Ishchi guruhlarda yangilanishlarni o'z vaqtida o'rnatishni ta'minlash. Guruh siyosati yordamida WSUS mijozlarini sozlash Windows yangilash registrida joylashgan

Avtomatik yangilash har qanday operatsion tizimning muhim xususiyati hisoblanadi. Uning yordamida kompyuter muhim yangilanishlarni o'z vaqtida qabul qilib, tizimni yanada barqaror va xavfsiz qiladi. Windows 7 da bu xususiyat sukut bo'yicha yoqilgan. Bu shuni anglatadiki, agar Microsoft serverlari bilan aloqa mavjud bo'lsa, yangilash xizmati yangi paketlarni tekshiradi, ularni yuklab oladi va o'rnatadi. Odatda, barcha jarayonlar foydalanuvchi tomonidan deyarli sezilmasdan davom etadi, ammo 10 ga oshirish bo'yicha doimiy takliflar mavjud bo'lganda, bu juda ko'p.

Nazariy jihatdan, yangilanishlarni avtomatik yuklab olishni o'chirib qo'yish bunga loyiq emas. Bu foydali, chunki u xavfsizlik bo'shliqlarini yopadi, operatsion tizimning ishlashini optimallashtiradi, unga yangi xususiyatlar qo'shadi ("o'nlab" ga nisbatan). Avtomatik yangilash xizmatini o'chirib qo'yish sabablari ro'yxati ham mavjud:

  1. Foydalanuvchiga yangilanish paytida Internet tezligining pasayishi va / yoki kompyuterni uzoq vaqt davomida o'chirib bo'lmasligi yoqmaydi.
  2. Kompyuterda qimmat yoki cheklangan simsiz Internet.
  3. Yangilangan OSni ishga tushirgandan so'ng muammolar.
  4. Yangilash paketlarini o'rnatish vaqtidagi nosozliklar.
  5. Windows 7 ning har bir yangilanish bilan o'sib borishini ta'minlash uchun tizim hajmida etarli joy yo'q.

Turlari

Shunga qaramay, Windows 7 yangilanishini o'chirishdan oldin, bu haqiqatan ham zarurmi yoki yo'qligini o'ylab ko'ring. Xizmatni o'chirishdan tashqari, uni quyidagi ish rejimlariga o'tkazish mumkin.

  1. To'liq avtomatik - operatsiyalar foydalanuvchi aralashuvisiz davom etadi, faqat paketlarni o'rnatish tugaganligi haqida xabar beradi.
  2. Jadval bo'yicha yangi tuzatishlarni qidirish va yuklab olish, paketlarni o'rnatish esa foydalanuvchi tomonidan amalga oshiriladi.
  3. Yangilanishlar mavjud bo'lganda foydalanuvchini xabardor qilish uchun avtomatik tekshirish.
  4. O'z-o'zini yangilash o'chirilgan. Hamma narsa qo'lda amalga oshiriladi.

Parametrlar Yangilash markazi komponentida tanlangan.

O'chirish usullari

Har qanday Windows sozlamalari uning registrida saqlanadi. Yangilash markazi sozlamalari uchun mas'ul bo'lgan kalitga bir nechta oddiy va bir nechta murakkab usullarda kirishingiz mumkin. Keling, ularning barchasini ko'rib chiqaylik.

Yangilash markazi sozlamalarini o'zgartirish

Keling, xizmatni o'zimiz uchun sozlashdan boshlaylik. Konfiguratsiya interfeysiga kirish uchun siz quyidagi usullardan birida "Yangilash markazi" ni ochishingiz kerak.

Tizim

  1. "Mening kompyuterim" kontekst menyusi orqali biz uni "Xususiyatlar" deb ataymiz.
  1. Chapdagi vertikal menyuda oynaning pastki qismida joylashgan tegishli havolani bosing.

  1. Biz "Boshqarish paneli" ga o'tamiz.
  2. "Tizim, xavfsizlik" bo'limini oching.
  1. Biz bir xil nomdagi elementni chaqiramiz.

Agar boshqaruv paneli elementlari toifalar o'rniga piktogramma sifatida ko'rsatilsa, elementga havola allaqachon asosiy oynada ko'rsatiladi.

  1. Shunday qilib, kerakli oynani bosgandan so'ng, "Sozlamalar" ni bosing.
  1. Biz "Muhim yangilanishlar" bo'limiga o'tamiz va ochiladigan ro'yxatdan mos variantni tanlaymiz.

Faqatgina xizmatni to'xtatish Windows 7 kompyuterida yangilanishlarni olishni butunlay o'chirishga yordam beradi.

Xizmatni o'chirib qo'ying

"Yetti" dagi xizmatlarni boshqarish quyidagilar orqali amalga oshiriladi:

  • ro'yxatga olish kitobi kalitlarini to'g'ridan-to'g'ri tahrirlash, bu juda noqulay;
  • operatsion tizimni o'rnatish uchun uchinchi tomon dasturlari (biz bu variantni o'tkazib yuboramiz);
  • MMC konsolining qo'shimcha qurilmalari;
  • tizim konfiguratsiyasi;
  • buyruq qatori;
  • Guruh siyosati muharriri (Windows 7 Ultimate, korporativ da mavjud).

