Çalışma gruplarında güncellemelerin zamanında kurulumunun sağlanması. Grup ilkelerini kullanarak WSUS istemcilerini yapılandırma Windows güncelleştirmeleri kayıt defterinin neresindedir?

Otomatik güncellemeler herhangi bir işletim sisteminin önemli bir işlevsel özelliğidir. Bu sayede bilgisayar önemli güncellemeleri zamanında alarak sistemi daha istikrarlı ve güvenli hale getirir. Windows 7'de işlev başlangıçta etkinleştirilir. Bu, Microsoft sunucularıyla bağlantı varsa güncelleme hizmetinin yeni paketlerin kullanılabilirliğini kontrol ettiği, bunları indirdiği ve yüklediği anlamına gelir. Genellikle, tüm süreçler kullanıcı tarafından neredeyse fark edilmeden ilerler, ancak sürekli olarak 10'a yükseltme teklifleri göründüğünde, bu zaten aşırıya kaçmaktır.

Teorik olarak güncellemelerin otomatik olarak indirilmesini devre dışı bırakmaya gerek yoktur. Güvenlik açıklarını kapattığı, işletim sisteminin çalışmasını optimize ettiği ve ona yeni özellikler eklediği (“onlarca” ile ilgili) için kullanışlıdır. Ayrıca otomatik güncelleme hizmetinin devre dışı bırakılmasının nedenlerinin bir listesi de bulunmaktadır:

  1. Kullanıcı, güncelleme sırasında İnternet hızının düşmesinden ve/veya bilgisayarın uzun süre kapatılamamasından hoşlanmaz.
  2. Bilgisayarda pahalı veya sınırlı kablosuz internet var.
  3. Güncellenen işletim sistemini başlattıktan sonra sorunlar.
  4. Güncelleme paketlerinin kurulumu sırasındaki hatalar.
  5. Her güncellemeyle birlikte büyüyen Windows 7'nin hacmindeki artışı karşılamak için sistem biriminde yeterli alan yok.

çeşitler

Yine de Windows 7 güncellemesini devre dışı bırakmadan önce bunun gerçekten gerekli olup olmadığını düşünün. Hizmeti devre dışı bırakmanın yanı sıra aşağıdaki çalışma modlarına da geçiş yapılabilir.

  1. Tam otomatik - işlemler kullanıcı müdahalesi olmadan devam eder, yalnızca kullanıcıya paketlerin kurulumunun tamamlandığı bildirilir.
  2. En son düzeltmeleri bir programa göre arar ve indirir ve paketlerin kurulumu kullanıcı tarafından gerçekleştirilir.
  3. Güncellemelerin kullanılabilirliği hakkında otomatik kontrol ve kullanıcıyı bilgilendirme.
  4. Kendi kendine güncelleme devre dışı. Her şey manuel olarak yapılır.

Güncelleme Merkezi bileşeninde seçenekler seçilir.

Bağlantıyı kesme yöntemleri

Herhangi bir Windows'un ayarları kayıt defterinde saklanır. Güncelleme Merkezi ayarlarından sorumlu anahtara birkaç basit ve birkaç daha karmaşık yoldan erişebilirsiniz. Hepsine bakalım.

Güncelleme Merkezi ayarlarını değiştirme

Hizmeti kendimiz için ayarlayarak başlayalım. Yapılandırma arayüzüne erişmek için aşağıdaki yöntemlerden birini kullanarak “Güncelleme Merkezi”ni açmanız gerekir.

Sistem

  1. Bilgisayarım'ın içerik menüsünden "Özellikler"i açın.
  1. Soldaki dikey menüde, pencerenin altında bulunan ilgili bağlantıya tıklayın.

  1. “Kontrol Paneli” ne gidin.
  2. “Sistem, Güvenlik” bölümünü açın.
  1. Aynı isimli öğeyi çağırın.

Kontrol paneli öğeleri kategoriler yerine simgeler olarak işleniyorsa, ana pencerede öğeye giden bir bağlantı görünecektir.

  1. Bu nedenle, istediğiniz pencereye girdikten sonra “Ayarlar parametreleri” ne tıklayın.
  1. “Önemli güncellemeler” bölümüne gidin ve açılır listeden uygun seçeneği seçin.

Windows 7 yüklü bir bilgisayarda güncellemelerin alınmasını tamamen devre dışı bırakmanın tek yolu hizmeti durdurmaktır.

