Dalam artikel sebelumnya, kami menjelaskan secara terperinci prosedur untuk menginstal server WSUS berdasarkan Windows Server 2012 R2 / 2016. Setelah Anda mengonfigurasi server, Anda harus mengonfigurasi klien Windows (server dan workstation) untuk menggunakan server WSUS untuk menerima pembaruan sehingga klien menerima pembaruan dari server pembaruan internal, dan bukan dari server Pembaruan Microsoft melalui Internet. Di artikel ini, kita akan melihat cara mengonfigurasi klien untuk menggunakan WSUS menggunakan kebijakan grup domain Direktori Aktif..
Konten:
- Kebijakan Grup WSUS untuk Server Windows
- Kebijakan Instalasi WSUS Pembaruan untuk Workstation
- Tetapkan Kebijakan WSUS untuk Direktori Aktif OU
Kebijakan grup AD memungkinkan administrator untuk secara otomatis menetapkan komputer ke grup WSUS yang berbeda, menghilangkan kebutuhan untuk memindahkan komputer secara manual di antara grup di konsol WSUS dan menjaga agar grup ini tetap terbarui. Menugaskan klien ke berbagai kelompok sasaran WSUS didasarkan pada label dalam registri pada klien (label ditetapkan oleh Kebijakan Grup atau dengan pengeditan langsung registri). Jenis pemetaan klien untuk WSUS disebut klien sisi penargetan (Penargetan sisi klien).
Diasumsikan bahwa jaringan kami akan menggunakan dua kebijakan pembaruan yang berbeda - kebijakan terpisah untuk menginstal pembaruan untuk server (Server) dan untuk workstation (Workstation) Kedua grup ini harus dibuat di konsol WSUS di bagian Semua Komputer..
Kiat. Kebijakan untuk menggunakan klien server pembaruan WSUS sangat tergantung pada struktur organisasi OU di Active Directory dan aturan untuk menginstal pembaruan di organisasi. Di artikel ini, kami hanya akan melihat opsi pribadi yang membantu Anda memahami prinsip dasar menggunakan kebijakan AD untuk menginstal pembaruan Windows..Pertama-tama, Anda perlu menentukan aturan untuk mengelompokkan komputer di konsol WSUS (penargetan). Secara default, di konsol WSUS, komputer ditugaskan oleh administrator untuk dikelompokkan secara manual (penargetan sisi server). Ini tidak sesuai dengan kami, oleh karena itu, kami mengindikasikan bahwa komputer didistribusikan dalam kelompok berdasarkan penargetan sisi klien (dengan kunci khusus dalam registri klien). Untuk melakukan ini, di konsol WSUS, buka Opsi dan buka opsi Komputer. Ubah nilainya menjadi Gunakan Kebijakan Grup atau pengaturan registri di komputer (Gunakan kebijakan grup atau pengaturan registri di komputer).
Sekarang Anda dapat membuat GPO untuk mengonfigurasi klien WSUS. Buka konsol domain Manajemen Kebijakan Grup dan buat dua kebijakan grup baru: ServerWSUSPolicy dan WorkstationWSUSPolicy.
Kebijakan Grup WSUS untuk Server Windows
Mari kita mulai dengan deskripsi kebijakan server. ServerWSUSPolicy.
Pengaturan kebijakan grup yang bertanggung jawab untuk pengoperasian layanan Pembaruan Windows terletak di bagian GPO: Komputer Konfigurasi -> Kebijakan-> Administratif template-> Windows Komponen-> Windows Perbarui (Konfigurasi Komputer -> Template Administratif -> Komponen Windows -> Pembaruan Windows).