Xizmatni ishga tushirishdan olib tashlash

Yangilanishlarni o'chirish eng tez tizim konfiguratori orqali amalga oshiriladi.

  1. Win + R tugmachalarini bosgandan so'ng yoki boshida "Ishga tushirish" tugmasini bosgandan so'ng ochiladigan buyruq tarjimoni oynasida "msconfig" ni bajaramiz.
  1. "Xizmatlar" yorlig'iga o'ting.
  2. Biz "Windows Update" (ehtimol Windows Update) ni topamiz va uning yonidagi katakchani olib tashlaymiz.
  1. Biz yangi sozlamalarni saqlaymiz.

Joriy seans tugagunga qadar xizmat o'ziga yuklangan vazifalarni to'g'ri bajargan holda ishlaydi. Yangi konfiguratsiyani qo'llash uchun Windows 7 qayta ishga tushirilishi kerak.

Keling, MMC konsolining qo'shimcha elementidan foydalanamiz

Xuddi shu nomdagi tizim konsoli qo'shimcha qurilmasi shaxsiy kompyuterdagi barcha xizmatlarni boshqarishga kirishni ta'minlaydi. Bu shunday ishga tushadi.

  1. "Mening kompyuterim" katalogining kontekst menyusini oching.
  2. Biz "Boshqarish" buyrug'ini chaqiramiz.
  1. Chapdagi vertikal menyuda "Xizmatlar va ilovalar" bandini kengaytiring. Keyin, "Xizmatlar" havolasini bosing.

Xuddi shu oynaga qo'ng'iroq qilishning oddiy varianti "Ishga tushirish" dialog oynasi orqali "services.msc" buyrug'ini ishga tushirish bo'ladi.

  1. Biz xizmatlar ro'yxatini oxirigacha aylantiramiz va Windows Update xizmatining "Xususiyatlar" ni ochamiz.
  1. Avtomatik yangilanishlar bilan abadiy xayrlashish uchun "Ishga tushirish turi" ochiladigan ro'yxatida "Avtomatik" o'rniga "O'chirilgan" ni tanlang. Agar siz hozir xizmatni o'chirib qo'yishingiz kerak bo'lsa, "To'xtatish" tugmasini bosing. Yangi sozlamalarni "Ilova" tugmasi bilan saqlang va barcha oynalarni yoping.

Sozlamalarni qo'llash uchun kompyuterni qayta ishga tushirish shart emas.

Guruh siyosati muharriri

Guruhning mahalliy siyosati muharriri deb nomlangan boshqa MMC qo'shimchasi har qanday tizim sozlamalarini sozlashda yordam beradi.

"Yetti" ning uy nashrida mavjud emas!

  1. Asbob "Ishga tushirish" oynasi orqali "gpedit.msc" buyrug'ini ishga tushirish orqali ishga tushiriladi.
  1. "Kompyuter konfiguratsiyasi" bo'limida "Ma'muriy shablonlar" bo'limini kengaytiring.
  1. "Windows komponentlari" ni oching va yangilash markazini qidiring.
  2. Oynaning o'ng qismida biz parametrni topamiz, uning nomi "Avtomatik yangilashni sozlash" bilan boshlanadi.
  3. Biz uning sozlamalarini chaqiramiz.
  1. Belgilangan katakchani "O'chirish" holatiga o'tkazing va oynani yopish va o'zgarishlarni saqlash uchun "OK" tugmasini bosing.

Keling, buyruq qatoridan foydalanamiz

Buyruqlar qatori orqali bir xil operatsiyalar grafik interfeysdan foydalanganda va undan ham ko'proq, lekin matn rejimida amalga oshiriladi. Asosiysi, ularning sintaksisi va parametrlarini bilish.

"cmd" buyrug'i buyruq qatorini chaqirish uchun javobgardir.

  1. Buyruq tarjimonini oching va uni bajaring.


Ushbu maqola men biladigan WSUS agenti uchun tuzatishlarni jamlaydi.

