Zagotavljanje pravočasne namestitve posodobitev v delovnih skupinah. Konfiguriranje odjemalcev WSUS s pravilniki skupine Kje v registru so posodobitve sistema Windows

Samodejne posodobitve so pomembna funkcionalna lastnost katerega koli operacijskega sistema. Zahvaljujoč njej računalnik pravočasno prejme pomembne posodobitve, zaradi česar je sistem bolj stabilen in varen. V sistemu Windows 7 je funkcija aktivirana na začetku. To pomeni, da če obstaja povezava z Microsoftovimi strežniki, storitev posodabljanja preveri razpoložljivost svežih paketov, jih prenese in namesti. Običajno vsi procesi potekajo tako rekoč neopazno za uporabnika, ko pa se pojavijo stalne ponudbe za nadgradnjo na 10, je to že pretirano.

Teoretično ni treba onemogočiti samodejnega prenosa posodobitev. Uporaben je, ker zapira varnostne vrzeli, optimizira delovanje OS in mu dodaja nove funkcije (glede "desetk"). Obstaja tudi seznam razlogov, zakaj je treba storitev samodejnega posodabljanja onemogočiti:

  1. Uporabniku ni všeč, da med posodabljanjem internetna hitrost pade in/ali računalnika ni mogoče dolgo časa izklopiti.
  2. Računalnik ima drag ali omejen brezžični internet.
  3. Težave po zagonu posodobljenega OS.
  4. Napake med namestitvijo posodobitvenih paketov.
  5. Na sistemskem nosilcu ni dovolj prostora za povečanje obsega sistema Windows 7, ki se poveča z vsako posodobitvijo.

Vrste

Kljub temu, preden onemogočite posodobitev sistema Windows 7, razmislite, ali je res potrebna. Poleg deaktivacije storitve je možno preklopiti na naslednje načine delovanja.

  1. Popolnoma samodejno - operacije potekajo brez posredovanja uporabnika, uporabnika le obvesti, da je namestitev paketov končana.
  2. Išče in prenaša najnovejše popravke po urniku, namestitev paketov pa izvaja uporabnik.
  3. Samodejno preverjanje in obveščanje uporabnika o razpoložljivosti posodobitev.
  4. Samoposodabljanje je onemogočeno. Vse se naredi ročno.

Možnosti so izbrane v komponenti Update Center.

Metode odklopa

Nastavitve katerega koli sistema Windows so shranjene v njegovem registru. Do ključa, odgovornega za nastavitve centra za posodobitve, lahko dostopate na več preprostih in nekaj bolj zapletenih načinov. Poglejmo jih vse.

Spremenite nastavitve centra za posodobitve

Začnimo z nastavitvijo storitve zase. Za dostop do konfiguracijskega vmesnika morate odpreti »Center za posodobitve« na enega od naslednjih načinov.

Sistem

  1. V kontekstnem meniju »Moj računalnik« pokličite »Lastnosti«.
  1. V levem navpičnem meniju kliknite ustrezno povezavo na dnu okna.

  1. Pojdite na »Nadzorna plošča«.
  2. Odprite razdelek »Sistem, varnost«.
  1. Pokličite element z istim imenom.

Če so elementi nadzorne plošče upodobljeni kot ikone in ne kot kategorije, se v glavnem oknu prikaže povezava do elementa.

  1. Torej, ko pridete v želeno okno, kliknite »Parametri nastavitev«.
  1. Premaknite se v razdelek »Pomembne posodobitve« in na spustnem seznamu izberite ustrezno možnost.

Edini način, da popolnoma onemogočite prejemanje posodobitev v računalniku z operacijskim sistemom Windows 7, je zaustavitev storitve.

Onemogočanje storitve

Upravljanje storitev v "sedmih" poteka prek:

  • neposredno urejanje registrskih ključev, kar je zelo neprijetno;
  • programi drugih proizvajalcev za konfiguracijo OS (to možnost bomo preskočili);
  • MMC konzola snap-in;
  • konfiguracija sistema;
  • ukazna vrstica;
  • Urejevalnik pravilnika skupine (prisoten v sistemu Windows 7 Ultimate, Enterprise).

