Az automatikus frissítés minden operációs rendszer fontos funkciója. Ennek köszönhetően a számítógép időben megkapja a fontos frissítéseket, ami stabilabbá és biztonságosabbá teszi a rendszert. A Windows 7 rendszerben ez a funkció alapértelmezés szerint engedélyezve van. Ez azt jelenti, hogy ha van kapcsolat a Microsoft szerverekkel, a frissítési szolgáltatás ellenőrzi, hogy vannak-e friss csomagok, letölti és telepíti. Általában az összes folyamat gyakorlatilag észrevétlenül megy végbe a felhasználó számára, de ha folyamatosan érkeznek ajánlatok a 10-re való frissítésre, az már túl sok.
Elméletileg nem éri meg a frissítések automatikus letöltésének letiltása. Hasznos, mert bezárja a biztonsági réseket, optimalizálja az OS működését, új funkciókkal egészíti ki (a „tízesek” tekintetében). Van egy lista az okokról is, amelyek miatt le kell tiltani az automatikus frissítési szolgáltatást:
- A felhasználónak nem tetszik, hogy a frissítés során az internet sebessége csökken, és/vagy a számítógépet nem lehet hosszú ideig kikapcsolni.
- Drága vagy korlátozott vezeték nélküli internet a számítógépen.
- Problémák a frissített operációs rendszer futtatása után.
- Hibák a frissítőcsomagok telepítése során.
- Nincs elég hely a rendszerköteten ahhoz, hogy a Windows 7 minden frissítéssel növekedjen.
Fajták
Mindazonáltal a Windows 7 frissítés letiltása előtt gondolja át, hogy valóban szükséges-e. A szolgáltatás kikapcsolása mellett az alábbi üzemmódokra kapcsolható.
- Teljesen automatikus - a műveletek felhasználói beavatkozás nélkül mennek végbe, csak az utóbbit értesítik a csomagok telepítésének befejezéséről.
- A friss javítások ütemezett keresése és letöltése, a csomagok telepítését pedig a felhasználó végzi.
- Automatikus ellenőrzés, hogy értesítse a felhasználót, ha frissítések állnak rendelkezésre.
- Az önfrissítés le van tiltva. Minden kézzel történik.
A paraméterek kiválasztása a Frissítési központ összetevőben történik.
Leállítási módszerek
A Windows beállításai a rendszerleíró adatbázisában tárolódnak. A frissítési központ beállításaiért felelős kulcshoz több egyszerű és néhány bonyolultabb módon is hozzáférhet. Tekintsük mindegyiket.
Frissítési központ beállításainak módosítása
Kezdjük azzal, hogy beállítjuk magunknak a szolgáltatást. A konfigurációs felület eléréséhez meg kell nyitnia a "Frissítési központot" a következő módok egyikén.
Rendszer
- A Sajátgép helyi menüjén keresztül "Tulajdonságok"-nak nevezzük.
- A bal oldali függőleges menüben kattintson az ablak alján található megfelelő hivatkozásra.
- Lépünk a "Vezérlőpultra".
- Nyissa meg a „Rendszer, biztonság” részt.
- Az azonos nevű elemet hívjuk.
Ha a vezérlőpanel elemei kategóriák helyett ikonokként jelennek meg, akkor az elemre mutató hivatkozás már a főablakban megjelenik.
- Tehát, miután megütötte a kívánt ablakot, kattintson a "Beállítások" gombra.
- Lépjünk a „Fontos frissítések” részre, és válasszuk ki a megfelelő lehetőséget a legördülő listából.
Csak a szolgáltatás leállítása segít teljesen kikapcsolni a frissítések fogadását Windows 7 rendszerű számítógépen.
Kapcsolja ki a szolgáltatást
A "hét" szolgáltatásainak kezelése a következő módon történik:
- a rendszerleíró kulcsok közvetlen szerkesztése, ami nagyon kényelmetlen;
- harmadik féltől származó programok az operációs rendszer beállításához (ezt az opciót kihagyjuk);
- MMC konzol beépülő modulok;
- rendszerbeállítások;
- parancs sor;
- Csoportházirend-szerkesztő (jelen van a Windows 7 Ultimate, Corporate rendszerben).
