Menyetujui Pembaruan WSUS pada Windows Server 2012 R2 / 2016

Untuk waktu yang cukup lama, artikel tentang metode dan fitur menyetujui (menyetujui) pembaruan pada server Windows Server Update Services (WSUS) ada dalam konsep saya, dan atas permintaan yang terus-menerus dari salah satu pelanggan reguler, saya memutuskan untuk menyelesaikan dan menerbitkannya.

Salah satu tugas utama administrator WSUS adalah mengelola pembaruan yang disetujui untuk instalasi pada komputer dan server Windows. Setelah instalasi dan konfigurasi, server WSUS mulai mengunduh pembaruan secara berkala untuk produk-produk tertentu dari server Pembaruan Microsoft..

Konten:

  • Kelompok Sasaran Komputer WSUS
  • Menyetujui dan menginstal pembaruan secara manual melalui WSUS
  • Konfigurasikan aturan untuk secara otomatis menyetujui pembaruan pada WSUS
  • Mencabut pembaruan yang diinstal pada WSUS
  • Metodologi Persetujuan Persetujuan Produktivitas WSUS

Kelompok Sasaran Komputer WSUS

Setelah pembaruan ada dalam database WSUS, pembaruan tersebut dapat diinstal pada komputer. Tetapi, sebelum komputer mulai mengunduh dan menginstal pembaruan baru, mereka harus disetujui (atau ditolak) oleh administrator WSUS. Penting untuk diingat bahwa dalam kebanyakan kasus, sebelum menginstal pembaruan pada sistem produktif, mereka harus diuji pada beberapa workstation dan server yang khas.

Untuk mengatur proses pengujian dan menginstal pembaruan pada komputer dan server domain, administrator WSUS harus membuat grup komputer. Bergantung pada tugas-tugas bisnis, jenis workstation pengguna dan kategori server, berbagai kelompok komputer dapat dibuat. Secara umum, di konsol WSUS di bawah Komputer -> Semua komputer Masuk akal untuk membuat grup berikut di WSUS:

  1. Test_Srv_WSUS - grup dengan server uji (tidak penting untuk server bisnis dan server khusus dengan lingkungan pengujian yang identik dengan yang produktif);
  2. Test_Wks_WSUS - test workstation;
  3. Prod_Srv_WSUS - server Windows yang produktif;
  4. Prod_Wks_WSUS - semua workstation pengguna.

Grup komputer ini dapat diisi secara manual dengan server (ini biasanya masuk akal untuk kelompok uji) atau Anda dapat mengikat komputer dan server ke grup WSUS menggunakan Kebijakan Grup Aktifkan penargetan sisi klien (Izinkan klien untuk bergabung dengan grup target).

Setelah grup dibuat, Anda dapat menyetujui pembaruan untuk mereka. Ada dua cara untuk menyetujui pembaruan untuk instalasi di komputer: pembaruan manual dan otomatis.

Menyetujui dan menginstal pembaruan secara manual melalui WSUS

Buka Konsol Manajemen WSUS (Layanan Pembaruan) dan pilih bagian Pembaruan. Ini menampilkan ringkasan laporan dari pembaruan yang tersedia. Di bagian ini, secara default, ada 4 subbagian: Semua pembaruan, Pembaruan kritis, Pembaruan keamanan dan Pembaruan WSUS. Anda dapat menyetujui pembaruan khusus untuk instalasi dengan menemukannya di salah satu bagian ini (Anda dapat menggunakan pencarian dengan nama KB di konsol pencarian pembaruan atau nomor Buletin Keamanan Microsoft), atau Anda dapat mengurutkan pembaruan berdasarkan tanggal rilis, atau dengan angka.

Tampilkan daftar pembaruan yang belum disetujui (filter - Persetujuan = Tidak disetujui). Temukan pembaruan yang Anda butuhkan, klik dengan RMB dan pilih item menu Setujui.

Di jendela yang muncul, pilih grup komputer WSUS yang Anda ingin menyetujui instalasi pembaruan ini (misalnya, Test_Srv_WSUS). Pilih item Setujui untuk Instal. Anda dapat langsung menyetujui pembaruan untuk semua grup komputer dengan memilih Semua komputer, atau untuk setiap kelompok secara individual. Misalnya, pertama Anda dapat menyetujui pemasangan pembaruan pada sekelompok komputer uji, dan setelah 4-7 hari, jika tidak ada masalah, setujui pemasangan pembaruan di semua komputer.

Sebuah jendela akan muncul dengan hasil dari proses persetujuan pembaruan. Jika pembaruan berhasil disetujui, pesan akan muncul. Sukses. Tutup jendela ini.

Seperti yang Anda pahami, ini adalah skema manual untuk menyetujui pembaruan tertentu. Cukup melelahkan, karena Setiap pembaruan harus disetujui secara individual. Jika Anda tidak ingin menyetujui pembaruan secara manual, Anda dapat membuat aturan untuk persetujuan pembaruan otomatis (persetujuan otomatis).

