Одобряване на актуализациите на WSUS на Windows Server 2012 R2 / 2016

Доста дълго време статията за методите и характеристиките на одобряването (одобряването) на актуализациите на сървъра за актуализиране на услуги на Windows Server (WSUS) беше в моя проект и по настоятелни заявки на един от обикновените абонати реших да го довърша и публикувам.

Една от основните задачи на WSUS администратора е да управлява актуализации, одобрени за инсталиране на компютри и Windows сървър. След инсталиране и конфигуриране, WSUS сървърът започва редовно да изтегля актуализации за избрани продукти от сървърите на Microsoft Update..

Съдържание:

  • Компютърни целеви групи на WSUS
  • Ръчно одобряване и инсталиране на актуализации чрез WSUS
  • Конфигурирайте правила за автоматично одобрение на актуализациите на WSUS
  • Оттегляне на инсталирани актуализации на WSUS
  • Методология за одобрение на производителността на WSUS

Компютърни целеви групи на WSUS

След като актуализациите са в базата данни на WSUS, те могат да бъдат инсталирани на компютри. Но преди компютрите да започнат да изтеглят и инсталират нови актуализации, те трябва да бъдат одобрени (или отхвърлени) от WSUS администратора. Важно е да се има предвид, че в повечето случаи, преди да инсталирате актуализации на продуктивни системи, те трябва да бъдат тествани на няколко типични работни станции и сървъри.

За да организира процеса на тестване и да инсталира актуализацията на компютри и сървъри на домейни, WSUS администраторът трябва да създаде компютърни групи. В зависимост от задачите на бизнеса, видове потребителски работни станции и категории сървъри, могат да бъдат създадени различни групи компютри. Като цяло в конзолата WSUS под Компютри -> Всички компютри Има смисъл да се създадат следните групи в WSUS:

  1. Test_Srv_WSUS - група с тестови сървъри (некритични за бизнес сървъри и специализирани сървъри с тестова среда, идентична на производителната);
  2. Test_Wks_WSUS - тестови работни станции;
  3. Prod_Srv_WSUS - продуктивен Windows сървър;
  4. Prod_Wks_WSUS - всички потребителски работни станции.

Тези компютърни групи могат да бъдат ръчно запълнени със сървъри (това обикновено има смисъл за тестовите групи) или можете да свържете компютри и сървъри към WSUS групи, използвайки групови правила Активиране на насочването от страна на клиента (Разрешаване на клиента да се присъедини към целевата група).

След създаването на групи можете да одобрите актуализации за тях. Има два начина да одобрите актуализации за инсталиране на компютри: ръчна и автоматична актуализация.

Ръчно одобряване и инсталиране на актуализации чрез WSUS

Отворете конзолата за управление на WSUS (Update Services) и изберете секцията Актуализациите. Той показва обобщен отчет за наличните актуализации. В този раздел по подразбиране има 4 подраздела: Всички актуализации, Критични актуализации, Актуализации за сигурност и Актуализации на WSUS. Можете да одобрите конкретна актуализация за инсталацията, като я намерите в един от тези раздели (можете да използвате търсенето с името KB в конзолата за търсене на актуализация или номера на бюлетина за сигурност на Microsoft), или можете да сортирате актуализациите по дата на издаване или по номера.

Показване на списък с все още не одобрени актуализации (филтър - Одобрение = Неодобрен). Намерете необходимата актуализация, кликнете върху нея с RMB и изберете елемента от менюто одобрявам.

В прозореца, който се показва, изберете групата WSUS компютри, за които искате да одобрите инсталирането на тази актуализация (например Test_Srv_WSUS). Изберете елемент Одобряване за инсталиране. Можете да одобрите актуализацията веднага за всички компютърни групи, като изберете Всички компютри, или за всяка група поотделно. Например, първо можете да одобрите инсталирането на актуализации на група тестови компютри и след 4-7 дни, ако няма проблеми, да одобрите инсталирането на актуализацията на всички компютри.

Ще се появи прозорец с резултатите от процеса на одобрение на актуализацията. Ако актуализацията бъде успешно одобрена, съобщението ще се появи. успех. Затворете този прозорец.

