Trong một trong các bài viết trước, chúng tôi đã mô tả chi tiết việc cài đặt máy chủ WSUS trên Windows Server 2012 R2 / 2016. Sau khi bạn đã định cấu hình máy chủ cập nhật, bạn cần định cấu hình máy khách Windows (máy chủ và máy trạm) để sử dụng máy chủ WSUS để nhận các bản cập nhật. Do đó, tất cả các máy khách Windows trên mạng của bạn sẽ nhận được bản cập nhật từ máy chủ cập nhật nội bộ chứ không phải từ máy chủ Microsoft Update qua Internet. Trong bài viết này, chúng ta sẽ xem xét cách định cấu hình máy khách để sử dụng máy chủ WSUS bằng chính sách nhóm miền Active Directory (GPO).
Chính sách nhóm AD cho phép quản trị viên tự động chỉ định máy tính cho các nhóm WSUS khác nhau, do đó, quản trị viên WSUS sẽ không phải di chuyển thủ công các máy tính giữa các nhóm trong bảng điều khiển WSUS và luôn cập nhật các nhóm này. Việc chỉ định máy khách cho các nhóm WSUS mục tiêu khác nhau dựa trên nhãn trong sổ đăng ký trên máy khách (nhãn được đặt bởi GPO hoặc sửa đổi sổ đăng ký trực tiếp). Loại khách hàng này chỉ định cho các nhóm WSUS được gọi là nhắm mục tiêu theo phía khách hàng .
Dự kiến, mạng của chúng tôi sẽ sử dụng hai chính sách cập nhật khác nhau:chính sách cập nhật riêng cho Máy chủ và một cái khác cho Máy trạm . Hai nhóm này cần được tạo trong bảng điều khiển WSUS trong phần Tất cả máy tính.
Mẹo . Chính sách sử dụng máy chủ WSUS của khách hàng phụ thuộc phần lớn vào cơ cấu tổ chức của các đơn vị tổ chức Active Directory (OU) và các quy tắc cài đặt cập nhật trong công ty. Trong bài viết này, chúng tôi sẽ cố gắng hiểu các nguyên tắc cơ bản của việc sử dụng các chính sách nhóm để cài đặt các bản cập nhật Windows.Trước hết, bạn phải xác định quy tắc nhóm các máy tính trong bảng điều khiển WSUS (nhắm mục tiêu). Theo mặc định, các máy tính trong bảng điều khiển WSUS được quản trị viên máy chủ phân phối thành các nhóm theo cách thủ công (nhắm mục tiêu phía máy chủ). Nó không phù hợp với chúng tôi, vì vậy chúng tôi sẽ chỉ định rằng các máy tính sẽ được phân phối thành các nhóm bằng cách sử dụng nhắm mục tiêu phía máy khách (sử dụng các chính sách nhóm hoặc tham số đăng ký). Để thực hiện việc này, trong bảng điều khiển WSUS, nhấp vào Tùy chọn và mở Máy tính . Thay đổi giá trị thành “Sử dụng Chính sách Nhóm hoặc cài đặt đăng ký trên máy tính” .
Bây giờ bạn có thể tạo GPO để cấu hình các máy khách WSUS. Mở Quản lý chính sách nhóm (GPMC.msc) và tạo hai chính sách nhóm mới: ServerWSUSPolicy và WorkstationWSUSPolicy .
Chính sách nhóm WSUS dành cho máy chủ Windows
Hãy bắt đầu với mô tả về chính sách máy chủ - ServerWSUSPolicy .
Cài đặt Chính sách Nhóm chịu trách nhiệm cho hoạt động của dịch vụ Windows Update nằm trong phần GPO sau: Cấu hình Máy tính -> Chính sách -> Mẫu quản trị -> Thành phần Windows -> Windows Update.
