آموزش wsus ( قسمت دوم )

با سلام خدمت شما همراهان همیشگی وب سایت ادمین پورتال

در این مقاله قصد داریم قسمت دوم استفاده از سرویس WSUS در شبکه را به شما عزیزان آموزش دهیم.

تنظیمات WSUS روی کامپیوتر های شبکه :

ممکن است بعد از نصب فایل های بروز رسانی دریافت شده روی سیستم های اصلی ، سیستم برای بوت شدن دچار مشکل شود. پیشنهاد شرکت مایکروسافت برای جلو گیری از ایجاد این مشکل ، فایل های بروز رسانی را بجای نصب روی سیستم اصلی شبکه آنرا ابتدا برای مدتی روی کامپیوتر های غیر اصلی شبکه (کامپیوتر های تست) نصب کنیم و در صورت عدم بروز مشکل آن بروز رسانی را روی کامپیوتر های اصلی نصب کنیم.

برای این کار ما در کنسول مدیریتی WSUS و در بخش Computers باید گروه های کامپیوتری متعددی ایجاد کنیم.این گروه های کامپیوتری به شرح زیر می باشد : (این سه گروه پیشنهاد های شرکت مایکروسافت می باشد)

۱.کامپیوتر های تست : که شامل یک یا چند ماشین مجازی می باشد.

۲.کامپیوتر های آزمایشی : شامل کامپیوتر های اصلی شبکه با این تفاوت که توانایی رفع مشکل بعد از بروز آن را دارند.

۳.کامپیوتر های سازمانی:کامپیوتر های اصلی شبکه که می توانند خود دارای گروه های مختلفی مثل گروه فروشنده ها ، گروه حسابداری و … باشند.

اینگونه ما تعیین می کنیم که فایل های بروز رسانی دریافت شده ابتدا برای مدتی (مثلا ۵ روز) روی کامپیوتر های تست امتحان شود و سپس روی کامپیوتر های آزمایشی و در صورت عدم ایجاد مشکل روی گروه کامپوتر های اصلی نصب شود.در گروه کامپوتر های اصلی اگر بخش های مختلفی را ایجاد کرده باشیم می توانیم تنظیماتی انجام دهیم تا نصب بروز رسانی روی سیستم های هر بخش در یک زمان مشخص انجام شود.

برای ایجاد گروه های فوق مراحل کار به صورت زیر می باشد:

۱.شاخه Computers را باز کرده و روی گزینه all computers راست کلیک و روی گزینه Add Computers Group کلیک کنید

۲.در صفحه باز شده نام گروه کامپیوتری  را وارد کنید

حال اگر روی فایل بروز رسانی راست کلیک کرده و روی گزینه Approve کلیک کنید (عملیات Approve کردن ) گروه های ساخته شده به شما نمایش داده خواهد شد.

در ادامه روش عضویت کاربران در این گروه ها را توضیح خواهیم داد.

تنظیمات WSUS روی کاربران شبکه :

عملیات دریافت فایل های بروز رسانی توسط کاربران انجام می شود.بدین معنی که کاربران فایل های را دریافت می کنند و شما تنظیمی برای ارسال فایل ها به کاربران روی سرور انجام نمی دهید(اصطلاحا یک عملیات pull می باشد.)

به صورت پیش فرض کاربران بعد از دستور برای بروز کردن به اینترنت وصل خواهد شد و فایل ها را دریافت خواهد کرد.

برای دریافت فایل های بروز رسانی توسط کاربران از سرور بجای اینترنت از دو روش استفاده می شود :

روش اول : تنظیمات روی کنسول Group Policy کامپیوتر Domain controller

مراحل کار :

۱.در کامپیوتر Domain controller منوی Run را باز کرده و دستور gpmc.msc را جرا کنید.

۲.روی نام دامین خود راست کلیک کنید و روی گزینه Create a GPO in this domain, and link it here… کلیک کنید.

۳.یک نام برای GPO خود انتخاب کنید و روی گزینه OK کلیک کنید

۴.روی GPO ساخته شده راست کلیک کرده و روی گزینه Edit کلیک کنید.

۵.در قسمت Computer configuration بخش administrative templates را از شاخه Policies انتخاب کرده و بعد از باز کردن شاخه Windows Components روی زیر شاخه Windows Updates کلیک کنید.

۶.در صفحه باز شده در سمت راست ، گزینه Specify intranet Microsoft update service location را انتخاب کنید.

۷.ابتدا حالت را روی Enable قرار دهید و سپس در فیلد Set the intranet update service for detecting updates مانند مثالی که در پایین فیلد ها نمایش داده است ، آدرس WSUS Server خود را وارد کرده و در فیلد پایین آن همان آدرس را بعنوان کامپیوتری که فایل ها در آن دخیره شود را وارد کنید و روی گزینه OK کلیک کنید

نکته بسیار مهم: در ویندوز سرور ۲۰۱۲ به بعد به دلیل اینکه در iis یک سایت جدید روی یک پورت با شماره ۸۵۳۰ برای http و ۸۵۳۱ برای https تعریف می کند ، می بایستی بعد از وارد کردن ادرس سرور WSUS در فیلد ها ، مانند شکل بالا باید شماره پورت ۸۵۳۰(به دلیل استقاده از پروتکل Http ) را بعد از آدرس وارد کنید

۸.گزینه Allow automatic Updates immediate installation را انتخاب کنید.

