Krok 2. Konfigurowanie programu WSUS
Po zainstalowaniu roli serwera usług Windows Server Update Services (WSUS) na serwerze należy ją prawidłowo skonfigurować. Należy również skonfigurować komputery klienckie w celu otrzymywania aktualizacji z serwera programu WSUS.
W tym artykule przedstawiono następujące procedury:
| Zadanie | Opis |
|---|---|
| 2.1. Konfigurowanie połączeń sieciowych | Skonfiguruj ustawienia zapory i serwera proxy, aby umożliwić serwerowi nawiązywanie potrzebnych połączeń. |
| 2.2. Konfigurowanie programu WSUS przy użyciu Kreatora konfiguracji programu WSUS | Użyj Kreatora konfiguracji programu WSUS, aby wykonać podstawową konfigurację programu WSUS. |
| 2.3. Zabezpieczanie usług WSUS przy użyciu protokołu Secure Sockets Layer | Skonfiguruj protokół Secure Sockets Layer (SSL), aby chronić program WSUS. |
| 2.4. Konfigurowanie grup komputerów programu WSUS | Utwórz grupy komputerów w konsoli administracyjnej programu WSUS, aby zarządzać aktualizacjami w organizacji. |
| 2.5. Konfigurowanie komputerów klienckich do nawiązywania połączeń SSL z serwerem WSUS | Skonfiguruj komputery klienckie, aby nawiązać bezpieczne połączenia z serwerem programu WSUS. |
| 2.6. Konfigurowanie komputerów klienckich do odbierania aktualizacji z serwera programu WSUS | Skonfiguruj komputery klienckie, aby otrzymywać aktualizacje z serwera programu WSUS. |
2.1. Konfigurowanie połączeń sieciowych
Przed rozpoczęciem procesu konfiguracji upewnij się, że znasz odpowiedzi na następujące pytania:
Czy zapora serwera jest skonfigurowana tak, aby zezwalała klientom na dostęp do serwera?
Czy ten komputer może nawiązać połączenie z serwerem nadrzędnym (takim jak serwer wyznaczony do pobierania aktualizacji z usługi Microsoft Update)?
Czy masz nazwę serwera proxy i poświadczenia użytkownika dla serwera proxy, jeśli są potrzebne?
Następnie możesz rozpocząć konfigurowanie następujących ustawień sieciowych programu WSUS:
Aktualizacje: określ sposób, w jaki ten serwer będzie pobierał aktualizacje (z usługi Microsoft Update lub z innego serwera WSUS).
proxy: jeśli określono, że program WSUS musi używać serwera proxy do uzyskiwania dostępu do Internetu, należy skonfigurować ustawienia serwera proxy na serwerze WSUS.
Zapora: Jeśli zidentyfikowano, że WSUS znajduje się za zaporą firmową, musisz podjąć dodatkowe kroki na urządzeniu granicznym, aby umożliwić ruch WSUS.
Ważne
Jeśli masz tylko jeden serwer WSUS, musi mieć dostęp do Internetu, ponieważ musi pobierać aktualizacje od firmy Microsoft. Jeśli masz wiele serwerów WSUS, tylko jeden serwer wymaga dostępu do Internetu. Pozostałe potrzebują tylko dostępu sieciowego do serwera WSUS połączonego z Internetem. Komputery klienckie nie potrzebują dostępu do Internetu; potrzebują tylko dostępu sieciowego do serwera WSUS.
Wskazówka
Jeśli twoja sieć jest izolowana od sieci, jeśli nie ma dostępu do internetu w ogóle, nadal możesz używać programu WSUS do dostarczania aktualizacji komputerom klienckim w sieci. Takie podejście wymaga dwóch serwerów WSUS. Jeden serwer WSUS z dostępem do Internetu zbiera aktualizacje od firmy Microsoft. Drugi serwer WSUS w chronionej sieci obsługuje aktualizacje komputerów klienckich. Aktualizacje są eksportowane z pierwszego serwera na nośniki wymienne, przenoszone przez szczelinę powietrzną i importowane na drugi serwer. Jest to zaawansowana konfiguracja, która wykracza poza zakres tego artykułu.