Hizmeti devre dışı bırakma

“Yedi”deki hizmetlerin yönetimi şu şekilde gerçekleşir:

  • çok sakıncalı olan kayıt defteri anahtarlarının doğrudan düzenlenmesi;
  • işletim sistemini yapılandırmak için üçüncü taraf programlar (bu seçeneği atlayacağız);
  • MMC konsolu ek bileşeni;
  • Sistem yapılandırması;
  • Komut satırı;
  • Grup İlkesi Düzenleyicisi (Windows 7 Ultimate, Enterprise'da mevcuttur).

Bir hizmeti otomatik başlatmadan kaldırma

Güncellemeleri devre dışı bırakmanın en hızlı yolu sistem yapılandırıcısını kullanmaktır.

  1. Win + R tuşlarını basılı tuttuktan veya Başlat'taki "Çalıştır" düğmesine tıkladıktan sonra açılacak olan komut yorumlayıcı penceresinde "msconfig" komutunu çalıştırın.
  1. “Hizmetler” sekmesine gidin.
  2. “Windows Update”i (belki Windows Update) bulun ve yanındaki kutunun işaretini kaldırın.
  1. Yeni ayarları kaydedin.

Mevcut oturumun sonuna kadar hizmet, kendisine atanan görevleri doğru şekilde yerine getirerek çalışacaktır. Yeni yapılandırmayı uygulamak için Windows 7'nin yeniden başlatılması gerekir.

MMC konsolu ek bileşenini kullanalım

Aynı adı taşıyan sistem konsolu ek bileşeni, bilgisayardaki tüm hizmetlerin yönetilmesine erişim sağlar. Bu şekilde başlıyor.

  1. “Bilgisayarım” dizininin içerik menüsünü açın.
  2. “Yönet” komutunu çağırın.
  1. Soldaki dikey menüde “Hizmetler ve Uygulamalar” öğesini genişletin. Daha sonra “Hizmetler” bağlantısını tıklayın.

Aynı pencereyi çağırmak için daha basit bir seçenek, “Çalıştır” iletişim kutusundan “services.msc” komutunu çalıştırmak olacaktır.

  1. Hizmetler listesinin en sonuna gidin ve Windows Update hizmetinin "Özellikler" bölümünü açın.
  1. Otomatik güncellemelere sonsuza kadar veda etmek için "Başlangıç ​​türü" açılır listesinde "Otomatik" yerine "Devre Dışı" seçeneğini seçin. Hizmeti şimdi devre dışı bırakmanız gerekiyorsa, “Durdur” düğmesine tıkladığınızdan emin olun. “Uygula” butonu ile yeni ayarları kaydedin ve tüm pencereleri kapatın.

Ayarların uygulanması için bilgisayarın yeniden başlatılmasına gerek yoktur.

Grup İlkesi Düzenleyicisi

Yerel Grup İlkesi Düzenleyicisi adı verilen başka bir MMC ek bileşeni, herhangi bir sistem parametresini yapılandırmanıza yardımcı olacaktır.

Seven'ın ana sürümünde mevcut değil!

  1. Araç, “Çalıştır” penceresinden “gpedit.msc” komutunun çalıştırılmasıyla başlatılır.
  1. “PC Yapılandırması” alt bölümünde “Yönetim Şablonları” dalını genişletin.
  1. “Windows Bileşenleri”ni açın ve Güncelleme Merkezi'ni arayın.
  2. Pencerenin sağ tarafında adı “Otomatik güncellemeyi ayarlama” ile başlayan bir parametre buluyoruz.
  3. Ayarlarını çağırın.
  1. Onay kutusunu “Devre Dışı Bırak” konumuna getirin ve pencereyi kapatmak ve değişiklikleri kaydetmek için “Tamam”a tıklayın.

Komut satırını kullanalım

Komut satırı aracılığıyla, grafik arayüzün kullanılmasıyla yapılan işlemlerin aynısı ve hatta daha fazlası, ancak metin modunda gerçekleştirilir. Önemli olan sözdizimini ve parametrelerini bilmektir.

Komut satırını çağırmaktan “cmd” komutu sorumludur.

  1. Komut yorumlayıcısını açın ve çalıştırın.


Bu makale, WSUS aracısını düzeltmek için bildiğim yöntemleri özetlemektedir.

