Savalaikio atnaujinimų įdiegimo darbo grupėse užtikrinimas. WSUS klientų konfigūravimas naudojant grupės strategijas Kur registre yra Windows naujinimų

Automatiniai atnaujinimai yra svarbi bet kurios operacinės sistemos funkcinė savybė. Jos dėka kompiuteris laiku gauna svarbius atnaujinimus, todėl sistema tampa stabilesnė ir saugesnė. „Windows 7“ funkcija suaktyvinama iš pradžių. Tai reiškia, kad jei yra ryšys su Microsoft serveriais, naujinimo paslauga patikrina, ar nėra naujų paketų, juos atsisiunčia ir įdiegia. Paprastai visi procesai vyksta praktiškai nepastebimai vartotojui, tačiau kai pasirodo nuolatiniai pasiūlymai atnaujinti iki 10, tai jau per daug.

Teoriškai nereikia išjungti automatinio naujinimų atsisiuntimo. Tai naudinga, nes pašalina saugumo spragas, optimizuoja OS veikimą ir papildo ją naujomis funkcijomis (dėl „dešimtukų“). Taip pat yra sąrašas priežasčių, kodėl automatinio atnaujinimo paslauga turėtų būti išjungta:

  1. Vartotojui nepatinka, kad atnaujinimo metu krenta interneto greitis ir/ar kompiuterio negalima išjungti ilgam laikui.
  2. Kompiuteris turi brangų arba ribotą belaidį internetą.
  3. Problemos paleidus atnaujintą OS.
  4. Gedimai diegiant naujinimo paketus.
  5. Sistemos tome nepakanka vietos, kad būtų galima prisitaikyti prie „Windows 7“ apimties padidėjimo, kuris auga su kiekvienu atnaujinimu.

Rūšys

Visgi prieš išjungdami „Windows 7“ naujinimą pagalvokite, ar jis tikrai reikalingas. Be paslaugos išjungimo, ją galima perjungti į šiuos darbo režimus.

  1. Visiškai automatinis – operacijos vyksta be vartotojo įsikišimo, tik pranešant pastarajam, kad paketų įdiegimas baigtas.
  2. Ieškokite ir atsisiųskite naujausius pataisymus pagal tvarkaraštį, o paketų diegimą atlieka vartotojas.
  3. Automatinis patikrinimas ir pranešimas vartotojui apie atnaujinimų prieinamumą.
  4. Savaiminis atnaujinimas išjungtas. Viskas daroma rankiniu būdu.

Parinktys pasirenkamos atnaujinimo centro komponente.

Atjungimo būdai

Bet kurio „Windows“ parametrai saugomi jos registre. Raktą, atsakingą už naujinimų centro nustatymus, galite pasiekti keliais paprastais ir keliais sudėtingesniais būdais. Pažvelkime į juos visus.

Pakeiskite naujinimo centro nustatymus

Pradėkime nuo paslaugos nustatymo sau. Norėdami pasiekti konfigūracijos sąsają, turite atidaryti „Atnaujinimo centrą“ vienu iš šių būdų.

Sistema

  1. Kontekstiniame meniu Mano kompiuteris iškvieskite jo „Ypatybės“.
  1. Kairiajame vertikaliame meniu spustelėkite atitinkamą nuorodą, esančią lango apačioje.

  1. Eikite į "Valdymo skydas".
  2. Atidarykite skyrių „Sistema, sauga“.
  1. Iškvieskite elementą tuo pačiu pavadinimu.

Jei valdymo skydelio elementai pateikiami kaip piktogramos, o ne kategorijos, pagrindiniame lange atsiras nuoroda į elementą.

  1. Taigi, patekę į norimą langą, spustelėkite „Nustatymų parametrai“.
  1. Eikite į skyrių „Svarbūs atnaujinimai“ ir išskleidžiamajame sąraše pasirinkite atitinkamą parinktį.

Vienintelis būdas visiškai išjungti naujinimų gavimą kompiuteryje, kuriame veikia „Windows 7“, yra sustabdyti paslaugą.

