauthorization /detectnow

5. Néha, hogy minden működjön, újra kell telepítenie a WSUS-ügynököt. Először le kell töltenie a legújabb Windows Update Agentet, majd telepítenie kell a megfelelő kiadást

a Windows x32-es verzióihoz

windowsupdateagent30-x86.exe /wuforce

a Windows x64-es verzióihoz

windowsupdateagent30-x64.exe /wuforce

Ha boldog tulajdonosa vagy az Itaniumnak, találd ki magad :-)

Az ügynök telepítése után feltétlenül indítsa újra.

6. A 0x80070005 számú hibák „kezelésére”, azaz. hozzáférési hibákat, az alábbi szkript jól jöhet. Visszaállítja a rendszergazda és a rendszer hozzáférését a rendszerleíró adatbázishoz és a rendszermappákhoz.

A szkript futtatásához a Microsoft subinacl.exe segédprogramra lesz szüksége. A Windows Server 2003 erőforráskészletében található, de ne használja az ott található verziót. vannak csúnya hibák. Töltse le a subinacl.exe 5.2.3790.1180-as verzióját.

Restore_registry_and_system_permission.cmd

@echo kikapcsolva
REM Apply 0x80070005 Windows Update hibák esetén
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /alkönyvtárak %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /alkönyvtárak %SystemDrive% /grant=system=f

Mindezek a szkriptek probléma esetén szinte automatikusan végrehajthatók. Ha ennek eredményeként a probléma továbbra sem oldódik meg, akkor közelebbről kell foglalkoznia vele. És itt jól jön ugyanaz a windowsupdate.log, amely a Windows mappa gyökerében található. Ha a számítógép problémás, akkor ez a fájl nagy. Az egyszerűség kedvéért a szkriptek futtatása előtt célszerű eltávolítani. Szinte minden szkript tartalmaz parancsot az eltávolításra, de nem minden ilyen egyszerű. A wuauserv szolgáltatás leállása ellenére általában az IE és hasonlók tartják nyitva. Ezért van egy trükkös módszer. indítás

notepad.exe %windir%\windowsupdate.log

Kijelölöm az összes szöveget, törlöm és elmentem a régi fájl helyett (ne felejtsd el a fájl típusát *.*-ra módosítani a mentési párbeszédablakban, különben alapértelmezés szerint *.txt)

Érdemes megjegyezni, hogy vannak olyan esetek, amikor nem lehet rákényszeríteni az ügyfelet a wsus-szal történő frissítésre. Előzményeim vannak néhány Windows Server 2003 R2-vel, amelyeket nem tudtam leküzdeni. Ezért az interneten keresztül frissítem őket :-)

A friss operációs rendszerek, például a Windows 7, a Windows 2008 néha nehezen „indulnak el”. Az ilyen esetekre empirikusan a következő típusú algoritmust találtuk:
1. Első alkalommal frissítünk a Microsoft webhelyéről az ügynökfrissítéssel
2. Ezután már helyileg frissítjük az ügynököt
3. És akkor minden működni kezd

Remélem, hogy munkánk gyümölcse segíteni fog valakinek.

Az egyszerűség kedvéért ezeket a szkripteket kész formában közzéteszem:

Üdvözlök mindenkit, még egy megjegyzés magamnak, nevezetesen a Windows Update szerverek listája. Miért lehet ez hasznos, például ha hibaüzenetet kap a frissítés nem található a WSUS-szerepkör telepítésekor, vagy fordítva, valamilyen okból ki akarja tiltani őket, hogy megmentse a forgalmat, ha nincs WSUS, mivel nem minden Windows a frissítések jók, és főleg a modern verzióiban szerintem nincs értelme emlékeztetni a hibára, bár ez a lista még nagyon sokáig folytatható. Az ok nem fontos, a lényeg az, hogy tudjuk, mi ez, és hogyan kell vele dolgozni. Az alábbiakban bemutatom a microsoft frissítési kiszolgálók címeinek kitiltásának módszereit, mind univerzálisak, mind egyetlen számítógépre alkalmasak, mind pedig a vállalaton belüli központosított felügyeletet.

Miért nem települnek a Windows frissítések?

Itt van egy képernyőkép a hibáról, ha nem áll rendelkezésére a Microsoft frissítési kiszolgálójának címe. Mint látható, a hiba nem túl informatív. WSUS szerepkört hordozó szerverre kapom, aki nem emlékszik rá, hogy mi az, akkor ez egy helyi frissítési központ a vállalatok számára, hogy megmentsék a forgalmat, és itt a Microsoft szerverek elérhetetlensége miatt nem telepítik a Windows frissítéseket.

