Computer >> คอมพิวเตอร์ >  >> ระบบ >> Windows Server

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

ในบทความก่อนหน้านี้ เราได้อธิบายการติดตั้งเซิร์ฟเวอร์ WSUS บน Windows Server 2012 R2 / 2016 โดยละเอียด หลังจากที่คุณได้กำหนดค่าเซิร์ฟเวอร์การอัพเดทแล้ว คุณต้องกำหนดค่าไคลเอนต์ Windows (เซิร์ฟเวอร์และเวิร์กสเตชัน) เพื่อใช้เซิร์ฟเวอร์ WSUS เพื่อรับการอัปเดต ดังนั้น ไคลเอนต์ Windows ทั้งหมดบนเครือข่ายของคุณควรได้รับการอัปเดตจากเซิร์ฟเวอร์การอัปเดตภายใน ไม่ใช่จากเซิร์ฟเวอร์ Microsoft Update ผ่านทางอินเทอร์เน็ต ในบทความนี้ เราจะมาดูวิธีกำหนดค่าไคลเอนต์เพื่อใช้เซิร์ฟเวอร์ WSUS โดยใช้นโยบายกลุ่มโดเมน Active Directory (GPO)

นโยบายกลุ่มโฆษณาอนุญาตให้ผู้ดูแลระบบกำหนดคอมพิวเตอร์ให้กับกลุ่ม WSUS ต่างๆ โดยอัตโนมัติ ดังนั้นผู้ดูแลระบบ WSUS จะไม่ต้องย้ายคอมพิวเตอร์ระหว่างกลุ่มในคอนโซล WSUS ด้วยตนเอง และทำให้กลุ่มเหล่านี้ทันสมัยอยู่เสมอ การกำหนดไคลเอ็นต์ให้กับกลุ่ม WSUS เป้าหมายที่แตกต่างกันจะขึ้นอยู่กับป้ายกำกับในรีจิสทรีบนไคลเอ็นต์ (ป้ายกำกับถูกกำหนดโดย GPO หรือการปรับเปลี่ยนรีจิสทรีโดยตรง) ประเภทของไคลเอ็นต์ที่กำหนดให้กับกลุ่ม WSUS เรียกว่า การกำหนดเป้าหมายฝั่งไคลเอ็นต์ .

คาดว่าเครือข่ายของเราจะใช้นโยบายการอัปเดตที่แตกต่างกันสองนโยบาย:นโยบายการอัปเดตแยกต่างหากสำหรับเซิร์ฟเวอร์ และอีกอันสำหรับ เวิร์กสเตชัน . ต้องสร้างสองกลุ่มนี้ในคอนโซล WSUS ในส่วนคอมพิวเตอร์ทั้งหมด

เคล็ดลับ . นโยบายของการใช้เซิร์ฟเวอร์ WSUS โดยไคลเอนต์ขึ้นอยู่กับโครงสร้างองค์กรของหน่วยองค์กร Active Directory (OU) เป็นหลัก และการปรับปรุงกฎการติดตั้งในบริษัท ในบทความนี้ เราจะพยายามทำความเข้าใจหลักการพื้นฐานของการใช้นโยบายกลุ่มเพื่อติดตั้งการอัปเดต Windows

ก่อนอื่น คุณต้องระบุกฎของการจัดกลุ่มคอมพิวเตอร์ในคอนโซล WSUS (การกำหนดเป้าหมาย) ตามค่าเริ่มต้น คอมพิวเตอร์ในคอนโซล WSUS จะถูกแจกจ่ายในกลุ่มด้วยตนเองโดยผู้ดูแลระบบเซิร์ฟเวอร์ (การกำหนดเป้าหมายฝั่งเซิร์ฟเวอร์) ไม่เหมาะกับเรา ดังนั้นเราจะระบุว่าคอมพิวเตอร์จะถูกแจกจ่ายเป็นกลุ่มโดยใช้การกำหนดเป้าหมายฝั่งไคลเอ็นต์ (โดยใช้นโยบายกลุ่มหรือพารามิเตอร์รีจิสทรี) ในการดำเนินการนี้ ในคอนโซล WSUS ให้คลิก ตัวเลือก และเปิดคอมพิวเตอร์ . เปลี่ยนค่าเป็น “ใช้การตั้งค่านโยบายกลุ่มหรือการตั้งค่ารีจิสทรีในคอมพิวเตอร์” .