Odstranitev storitve iz samodejnega zagona

Posodobitve najhitreje onemogočite prek sistemskega konfiguratorja.

  1. Izvedite »msconfig« v oknu tolmača ukazov, ki se odpre, ko držite pritisnjeni tipki Win + R ali kliknete gumb »Zaženi« v Startu.
  1. Pojdite na zavihek »Storitve«.
  2. Poiščite »Windows Update« (morda Windows Update) in počistite polje zraven.
  1. Shranite nove nastavitve.

Do konca trenutne seje bo storitev delovala in pravilno opravljala naloge, ki so ji dodeljene. Če želite uporabiti novo konfiguracijo, morate znova zagnati Windows 7.

Uporabimo MMC konzolni snap-in

Istoimenski snap-in sistemske konzole omogoča dostop do upravljanja vseh storitev na osebnem računalniku. Začne se takole.

  1. Odprite kontekstni meni imenika »Moj računalnik«.
  2. Pokličite ukaz »Upravljanje«.
  1. V levem navpičnem meniju razširite postavko »Storitve in aplikacije«. Nato kliknite povezavo »Storitve«.

Preprostejša možnost za klic istega okna bi bila zagon ukaza »services.msc« prek pogovornega okna »Zaženi«.

  1. Pomaknite se do samega konca seznama storitev in odprite »Lastnosti« storitve Windows Update.
  1. Na spustnem seznamu »Vrsta zagona« izberite »Onemogočeno« namesto »Samodejno«, da se za vedno poslovite od samodejnih posodobitev. Če morate zdaj onemogočiti storitev, ne pozabite klikniti »Ustavi«. Shranite nove nastavitve z gumbom »Uporabi« in zaprite vsa okna.

Za uporabo nastavitev ni treba znova zagnati računalnika.

Urejevalnik pravilnika skupine

Drug snap-in MMC, imenovan urejevalnik pravilnika lokalne skupine, vam bo pomagal konfigurirati kateri koli sistemski parameter.

Ni na voljo v domači izdaji Sedmice!

  1. Orodje zaženete tako, da v oknu »Zaženi« zaženete ukaz »gpedit.msc«.
  1. V pododdelku »Konfiguracija računalnika« razširite vejo »Upravne predloge«.
  1. Odprite »Komponente sistema Windows« in poiščite Center za posodobitve.
  2. Na desni strani okna najdemo parameter, katerega ime se začne z "Nastavitev samodejnega posodabljanja".
  3. Prikličite njegove nastavitve.
  1. Premaknite potrditveno polje na položaj »Onemogoči« in kliknite »V redu«, da zaprete okno in shranite spremembe.

Uporabimo ukazno vrstico

Skozi ukazno vrstico se izvajajo vse iste operacije kot pri uporabi grafičnega vmesnika in še več, vendar v besedilnem načinu. Glavna stvar je poznati njihovo sintakso in parametre.

Ukaz “cmd” je odgovoren za klic ukazne vrstice.

  1. Odprite ukazni tolmač in ga izvedite.


Ta članek povzema meni znane metode za popravljanje agenta WSUS.

1. Prvi skript je najpreprostejši in se pravzaprav niti ne uporablja za zdravljenje, ampak za prisilno preverjanje posodobitev in hkrati očisti mapo, v kateri se kopičijo distribucije že nameščenih posodobitev:

wsus_detect_manual.cmd

net stop wuauserv && net stop bits && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow izhod

2. Drugi skript je potreben za "oživitev" nedejavne storitve WSUS. Počisti stare posodobitve, nato pa se mapi SoftwareDistribution in Catroot2 preimenujeta, kar vodi do njune ponovne izdelave ob ponovnem zagonu storitve. Nato se sistemske knjižnice dll ponovno registrirajo.

fix_wsus_service.cmd

neto stop bitov
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

neto začetni bitovi
net start wuauserv
net start cryptsvc

wuauclt/detectnow

izhod

3. Ta skript se uporablja v primerih, ko je bil računalnik nedavno kloniran ali v primerih, ko se računalnik ni nikoli registriral v WSUS. Od prejšnjega se razlikuje le v predzadnji vrstici, v kateri se ponastavi avtorizacija in ponovno generira identifikator. Samo citiral bom to vrstico:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo vklopljen
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Včasih, da bi vse delovalo, morate znova namestiti agenta WSUS. Najprej morate prenesti najnovejši agent za posodobitve sistema Windows in nato namestiti ustrezno izdajo

za x32 različice sistema Windows

windowsupdateagent30-x86.exe /wuforce

za x64 različice sistema Windows

windowsupdateagent30-x64.exe /wuforce

Če ste srečni lastnik Itaniuma, lahko uganete sami :-)

Po namestitvi agenta se morate znova zagnati.