Mi a teendő, ha a Windows frissítések nincsenek telepítve

  • Mindenekelőtt ellenőriznie kell, hogy van-e internetje, mivel ez a legtöbb ember számára kötelező, kivéve természetesen, ha van Active Directory tartománya, és letölti azokat a WSUS-ról.
  • Továbbá, ha elérhető az internet, megnézzük a hibakódot, mivel azon kell információkat keresnünk a probléma megoldásáról (a közelmúltbeli problémákból tudok példát mondani a 0x80070422 vagy a c1900101 hiba megoldására) , de a lista is nagyon sokáig megőrizhető.
  • A proxyszerverünkön ellenőrizzük, hogy van-e tiltva a Microsoft frissítési szerverének ilyen címe.

A Microsoft frissítési kiszolgálóinak listája

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Az internet fejlődésével általánossá vált az operációs rendszer folyamatos frissítése. Mostantól a fejlesztők javíthatják és finomíthatják a rendszert a támogatás teljes időtartama alatt. A Windows 10 gyakori frissítése azonban nem mindig kényelmes. Ezért jó lenne kikapcsolni őket.

Az automatikus frissítések letiltásának okai

Az okok nagyon eltérőek lehetnek, és csak Ön döntheti el, mennyi szükséges a frissítések letiltásához. Ugyanakkor nem szabad megfeledkezni arról, hogy a rendszer sebezhetőségeit javító fontos javításokat, valamint bizonyos funkciók fejlesztését szállítjuk. Ennek ellenére gyakran előfordulnak olyan helyzetek, amikor le kell tiltani az önfrissítéseket:

  • fizetős internet - néha a frissítés meglehetősen nagy, és költséges lehet letölteni, ha fizet a forgalomért. Ebben az esetben jobb a letöltést elhalasztani, és más feltételek mellett később letölteni;
  • időhiány - a letöltés után a frissítés telepítése megkezdődik a számítógép leállítása során. Ez kényelmetlen lehet, ha gyorsan el kell végeznie a munkát, például egy laptopon. De még ennél is rosszabb, hogy előbb-utóbb a Windows 10 újraindítja a számítógépet, és ha nem, akkor egy idő után az újraindítás kénytelen lesz. Mindez elvonja a figyelmet és zavarja a munkát;
  • biztonság – bár maguk a frissítések gyakran tartalmaznak fontos rendszerváltozásokat, soha senki nem láthat előre mindent. Ennek eredményeként egyes frissítések vírustámadásnak nyithatják meg a rendszert, míg mások egyszerűen a telepítés után azonnal feltörik. Ebben a helyzetben egy ésszerű megközelítés az, ha a következő verzió megjelenése után valamivel frissíteni kell, miután korábban tanulmányozta a véleményeket.

Tiltsa le a Windows 10 automatikus frissítését

Számos módja van a Windows 10 frissítéseinek kikapcsolására. Némelyikük meglehetősen egyszerű a felhasználó számára, mások nehezebbek, mások pedig harmadik féltől származó programok telepítését igénylik.

Letiltása a frissítési központon keresztül

A frissítési központ használata a letiltására nem a legjobb megoldás, bár a Microsoft fejlesztői hivatalos megoldásként kínálják. A beállításokon keresztül valóban kikapcsolhatja a frissítések automatikus letöltését. A probléma itt az, hogy ez a megoldás valahogy átmeneti lesz. A Windows 10 jelentős frissítésének kiadása megváltoztatja ezt a beállítást, és visszahozza a rendszerfrissítéseket. De a leállítási folyamatot mindenképpen tanulmányozzuk:

E változtatások után a kisebb frissítések már nem lesznek telepítve. Ez a megoldás azonban nem segít örökre megszabadulni a frissítések letöltésétől.

Az egyik korábbi cikkben részletesen leírtuk az eljárást. A kiszolgáló konfigurálása után be kell állítania a Windows klienseket (kiszolgálókat és munkaállomásokat) úgy, hogy a WSUS-kiszolgálót használják a frissítések fogadására, így az ügyfelek a belső frissítési kiszolgálótól kapják a frissítéseket, nem pedig a Microsoft Update kiszolgálóktól az interneten keresztül. Ebben a cikkben végigvezetjük az ügyfelek konfigurálásának folyamatát WSUS-kiszolgáló használatára az Active Directory tartományi csoportházirendek használatával.