2.1.1. Skonfiguruj zaporę, aby umożliwić pierwszemu serwerowi WSUS łączenie się z domenami firmy Microsoft w Internecie
Jeśli zapora firmowa znajduje się między usługami WSUS i Internetem, może być konieczne skonfigurowanie tej zapory w celu zapewnienia, że program WSUS może uzyskiwać aktualizacje. Aby uzyskać aktualizacje z usługi Microsoft Update, serwer WSUS używa portów 80 i 443 dla protokołów HTTP i HTTPS. Chociaż większość zapór firmowych zezwala na ten typ ruchu, niektóre firmy ograniczają dostęp do Internetu z serwerów z powodu zasad zabezpieczeń. Jeśli firma ogranicza dostęp, musisz skonfigurować zaporę, aby zezwolić serwerowi WSUS na dostęp do domen firmy Microsoft.
Pierwszy serwer WSUS musi mieć dostęp wychodzący do portów 80 i 443 w następujących domenach:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
http://go.microsoft.com
http://dl.delivery.mp.microsoft.com
https://dl.delivery.mp.microsoft.com
http://*.delivery.mp.microsoft.com
https://*.delivery.mp.microsoft.com
Ważne
Należy skonfigurować zaporę, aby zezwolić pierwszemu serwerowi WSUS na dostęp do dowolnego adresu URL w tych domenach. Adresy IP skojarzone z tymi domenami stale się zmieniają, więc zamiast tego nie próbuj używać zakresów adresów IP.
W scenariuszu, w którym program WSUS nie może pobrać aktualizacji z powodu konfiguracji zapory, zobacz artykuł 885819 w bazie wiedzy Microsoft Knowledge Base.
2.1.2. Skonfiguruj zaporę, aby zezwolić innym serwerom WSUS na nawiązywanie połączenia z pierwszym serwerem
Jeśli masz wiele serwerów WSUS, należy skonfigurować inne serwery WSUS w celu uzyskania dostępu do pierwszego serwera ("najwyższego poziomu"). Inne serwery WSUS otrzymają wszystkie informacje o aktualizacji z najwyższego poziomu serwera. Ta konfiguracja umożliwia zarządzanie całą siecią przy użyciu konsoli administracyjnej programu WSUS na najwyższym serwerze.
Inne serwery WSUS muszą mieć dostęp wychodzący do serwera najwyższego poziomu za pośrednictwem dwóch portów. Domyślnie są to porty 8530 i 8531. Te porty można zmienić zgodnie z opisem w dalszej części tego artykułu.
Uwaga
Jeśli połączenie sieciowe między serwerami programu WSUS jest powolne lub kosztowne, możesz skonfigurować jeden lub więcej innych serwerów programu WSUS w celu odbierania ładunków aktualizacji bezpośrednio od firmy Microsoft. W takim przypadku tylko niewielka ilość danych zostanie wysłana z tych serwerów programu WSUS do najwyższego poziomu serwera. Aby ta konfiguracja działała, inne serwery WSUS muszą mieć dostęp do tych samych domen internetowych, co główny serwer.
Uwaga
Jeśli masz dużą organizację, możesz używać łańcuchów połączonych serwerów WSUS, zamiast łączyć wszystkie inne serwery WSUS bezpośrednio z serwerem najwyższego poziomu. Na przykład można mieć drugi serwer WSUS, który łączy się z serwerem najwyższego poziomu, a następnie inne serwery WSUS łączą się z drugim serwerem WSUS.
2.1.3. Skonfiguruj serwery WSUS do korzystania z serwera proxy, jeśli jest to konieczne
Jeśli sieć firmowa korzysta z serwerów proxy, serwery proxy muszą obsługiwać protokoły HTTP i HTTPS. Muszą również używać uwierzytelniania podstawowego lub uwierzytelniania systemu Windows. Te wymagania można spełnić przy użyciu jednej z następujących konfiguracji:
Jeden serwer proxy obsługujący dwa kanały protokołu. W takim przypadku ustaw jeden kanał do używania protokołu HTTP i drugi kanał do używania protokołu HTTPS.
Uwaga
Podczas instalacji oprogramowania serwera WSUS można skonfigurować jeden serwer proxy obsługujący oba protokoły programu WSUS.