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

ตอนนี้คุณสามารถสร้าง GPO เพื่อกำหนดค่าไคลเอนต์ WSUS เปิด Group Policy Management (GPMC.msc) และสร้างนโยบายกลุ่มใหม่สองนโยบาย:ServerWSUSPolicy และ WorkstationWSUSPolicy .

WSUS Group Policy สำหรับเซิร์ฟเวอร์ Windows

เริ่มต้นด้วยคำอธิบายของนโยบายเซิร์ฟเวอร์ – ServerWSUSPolicy .

การตั้งค่านโยบายกลุ่มที่รับผิดชอบการทำงานของบริการ Windows Update จะอยู่ในส่วน GPO ต่อไปนี้:การกำหนดค่าคอมพิวเตอร์ -> นโยบาย –> เทมเพลตการดูแลระบบ -> ส่วนประกอบของ Windows -> Windows Update

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

ในสภาพแวดล้อมของเรา เราขอแนะนำให้ใช้นโยบายนี้เพื่อติดตั้งการอัปเดตจาก WSUS บนเซิร์ฟเวอร์ Windows คอมพิวเตอร์ทั้งหมดที่อยู่ภายใต้นโยบายนี้ถูกกำหนดให้กับกลุ่มเซิร์ฟเวอร์ในคอนโซล WSUS นอกจากนี้ เราต้องการปิดใช้งานการติดตั้งการอัปเดตอัตโนมัติบนเซิร์ฟเวอร์เมื่อได้รับ ในระหว่างการอัพเดต ไคลเอนต์ควรดาวน์โหลดการอัพเดตที่มีอยู่ไปยังไดรฟ์ในเครื่อง แสดงการแจ้งเตือนที่เกี่ยวข้องในซิสเต็มเทรย์ และรอให้ผู้ดูแลระบบเริ่มการติดตั้งด้วยตนเอง (ในเครื่องหรือจากระยะไกลโดยใช้โมดูล PSWindowsUpdate) ซึ่งหมายความว่าเซิร์ฟเวอร์ที่มีประสิทธิผลจะไม่ติดตั้งการอัปเดตโดยอัตโนมัติและเริ่มต้นใหม่โดยไม่มีการยืนยันจากผู้ดูแลระบบ (โดยปกติผู้ดูแลระบบจะดำเนินการงานเหล่านี้โดยเป็นส่วนหนึ่งของการบำรุงรักษาตามกำหนดเวลารายเดือน) เพื่อนำรูปแบบดังกล่าวไปใช้ ให้กำหนดนโยบายต่อไปนี้:

  • กำหนดค่าการอัปเดตอัตโนมัติ: เปิดใช้งาน 3 – ดาวน์โหลดอัตโนมัติและแจ้งการติดตั้ง – ลูกค้าดาวน์โหลดอัปเดตใหม่โดยอัตโนมัติและแจ้งให้คุณทราบ
  • ระบุตำแหน่งบริการอัปเดตอินทราเน็ตของ Microsoft :เปิดใช้งาน . ตั้งค่าบริการอัปเดตอินทราเน็ตเพื่อตรวจหาการอัปเดต: https://hq-wsus.woshub.com:8530 , ตั้งค่าเซิร์ฟเวอร์สถิติอินทราเน็ต: https://hq-wsus.woshub.com:8530 – ตั้งค่าที่อยู่ของเซิร์ฟเวอร์ WSUS ในพื้นที่และเซิร์ฟเวอร์สถิติ (โดยปกติจะเหมือนกัน);
  • ไม่มีการรีสตาร์ทอัตโนมัติเมื่อผู้ใช้ที่เข้าสู่ระบบสำหรับการติดตั้งการอัปเดตอัตโนมัติตามกำหนดเวลา: เปิดใช้งาน – ปิดใช้งานการรีสตาร์ทอัตโนมัติหากเซสชันผู้ใช้เปิดอยู่
  • เปิดใช้งานการกำหนดเป้าหมายฝั่งไคลเอ็นต์: เปิดใช้งาน . ชื่อกลุ่มเป้าหมายสำหรับคอมพิวเตอร์เครื่องนี้: เซิร์ฟเวอร์ – ในคอนโซล WSUS กำหนดไคลเอนต์ให้กับกลุ่มเซิร์ฟเวอร์