Както разбирате, това е ръчна схема за одобрение на конкретни актуализации. Това е доста трудоемко, защото Всяка актуализация трябва да бъде индивидуално одобрена. Ако не искате да одобрявате актуализациите ръчно, можете да създадете правила за автоматично одобрение на актуализациите (автоматично одобрение).

Конфигурирайте правила за автоматично одобрение на актуализациите на WSUS

Автоматичното одобрение ви позволява незабавно, без намеса на администратор, да одобрите нови актуализации, които са се появили на WSUS сървъра и да ги назначите да бъдат инсталирани на клиенти. Автоматично одобрение за актуализации на WSUS въз основа на правилата за одобрение.

В конзолата за управление на WSUS отворете секцията Опции и изберете Автоматични одобрения.

В прозореца, който се показва в раздела Актуализиране на правила само едно правило е посочено с името Правило за автоматично одобрение по подразбиране (по подразбиране е деактивирано).

За да създадете ново правило, кликнете върху бутона. Ново правило.

Правилото се състои от 3 стъпки. Необходимо е да изберете необходимите свойства за актуализиране, да изберете кои групи WSUS компютри трябва да одобрите актуализацията и името на правилото.

Кликването върху всяка синя връзка ще отвори съответния прозорец за свойства..

Например, можете да активирате автоматично одобрение за актуализации за сигурност на тестовите сървъри. За да направите това, в секцията Избор на актуализации на класификации изберете Критични актуализации, Актуализации на защитата, Актуализации на дефиницията (премахнете отметката от останалите четки). След това в диалоговия прозорец „Одобряване на актуализацията за“ изберете групата WSUS, наречена Test_Srv_WSUS.

етикет напреднал можете да изберете дали автоматично да одобрявате актуализации за самия WSUS и дали допълнително да одобрявате актуализации, които са били променени от Microsoft. Обикновено всички роси в този раздел са включени..

Сега, когато на втория втори вторник на месеца вашият WSUS сървър изтегли нови актуализации (или ръчно импортира актуализации), те ще бъдат одобрени за автоматично инсталиране в тестовата група. Клиентите на Windows по подразбиране сканират нови актуализации на WSUS сървъра на всеки 22 часа. За да оставите критичните компютри да получават нови актуализации възможно най-скоро, можете да промените честотата на такава синхронизация, като използвате политиката за автоматично откриване на честотата на актуализиране до няколко часа (можете също да сканирате ръчно за актуализации с помощта на модула PSWindowsUpdate). При голям брой клиенти на WSUS сървъра (повече от 2000 компютъра), производителността на сървъра за актуализация със стандартни настройки може да е недостатъчна, така че трябва да бъде оптимизирана (вижте статията).

Оттегляне на инсталирани актуализации на WSUS

Ако някоя от одобрените актуализации се окаже проблематична и причинява грешки в компютрите или сървърите, WSUS администраторът може да я отмени. За целта намерете актуализацията в конзолата WSUS и изберете упадък. След това посочете

Сега изберете групата WSUS, за която искате да отмените инсталацията, и изберете Одобрен за премахване. След известно време актуализацията ще бъде изтрита на клиента (за повече подробности вижте статията Методи за премахване на актуализации на Windows..

Методология за одобрение на производителността на WSUS

След като сте инсталирали и тествали актуализации на тестовите групи и сте се уверили, че няма проби (обикновено 3-6 дни са достатъчни за тестване), можете да одобрите нови актуализации за инсталиране на продуктивни системи. Освен това не можете автоматично да одобрявате актуализации с известно закъснение (например след 7 дни) на продуктивни системи.

За съжаление, конзолата WSUS не може да копира всички одобрени актуализации от една група WSUS компютри в друга. Можете да търсите нови актуализации една по една и ръчно да ги одобрите за инсталиране на по-продуктивна група сървъри и компютри. Доста е дълго и уморително.

За себе си направих малък скрипт PowerShell, който събира списък с актуализации, одобрени за тестовата група и автоматично одобрява всички открити актуализации в продуктивната група (вижте статията Копиране на одобрени актуализации между WSUS групи). Сега изпълнявам този скрипт 7 дни след инсталирането на актуализации и тестване на актуализации на тестови групи. Ако между лепенките се открият проблемни кръпки, те трябва да бъдат отхвърлени в тестовата група..