Paslaugos išjungimas

Paslaugų valdymas „septynetuose“ vyksta šiais būdais:

  • tiesioginis registro raktų redagavimas, kuris yra labai nepatogus;
  • trečiųjų šalių programos, skirtos OS konfigūruoti (praleisime šią parinktį);
  • MMC konsolės priedas;
  • sistemos konfigūracija;
  • komandinė eilutė;
  • Grupės strategijos rengyklė (yra Windows 7 Ultimate, Enterprise).

Paslaugos pašalinimas iš automatinio paleidimo

Greičiausias būdas išjungti naujinimus yra naudojant sistemos konfigūratorių.

  1. Vykdykite „msconfig“ komandų interpretatoriaus lange, kuris atsidarys laikant nuspaudus „Win + R“ klavišus arba spustelėjus mygtuką „Vykdyti“ meniu Pradėti.
  1. Eikite į skirtuką „Paslaugos“.
  2. Raskite „Windows Update“ (galbūt „Windows Update“) ir atžymėkite šalia jo esantį laukelį.
  1. Išsaugokite naujus nustatymus.

Iki dabartinės sesijos pabaigos paslauga veiks, tinkamai atlikdama jai pavestas užduotis. Norint pritaikyti naują konfigūraciją, reikia iš naujo paleisti „Windows 7“.

Naudokime MMC konsolės papildinį

To paties pavadinimo sistemos konsolės papildinys suteikia prieigą prie visų kompiuterio paslaugų valdymo. Prasideda taip.

  1. Atidarykite katalogo „Mano kompiuteris“ kontekstinį meniu.
  2. Iškvieskite komandą „Tvarkyti“.
  1. Kairiajame vertikaliame meniu išplėskite elementą „Paslaugos ir programos“. Tada spustelėkite nuorodą „Paslaugos“.

Paprastesnė parinktis norint iškviesti tą patį langą būtų paleisti komandą „services.msc“ dialogo lange „Vykdyti“.

  1. Slinkite į patį paslaugų sąrašo pabaigą ir atidarykite „Windows Update“ paslaugos „Ypatybės“.
  1. Išskleidžiamajame sąraše „Paleisties tipas“ vietoj „Automatinis“ pasirinkite „Išjungta“, kad visam laikui atsisveikintumėte su automatiniais atnaujinimais. Jei jums reikia išjungti paslaugą dabar, būtinai spustelėkite „Stop“. Išsaugokite naujus nustatymus mygtuku „Taikyti“ ir uždarykite visus langus.

Norint pritaikyti nustatymus, kompiuterio perkrauti nereikia.

Grupės strategijos redaktorius

Kitas MMC papildinys, vadinamas Vietinės grupės strategijos redaktoriumi, padės sukonfigūruoti bet kurį sistemos parametrą.

Naminiame „Seven“ leidime jo nėra!

  1. Įrankis paleidžiamas paleidus komandą "gpedit.msc" per langą "Vykdyti".
  1. Poskyryje „PC konfigūracija“ išplėskite šaką „Administravimo šablonai“.
  1. Atidarykite „Windows Components“ ir ieškokite „Update Center“.
  2. Dešinėje lango pusėje randame parametrą, kurio pavadinimas prasideda „Auto-update settings“.
  3. Iškvieskite jo nustatymus.
  1. Perkelkite žymimąjį laukelį į padėtį „Išjungti“ ir spustelėkite „Gerai“, kad uždarytumėte langą ir išsaugotumėte pakeitimus.

Naudokime komandinę eilutę

Per komandinę eilutę atliekamos visos tos pačios operacijos, kaip ir naudojant grafinę sąsają, ir dar daugiau, bet tekstiniu režimu. Svarbiausia žinoti jų sintaksę ir parametrus.

Komanda „cmd“ yra atsakinga už komandinės eilutės iškvietimą.

  1. Atidarykite komandų interpretatorių ir paleiskite jį.


Šiame straipsnyje apibendrinami man žinomi WSUS agento taisymo būdai.