1. Birinchi skript eng oddiy va, aslida, davolash uchun ham ishlatilmaydi, lekin yangilanishlarni tekshirishni majburlash uchun va shu bilan birga, allaqachon o'rnatilgan yangilanishlarning tarqatilishi to'plangan papkani tozalaydi:

wsus_detect_manual.cmd

net stop wuauserv && net stop bitlari && net stop cryptsvc

net start wuauserv && net start bits && net start cryptsvc

wuauclt.exe /detectnow Chiqish

2. Ikkinchi skript bo'sh turgan WSUS xizmatini "jonlantirish" uchun kerak. U eski yangilanishlardan tozalanmoqda, shundan so'ng SoftwareDistribution va Catroot2 papkalari qayta nomlanadi, bu esa xizmat qayta ishga tushirilganda ularning qayta yaratilishiga olib keladi. Keyin tizim dll kutubxonalari qayta ro'yxatdan o'tkaziladi.

fix_wsus_service.cmd

aniq stop bitlari
net stop wuauserver
net stop cryptsvc

del /f /s /q %windir%\SoftwareDistribution\download\*.*

ren %systemroot%\System32\Catroot2 Catroot2.old
ren %systemroot%\SoftwareDistribution SoftwareDistribution.old

REM del /f /s /q %windir%\SoftwareDistribution\*.*

del /f /s /q %windir%\windowsupdate.log

%windir%\system32\regsvr32.exe /U /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /U /s %windir%\system32\wuweb.dll

%windir%\system32\regsvr32.exe /s %windir%\system32\vbscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\mshtml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msjava.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\actxprxy.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shdocvw.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wintrust.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\initpki.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\dssenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\rsaenh.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\gpkcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\sccbase.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\slbcsp.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\cryptdlg.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Urlmon.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Oleaut32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Browseui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\shell32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\Mssip32.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\atl.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\jscript.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\msxml3.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\softpub.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuapi.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuaueng1.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wucltui.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wups2.dll
%windir%\system32\regsvr32.exe /s %windir%\system32\wuweb.dll

aniq start bitlari
net start wuauserver
net start cryptsvc

wuauclt /detectnow

Chiqish

3. Ushbu skript kompyuter yaqinda klonlangan hollarda yoki kompyuter WSUS bilan ro'yxatdan o'tmagan hollarda qo'llaniladi. U avvalgisidan faqat oxirgi qatorda farq qiladi, unda avtorizatsiya identifikator qayta tiklangan holda nolga qaytariladi. Men faqat shu qatorni keltiraman:

wsus_resetaut_detect_manual.cmd

wuauclt.exe /resetautorization /detectnow

AU_Clean_SID.cmd

@echo yoqilgan
net stop wuauserver
REG "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f ni o'chirish
REG "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f ni o'chirish
REG "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f ni o'chirish
net start wuauserver
wuauclt /resetautorization /detectnow

5. Ba'zan, hamma narsa ishlashi uchun siz WSUS agentini qayta o'rnatishingiz kerak bo'ladi. Avval Windows Update agentining so'nggi versiyasini yuklab olishingiz va keyin tegishli nashrni o'rnatishingiz kerak

Windowsning x32 versiyalari uchun

windowsupdateagent30-x86.exe /wuforce

Windowsning x64 versiyalari uchun

windowsupdateagent30-x64.exe /wuforce

Agar siz Itaniumning baxtli egasi bo'lsangiz - o'zingiz taxmin qiling :-)

Agentni o'rnatgandan so'ng, qayta ishga tushirishni unutmang.

6. 0x80070005 xatolarini "davolash" uchun, ya'ni. kirish xatolari uchun quyidagi skript foydali bo'lishi mumkin. Bu ro'yxatga olish kitobi va tizim papkalariga administrator va tizimga kirishni tiklaydi.

Ushbu skriptni ishga tushirish uchun sizga Microsoft subinacl.exe yordam dasturi kerak bo'ladi. U Windows Server 2003 uchun resurs to'plamiga kiritilgan, ammo u erda joylashgan versiyadan foydalanmasligingiz kerak. yomon xatolar mavjud. Subinacl.exe 5.2.3790.1180 versiyasini yuklab oling.

Restore_registry_and_system_permission.cmd

@echo off
REM 0x80070005 Windows Update xatolarida qo'llaniladi
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=administrators=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=administrators=f
subinacl /subdirectories %SystemDrive% /grant=administrators=f
subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=system=f
subinacl /subkeyreg HKEY_CURRENT_USER /grant=system=f
subinacl /subkeyreg HKEY_CLASSES_ROOT /grant=system=f
subinacl /subkataloglar %SystemDrive% /grant=tizim=f

Ushbu skriptlarning barchasi muammo yuzaga kelganda deyarli avtomatik ravishda bajarilishi mumkin. Agar natijada muammo hali ham hal qilinmagan bo'lsa, unda siz u bilan yanada yaqinroq shug'ullanishingiz kerak. Va bu erda Windows papkasining ildizida joylashgan bir xil windowsupdate.log yordam beradi. Agar kompyuter muammoli bo'lsa, unda bu fayl katta. Oddiylik uchun skriptlarni ishga tushirishdan oldin uni olib tashlash tavsiya etiladi. Deyarli barcha skriptlar uni o'chirish buyrug'ini beradi, ammo hamma narsa juda oddiy emas. Wuauserv xizmati to'xtatilganiga qaramay, u odatda IE va shunga o'xshashlar tomonidan ochiq saqlanadi. Shuning uchun, qiyin yo'l bor. ishga tushirish

notepad.exe %windir%\windowsupdate.log

Men barcha matnni tanlayman, uni o'chirib tashlayman va eski fayl o'rniga saqlayman (saqlash muloqot oynasida fayl turini *.* ga o'zgartirishni unutmang, aks holda sukut bo'yicha *.txt bo'ladi)