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

หมายเหตุ . เมื่อคุณกำหนดค่านโยบายการอัปเดต เราขอแนะนำให้คุณทำความคุ้นเคยกับการตั้งค่าทั้งหมดที่มีให้ในแต่ละตัวเลือกของส่วน Windows Update GPO และตั้งค่าพารามิเตอร์ที่เหมาะสมกับโครงสร้างพื้นฐานและองค์กรของคุณ

นโยบายกลุ่ม WSUS สำหรับเวิร์กสเตชัน Windows

เราคิดว่าตรงกันข้ามกับนโยบายเซิร์ฟเวอร์ การอัปเดตไปยังเวิร์กสเตชันของไคลเอ็นต์จะได้รับการติดตั้งโดยอัตโนมัติในเวลากลางคืนทันทีหลังจากได้รับการอัปเดต คอมพิวเตอร์ควรรีสตาร์ทโดยอัตโนมัติหลังจากติดตั้งการอัปเดต (แจ้งให้ผู้ใช้ทราบภายใน 5 นาที)

ใน GPO นี้ (WorkstationWSUSPolicy) เราระบุ:

  • อนุญาตให้ติดตั้งการอัปเดตอัตโนมัติทันที: ปิดการใช้งาน – การติดตั้งการอัปเดตทันทีที่ได้รับจะถูกปิดใช้งาน
  • อนุญาตให้ผู้ที่ไม่ใช่ผู้ดูแลระบบได้รับการแจ้งเตือนการอัปเดต: เปิดใช้งาน – แสดงการแจ้งเตือนการอัปเดตใหม่แก่ผู้ที่ไม่ใช่ผู้ดูแลระบบ และอนุญาตให้ติดตั้งได้ด้วยตนเอง
  • กำหนดค่าการอัปเดตอัตโนมัติ: เปิดใช้งาน . กำหนดค่าการอัปเดตอัตโนมัติ: 4 – ดาวน์โหลดอัตโนมัติและกำหนดเวลาการติดตั้ง วันติดตั้งตามกำหนดการ: 0 – ทุกวัน . กำหนดเวลาติดตั้ง :05:00 – ลูกค้าดาวน์โหลดการอัปเดตใหม่และวางแผนที่จะติดตั้งโดยอัตโนมัติเวลา 5:00 น.
  • ชื่อกลุ่มเป้าหมายสำหรับคอมพิวเตอร์เครื่องนี้: เวิร์คสเตชั่น – ในคอนโซล WSUS กำหนดไคลเอนต์ให้กับกลุ่มเวิร์กสเตชัน
  • ไม่มีการรีสตาร์ทอัตโนมัติเมื่อผู้ใช้ที่เข้าสู่ระบบสำหรับการติดตั้งการอัปเดตอัตโนมัติตามกำหนดเวลา: ปิดการใช้งาน;
  • ระบุตำแหน่งบริการอัปเดตอินทราเน็ตของ Microsoft:เปิดใช้งาน ตั้งค่าบริการอัปเดตอินทราเน็ตเพื่อตรวจหาการอัปเดต: https://hq-wsus.woshub.com:8530 , ตั้งค่าเซิร์ฟเวอร์สถิติอินทราเน็ต: https://hq-wsus.woshub.com:8530 – เป็นที่อยู่ของเซิร์ฟเวอร์ WSUS ขององค์กร

ใน Windows 10 1607 ขึ้นไป แม้ว่าคุณจะระบุให้รับการอัปเดตจาก WSUS ภายใน แต่ Windows 10 อาจยังคงพยายามเข้าถึงเซิร์ฟเวอร์ Windows Update บนอินเทอร์เน็ต “คุณสมบัติ” นี้เรียกว่า Dual Scan . ในการปิดใช้งานการรับการอัปเดตจากอินเทอร์เน็ต คุณต้องเปิดใช้งานนโยบายเพิ่มเติม ไม่อนุญาตให้นโยบายการเลื่อนการอัปเดตทำให้เกิดการสแกนกับ Windows Update .

