در قسمت پیش به نصب و پیکربندی اولیه سرویس WSUS در ویندوز سرور 2012 پرداختیم. هنگام پیکربندی سرویس WSUS در پنجره آخر، مایکروسافت چهار کار را پیشنهاد می کند که انجام دهید. نکته اول آن که هنوز پیکربندی سرویس WSUS به طور کامل تمام نشده است و با اعمال تنظیمات بخش قبل زیرساخت نمی تواند آپدیت دریافت کند.
بنابراین باید دیگر تنظیمات را نیز در پیکربندی سرویس WSUS انجام دهیم تا بتوانیم به روز رسانی ها را دریافت کرده و برای کلاینت ها ارائه دهیم.
پیشنهاد های مایکروسافت در مرحله آخر نصب سرویس WSUS
Using SSL With WSUS: مایکروسافت پیشنهاد می کند برای ارائه آپدیت ها از بستری امن استفاده کنید. به طور کلی WSUS برای ارائه آپدیت ها به کاربران از IIS و پروتکل http استفاده می کند. اما در اینجا اعلام می کند که شما اقدام به پیکربندی SSL کرده و از https برای ارائه آپدیت ها استفاده کنید.
این مورد در ادامه بررسی خواهد شد. برای راه اندازی کامل WSUS به این مورد احتیاجی نیست اما بهتر است که با توجه به خطرات ممکن آن را تنظیم کنید. با توجه به افزایش اهمیت استفاده از زیرساخت های امن و SSL در ادامه به فعال سازی SSL و https در سرویس WSUS خواهیم پرداخت.
Create Computer Group: بهتر است که برای هر یک از کلاینت ها یک Computer group ایجاد کنید و بر اساس آن پالیسی های مختلف را ارائه دهید تا به روز رسانی ها به صورت دقیق اعمال شوند.
Assign Computers to groups using group policy: با استفاده از group policy کلاینت ها را به گروه های مشخص شده اعمال می کنیم.
Configure Auto-approval rule: بر اساس سیاست های سازمان اقدام به ارائه آپدیت ها کنیم.
اکنون به ادامه پیکربندی سرویس WSUS می پردازیم.
ایجاد Computer Group ها در سرویس WSUS
به منظور مدیریت بهتر کلاینت ها و همچنین نحوه ارائه آپدیت ها به کلاینت ها بهتر است که برای گروه کلاینت ها Computer Group اضافه کنیم. به عنوان مثال Computer Group کلاینت های دارای ویندوز 7 و یا Computer Group کلاینت های ویندوز 8 یا Computer Group ویندوز سرور ها و حتی یک Computer Group برای زیرساخت آزمایشی.
همانطور که در مقاله قبلی بیان کردیم یکی از دلایلی که سرویس WSUS می تواند کمک کند آن است که با استفاده از آن می توانیم آپدیت ها را با نرم افزار ها و همچنین خود محصولات چک کنیم. در صورتی که یک آپدیت مشکلی بوجود آورد دیگر آن به روز رسانی را برای کاربران ارائه ندهیم.
به این منظور وارد کنسول WSUS شوید. همانند تصویر زیر بر روی All Computers کلیک راست کرده و Add computer Group را انتخاب کنید.
برای Computer Group نام را انتخاب کرده و Add را بزنید.
در تصویر زیر مشاهده می کنید که ما برای هر یک از انواع کلاینت ها یک Computer Group ایجاد کردیم.
اتصال کلاینت ها به سرویس WSUS برای گرفتن آپدیت
برای این که کلاینت ها در دامین از WSUS به صورت خودکار آپدیت دریافت کنند چند کار باید انجام دهیم. اول آن که Auto Approval را تنظیم کنیم و سپس اقدام به تنظیم Group Policy کنیم. Auto Approval در ادامه توضیح خواهیم داد. برای تنظیم Group Policy وارد Domain Controller شده و وارد Group Policy Management شوید.
همانطور که در All Computers ایجاد به ساخت گروه های مختلف کردید در ساختار Active Directory شما نیز این نوع چیدمان باید باشد. تا بتوان با ایجاد پالیسی های درست ارائه آپدیت ها را مدیریت کرد. ما برای راحتی کار اقدام به ایجاد گروه های مختلف کرده و کامپیوتر ها را عضو گروه مورد نظر کردیم.
یک GPO ایجاد کرده و به OU مورد نظر آن را لینک کرده و در صورتی که مانند زیرساخت آزمایشگاهی ما برای Computer Group های مختلف در حال پیاده سازی WSUS هستید اقدام به فیلتر کردن گروه مورد نظر کنید.
سه پالیسی را باید تنظیم کنید. ابتدا به Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Update بروید.
پالیسی های زیر را تنظیم کنید.
Configure Automatic Updates: تنظیم کنید که کلاینت ها چگونه آپدیت ها را دریافت کنند و چه زمانی اقدام به نصب آپدیت ها کنند.
Specify intranet Microsoft update service location: با استفاده از این پالیسی سرور WSUS را به کلاینت ها معرفی می کنیم.
Enable client-side targeting: این پالیسی هم به منظور قرار دادن کلاینت در Computer Group مورد نظر باید فعال شود.
