งานหลักของผู้ดูแลระบบ WSUS (Windows Server Update Services) คือการจัดการการอนุมัติการอัปเดตที่จะติดตั้งบนคอมพิวเตอร์และเซิร์ฟเวอร์ Windows หลังจากการติดตั้งและการกำหนดค่า เซิร์ฟเวอร์ WSUS จะเริ่มดาวน์โหลดการอัปเดตใหม่สำหรับผลิตภัณฑ์ที่เลือกจากเซิร์ฟเวอร์ Microsoft Update เป็นประจำ
การจัดการกลุ่ม WSUS เป้าหมาย
หลังจากดาวน์โหลดการอัปเดตไปยังเซิร์ฟเวอร์ WSUS แล้ว คุณสามารถปรับใช้การอัปเดตเหล่านี้ในคอมพิวเตอร์ของคุณได้ ก่อนที่คอมพิวเตอร์จะดาวน์โหลดและติดตั้งการอัปเดตใหม่ จะต้องได้รับการอนุมัติ (หรือปฏิเสธ) โดยผู้ดูแลระบบ WSUS สิ่งสำคัญที่ควรทราบคือ ในกรณีส่วนใหญ่ ขอแนะนำให้ทดสอบการอัปเดตของ Microsoft ใหม่ทั้งหมดบนเวิร์กสเตชันและเซิร์ฟเวอร์บางเครื่องก่อนที่จะติดตั้งลงในคอมพิวเตอร์ที่มีประสิทธิภาพ
ในการจัดการการทดสอบและการติดตั้งโปรแกรมปรับปรุงบนคอมพิวเตอร์โดเมนและเซิร์ฟเวอร์ ผู้ดูแลระบบ WSUS ต้องสร้างกลุ่มคอมพิวเตอร์ คุณสามารถสร้างกลุ่มคอมพิวเตอร์ต่างๆ ได้ ขึ้นอยู่กับงานทางธุรกิจ โดยทั่วไป มีเหตุผลที่จะสร้างกลุ่มเป้าหมาย WSUS ต่อไปนี้ในคอมพิวเตอร์ -> คอมพิวเตอร์ทุกเครื่อง ส่วนของคอนโซล WSUS:
- Test_Srv_WSUS — กลุ่มของเซิร์ฟเวอร์ทดสอบ (เซิร์ฟเวอร์ที่ไม่มีความสำคัญสำหรับธุรกิจหรือเซิร์ฟเวอร์เฉพาะที่มีสภาพแวดล้อมการทดสอบเหมือนกับเซิร์ฟเวอร์ที่มีประสิทธิผล)
- Test_Wks_WSUS — เวิร์กสเตชันทดสอบ
- Prod_Srv_WSUS — เซิร์ฟเวอร์ Windows ที่มีประสิทธิผล
- Prod_Wks_WSUS — เวิร์กสเตชันของผู้ใช้ทั้งหมด
กลุ่มคอมพิวเตอร์เหล่านี้อาจเต็มไปด้วยวัตถุคอมพิวเตอร์ด้วยตนเอง (โดยปกติแล้ว เหมาะสำหรับกลุ่มทดสอบ) หรือคุณสามารถเชื่อมโยงคอมพิวเตอร์และเซิร์ฟเวอร์กับกลุ่ม WSUS โดยใช้การตั้งค่านโยบายกลุ่ม – เปิดใช้งานการกำหนดเป้าหมายฝั่งไคลเอ็นต์
หลังจากสร้างกลุ่ม WSUS แล้ว คุณสามารถอนุมัติการอัปเดตสำหรับพวกเขาได้ มีสองวิธีในการอนุมัติการอัปเดตที่จะติดตั้งบนคอมพิวเตอร์:แบบแมนนวลหรือแบบอัตโนมัติ
การอนุมัติด้วยตนเองและอัปเดตการติดตั้งโดยใช้ WSUS
เปิดคอนโซล WSUS (บริการอัปเดต) และเลือก ส่วนการอัปเดต จะแสดงรายงานสรุปการอัปเดตที่มีอยู่ทั้งหมด ตามค่าเริ่มต้น จะมี 4 ส่วนย่อย:อัปเดตทั้งหมด , อัปเดตที่สำคัญ , อัปเดตความปลอดภัย และ การอัปเดต WSUS . คุณสามารถอนุมัติการติดตั้งการอัปเดตเฉพาะได้โดยค้นหาในส่วนเหล่านี้ (คุณสามารถค้นหาโดยใช้ชื่อ KB ในคอนโซลการค้นหาการอัปเดตหรือโดยหมายเลขกระดานข่าวความปลอดภัยของ Microsoft) หรือกรองการอัปเดตตามวันที่เผยแพร่
