Một trong những nhiệm vụ chính của quản trị viên WSUS (Windows Server Update Services) là quản lý phê duyệt các bản cập nhật sẽ được cài đặt trên máy tính và máy chủ Windows. Sau khi cài đặt và cấu hình, máy chủ WSUS bắt đầu thường xuyên tải xuống các bản cập nhật mới cho các sản phẩm được chọn từ máy chủ Microsoft Update.
Quản lý Nhóm WSUS Mục tiêu
Sau khi các bản cập nhật đã được tải xuống máy chủ WSUS, bạn có thể triển khai chúng trên máy tính của mình. Trước khi máy tính tải xuống và cài đặt các bản cập nhật mới, chúng phải được quản trị viên WSUS phê duyệt (hoặc từ chối). Điều quan trọng cần lưu ý là trong hầu hết các trường hợp, bạn nên kiểm tra tất cả các bản cập nhật mới của Microsoft trên một số máy trạm và máy chủ trước khi cài đặt chúng trên các máy tính hiệu quả.
Để tổ chức thử nghiệm và cài đặt các bản cập nhật trên máy tính miền và máy chủ, quản trị viên WSUS phải tạo nhóm máy tính. Tùy thuộc vào nhiệm vụ kinh doanh, loại máy trạm người dùng và danh mục máy chủ, bạn có thể tạo các nhóm máy tính khác nhau. Nói chung, việc tạo các nhóm mục tiêu WSUS sau trong Máy tính là hợp lý -> Tất cả máy tính phần của bảng điều khiển WSUS:
- Test_Srv_WSUS - một nhóm máy chủ thử nghiệm (máy chủ không cần thiết cho doanh nghiệp hoặc máy chủ chuyên dụng có môi trường thử nghiệm giống hệt với môi trường hiệu quả);
- Test_Wks_WSUS - các máy trạm thử nghiệm;
- Prod_Srv_WSUS - máy chủ Windows hiệu quả;
- Prod_Wks_WSUS - tất cả các máy trạm của người dùng.
Các nhóm máy tính này có thể được lấp đầy bằng các đối tượng máy tính theo cách thủ công (thường có ý nghĩa đối với các nhóm thử nghiệm) hoặc bạn có thể liên kết các máy tính và máy chủ với các nhóm WSUS bằng cách sử dụng cài đặt Chính sách Nhóm - Bật nhắm mục tiêu phía máy khách.
Sau khi các nhóm WSUS đã được tạo, bạn có thể phê duyệt các bản cập nhật cho chúng. Có hai cách để phê duyệt các bản cập nhật được cài đặt trên máy tính:thủ công hoặc tự động.
Cài đặt Cập nhật và Phê duyệt Thủ công Sử dụng WSUS
Mở bảng điều khiển WSUS (Dịch vụ cập nhật) và chọn Phần cập nhật. Nó hiển thị một báo cáo tóm tắt về tất cả các bản cập nhật có sẵn. Theo mặc định, có 4 phần phụ: Tất cả các bản cập nhật , Cập nhật quan trọng , Cập nhật bảo mật và Cập nhật WSUS . Bạn có thể phê duyệt cài đặt bản cập nhật cụ thể bằng cách tìm nó ở một trong các phần này (bạn có thể tìm kiếm nó theo tên KB trong bảng điều khiển tìm kiếm bản cập nhật hoặc theo số bản tin bảo mật của Microsoft) hoặc lọc các bản cập nhật theo ngày phát hành.
Hiển thị danh sách các bản cập nhật chưa được phê duyệt (sử dụng tính năng Phê duyệt = Không được chấp thuận lọc). Tìm bản cập nhật bạn cần, nhấp chuột phải vào bản cập nhật đó và chọn Phê duyệt trong menu.
Trong cửa sổ tiếp theo, chọn nhóm máy tính WSUS để phê duyệt cài đặt bản cập nhật này (ví dụ:Test_Srv_WSUS). Chọn Phê duyệt để cài đặt . Bạn có thể phê duyệt bản cập nhật cho tất cả các nhóm máy tính cùng một lúc bằng cách chọn Tất cả máy tính , hoặc cho từng nhóm riêng lẻ. Ví dụ:bạn có thể phê duyệt cài đặt bản cập nhật trên một nhóm thử nghiệm và trong 4-7 ngày phê duyệt nó cho tất cả các máy tính nếu không có sự cố nào xảy ra.
Một cửa sổ với kết quả phê duyệt cập nhật xuất hiện. Nếu bản cập nhật đã được phê duyệt thành công, thông báo Kết quả:Thành công sẽ được hiển thị. Đóng cửa sổ này.
Như bạn có thể thấy, đó là cách bản cập nhật cụ thể được phê duyệt theo cách thủ công. Nó khá tốn thời gian, vì bạn phải phê duyệt từng bản cập nhật riêng lẻ. Nếu bạn không muốn phê duyệt cập nhật theo cách thủ công, bạn có thể tạo một số quy tắc phê duyệt cập nhật tự động (phê duyệt tự động).
Làm cách nào để Định cấu hình Quy tắc Phê duyệt Tự động trong WSUS?
Tự động phê duyệt cho phép bạn phê duyệt các bản cập nhật mới xuất hiện trên máy chủ WSUS của bạn một cách tự động mà không cần sự tham gia của quản trị viên và chỉ định cài đặt của chúng trên các máy tính mục tiêu. Tự động phê duyệt các bản cập nhật WSUS dựa trên các quy tắc phê duyệt.