1. Pirmasis scenarijus yra pats paprasčiausias ir, tiesą sakant, naudojamas net ne gydymui, o tam, kad būtų galima priverstinai atlikti atnaujinimo patikrą ir tuo pačiu išvalyti aplanką, kuriame kaupiasi jau įdiegtų naujinimų paskirstymai:

wsus_detect_manual.cmd

net stop wuauserv && net stop bitai && net stop cryptsvc

tinklo pradžia wuauserv && tinklo pradžios bitai && tinklo pradžia cryptsvc

wuauclt.exe /detectnow išeiti

2. Antrasis scenarijus reikalingas norint „atgaivinti“ neveikiančią WSUS paslaugą. Tai išvalo senus naujinimus, po kurių „SoftwareDistribution“ ir „Catroot2“ aplankai pervardijami, todėl jie bus sukurti iš naujo, kai paslauga bus paleista iš naujo. Tada sistemos dll bibliotekos registruojamos iš naujo.

fix_wsus_service.cmd

net stop bitai
net stop wuauserv
tinklo stotelė cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

tinklo pradžios bitai
net start wuauserv
tinklo pradžia cryptsvc

wuauclt/detectnow

išeiti

3. Šis scenarijus naudojamas tais atvejais, kai kompiuteris buvo neseniai klonuotas arba tais atvejais, kai kompiuteris niekada nebuvo užsiregistravęs WSUS. Nuo ankstesnės skiriasi tik priešpaskutine eilute, kurioje iš naujo nustatomas autorizavimas ir atkuriamas identifikatorius. Tiesiog pacituosiu šią eilutę:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo įjungtas
net stop wuauserv
REG IŠTRINTI "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG IŠTRINTI „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate“ /v PingID /f
REG IŠTRINTI „HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate“ /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Kartais, kad viskas veiktų, reikia iš naujo įdiegti WSUS agentą. Pirmiausia turite atsisiųsti naujausią „Windows Update Agent“, tada įdiegti atitinkamą leidimą

x32 Windows versijoms

windowsupdateagent30-x86.exe /wuforce

x64 Windows versijoms

windowsupdateagent30-x64.exe /wuforce

Jei esate laimingas Itanium savininkas, galite atspėti patys :-)

Įdiegę agentą, turite paleisti iš naujo.

6. „gydyti“ klaidas 0x80070005, t.y. prieigos klaidų, toliau pateiktas scenarijus gali būti naudingas. Ji atkuria administratoriaus ir sistemos prieigą prie registro ir sistemos aplankų.

Norėdami paleisti šį scenarijų, jums reikės Microsoft paslaugų programos subinacl.exe. Jis įtrauktas į „Windows Server 2003“ išteklių rinkinį, tačiau neturėtumėte naudoti ten esančios versijos, nes Ten yra keletas nemalonių klaidų. Turėtumėte atsisiųsti subinacl.exe versiją 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo išjungtas
REM Taikyti dėl klaidų 0x80070005 Windows naujinimas
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /pakatalogiai %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /pakatalogiai %SystemDrive% /grant=sistema=f

Visi šie scenarijai gali būti vykdomi beveik automatiškai, jei kyla problemų. Jei dėl to problema neišspręsta, turite į ją pažvelgti atidžiau. Ir čia mums reikės to paties windowsupdate.log, kuris yra „Windows“ aplanko šaknyje. Jei kompiuteris yra problemiškas, šis failas yra didelis. Paprastumo dėlei patartina jį pašalinti prieš paleidžiant scenarijus. Beveik visi scenarijai pateikia komandą jį pašalinti, tačiau ne viskas taip paprasta. Nepaisant „wuauserv“ paslaugos sustabdymo, paprastai ji ir toliau veikia IE ir pan. Todėl yra sudėtingas būdas. Aš paleidžiu

notepad.exe %windir%\windowsupdate.log

Pasirenku visą tekstą, ištrinu ir išsaugau vietoj senojo failo (nepamirškite išsaugojimo dialogo lange pakeisti failo tipo į *.*, kitu atveju numatytasis yra *.txt)