Trong môi trường của chúng tôi, chúng tôi khuyên bạn nên sử dụng chính sách này để cài đặt các bản cập nhật từ WSUS trên máy chủ Windows. Tất cả các máy tính thuộc chính sách này được chỉ định cho nhóm Máy chủ trong bảng điều khiển WSUS. Ngoài ra, chúng tôi muốn tắt cài đặt cập nhật tự động trên máy chủ khi chúng nhận được. Trong quá trình cập nhật, khách hàng chỉ cần tải các bản cập nhật có sẵn vào ổ đĩa cục bộ, hiển thị thông báo tương ứng trong khay hệ thống và đợi quản trị viên bắt đầu cài đặt theo cách thủ công (cục bộ hoặc từ xa bằng mô-đun PSWindowsUpdate). Điều này có nghĩa là các máy chủ hiệu quả sẽ không tự động cài đặt các bản cập nhật và khởi động lại mà không có xác nhận của quản trị viên (thường thì những tác vụ này được quản trị viên hệ thống thực hiện như một phần của bảo trì theo lịch trình hàng tháng). Để triển khai một kế hoạch như vậy, hãy đặt các chính sách sau:
- Định cấu hình Cập nhật Tự động: Bật. 3 - Tự động tải xuống và thông báo để cài đặt - khách hàng tự động tải xuống các bản cập nhật mới và thông báo cho bạn về chúng;
- Chỉ định vị trí dịch vụ cập nhật Intranet Microsoft : Bật . Đặt dịch vụ cập nhật mạng nội bộ để phát hiện các bản cập nhật: https://hq-wsus.woshub.com:8530 , Đặt máy chủ thống kê mạng nội bộ: https://hq-wsus.woshub.com:8530 - đặt địa chỉ của máy chủ WSUS cục bộ và máy chủ thống kê (thường thì chúng giống nhau);
- Không tự động khởi động lại với người dùng đã đăng nhập để cài đặt các bản cập nhật tự động theo lịch: Bật - tắt tự động khởi động lại nếu phiên người dùng đang mở;
- Bật tính năng nhắm mục tiêu phía máy khách: Bật . Tên nhóm mục tiêu cho máy tính này: Máy chủ - trong bảng điều khiển WSUS, chỉ định máy khách vào nhóm Máy chủ.
Chính sách nhóm WSUS dành cho máy trạm Windows
Chúng tôi giả định rằng trái ngược với chính sách máy chủ, các bản cập nhật cho máy trạm khách được cài đặt tự động vào ban đêm ngay sau khi nhận được bản cập nhật. Máy tính sẽ tự động khởi động lại sau khi cài đặt các bản cập nhật (thông báo cho người dùng sau 5 phút).
Trong GPO này (WorkstationWSUSPolicy), chúng tôi chỉ định:
- Cho phép cài đặt ngay lập tức Cập nhật Tự động: Đã tắt - cài đặt ngay lập tức các bản cập nhật sau khi nhận được chúng bị vô hiệu hóa;
- Cho phép những người không phải là quản trị viên nhận thông báo cập nhật: Đã bật - hiển thị thông báo về các bản cập nhật mới cho những người không phải là quản trị viên và cho phép cài đặt chúng theo cách thủ công;
- Định cấu hình Cập nhật Tự động: Đã bật . Định cấu hình cập nhật tự động: 4 - Tự động tải xuống và lên lịch cài đặt. Ngày cài đặt đã lên lịch: 0 - Mỗi ngày . Thời gian cài đặt đã lên lịch : 05:00 - một khách hàng tải xuống các bản cập nhật mới và có kế hoạch tự động cài đặt chúng vào lúc 5:00 sáng;
- Tên nhóm mục tiêu cho máy tính này: Máy trạm - trong bảng điều khiển WSUS, chỉ định máy khách vào nhóm Máy trạm;
- Không tự động khởi động lại với người dùng đã đăng nhập để cài đặt các bản cập nhật tự động theo lịch: Đã tắt;
- Chỉ định Intranet Vị trí dịch vụ cập nhật Microsoft:Bật. Đặt dịch vụ cập nhật mạng nội bộ để phát hiện các bản cập nhật: https://hq-wsus.woshub.com:8530 , Đặt máy chủ thống kê mạng nội bộ: https://hq-wsus.woshub.com:8530 - là địa chỉ của máy chủ WSUS của công ty.
Trong Windows 10 1607 trở lên, mặc dù thực tế là bạn đã chỉ định nhận các bản cập nhật từ WSUS nội bộ, Windows 10 vẫn có thể cố gắng truy cập các máy chủ Windows Update trên Internet. “Tính năng” này được gọi là Quét kép . Để tắt nhận các bản cập nhật từ Internet, bạn cần bật thêm chính sách Không cho phép các chính sách trì hoãn cập nhật gây quét chống lại Windows Update .
Mẹo . Để cho phép các máy tính trong công ty cài đặt tất cả các bản vá có sẵn, cả hai chính sách đều có thể được định cấu hình để dịch vụ cập nhật (wuauserv) buộc phải khởi động trên máy khách. Để thực hiện, trong Cấu hình máy tính -> Chính sách -> Cài đặt Windows -> Cài đặt bảo mật -> Dịch vụ hệ thống tìm Windows Update và đặt nó bắt đầu tự động ( Tự động ).