Shuni ta'kidlash kerakki, mijozni wsus bilan yangilashga majbur qilishning iloji bo'lmagan holatlar mavjud. Menda bir nechta Windows Server 2003 R2 pretsedentlari bor, ularni yengib o'ta olmadim. Shuning uchun men ularni Internet orqali yangilayman :-)

Windows 7, Windows 2008 kabi yangi operatsion tizimlar ba'zan qiyinchilik bilan "boshlanadi". Bunday holatlar uchun empirik tarzda quyidagi turdagi algoritm topildi:
1. Biz birinchi marta Microsoft veb-saytidan agent yangilanishi bilan yangilaymiz
2. Keyin biz agentni allaqachon mahalliy sifatida yangilaymiz
3. Va keyin hamma narsa ishlay boshlaydi

Umid qilamanki, mehnatlarimiz samarasi kimgadir yordam beradi.

Oddiylik uchun men ushbu skriptlarning barchasini tayyor shaklda joylashtiraman:

Bugun hammaga salom, men uchun yana bir eslatma, ya'ni Windows Update serverlari ro'yxati. Nima uchun bu foydali bo'lishi mumkin, masalan, agar siz WSUS rolini o'rnatishda yangilanish topilmagan xatoni qabul qilsangiz yoki aksincha, siz biron sababga ko'ra ularni taqiqlashni xohlaysiz, agar sizda WSUS bo'lmasa, trafikni tejash uchun, chunki hamma Windows emas. yangilanishlar yaxshi va ayniqsa uning zamonaviy versiyalarida xato haqida eslatishning ma'nosi yo'q deb o'ylayman, garchi bu ro'yxatni juda uzoq vaqt davom ettirish mumkin. Sababi muhim emas, asosiysi nima ekanligini va u bilan qanday ishlashni bilishdir. Quyida men sizga universal, yagona kompyuter uchun mos va korxona ichida markazlashtirilgan boshqaruv uchun Microsoft yangilanish server manzillarini taqiqlash usullarini ko'rsataman.

Nima uchun Windows yangilanishlari o'rnatilmaydi?

Agar sizda Microsoft yangilash serveri manzili mavjud bo'lmasa, bu xatoning skrinshoti. Ko'rib turganingizdek, xato juda informatsion emas. Men uni WSUS rolini o'z zimmasiga olgan serverda olaman, u nima ekanligini eslay olmaydi, keyin bu korxonalar uchun trafikni tejash uchun mahalliy yangilash markazi va bu erda Microsoft serverlari mavjud emasligi sababli Windows yangilanishlari o'rnatilmagan.

Windows yangilanishlari o'rnatilmagan bo'lsa nima qilish kerak

  • Avvalo, sizda Internet mavjudligini tekshirishingiz kerak, chunki bu ko'pchilik uchun majburiydir, agar sizda Active Directory domeningiz bo'lmasa va ularni WSUS-dan yuklab olmasangiz.
  • Bundan tashqari, agar Internet mavjud bo'lsa, biz xato kodini ko'rib chiqamiz, chunki u muammoni hal qilish haqida ma'lumot izlashimiz kerak (so'nggi muammolardan men 0x80070422 xatosi yoki c1900101 xatosi qanday echilganiga misol keltira olaman) , lekin ro'yxat ham juda uzoq vaqt davomida saqlanishi mumkin.
  • Biz proksi-serverimizda microsoft yangilash serverining bunday manzillariga taqiq bor-yo'qligini tekshiramiz.

Microsoft yangilash serverlari ro'yxati

  1. http://windowsupdate.microsoft.com
  2. http://*.windowsupdate.microsoft.com
  3. https://*.windowsupdate.microsoft.com
  4. http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
  5. http://*.update.microsoft.com
  6. https://*.update.microsoft.com
  7. http://*.windowsupdate.com
  8. https://activation.sls.microsoft.com/
  9. http://download.windowsupdate.com
  10. http://download.microsoft.com
  11. http://*.download.windowsupdate.com
  12. http://wustat.windows.com
  13. http://ntservicepack.microsoft.com
  14. https://go.microsoft.com/
  15. http://go.microsoft.com/
  16. https://login.live.com
  17. https://validation.sls.microsoft.com/
  18. https://activation-v2.sls.microsoft.com/
  19. https://validation-v2.sls.microsoft.com/
  20. https://displaycatalog.mp.microsoft.com/
  21. https://licensing.mp.microsoft.com/
  22. https://purchase.mp.microsoft.com/
  23. https://displaycatalog.md.mp.microsoft.com/
  24. https://licensing.md.mp.microsoft.com/
  25. https://purchase.md.mp.microsoft.com/

Internetning rivojlanishi bilan operatsion tizimning doimiy yangilanishi odatiy holga aylandi. Endi ishlab chiquvchilar tizimni qo'llab-quvvatlashning butun davri davomida tuzatishi va takomillashtirishi mumkin. Ammo Windows 10-ning tez-tez yangilanishi har doim ham qulay emas. Shuning uchun ularni o'chirib qo'yish yaxshi bo'lar edi.