Az AD-csoportházirendek lehetővé teszik a rendszergazdáknak, hogy automatikusan hozzárendeljenek számítógépeket különböző WSUS-csoportokhoz, így nincs szükség a számítógépek manuális áthelyezésére a WSUS-konzol csoportjai között, és naprakészen tarthatják ezeket a csoportokat. Az ügyfelek különböző WSUS célcsoportokhoz való hozzárendelése az ügyfél nyilvántartásában található címkén alapul (a címkéket csoportházirend vagy közvetlen beállításjegyzék szerkesztése határozza meg). Az ügyfeleknek a WSUS-csoportokhoz való ilyen típusú leképezését hívják ügyféloldalcélzás(Célzás a kliens oldalon).

Feltételezzük, hogy hálózatunk két különböző frissítési szabályzatot fog használni – egy külön szabályzatot a kiszolgálók frissítéseinek telepítésére ( Szerverek) és munkaállomásokhoz ( Munkaállomások). Ezt a két csoportot a WSUS-konzol Minden számítógép szakaszában kell létrehozni.

Tanács. Az ügyfelek számára a WSUS-frissítési kiszolgáló használatára vonatkozó házirend nagymértékben függ az Active Directoryban található szervezeti egység szervezeti felépítésétől és a szervezet frissítéstelepítési szabályaitól. Ebben a cikkben csak egy adott lehetőséget fogunk megvizsgálni, amely lehetővé teszi az AD-házirendek használatának alapelvei megértését a Windows-frissítések telepítéséhez.

Először is meg kell adnia egy számítógép-csoportosítási szabályt a WSUS-konzolban (célzás). Alapértelmezés szerint a WSUS-konzolban a számítógépeket a rendszergazda manuálisan osztja csoportokba (szerveroldali célzás). Ez nem felel meg nekünk, ezért jelezzük, hogy a számítógépeket a kliens oldali célzás alapján csoportokba osztják (az ügyfél nyilvántartásában megadott kulcs alapján). Ehhez a WSUS-konzolon lépjen a szakaszra Lehetőségekés nyissa meg az opciót számítógépek. Módosítsa az értéket erre Használja a csoportházirendet vagy a rendszerleíró adatbázis beállítását a számítógépeken(Használja a csoportházirendet vagy a rendszerleíró adatbázis beállításait a számítógépeken).

Most létrehozhat egy csoportházirend-objektumot a WSUS-ügyfelek konfigurálásához. Nyissa meg a tartományalapú csoportházirend-kezelési konzolt, és hozzon létre két új csoportházirendet: ServerWSUSPolicy és WorkstationWSUSPolicy.

WSUS csoportházirend Windows kiszolgálókhoz

Kezdjük a szerver házirend leírásával ServerWSUSPalicy.

A Windows Update szolgáltatás működéséért felelős csoportházirend-beállítások a csoportházirend-objektum részben találhatók: számítógépKonfiguráció -> Irányelvek-> közigazgatásisablonokat-> ablakokÖsszetevő-> ablakokfrissítés(Számítógép konfigurációja -> Felügyeleti sablonok -> Windows-összetevők -> Windows Update).

Szervezetünkben ezt a házirendet kívánjuk használni a WSUS-frissítések Windows-kiszolgálókra való telepítéséhez. Várhatóan minden számítógép, amelyre ez a házirend vonatkozik, a WSUS-konzol Kiszolgálók csoportjához lesz rendelve. Ezenkívül szeretnénk megakadályozni, hogy a kiszolgálók automatikusan telepítsék a frissítéseket, amikor azok beérkeznek. A WSUS-kliensnek egyszerűen le kell töltenie a rendelkezésre álló frissítéseket a lemezre, figyelmeztetést kell megjelenítenie az új frissítésekről a tálcán, és meg kell várnia, amíg a rendszergazda elindítja a telepítést (manuálisan vagy távolról, a telepítés megkezdéséhez). Ez azt jelenti, hogy a produktív szerverek nem telepítik automatikusan a frissítéseket és nem indulnak újra a rendszergazda jóváhagyása nélkül (általában ezeket a munkákat a rendszergazda végzi el a havi ütemezett karbantartás részeként). Egy ilyen rendszer megvalósításához a következő irányelveket állítjuk be:

