Odobrenje WSUS ažuriranja na sustavu Windows Server 2012 R2 / 2016

Članak o metodama i značajkama odobravanja (odobravanja) ažuriranja na poslužitelju servisa Windows Update Update (WSUS) bio je u mojem nacrtu, a na uporne zahtjeve jednog redovnog pretplatnika odlučio sam ga dovršiti i objaviti..

Jedan od glavnih zadataka WSUS administratora je upravljanje ažuriranjima koja su odobrena za instalaciju na računala i Windows poslužitelj. Nakon instalacije i konfiguracije, WSUS poslužitelj počinje redovito preuzimati ažuriranja za odabrane proizvode s Microsoft Update poslužitelja..

sadržaj:

  • WSUS Ciljne skupine računala
  • Ručno odobravanje i instaliranje ažuriranja putem WSUS-a
  • Konfigurirajte pravila za automatsko odobravanje ažuriranja na WSUS-u
  • Poništavanje instaliranih ažuriranja na WSUS-u
  • Metodologija odobrenja produktivnosti WSUS-a

WSUS Ciljne skupine računala

Nakon što su ažuriranja u bazi podataka WSUS, mogu se instalirati na računala. No, prije nego što računala počnu preuzimati i instalirati nova ažuriranja, WSUS administrator mora ih odobriti (ili odbiti). Važno je imati na umu da u većini slučajeva prije instaliranja ažuriranja na produktivne sustave moraju biti testirani na nekoliko tipičnih radnih stanica i poslužitelja.

Da bi organizirao postupak testiranja i instalirao ažuriranje na računala i poslužitelje domena, WSUS administrator mora stvoriti računalne grupe. Ovisno o poslovnim zadacima, vrstama korisničkih radnih stanica i kategorijama poslužitelja, mogu se stvoriti različite skupine računala. Općenito, u WSUS konzoli ispod računala -> Sva računala Ima smisla stvoriti sljedeće grupe na WSUS-u:

  1. Test_Srv_WSUS - grupa s ispitnim poslužiteljima (nekritična za poslovne poslužitelje i namjenske poslužitelje s testnim okruženjem identičnim produktivnom);
  2. Test_Wks_WSUS - test radne stanice;
  3. Prod_Srv_WSUS - proizvodni Windows poslužitelj;
  4. Prod_Wks_WSUS - sve korisničke radne stanice.

Te se računalne grupe mogu ručno popuniti poslužiteljima (to obično ima smisla za testne skupine) ili možete povezati računala i poslužitelje na WSUS grupe pomoću grupnih pravila Omogući ciljanje na strani klijenta (Dopustite klijentu da se pridruži ciljnoj skupini).

Nakon što su grupe stvorene, možete odobriti ažuriranja za njih. Postoje dva načina za odobrenje ažuriranja za instalaciju na računalima: ručna i automatska ažuriranja.

Ručno odobravanje i instaliranje ažuriranja putem WSUS-a

Otvorite WSUS konzolu za upravljanje (Update Services) i odaberite odjeljak Ažuriranja. Prikazuje sažetak izvještaja o dostupnim ažuriranjima. U ovom se dijelu prema zadanim postavkama nalaze 4 pododjeljka: Sva ažuriranja, Kritična ažuriranja, Ažuriranja sigurnosti i Ažuriranja WSUS-a. Instalaciji možete odobriti određeno ažuriranje tako što ćete ga pronaći u jednom od ovih odjeljaka (pretraživanje možete koristiti po imenu KB na konzoli za pretraživanje ažuriranja ili Microsoftov broj sigurnosnog biltena) ili možete sortirati ažuriranja prema datumu izdavanja ili prema brojevima.

Prikažite popis još nije odobrenih ažuriranja (filter - odobrenje = neprihvaćeno). Pronađite ažuriranje koje vam je potrebno, kliknite ga RMB-om i odaberite stavku izbornika odobriti.

U prozoru koji se pojavi odaberite grupu WSUS računala za koja želite odobriti instalaciju ovog ažuriranja (na primjer, Test_Srv_WSUS). Odaberite stavku Odobrenje za instalaciju. Ažuriranje možete odmah odobriti za sve grupe računala odabirom odabira Sva računala, ili za svaku skupinu pojedinačno. Na primjer, prvo možete odobriti instalaciju ažuriranja na grupi testnih računala, a nakon 4-7 dana, ako nema problema, odobrite instalaciju ažuriranja na sva računala.

Pojavit će se prozor s rezultatima postupka odobrenja ažuriranja. Ako se ažuriranje uspješno odobri, pojavit će se poruka. uspjeh. Zatvorite ovaj prozor.