Avtomatik yangilanishlarni o'chirish sabablari

Sabablari juda boshqacha bo'lishi mumkin va faqat siz yangilanishlarni o'chirish uchun qancha kerakligini hal qilishingiz mumkin. Shu bilan birga, shuni yodda tutish kerakki, tizim zaifliklari uchun muhim tuzatishlar ma'lum funktsiyalarni yaxshilash bilan birga yetkaziladi. Va shunga qaramay, o'z-o'zini yangilash o'chirilishi kerak bo'lgan holatlar juda tez-tez sodir bo'ladi:

  • pullik Internet - ba'zida yangilanish juda katta va agar siz trafik uchun to'lov qilsangiz, yuklab olish qimmat bo'lishi mumkin. Bunday holda, yuklab olishni kechiktirish va keyinroq boshqa sharoitlarda yuklab olish yaxshiroqdir;
  • vaqt etishmasligi - yuklab olingandan so'ng, yangilanish kompyuterni o'chirish vaqtida o'rnatila boshlaydi. Agar siz ishni tezda bajarishingiz kerak bo'lsa, masalan, noutbukda bu noqulay bo'lishi mumkin. Ammo bundan ham yomoni shundaki, Windows 10 ertami-kechmi kompyuteringizni qayta ishga tushirishni talab qiladi va agar buni qilmasangiz, bir muncha vaqt o'tgach, qayta ishga tushirish majburiy bo'ladi. Bularning barchasi ishni chalg'itadi va xalaqit beradi;
  • xavfsizlik - garchi yangilanishlarning o'zi ko'pincha muhim tizim o'zgarishlarini o'z ichiga olsa ham, hech kim hamma narsani oldindan ko'ra olmaydi. Natijada, ba'zi yangilanishlar tizimingizni virus hujumiga ochishi mumkin, boshqalari esa o'rnatishdan so'ng darhol uni buzadi. Bunday vaziyatda oqilona yondashuv, avvalroq sharhlarni o'rganib chiqib, keyingi versiya chiqarilgandan keyin biroz vaqt o'tgach yangilashdir.

Windows 10 avtomatik yangilanishlarini o'chirib qo'ying

Windows 10 yangilanishlarini o'chirishning ko'plab usullari mavjud. Ulardan ba'zilari foydalanuvchi uchun juda oddiy, boshqalari qiyinroq, boshqalari esa uchinchi tomon dasturlarini o'rnatishni talab qiladi.

Yangilash markazi orqali o'chirib qo'ying

Uni o'chirish uchun yangilash markazidan foydalanish eng yaxshi variant emas, garchi u Microsoft ishlab chiquvchilari tomonidan rasmiy yechim sifatida taklif qilingan bo'lsa ham. Haqiqatan ham ularning sozlamalari orqali yangilanishlarni avtomatik yuklab olishni o'chirib qo'yishingiz mumkin. Muammo shundaki, bu yechim qandaydir tarzda vaqtinchalik bo'ladi. Katta Windows 10 yangilanishining chiqarilishi ushbu sozlamani o'zgartiradi va tizim yangilanishlarini qaytaradi. Ammo biz baribir o'chirish jarayonini o'rganamiz:

Ushbu o'zgarishlardan so'ng, kichik yangilanishlar endi o'rnatilmaydi. Ammo bu yechim yangilanishlarni yuklab olishdan abadiy xalos bo'lishga yordam bermaydi.

Oldingi maqolalardan birida biz protsedurani batafsil bayon qildik. Serverni sozlaganingizdan so'ng, Windows mijozlarini (serverlar va ish stantsiyalari) yangilanishlarni olish uchun WSUS serveridan foydalanish uchun sozlashingiz kerak, shunda mijozlar Internet orqali Microsoft Update serverlaridan emas, balki ichki yangilash serveridan yangilanishlarni oladilar. Ushbu maqolada biz Active Directory domen guruhlari siyosatidan foydalangan holda WSUS serveridan foydalanish uchun mijozlarni sozlash jarayonini ko'rib chiqamiz.

AD Group Policies ma'murga kompyuterlarni turli WSUS guruhlariga avtomatik ravishda belgilash imkonini beradi, bu esa kompyuterlarni WSUS konsolidagi guruhlar o'rtasida qo'lda ko'chirish va bu guruhlarni yangilab turish zaruratini yo'q qiladi. Mijozlarni turli WSUS maqsadli guruhlariga tayinlash mijozning reestridagi yorliqga asoslanadi (yorliqlar Guruh siyosati yoki to'g'ridan-to'g'ri registrni tahrirlash orqali o'rnatiladi). Mijozlarni WSUS guruhlariga xaritalashning bunday turi deyiladi mijoztomoninishonga olish(Mijoz tomoniga mo'ljallangan).