  • BeállításAutomatikusfrissítéseket(Automatikus frissítés beállítása): engedélyezze. 3 - AutoLetöltésésértesítseszámáratelepítés(Automatikusan letölti a frissítéseket, és értesíti, ha készen állnak a telepítésre)– a kliens automatikusan letölti az új frissítéseket, és értesíti őket, amikor megjelennek;
  • Adja megIntranetMicrosoftfrissítésszolgáltatáselhelyezkedés(Adja meg az intranetes Microsoft Update szolgáltatás helyét): engedélyezze. Állítsa be az intranet frissítési szolgáltatást a frissítések észleléséhez: http://srv-wsus.site:8530, Állítsa be az intranet statisztikai kiszolgálót: http://srv-wsus.site:8530- itt meg kell adni a WSUS-szerver és a statisztikai szerver címét (általában ugyanazok);
  • Nincs automatikus újraindítás bejelentkezett felhasználókkal az ütemezett automatikus frissítések telepítéséhez(Ne indítsa újra az automatikus újraindítást a frissítések automatikus telepítésekor, ha a rendszeren futnak felhasználók): engedélyezze– letiltja az automatikus újratöltést, ha van felhasználói munkamenet;
  • engedélyezzeügyfél-oldalcélzás ( Az ügyfél csatlakozásának engedélyezése a célcsoporthoz): engedélyezze. Célcsoport neve ehhez a számítógéphez: Szerverek– a WSUS-konzolon rendeljen ügyfeleket a Kiszolgálók csoporthoz.

jegyzet. A frissítési házirend konfigurálásakor azt tanácsoljuk, hogy alaposan tekintse át a csoportházirend-objektum szakaszban található összes beállításban elérhető összes beállítást. ablakokfrissítésés állítsa be a megfelelő beállításokat az infrastruktúrához és a szervezethez.

WSUS frissítés telepítési szabályzata munkaállomásokhoz

Feltételezzük, hogy a kliens munkaállomások frissítései a kiszolgálói szabályzattal ellentétben a frissítések kézhezvétele után azonnal éjszaka automatikusan települnek. A frissítések telepítése után a számítógépeknek automatikusan újra kell indulniuk (5 perccel előre figyelmeztetve a felhasználót).

Ebben a csoportházirend-objektumban (WorkstationWSUSPpolicy) a következőket adjuk meg:

  • lehetővé tesziAutomatikusfrissítéseketazonnalitelepítés(Az automatikus frissítések azonnali telepítésének engedélyezése): Tiltva- a frissítések kézhezvétele utáni azonnali telepítésének tilalma;
  • lehetővé teszinem-adminisztrátoroknak nekkapfrissítésértesítéseket(Engedélyezi a nem rendszergazdai felhasználók számára, hogy frissítési értesítéseket kapjanak): Engedélyezve- figyelmeztetést jelenítsen meg a nem rendszergazdák számára az új frissítésekről, és engedélyezze azok kézi telepítését;
  • Az automatikus frissítések konfigurálása:Engedélyezve. Automatikus frissítés konfigurálása: 4 - Automatikus letöltés és a telepítés ütemezése.Ütemezett telepítési nap: 0 - Mindennap. Ütemezett telepítési idő: 05:00 – új frissítések érkezésekor a kliens letölti azokat a helyi gyorsítótárba, és 5:00-ra ütemezi az automatikus telepítést;
  • Célcsoport neve ehhez a számítógéphez: Munkaállomások– a WSUS-konzolon rendelje hozzá az ügyfelet a Munkaállomások csoporthoz;
  • Nincs automatikus újraindítás bejelentkezett felhasználókkal az ütemezett automatikus frissítések telepítéséhez: Tiltva- a rendszer automatikusan újraindul 5 perccel a frissítések telepítése után;
  • Adja meg az intranet Microsoft frissítési szolgáltatás helyét: Engedélyezze. Állítsa be az intranet frissítési szolgáltatást a frissítések észleléséhez: http://srv-wsus.site:8530, Állítsa be az intranet statisztikai kiszolgálót: http://srv-wsus.site:8530– a vállalati WSUS-szerver címe.

Windows 10 1607 és újabb rendszereken, bár Ön azt mondta nekik, hogy frissítéseket kapjanak a belső WSUS-tól, megpróbálhatnak kapcsolatba lépni a Windows Update-kiszolgálókkal az interneten. Ezt a „funkciót” hívják DuplaLetapogatás. A frissítések internetről történő fogadásának letiltásához ezenkívül engedélyeznie kell a házirendet Teddnemlehetővé teszifrissítéshalasztásirányelveketnak nekokszkennelellenablakokfrissítés ().

Tanács. A szervezet számítógépeinek „javítási szintjének” javítása érdekében mindkét házirend beállítható úgy, hogy a frissítési szolgáltatást (wuauserv) kényszerítse az ügyfeleken való futásra. Ehhez a szekcióban Számítógép konfigurációja -> Házirendek -> Windows beállítások -> Biztonsági beállítások -> Rendszerszolgáltatások keresse meg a Windows Update szolgáltatást, és állítsa be, hogy automatikusan elinduljon ( Automatikus).