Verta paminėti, kad pasitaiko atvejų, kai neįmanoma priversti kliento atnaujinti iš wsus. Turiu precedentų su keliomis „Windows Server 2003 R2“, kurių man nepavyko įveikti. Štai kodėl aš juos atnaujinu per internetą :-)

Naujoms operacinėms sistemoms, tokioms kaip „Windows 7“, „Windows 2008“, kartais kyla sunkumų paleidžiant. Tokiais atvejais empiriškai naudojamas algoritmas, pavyzdžiui:
1. Pirmą kartą atnaujinkite iš „Microsoft“ svetainės naudodami agento naujinimą
2. Tada atnaujiname agentą vietoje
3. Ir tada viskas pradeda veikti

Tikiuosi, kad mūsų darbo vaisiai kažkam padės.

Paprastumo dėlei visus šiuos scenarijus paskelbiu paruošta forma:

Sveiki visi, šiandien pastaba daugiau sau, būtent Windows naujinimo serverių sąrašas. Kodėl tai gali būti naudinga, pavyzdžiui, jei diegiant WSUS vaidmenį gavote klaidą Atnaujinimas nerastas arba atvirkščiai dėl kokių nors priežasčių norite juos uždrausti, kad sutaupytumėte srautą, jei neturite WSUS, nes ne visose „Windows“ atnaujinimai yra geri ir ypač šiuolaikinėse versijose, manau, kad nėra prasmės priminti apie klaidą, nors šį sąrašą galima tęsti labai ilgai. Priežastis nėra svarbi, svarbiausia žinoti, kad ji egzistuoja ir galite kažkaip su ja dirbti. Žemiau parodysiu būdus, kaip blokuoti Microsoft naujinimo serverio adresus, tiek universalius, tinkančius individualiam kompiuteriui, tiek centralizuotam valdymui įmonėje.

Kodėl „Windows“ naujinimai neįdiegti?

Čia yra klaidos ekrano kopija, jei jūsų „Microsoft“ naujinimo serverio adresas nepasiekiamas. Kaip matote, klaida nėra labai informatyvi. Aš jį gaunu serveryje, kuris atlieka WSUS vaidmenį, tiems, kurie neprisimena, kas tai yra, tai yra vietinis įmonių naujinimų centras, skirtas srautui taupyti, o čia Windows naujinimai neįdiegti dėl trūksta „Microsoft“ serverių.

Ką daryti, jei „Windows“ naujinimai neįdiegti

  • Pirmiausia turėtumėte patikrinti, ar turite internetą, nes daugeliui žmonių jo buvimas yra privalomas, nebent, žinoma, turite Active Directory domeną ir atsisiunčiate juos iš savo WSUS.
  • Tada, jei yra internetas, pažiūrėkite į klaidos kodą, nes būtent pagal jį reikia ieškoti informacijos apie problemos sprendimą (iš naujausių problemų galiu pateikti pavyzdį, kaip išsprendžiama klaida 0x80070422 arba klaida c1900101), bet sąrašą taip pat galima saugoti labai ilgai.
  • Savo tarpiniame serveryje patikriname, ar draudžiama naudoti šiuos „Microsoft“ naujinimo serverių adresus.

Pats Microsoft naujinimo serverių sąrašas

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Tobulėjant internetui, nuolatinis operacinės sistemos atnaujinimas tapo įprastas dalykas. Dabar kūrėjai gali taisyti ir tobulinti sistemą per visą jos palaikymo laikotarpį. Tačiau dažni „Windows 10“ naujinimai ne visada yra patogūs. Todėl būtų gerai, kad būtų galima juos išjungti.