Dwa serwery proxy, z których każdy obsługuje jeden protokół. W takim przypadku jeden serwer proxy jest skonfigurowany do używania protokołu HTTP, a drugi serwer proxy jest skonfigurowany do używania protokołu HTTPS.
Aby skonfigurować program WSUS do używania dwóch serwerów proxy
Zaloguj się na komputerze, który będzie serwerem programu WSUS przy użyciu konta, które jest członkiem grupy Administratorzy lokalni.
Zainstaluj rolę serwera programu WSUS. W Kreatorze konfiguracji programu WSUS nie należy określać serwera proxy.
Otwórz wiersz polecenia (Cmd.exe) jako administrator:
- Przejdź do Start.
- W Start Searchwpisz wiersz polecenia.
- W górnej części menu Start kliknij prawym przyciskiem myszy wiersz polecenia, a następnie wybierz pozycję Uruchom jako administrator.
- Jeśli zostanie wyświetlone okno dialogowe Kontrola konta użytkownika, wprowadź odpowiednie poświadczenia (jeśli jest to wymagane), upewnij się, że akcja, która jest wyświetlana, jest tą, którą chcesz wykonać, a następnie wybierz pozycję Kontynuuj.
W oknie wiersza polecenia przejdź do folderu C:\Program Files\Update Services\Tools. Wprowadź następujące polecenie:
wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enableW tym poleceniu:
proxy_server jest nazwą serwera proxy, który obsługuje protokół HTTPS.
proxy_port jest numerem portu serwera proxy.
Zamknij okno wiersza polecenia.
Aby dodać serwer proxy do konfiguracji programu WSUS
Otwórz konsolę administracyjną programu WSUS.
W lewym panelu rozwiń nazwę serwera, a następnie wybierz pozycję Opcje.
W okienku Opcje wybierz źródło aktualizacji i serwer aktualizacji, a następnie wybierz kartę Serwer proxy.
Zaznacz pole wyboru Użyj serwera proxy podczas synchronizowania.
W polu tekstowym nazwa serwera proxy wprowadź nazwę serwera proxy.
W polu tekstowym numer portu serwera proxy wprowadź numer portu serwera proxy. Domyślny numer portu to 80.
Jeśli serwer proxy wymaga użycia określonego konta użytkownika, zaznacz pole wyboru Użyj poświadczeń użytkownika do nawiązania połączenia z serwerem proxy. Wprowadź wymaganą nazwę użytkownika, domenę i hasło w odpowiednich polach tekstowych.
Jeśli serwer proxy obsługuje uwierzytelnianie podstawowe, zaznacz pole wyboru Zezwalaj na uwierzytelnianie podstawowe (hasło jest wysyłane w postaci zwykłego tekstu).
Kliknij przycisk OK.
Aby usunąć serwer proxy z konfiguracji programu WSUS
Wyczyść pole wyboru Użyj serwera proxy podczas synchronizowania.
Kliknij przycisk OK.
2.1.4. Skonfiguruj zaporę, aby zezwolić komputerom klienckim na dostęp do serwera WSUS
Wszystkie komputery klienckie będą łączyć się z jednym z serwerów programu WSUS. Komputer kliencki musi mieć dostęp wychodzący do dwóch portów na serwerze WSUS. Domyślnie są to porty 8530 i 8531.
2.2. Konfigurowanie programu WSUS przy użyciu Kreatora konfiguracji programu WSUS
W tej procedurze przyjęto założenie, że używasz Kreatora konfiguracji programu WSUS, który jest wyświetlany po raz pierwszy podczas uruchamiania konsoli zarządzania programu WSUS. W dalszej części tego tematu dowiesz się, jak wykonać te konfiguracje przy użyciu strony Opcje.
Aby skonfigurować program WSUS
W lewym okienku Menedżera serwera wybierz pozycję Dashboard>Tools>Windows Server Update Services.
Uwaga
Jeśli zostanie wyświetlone okno dialogowe Zakończ instalację programu WSUS , wybierz pozycję Uruchom. W oknie dialogowym Ukończ instalację programu WSUS wybierz pozycję Zamknij po pomyślnym zakończeniu instalacji.