1. İlk komut dosyası en basitidir ve aslında tedavi için bile kullanılmaz, ancak bir güncelleme kontrolünü zorla çalıştırmak ve aynı zamanda önceden yüklenmiş güncellemelerin dağıtımlarının biriktiği klasörü temizlemek için kullanılır:

wsus_detect_manual.cmd

net stop wuauserv && net stop bitleri && net stop cryptsvc

net start wuauserv && net start bitleri && net start cryptsvc

wuauclt.exe /detectnow çıkış

2. Boşta kalan WSUS hizmetini "canlandırmak" için ikinci komut dosyasına ihtiyaç vardır. Eski güncellemeleri temizler, ardından SoftwareDistribution ve Catroot2 klasörleri yeniden adlandırılır ve bu, hizmet yeniden başlatıldığında bunların yeniden oluşturulmasına yol açar. Daha sonra sistem dll kütüphaneleri yeniden kaydedilir.

fix_wsus_service.cmd

net durdurma bitleri
net stop wuauserv
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

net başlangıç ​​bitleri
net start wuauserv
net start cryptsvc

wuauclt/detectnow

çıkış

3. Bu komut dosyası, bilgisayarın yakın zamanda klonlandığı veya bilgisayarın WSUS'ye hiç kaydolmadığı durumlarda kullanılır. Önceki satırdan yalnızca yetkilendirmenin sıfırlandığı ve tanımlayıcının yeniden oluşturulduğu sondan bir önceki satırda farklılık gösterir. Sadece şu satırı alıntılayacağım:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetauthorization /detectnow

AU_Clean_SID.cmd

@echo açık
net stop wuauserv
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
net start wuauserv
wuauclt /resetauthorization /detectnow

5. Bazen her şeyin işe yaraması için WSUS aracısını yeniden yüklemeniz gerekir. Öncelikle en son Windows Update Agent'ı indirmeniz ve ardından uygun sürümü yüklemeniz gerekir.

Windows'un x32 sürümleri için

windowsupdateagent30-x86.exe /wuforce

Windows'un x64 sürümleri için

windowsupdateagent30-x64.exe /wuforce

Itanium'un mutlu bir sahibiyseniz, kendiniz tahmin edebilirsiniz :-)

Aracıyı yükledikten sonra yeniden başlatmanız gerekir.

6. 0x80070005 hatalarını “tedavi etmek” için, yani. erişim hataları için aşağıdaki script işinize yarayabilir. Kayıt defterine ve sistem klasörlerine yönetici ve sistem erişimini geri yükler.

Bu betiği çalıştırmak için Microsoft subinacl.exe yardımcı programına ihtiyacınız olacak. Windows Server 2003 kaynak kitine dahildir ancak burada bulunan sürümü kullanmamalısınız çünkü Orada bazı kötü hatalar var. Subinacl.exe'nin 5.2.3790.1180 sürümünü indirmelisiniz.

Restore_registry_and_system_permission.cmd

@Eko kapalı
REM Hatalar için uygula 0x80070005 Windows Güncelleme
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=yöneticiler=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=yöneticiler=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=yöneticiler=f
subinacl /subdirectories %SystemDrive% /grant=yöneticiler=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /subdirectories %SystemDrive% /grant=sistem=f

Sorun çıkması durumunda tüm bu komut dosyaları neredeyse otomatik olarak çalıştırılabilir. Sonuç olarak sorun çözülmezse, sorunu daha yakından incelemeniz gerekir. Ve burada Windows klasörünün kökünde bulunan aynı windowsupdate.log dosyasına ihtiyacımız olacak. Bilgisayar sorunluysa, bu dosya büyüktür. Basit olması açısından, komut dosyalarını çalıştırmadan önce onu kaldırmanız önerilir. Hemen hemen tüm komut dosyaları onu kaldırmak için bir komut sağlar, ancak her şey o kadar basit değildir. Wuauserv hizmetinin durmasına rağmen genellikle IE vb. yerlerde açık olmaya devam eder. Bu nedenle zor bir yol var. Başlatıyorum

notepad.exe %windir%\windowsupdate.log

Tüm metni seçiyorum, siliyorum ve eski dosya yerine onu kaydediyorum (kaydet iletişim kutusunda dosya türünü *.* olarak değiştirmeyi unutmayın, aksi takdirde varsayılan *.txt olur)