Szolgáltatás eltávolítása az indításból
A frissítések letiltása leggyorsabban a rendszerkonfigurátoron keresztül történik.
- A parancsértelmező ablakban végrehajtjuk az "msconfig" parancsot, amely a Win + R billentyűk lenyomása vagy a "Futtatás" gombra való kattintás után nyílik meg.
- Lépjen a "Szolgáltatások" fülre.
- Megtaláljuk a „Windows Update” (talán a Windows Update) elemet, és eltávolítjuk a mellette lévő jelölőnégyzetet.
- Mentjük az új beállításokat.
Az aktuális munkamenet végéig a szolgáltatás működik, megfelelően ellátja a hozzá rendelt feladatokat. Az új konfiguráció alkalmazásához a Windows 7-et újra kell indítani.
Használjuk az MMC konzol beépülő modulját
Az azonos nevű rendszerkonzol beépülő modul hozzáférést biztosít a számítógépen található összes szolgáltatás kezeléséhez. Így indul.
- Nyissa meg a "Sajátgép" könyvtár helyi menüjét.
- A "Control" parancsot hívjuk.
- A bal oldali függőleges menüben bontsa ki a „Szolgáltatások és alkalmazások” elemet. Ezután kattintson a "Szolgáltatások" linkre.
Ugyanazon ablak meghívásának egyszerűbb módja a „services.msc” parancs futtatása a „Futtatás” párbeszédpanelen keresztül.
- Végiggörgetjük a szolgáltatások listáját, és megnyitjuk a Windows Update szolgáltatás "Tulajdonságait".
- Az "Indítási típus" legördülő listában válassza a "Letiltva" lehetőséget az "Automatikus" helyett, hogy örökre búcsút mondjon az automatikus frissítéseknek. Ha most le kell tiltania a szolgáltatást, feltétlenül kattintson a "Leállítás" gombra. Mentse el az új beállításokat az "Alkalmaz" gombbal, és zárja be az összes ablakot.
A beállítások alkalmazásához nem kell újraindítani a számítógépet.
Csoportházirend-szerkesztő
Egy másik MMC beépülő modul, a Csoportos Helyi házirend-szerkesztő segít a rendszerbeállítások konfigurálásában.
A "hét" hazai kiadásában nem kapható!
- Az eszköz a "gpedit.msc" parancs futtatásával indítható el a "Futtatás" ablakban.
- A "PC konfiguráció" alszakaszban bontsa ki a "Felügyeleti sablonok" ágat.
- Nyissa meg a "Windows Components" elemet, és keresse meg a frissítési központot.
- Az ablak jobb oldalán találjuk a paramétert, melynek neve "Automatikus frissítés beállítása"-val kezdődik.
- A beállításokat hívjuk.
- Mozgassa a jelölőnégyzetet a "Letiltás" pozícióba, majd kattintson az "OK" gombra az ablak bezárásához és a módosítások mentéséhez.
Használjuk a parancssort
A parancssoron keresztül ugyanazokat a műveleteket hajtják végre, mint a grafikus felületen, és még többet is, de szöveges módban. A lényeg az, hogy ismerjük a szintaxisukat és a paramétereiket.
A "cmd" parancs felelős a parancssor meghívásáért.
- Nyisson meg egy parancsértelmezőt, és futtassa.
Ez a cikk összefoglalja a WSUS-ügynök általam ismert javításokat.
1. Az első szkript a legegyszerűbb, és valójában nem is kezelésre használják, hanem a frissítések ellenőrzésének kikényszerítésére, és egyúttal megtisztítja azt a mappát, amelyben a már telepített frissítések disztribúciói felhalmozódnak:
wsus_detect_manual.cmd
net stop wuauserv && net stop bitek && net stop cryptsvc
net start wuauserv && net start bitek && net start cryptsvc
wuauclt.exe /detectnow kijárat
2. A második szkript szükséges a tétlen WSUS szolgáltatás „újraélesztéséhez”. Megtisztítás a régi frissítésektől, ami után a SoftwareDistribution és a Catroot2 mappákat átnevezzük, ami a szolgáltatás újraindításakor azok újbóli létrehozásához vezet. Ezután a rendszer dll-könyvtárait újra regisztrálja.