Bizning tarmog'imiz ikki xil yangilash siyosatidan foydalanadi deb taxmin qilinadi - serverlar uchun yangilanishlarni o'rnatish uchun alohida siyosat ( Serverlar) va ish stantsiyalari uchun ( Ish stantsiyalari). Ushbu ikki guruh WSUS konsolida "Barcha kompyuterlar" bo'limi ostida yaratilishi kerak.

Maslahat. Mijozlarning WSUS yangilash serveridan foydalanish siyosati ko'p jihatdan Active Directorydagi OUning tashkiliy tuzilishiga va tashkilotdagi yangilanishlarni o'rnatish qoidalariga bog'liq. Ushbu maqolada biz Windows yangilanishlarini o'rnatish uchun AD siyosatidan foydalanishning asosiy tamoyillarini tushunishga imkon beruvchi faqat ma'lum bir variantni ko'rib chiqamiz.

Avvalo, siz WSUS konsolida kompyuterni guruhlash qoidasini belgilashingiz kerak (maqsadli). Odatiy bo'lib, WSUS konsolida kompyuterlar administrator tomonidan qo'lda guruhlarga taqsimlanadi (server tomonini nishonga olish). Bu bizga mos kelmaydi, shuning uchun biz kompyuterlar mijozlar tomonidan maqsadli (mijoz registridagi ma'lum bir kalit bo'yicha) guruhlarga taqsimlanganligini ko'rsatamiz. Buning uchun WSUS konsolida bo'limga o'ting Variantlar va variantni oching kompyuterlar. Qiymatni ga o'zgartiring Kompyuterlarda Guruh siyosati yoki ro'yxatga olish kitobi sozlamalaridan foydalaning(Kompyuterlarda guruh siyosati yoki ro'yxatga olish kitobi sozlamalaridan foydalaning).

Endi siz WSUS mijozlarini sozlash uchun GPO yaratishingiz mumkin. Domenga asoslangan Guruh siyosatini boshqarish konsolini oching va ikkita yangi guruh siyosatini yarating: ServerWSUSPolicy va WorkstationWSUSPolicy.

Windows serverlari uchun WSUS guruh siyosati

Server siyosatining tavsifi bilan boshlaylik ServerWSUSPpolicy.

Windows Update xizmatining ishlashi uchun mas'ul bo'lgan guruh siyosati sozlamalari GPO bo'limida joylashgan: kompyuterKonfiguratsiya -> Siyosat-> ma'muriyandozalar-> WindowsKomponent-> Windowsyangilash(Kompyuter konfiguratsiyasi -> Ma'muriy shablonlar -> Windows komponentlari -> Windows yangilash).

Tashkilotimizda biz ushbu siyosatdan Windows serverlarida WSUS yangilanishlarini o'rnatish uchun foydalanmoqchimiz. Ushbu siyosatga mos keladigan barcha kompyuterlar WSUS konsolidagi Serverlar guruhiga biriktirilishi kutilmoqda. Bundan tashqari, biz serverlar yangilanishlar qabul qilinganda avtomatik ravishda o'rnatilishini oldini olishni xohlaymiz. WSUS mijozi mavjud yangilanishlarni diskka yuklab olishi, tizim tepsisida yangi yangilanishlar haqida ogohlantirishni ko'rsatishi va o'rnatishni boshlash uchun administrator o'rnatishni boshlashini (qo'lda yoki masofadan orqali) kutishi kerak. Bu shuni anglatadiki, samarali serverlar yangilanishlarni avtomatik ravishda o'rnatmaydi va administrator tasdiqlamasdan qayta ishga tushmaydi (odatda bu ishlar tizim ma'muri tomonidan oylik rejalashtirilgan texnik xizmat ko'rsatish doirasida amalga oshiriladi). Bunday sxemani amalga oshirish uchun biz quyidagi siyosatlarni o'rnatamiz:

  • SozlangAvtomatikyangilanishlar(Avtomatik yangilash sozlamalari): yoqish. 3 - Avtomatikyuklab olingvaxabar beringuchuno'rnatish(Yangilanishlarni avtomatik ravishda yuklab oling va ular o'rnatishga tayyor bo'lganda sizni xabardor qiling)- mijoz avtomatik ravishda yangi yangilanishlarni yuklab oladi va ular paydo bo'lganda ularni xabardor qiladi;
  • BelgilangIntranetMicrosoftyangilashxizmatManzil(Intranet Microsoft Update Service manzilini ko'rsating): yoqish. Yangilanishlarni aniqlash uchun intranet yangilash xizmatini sozlang: http://srv-wsus.site:8530, Intranet statistikasi serverini o'rnating: http://srv-wsus.site:8530- bu erda siz WSUS serveringiz va statistika serveringiz manzilini ko'rsatishingiz kerak (odatda ular bir xil);
  • Rejalashtirilgan avtomatik yangilanishlarni o'rnatish uchun tizimga kirgan foydalanuvchilar bilan avtomatik qayta ishga tushirish yo'q(Tizimda ishlayotgan foydalanuvchilar mavjud bo'lsa, yangilanishlarni avtomatik o'rnatishda avtomatik qayta yoqmang): yoqish– agar foydalanuvchi sessiyasi mavjud bo'lsa, avtomatik qayta yuklashni o'chiring;
  • yoqishmijoz-yonnishonga olish ( Mijozning maqsadli guruhga qo'shilishiga ruxsat bering): yoqish. Ushbu kompyuter uchun maqsadli guruh nomi: Serverlar– WSUS konsolida mijozlarni Serverlar guruhiga tayinlang.