İstemciyi wsus'tan güncellemeye zorlamanın mümkün olmadığı durumların olduğunu belirtmekte fayda var. Birkaç Windows Server 2003 R2 ile üstesinden gelemediğim emsallerim var. Bu yüzden onları internet üzerinden güncelliyorum :-)

Windows 7, Windows 2008 gibi yeni işletim sistemleri bazen başlangıçta zorluk çeker. Bu gibi durumlar için ampirik olarak şöyle bir algoritma:
1. Aracı güncellemesiyle Microsoft web sitesinden ilk kez güncelleme
2. Daha sonra aracıyı yerel olarak güncelliyoruz
3. Ve sonra her şey çalışmaya başlar

Umarım emeklerimizin meyveleri birilerine yardım eder.

Basit olması açısından tüm bu komut dosyalarını hazır biçimde gönderiyorum:

Herkese merhaba, bugün kendim için bir not daha, yani Windows Update sunucularının bir listesi. Örneğin, bir WSUS rolü yüklerken Güncelleme bulunamadı hatası aldıysanız veya tam tersi bir nedenden dolayı bunları yasaklamak istiyorsanız, WSUS'niz yoksa trafikten tasarruf etmek için bu neden yararlı olabilir? güncellemeler iyi ve özellikle modern versiyonlarında bu listeyi çok uzun süre devam ettirebilsek de hatayı hatırlatmanın bir anlamı olmadığını düşünüyorum. Nedeni önemli değil, asıl önemli olan onun var olduğunu ve bir şekilde onunla çalışabileceğinizi bilmek. Aşağıda size hem evrensel, hem bireysel bir bilgisayar için uygun hem de bir kuruluş içinde merkezi yönetim için Microsoft güncelleme sunucusu adreslerini engelleme yöntemlerini göstereceğim.

Windows güncellemeleri neden yüklenmiyor?

Microsoft güncelleme sunucusu adresiniz mevcut değilse hatanın ekran görüntüsünü burada bulabilirsiniz. Gördüğünüz gibi hata pek bilgilendirici değil. Ne olduğunu hatırlamayanlar için WSUS rolünü oynayan bir sunucuya alıyorum, o zaman burası işletmeler için trafikten tasarruf etmek için yerel bir güncelleme merkezidir ve burası Windows güncellemelerinin yüklenmediği yerdir. Microsoft sunucularının kullanılabilirliği eksikliği.

Windows güncellemeleri yüklü değilse ne yapmalı

  • Her şeyden önce, İnternet'in olup olmadığını kontrol etmelisiniz, çünkü çoğu kişi için İnternet'in varlığı zorunludur, tabi ki bir Active Directory etki alanınız yoksa ve bunları WSUS'nizden indirmediyseniz
  • Daha sonra, İnternet varsa, hata koduna bakın, çünkü sorunun çözümüyle ilgili bilgileri bu şekilde aramanız gerekir (son sorunlardan, Hata 0x80070422 veya Hata c1900101'in nasıl çözüldüğüne dair bir örnek verebilirim), ancak liste ayrıca çok uzun süre saklanabilir.
  • Aşağıdaki Microsoft güncelleme sunucusu adreslerinde yasak olup olmadığını proxy sunucumuz üzerinden kontrol ediyoruz.

Microsoft güncelleme sunucularının listesi

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://aktivasyon-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

İnternetin gelişmesiyle birlikte işletim sisteminin sürekli güncellenmesi sıradan hale geldi. Artık geliştiriciler, destek süresi boyunca sistemi düzeltebilir ve iyileştirebilir. Ancak Windows 10'un sık sık güncellenmesi her zaman uygun değildir. Bu yüzden onları kapatabilmek iyi olurdu.