6. Za "zdravljenje" napak 0x80070005, tj. napak pri dostopu, je lahko koristen spodnji skript. Obnovi skrbniški in sistemski dostop do registra in sistemskih map.

Za zagon tega skripta boste potrebovali Microsoftov pripomoček subinacl.exe. Vključen je v komplet virov za Windows Server 2003, vendar ne smete uporabljati različice, ki je tam vključena, ker Tam je nekaj neprijetnih hroščev. Prenesti morate subinacl.exe različice 5.2.3790.1180.

Restore_registry_and_system_permission.cmd

@echo izklopljen
REM Prijavite se za napake 0x80070005 Windows Update
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /podimeniki %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /podimeniki %SystemDrive% /grant=system=f

Vse te skripte je mogoče izvesti skoraj samodejno, če pride do težav. Če zaradi tega problem ni rešen, ga morate podrobneje preučiti. In tukaj bomo potrebovali isti windowsupdate.log, ki je v korenu mape Windows. Če je računalnik problematičen, je ta datoteka velika. Zaradi poenostavitve je priporočljivo, da ga odstranite, preden zaženete skripte. Skoraj vsi skripti ponujajo ukaz za odstranitev, vendar ni vse tako preprosto. Kljub ustavitvi storitve wuauserv je običajno še vedno odprta v IE itd. Zato obstaja zapleten način. Začenjam

notepad.exe %windir%\windowsupdate.log

Izberem celotno besedilo, ga izbrišem in shranim namesto stare datoteke (ne pozabite spremeniti vrste datoteke v *.* v pogovornem oknu za shranjevanje, drugače je privzeto *.txt)

Omeniti velja, da obstajajo primeri, ko odjemalca ni mogoče prisiliti v posodobitev iz wsus. Imam precedens z nekaj Windows Server 2003 R2, ki mi jih ni uspelo premagati. Zato jih posodabljam preko interneta :-)

Sveži operacijski sistemi, kot sta Windows 7, Windows 2008, imajo včasih težave pri zagonu. Za takšne primere je empirično algoritem, kot je:
1. Prvič posodobite z Microsoftovega spletnega mesta s posodobitvijo posrednika
2. Nato agenta posodobimo lokalno
3. In potem vse začne delovati

Upam, da bodo sadovi našega dela komu pomagali.

Zaradi enostavnosti objavljam vse te skripte v pripravljeni obliki:

Pozdravljeni vsi, danes opomba bolj zase, in sicer seznam strežnikov Windows Update. Zakaj je to lahko uporabno, na primer, če ste prejeli napako Posodobitve ni bilo mogoče najti pri namestitvi vloge WSUS ali obratno, iz nekega razloga jih želite prepovedati, da prihranite promet, če nimate WSUS, saj niso vsi Windows posodobitve so dobre in še posebej v sodobnih različicah, mislim, da nima smisla opozarjati na napako, čeprav se ta seznam lahko nadaljuje zelo dolgo. Razlog ni pomemben, glavna stvar je vedeti, da obstaja in da lahko nekako delate z njim. Spodaj vam bom pokazal metode za blokiranje naslovov Microsoftovega strežnika za posodabljanje, tako univerzalne, primerne za posamezen računalnik, kot za centralizirano upravljanje v podjetju.

Zakaj se posodobitve sistema Windows ne namestijo?

Tukaj je posnetek zaslona napake, če naslov strežnika Microsoft Update ni na voljo. Kot lahko vidite, napaka ni zelo informativna. Dobim ga na strežniku, ki igra vlogo WSUS, za tiste, ki se ne spomnite, kaj je to, potem je to lokalni center za posodobitve za podjetja, za varčevanje prometa in tukaj se posodobitve za Windows ne nameščajo zaradi pomanjkanje razpoložljivosti Microsoftovih strežnikov.

