У претходном чланку детаљно смо описали поступак инсталирања ВСУС сервера на основу Виндовс Сервер 2012 Р2 / 2016. Након што сте конфигурисали сервер, морате да конфигуришете Виндовс клијенте (сервере и радне станице) тако да користе ВСУС сервер за примање ажурирања тако да клијенти добијате исправке са интерног сервера за ажурирање, а не са сервера Мицрософт Упдате путем Интернета. У овом чланку ћемо погледати како да конфигуришете клијенте да користе ВСУС помоћу смерница групе домена Ацтиве Дирецтори..
Садржај:
- ВСУС Гроуп Полици за Виндовс сервере
- ВСУС Ажурира политику инсталације за радне станице
- Доделите ВСУС правила за Ацтиве Дирецтори ОУ
Правила АД група омогућавају администратору да аутоматски додељује рачунаре различитим ВСУС групама, елиминишући потребу да ручно премештају рачунаре између група на ВСУС конзоли и да ове групе ажурирају. Додјељивање клијената различитим ВСУС циљним групама заснива се на ознаци у регистру на клијенту (наљепнице се постављају према групној политици или директном уређивањем регистра). Ова врста мапирања клијента у ВСУС се зове клијент страна циљање (Циљање на страни клијента).
Претпоставља се да ће наша мрежа користити две различите политике ажурирања - засебну политику за инсталирање ажурирања за сервере (Сервери) и за радне станице (Радне станице) Ове две групе морају бити креиране у ВСУС конзоли у одељку Сви рачунари..
Савет. Политика за коришћење ВСУС клијената послужитеља ажурирања у великој мјери овиси о организацијској структури ОУ-а у Ацтиве Дирецтори-у и правилима за инсталирање ажурирања у организацији. У овом чланку ћемо само погледати приватну опцију која вам помаже да разумете основне принципе коришћења АД смерница за инсталирање Виндовс ажурирања..Пре свега, морате навести правило за груписање рачунара у ВСУС конзоли (циљање). Подразумевано је у ВСУС конзоли рачунар ручно доделио рачунарима (циљање на страни сервера). То нам не одговара, зато показујемо да су рачунари распоређени у групама на основу циљања на страни клијента (одређеним кључем у регистру клијента). Да бисте то урадили, у конзоли ВСУС идите на Опције и отворите опцију Рачунари. Промените вредност у Користите поставке групе или поставке регистра на рачунарима (Користите поставке групе или поставке регистра на рачунарима).
Сада можете да креирате ГПО да конфигуришете ВСУС клијенте. Отворите доменску конзолу за управљање групним политикама и направите две нове смернице групе: СерверВСУСПолици и ВоркстатионВСУСПолици.
ВСУС Гроуп Полици за Виндовс сервере
Кренимо од описа политике сервера. СерверВСУСПолици.
Подешавања групних смерница одговорних за рад сервиса Виндовс Упдате налазе се у одељку ГПО: Компјутер Конфигурација -> Политике-> Административна шаблоне-> Виндовс Компонента-> Виндовс Ажурирај (Конфигурација рачунара -> Административни предлошци -> Компоненте Виндовс -> Ажурирање система Виндовс).