fix_wsus_service.cmd
net stop bitek
net stop wuauserver
net stop cryptsvc
del /f /s /q %windir%\SoftwareDistribution\download\*.*
ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old
REM del /f /s /q %windir%\SoftwareDistribution\*.*
del /f /s /q %windir%\windowsupdate.log
%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll
net kezdő bitek
net start wuauserver
net start cryptsvc
wuauclt /detectnow
kijárat
3. Ez a szkript olyan esetekben használatos, amikor a számítógépet nemrégiben klónozták, vagy olyan esetekben, amikor a számítógép nem regisztrált a WSUS-ban. Az előzőtől csak az utolsó előtti sorban tér el, amelyben az azonosító újragenerálása mellett nullázódik a jogosultság. Csak ezt a sort idézem:
wsus_resetaut_detect_manual.cmd
wuauclt.exe /resetauthorization /detectnow
AU_Clean_SID.cmd
@echo bekapcsolva
net stop wuauserver
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserver
wuauclt /resetauthorization /detectnow
5. Néha, hogy minden működjön, újra kell telepítenie a WSUS-ügynököt. Először le kell töltenie a legújabb Windows Update Agentet, majd telepítenie kell a megfelelő kiadást
a Windows x32-es verzióihoz
windowsupdateagent30-x86.exe /wuforce
a Windows x64-es verzióihoz
windowsupdateagent30-x64.exe /wuforce
Ha boldog tulajdonosa vagy az Itaniumnak, találd ki magad :-)
Az ügynök telepítése után feltétlenül indítsa újra.
6. A 0x80070005 számú hibák „kezelésére”, azaz. hozzáférési hibákat, az alábbi szkript jól jöhet. Visszaállítja a rendszergazda és a rendszer hozzáférését a rendszerleíró adatbázishoz és a rendszermappákhoz.
A szkript futtatásához a Microsoft subinacl.exe segédprogramra lesz szüksége. A Windows Server 2003 erőforráskészletében található, de ne használja az ott található verziót. vannak csúnya hibák. Töltse le a subinacl.exe 5.2.3790.1180-as verzióját.
Restore_registry_and_system_permission.cmd
@echo kikapcsolva
REM Apply 0x80070005 Windows Update hibák esetén
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /alkönyvtárak %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /alkönyvtárak %SystemDrive% /grant=system=f
Mindezek a szkriptek probléma esetén szinte automatikusan végrehajthatók. Ha ennek eredményeként a probléma továbbra sem oldódik meg, akkor közelebbről kell foglalkoznia vele. És itt jól jön ugyanaz a windowsupdate.log, amely a Windows mappa gyökerében található. Ha a számítógép problémás, akkor ez a fájl nagy. Az egyszerűség kedvéért a szkriptek futtatása előtt célszerű eltávolítani. Szinte minden szkript tartalmaz parancsot az eltávolításra, de nem minden ilyen egyszerű. A wuauserv szolgáltatás leállása ellenére általában az IE és hasonlók tartják nyitva. Ezért van egy trükkös módszer. indítás
notepad.exe %windir%\windowsupdate.log
Kijelölöm az összes szöveget, törlöm és elmentem a régi fájl helyett (ne felejtsd el a fájl típusát *.*-ra módosítani a mentési párbeszédablakban, különben alapértelmezés szerint *.txt)
Érdemes megjegyezni, hogy vannak olyan esetek, amikor nem lehet rákényszeríteni az ügyfelet a wsus-szal történő frissítésre. Előzményeim vannak néhány Windows Server 2003 R2-vel, amelyeket nem tudtam leküzdeni. Ezért az interneten keresztül frissítem őket :-)
A friss operációs rendszerek, például a Windows 7, a Windows 2008 néha nehezen „indulnak el”. Az ilyen esetekre empirikusan a következő típusú algoritmust találtuk:
1. Első alkalommal frissítünk a Microsoft webhelyéről az ügynökfrissítéssel
2. Ezután már helyileg frissítjük az ügynököt
3. És akkor minden működni kezd
Remélem, hogy munkánk gyümölcse segíteni fog valakinek.