Priežastys, kodėl išjungiami automatiniai naujinimai

Priežastys gali būti labai skirtingos, ir tik jūs galite nuspręsti, kiek jums reikia išjungti naujinimus. Verta manyti, kad kartu su tam tikrų galimybių patobulinimais pateikiami svarbūs sistemos pažeidžiamumų pataisymai. Ir vis dėlto gana dažnai pasitaiko situacijų, kai reikia išjungti nepriklausomus atnaujinimus:

  • mokamas internetas – kartais atnaujinimas yra gana didelis ir jo atsisiuntimas gali būti brangus, jei mokate už srautą. Tokiu atveju geriau atidėti atsisiuntimą ir atsisiųsti vėliau kitomis sąlygomis;
  • laiko trūkumas – atsisiuntus naujinimas bus pradėtas diegti, kai kompiuteris išjungtas. Tai gali būti nepatogu, jei reikia greitai išjungti darbą, pavyzdžiui, nešiojamąjį kompiuterį. Bet dar blogiau yra tai, kad anksčiau ar vėliau „Windows 10“ pareikalaus iš naujo paleisti kompiuterį, o jei to nepadarysite, po kurio laiko paleidimas iš naujo bus priverstinis. Visa tai blaško ir trukdo dirbti;
  • saugumas – nors pačiuose atnaujinimuose dažnai būna svarbių sistemos pakeitimų, niekas niekada visko negali numatyti. Dėl to kai kurie naujinimai gali atverti jūsų sistemą virusų atakai, o kiti ją tiesiog sugadins iškart po įdiegimo. Tinkamas požiūris šioje situacijoje yra atnaujinti praėjus tam tikram laikui po kitos versijos išleidimo, prieš tai išnagrinėjus apžvalgas.

Išjunkite automatinius „Windows 10“ naujinimus

Yra daug būdų, kaip išjungti „Windows 10“ naujinimus. Kai kurie iš jų yra labai paprasti vartotojui, kiti yra sudėtingesni, o kitiems reikia įdiegti trečiųjų šalių programas.

Išjungimas naudojant naujinimų centrą

Atnaujinimo naudojimas norint jį išjungti nėra geriausias pasirinkimas, nors „Microsoft“ kūrėjai siūlo tai kaip oficialų sprendimą. Iš tikrųjų galite išjungti automatinį naujinimų atsisiuntimą per jų nustatymus. Problema ta, kad šis sprendimas vienaip ar kitaip bus laikinas. Išleidus pagrindinį „Windows 10“ naujinimą bus pakeistas šis nustatymas ir sugrąžinti sistemos naujinimai. Bet mes vis tiek išnagrinėsime išjungimo procesą:

Po šių pakeitimų smulkūs naujinimai nebebus diegiami. Tačiau šis sprendimas nepadės amžinai atsikratyti naujinimų atsisiuntimo.

Viename iš ankstesnių straipsnių mes išsamiai aprašėme procedūrą. Sukonfigūravę serverį, turite sukonfigūruoti „Windows“ klientus (serverius ir darbo stotis), kad jie naudotų WSUS serverį naujinimams gauti, kad klientai gautų naujinimus iš vidinio naujinimo serverio, o ne iš „Microsoft Update“ serverių internetu. Šiame straipsnyje apžvelgsime klientų konfigūravimo naudoti WSUS serverį naudojant „Active Directory“ domenų grupės strategijas.

AD grupės strategijos leidžia administratoriui automatiškai priskirti kompiuterius skirtingoms WSUS grupėms, todėl nebereikia rankiniu būdu perkelti kompiuterių iš vienos grupės į kitą WSUS konsolėje ir nuolat atnaujinti šias grupes. Klientų priskyrimas skirtingoms WSUS tikslinėms grupėms pagrįstas kliento registro etikete (etiketės nustatomos pagal grupės politiką arba tiesiogiai redaguojant registrą). Šio tipo klientų priskyrimas WSUS grupėms vadinamas klientaspusėjetaikymas(Taikymas pagal klientą).

Daroma prielaida, kad mūsų tinklas naudos dvi skirtingas naujinimo strategijas – atskirą naujinimo diegimo politiką serveriams ( Serveriai) ir darbo stotims ( Darbo stotys). Šias dvi grupes reikia sukurti WSUS konsolės skiltyje Visi kompiuteriai.