Chỉ định Chính sách Nhóm WSUS cho Đơn vị tổ chức quảng cáo
Bước tiếp theo là gán các chính sách đã tạo cho các vùng chứa Active Directory (OU) tương ứng. Trong ví dụ của chúng tôi, cấu trúc OU cực kỳ đơn giản:có hai vùng chứa - Máy chủ (nó chứa tất cả các máy chủ của công ty, ngoại trừ bộ điều khiển miền) và WKS (Máy trạm - máy tính của người dùng).
Mẹo . Chúng tôi chỉ xem xét một cách khá đơn giản để ràng buộc các chính sách WSUS với khách hàng. Trong thế giới thực, có thể liên kết một chính sách WSUS với tất cả các máy tính miền (GPO được gán cho máy chủ miền), phân phối các loại máy khách khác nhau trên các OU khác nhau (như trong ví dụ của chúng tôi, chúng tôi đã tạo các chính sách WSUS khác nhau cho máy chủ và máy trạm). Trong các miền phân tán lớn, bạn nên liên kết các máy chủ WSUS khác nhau với các trang web AD hoặc chỉ định GPO dựa trên các bộ lọc WMI hoặc thậm chí kết hợp các phương pháp này.Để chỉ định chính sách cho đơn vị tổ chức, hãy nhấp vào đơn vị tổ chức chính xác trong Bảng điều khiển quản lý chính sách nhóm, chọn Liên kết một GPO hiện có , và sau đó kiểm tra chính sách thích hợp.
Mẹo . Đừng quên về đơn vị tổ chức riêng biệt - Bộ điều khiển miền . Trong hầu hết các trường hợp, WSUS Máy chủ chính sách phải được liên kết với vùng chứa này.
Bạn phải gán WorkstationWSUSPolicy cho vùng chứa AD với tên WKS (nơi đặt các máy trạm Windows) theo cách tương tự.
Nó vẫn là cập nhật các chính sách nhóm trên máy khách để liên kết máy khách với máy chủ WSUS:
1 | gpupdate /force |
gpupdate / force
Tất cả cài đặt cập nhật Windows mà chúng tôi đã đặt qua chính sách nhóm sẽ xuất hiện trên máy khách trong khóa đăng ký HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate .
Tệp reg sau có thể được sử dụng để chuyển cài đặt WSUS sang các máy tính khác mà bạn không thể định cấu hình cài đặt cập nhật bằng GPO (máy tính trong nhóm làm việc, phân đoạn riêng biệt, DMZ, v.v.)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="https://hq-wsus.woshub.com:8530"
"WUStatusServer"="https://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
Nó cũng thuận tiện để kiểm soát cài đặt WSUS được áp dụng trên máy khách bằng cách sử dụng snap-in rsop.msc.
Trong một số thời điểm (tùy thuộc vào số lượng bản cập nhật và băng thông đến máy chủ WSUS), hãy kiểm tra xem có thông báo bật lên về các bản cập nhật mới trong khay hay không. Ứng dụng khách (tên khách hàng, IP, hệ điều hành, tỷ lệ phần trăm bản vá và ngày cập nhật trạng thái cuối cùng) sẽ xuất hiện trong các nhóm tương ứng trong bảng điều khiển WSUS. Vì chúng tôi đã chỉ định các máy tính và máy chủ cho các nhóm WSUS khác nhau bằng GPO, chúng sẽ chỉ nhận được các bản cập nhật được chấp thuận để cài đặt trên các nhóm WSUS tương ứng.
Máy khách tải các bản cập nhật xuống thư mục cục bộ C:\ Windows \ SoftwareDistribution \ Download.
Để bắt đầu tìm kiếm các bản cập nhật mới trên máy chủ WSUS ngay lập tức, bạn cần chạy lệnh:
1 | wuauclt /detectnow |
wuauclt / Detnow
Ngoài ra, đôi khi bạn phải buộc máy khách đăng ký lại trên máy chủ WSUS:
1 | wuauclt /detectnow /resetAuthorization |
wuauclt / Detnow / resetAuthorization
Trong những trường hợp đặc biệt khó, bạn có thể thử sửa dịch vụ wuauserv như sau. Nếu lỗi 0x80244010 xảy ra khi nhận các bản cập nhật trên máy khách, hãy thử thay đổi tần suất kiểm tra các bản cập nhật trên máy chủ WSUS bằng cách sử dụng Tần suất phát hiện cập nhật tự động chính sách đến 3-4 giờ.
Trong các bài viết tiếp theo, chúng tôi sẽ mô tả các đặc thù của phê duyệt cập nhật trên máy chủ WSUS và cách chuyển các bản cập nhật đã được phê duyệt giữa các nhóm sang máy chủ WSUS bằng PowerShell.