Kreator konfiguracji programu WSUS zostanie otwarty. Na stronie Przed rozpoczęciem przejrzyj informacje, a następnie wybierz pozycję Dalej.
Przeczytaj instrukcje na stronie Dołącz do programu Microsoft Update Improvement Program . Zachowaj domyślny wybór, jeśli chcesz uczestniczyć w programie, lub wyczyść pole wyboru, jeśli tego nie zrobisz. Następnie wybierz Dalej.
Na stronie Wybierz nadrzędny serwer wybierz jedną z dwóch opcji: Zsynchronizuj aktualizacje z usługą Microsoft Update lub Synchronizuj z innego serwera windows Server Update Services.
Jeśli wybierzesz synchronizację z innego serwera WSUS:
Określ nazwę serwera i port, na którym ten serwer będzie komunikować się z serwerem nadrzędnym.
Aby użyć protokołu SSL, zaznacz pole wyboru Użyj protokołu SSL podczas synchronizowania informacji o aktualizacji. Serwery będą używać portu 443 do synchronizacji. (Upewnij się, że ten serwer i nadrzędny serwer obsługują protokół SSL).
Jeśli jest to serwer repliki, zaznacz Jest to replika nadrzędnego serwera pole wyboru.
Po wybraniu opcji wdrożenia wybierz pozycję Dalej.
Na stronie Określ serwer proxy zaznacz pole wyboru Użyj serwera proxy podczas synchronizowania. Następnie wprowadź nazwę serwera proxy i numer portu (domyślnie port 80) w odpowiednich polach.
Ważne
Należy wykonać ten krok, jeśli ustalono, że program WSUS potrzebuje serwera proxy, aby mieć dostęp do Internetu.
Jeśli chcesz nawiązać połączenie z serwerem proxy przy użyciu określonych poświadczeń użytkownika, zaznacz pole wyboru Użyj poświadczeń użytkownika, aby nawiązać połączenie z serwerem proxy . Następnie wprowadź nazwę użytkownika, domenę i hasło użytkownika w odpowiednich polach.
Jeśli chcesz włączyć uwierzytelnianie podstawowe dla użytkownika, który nawiązuje połączenie z serwerem proxy, zaznacz pole wyboru Zezwalaj na uwierzytelnianie podstawowe (hasło jest wysyłane w zwykłego tekstu).
Wybierz Dalej.
Na stronie Połącz z serwerem nadrzędnym wybierz pozycję Rozpocznij nawiązywanie połączenia.
Gdy program WSUS nawiązuje połączenie z serwerem, wybierz pozycję Dalej.
Na stronie Wybierz języki możesz wybrać języki, z których program WSUS będzie otrzymywać aktualizacje: wszystkie języki lub podzbiór języków. Wybranie podzbioru języków spowoduje zapisanie miejsca na dysku, ale ważne jest, aby wybrać wszystkie języki, których potrzebują wszyscy klienci tego serwera WSUS.
Jeśli wybierzesz opcję pobierania aktualizacji tylko dla określonych języków, wybierz pozycję Pobierz aktualizacje tylko w tych językach, a następnie wybierz języki, dla których chcesz zaktualizować. W przeciwnym razie pozostaw wybór domyślny.
Ostrzeżenie
Jeśli wybierzesz opcję Pobierz aktualizacje tylko w tych językach, a ten serwer ma serwer podrzędny WSUS podłączony do niego, ta opcja zmusi serwer podrzędny do używania tylko wybranych języków.
Po wybraniu opcji języka dla wdrożenia wybierz pozycję Dalej.
Strona Wybierz produkty umożliwia określenie produktów, dla których chcesz zaktualizować. Wybierz kategorie produktów, takie jak Windows lub określone produkty, takie jak Windows Server 2012. Wybranie kategorii produktów umożliwia wybranie wszystkich produktów w tej kategorii.
Po wybraniu opcji produktu dla wdrożenia wybierz pozycję Dalej.
Na stronie Wybierz klasyfikacje wybierz klasyfikacje aktualizacji, które chcesz otrzymać. Wybierz wszystkie klasyfikacje lub ich podzbiór, a następnie wybierz Dalej.