Eslatma. Yangilash siyosatini o'rnatishda sizga GPO bo'limidagi variantlarning har birida mavjud bo'lgan barcha sozlamalarni diqqat bilan ko'rib chiqishingizni maslahat beramiz. Windowsyangilash va infratuzilmangiz va tashkilotingiz uchun mos sozlamalarni o'rnating.

Ish stantsiyalari uchun WSUS yangilash o'rnatish siyosati

Mijoz ish stantsiyalari uchun yangilanishlar, server siyosatidan farqli o'laroq, yangilanishlarni olgandan so'ng darhol tunda avtomatik ravishda o'rnatiladi deb taxmin qilamiz. Yangilanishlarni o'rnatgandan so'ng, kompyuterlar avtomatik ravishda qayta ishga tushishi kerak (foydalanuvchini 5 daqiqa oldin ogohlantirish).

Ushbu GPO (WorkstationWSUSPolicy) da biz quyidagilarni belgilaymiz:

  • ruxsat berishAvtomatikyangilanishlardarholo'rnatish(Avtomatik yangilanishlarni darhol o'rnatishga ruxsat bering): O‘chirilgan- yangilanishlar qabul qilinganda darhol o'rnatishni taqiqlash;
  • ruxsat berishyo'q-administratorlaruchunqabul qilishyangilashbildirishnomalar(Administrator bo'lmagan foydalanuvchilarga yangilanish bildirishnomalarini olishga ruxsat bering): Yoqilgan- administrator bo'lmaganlarga yangi yangilanishlar haqida ogohlantirishni ko'rsatish va ularni qo'lda o'rnatishga ruxsat berish;
  • Avtomatik yangilanishlarni sozlash:Yoqilgan. Avtomatik yangilashni sozlang: 4 - Avtomatik yuklab olish va o'rnatishni rejalashtirish. Rejalashtirilgan o'rnatish kuni: 0 - Harkun. Rejalashtirilgan o'rnatish vaqti: 05:00 - yangi yangilanishlar olinganda, mijoz ularni mahalliy keshga yuklab oladi va ularni avtomatik o'rnatishni ertalab soat 5:00 da rejalashtiradi;
  • Ushbu kompyuter uchun maqsadli guruh nomi: Ish stantsiyalari– WSUS konsolida mijozni Ish stantsiyalari guruhiga tayinlang;
  • Rejalashtirilgan avtomatik yangilanishlarni oʻrnatish uchun tizimga kirgan foydalanuvchilar bilan avtomatik qayta ishga tushirilmaydi: O‘chirilgan- yangilanishlar o'rnatilgandan keyin 5 daqiqadan so'ng tizim avtomatik ravishda qayta ishga tushadi;
  • Intranet Microsoft yangilash xizmati manzilini belgilang: Yoqish. Yangilanishlarni aniqlash uchun intranet yangilash xizmatini sozlang: http://srv-wsus.site:8530, Intranet statistikasi serverini o'rnating: http://srv-wsus.site:8530– korporativ WSUS serverining manzili.

Windows 10 1607 va undan yuqori versiyalarida, siz ularga ichki WSUS-dan yangilanishlarni olishni aytgan bo'lsangiz ham, ular Internetdagi Windows Update serverlari bilan bog'lanishga urinishi mumkin. Bu "xususiyat" deb ataladi IkkilikSkanerlash. Internetdan yangilanishlarni olishni o'chirish uchun siz qo'shimcha ravishda siyosatni yoqishingiz kerak Doemasruxsat berishyangilashkechiktirishsiyosatlaruchunsababskanerlaydiqarshiWindowsyangilash ().

Maslahat. Tashkilotdagi kompyuterlarning "patching darajasini" yaxshilash uchun ikkala siyosat ham yangilash xizmatini (wuauserv) mijozlarda ishga tushirishga majburlash uchun sozlanishi mumkin. Buning uchun bo'limda Kompyuter konfiguratsiyasi -> Qoidalar -> Windows sozlamalari -> Xavfsizlik sozlamalari -> Tizim xizmatlari Windows Update xizmatini toping va uni avtomatik ishga tushirishga sozlang ( Avtomatik).