У нашој организацији намеравамо да користимо ову смерницу за инсталирање ВСУС ажурирања на Виндовс сервере. Претпоставља се да ће сви рачунари који потпадају под ове смернице бити додељени групи Сервери у ВСУС конзоли. Поред тога, желимо да забранимо аутоматску инсталацију ажурирања на сервере када буду примљене. Клијент ВСУС требао би само преузети расположиве исправке на диск, приказати обавештење о доступности нових исправки у системској траци и чекати да администратор покрене инсталацију (ручно или даљински помоћу ПСВиндовсУпдате модула) да започне инсталацију. То значи да продуктивни сервери неће аутоматски инсталирати ажурирања и поново покренути систем без потврде администратора (обично ове задатке извршава администратор система као део месечних планираних радова на одржавању). Да бисмо спровели такву шему, поставићемо следеће политике:
- Конфигуришите Аутоматски Ажурирања (Конфигуришите аутоматска ажурирања): Омогући. 3 - Аутоматски преузимање и обавести за инсталирати (Аутоматско преузимање ажурирања и обавештавање о њиховој спремности за инсталацију) - клијент аутоматски преузима нове исправке и обавештава их о свом изгледу;
- Наведите Интранет Мицрософт упдате услуга локацију (Наведите локацију Мицрософт Упдате Сервице на интранету): Омогући. Подесите услугу ажурирања интранета за откривање ажурирања (Наведите услугу ажурирања интранета за тражење ажурирања): хттп://срв-всус.винитпро.ру:8530, Подесите сервер статистике интранета (Наведите сервер статистике на интранету): хттп://срв-всус.винитпро.ру:8530 - овде морате да одредите адресу свог ВСУС сервера и сервера статистика (обично се подударају);
- Нема аутоматског поновног покретања са пријављеним корисницима за инсталације заказаних аутоматски ажурирања (Не рестартујте аутоматски када се ажурирања аутоматски инсталирају ако корисник ради на систему): Омогући - забранити аутоматско поновно покретање у присуству корисничке сесије;
- Омогући клијент-страна циљање (Дозволите клијенту да се придружи циљној групи): Омогући. Назив циљне групе за овај рачунар: Сервери - у ВСУС конзоли доделите клијенте групи Серверс.
ВСУС Ажурира политику инсталације за радне станице
Претпостављамо да ће се ажурирања клијентских радних станица, за разлику од смерница сервера, аутоматски инсталирати ноћу одмах након примања исправки. Рачунари након инсталирања исправки требало би се аутоматски поново покренути (упозорити корисника у 5 минута).
У овом ГПО-у (ВоркстатионВСУСПолици) специфицирамо:
- Дозволи Аутоматски Ажурирања одмах инсталација (Дозволите одмах инсталирање аутоматских ажурирања): Онемогућено - забрана тренутног инсталирања ажурирања по пријему;
- Дозволи не-администратори до примати упдате обавештења (Дозволите не-администраторима да примају обавештења о ажурирању): Омогућено - Покажите не-администраторима упозорење о новим исправкама и допустите њихову ручну инсталацију;
- Конфигуришите аутоматска ажурирања: Омогућено. Конфигуришите аутоматско ажурирање: 4 - Аутоматско преузимање и заказивање инсталације. Заказани дан инсталације: 0 - Свако дан. Планирано време инсталације: 05:00 - након примања нових ажурирања, клијент преузима у локалну кеш меморију и планира да их аутоматски инсталира у 5:00 ујутро;
- Назив циљне групе за овај рачунар: Радне станице - у ВСУС конзоли доделите клијента групи Воркстатионс;
- Нема аутоматског поновног покретања са пријављеним корисницима за инсталације заказаних аутоматских ажурирања: Онемогућено - систем ће се аутоматски поново покренути 5 минута након инсталирања исправки;
- Наведите локацију сервиса за ажурирање за Мицрософт Интранет: Омогући. Подесите услугу ажурирања интранета за откривање ажурирања: хттп://срв-всус.винитпро.ру:8530, Подесите интранет сервер статистике: хттп://срв-всус.винитпро.ру:8530 -адреса ВСУС корпорације.
У оперативном систему Виндовс 10 1607 и новијим, иако сте им рекли да примају ажурирања од интерног ВСУС-а, они ће ипак моћи да покушају да приступе серверима Виндовс Упдате на Интернету. Ова "функција" се зове Дуал Скенирај. Да бисте онемогућили примање ажурирања са Интернета, морате додатно да омогућите смернице До не допустити упдате одлагање политике до узрок скенирање против Виндовс Ажурирај (линк).
Савет. Да бисте побољшали „закрпљени ниво“ рачунара у организацији, у обе смернице можете конфигурисати принудно покретање услуге ажурирања (вуаусерв) на клијентима. За то, у одељку Конфигурација рачунара -> Политике-> Поставке оперативног система Виндовс -> Подешавања сигурности -> Системске услуге пронађите услугу Виндовс Упдате и подесите је да се аутоматски покреће (Аутоматски).