Otomatik güncellemeleri kapatmanın nedenleri

Sebepler çok farklı olabilir ve güncellemeleri ne kadar devre dışı bırakmanız gerektiğine yalnızca siz karar verebilirsiniz. Belirli yeteneklerde yapılan iyileştirmelerin yanı sıra sistem açıklarına yönelik önemli düzeltmelerin de sağlandığını dikkate almakta fayda var. Yine de bağımsız güncellemelerin devre dışı bırakılması gereken durumlar oldukça sık ortaya çıkıyor:

  • ücretli İnternet - bazen güncelleme oldukça büyüktür ve trafik için ödeme yapıyorsanız indirmek pahalı olabilir. Bu durumda, indirmeyi ertelemek ve diğer koşullar altında daha sonra indirmek daha iyidir;
  • zaman eksikliği - indirdikten sonra güncelleme bilgisayar kapalıyken yüklenmeye başlayacaktır. Örneğin bir dizüstü bilgisayarda çalışmayı hızlı bir şekilde kapatmanız gerekiyorsa bu uygun olmayabilir. Ancak daha da kötüsü, er ya da geç Windows 10, bilgisayarınızı yeniden başlatmanızı gerektirecek ve bunu yapmazsanız, bir süre sonra yeniden başlatmaya zorlanacak. Bütün bunlar dikkati dağıtıyor ve işe müdahale ediyor;
  • güvenlik - güncellemelerin kendileri sıklıkla önemli sistem değişiklikleri içerse de, hiç kimse her şeyi öngöremez. Sonuç olarak, bazı güncellemeler sisteminizi virüs saldırılarına açık hale getirebilir, bazıları ise kurulumdan hemen sonra sistemin işleyişini bozabilir. Bu durumda makul bir yaklaşım, daha önce incelemeleri inceledikten sonra bir sonraki sürümün yayınlanmasından bir süre sonra güncelleme yapmaktır.

Otomatik Windows 10 güncellemelerini devre dışı bırakın

Windows 10 güncellemelerini kapatmanın birçok yolu vardır. Bazıları kullanıcı için çok basittir, diğerleri daha karmaşıktır ve diğerleri üçüncü taraf programların kurulumunu gerektirir.

Güncelleme Merkezi aracılığıyla devre dışı bırakma

Microsoft geliştiricileri bunu resmi bir çözüm olarak sunsa da, Güncellemeyi devre dışı bırakmak için kullanmak en iyi seçenek değildir. Aslında güncellemelerin otomatik olarak indirilmesini ayarlarından kapatabilirsiniz. Buradaki sorun, bu çözümün öyle ya da böyle geçici olmasıdır. Büyük bir Windows 10 güncellemesinin yayınlanması bu ayarı değiştirecek ve sistem güncellemelerini geri getirecektir. Ancak yine de kapatma sürecini inceleyeceğiz:

Bu değişikliklerden sonra küçük güncellemeler artık yüklenmeyecektir. Ancak bu çözüm, güncellemeleri indirmekten sonsuza kadar kurtulmanıza yardımcı olmayacaktır.

Önceki makalelerden birinde prosedürü ayrıntılı olarak anlattık. Sunucuyu yapılandırdıktan sonra, Windows istemcilerini (sunucular ve iş istasyonları) güncelleştirmeleri almak üzere WSUS sunucusunu kullanacak şekilde yapılandırmanız gerekir; böylece istemciler güncelleştirmeleri Internet üzerinden Microsoft Update sunucuları yerine dahili güncelleştirme sunucusundan alırlar. Bu makalede, istemcileri Active Directory etki alanı grup ilkelerini kullanarak bir WSUS sunucusu kullanacak şekilde yapılandırma prosedürünü açıklayacağız.

AD Grup İlkeleri, bir yöneticinin bilgisayarları farklı WSUS gruplarına otomatik olarak atamasına olanak tanıyarak, bilgisayarları WSUS konsolundaki gruplar arasında manuel olarak taşıma ihtiyacını ortadan kaldırır ve bu grupları güncel tutar. İstemcilerin farklı WSUS hedef gruplarına atanması, istemcideki kayıt defteri etiketine dayanır (etiketler, Grup İlkesi tarafından veya doğrudan kayıt defteri düzenlenerek ayarlanır). İstemcilerin WSUS gruplarına bu şekilde atanmasına denir. müşteritarafhedefleme(İstemci tarafı hedefleme).

Ağımızın iki farklı güncelleme politikası kullanacağı varsayılmaktadır - sunucular için ayrı bir güncelleme kurulum politikası ( Sunucular) ve iş istasyonları için ( İş istasyonları). Bu iki grubun WSUS konsolunun Tüm Bilgisayarlar bölümünde oluşturulması gerekir.