Patarimas. Politika, kaip klientai naudoja WSUS naujinimo serverį, labai priklauso nuo OU organizacinės struktūros Active Directory ir organizacijos naujinimo diegimo taisyklių. Šiame straipsnyje apžvelgsime tik konkrečią parinktį, leidžiančią suprasti pagrindinius AD strategijų naudojimo diegiant „Windows“ naujinimus principus.

Visų pirma, WSUS (taikymo) pulte turite nurodyti kompiuterių grupavimo taisyklę. Pagal numatytuosius nustatymus WSUS konsolėje administratorius rankiniu būdu paskirsto kompiuterius į grupes (taikymas serverio pusėje). Mes tuo nepatenkinti, todėl atkreipsime dėmesį, kad kompiuteriai skirstomi į grupes pagal taikymą kliento pusėje (pagal konkretų raktą kliento registre). Norėdami tai padaryti, WSUS konsolėje eikite į skyrių Galimybės ir atidarykite parametrą Kompiuteriai. Pakeiskite vertę į Naudokite grupės strategiją arba registro nustatymą kompiuteriuose(Naudokite grupės politiką arba registro nustatymus kompiuteriuose).

Dabar galite sukurti GPO, kad sukonfigūruotumėte WSUS klientus. Atidarykite domeno grupės strategijos valdymo konsolę ir sukurkite dvi naujas grupės strategijas: ServerWSUSPolicy ir WorkstationWSUSPolicy.

WSUS grupės strategija, skirta „Windows“ serveriams

Pradėkime nuo serverio politikos aprašymo Serverio WSUSPolitika.

Grupės strategijos parametrai, atsakingi už „Windows Update“ paslaugos veikimą, yra GPO skyriuje: KompiuterisKonfigūracija -> politika-> Administracinisšablonus-> WindowsKomponentas-> WindowsAtnaujinti(Kompiuterio konfigūracija -> Administravimo šablonai -> Windows komponentai -> Windows naujinimas).

Savo organizacijoje tikimės naudoti šią politiką WSUS naujinimams įdiegti „Windows“ serveriuose. Tikimasi, kad visi kompiuteriai, kuriems taikoma ši politika, bus priskirti serverių grupei WSUS konsolėje. Be to, norime užkirsti kelią automatiniam atnaujinimų diegimui serveriuose juos gavus. WSUS klientas turi tiesiog atsisiųsti galimus naujinimus į diską, rodyti įspėjimą apie naujus naujinimus sistemos dėkle ir palaukti, kol administratorius pradės diegimą (rankiniu būdu arba nuotoliniu būdu naudodamas ), kad pradėtų diegti. Tai reiškia, kad produktyvūs serveriai automatiškai neįdiegs naujinimų ir nebus paleistas iš naujo be administratoriaus sutikimo (dažniausiai šiuos darbus atlieka sistemos administratorius kaip mėnesinės planinės priežiūros dalis). Norėdami įgyvendinti tokią schemą, nustatysime šias taisykles:

  • KonfigūruotiAutomatinisAtnaujinimai(Automatinio atnaujinimo nustatymas): Įgalinti. 3 – Autoparsisiųstiirpraneštidėldiegti(Automatiškai atsisiųskite naujinimus ir praneškite, kai jie bus paruošti įdiegti)– klientas automatiškai atsisiunčia naujus atnaujinimus ir praneša apie jų prieinamumą;
  • NurodykiteIntranetasMicrosoftatnaujintipaslaugavieta(Nurodykite intraneto „Microsoft Update“ vietą): Įgalinti. Nustatykite intraneto naujinimo paslaugą naujinimams aptikti: http://srv-wsus.site:8530, Nustatykite intraneto statistikos serverį: http://srv-wsus.site:8530– čia reikia nurodyti savo WSUS serverio ir statistikos serverio adresą (dažniausiai jie sutampa);
  • Nėra automatinio paleidimo iš naujo, kai prisijungę vartotojai atlieka suplanuotus automatinius naujinimus(Nepaleiskite automatiškai iš naujo, kai automatiškai įdiegiate naujinimus, jei sistemoje yra naudotojų): Įgalinti– uždrausti automatinį perkrovimą, kai yra vartotojo sesija;
  • Įgalintiklientas- pusėtaikymas ( Leisti klientui prisijungti prie tikslinės grupės): Įgalinti. Šio kompiuterio tikslinės grupės pavadinimas: Serveriai– WSUS konsolėje priskirkite klientus grupei Serveriai.