Kao što razumijete, ovo je ručna shema za odobravanje određenih ažuriranja. To je prilično naporno, jer Svako ažuriranje mora biti pojedinačno odobreno. Ako ne želite ručno odobriti ažuriranja, možete stvoriti pravila za automatsko odobravanje ažuriranja (automatsko odobrenje).

Konfigurirajte pravila za automatsko odobravanje ažuriranja na WSUS-u

Automatsko odobravanje omogućava vam da odmah, bez intervencije administratora, odobravate nova ažuriranja koja su se pojavila na WSUS poslužitelju i dodijelite ih instaliranju na klijentima. Automatsko odobravanje ažuriranja za WSUS na temelju pravila o odobrenju.

Otvorite odjeljak na WSUS Management Console Opcije i odaberite Automatska odobrenja.

U prozoru koji se prikazuje na kartici Ažurirajte pravila samo je jedno ime određeno s imenom Zadana pravila automatskog odobrenja (ona je onemogućena prema zadanim postavkama).

Da biste stvorili novo pravilo, kliknite gumb. Novo pravilo.

Pravilo se sastoji od 3 koraka. Trebate odabrati potrebna svojstva ažuriranja, odabrati koje će grupe WSUS računala trebati da biste odobrili ažuriranje i naziv pravila.

Klikom na svaku plavu vezu otvorit će se odgovarajući prozor s svojstvima..

Na primjer, možete omogućiti automatsko odobrenje sigurnosnih ažuriranja za testne poslužitelje. Da biste to učinili, u odjeljku Odabir ažuriranja klasifikacija odaberite Kritičke nadogradnje, Sigurnosne nadogradnje, Ažuriranja definicije (poništite preostale dase). Zatim u dijaloškom okviru Odobri ažuriranje za dijalog odaberite WSUS grupu pod nazivom Test_Srv_WSUS.

kartica napredan možete odabrati želite li automatski odobriti ažuriranja za WSUS i hoćete li dodatno odobriti nadogradnje koje je izmijenio Microsoft. Obično su sve zore na ovoj kartici uključene..

Kad drugi drugi utorak u mjesecu, vaš WSUS poslužitelj preuzme nova ažuriranja (ili ručnim uvozom ažuriranja), bit će odobrena za automatsku instalaciju na testnoj skupini. Windows klijenti prema zadanim postavkama skeniraju nova ažuriranja na WSUS poslužitelju svaka 22 sata. Kako biste osigurali da kritična računala dobiju nova ažuriranja u najkraćem mogućem roku, možete promijeniti frekvenciju takve sinkronizacije pomoću politike učestalosti automatskog ažuriranja do nekoliko sati (možete i ručno skenirati ažuriranja pomoću modula PSWindowsUpdate). S velikim brojem klijenata na WSUS poslužitelju (više od 2000 računala) performanse poslužitelja ažuriranja sa standardnim postavkama mogu biti nedovoljne, pa ga treba optimizirati (vidi članak).

Poništavanje instaliranih ažuriranja na WSUS-u

Ako se pokazalo da je jedno od odobrenih ažuriranja problematično i uzrokuje pogreške na računalima ili poslužiteljima, WSUS administrator može ga opozvati. Da biste to učinili, pronađite ažuriranje u WSUS konzoli i odaberite pad. Zatim navedite

Sada odaberite WSUS grupu za koju želite otkazati instalaciju i odaberite Odobreno za uklanjanje. Nakon nekog vremena ažuriranje će se izbrisati na klijentu (za više detalja pogledajte članak Metode za uklanjanje Windows ažuriranja..

Metodologija odobrenja produktivnosti WSUS-a

Nakon što instalirate i testirate ažuriranja na testnim skupinama i provjerite da nema uzoraka (obično je 3-6 dana dovoljno za testiranje), možete odobriti nova ažuriranja za instalaciju na produktivnim sustavima. Također, ne možete automatski odobriti ažuriranja s određenim kašnjenjem (na primjer, nakon 7 dana) na proizvodnim sustavima.

Nažalost, WSUS konzola ne može kopirati sva odobrena ažuriranja s jedne grupe WSUS računala u drugu. Možete tražiti nova ažuriranja, jedno za drugim i ručno ih odobriti za instaliranje na produktivniju grupu poslužitelja i računala. Prilično je dugo i naporno.

Za sebe sam napravio malu skriptu PowerShell-a koja prikuplja popis nadopuna odobrenih za testnu grupu i automatski odobrava sva otkrivena ažuriranja produktivnoj grupi (pogledajte članak Kopiranje odobrenih ažuriranja između WSUS grupa). Sada pokreću ovu skriptu 7 dana nakon instaliranja ažuriranja i testiranja nadogradnji na testnim skupinama. Ako se među zakrpama nađu problematične zakrpe, moraju se odbiti u testnoj skupini..