Az egyszerűség kedvéért ezeket a szkripteket kész formában közzéteszem:
Üdvözlök mindenkit, még egy megjegyzés magamnak, nevezetesen a Windows Update szerverek listája. Miért lehet ez hasznos, például ha hibaüzenetet kap a frissítés nem található a WSUS-szerepkör telepítésekor, vagy fordítva, valamilyen okból ki akarja tiltani őket, hogy megmentse a forgalmat, ha nincs WSUS, mivel nem minden Windows a frissítések jók, és főleg a modern verzióiban szerintem nincs értelme emlékeztetni a hibára, bár ez a lista még nagyon sokáig folytatható. Az ok nem fontos, a lényeg az, hogy tudjuk, mi ez, és hogyan kell vele dolgozni. Az alábbiakban bemutatom a microsoft frissítési kiszolgálók címeinek kitiltásának módszereit, mind univerzálisak, mind egyetlen számítógépre alkalmasak, mind pedig a vállalaton belüli központosított felügyeletet.
Miért nem települnek a Windows frissítések?
Itt van egy képernyőkép a hibáról, ha nem áll rendelkezésére a Microsoft frissítési kiszolgálójának címe. Mint látható, a hiba nem túl informatív. WSUS szerepkört hordozó szerverre kapom, aki nem emlékszik rá, hogy mi az, akkor ez egy helyi frissítési központ a vállalatok számára, hogy megmentsék a forgalmat, és itt a Microsoft szerverek elérhetetlensége miatt nem telepítik a Windows frissítéseket.
Mi a teendő, ha a Windows frissítések nincsenek telepítve
- Mindenekelőtt ellenőriznie kell, hogy van-e internetje, mivel ez a legtöbb ember számára kötelező, kivéve természetesen, ha van Active Directory tartománya, és letölti azokat a WSUS-ról.
- Továbbá, ha elérhető az internet, megnézzük a hibakódot, mivel azon kell információkat keresnünk a probléma megoldásáról (a közelmúltbeli problémákból tudok példát mondani a 0x80070422 vagy a c1900101 hiba megoldására) , de a lista is nagyon sokáig megőrizhető.
- A proxyszerverünkön ellenőrizzük, hogy van-e tiltva a Microsoft frissítési szerverének ilyen címe.
A Microsoft frissítési kiszolgálóinak listája
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- https://activation.sls.microsoft.com/
- http://download.windowsupdate.com
- http://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- https://go.microsoft.com/
- http://go.microsoft.com/
- https://login.live.com
- https://validation.sls.microsoft.com/
- https://activation-v2.sls.microsoft.com/
- https://validation-v2.sls.microsoft.com/
- https://displaycatalog.mp.microsoft.com/
- https://licensing.mp.microsoft.com/
- https://purchase.mp.microsoft.com/
- https://displaycatalog.md.mp.microsoft.com/
- https://licensing.md.mp.microsoft.com/
- https://purchase.md.mp.microsoft.com/
Az internet fejlődésével általánossá vált az operációs rendszer folyamatos frissítése. Mostantól a fejlesztők javíthatják és finomíthatják a rendszert a támogatás teljes időtartama alatt. A Windows 10 gyakori frissítése azonban nem mindig kényelmes. Ezért jó lenne kikapcsolni őket.