เคล็ดลับ . เพื่อให้คอมพิวเตอร์ในบริษัทติดตั้งโปรแกรมแก้ไขที่พร้อมใช้งานทั้งหมด นโยบายทั้งสองสามารถกำหนดค่าได้เพื่อให้บริการอัปเดต (wuauserv) ถูกบังคับให้เริ่มทำงานบนไคลเอนต์ ในการดำเนินการ ภายใต้ การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> บริการระบบ ค้นหา Windows Update และตั้งค่าให้เริ่มทำงานโดยอัตโนมัติ (อัตโนมัติ ). การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

การกำหนดนโยบายกลุ่ม WSUS ให้กับ AD OUs

ขั้นตอนต่อไปคือการกำหนดนโยบายที่สร้างขึ้นให้กับคอนเทนเนอร์ Active Directory (OU) ที่สอดคล้องกัน ในตัวอย่างโครงสร้าง OU ของเรานั้นง่ายมาก:มีสองคอนเทนเนอร์ – เซิร์ฟเวอร์ (ประกอบด้วยเซิร์ฟเวอร์ทั้งหมดของบริษัท ยกเว้นตัวควบคุมโดเมน) และ WKS (เวิร์กสเตชัน – คอมพิวเตอร์ของผู้ใช้)

เคล็ดลับ . เราพิจารณาเพียงวิธีง่ายๆ ในการผูกนโยบาย WSUS กับไคลเอ็นต์ ในโลกแห่งความเป็นจริง เป็นไปได้ที่จะเชื่อมโยงนโยบาย WSUS เดียวกับคอมพิวเตอร์โดเมนทั้งหมด (GPO ถูกกำหนดให้กับรูทโดเมน) แจกจ่ายไคลเอ็นต์ประเภทต่างๆ ใน ​​OU ต่างๆ (ดังในตัวอย่างของเรา เราได้สร้างนโยบาย WSUS ที่แตกต่างกันสำหรับเซิร์ฟเวอร์และ เวิร์กสเตชัน) ในโดเมนแบบกระจายขนาดใหญ่ การเชื่อมโยงเซิร์ฟเวอร์ WSUS ต่างๆ กับไซต์ AD หรือกำหนด GPO ตามตัวกรอง WMI นั้นคุ้มค่า หรือแม้แต่รวมวิธีการเหล่านี้

ในการกำหนดนโยบายให้กับ OU ให้คลิก OU ที่ถูกต้องในคอนโซลการจัดการนโยบายกลุ่ม เลือก เชื่อมโยง GPO ที่มีอยู่ แล้วตรวจสอบนโยบายที่เหมาะสม

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

เคล็ดลับ . อย่าลืม OU ที่แยกต่างหาก – Domain Controllers . ในกรณีส่วนใหญ่ WSUS เซิร์ฟเวอร์ นโยบายควรเชื่อมโยงกับคอนเทนเนอร์นี้
คุณต้องกำหนด WorkstationWSUSPolicy ให้กับคอนเทนเนอร์ AD ด้วยชื่อ WKS (ซึ่งเป็นที่ตั้งของเวิร์กสเตชัน Windows) ในลักษณะเดียวกัน

ยังคงต้องปรับปรุงนโยบายกลุ่มบนไคลเอนต์เพื่อผูกไคลเอนต์กับเซิร์ฟเวอร์ WSUS:

1
gpupdate /force

gpupdate /force

การตั้งค่าการอัปเดต Windows ทั้งหมดที่เราตั้งค่าไว้ผ่านนโยบายกลุ่มควรปรากฏในคีย์รีจิสทรีของไคลเอ็นต์ HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate .

ไฟล์ reg ต่อไปนี้สามารถใช้เพื่อโอนการตั้งค่า WSUS ไปยังคอมพิวเตอร์เครื่องอื่นที่คุณไม่สามารถกำหนดการตั้งค่าการอัปเดตโดยใช้ GPO (คอมพิวเตอร์ในเวิร์กกรุ๊ป เซ็กเมนต์ที่แยกออกมา DMZ เป็นต้น)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="https://hq-wsus.woshub.com:8530"
"WUStatusServer"="https://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

นอกจากนี้ยังสะดวกในการควบคุมการตั้งค่า WSUS ที่ใช้กับไคลเอนต์โดยใช้สแน็ปอิน rsop.msc

ในบางครั้ง (ขึ้นอยู่กับจำนวนการอัปเดตและแบนด์วิดท์ของเซิร์ฟเวอร์ WSUS) ให้ตรวจสอบว่ามีป๊อปอัปแจ้งเตือนการอัปเดตใหม่ในถาดหรือไม่ ไคลเอ็นต์ (ชื่อไคลเอ็นต์, IP, ระบบปฏิบัติการ, เปอร์เซ็นต์โปรแกรมแก้ไข และวันที่อัปเดตสถานะล่าสุด) ควรปรากฏในกลุ่มที่เกี่ยวข้องในคอนโซล WSUS เนื่องจากเรากำหนดคอมพิวเตอร์และเซิร์ฟเวอร์ให้กับกลุ่ม WSUS ต่างๆ โดยใช้ GPO พวกเขาจะได้รับเฉพาะการอัปเดตที่ได้รับอนุมัติสำหรับการติดตั้งในกลุ่ม WSUS ที่เกี่ยวข้อง

การตั้งค่านโยบายกลุ่ม WSUS เพื่อปรับใช้การอัปเดต

หมายเหตุ . หากการอัปเดตไม่ปรากฏบนไคลเอนต์ ขอแนะนำให้ตรวจสอบบันทึกการบริการการอัปเดตของ Windows อย่างละเอียด (C:\Windows\WindowsUpdate.log) โปรดทราบว่า Windows 10 (Windows Server 2016) ใช้รูปแบบอื่นของไฟล์ WindowsUpdate.log

ไคลเอนต์ดาวน์โหลดการอัปเดตไปยังโฟลเดอร์ในเครื่อง C:\Windows\SoftwareDistribution\Download

หากต้องการเริ่มค้นหาการอัปเดตใหม่บนเซิร์ฟเวอร์ WSUS ทันที คุณต้องเรียกใช้คำสั่ง:

1
wuauclt /detectnow

wuauclt /detectnow

นอกจากนี้ บางครั้งคุณต้องบังคับให้ไคลเอนต์ลงทะเบียนใหม่บนเซิร์ฟเวอร์ WSUS:

1
wuauclt /detectnow /resetAuthorization

wuauclt /detectnow /resetAuthorization

ในกรณีที่ยากเป็นพิเศษ คุณสามารถลองแก้ไขบริการ wuauserv ได้ดังนี้ หากเกิดข้อผิดพลาด 0x80244010 เมื่อได้รับการอัปเดตบนไคลเอ็นต์ ให้ลองเปลี่ยนความถี่ในการตรวจสอบการอัปเดตบนเซิร์ฟเวอร์ WSUS โดยใช้ความถี่การตรวจจับการอัปเดตอัตโนมัติ นโยบายถึง 3-4 ชั่วโมง

ในบทความถัดไป เราจะอธิบายลักษณะเฉพาะของการอนุมัติการอัปเดตบนเซิร์ฟเวอร์ WSUS และวิธีการโอนการอัปเดตที่ได้รับอนุมัติระหว่างกลุ่มต่างๆ ไปยังเซิร์ฟเวอร์ WSUS โดยใช้ PowerShell