Active Directory OUlariga WSUS siyosatlarini tayinlash

Keyingi qadam yaratilgan siyosatlarni tegishli Active Directory konteynerlariga (OU) tayinlashdir. Bizning misolimizda AD domenidagi OU tuzilishi imkon qadar sodda: ikkita konteyner mavjud - Serverlar (u domen kontrollerlaridan tashqari barcha tashkilot serverlarini o'z ichiga oladi) va WKS (Ish stantsiyalari - foydalanuvchi kompyuterlari).

Maslahat. Biz mijozlarga WSUS siyosatini bog'lashning juda oddiy variantini ko'rib chiqmoqdamiz. Haqiqiy tashkilotlarda bitta WSUS siyosatini domendagi barcha kompyuterlarga bog'lash (WSUS sozlamalari bilan GPO domen ildiziga biriktirilgan), har xil turdagi mijozlarni turli OUlarga ajratish mumkin (bizning misolimizda bo'lgani kabi, biz serverlar va ish stantsiyalari uchun turli xil WSUS siyosatlarini yaratdi), katta taqsimlangan domenlarda siz GPO larni bog'lashingiz yoki belgilashingiz yoki yuqoridagi usullarni birlashtirishingiz mumkin.

OUga siyosat tayinlash uchun Guruh siyosatini boshqarish konsolida kerakli OUni bosing, menyu bandini tanlang. Mavjud GPO sifatida havola va tegishli siyosatni tanlang.

Maslahat. Domen kontrollerlari (Domain Controllers) bilan alohida OU haqida unutmang, aksariyat hollarda ushbu konteynerga "server" WSUS siyosati biriktirilishi kerak.

Xuddi shu tarzda, Windows ish stantsiyalarini o'z ichiga olgan AD WKS konteyneriga WorkstationWSUSPolicy siyosatini belgilashingiz kerak.

Mijozni WSUS serveriga ulash uchun mijozlardagi guruh siyosatini yangilash qoladi:

Guruh siyosatlari bilan biz o'rnatgan Windows yangilash tizimining barcha sozlamalari filialdagi mijozning reestrida paydo bo'lishi kerak. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate.

Ushbu reg fayli WSUS sozlamalarini GPO (ishchi guruhidagi kompyuterlar, ajratilgan segmentlar, DMZ va boshqalar) yordamida yangilanishlar uchun sozlab boʻlmaydigan boshqa kompyuterlarga oʻtkazish uchun ishlatilishi mumkin.

Windows ro'yxatga olish kitobi muharriri 5.00 versiyasi

"WUServer"="http://srv-wsus.site:8530"
"WUStatusServer"="http://srv-wsus.site:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Serverlar"
"ElevateNonAdmins"=dword:00000000

"NoAutoUpdate"=dword:00000000 -
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

Shuningdek, rsop.msc yordamida mijozlarda qo'llaniladigan WSUS sozlamalarini boshqarish qulay.

Va bir muncha vaqt o'tgach (yangilanishlar soniga va WSUS serverining o'tkazish qobiliyatiga qarab), siz yangi yangilanishlar mavjudligi to'g'risida qalqib chiquvchi bildirishnomalar mavjudligini tekshirishingiz kerak. WSUS konsolida mijozlar tegishli guruhlarda paydo bo'lishi kerak (jadval ko'rinishida mijoz nomi, IP, operatsion tizim, ularning "yamalgan" foizi va oxirgi holat yangilanish sanasi ko'rsatiladi). Chunki biz kompyuterlar va serverlarni turli WSUS guruhlariga siyosatlar boʻyicha bogʻladik, ular faqat tegishli WSUS guruhlariga oʻrnatish uchun tasdiqlangan yangilanishlarni oladi.

Eslatma. Agar mijozda yangilanishlar paydo bo'lmasa, muammoli mijozda Windows Update xizmati jurnalini (C:\Windows\WindowsUpdate.log) diqqat bilan o'rganish tavsiya etiladi. Windows 10 (Windows Server 2016) dan foydalanishini unutmang. Mijoz yangilanishlarni mahalliy C:\Windows\SoftwareDistribution\Download papkasiga yuklaydi. WSUS serverida yangi yangilanishlarni qidirishni boshlash uchun siz quyidagi buyruqni bajarishingiz kerak:

wuauclt /detectnow

Bundan tashqari, ba'zida mijozni WSUS serverida qayta ro'yxatdan o'tkazishga majbur qilishingiz kerak bo'ladi:

wuauclt /detectnow /resetAuthorization

Ayniqsa qiyin holatlarda siz wuauserv xizmatini tuzatishga harakat qilishingiz mumkin. Agar shunday bo'lsa, avtomatik yangilanishni aniqlash chastotasi siyosatidan foydalanib, WSUS serveridagi yangilanishlarni tekshirish chastotasini o'zgartirib ko'ring.

Keyingi maqolada biz ning xususiyatlarini tasvirlab beramiz. Shuningdek, maqolani WSUS serveridagi guruhlar o'rtasida o'qib chiqishingizni tavsiya qilamiz.