Na stronie Ustaw harmonogram synchronizacji można wybrać, czy przeprowadzić synchronizację ręcznie, czy automatycznie.
Jeśli wybierzesz opcję Synchronizuj ręcznie, musisz uruchomić proces synchronizacji z poziomu konsoli administracyjnej programu WSUS.
Jeśli wybierzesz opcję Synchronizuj automatycznie, serwer programu WSUS będzie synchronizowany w określonych odstępach czasu.
Ustaw czas pierwszej synchronizacji , a następnie określ liczbę synchronizacji dziennie, które mają być wykonywane przez ten serwer. Jeśli na przykład określisz cztery synchronizacje dziennie, począwszy od 3:00, synchronizacje będą wykonywane o godzinie 3:00, 9:00, 19:00 i 19:00.
Po wybraniu opcji synchronizacji dla wdrożenia wybierz pozycję Dalej.
Na stronie Zakończono masz możliwość natychmiastowego rozpoczęcia synchronizacji, zaznaczając pole wyboru Rozpocznij synchronizację początkową.
Jeśli nie wybierzesz tej opcji, musisz użyć konsoli zarządzania programu WSUS do przeprowadzenia synchronizacji początkowej. Wybierz Dalej, jeśli chcesz dowiedzieć się więcej o dodatkowych ustawieniach, lub wybierz Zakończ, aby zakończyć działanie tego kreatora i początkową konfigurację programu WSUS.
Po wybraniu Zakończzostanie wyświetlona konsola administracyjna programu WSUS. Ta konsola będzie używana do zarządzania siecią programu WSUS zgodnie z opisem w dalszej części.
2.3. Zabezpieczanie usług WSUS przy użyciu protokołu Secure Sockets Layer
Aby zabezpieczyć sieć WSUS, należy użyć protokołu SSL. Program WSUS może używać protokołu SSL do uwierzytelniania połączeń oraz szyfrowania i ochrony informacji o aktualizacji.
Ostrzeżenie
Zabezpieczanie usług WSUS przy użyciu protokołu SSL jest ważne dla bezpieczeństwa sieci. Jeśli serwer WSUS nie używa poprawnie protokołu SSL do zabezpieczenia swoich połączeń, osoba atakująca może być w stanie zmodyfikować kluczowe informacje o aktualizacji, gdy są wysyłane z jednego serwera WSUS na inny lub z serwera WSUS na komputery klienckie. Umożliwi to atakującemu zainstalowanie złośliwego oprogramowania na komputerach klienckich.
Ważne
Klienci i serwery podrzędne skonfigurowane do używania protokołu Transport Layer Security (TLS) lub HTTPS muszą być również skonfigurowane do używania w pełni kwalifikowanej nazwy domeny (FQDN) dla nadrzędnego serwera WSUS.
2.3.1. Włącz SSL/HTTPS w usłudze IIS serwera WSUS, aby używać SSL/HTTPS.
Aby rozpocząć proces, należy włączyć obsługę protokołu SSL w usłudze IIS serwera WSUS. Ten wysiłek polega na utworzeniu certyfikatu SSL dla serwera.
Kroki wymagane do uzyskania certyfikatu SSL dla serwera wykraczają poza zakres tego artykułu i zależą od konfiguracji sieci. Aby uzyskać więcej informacji i instrukcji dotyczących sposobu instalowania certyfikatów i konfigurowania tego środowiska, zalecamy następujące artykuły:
2.3.2. Skonfiguruj serwer IIS na serwerze WSUS, aby używać protokołu SSL dla niektórych połączeń.
Program WSUS wymaga dwóch portów dla połączeń z innymi serwerami programu WSUS i komputerami klienckimi. Jeden port używa protokołu SSL/HTTPS do wysyłania metadanych aktualizacji (kluczowe informacje o aktualizacjach). Domyślnie jest to port 8531. Drugi port używa protokołu HTTP do wysyłania ładunków aktualizacji. Domyślnie jest to port 8530.
Ważne
Nie można skonfigurować całej witryny internetowej programu WSUS tak, aby wymagała protokołu SSL. Program WSUS został zaprojektowany tak, aby szyfrować tylko metadane aktualizacji. Jest to taki sam sposób, w jaki usługa Windows Update dystrybuuje aktualizacje.