۹.فعال کردن این گزینه بدین معنی است که فایل های بروز رسانی که نیاز به ریستارت شدن سیستم ندارند را بدون کسب مجوز از ادمین در اسرع وقت روی سیستم ها نصب کند.

۱۰.گزینه Allow non-administrators to receive update notifications را هم فعال کنید تا کاربرانی که ادمین شبکه نیستند هم فایل ها را دریافت و نصب کنند

۱۱.اگر گزینه Automatic Updates detection frequency  را فعال کنید می توانید تعیین کنید هر چند وقت یکبار سیستم ها فایل های بروز رسانی را دریافت کنند.

۱۲.گزینه Configure Automatic Updates را بانتخاب کنید

۱۳.در قسمت Configure automatic updating :

الف)انتخاب گزینه Notify for download and notify for install برای مطلع کردن کاربر در هنگام دریافت فایل بروز رسانی و نصب فایل دریافت شده می باشد تا سیستم بعد از تایید کاربر بتواند فایل ها را دریافت و نصب کند

ب)انتخاب گزینه Auto download and notify for install به معنی دریافت خودکار فایل های بروز رسانی توسط سیستم و نصب آن بعد از تایید کردن کاربر می باشد.

ج)انتخاب گزینه Automatic download and schedule the install برای دریافت خودکار فایل های بروز رسانی توسط سیستم و نصب آن پس از طی زمانی که کاربر تعیین می کند انجام بگیرد.

د)انتخاب گزینه Allow local admin to choose setting  باعث می شود تا انتخاب گزینه های موجود در این قسمت توسط ادمین های لوکال هر سیستم صورت بگیرد.

۱۴.اگر گزینه No auto-restart with logged on users for scheduled automat… را فعال کنید ، اگر کاربری در سیستم لاگین باشد ، سیستم بعد از نصب بروز رسانی هایی که نیاز به ریستارت دارند و ما تعیین کردیم که بطور خودکار ریستارت شود ، ریستارت نخواهد شد

توجه : گزینه هایی که در این سناریو گفتیم ، گزینه های مهمی بود که در کتب مایکروسافت اشاره شده بود.اگر شما در شبکه خود نیاز به فعال بودن گزینه دیگری دارید ، آنرا فعال کنید.

اعمال تغییرات انجام شده روی سیستم کاربران شبکه :

به منظور اعمال تغییرات و تنظیماتی که انجام داده اید باید یکبار سرویس WSUS را روی سیستم کاربران ریستارت کنید.که این امر با اجرای دستور زیر در کنسول PowerShell ویندوز محیا خواهد بود :

icm نام کامپیوتر ها  {restart-service wuauserv -force}

نکته : کاربرانی که عضو شبکه Workgroup می باشند را می توان از دو طریق تنظیمات دریافت فایل های بروز رسانی را روی آن ها انجام داد.

روش اول تنظیم کردن روی GPO محلی کاربران

روش دوم تنظیم کردن روی registry bath file ویندوز کاربران.

روش های عضویت کاربران در گروه های ساخته شده در WSUS :

۱.روش sever side targeting :

بدین صورت که ادمین در کنسول WSUS بصورت دستی تعیین کند هر کامپیوتر عضو کدم دسته یا گروه باشد.که روش خوبی محسوب نمی شود.زیرا در ساختار های بزرگ کامپیوتر ها در حال افزایش اند و مرتبا شخصی باید این کار را انجام دهد

۲.روش client-side targeting :

این روش از طریق کنسول Group Policy یا رجیستری ویندوز صورت می پذیرد.

مراحل کار:

۱.برای انجام این روش باید ابتدا در قسمت Option  موجود در کنسول WSUS اجازه انجام client-side targeting را صادر کنید.

۲.در کنسول  Group Policy Management روی گروه های مختلف سازمانی خود راست کلیک کرده و روی گزینه edit کلیک کنید.

۳.برای امکان عضو شدن کاربران در گروه های WSUS به روش client-side targeting ، گزینه Enable client-side targeting در تنظیمات Windows Update که مسیر آن در همین مقاله توضیح داده شده را فعال کنید و در قسمت Target group name for this computer نام گروه مورد نظر خود را وارد کنید.

Automatic Approval rule

این گزینه را در قسمت Option کنسول WSUS مشاهده می کنید که با استفادده از آن شما می توانید رولی بنویسید که فایل های بروز رسانی خاصی اگر به سرور رسید و سرور آن را دریافت کرد ، به کاربران ارسال شود.به صورت پیش فرض یک رول در این گزینه وجود دارد که انتخاب آن باعث می شود تا بروز رسانی های مربوط به امنیت ( security) و Critical به محض دریافت سرور به کاربران ارسال و اجازه نصب داده شود.