Az automatikus frissítések letiltásának okai
Az okok nagyon eltérőek lehetnek, és csak Ön döntheti el, mennyi szükséges a frissítések letiltásához. Ugyanakkor nem szabad megfeledkezni arról, hogy a rendszer sebezhetőségeit javító fontos javításokat, valamint bizonyos funkciók fejlesztését szállítjuk. Ennek ellenére gyakran előfordulnak olyan helyzetek, amikor le kell tiltani az önfrissítéseket:
- fizetős internet - néha a frissítés meglehetősen nagy, és költséges lehet letölteni, ha fizet a forgalomért. Ebben az esetben jobb a letöltést elhalasztani, és más feltételek mellett később letölteni;
- időhiány - a letöltés után a frissítés telepítése megkezdődik a számítógép leállítása során. Ez kényelmetlen lehet, ha gyorsan el kell végeznie a munkát, például egy laptopon. De még ennél is rosszabb, hogy előbb-utóbb a Windows 10 újraindítja a számítógépet, és ha nem, akkor egy idő után az újraindítás kénytelen lesz. Mindez elvonja a figyelmet és zavarja a munkát;
- biztonság – bár maguk a frissítések gyakran tartalmaznak fontos rendszerváltozásokat, soha senki nem láthat előre mindent. Ennek eredményeként egyes frissítések vírustámadásnak nyithatják meg a rendszert, míg mások egyszerűen a telepítés után azonnal feltörik. Ebben a helyzetben egy ésszerű megközelítés az, ha a következő verzió megjelenése után valamivel frissíteni kell, miután korábban tanulmányozta a véleményeket.
Tiltsa le a Windows 10 automatikus frissítését
Számos módja van a Windows 10 frissítéseinek kikapcsolására. Némelyikük meglehetősen egyszerű a felhasználó számára, mások nehezebbek, mások pedig harmadik féltől származó programok telepítését igénylik.
Letiltása a frissítési központon keresztül
A frissítési központ használata a letiltására nem a legjobb megoldás, bár a Microsoft fejlesztői hivatalos megoldásként kínálják. A beállításokon keresztül valóban kikapcsolhatja a frissítések automatikus letöltését. A probléma itt az, hogy ez a megoldás valahogy átmeneti lesz. A Windows 10 jelentős frissítésének kiadása megváltoztatja ezt a beállítást, és visszahozza a rendszerfrissítéseket. De a leállítási folyamatot mindenképpen tanulmányozzuk:
E változtatások után a kisebb frissítések már nem lesznek telepítve. Ez a megoldás azonban nem segít örökre megszabadulni a frissítések letöltésétől.
Az egyik korábbi cikkben részletesen leírtuk az eljárást. A kiszolgáló konfigurálása után be kell állítania a Windows klienseket (kiszolgálókat és munkaállomásokat) úgy, hogy a WSUS-kiszolgálót használják a frissítések fogadására, így az ügyfelek a belső frissítési kiszolgálótól kapják a frissítéseket, nem pedig a Microsoft Update kiszolgálóktól az interneten keresztül. Ebben a cikkben végigvezetjük az ügyfelek konfigurálásának folyamatát WSUS-kiszolgáló használatára az Active Directory tartományi csoportházirendek használatával.
Az AD-csoportházirendek lehetővé teszik a rendszergazdáknak, hogy automatikusan hozzárendeljenek számítógépeket különböző WSUS-csoportokhoz, így nincs szükség a számítógépek manuális áthelyezésére a WSUS-konzol csoportjai között, és naprakészen tarthatják ezeket a csoportokat. Az ügyfelek különböző WSUS célcsoportokhoz való hozzárendelése az ügyfél nyilvántartásában található címkén alapul (a címkéket csoportházirend vagy közvetlen beállításjegyzék szerkesztése határozza meg). Az ügyfeleknek a WSUS-csoportokhoz való ilyen típusú leképezését hívják ügyféloldalcélzás(Célzás a kliens oldalon).
Feltételezzük, hogy hálózatunk két különböző frissítési szabályzatot fog használni – egy külön szabályzatot a kiszolgálók frissítéseinek telepítésére ( Szerverek) és munkaállomásokhoz ( Munkaállomások). Ezt a két csoportot a WSUS-konzol Minden számítógép szakaszában kell létrehozni.
Tanács. Az ügyfelek számára a WSUS-frissítési kiszolgáló használatára vonatkozó házirend nagymértékben függ az Active Directoryban található szervezeti egység szervezeti felépítésétől és a szervezet frissítéstelepítési szabályaitól. Ebben a cikkben csak egy adott lehetőséget fogunk megvizsgálni, amely lehetővé teszi az AD-házirendek használatának alapelvei megértését a Windows-frissítések telepítéséhez.