Di organisasi kami, kami bermaksud menggunakan kebijakan ini untuk menginstal pembaruan WSUS pada server Windows. Diasumsikan bahwa semua komputer yang termasuk dalam kebijakan ini akan ditugaskan ke grup Server di konsol WSUS. Selain itu, kami ingin melarang pemasangan pembaruan otomatis di server saat diterima. Klien WSUS cukup mengunduh pembaruan yang tersedia ke disk, menampilkan pemberitahuan tentang ketersediaan pembaruan baru di baki sistem dan menunggu administrator untuk memulai instalasi (manual atau jarak jauh menggunakan modul PSWindowsUpdate) untuk memulai instalasi. Ini berarti bahwa server produktif tidak akan secara otomatis menginstal pembaruan dan reboot tanpa konfirmasi administrator (biasanya tugas ini dilakukan oleh administrator sistem sebagai bagian dari pekerjaan pemeliharaan terjadwal bulanan). Untuk menerapkan skema semacam itu, kami akan menetapkan kebijakan berikut:
- Konfigurasikan Otomatis Pembaruan (Konfigurasikan pembaruan otomatis): Aktifkan. 3 - Otomatis unduh dan beri tahu untuk instal (Secara otomatis mengunduh pembaruan dan memberitahukan kesiapannya untuk pemasangan) - klien secara otomatis mengunduh pembaruan baru dan memberi tahu mereka tentang penampilan mereka;
- Tentukan Intranet Microsoft pembaruan layanan lokasi (Tunjukkan lokasi Layanan Pembaruan Microsoft pada intranet): Aktifkan. Setel layanan pembaruan intranet untuk mendeteksi pembaruan (Tentukan layanan pembaruan intranet untuk mencari pembaruan): http://srv-wsus.winitpro.ru:8530, Tetapkan server statistik intranet (Tentukan server statistik di intranet): http://srv-wsus.winitpro.ru:8530 - di sini Anda perlu menentukan alamat server WSUS dan server statistik Anda (biasanya bertepatan);
- Tidak ada restart otomatis dengan pengguna yang masuk untuk instalasi pembaruan otomatis terjadwal (Jangan memulai ulang secara otomatis ketika pembaruan diinstal secara otomatis jika pengguna bekerja pada sistem): Aktifkan - melarang reboot otomatis di hadapan sesi pengguna;
- Aktifkan klien-sisi penargetan (Izinkan klien untuk bergabung dengan grup target): Aktifkan. Nama grup target untuk komputer ini: Server - di konsol WSUS menetapkan klien ke grup Server.
Kebijakan Instalasi WSUS Pembaruan untuk Workstation
Kami mengasumsikan bahwa pembaruan untuk workstation klien, tidak seperti kebijakan server, akan diinstal secara otomatis pada malam hari segera setelah menerima pembaruan. Komputer setelah menginstal pembaruan harus memulai ulang secara otomatis (memperingatkan pengguna dalam 5 menit).
Dalam GPO ini (WorkstationWSUSPolicy) kami menetapkan:
- Izinkan Otomatis Pembaruan langsung instalasi (Izinkan segera instalasi pembaruan otomatis): Dinonaktifkan - larangan pemasangan segera pembaruan setelah diterima;
- Izinkan bukan-administrator untuk terima pembaruan pemberitahuan (Izinkan yang bukan administrator menerima pemberitahuan pembaruan): Diaktifkan - Perlihatkan peringatan kepada non-administrator tentang pembaruan baru dan izinkan instalasi manual mereka;
- Konfigurasikan Pembaruan Otomatis: Diaktifkan. Konfigurasikan pembaruan otomatis: 4 - Unduh otomatis dan jadwalkan penginstalan. Hari pemasangan terjadwal: 0 - Setiap hari. Waktu pemasangan terjadwal: 05:00 - setelah menerima pembaruan baru, klien mengunduh ke cache lokal dan berencana untuk menginstalnya secara otomatis pada jam 5:00 pagi;
- Nama grup target untuk komputer ini: Workstation - di konsol WSUS, tetapkan klien ke grup Workstations;
- Tidak ada restart otomatis dengan pengguna yang masuk untuk instalasi pembaruan otomatis terjadwal: Dinonaktifkan - sistem akan secara otomatis reboot 5 menit setelah instalasi pembaruan;
- Tentukan lokasi layanan pembaruan Microsoft Intranet: Aktifkan. Tetapkan layanan pembaruan intranet untuk mendeteksi pembaruan: http://srv-wsus.winitpro.ru:8530, Tetapkan server statistik intranet: http://srv-wsus.winitpro.ru:8530 -alamat server WSUS perusahaan.
Pada Windows 10 1607 dan yang lebih baru, meskipun Anda mengatakan kepada mereka untuk menerima pembaruan dari WSUS internal, mereka mungkin masih mencoba mengakses server Pembaruan Windows di Internet. "Fitur" ini disebut Ganda Pindai. Untuk menonaktifkan penerimaan pembaruan dari Internet, Anda harus mengaktifkan kebijakan tambahan Lakukan tidak ijinkan pembaruan penangguhan kebijakan untuk sebab scan menentang Windows Perbarui (tautan).
Kiat. Untuk meningkatkan "tingkat tambalan" komputer dalam organisasi, dalam kedua kebijakan Anda dapat mengonfigurasi peluncuran paksa layanan pembaruan (wuauserv) pada klien. Untuk ini, di bagian Konfigurasi Komputer -> Kebijakan-> Pengaturan Windows -> Pengaturan Keamanan -> Layanan Sistem menemukan layanan Pembaruan Windows dan mengaturnya untuk memulai secara otomatis (Otomatis).