Pastaba. Nustatydami naujinimo politiką, rekomenduojame atidžiai susipažinti su visais nustatymais, esančiais kiekvienoje iš GPO skilties parinkčių. WindowsAtnaujinti ir nustatykite parametrus, atitinkančius jūsų infrastruktūrą ir organizaciją.

WSUS naujinimo darbo stočių diegimo politika

Manome, kad kliento darbo stočių naujinimai, priešingai nei serverio strategija, bus automatiškai įdiegti naktį iškart po to, kai bus gauti naujinimai. Įdiegę naujinimus, kompiuteriai turėtų persikrauti automatiškai (įspėjus vartotoją prieš 5 minutes).

Šiame GPO (WorkstationWSUSPpolicy) nurodome:

  • LeistiAutomatinisAtnaujinimainedelsiantįrengimas(Leisti nedelsiant įdiegti automatinius naujinimus): Išjungta- draudimas nedelsiant įdiegti naujinimus, kai jie gaunami;
  • Leistine-administratoriaiįgautiatnaujintipranešimai(Leisti neadministruojantiems vartotojams gauti pranešimus apie atnaujinimus): Įjungtas- rodyti įspėjimą ne administratoriams apie naujus atnaujinimus ir leisti juos įdiegti rankiniu būdu;
  • Konfigūruokite automatinius naujinimus:Įjungtas. Konfigūruokite automatinį atnaujinimą: 4 – automatiškai atsisiųskite ir suplanuokite diegimą. Suplanuota diegimo diena: 0 - kasdieną. Numatytas diegimo laikas: 05:00 – gavęs naujų atnaujinimų, klientas juos atsisiunčia į vietinę talpyklą ir suplanuoja automatinį jų įdiegimą 5:00 val.
  • Šio kompiuterio tikslinės grupės pavadinimas: Darbo stotys– WSUS konsolėje priskirkite klientą grupei Workstations;
  • Nėra automatinio paleidimo iš naujo, kai prisijungę vartotojai atlieka suplanuotus automatinius naujinimus: Išjungta- sistema automatiškai persikraus praėjus 5 minutėms po atnaujinimo diegimo pabaigos;
  • Nurodykite intraneto Microsoft naujinimo tarnybos vietą: Įjungti. Nustatykite intraneto naujinimo paslaugą naujinimams aptikti: http://srv-wsus.site:8530, Nustatykite intraneto statistikos serverį: http://srv-wsus.site:8530– įmonės WSUS serverio adresas.

„Windows 10 1607“ ir naujesnėse versijose, net jei nurodėte jiems gauti naujinimus iš vidinio WSUS, jie vis tiek gali bandyti susisiekti su „Windows Update“ serveriais internete. Ši „funkcija“ vadinama DvigubasNuskaityti. Norėdami išjungti naujinimų gavimą iš interneto, turite papildomai įjungti politiką DarykneleistiatnaujintiatidėjimaspolitikaįpriežastisnuskaitopriešWindowsAtnaujinti ().

Patarimas. Norint pagerinti organizacijos kompiuterių „pataisymo lygį“, abi strategijas galima sukonfigūruoti taip, kad klientams būtų pradėta naujinimo paslauga (wuauserv). Norėdami tai padaryti, skyriuje Kompiuterio konfigūracija -> Politika-> Windows nustatymai -> Saugos nustatymai -> Sistemos paslaugos Raskite „Windows Update“ paslaugą ir nustatykite, kad ji įsijungtų automatiškai ( Automatinis).

