В случай, че всички компютри в организацията са разположени на един и същи сайт, сървърът за актуализиране на WSUS се назначава елементарно с помощта на груповата политика. Ако информационната инфраструктура на копаенето е достатъчно разпределена и няколко клонови WSUS сървъра се използват за намаляване на натоварването на комуникационните канали, ситуацията с назначаването на WSUS сървър е сложна.
Най-простото и логично решение би било да разделите всички компютри на организацията в различни групи (обикновено по териториални / регионални) и да формирате отделни OU (контейнери) на Active Directory от тях. В този случай може да бъде присвоена индивидуална групова политика на всеки OU, като се посочва регионалният WSUS сървър, от който трябва да се изтеглят актуализации. Тази техника на свързване към WSUS сървъри се използва в повечето големи организации. Въпреки това, във фирмите, чиито бизнес процеси изискват достатъчно мобилен характер на работата на служителите, които се движат между териториалните поделения със своите лаптопи, тази работна схема има своите недостатъци. В действителност, в случай че потребителят се е преместил в друга подмрежа, компютърът му продължава да изтегля актуализации от "своя" WSUS сървър, зареждайки доста скъпи WAN канали с ненужен трафик.
забележка. Не считаме възможността за преместване на мобилни компютри между ОУ поради неговата сложност.Много по-елегантно решение е обвързването на правилата за актуализиране на WSUS не с ОУ, а със сайтове на Active Directory, които по своето естество отчитат мрежовата топология на организацията. В този случай, когато премествате всеки компютър към друга подмрежа (сайт), компютърът автоматично се превключва и започва да използва най-близкия WSUS сървър.
В тази статия ще разгледаме методологията за присвояване на WSUS сървър чрез групови правила, базирани на сайтове на Active Directory..
На първо място, трябва да се уверите, че сайтовете на Active Directory са създадени и техните IP подмрежи са прикрепени към тях. След конфигуриране на AD сайтове, компютрите автоматично ще се свързват към желания сайт, когато се регистрират във всяка описана подмрежа.
съвет. Сайтовете и подмрежите се конфигурират с помощта на щракване на сайтове и услуги Active Directory mmc..Следващата стъпка е да създадете групови правила, които определят опциите за актуализиране от WSUS сървърите. Би било логично да се създаде единична политика (например с името WSUS_Clients) със следните настройки в секцията Компютърна конфугурация -> Административни шаблони -> Компоненти на Windows-> Актуализация на Windows. Тази политика съдържа типични WSUS настройки, които са еднакви за всички персонални компютри..
- Разрешаване на автоматично инсталиране: вярно
- Конфигурирайте автоматичните актуализации: 4 (Автоматично изтегляне и инсталиране на график)
- Активиране на насочването от страна на клиента: Компютри
На следващо място, за всеки сървър на сайта (или WSUS) създайте отделна политика, която сочи към конкретен WSUS сървър. Например политиката за GPO за региона на Иркутск (наречена Irkutsk_WSUS) ще изглежда така:
Посочете местоположението на услугата за актуализиране на Microsoft за интранет: Enabled
- Задайте услугата за актуализиране на интранет за откриване на актуализации: http: // IrkutskWSUS: 8530
- Задаване на интранет статистическия сървър: http: // IrkutskWSUS: 8530
И накрая, трябва да присвоите създадените правила на съответните сайтове. По подразбиране сайтовете за AD не се показват в конзолата за управление на групови политики. За да ги покажете, отидете на ниво сайт (Сайтове) в GPM дървото и в контекстното меню Показване на сайтове изберете сайтовете, които искате да покажете в конзолата.
След като сайтовете на Active Directory се появят в конзолата, щракнете върху контролния панел на желания сайт, изберете менюто Свържете съществуващ GPO и в прозореца, който се показва, посочете груповата политика, която искате да свържете към този сайт.
По този начин е възможно да се организира система за автоматично свързване на клиенти към WSUS сървъра на базата на AD сайта, в който компютърът се намира в момента.
съвет. В случай, че нещо не работи както се очаква, диагностиката може да се извърши с помощта rsop.msc (проверете зададените правила) и екипи nltest / dsgetsite (ви позволява да определите сайта, в който е регистриран компютърът).