Tavsiye. İstemcilerin WSUS güncelleme sunucusunu nasıl kullandıklarına ilişkin politika, büyük ölçüde Active Directory'deki kuruluş biriminin kuruluş yapısına ve kuruluşun güncelleme yükleme kurallarına bağlıdır. Bu makalede, Windows güncellemelerini yüklemek için AD ilkelerini kullanmanın temel ilkelerini anlamanıza olanak tanıyan belirli bir seçeneğe bakacağız.

Öncelikle WSUS (hedefleme) konsolunda bilgisayarları gruplamak için bir kural belirtmeniz gerekir. Varsayılan olarak, WSUS konsolunda bilgisayarlar yönetici tarafından manuel olarak gruplara dağıtılır (sunucu tarafı hedefleme). Bu durumdan memnun değiliz, bu nedenle bilgisayarların istemci tarafı hedeflemeye (istemci kayıt defterindeki belirli bir anahtara göre) dayalı olarak gruplara dağıtıldığını belirteceğiz. Bunu yapmak için WSUS konsolunda bölüme gidin Seçenekler ve parametreyi açın Bilgisayarlar. Değeri şu şekilde değiştirin: Bilgisayarlarda Grup İlkesi veya kayıt defteri ayarını kullanma(Bilgisayarlarda Grup İlkesi veya kayıt defteri ayarlarını kullanın).

Artık WSUS istemcilerini yapılandırmak için bir GPO oluşturabilirsiniz. Etki alanı Grup İlkesi Yönetimi konsolunu açın ve iki yeni grup ilkesi oluşturun: ServerWSUSPolicy ve WorkstationWSUSPolicy.

Windows Sunucuları için WSUS Grup İlkesi

Sunucu politikasının bir açıklamasıyla başlayalım SunucuWSUS Politikası.

Windows Update hizmetinin çalışmasından sorumlu grup ilkesi ayarları GPO bölümünde bulunur: BilgisayarYapılandırma -> Politikalar-> Yönetimşablonlar-> pencerelerBileşen-> pencerelerGüncelleme(Bilgisayar Yapılandırması -> Yönetim Şablonları -> Windows Bileşenleri -> Windows Güncelleme).

Kuruluşumuzda, WSUS güncellemelerini Windows sunucularına yüklemek için bu politikayı kullanmayı bekliyoruz. Bu ilke kapsamındaki tüm bilgisayarların WSUS konsolundaki Sunucular grubuna atanması beklenmektedir. Ayrıca güncellemelerin alındığında sunuculara otomatik olarak yüklenmesini de engellemek istiyoruz. WSUS istemcisinin, kurulumu başlatmak için mevcut güncellemeleri diske indirmesi, sistem tepsisinde yeni güncellemeler için bir uyarı görüntülemesi ve bir yöneticinin kurulumu başlatmasını (manuel olarak veya e-postayı kullanarak uzaktan) beklemesi gerekir. Bu, üretken sunucuların yönetici onayı olmadan güncellemeleri otomatik olarak yüklemeyeceği ve yeniden başlatmayacağı anlamına gelir (bu çalışmalar genellikle aylık planlı bakımın bir parçası olarak sistem yöneticisi tarafından gerçekleştirilir). Böyle bir planı uygulamak için aşağıdaki politikaları belirleyeceğiz:

  • YapılandırOtomatikGüncellemeler(Otomatik güncellemeyi ayarlama): Olanak vermek. 3 – OtomatikindirmekVebildirmekiçindüzenlemek(Güncellemeleri otomatik olarak indirir ve yüklenmeye hazır olduklarında sizi bilgilendirir)– istemci yeni güncellemeleri otomatik olarak indirir ve bunların kullanılabilirliği hakkında bilgi verir;
  • BelirtintranetMicrosoftgüncellemehizmetkonum(İntranet Microsoft Update konumunu belirtin): Olanak vermek. Güncellemeleri algılamak için intranet güncelleme hizmetini ayarlayın: http://srv-wsus.site:8530, İntranet istatistik sunucusunu ayarlayın: http://srv-wsus.site:8530– burada WSUS sunucunuzun ve istatistik sunucunuzun adresini belirtmeniz gerekir (genellikle aynıdırlar);
  • Planlanmış otomatik güncelleme kurulumları için oturum açmış kullanıcılarla otomatik yeniden başlatma yok(Sistemde çalışan kullanıcılar varsa güncellemeleri otomatik olarak yüklerken otomatik olarak yeniden başlatmayın): Olanak vermek– bir kullanıcı oturumu olduğunda otomatik yeniden başlatmayı yasaklayın;
  • Olanak vermekmüşteri-tarafhedefleme ( Müşterinin hedef gruba katılmasına izin ver): Olanak vermek. Bu bilgisayar için hedef grup adı: Sunucular– WSUS konsolunda istemcileri Sunucular grubuna atayın.