WSUS politikos priskyrimas Active Directory OU

Kitas žingsnis yra priskirti sukurtas strategijas atitinkamiems Active Directory konteineriams (OU). Mūsų pavyzdyje OU struktūra AD domene yra kuo paprastesnė: yra du konteineriai – Serveriai (jame yra visi organizacijos serveriai, be domeno valdiklių) ir WKS (Workstations – vartotojų kompiuteriai).

Patarimas. Mes svarstome tik vieną gana paprastą variantą, kaip įpareigoti WSUS politiką klientams. Realiose organizacijose galima susieti vieną WSUS politiką su visais domeno kompiuteriais (prie domeno šaknies pridedamas GPO su WSUS nustatymais), paskirstyti skirtingų tipų klientus skirtingose ​​organizacijose (kaip mūsų pavyzdyje – mes sukūrė skirtingas WSUS strategijas serveriams ir darbo stotims), dideliuose paskirstytuose domenuose gali būti susieti arba priskirti GPO, remiantis pirmiau nurodytais metodais arba jų deriniu.

Norėdami priskirti OU politiką, grupės strategijos valdymo pulte spustelėkite norimą OU ir pasirinkite meniu elementą Susieti kaip esamą GPO ir pasirinkite tinkamą politiką.

Patarimas. Nepamirškite apie atskirą OU su domeno valdikliais (Domeno valdikliais), šiam konteineriui turėtų būti priskirta WSUS „serverio“ politika.

Lygiai taip pat turite priskirti strategiją WorkstationWSUSPolicy AD WKS konteineriui, kuriame yra Windows darbo stotys.

Belieka atnaujinti klientų grupių strategijas, kad klientas būtų susietas su WSUS serveriu:

Visi „Windows“ naujinimo sistemos parametrai, kuriuos nustatome naudodami grupės strategijas, turėtų būti rodomi filialo klientų registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Šis reg failas gali būti naudojamas WSUS nustatymams perkelti į kitus kompiuterius, kurie negali konfigūruoti naujinimo nustatymų naudojant GPO (kompiuteriai darbo grupėje, atskirti segmentai, DMZ ir kt.)

„Windows“ registro rengyklės versija 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Serveriai"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Taip pat patogu valdyti taikomus WSUS nustatymus klientams naudojant rsop.msc.

Ir po kurio laiko (atsižvelgiant į naujinimų skaičių ir kanalo pralaidumą iki WSUS serverio) dėkle turite patikrinti, ar nėra iššokančiųjų pranešimų apie naujų naujinimų buvimą. Klientai WSUS pulte turi būti rodomi atitinkamose grupėse (lentelėje rodomas kliento pavadinimas, IP, OS, jų „pataisyta“ procentas ir paskutinio būsenos atnaujinimo data). Nes Priskyrėme kompiuterius ir serverius įvairioms WSUS grupėms pagal politiką, jie gaus tik atitinkamose WSUS grupėse patvirtintus diegimo atnaujinimus.

Pastaba. Jei naujinimai kliente nerodomi, rekomenduojama atidžiai išnagrinėti probleminio kliento Windows naujinimo tarnybos žurnalą (C:\Windows\WindowsUpdate.log). Atminkite, kad „Windows 10“ („Windows Server 2016“) naudoja . Klientas atsisiunčia naujinimus į vietinį aplanką C:\Windows\SoftwareDistribution\Download. Norėdami pradėti ieškoti naujų naujinimų WSUS serveryje, turite paleisti komandą:

wuauclt/detectnow

Be to, kartais turite priverstinai iš naujo registruoti klientą WSUS serveryje:

wuauclt /detectnow /resetAuthorization

Ypač sudėtingais atvejais galite pabandyti pataisyti wuauserv paslaugą. Jei taip nutinka, pabandykite pakeisti WSUS serverio naujinimų tikrinimo dažnumą naudodami automatinio naujinimo aptikimo dažnio strategiją.

Kitame straipsnyje apibūdinsime funkcijas. Taip pat rekomenduojame perskaityti straipsnį tarp grupių WSUS serveryje.