Доделите ВСУС правила за Ацтиве Дирецтори ОУ
Следећи корак је додељивање креираних смерница одговарајућим контејнерима Ацтиве Дирецтори (ОУ). У нашем примеру, структура ОУ-а у АД домену је што је једноставнија: постоје два контејнера - сервери (садржи све сервере организације, поред контролера домена) и ВКС (рачунари који користе кориснике радне станице).
Савет. Разматрамо само једну прилично једноставну опцију за повезивање ВСУС политика према клијентима. У стварним организацијама могуће је везати једну ВСУС политику на све рачунаре у домену (ГПО са ВСУС поставкама је обешен у корену домена), дистрибуирати различите врсте клијената у различите ОУ (као у нашем примеру, креирали смо различите ВСУС политике за сервере и радне станице), у великој мери дистрибуирани домени могу везати различите ВСУС сервере за АД локације или доделити ГПО на основу ВМИ филтера или комбиновати горе наведене методе.Да бисте политици додијелили ОУ, кликните на жељену ОУ у конзоли за управљање групним политикама, одаберите ставку менија Линк као постојећи ГПО и изаберите одговарајућу политику.
На потпуно исти начин, радну станицу ВСУСПолици требате доделити АД ВКС контејнеру у коме се налазе Виндовс радне станице.
Остаје ажурирање групних смерница за клијенте како би се клијент везао за ВСУС сервер:
гпупдате / форце
Сва подешавања система Виндовс ажурирања која смо поставили према групним правилима треба да се појаве у регистру клијента у огранку ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Политике \ Мицрософт \ Виндовс \ ВиндовсУпдате.
Ова рег датотека се може користити за пренос ВСУС поставки на друге рачунаре на којима није могуће конфигурирати поставке ажурирања помоћу ГПО-а (рачунари у радној групи, изоловани сегменти, ДМЗ итд.)
Виндовс Регистри Едитор Верзија 5.00
[ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Полициес \ Мицрософт \ Виндовс \ ВиндовсУпдате]
"ВУСервер" = "хттп://срв-всус.винитпро.ру:8530"
"ВУСтатусСервер" = "хттп://срв-всус.винитпро.ру:8530"
"УпдатеСервицеУрлАлтернате" = ""
"ТаргетГроупЕнаблед" = дворд: 00000001
"ТаргетГроуп" = "Сервери"
"ЕлеватеНонАдминс" = дворд: 00000000
[ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ СОФТВАРЕ \ Политике \ Мицрософт \ Виндовс \ ВиндовсУпдате \ АУ]
"НоАутоУпдате" = дворд: 00000000 -
"АУОптионс" = дворд: 00000003
"СцхедуледИнсталлДаи" = дворд: 00000000
"СцхедуледИнсталлТиме" = дворд: 00000003
"СцхедуледИнсталлЕвериВеек" = дворд: 00000001
"УсеВУСервер" = дворд: 00000001
"НоАутоРебоотВитхЛоггедОнУсерс" = дворд: 00000001
Такође је корисно надгледати примењене поставке ВСУС-а на клијентима помоћу рсоп.мсц.
Након неког времена (у зависности од броја ажурирања и опсега канала на ВСУС серверу), требате да проверите у лежишту искачућа упозорења за нова ажурирања. Клијенти би се требали појавити на ВСУС конзоли у одговарајућим групама (табела приказује име клијента, ИП, ОС, проценат њиховог "закрпљеног" и датум последњег ажурирања статуса). Јер политичари смо додијелили рачунаре и сервере различитим ВСУС групама, они ће примати само ажурирања одобрена за инсталирање на одговарајуће ВСУС групе.
вуауцлт / детецтнов
Такође, понекад морате присилити клијента да се поново региструје на ВСУС серверу:
вуауцлт / детецтнов / ресетАуторизација
У посебно тешким случајевима, можете покушати да поправите овај Вуаусерв сервис. Ако се погрешка 0к80244010 догоди током примања ажурирања на клијентима, покушајте да промените учесталост провере исправки на ВСУС серверу помоћу политике фреквенције аутоматског ажурирања детекције.
У следећем чланку описујемо карактеристике одобравања ажурирања на ВСУС серверу. Такође препоручујемо да прочитате чланак о преносу одобрених ажурирања између група на ВСУС серверу..