WSUS-házirendek hozzárendelése az Active Directory szervezeti egységekhez

A következő lépés a létrehozott házirendek hozzárendelése a megfelelő Active Directory-tárolókhoz (OU-k). Példánkban az AD tartományban az OU struktúra a lehető legegyszerűbb: két konténer van - Szerverek (a szervezet összes szerverét tartalmazza a tartományvezérlőkön kívül) és WKS (Workstations - felhasználói számítógépek).

Tanács. Csak egy meglehetősen egyszerű lehetőséget vizsgálunk a WSUS-irányelvek ügyfelekhez való kötésére. Valós szervezetekben lehetőség van egy tartomány összes számítógépéhez egy WSUS-házirendet kötni (a tartomány gyökeréhez egy WSUS-beállításokkal rendelkező csoportházirend-objektum van csatolva), hogy a különböző típusú ügyfeleket különböző szervezeti egységekre különítsük el (mint a példánkban, mi különböző WSUS-házirendeket hozott létre kiszolgálókhoz és munkaállomásokhoz), nagy elosztott tartományokban a fenti módszerek alapján kötheti össze a csoportházirend-objektumokat, vagy rendelhet hozzá csoportházirend-objektumokat, vagy kombinálhatja a fenti módszereket.

Ha házirendet szeretne rendelni egy szervezeti egységhez, kattintson a kívánt szervezeti egységre a Csoportházirend-kezelő konzolban, válassza ki a menüpontot Hivatkozás meglévő csoportházirend-objektumkéntés válassza ki a megfelelő házirendet.

Tanács. Ne feledkezzünk meg egy külön szervezeti egységről tartományvezérlőkkel (Domain Controllers), a legtöbb esetben ehhez a tárolóhoz kell csatolni a "szerver" WSUS házirendet.

Ugyanígy hozzá kell rendelnie a WorkstationWSUSPolicy házirendet a Windows-munkaállomásokat tartalmazó AD WKS-tárolóhoz.

Továbbra is frissíteni kell a csoportházirendeket az ügyfeleken, hogy az ügyfelet a WSUS-kiszolgálóhoz kapcsolódhassa:

A Windows frissítési rendszer összes beállításának, amelyet csoportházirendekkel állítunk be, meg kell jelennie az ügyfél nyilvántartásában az ágban HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Ez a regfájl használható a WSUS-beállítások átvitelére más számítógépekre, amelyek nem konfigurálhatók a GPO-val történő frissítésekhez (munkacsoportban lévő számítógépek, elszigetelt szegmensek, DMZ stb.).

Windows Registry Editor 5.00 verzió

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Szerverek"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Szintén kényelmes az alkalmazott WSUS-beállítások vezérlése az ügyfeleken az rsop.msc használatával.

És egy idő után (a frissítések számától és a WSUS-kiszolgáló sávszélességétől függően) ellenőriznie kell a tálcán, hogy vannak-e felugró értesítések az új frissítések elérhetőségéről. A WSUS-konzolon a klienseknek a megfelelő csoportokban kell megjelenniük (táblázatos formában megjelenik a kliens neve, IP-címe, operációs rendszere, a "foltozásuk" százaléka és az utolsó állapotfrissítés dátuma). Mert a számítógépeket és a kiszolgálókat házirendek szerint kapcsoltuk össze a különböző WSUS-csoportokkal, ezek csak a megfelelő WSUS-csoportokra telepítésre jóváhagyott frissítéseket kapnak.

jegyzet. Ha a frissítések nem jelennek meg az ügyfélen, javasoljuk, hogy alaposan vizsgálja meg a problémás ügyfél Windows Update szolgáltatásnaplóját (C:\Windows\WindowsUpdate.log). Vegye figyelembe, hogy a Windows 10 (Windows Server 2016) . Az ügyfél letölti a frissítéseket a helyi C:\Windows\SoftwareDistribution\Download mappába. Ha új frissítéseket szeretne keresni a WSUS-kiszolgálón, futtassa a következő parancsot:

wuauclt /detectnow

Ezenkívül néha kényszeríteni kell az ügyfél újraregisztrációját a WSUS-kiszolgálón:

wuauclt /detectnow /resetAuthorization

Különösen nehéz esetekben megpróbálhatja kijavítani a wuauserv szolgáltatást. Ha ez előfordul, próbálja meg módosítani a frissítések keresésének gyakoriságát a WSUS-kiszolgálón az Automatikus frissítés észlelési gyakorisági házirendje segítségével.

A következő cikkben ismertetjük a funkcióit. Azt is javasoljuk, hogy olvassa el a WSUS-kiszolgálón lévő csoportok közötti cikket.