Trong bảng điều khiển quản lý WSUS, mở Tùy chọn và chọn Phê duyệt tự động .
Trong cửa sổ tiếp theo, chỉ có một quy tắc có tên Quy tắc phê duyệt tự động mặc định (nó bị tắt theo mặc định) trong Quy tắc cập nhật tab.
Để tạo quy tắc mới, hãy nhấp vào Quy tắc mới .
Cấu hình quy tắc phê duyệt bao gồm 3 bước. Bạn phải chọn thuộc tính cập nhật, nhóm máy tính WSUS mà bạn muốn cài đặt bản cập nhật và tên của quy tắc.
Nếu bạn nhấp vào một liên kết màu xanh lam, cửa sổ thuộc tính tương ứng sẽ xuất hiện.
Ví dụ:bạn có thể bật tự động phê duyệt các bản cập nhật bảo mật cho các máy chủ thử nghiệm của mình. Để làm điều đó, trong Chọn cập nhật phân loại chọn Cập nhật quan trọng , Cập nhật bảo mật , Cập nhật định nghĩa (bỏ chọn tất cả các tùy chọn khác). Sau đó, trong phần Phê duyệt bản cập nhật cho hộp thoại chọn nhóm WSUS với tên Test_Srv_WSUS.
Trong Nâng cao , bạn có thể kiểm tra các tùy chọn tương ứng:nếu bạn muốn tự động phê duyệt các bản cập nhật cho chính sản phẩm WSUS hoặc tự động phê duyệt các bản cập nhật đã được thay đổi bởi Microsoft. Thông thường, tất cả các tùy chọn trong tab này đều được chọn.
Bây giờ, khi máy chủ WSUS của bạn tải xuống các bản cập nhật mới vào thứ Ba của tuần thứ hai tiếp theo của tháng (hoặc nếu bạn nhập chúng theo cách thủ công), chúng sẽ được phê duyệt và tự động cài đặt trên nhóm máy chủ thử nghiệm. Theo mặc định, Window quét máy chủ WSUS của bạn để tìm các bản cập nhật mới cứ sau 22 giờ. Để các máy tính quan trọng nhận được bản cập nhật mới càng sớm càng tốt, bạn có thể thay đổi tần suất đồng bộ hóa bằng cách sử dụng Tần suất phát hiện cập nhật tự động (xem trường hợp lỗi WSUS:Đã vượt quá số lần đi vòng của máy chủ tối đa) và đặt nó thành một lần trong vài giờ (bạn cũng có thể quét các bản cập nhật theo cách thủ công bằng mô-đun PSWindowsUpdate).
Nếu có nhiều máy khách trên máy chủ WSUS của bạn (trên 2.000 máy tính), hiệu suất của máy chủ cập nhật với cấu hình tiêu chuẩn có thể thấp với lỗi liên tục 0x80244022 trong windowsupdate.log, vì vậy nó phải được tối ưu hóa (xem phần này bài báo).Làm cách nào để từ chối các bản cập nhật đã cài đặt trong WSUS?
Nếu một trong các bản cập nhật đã được phê duyệt gây ra bất kỳ sự cố nào trên máy tính hoặc máy chủ, quản trị viên WSUS có thể từ chối nó. Để thực hiện, hãy tìm bản cập nhật trong bảng điều khiển WSUS, nhấp chuột phải vào bản cập nhật đó và chọn Từ chối .
Sau đó, chọn nhóm WSUS mà bạn muốn hủy cài đặt và chọn Đã phê duyệt để xóa. Trong một số thời điểm, bản cập nhật sẽ bị xóa trên máy khách WSUS (quy trình được mô tả chi tiết trong bài viết Cách gỡ cài đặt bản cập nhật Windows).
Cách Phê duyệt Bản cập nhật WSUS cho Môi trường Sản xuất
Sau khi bạn đã cài đặt và thử nghiệm các bản cập nhật trong các nhóm thử nghiệm của mình và đảm bảo rằng không có vấn đề gì (thường quá trình thử nghiệm mất từ 3-6 ngày), bạn có thể phê duyệt các bản cập nhật mới trên các hệ thống hiệu quả. Tuy nhiên, bạn không thể tự động phê duyệt việc cài đặt các bản cập nhật trong các hệ thống hiệu quả với độ trễ nhất định (ví dụ:trong 7 ngày).
Rất tiếc, bảng điều khiển WSUS không cung cấp bất kỳ cơ hội nào để sao chép tất cả các bản cập nhật đã được phê duyệt từ một nhóm máy tính WSUS này sang một nhóm máy tính WSUS khác. Bạn có thể tìm kiếm các bản cập nhật mới theo cách thủ công và phê duyệt để chúng được cài đặt trong các nhóm máy chủ và máy tính hiệu quả. Nó khá tốn thời gian.
Tôi đã viết một tập lệnh PowerShell đơn giản để thu thập danh sách các bản cập nhật đã được phê duyệt cho nhóm thử nghiệm và tự động phê duyệt tất cả các bản cập nhật được tìm thấy cho nhóm hiệu quả (xem bài viết Sao chép phê duyệt giữa các nhóm mục tiêu WSUS). Tôi chạy tập lệnh trong 7 ngày sau khi các bản cập nhật đã được cài đặt và thử nghiệm trên các nhóm máy tính thử nghiệm. Nếu có bất kỳ bản vá sự cố nào, chúng phải được từ chối cho nhóm thử nghiệm.