Először is meg kell adnia egy számítógép-csoportosítási szabályt a WSUS-konzolban (célzás). Alapértelmezés szerint a WSUS-konzolban a számítógépeket a rendszergazda manuálisan osztja csoportokba (szerveroldali célzás). Ez nem felel meg nekünk, ezért jelezzük, hogy a számítógépeket a kliens oldali célzás alapján csoportokba osztják (az ügyfél nyilvántartásában megadott kulcs alapján). Ehhez a WSUS-konzolon lépjen a szakaszra Lehetőségekés nyissa meg az opciót számítógépek. Módosítsa az értéket erre Használja a csoportházirendet vagy a rendszerleíró adatbázis beállítását a számítógépeken(Használja a csoportházirendet vagy a rendszerleíró adatbázis beállításait a számítógépeken).
Most létrehozhat egy csoportházirend-objektumot a WSUS-ügyfelek konfigurálásához. Nyissa meg a tartományalapú csoportházirend-kezelési konzolt, és hozzon létre két új csoportházirendet: ServerWSUSPolicy és WorkstationWSUSPolicy.
WSUS csoportházirend Windows kiszolgálókhoz
Kezdjük a szerver házirend leírásával ServerWSUSPalicy.
A Windows Update szolgáltatás működéséért felelős csoportházirend-beállítások a csoportházirend-objektum részben találhatók: számítógépKonfiguráció -> Irányelvek-> közigazgatásisablonokat-> ablakokÖsszetevő-> ablakokfrissítés(Számítógép konfigurációja -> Felügyeleti sablonok -> Windows-összetevők -> Windows Update).
Szervezetünkben ezt a házirendet kívánjuk használni a WSUS-frissítések Windows-kiszolgálókra való telepítéséhez. Várhatóan minden számítógép, amelyre ez a házirend vonatkozik, a WSUS-konzol Kiszolgálók csoportjához lesz rendelve. Ezenkívül szeretnénk megakadályozni, hogy a kiszolgálók automatikusan telepítsék a frissítéseket, amikor azok beérkeznek. A WSUS-kliensnek egyszerűen le kell töltenie a rendelkezésre álló frissítéseket a lemezre, figyelmeztetést kell megjelenítenie az új frissítésekről a tálcán, és meg kell várnia, amíg a rendszergazda elindítja a telepítést (manuálisan vagy távolról, a telepítés megkezdéséhez). Ez azt jelenti, hogy a produktív szerverek nem telepítik automatikusan a frissítéseket és nem indulnak újra a rendszergazda jóváhagyása nélkül (általában ezeket a munkákat a rendszergazda végzi el a havi ütemezett karbantartás részeként). Egy ilyen rendszer megvalósításához a következő irányelveket állítjuk be:
- BeállításAutomatikusfrissítéseket(Automatikus frissítés beállítása): engedélyezze. 3 - AutoLetöltésésértesítseszámáratelepítés(Automatikusan letölti a frissítéseket, és értesíti, ha készen állnak a telepítésre)– a kliens automatikusan letölti az új frissítéseket, és értesíti őket, amikor megjelennek;
- Adja megIntranetMicrosoftfrissítésszolgáltatáselhelyezkedés(Adja meg az intranetes Microsoft Update szolgáltatás helyét): engedélyezze. Állítsa be az intranet frissítési szolgáltatást a frissítések észleléséhez: http://srv-wsus.site:8530, Állítsa be az intranet statisztikai kiszolgálót: http://srv-wsus.site:8530- itt meg kell adni a WSUS-szerver és a statisztikai szerver címét (általában ugyanazok);
- Nincs automatikus újraindítás bejelentkezett felhasználókkal az ütemezett automatikus frissítések telepítéséhez(Ne indítsa újra az automatikus újraindítást a frissítések automatikus telepítésekor, ha a rendszeren futnak felhasználók): engedélyezze– letiltja az automatikus újratöltést, ha van felhasználói munkamenet;
- engedélyezzeügyfél-oldalcélzás ( Az ügyfél csatlakozásának engedélyezése a célcsoporthoz): engedélyezze. Célcsoport neve ehhez a számítógéphez: Szerverek– a WSUS-konzolon rendeljen ügyfeleket a Kiszolgálók csoporthoz.
jegyzet. A frissítési házirend konfigurálásakor azt tanácsoljuk, hogy alaposan tekintse át a csoportházirend-objektum szakaszban található összes beállításban elérhető összes beállítást. ablakokfrissítésés állítsa be a megfelelő beállításokat az infrastruktúrához és a szervezethez.