Kaj storiti, če posodobitve sistema Windows niso nameščene

  • Najprej morate preveriti, ali imate internet, saj je njegova prisotnost za večino ljudi obvezna, razen seveda, če imate domeno Active Directory in jih prenašate iz svojega WSUS-a.
  • Nato, če obstaja internet, si oglejte kodo napake, saj morate po njej poiskati informacije o rešitvi težave (iz nedavnih težav lahko navedem primer, kako se odpravi napaka 0x80070422 ali napaka c1900101), vendar seznam se lahko hrani tudi zelo dolgo.
  • Na našem proxy strežniku preverimo, ali obstaja prepoved naslednjih naslovov Microsoftovega strežnika za posodabljanje.

Sam seznam Microsoftovih strežnikov za posodabljanje

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Z razvojem interneta je nenehno posodabljanje operacijskega sistema postalo vsakdanje. Zdaj lahko razvijalci popravljajo in izboljšujejo sistem skozi celotno obdobje podpore. Toda pogoste posodobitve sistema Windows 10 niso vedno priročne. Zato bi bilo dobro, da bi jih lahko izklopili.

Razlogi za izklop samodejnih posodobitev

Razlogi so lahko zelo različni in samo vi se lahko odločite, koliko morate onemogočiti posodobitve. Upoštevati je treba, da so poleg izboljšav določenih zmogljivosti dobavljeni tudi pomembni popravki sistemskih ranljivosti. In vendar se pogosto pojavljajo situacije, ko je treba neodvisne posodobitve onemogočiti:

  • plačan internet - včasih je posodobitev precej velika in je njen prenos lahko drag, če plačate promet. V tem primeru je bolje odložiti prenos in ga prenesti pozneje pod drugimi pogoji;
  • pomanjkanje časa - po prenosu se bo posodobitev začela nameščati, medtem ko je računalnik izklopljen. To je lahko neprijetno, če morate hitro zaustaviti delo, na primer na prenosnem računalniku. Še huje pa je, da bo Windows 10 prej ali slej zahteval ponovni zagon računalnika, in če tega ne storite, bo čez nekaj časa ponovni zagon prisilen. Vse to moti in moti delo;
  • varnost - čeprav same posodobitve pogosto vsebujejo pomembne sistemske spremembe, nihče nikoli ne more predvideti vsega. Posledično lahko nekatere posodobitve vaš sistem odprejo napadom virusov, druge pa ga preprosto pokvarijo takoj po namestitvi. Razumen pristop v tej situaciji je posodobitev nekaj časa po izdaji naslednje različice, po predhodnem preučevanju pregledov.

Onemogočite samodejne posodobitve sistema Windows 10

Obstaja veliko načinov za izklop posodobitev sistema Windows 10. Nekateri od njih so za uporabnika zelo preprosti, drugi so bolj zapleteni, tretji zahtevajo namestitev programov tretjih oseb.

Onemogočanje prek centra za posodobitve

Uporaba posodobitve za onemogočanje ni najboljša možnost, čeprav jo Microsoftovi razvijalci ponujajo kot uradno rešitev. Samodejni prenos posodobitev lahko dejansko izklopite prek njihovih nastavitev. Težava je v tem, da bo ta rešitev tako ali drugače začasna. Izdaja večje posodobitve sistema Windows 10 bo spremenila to nastavitev in vrnila sistemske posodobitve. Vendar bomo še vedno preučili postopek zaustavitve:

Po teh spremembah manjše posodobitve ne bodo več nameščene. Toda ta rešitev vam ne bo pomagala za vedno znebiti prenosa posodobitev.

Postopek smo podrobno opisali v enem od prejšnjih člankov. Ko konfigurirate strežnik, morate konfigurirati odjemalce sistema Windows (strežnike in delovne postaje) za uporabo strežnika WSUS za prejemanje posodobitev, tako da odjemalci prejemajo posodobitve iz notranjega strežnika za posodabljanje in ne iz strežnikov Microsoft Update prek interneta. V tem članku se bomo popeljali skozi postopek za konfiguriranje odjemalcev za uporabo strežnika WSUS z uporabo pravilnikov skupine domen Active Directory.