Aby chronić przed naruszeniem ładunków aktualizacji przez osobę atakującą, wszystkie ładunki aktualizacji są podpisane za pomocą określonego zestawu zaufanych certyfikatów podpisywania. Ponadto skrót kryptograficzny jest obliczany dla każdego ładunku aktualizacji. Skrót jest wysyłany do komputera klienckiego za pośrednictwem bezpiecznego połączenia metadanych HTTPS wraz z innymi metadanymi aktualizacji. Po pobraniu aktualizacji oprogramowanie klienckie weryfikuje podpis cyfrowy i skrót ładunku. Jeśli aktualizacja została zmieniona, nie jest zainstalowana.
Powinno się wymagać protokołu SSL jedynie dla wirtualnych katalogów głównych usług IIS.
SimpleAuthWebService
DSSAuthWebService
ServerSyncWebService
APIremoting30
UsługaWebClienta
Nie należy wymagać protokołu SSL dla tych wirtualnych katalogów głównych:
Zawartość
Zapasy
UsługaRaportowaniaWeb
Autoaktualizacja
Certyfikat urzędu certyfikacji (CA) musi zostać zaimportowany do magazynu zaufanych głównych urzędów certyfikacji każdego serwera programu WSUS dla komputera lokalnego lub magazynu zaufanych głównych urzędów certyfikacji dla serwera WSUS, jeśli istnieje.
Aby uzyskać więcej informacji na temat używania certyfikatów SSL w usługach IIS, zobacz Require Secure Sockets Layer (IIS 7).
Ważne
Należy użyć magazynu certyfikatów dla komputera lokalnego. Nie można użyć magazynu certyfikatów użytkownika.
Zwykle należy skonfigurować usługi IIS do używania portu 8531 dla połączeń HTTPS i portu 8530 dla połączeń HTTP. W przypadku zmiany tych portów należy użyć dwóch sąsiednich numerów portów. Numer portu używany dla połączeń HTTP musi być dokładnie 1 mniejszy niż numer portu używany w przypadku połączeń HTTPS.
Należy ponownie zainicjować ClientServicingProxy, jeśli nazwa serwera, konfiguracja protokołu SSL lub numer portu uległ zmianie.
2.3.3. Konfigurowanie programu WSUS do używania certyfikatu podpisywania SSL dla połączeń klienckich
Zaloguj się do serwera programu WSUS przy użyciu konta, które jest członkiem grupy Administratorzy programu WSUS lub grupy Administratorzy lokalni.
Przejdź do pozycji Uruchom, wpisz CMD , kliknij prawym przyciskiem myszy wiersza polecenia, a następnie wybierz polecenie Uruchom jako administrator.
Przejdź do folderu %ProgramFiles%\Update Services\Tools\.
W oknie wiersza polecenia wprowadź następujące polecenie:
wsusutil configuressl _certificateName_W tym poleceniu certificateName jest nazwą DNS serwera WSUS.
2.3.4. Zabezpieczanie połączenia z programem SQL Server w razie potrzeby
Jeśli używasz programu WSUS ze zdalną bazą danych programu SQL Server, połączenie między serwerem programu WSUS i serwerem bazy danych nie jest zabezpieczone za pośrednictwem protokołu SSL. Spowoduje to utworzenie potencjalnego wektora ataku. Aby ułatwić ochronę tego połączenia, należy wziąć pod uwagę następujące zalecenia:
Przenieś bazę danych programu WSUS na serwer programu WSUS.
Przenieś zdalny serwer bazy danych i serwer WSUS do sieci prywatnej.
Wdróż zabezpieczenia protokołu internetowego (IPsec), aby ułatwić zabezpieczanie ruchu sieciowego. Aby uzyskać więcej informacji na temat protokołu IPsec, zobacz Tworzenie i używanie zasad protokołu IPsec.
2.3.5. W razie potrzeby utwórz certyfikat podpisywania kodu na potrzeby lokalnego publikowania
Oprócz dystrybucji aktualizacji zapewnianych przez firmę Microsoft program WSUS obsługuje publikowanie lokalne. Publikowanie lokalne umożliwia tworzenie i dystrybuowanie aktualizacji, które projektujesz samodzielnie, przy użyciu własnych ładunków i zachowań.