WSUS frissítés telepítési szabályzata munkaállomásokhoz
Feltételezzük, hogy a kliens munkaállomások frissítései a kiszolgálói szabályzattal ellentétben a frissítések kézhezvétele után azonnal éjszaka automatikusan települnek. A frissítések telepítése után a számítógépeknek automatikusan újra kell indulniuk (5 perccel előre figyelmeztetve a felhasználót).
Ebben a csoportházirend-objektumban (WorkstationWSUSPpolicy) a következőket adjuk meg:
- lehetővé tesziAutomatikusfrissítéseketazonnalitelepítés(Az automatikus frissítések azonnali telepítésének engedélyezése): Tiltva- a frissítések kézhezvétele utáni azonnali telepítésének tilalma;
- lehetővé teszinem-adminisztrátoroknak nekkapfrissítésértesítéseket(Engedélyezi a nem rendszergazdai felhasználók számára, hogy frissítési értesítéseket kapjanak): Engedélyezve- figyelmeztetést jelenítsen meg a nem rendszergazdák számára az új frissítésekről, és engedélyezze azok kézi telepítését;
- Az automatikus frissítések konfigurálása:Engedélyezve. Automatikus frissítés konfigurálása: 4 - Automatikus letöltés és a telepítés ütemezése.Ütemezett telepítési nap: 0 - Mindennap. Ütemezett telepítési idő: 05:00 – új frissítések érkezésekor a kliens letölti azokat a helyi gyorsítótárba, és 5:00-ra ütemezi az automatikus telepítést;
- Célcsoport neve ehhez a számítógéphez: Munkaállomások– a WSUS-konzolon rendelje hozzá az ügyfelet a Munkaállomások csoporthoz;
- Nincs automatikus újraindítás bejelentkezett felhasználókkal az ütemezett automatikus frissítések telepítéséhez: Tiltva- a rendszer automatikusan újraindul 5 perccel a frissítések telepítése után;
- Adja meg az intranet Microsoft frissítési szolgáltatás helyét: Engedélyezze. Állítsa be az intranet frissítési szolgáltatást a frissítések észleléséhez: http://srv-wsus.site:8530, Állítsa be az intranet statisztikai kiszolgálót: http://srv-wsus.site:8530– a vállalati WSUS-szerver címe.
Windows 10 1607 és újabb rendszereken, bár Ön azt mondta nekik, hogy frissítéseket kapjanak a belső WSUS-tól, megpróbálhatnak kapcsolatba lépni a Windows Update-kiszolgálókkal az interneten. Ezt a „funkciót” hívják DuplaLetapogatás. A frissítések internetről történő fogadásának letiltásához ezenkívül engedélyeznie kell a házirendet Teddnemlehetővé teszifrissítéshalasztásirányelveketnak nekokszkennelellenablakokfrissítés ().
Tanács. A szervezet számítógépeinek „javítási szintjének” javítása érdekében mindkét házirend beállítható úgy, hogy a frissítési szolgáltatást (wuauserv) kényszerítse az ügyfeleken való futásra. Ehhez a szekcióban Számítógép konfigurációja -> Házirendek -> Windows beállítások -> Biztonsági beállítások -> Rendszerszolgáltatások keresse meg a Windows Update szolgáltatást, és állítsa be, hogy automatikusan elinduljon ( Automatikus).
WSUS-házirendek hozzárendelése az Active Directory szervezeti egységekhez
A következő lépés a létrehozott házirendek hozzárendelése a megfelelő Active Directory-tárolókhoz (OU-k). Példánkban az AD tartományban az OU struktúra a lehető legegyszerűbb: két konténer van - Szerverek (a szervezet összes szerverét tartalmazza a tartományvezérlőkön kívül) és WKS (Workstations - felhasználói számítógépek).