Tetapkan Kebijakan WSUS untuk Direktori Aktif OU
Langkah selanjutnya adalah menetapkan kebijakan yang dibuat untuk wadah Direktori Aktif (OU) yang sesuai. Dalam contoh kami, struktur OU dalam domain AD sesederhana mungkin: ada dua wadah - Server (berisi semua server organisasi, selain pengontrol domain) dan WKS (Komputer workstation-pengguna).
Kiat. Kami sedang mempertimbangkan hanya satu opsi yang cukup sederhana untuk mengikat kebijakan WSUS kepada klien. Dalam organisasi nyata, dimungkinkan untuk mengikat satu kebijakan WSUS ke semua komputer dalam suatu domain (GPO dengan pengaturan WSUS digantung di root domain), mendistribusikan berbagai jenis klien ke OU yang berbeda (seperti dalam contoh kami, kami membuat kebijakan WSUS yang berbeda untuk server dan workstation), pada umumnya domain terdistribusi dapat mengikat berbagai server WSUS ke situs AD, atau menetapkan GPO berdasarkan filter WMI, atau menggabungkan metode di atas.Untuk menetapkan kebijakan ke OU, klik OU yang diinginkan di Konsol Manajemen Kebijakan Grup, pilih item menu Tautan sebagai GPO yang Ada dan pilih kebijakan yang sesuai.
Dengan cara yang persis sama, Anda perlu menetapkan kebijakan WorkstationWSUSPolicy ke wadah AD WKS di mana workstation Windows berada.
Tetap memperbarui kebijakan grup pada klien untuk mengikat klien ke server WSUS:
gpupdate / force
Semua pengaturan sistem pembaruan Windows yang kami tetapkan oleh kebijakan grup akan muncul di registri klien di cabang HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate.
File reg ini dapat digunakan untuk mentransfer pengaturan WSUS ke komputer lain yang tidak memungkinkan untuk mengonfigurasi pengaturan pembaruan menggunakan GPO (komputer dalam kelompok kerja, segmen terisolasi, DMZ, dll.)
Windows Registry Editor Versi 5.00
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate]
"WUServer" = "http://srv-wsus.winitpro.ru:8530"
"WUStatusServer" = "http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate" = ""
"TargetGroupEnabled" = dword: 00000001
"TargetGroup" = "Server"
"ElevateNonAdmins" = dword: 00000000
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate \ AU]
"NoAutoUpdate" = dword: 00000000 -
"AUOptions" = dword: 00000003
"ScheduledInstallDay" = kata: 00000000
"ScheduledInstallTime" = dword: 00000003
"ScheduledInstallEveryWeek" = dword: 00000001
"UseWUServer" = dword: 00000001
"NoAutoRebootWithLoggedOnUsers" = dword: 00000001
Juga nyaman untuk memantau pengaturan WSUS yang diterapkan pada klien menggunakan rsop.msc.
Dan setelah beberapa saat (tergantung pada jumlah pembaruan dan bandwidth saluran ke server WSUS), Anda perlu memeriksa baki untuk pemberitahuan pop-up tentang ketersediaan pembaruan baru. Klien akan muncul di konsol WSUS dalam grup yang sesuai (tabel menampilkan nama klien, IP, OS, persentase "tambalan" mereka dan tanggal pembaruan status terakhir). Karena kami telah menetapkan komputer dan server untuk berbagai kelompok WSUS oleh politisi, mereka hanya akan menerima pembaruan yang disetujui untuk instalasi pada kelompok WSUS yang sesuai.
wuauclt / detectnow
Juga, kadang-kadang Anda harus memaksa klien untuk mendaftar ulang di server WSUS:
wuauclt / detectnow / resetAuthorization
Dalam kasus yang sangat sulit, Anda dapat mencoba untuk memperbaiki layanan wuauserv seperti ini. Jika kesalahan 0x80244010 terjadi saat menerima pembaruan pada klien, cobalah mengubah frekuensi memeriksa pembaruan pada server WSUS menggunakan kebijakan frekuensi deteksi Pembaruan Otomatis.
Pada artikel berikutnya, kami menjelaskan fitur menyetujui pembaruan pada server WSUS. Kami juga menyarankan Anda membaca artikel tentang mentransfer pembaruan yang disetujui antar grup di server WSUS..