แสดงรายการอัปเดตที่ไม่ได้รับอนุมัติ (ใช้ปุ่ม การอนุมัติ =ยังไม่อนุมัติ กรอง). ค้นหาการอัปเดตที่คุณต้องการ คลิกขวาและเลือก อนุมัติ ในเมนู
ในหน้าต่างถัดไป ให้เลือกกลุ่มคอมพิวเตอร์ WSUS เพื่ออนุมัติการติดตั้งโปรแกรมปรับปรุงนี้ (เช่น Test_Srv_WSUS) เลือก อนุมัติการติดตั้ง . คุณสามารถอนุมัติการอัปเดตสำหรับกลุ่มคอมพิวเตอร์ทั้งหมดพร้อมกันโดยเลือก คอมพิวเตอร์ทั้งหมด หรือสำหรับแต่ละกลุ่มเป็นรายบุคคล ตัวอย่างเช่น คุณสามารถอนุมัติการติดตั้งการอัปเดตในกลุ่มทดสอบ และภายใน 4-7 วันอนุมัติสำหรับคอมพิวเตอร์ทุกเครื่องหากไม่มีปัญหาเกิดขึ้น
หน้าต่างที่มีผลการอนุมัติการอัปเดตจะปรากฏขึ้น หากการอัปเดตได้รับการอนุมัติเรียบร้อยแล้ว ข้อความ ผลลัพธ์:สำเร็จ จะแสดง ปิดหน้าต่างนี้
อย่างที่คุณเห็น การอัปเดตเฉพาะนั้นได้รับการอนุมัติด้วยตนเอง ค่อนข้างใช้เวลานาน เนื่องจากคุณต้องอนุมัติการอัปเดตแต่ละรายการ หากคุณไม่ต้องการอนุมัติการอัปเดตด้วยตนเอง คุณอาจสร้างกฎการอนุมัติการอัปเดตอัตโนมัติ (การอนุมัติอัตโนมัติ)
จะกำหนดค่ากฎการอนุมัติอัตโนมัติใน WSUS ได้อย่างไร
การอนุมัติอัตโนมัติช่วยให้คุณสามารถอนุมัติการอัปเดตใหม่ที่ปรากฏบนเซิร์ฟเวอร์ WSUS ของคุณโดยอัตโนมัติโดยไม่ต้องให้ผู้ดูแลระบบเข้ามาเกี่ยวข้อง และกำหนดการติดตั้งบนคอมพิวเตอร์เป้าหมาย การอนุมัติการอัปเดต WSUS โดยอัตโนมัติขึ้นอยู่กับกฎการอนุมัติ
ในคอนโซลการจัดการ WSUS ให้เปิด ตัวเลือก และเลือกการอนุมัติอัตโนมัติ .
ในหน้าต่างถัดไป มีเพียงหนึ่งกฎที่มีชื่อ กฎการอนุมัติอัตโนมัติเริ่มต้น (ปิดใช้งานโดยค่าเริ่มต้น) ใน อัปเดตกฎ แท็บ
หากต้องการสร้างกฎใหม่ ให้คลิกกฎใหม่ .
การกำหนดค่ากฎการอนุมัติประกอบด้วย 3 ขั้นตอน คุณต้องเลือกคุณสมบัติการอัปเดต กลุ่มเป้าหมายคอมพิวเตอร์ WSUS ที่คุณต้องการติดตั้งการอัปเดตและชื่อของกฎ
หากคุณคลิกลิงก์สีน้ำเงิน หน้าต่างคุณสมบัติที่เกี่ยวข้องจะปรากฏขึ้น
ตัวอย่างเช่น คุณสามารถเปิดใช้งานการอนุมัติอัตโนมัติสำหรับการอัปเดตความปลอดภัยสำหรับเซิร์ฟเวอร์ทดสอบของคุณ ในการดำเนินการ เลือกอัปเดตการจัดประเภท ส่วนเลือก อัปเดตที่สำคัญ , อัปเดตความปลอดภัย , อัปเดตคำจำกัดความ (ยกเลิกการเลือกตัวเลือกอื่น ๆ ทั้งหมด) จากนั้นใน อนุมัติการอัปเดตสำหรับ กล่องโต้ตอบเลือกกลุ่ม WSUS ที่มีชื่อ Test_Srv_WSUS
ใน ขั้นสูง คุณสามารถตรวจสอบตัวเลือกที่เกี่ยวข้องได้:หากคุณต้องการอนุมัติการอัปเดตผลิตภัณฑ์ WSUS เองโดยอัตโนมัติ หรืออนุมัติการอัปเดตที่ Microsoft เปลี่ยนแปลงโดยอัตโนมัติ โดยปกติแล้ว ตัวเลือกทั้งหมดในแท็บนี้จะถูกตรวจสอบ