Tanács. Csak egy meglehetősen egyszerű lehetőséget vizsgálunk a WSUS-irányelvek ügyfelekhez való kötésére. Valós szervezetekben lehetőség van egy tartomány összes számítógépéhez egy WSUS-házirendet kötni (a tartomány gyökeréhez egy WSUS-beállításokkal rendelkező csoportházirend-objektum van csatolva), hogy a különböző típusú ügyfeleket különböző szervezeti egységekre különítsük el (mint a példánkban, mi különböző WSUS-házirendeket hozott létre kiszolgálókhoz és munkaállomásokhoz), nagy elosztott tartományokban a fenti módszerek alapján kötheti össze a csoportházirend-objektumokat, vagy rendelhet hozzá csoportházirend-objektumokat, vagy kombinálhatja a fenti módszereket.
Ha házirendet szeretne rendelni egy szervezeti egységhez, kattintson a kívánt szervezeti egységre a Csoportházirend-kezelő konzolban, válassza ki a menüpontot Hivatkozás meglévő csoportházirend-objektumkéntés válassza ki a megfelelő házirendet.
Tanács. Ne feledkezzünk meg egy külön szervezeti egységről tartományvezérlőkkel (Domain Controllers), a legtöbb esetben ehhez a tárolóhoz kell csatolni a "szerver" WSUS házirendet.
Ugyanígy hozzá kell rendelnie a WorkstationWSUSPolicy házirendet a Windows-munkaállomásokat tartalmazó AD WKS-tárolóhoz.
Továbbra is frissíteni kell a csoportházirendeket az ügyfeleken, hogy az ügyfelet a WSUS-kiszolgálóhoz kapcsolódhassa:
A Windows frissítési rendszer összes beállításának, amelyet csoportházirendekkel állítunk be, meg kell jelennie az ügyfél nyilvántartásában az ágban HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.
Ez a regfájl használható a WSUS-beállítások átvitelére más számítógépekre, amelyek nem konfigurálhatók a GPO-val történő frissítésekhez (munkacsoportban lévő számítógépek, elszigetelt szegmensek, DMZ stb.).
Windows Registry Editor 5.00 verzió
"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Szerverek"
"ElevateNonAdmins"=dword:00000000
"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
Szintén kényelmes az alkalmazott WSUS-beállítások vezérlése az ügyfeleken az rsop.msc használatával.
És egy idő után (a frissítések számától és a WSUS-kiszolgáló sávszélességétől függően) ellenőriznie kell a tálcán, hogy vannak-e felugró értesítések az új frissítések elérhetőségéről. A WSUS-konzolon a klienseknek a megfelelő csoportokban kell megjelenniük (táblázatos formában megjelenik a kliens neve, IP-címe, operációs rendszere, a "foltozásuk" százaléka és az utolsó állapotfrissítés dátuma). Mert a számítógépeket és a kiszolgálókat házirendek szerint kapcsoltuk össze a különböző WSUS-csoportokkal, ezek csak a megfelelő WSUS-csoportokra telepítésre jóváhagyott frissítéseket kapnak.
jegyzet. Ha a frissítések nem jelennek meg az ügyfélen, javasoljuk, hogy alaposan vizsgálja meg a problémás ügyfél Windows Update szolgáltatásnaplóját (C:\Windows\WindowsUpdate.log). Vegye figyelembe, hogy a Windows 10 (Windows Server 2016) . Az ügyfél letölti a frissítéseket a helyi C:\Windows\SoftwareDistribution\Download mappába. Ha új frissítéseket szeretne keresni a WSUS-kiszolgálón, futtassa a következő parancsot:
wuauclt /detectnow
Ezenkívül néha kényszeríteni kell az ügyfél újraregisztrációját a WSUS-kiszolgálón:
wuauclt /detectnow /resetAuthorization
Különösen nehéz esetekben megpróbálhatja kijavítani a wuauserv szolgáltatást. Ha ez előfordul, próbálja meg módosítani a frissítések keresésének gyakoriságát a WSUS-kiszolgálón az Automatikus frissítés észlelési gyakorisági házirendje segítségével.
A következő cikkben ismertetjük a funkcióit. Azt is javasoljuk, hogy olvassa el a WSUS-kiszolgálón lévő csoportok közötti cikket.