Not. Bir güncelleme politikası ayarlarken, GPO bölümündeki seçeneklerin her birinde mevcut olan tüm ayarları dikkatlice öğrenmenizi öneririz. pencerelerGüncelleme altyapınıza ve organizasyonunuza uygun parametreleri ayarlayın.

İş İstasyonları için WSUS Güncelleme Yükleme Politikası

Sunucu politikasının aksine, istemci iş istasyonlarındaki güncellemelerin, güncellemeleri aldıktan hemen sonra gece otomatik olarak yükleneceğini varsayıyoruz. Güncellemeler yüklendikten sonra bilgisayarların otomatik olarak yeniden başlatılması gerekir (kullanıcıyı 5 dakika önceden uyarır).

Bu GPO'da (İş İstasyonuWSUSPolicy) şunu belirtiyoruz:

  • İzin vermekOtomatikGüncellemeleracilkurulum(Otomatik güncellemelerin anında yüklenmesine izin verin): Engelli- güncellemelerin alındığında hemen kurulumunun yasaklanması;
  • İzin vermekolmayan-yöneticilerilealmakgüncellemebildirimler(Yönetici olmayan kullanıcıların güncelleme bildirimleri almasına izin ver): Etkinleştirilmiş- Yönetici olmayanlara yeni güncellemeler hakkında bir uyarı gösterin ve bunların manuel kurulumuna izin verin;
  • Otomatik Güncelleştirmeleri Yapılandırın:Etkinleştirilmiş. Otomatik güncellemeyi yapılandırın: 4 - Otomatik olarak indirin ve kurulumu planlayın. Planlanan yükleme günü: 0 - Hergün. Planlanan yükleme süresi: 05:00 – yeni güncellemeler alındığında, istemci bunları yerel önbelleğe indirir ve otomatik kurulumlarını sabah 5:00'e planlar;
  • Bu bilgisayar için hedef grup adı: İş istasyonları– WSUS konsolunda istemciyi İş İstasyonları grubuna atayın;
  • Planlanmış otomatik güncelleme kurulumları için oturum açmış kullanıcılarla otomatik yeniden başlatma yapılmaz: Engelli- güncelleme kurulumu tamamlandıktan 5 dakika sonra sistem otomatik olarak yeniden başlatılacaktır;
  • İntranet Microsoft güncelleme hizmeti konumunu belirtin: Olanak vermek. Güncellemeleri algılamak için intranet güncelleme hizmetini ayarlayın: http://srv-wsus.site:8530, İntranet istatistik sunucusunu ayarlayın: http://srv-wsus.site:8530–kurumsal WSUS sunucusunun adresi.

Windows 10 1607 ve sonraki sürümlerde, güncellemeleri dahili WSUS'tan almalarını söylemiş olsanız bile, yine de İnternet'teki Windows Update sunucularıyla iletişim kurmaya çalışabilirler. Bu "özellik" denir ÇiftTara. İnternetten güncelleme almayı devre dışı bırakmak için ayrıca politikayı etkinleştirmeniz gerekir. YapmakOlumsuzizin vermekgüncellemeertelemepolitikalarilenedentaramalaraykırıpencerelerGüncelleme ().

Tavsiye. Bir kuruluştaki bilgisayarların "yama düzeyini" iyileştirmek için her iki politika da istemcilerde güncelleme hizmetinin (wuauserv) başlatılmasını zorunlu kılacak şekilde yapılandırılabilir. Bunu yapmak için bölümde Bilgisayar Yapılandırması -> İlkeler-> Windows Ayarları -> Güvenlik Ayarları -> Sistem Hizmetleri Windows Update hizmetini bulun ve otomatik olarak başlayacak şekilde ayarlayın ( Otomatik).

WSUS ilkelerini Active Directory OU'larına atama

Bir sonraki adım, oluşturulan politikaları uygun Active Directory kapsayıcılarına (OU'lar) atamaktır. Örneğimizde, AD etki alanındaki OU yapısı olabildiğince basittir: iki kapsayıcı vardır: Sunucular (etki alanı denetleyicilerine ek olarak kuruluşun tüm sunucularını içerir) ve WKS (İş istasyonları - kullanıcı bilgisayarları).