Konfigurasikan aturan untuk secara otomatis menyetujui pembaruan pada WSUS

Persetujuan otomatis memungkinkan Anda untuk segera, tanpa campur tangan administrator, menyetujui pembaruan baru yang muncul di server WSUS dan menetapkannya untuk diinstal pada klien. Persetujuan Otomatis untuk Pembaruan WSUS Berdasarkan Aturan Persetujuan.

Di Konsol Manajemen WSUS, buka bagian Opsi dan pilih Persetujuan otomatis.

Di jendela yang muncul di tab Perbarui aturan hanya satu aturan yang ditentukan dengan nama Aturan Persetujuan Otomatis Default (dinonaktifkan secara default).

Untuk membuat aturan baru, klik tombol. Aturan baru.

Aturannya terdiri dari 3 langkah. Anda harus memilih properti pembaruan yang diperlukan, pilih grup komputer WSUS mana yang Anda perlukan untuk menyetujui pembaruan dan nama aturan.

Mengklik pada setiap tautan biru akan membuka jendela properti yang sesuai..

Misalnya, Anda dapat mengaktifkan persetujuan otomatis untuk pembaruan keamanan untuk server uji. Untuk melakukan ini, di bagian Pilih Pembaruan Klasifikasi, pilih Pembaruan Kritis, Pembaruan Keamanan, Pembaruan Definisi (hapus centang pada sisa daw). Kemudian, di dialog Setujui pembaruan untuk, pilih grup WSUS bernama Test_Srv_WSUS.

Tab Mahir Anda dapat memilih apakah akan secara otomatis menyetujui pembaruan untuk WSUS itu sendiri dan apakah akan menyetujui tambahan pembaruan yang telah diubah oleh Microsoft. Biasanya semua daw pada tab ini dihidupkan..

Sekarang, ketika pada hari Selasa kedua kedua bulan itu server WSUS Anda mengunduh pembaruan baru (atau dengan secara manual mengimpor pembaruan), mereka akan disetujui untuk instalasi otomatis pada kelompok uji. Klien Windows secara default memindai pembaruan baru pada server WSUS setiap 22 jam. Agar komputer yang kritis menerima pembaruan baru sesegera mungkin, Anda dapat mengubah frekuensi sinkronisasi tersebut menggunakan kebijakan frekuensi deteksi Pembaruan Otomatis hingga beberapa jam (Anda juga dapat memindai pembaruan secara manual menggunakan modul PSWindowsUpdate). Dengan sejumlah besar klien di server WSUS (lebih dari 2000 komputer), kinerja server pembaruan dengan pengaturan standar mungkin tidak cukup, sehingga perlu dioptimalkan (lihat artikel).

Mencabut pembaruan yang diinstal pada WSUS

Jika salah satu pembaruan yang disetujui ternyata bermasalah dan menyebabkan kesalahan pada komputer atau server, administrator WSUS dapat mencabutnya. Untuk melakukan ini, cari pembaruan di konsol WSUS dan pilih Tolak. Kemudian sebutkan

Sekarang pilih grup WSUS yang ingin Anda batalkan instalasi dan pilih Disetujui untuk Dihapus. Setelah beberapa waktu, pembaruan akan dihapus pada klien (untuk lebih jelasnya, lihat artikel Metode untuk menghapus pembaruan Windows..

Metodologi Persetujuan Persetujuan Produktivitas WSUS

Setelah Anda menginstal dan menguji pembaruan pada kelompok uji dan memastikan tidak ada sampel (biasanya 3-6 hari cukup untuk pengujian), Anda dapat menyetujui pembaruan baru untuk instalasi pada sistem produktif. Selain itu, Anda tidak dapat secara otomatis menyetujui pembaruan dengan penundaan (misalnya, setelah 7 hari) pada sistem produktif.

Sayangnya, konsol WSUS tidak dapat menyalin semua pembaruan yang disetujui dari satu kelompok komputer WSUS ke yang lain. Anda dapat mencari pembaruan baru satu per satu dan menyetujuinya secara manual untuk diinstal pada kelompok server dan komputer yang lebih produktif. Cukup lama dan melelahkan.

Untuk saya sendiri, saya membuat skrip PowerShell kecil yang mengumpulkan daftar pembaruan yang disetujui untuk kelompok uji dan secara otomatis menyetujui semua pembaruan yang terdeteksi untuk kelompok produktif (lihat artikel Menyalin pembaruan yang disetujui antara kelompok WSUS). Sekarang saya menjalankan skrip ini 7 hari setelah menginstal pembaruan dan menguji pembaruan pada kelompok uji. Jika patch masalah ditemukan di antara patch, mereka harus ditolak pada kelompok uji..