Nếu bạn cài đặt các bản cập nhật trên máy tính và máy chủ của công ty sử dụng máy chủ WSUS nội bộ của mình, bạn có thể kiểm tra chúng trước trên các nhóm máy tính hoặc máy chủ thử nghiệm (bạn có thể tách các máy tính và máy chủ thành các nhóm mục tiêu WSUS khác nhau bằng cách sử dụng GPO). Thực tiễn trong những năm gần đây cho thấy rằng WSUS không nên được định cấu hình để tự động phê duyệt tất cả các bản cập nhật mới sẽ được cài đặt trên các hệ thống hiệu quả (Microsoft thường phát hành các bản cập nhật thô hoặc chưa được kiểm tra đầy đủ).
Bạn có thể tạo một số nhóm cập nhật mục tiêu khác nhau trên máy chủ WSUS của mình. Lược đồ cổ điển để phê duyệt các bản cập nhật mới trên máy chủ WSUS ngụ ý rằng các bản cập nhật này lúc đầu được thử nghiệm trên các máy tính và máy chủ trong các nhóm thử nghiệm (giả sử trong nhóm Workstation_Test và Servers_Test). Các quy tắc phê duyệt tự động tất cả các bản cập nhật quan trọng và bảo mật được tạo cho các nhóm này trong cài đặt WSUS ( WSUS -> Tùy chọn -> Phê duyệt tự động -> Mặc định Quy tắc phê duyệt tự động ).
Sau khi các bản cập nhật mới được cài đặt trên các máy tính trong nhóm thử nghiệm và bạn nhận được xác nhận rằng các bản vá không gây ra bất kỳ sự cố nào (thường mất 3-4 ngày), bạn phải phê duyệt các bản cập nhật mới để cài đặt trên các nhóm máy tính WSUS sản xuất. Nhưng làm như thế nào để bạn không phải chọn và phê duyệt các bản cập nhật mới theo cách thủ công trên tất cả các máy tính và máy chủ sản xuất? Tôi sẽ chỉ ra hai cách khá đơn giản để sao chép các phê duyệt cập nhật từ các nhóm kiểm tra WSUS sang các nhóm hiệu quả.
Cách sao chép thủ công các bản cập nhật được phê duyệt trong Bảng điều khiển WSUS
Việc sao chép các bản cập nhật đã được phê duyệt từ nhóm kiểm tra WSUS sang nhóm máy tính / máy chủ hiệu quả là điều khá thuận tiện. Để thực hiện việc này, bạn phải định cấu hình đúng cách giao diện bảng điều khiển Dịch vụ cập nhật của mình.
Trong phần Cập nhật, hãy tạo một dạng xem mới cho các bản cập nhật đã được phê duyệt của nhóm thử nghiệm. Để làm điều đó, hãy chọn Chế độ xem cập nhật mới từ menu.
Trong trình hướng dẫn xuất hiện, hãy chọn “ Các bản cập nhật được phê duyệt cho một nhóm cụ thể ”Và chỉ định tên nhóm kiểm tra WSUS của bạn (Workstation_test). Chỉ định tên của dạng xem mới.
Chọn chế độ xem bạn đã tạo và sau đó chọn Phê duyệt =”Được chấp thuận” và Trạng thái =”Bất kỳ” trong menu bộ lọc ở dưới cùng. Nhấp vào tiêu đề bảng để thêm cột cho ngày phát hành bản cập nhật ( Ngày phát hành ). Nhấp vào tiêu đề cột để sắp xếp danh sách các bản cập nhật sao cho các bản cập nhật mới được hiển thị đầu tiên.
Như bạn có thể thấy, bây giờ có thể dễ dàng tìm thấy các bản cập nhật mới trong danh sách và kiểm tra trạng thái cài đặt của chúng. Sử dụng Shift và / hoặc Ctrl, bạn có thể chọn các bản cập nhật bạn muốn phê duyệt cho các hệ thống hiệu quả, nhấp chuột phải và chọn Phê duyệt trong menu ngữ cảnh. Trong danh sách các nhóm WSUS, hãy chọn các nhóm hiệu quả mà bạn muốn phê duyệt các bản cập nhật đã chọn và nhấp vào Đã phê duyệt để cài đặt .
Sau đó, các bản cập nhật mới cũng sẽ được cài đặt trên các hệ thống hiệu quả.
Cách sao chép bản cập nhật đã phê duyệt giữa các nhóm WSUS bằng PowerShell
Nếu bạn có nhiều nhóm cập nhật trên máy chủ WSUS của mình, bạn có thể tự động đối phó các bản cập nhật đã được phê duyệt từ các nhóm kiểm tra WSUS thành các nhóm hiệu quả bằng PowerShell. Tôi đã viết tập lệnh PoSh nhỏ này, trong đó bạn phải nhập tên FQDN của máy chủ WSUS của mình và tên của các nhóm WSUS nguồn và đích của bạn mà bạn muốn sao chép các bản cập nhật đã được phê duyệt.
$WsusServerFqdn='mont-wsus.woshub.com'
$WsusSourceGroup = 'Workstation_Test'
$WsusTargetGroup = 'WorkstationProduction'
[void][reflection.assembly]::LoadWithPartialName( “Microsoft.UpdateServices.Administration”)
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer( $WsusServerFqdn, $False, ‘8530’)
$Groups = $wsus.GetComputerTargetGroups()
$WsusSourceGroupObj = $Groups | Where {$_.Name -eq $WsusSourceGroup}
$WsusTargetGroupObj = $Groups | Where {$_.Name -eq $WsusTargetGroup}
$Updates = $wsus.GetUpdates()
$i = 0
ForEach ($Update in $Updates)
{
if ($Update.GetUpdateApprovals($WsusSourceGroupObj).Count -ne 0 -and $Update.GetUpdateApprovals($WsusTargetGroupObj).Count -eq 0)
{
$i ++
Write-Host (“Approving ” + $Update.Title)
$Update.Approve(‘Install’,$WsusTargetGroupObj) | Out-Null
}
}
Write-Output (“Approved {0} updates for target group {1}” -f $i, $WsusTargetGroup)
Tập lệnh PowerShell này sẽ tuần tự liệt kê tất cả các bản cập nhật đã được phê duyệt cho nhóm nguồn WSUS và nếu bản cập nhật không được phê duyệt trên nhóm mục tiêu, nó sẽ phê duyệt để cài đặt. Trong ví dụ này, tập lệnh đã phê duyệt 64 bản cập nhật đã được phê duyệt trên nhóm thử nghiệm và bị thiếu trên bản hiệu quả.