Tavsiye. WSUS ilkelerini istemcilere bağlamak için yalnızca oldukça basit bir seçeneği düşünüyoruz. Gerçek kuruluşlarda, bir WSUS politikasını bir etki alanındaki tüm bilgisayarlara bağlamak (etki alanının köküne WSUS ayarlarına sahip bir GPO eklenir), farklı türdeki istemcileri farklı kuruluş birimlerine dağıtmak mümkündür (örneğimizde olduğu gibi - biz sunucular ve iş istasyonları için farklı WSUS politikaları oluşturulmuşsa), büyük dağıtılmış etki alanlarına bağlanabilir veya yukarıdaki yöntemlere dayalı olarak veya bunların bir kombinasyonuna göre GPO'lar atanabilir.

Bir kuruluş birimine ilke atamak için Grup İlkesi Yönetim Konsolu'nda istenen kuruluş birimine tıklayın ve menü öğesini seçin Mevcut GPO Olarak Bağla ve uygun politikayı seçin.

Tavsiye. Etki alanı denetleyicilerine (Etki Alanı Denetleyicileri) sahip ayrı bir kuruluş birimini unutmayın; çoğu durumda, WSUS "sunucu" ilkesi bu kapsayıcıya atanmalıdır.

Tam olarak aynı şekilde, WorkstationWSUSPolicy ilkesini Windows iş istasyonlarının bulunduğu AD WKS kapsayıcısına atamanız gerekir.

Geriye kalan tek şey, istemciyi WSUS sunucusuna bağlamak için istemcilerdeki grup ilkelerini güncellemektir:

Grup ilkelerini kullanarak belirlediğimiz tüm Windows güncelleme sistemi ayarlarının şubedeki istemci kayıt defterinde görünmesi gerekir HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Bu reg dosyası, WSUS ayarlarını GPO kullanarak güncelleme ayarlarını yapılandıramayan diğer bilgisayarlara (bir çalışma grubundaki bilgisayarlar, yalıtılmış bölümler, DMZ vb.) aktarmak için kullanılabilir.

Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"=Sunucular"
"ElevateNonAdmins"=dword:00000000

"Otomatik Güncelleme Yok"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

İstemcilerde uygulanan WSUS ayarlarını rsop.msc kullanarak kontrol etmek de kullanışlıdır.

Ve bir süre sonra (güncelleme sayısına ve WSUS sunucusuna giden kanalın bant genişliğine bağlı olarak), yeni güncellemelerin varlığına ilişkin açılır bildirimler için tepsiyi kontrol etmeniz gerekir. İstemciler WSUS konsolunda uygun gruplarda görünmelidir (tabloda istemci adı, IP, işletim sistemi, "yamalı" olanların yüzdesi ve son durum güncellemesinin tarihi görüntülenir). Çünkü Bilgisayarları ve sunucuları ilkelere göre çeşitli WSUS gruplarına atadık; bunlar yalnızca ilgili WSUS gruplarına kurulum için onaylanan güncellemeleri alacaklardır.

Not. Güncellemeler istemcide görünmüyorsa sorunlu istemcideki (C:\Windows\WindowsUpdate.log) Windows Update Hizmeti günlüğünü dikkatlice incelemeniz önerilir. Lütfen Windows 10'un (Windows Server 2016) . İstemci güncellemeleri yerel C:\Windows\SoftwareDistribution\Download klasörüne indirir. WSUS sunucusunda yeni güncellemeleri aramaya başlamak için şu komutu çalıştırmanız gerekir:

wuauclt/detectnow

Ayrıca bazen istemciyi WSUS sunucusuna zorla yeniden kaydetmeniz gerekebilir:

wuauclt /detectnow /resetYetkilendirme

Özellikle zor durumlarda wuauserv hizmetini düzeltmeyi deneyebilirsiniz. Böyle bir durumda Otomatik Güncelleştirme algılama sıklığı ilkesini kullanarak WSUS sunucusundaki güncelleştirmeleri denetleme sıklığını değiştirmeyi deneyin.

Bir sonraki yazımızda özelliklerini anlatacağız. Ayrıca bir WSUS sunucusundaki gruplar arasındaki makaleyi de okumanızı öneririz.