تنظیمات Computers در سرویس WSUS
برای ارائه آپدیت ها به کلاینت ها شما باید تنظیمات Computers در WSUS را نیز تغییر بدهید. به همین منظور وارد قسمت Options در WSUS شده و Computers را انتخاب کنید. در پنجره باز شده تنظیمات را به Use Group Policy or registry settings on computers تغییر بدهید و Ok را بزنید.
تا به اینجای کار در صورتی که شما به صورت دستی اقدام به Approve کردن آپدیت ها کنید، با توجه به تنظیمات Group Policy و همچنین تنظیمات پیشفرض WSUS ابتدا آپدیت ها از سرور های مایکروسافت بر روی سرور WSUS دانلود شده و سپس در اختیار کاربران قرار گرفته و با توجه به برنامه زمانبندی که در Group Policy ایجاد کردید نصب خواهند شد.
تنظیمات ارائه خودکار آپدیت ها یا Auto Approve در سرویس WSUS
اکنون باید تنظیماتی را اعمال کنیم که آپدیت های جدید به صورت خودکار برای کاربران در دسترس قرار گیرند. به همین منظور وارد کنسول WSUS شده و به قسمت Options بروید و Automatic Approval را انتخاب کنید.
تب Update Rules در پنجره Automatic Approval: در این پنجره شما باید پالیسی های Approve آپدیت ها را برای سرویس WSUS تعریف کنید. به صورت پیشفرض هیچ پالیسی فعال نیست. شما می توانید یک پالیسی جدید ایجاد کنید و یا همان پالیسی پیشفرض را فعال کنید.
در پالیسی پیشفرض آمده که در صورتی که آپدیت ها Critical و یا Security بودند به تمامی کامپیوتر ها اعمال شوند. شما می توانید یک Rule جدید اضافه کنید، Rule انتخابی را پاک کرده و یا ویرایش کنید و یا آن را اجرا کنید.
New Rule: هنگامی که شما قصد اضافه کردن Rule جدیدی را داشته باشید پنجره Add Rule برای شما باز خواهد شد. سه مرحله برای ایجاد Rule لازم می باشد.
ایجاد یک Rule جدید
در مرحله اول شما باید انتخاب کنید که چه آپدیت هایی به صورت خودکار اعمال شوند. سه انتخاب در پیش روی شما است، یکی نوع آپدیت یعنی همان Classification، دیگری محصول آپدیت مثلاً ویندوز سرور یا ویندوز 8 یا اصلاً اکسچنج سرور و در نهایت بر اساس deadline می توانید به راحتی اقدام به تفکیک کنید.
در مرحله دوم شما باید مشخص کنید که این آپدیت ها به کدام دسته از کامپیوتر ها اعمال شود.
و در مرحله سوم شما باید اقدام به انتخاب یک نام برای این Rule کنید. و OK را بزنید.
در زیرساخت ما تمامی Critical Update ها برای ویندوز سرور ها به صورت خودکار اعمال خواهد شد.
پس از آن در پنجره Automatic Approval باید Run Rule را زده و Ok را بزنید.
پیغام Approve آپدیت ها را در تصویر زیر مشاهده می کنید.
پس از آن که زمان دریافت آپدیت ها فرا رسید و یا کلاینت شما به صورت دستی اقدام به اجرای آپدیت کند.
آپدیت ها دانلود و برای کلاینت ها اعمال خواهد شد.
در زیر و در قسمت Computers می توانید این دریافت آپدیت ها را مشاهده نمایید.
در مقاله آینده به امید خدا به بررسی قسمت Options در کنسول WSUS خواهیم پرداخت.
آموزش ویدیویی پیکربندی سرویس WSUS در ویندوز سرور 2016
گروه چشم انداز نو خدمات زیر را در حوزه محصولات سیتریکس ارائه می دهد:
پیاده سازی مایکروسافت ویندوز سرور
پیاده سازی مایکروسافت اکتیو دایرکتوری
پیاده سازی سرویس WSUS برای مدیریت متمرکز آپدیت ها
برای کسب اطلاعات بیشتر می توانید با شماره 28423389 تماس حاصل نمایید.
سلام من تمام مراحل را رفتم منتهی هیچ کامپیوتری به لیست کامپیوتر ها اضافه نمیشه مشکل چیه ؟
من یک کامپیوتر مجازی دارم که دامین کنترلر و سرور wsus و … هست و یک کلاینت مجازی win10 که میتوانم با GP بهش رول اعکال کنم یا روش powershell اجرا کنم یا … ابتدا سرور را به شبکه وصل میکنم و لیست آپدیت را گرفتم و بعد سه تا شو approve کردم بعد از نت قطعش کردم و سویچ را برگردوندم به حالت اینترنال، DHCP هم فعال کردم و کلاینت ویندوز 10 را میارم بالا اما اصلا در wsus تو لیست کامپیوتر ها نمیاد، در DHCP میشه دیدش اما تو WSUS ظاهر نمیشه گیر قضیه چیه ؟ لطفا راهنمایی کنید کلافه کرده منو
سلام کافیه که فایل ها را در حالت Read Only قرار بدید