Pravilniki skupine AD omogočajo skrbniku, da samodejno dodeli računalnike različnim skupinam WSUS, s čimer odpravi potrebo po ročnem premikanju računalnikov med skupinami v konzoli WSUS in posodabljanju teh skupin. Dodeljevanje odjemalcev različnim ciljnim skupinam WSUS temelji na oznaki registra na odjemalcu (oznake nastavi pravilnik skupine ali neposredno urejanje registra). Ta vrsta dodelitve odjemalcev skupinam WSUS se imenuje strankastraniciljanje(Ciljanje na strani odjemalca).

Predvideva se, da bo naše omrežje uporabljalo dva različna pravilnika za posodabljanje – ločen pravilnik za namestitev posodobitev za strežnike ( Strežniki) in za delovne postaje ( Delovne postaje). Ti dve skupini je treba ustvariti v konzoli WSUS v razdelku Vsi računalniki.

nasvet. Pravilnik o tem, kako odjemalci uporabljajo strežnik za posodabljanje WSUS, je v veliki meri odvisen od organizacijske strukture OU v imeniku Active Directory in pravil za namestitev posodobitev organizacije. V tem članku si bomo ogledali samo določeno možnost, ki vam omogoča razumevanje osnovnih načel uporabe pravilnikov AD za namestitev posodobitev sistema Windows.

Najprej morate določiti pravilo za združevanje računalnikov v konzoli WSUS (targeting). Skrbnik v konzoli WSUS privzeto razdeli računalnike v skupine (ciljanje na strani strežnika). S tem nismo zadovoljni, zato bomo opozorili, da so računalniki razporejeni v skupine glede na ciljanje na strani odjemalca (po določenem ključu v registru odjemalcev). Če želite to narediti, v konzoli WSUS pojdite na razdelek Opcije in odprite parameter Računalniki. Spremenite vrednost v V računalnikih uporabite pravilnik skupine ali nastavitev registra(V računalnikih uporabite pravilnik skupine ali nastavitve registra).

Zdaj lahko ustvarite GPO za konfiguriranje odjemalcev WSUS. Odprite konzolo za upravljanje pravilnika skupine domene in ustvarite dva nova pravilnika skupine: ServerWSUSPolicy in WorkstationWSUSPolicy.

Pravilnik skupine WSUS za strežnike Windows

Začnimo z opisom politike strežnika ServerWSUSPolicy.

Nastavitve pravilnika skupine, odgovorne za delovanje storitve Windows Update, se nahajajo v razdelku GPO: RačunalnikKonfiguracija -> Pravila-> Administrativnipredloge-> WindowsKomponenta-> WindowsNadgradnja(Konfiguracija računalnika -> Administrativne predloge -> Komponente sistema Windows -> Posodobitev sistema Windows).

V naši organizaciji pričakujemo, da bomo ta pravilnik uporabili za namestitev posodobitev WSUS na strežnike Windows. Pričakuje se, da bodo vsi računalniki, ki jih pokriva ta pravilnik, dodeljeni skupini strežnikov v konzoli WSUS. Poleg tega želimo preprečiti samodejno namestitev posodobitev na strežnike, ko so prejete. Odjemalec WSUS mora preprosto prenesti razpoložljive posodobitve na disk, prikazati opozorilo za nove posodobitve v sistemski vrstici in počakati, da skrbnik začne namestitev (ročno ali na daljavo z uporabo ), da začne namestitev. To pomeni, da produktivni strežniki ne bodo samodejno namestili posodobitev in se znova zagnali brez skrbniške odobritve (običajno ta dela opravi skrbnik sistema kot del mesečnega načrtovanega vzdrževanja). Za izvajanje takšne sheme bomo določili naslednje politike:

  • KonfigurirajSamodejnoPosodobitve(Nastavitev samodejne posodobitve): Omogoči. 3 – SamodejnoPrenesiinobvestitizanamestite(Samodejno prenese posodobitve in vas obvesti, ko so pripravljene za namestitev)– odjemalec samodejno prenese nove posodobitve in obvesti o njihovi razpoložljivosti;
  • NavediteIntranetMicrosoftnadgradnjastoritevlokacijo(Določite intranetno lokacijo Microsoft Update): Omogoči. Nastavite storitev intranetnega posodabljanja za zaznavanje posodobitev: http://srv-wsus.site:8530, Nastavite intranetni statistični strežnik: http://srv-wsus.site:8530– tukaj morate določiti naslov vašega WSUS strežnika in statističnega strežnika (običajno sta enaka);
  • Brez samodejnega ponovnega zagona s prijavljenimi uporabniki za načrtovane namestitve samodejnih posodobitev(Ne zaženite samodejno znova, ko samodejno nameščate posodobitve, če se v sistemu izvajajo uporabniki): Omogoči– prepoved samodejnega ponovnega zagona, ko je uporabniška seja;
  • Omogočistranka- stranciljanje ( Dovolite stranki, da se pridruži ciljni skupini): Omogoči. Ime ciljne skupine za ta računalnik: Strežniki– v konzoli WSUS dodelite odjemalce skupini Strežniki.

Opomba. Pri nastavitvi pravilnika o posodabljanju priporočamo, da se natančno seznanite z vsemi nastavitvami, ki so na voljo v vsaki od možnosti v razdelku GPO WindowsNadgradnja in nastavite parametre, ki ustrezajo vaši infrastrukturi in organizaciji.

Pravilnik o namestitvi posodobitve WSUS za delovne postaje

Predvidevamo, da bodo posodobitve na odjemalskih delovnih postajah v nasprotju s strežniško politiko samodejno nameščene ponoči takoj po prejemu posodobitev. Po namestitvi posodobitev bi se morali računalniki samodejno znova zagnati (opozorilo uporabnika 5 minut vnaprej).

V tem GPO (WorkstationWSUSPolicy) določamo:

  • DovoliSamodejnoPosodobitvetakojšnjenamestitev(Dovoli takojšnjo namestitev samodejnih posodobitev): Onemogočeno- prepoved takojšnje namestitve posodobitev, ko so prejete;
  • Dovoline- administratorjidoprejetinadgradnjaobvestila(Uporabnikom, ki niso skrbniki, dovoli prejemanje obvestil o posodobitvah): Omogočeno- prikazati opozorilo neskrbnikom o novih posodobitvah in omogočiti njihovo ročno namestitev;
  • Konfigurirajte samodejne posodobitve:Omogočeno. Konfigurirajte samodejno posodabljanje: 4 - Samodejni prenos in načrtovanje namestitve. Načrtovani dan namestitve: 0 - vsakdan. Načrtovani čas namestitve: 05:00 – ko so prejete nove posodobitve, jih odjemalec prenese v lokalni predpomnilnik in načrtuje njihovo samodejno namestitev ob 5:00 zjutraj;
  • Ime ciljne skupine za ta računalnik: Delovne postaje– v konzoli WSUS odjemalca dodelite skupini Delovne postaje;
  • Brez samodejnega ponovnega zagona s prijavljenimi uporabniki za načrtovane namestitve samodejnih posodobitev: Onemogočeno- sistem se bo samodejno znova zagnal 5 minut po končani namestitvi posodobitve;
  • Določite intranetno lokacijo Microsoftove storitve posodabljanja: Omogoči. Nastavite storitev intranetnega posodabljanja za zaznavanje posodobitev: http://srv-wsus.site:8530, Nastavite intranetni statistični strežnik: http://srv-wsus.site:8530– naslov korporativnega strežnika WSUS.

V sistemu Windows 10 1607 in novejših, čeprav ste jim naročili, naj prejemajo posodobitve iz notranjega WSUS, bodo morda še vedno poskušali vzpostaviti stik s strežniki Windows Update v internetu. Ta "funkcija" se imenuje DvojnoSkeniraj. Če želite onemogočiti prejemanje posodobitev iz interneta, morate dodatno omogočiti pravilnik naredinedovolinadgradnjaodlogpraviladovzrokskeniraprotiWindowsNadgradnja ().

nasvet. Za izboljšanje »raven popravkov« računalnikov v organizaciji je mogoče oba pravilnika konfigurirati tako, da vsilijo zagon storitve posodabljanja (wuauserv) pri odjemalcih. Če želite to narediti, v razdelku Konfiguracija računalnika -> Pravilniki -> Nastavitve sistema Windows -> Varnostne nastavitve -> Sistemske storitve Poiščite storitev Windows Update in jo nastavite na samodejni zagon ( Samodejno).

