Чланак о методама и значајкама одобравања (одобравања) ажурирања на серверу Виндовс Сервер Упдате Сервицес (ВСУС) сервера био је прилично дуго времена у мом нацрту, а на инсистиране захтеве једног од редовних претплатника, одлучио сам да га довршим и објавим..
Један од главних задатака ВСУС администратора је да управља исправкама које су одобрене за инсталацију на рачунаре и Виндовс сервер. Након инсталације и конфигурације, ВСУС сервер почиње редовно да преузима ажурирања за изабране производе са Мицрософт Упдате сервера..
Садржај:
- Рачунарске циљне групе ВСУС-а
- Ручно одобравање и инсталирање ажурирања путем ВСУС-а
- Конфигуришите правила за аутоматско одобравање ажурирања за ВСУС
- Поништавање инсталираних исправки на ВСУС-у
- Методологија одобрења продуктивности ВСУС-а
Рачунарске циљне групе ВСУС-а
Након што су исправке у ВСУС бази података, оне се могу инсталирати на рачунаре. Пре него што рачунари почну да преузимају и инсталирају нове исправке, ВСУС администратор мора да их одобри (или одбаци). Важно је имати на уму да у већини случајева пре инсталирања ажурирања на продуктивне системе морају бити тестирани на неколико типичних радних станица и сервера.
Да би организовао процес тестирања и инсталирао исправку на рачунаре и сервере домена, ВСУС администратор мора да креира рачунарске групе. У зависности од задатака предузећа, врста корисничких радних станица и категорија сервера, могу се креирати различите групе рачунара. Уопште, у ВСУС конзоли испод Рачунари -> Сви рачунари Има смисла креирати следеће групе на ВСУС-у:
- Тест_Срв_ВСУС - група са тест серверима (некритична за пословне сервере и наменске сервере са тест окружењем идентичним продуктивном);
- Тест_Вкс_ВСУС - тест радне станице;
- Прод_Срв_ВСУС - продуктивни Виндовс сервер;
- Прод_Вкс_ВСУС - све корисничке радне станице.
Ове рачунарске групе могу се ручно попунити серверима (ово обично има смисла за тестне групе) или можете повезати рачунаре и сервере за ВСУС групе користећи групне смернице Омогући циљање на страни клијента (Дозволи клијенту да се придружи циљној групи).
Након што су групе створене, можете им одобрити ажурирања. Постоје два начина за одобравање ажурирања за инсталацију на рачунарима: ручна и аутоматска ажурирања.
Ручно одобравање и инсталирање ажурирања путем ВСУС-а
Отворите ВСУС управљачку конзолу (Упдате Сервицес) и изаберите одељак Ажурирања. Приказује сажети извештај о доступним исправкама. У овом одељку су подразумевано 4 пододељка: Све исправке, Критична ажурирања, Безбедносне исправке и ВСУС Ажурирања. Инсталацији можете одобрити одређено ажурирање тако што ћете га пронаћи у једном од ових одељка (претрагу можете користити по имену КБ на конзоли за претрагу ажурирања или Мицрософт Сецурити Буллетин број) или можете сортирати ажурирања према датуму издања или бројевима.
Прикажите листу још увек не одобрених ажурирања (филтер - Одобрење = Неодобрено). Пронађите ажурирање које вам је потребно, кликните га РМБ-ом и одаберите ставку менија Одобрити.
У прозору који се појави изаберите групу ВСУС рачунара за које желите да одобри инсталацију ове исправке (на пример, Тест_Срв_ВСУС). Изаберите ставку Одобрити за инсталацију. Ажурирање можете одмах одобрити за све групе рачунара одабиром Сви рачунари, или за сваку групу појединачно. На пример, прво можете да одобрите инсталацију ажурирања на групи тест рачунара, а након 4-7 дана, ако нема проблема, одобрите инсталацију исправке на свим рачунарима.
Појавиће се прозор са резултатима поступка одобрења ажурирања. Ако се ажурирање успешно одобри, појавиће се порука. Успех. Затворите овај прозор.
