Dalam hal semua komputer di organisasi berada di situs yang sama, server pembaruan WSUS ditugaskan secara mendasar menggunakan kebijakan grup. Jika infrastruktur penggalian TI terdistribusi secara memadai dan beberapa server WSUS cabang digunakan untuk mengurangi beban pada saluran komunikasi, situasi dengan penunjukan server WSUS menjadi rumit..
Solusi paling sederhana dan paling logis adalah dengan membagi semua komputer organisasi menjadi kelompok yang berbeda (biasanya berdasarkan wilayah / regional), dan membentuk OU Direktori Aktif (wadah) terpisah dari mereka. Dalam hal ini, kebijakan masing-masing kelompok dapat ditetapkan untuk setiap OU, yang menunjukkan server WSUS regional tempat pembaruan harus diunduh. Teknik mengikat ke server WSUS ini digunakan di sebagian besar organisasi besar. Namun, di perusahaan yang proses bisnisnya membutuhkan sifat mobile yang cukup dari pekerjaan karyawan yang bergerak di antara divisi teritorial dengan laptop mereka, skema kerja ini memiliki kelemahan. Memang, jika pengguna telah pindah ke subnet yang berbeda, komputernya terus mengunduh pembaruan dari server WSUS "nya", memuat saluran WAN yang cukup mahal dengan lalu lintas yang tidak perlu.
Catatan. Kami tidak mempertimbangkan opsi untuk memindahkan komputer seluler antar OU karena kerumitannya.Solusi yang jauh lebih elegan adalah dengan mengikat kebijakan pembaruan WSUS bukan ke OU, tetapi ke situs Active Directory, yang pada dasarnya mempertimbangkan topologi jaringan organisasi. Dalam hal ini, ketika memindahkan komputer ke subnet (situs) lain, komputer secara otomatis beralih dan mulai menggunakan server WSUS terdekat.
Pada artikel ini, kita akan melihat metodologi untuk menetapkan server WSUS melalui kebijakan grup berdasarkan situs Direktori Aktif..
Pertama-tama, Anda perlu memastikan bahwa situs Direktori Aktif sudah aktif dan subnet IP mereka terlampir. Setelah mengonfigurasi situs AD, komputer akan secara otomatis mengikat ke situs yang diinginkan ketika mendaftar di subnet yang dijelaskan.
Kiat. Situs dan subnet dikonfigurasikan menggunakan mmc Situs dan Layanan Direktori Aktif snap-in..Langkah selanjutnya adalah membuat kebijakan grup yang menentukan opsi pembaruan dari server WSUS. Adalah logis untuk membuat kebijakan tunggal (misalnya, dengan nama WSUS_Clients) dengan pengaturan berikut di bagian Computer Confuguration -> Administrative Templates -> Windows Components-> Windows Update. Kebijakan ini berisi pengaturan WSUS khas yang sama untuk semua PC organisasi..
- Izinkan pemasangan otomatis: Benar
- Konfigurasikan pembaruan otomatis: 4 (Unduhan otomatis & jadwal pemasangan)
- Aktifkan penargetan sisi klien: Komputer
Selanjutnya, untuk setiap server situs (atau WSUS), buat kebijakan terpisah yang menunjuk ke server WSUS tertentu. Misalnya, kebijakan GPO untuk wilayah Irkutsk (bernama Irkutsk_WSUS) akan terlihat seperti ini:
Tentukan lokasi layanan pembaruan Microsoft intranet: Diaktifkan
- Tetapkan layanan pembaruan intranet untuk mendeteksi pembaruan: http: // IrkutskWSUS: 8530
- Tetapkan server statistik intranet: http: // IrkutskWSUS: 8530
Dan akhirnya, Anda perlu menetapkan kebijakan yang dibuat untuk situs yang sesuai. Secara default, situs AD tidak ditampilkan di konsol manajemen Kebijakan Grup. Untuk menampilkannya, buka level situs (Situs) di pohon GPM dan di menu konteks Tampilkan situs pilih situs yang ingin Anda tampilkan di konsol.
Setelah situs Active Directory muncul di konsol, klik panel kontrol di situs yang diinginkan, pilih menu Tautkan GPO yang Ada dan di jendela yang muncul, tentukan kebijakan grup yang ingin Anda ikat ke situs ini.
Dengan demikian, dimungkinkan untuk mengatur sistem untuk secara otomatis menghubungkan klien ke server WSUS, berdasarkan situs AD di mana komputer saat ini berada.
Kiat. Jika sesuatu tidak berfungsi seperti yang diharapkan, diagnostik dapat dilakukan menggunakan rsop.msc (periksa kebijakan yang ditugaskan) dan tim nltest / dsgetsite (memungkinkan Anda menentukan situs tempat komputer terdaftar).