Dodeljevanje pravilnikov WSUS OU-jem Active Directory

Naslednji korak je dodelitev ustvarjenih pravilnikov ustreznim vsebnikom Active Directory (OU). V našem primeru je struktura OU v domeni AD kar se da enostavna: obstajata dva vsebnika – strežniki (vsebuje vse strežnike organizacije, poleg krmilnikov domene) in WKS (delovne postaje – uporabniški računalniki).

nasvet. Razmišljamo le o eni precej preprosti možnosti za vezavo pravilnikov WSUS na stranke. V resničnih organizacijah je možno povezati en pravilnik WSUS z vsemi računalniki v domeni (GPO z nastavitvami WSUS je pritrjen na koren domene), za distribucijo različnih vrst odjemalcev po različnih OU (kot v našem primeru - mi ustvarili različne pravilnike WSUS za strežnike in delovne postaje), v velikih porazdeljenih domenah je mogoče povezati ali dodeliti GPO-je na podlagi ali kombinacijo zgornjih metod.

Če želite dodeliti pravilnik OU, kliknite na želeno OU v konzoli za upravljanje pravilnika skupine in izberite element menija Povezava kot obstoječi GPO in izberite ustrezno politiko.

nasvet. Ne pozabite na ločeno OU s krmilniki domene (Domain Controllers); v večini primerov je treba temu vsebniku dodeliti politiko »strežnika« WSUS.

Na popolnoma enak način morate dodeliti pravilnik WorkstationWSUSPolicy vsebniku AD WKS, v katerem se nahajajo delovne postaje Windows.

Vse, kar ostane, je posodobitev skupinskih pravilnikov na odjemalcih, da se odjemalec poveže s strežnikom WSUS:

Vse sistemske nastavitve za posodabljanje sistema Windows, ki jih nastavimo s pravilniki skupine, bi morale biti prikazane v registru strank v veji HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

To datoteko reg je mogoče uporabiti za prenos nastavitev WSUS v druge računalnike, ki ne morejo konfigurirati nastavitev posodobitve z GPO (računalniki v delovni skupini, izolirani segmenti, DMZ itd.)

Urejevalnik registra Windows različica 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Strežniki"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Prav tako je priročno nadzorovati uporabljene nastavitve WSUS na odjemalcih z uporabo rsop.msc.

In čez nekaj časa (odvisno od števila posodobitev in pasovne širine kanala do strežnika WSUS) morate v pladnju preveriti pojavna obvestila o prisotnosti novih posodobitev. Odjemalci naj bodo prikazani v konzoli WSUS v ustreznih skupinah (tabela prikazuje ime odjemalca, IP, OS, odstotek "pokrpanih" in datum zadnje posodobitve statusa). Ker Računalnike in strežnike smo dodelili različnim skupinam WSUS s pravilniki; prejemali bodo samo posodobitve, odobrene za namestitev v ustreznih skupinah WSUS.

Opomba. Če se posodobitve ne prikažejo v odjemalcu, je priporočljivo skrbno pregledati dnevnik storitve Windows Update Service v problematičnem odjemalcu (C:\Windows\WindowsUpdate.log). Upoštevajte, da Windows 10 (Windows Server 2016) uporablja . Odjemalec prenese posodobitve v lokalno mapo C:\Windows\SoftwareDistribution\Download. Če želite začeti iskati nove posodobitve na strežniku WSUS, morate zagnati ukaz:

wuauclt/detectnow

Poleg tega morate včasih na silo znova registrirati odjemalca na strežniku WSUS:

wuauclt /detectnow /resetAuthorization

V posebej težkih primerih lahko poskusite popraviti storitev wuauserv. Če se to zgodi, poskusite spremeniti pogostost preverjanja posodobitev na strežniku WSUS s pravilnikom o pogostosti zaznavanja samodejnih posodobitev.

V naslednjem članku bomo opisali funkcije. Priporočamo tudi, da članek preberete med skupinami na strežniku WSUS.