ตอนนี้ เมื่อเซิร์ฟเวอร์ WSUS ของคุณดาวน์โหลดการอัปเดตใหม่ในวันอังคารที่สองของเดือนถัดไป (หรือหากคุณนำเข้าด้วยตนเอง) การอัปเดตเหล่านี้จะได้รับการอนุมัติและติดตั้งโดยอัตโนมัติในกลุ่มเซิร์ฟเวอร์ทดสอบ ตามค่าเริ่มต้น Window จะสแกนเซิร์ฟเวอร์ WSUS ของคุณสำหรับการอัปเดตใหม่ทุกๆ 22 ชั่วโมง เพื่อให้คอมพิวเตอร์ที่สำคัญได้รับการอัปเดตใหม่โดยเร็วที่สุด คุณสามารถเปลี่ยนความถี่การซิงโครไนซ์ได้โดยใช้ความถี่การตรวจจับการอัปเดตอัตโนมัติ นโยบาย (ดูกรณีข้อผิดพลาด WSUS:เกินรอบการเดินทางของเซิร์ฟเวอร์สูงสุด) และตั้งค่าเป็นครั้งเดียวในหลายชั่วโมง (คุณยังสามารถสแกนหาการอัปเดตด้วยตนเองโดยใช้โมดูล PSWindowsUpdate)
หากมีไคลเอนต์จำนวนมากบนเซิร์ฟเวอร์ WSUS ของคุณ (คอมพิวเตอร์มากกว่า 2,000 เครื่อง) ประสิทธิภาพของเซิร์ฟเวอร์การอัพเดทที่มีการกำหนดค่ามาตรฐานอาจต่ำโดยมีข้อผิดพลาดคงที่ 0x80244022 ใน windowsupdate.log ดังนั้นจึงต้องมีการปรับให้เหมาะสม (ดูสิ่งนี้ บทความ).จะปฏิเสธการติดตั้งโปรแกรมปรับปรุงใน WSUS ได้อย่างไร
หากหนึ่งในการอัปเดตที่ได้รับอนุมัติทำให้เกิดปัญหากับคอมพิวเตอร์หรือเซิร์ฟเวอร์ ผู้ดูแลระบบ WSUS สามารถปฏิเสธได้ ในการดำเนินการ ให้ค้นหาการอัปเดตในคอนโซล WSUS คลิกขวาและเลือก ปฏิเสธ .
จากนั้นเลือกกลุ่ม WSUS ที่คุณต้องการยกเลิกการติดตั้ง และเลือก อนุมัติให้นำออก ในบางครั้ง การอัปเดตจะถูกลบออกในไคลเอนต์ WSUS (กระบวนการนี้อธิบายโดยละเอียดในบทความวิธีถอนการติดตั้ง Windows Updates)
วิธีอนุมัติการอัปเดต WSUS สำหรับสภาพแวดล้อมที่มีประสิทธิผล
หลังจากที่คุณได้ติดตั้งและทดสอบการอัปเดตในกลุ่มการทดสอบของคุณ และตรวจดูให้แน่ใจว่าไม่มีปัญหาใดๆ (โดยปกติ การทดสอบจะใช้เวลา 3-6 วัน) คุณสามารถอนุมัติการอัปเดตใหม่เกี่ยวกับระบบที่มีประสิทธิผล อย่างไรก็ตาม คุณไม่สามารถอนุมัติการติดตั้งการอัปเดตในระบบที่มีประสิทธิผลโดยอัตโนมัติโดยมีความล่าช้าบ้าง (เช่น ใน 7 วัน)
ขออภัย คอนโซล WSUS ไม่มีโอกาสในการคัดลอกการอัปเดตที่ได้รับอนุมัติทั้งหมดจากคอมพิวเตอร์กลุ่ม WSUS เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง คุณสามารถค้นหาการอัปเดตใหม่ด้วยตนเองและอนุมัติให้ติดตั้งในกลุ่มเซิร์ฟเวอร์และคอมพิวเตอร์ที่มีประสิทธิผล ค่อนข้างใช้เวลานาน
ฉันเขียนสคริปต์ PowerShell แบบง่ายที่รวบรวมรายการอัปเดตที่ได้รับอนุมัติสำหรับกลุ่มทดสอบและอนุมัติการอัปเดตทั้งหมดที่พบสำหรับกลุ่มที่มีประสิทธิผลโดยอัตโนมัติ (ดูบทความการคัดลอกการอนุมัติระหว่างกลุ่มเป้าหมาย WSUS) ฉันเรียกใช้สคริปต์ใน 7 วันหลังจากติดตั้งและทดสอบการอัปเดตในกลุ่มคอมพิวเตอร์ทดสอบ หากมีปัญหาใด ๆ จะต้องถูกปฏิเสธสำหรับกลุ่มทดสอบ