Као што разумете, ово је ручна шема за одобравање одређених исправки. То је прилично напорно, јер Свако ажурирање мора бити појединачно одобрено. Ако не желите да ручно одобрите исправке, можете да креирате правила за аутоматско одобравање ажурирања (аутоматско одобравање).
Конфигуришите правила за аутоматско одобравање ажурирања за ВСУС
Аутоматско одобравање омогућава вам да одмах, без интервенције администратора, одобравате нове исправке које су се појавиле на ВСУС серверу и доделите их да буду инсталиране на клијентима. Аутоматско одобравање ажурирања ВСУС-а на основу правила одобрења.
У ВСУС Манагемент Цонсоле отворите одељак Опције и изаберите Аутоматска одобрења.
У прозору који се појављује на картици Ажурирајте правила само једно правило је наведено уз име Подразумевано правило аутоматског одобрења (подразумевано је онемогућено).
Да бисте креирали ново правило, кликните на дугме. Ново правило.
Правило се састоји од 3 корака. Морате одабрати потребне особине ажурирања, изабрати које ће групе ВСУС рачунара требати да бисте одобрили ажурирање и назив правила.
Кликом на сваку плаву везу отвориће се одговарајући прозор са својствима..
На пример, можете да омогућите аутоматско одобравање безбедносних исправки за тест сервере. Да бисте то учинили, у одељку „Изабери ажурирање класификација“ изаберите Критичне надоградње, Ажурирања безбедности, Ажурне дефиниције (уклоните потврду од преосталих рогова). Затим у дијалогу Одобри исправку за ажурирање изаберите групу ВСУС под називом Тест_Срв_ВСУС.
Картица Напредно можете да изаберете да ли ће аутоматски одобрити исправке за сам ВСУС и да ли да додатно одобравате исправке које је Мицрософт променио. Обично су све зоре на овој картици укључене..
Сада, када другог другог уторка у месецу, ваш ВСУС сервер преузме нове исправке (или ручним увозом ажурирања), биће одобрене за аутоматску инсталацију на тест групи. Виндовс клијенти подразумевано скенирају нове исправке на ВСУС серверу сваких 22 сата. Да бисте критичним рачунарима омогућили што хитније примање нових ажурирања, можете променити фреквенцију такве синхронизације коришћењем политике учесталости аутоматског ажурирања до неколико сати (можете и ручно скенирати исправке помоћу модула ПСВиндовсУпдате). С великим бројем клијената на ВСУС серверу (више од 2000 рачунара), перформансе сервера за ажурирање са стандардним подешавањима могу бити недовољне, па га треба оптимизовати (види чланак).
Поништавање инсталираних исправки на ВСУС-у
Ако се неко од одобрених ажурирања покаже као проблематично и проузрокује грешке на рачунарима или серверима, ВСУС администратор може га опозвати. Да бисте то учинили, пронађите исправку у ВСУС конзоли и изаберите Одбиј. Затим наведите
Сада одаберите ВСУС групу за коју желите да откажете инсталацију и изаберите Одобрено за уклањање. Након неког времена ажурирање ће се избрисати на клијенту (за више детаља погледајте чланак Методе за уклањање Виндовс ажурирања..
Методологија одобрења продуктивности ВСУС-а
Након што сте инсталирали и тестирали ажурирања на тестним групама и уверили се да нема узорака (обично је 3-6 дана довољно за тестирање), можете одобрити нове исправке за инсталацију на продуктивним системима. Такође, не можете аутоматски одобрити ажурирања са одређеним кашњењем (на пример, после 7 дана) на продуктивним системима.
Нажалост, ВСУС конзола не може да копира сва одобрена ажурирања са једне групе ВСУС рачунара у другу. Можете да тражите нове исправке, једно за другим и ручно их одобрите да би их инсталирали на продуктивнију групу сервера и рачунара. Прилично дуго и напорно.
За себе сам направио малу скрипту ПоверСхелл-а која прикупља листу ажурирања одобрених за тестну групу и аутоматски одобрава сва откривена ажурирања продуктивној групи (погледајте чланак Копирање одобрених ажурирања између ВСУС група). Сада покрећем ову скрипту 7 дана након инсталирања исправки и тестирања исправки на тестним групама. Ако се закрпе нађу међу закрпама, морају бити одбачене у тестној групи..