Włączanie i konfigurowanie lokalnego publikowania wykracza poza zakres tego artykułu. Aby uzyskać szczegółowe informacje, zobacz Lokalne publikowanie.
Ważne
Publikowanie lokalne jest skomplikowanym procesem i często nie jest potrzebne. Przed podjęciem decyzji o włączeniu lokalnego publikowania należy dokładnie przejrzeć dokumentację i zastanowić się, czy i jak będziesz korzystać z tej funkcji.
2.4. Konfigurowanie grup komputerów programu WSUS
Grupy komputerów są ważną częścią efektywnego korzystania z usług WSUS. Grupy komputerów umożliwiają testowanie i określanie docelowych aktualizacji określonych komputerów. Istnieją dwie domyślne grupy komputerów: Wszystkie komputery i Komputery nieprzypisane. Domyślnie gdy każdy komputer kliencki najpierw kontaktuje się z serwerem programu WSUS, serwer dodaje ten komputer kliencki do obu tych grup.
Możesz utworzyć dowolną liczbę niestandardowych grup komputerów potrzebnych do zarządzania aktualizacjami w organizacji. Najlepszym rozwiązaniem jest utworzenie co najmniej jednej grupy komputerów w celu przetestowania aktualizacji przed wdrożeniem ich na innych komputerach w organizacji.
2.4.1. Wybieranie podejścia do przypisywania komputerów klienckich do grup komputerów
Istnieją dwa podejścia do przypisywania komputerów klienckich do grup komputerów. Odpowiednie podejście dla organizacji zależy od tego, jak zwykle zarządzasz komputerami klienckimi.
Określanie kierowania po stronie serwera: To jest podejście domyślne. W tym podejściu komputery klienckie są przypisywane do grup komputerów przy użyciu konsoli administracyjnej programu WSUS.
Takie podejście zapewnia elastyczność szybkiego przenoszenia komputerów klienckich z jednej grupy do innej w miarę zmiany okoliczności. Oznacza to jednak, że nowe komputery klienckie muszą zostać ręcznie przeniesione z grupy Komputery nieprzypisane do odpowiedniej grupy komputerów.
Ukierunkowanie po stronie klienta: W tym podejściu przypisujesz każdy komputer kliencki do grup komputerowych, używając ustawień zasad skonfigurowanych bezpośrednio na tym komputerze.
Takie podejście ułatwia przypisywanie nowych komputerów klienckich do odpowiednich grup. Należy to zrobić w ramach konfigurowania komputera klienckiego do odbierania aktualizacji z serwera WSUS. Oznacza to jednak, że komputery klienckie nie mogą być przypisane do grup komputerów ani przenoszone z jednej grupy komputerów do innej za pośrednictwem konsoli administracyjnej programu WSUS. Zamiast tego należy zmodyfikować zasady komputerów klienckich.
2.4.2. Włącz określanie wartości docelowej po stronie klienta, jeśli jest to konieczne
Ważne
Pomiń ten krok, jeśli użyjesz adresowania po stronie serwera.
W konsoli administracyjnej programu WSUS pod obszarem Update Servicesrozwiń serwer programu WSUS, a następnie wybierz pozycję Opcje.
Na karcie Ogólne w okienku Opcje wybierz pozycję Użyj zasad grupy lub ustawień rejestru na komputerach.
2.4.3. Tworzenie żądanych grup komputerów
Uwaga
Grupy komputerów należy utworzyć przy użyciu konsoli administracyjnej programu WSUS niezależnie od tego, czy używasz określania wartości docelowej po stronie serwera, czy określania wartości docelowej po stronie klienta, aby dodać komputery klienckie do grup komputerów.
W konsoli administracyjnej programu WSUS, w obszarze Update Services, rozwiń serwer programu WSUS, rozwiń węzeł Komputery, kliknij prawym przyciskiem myszy Wszystkie komputery, a następnie wybierz pozycję Dodaj grupę komputerów.
W oknie dialogowym Dodaj grupę komputerów, dla pola Nazwa , określ nazwę nowej grupy. Następnie wybierz pozycję Dodaj.
2.5. Konfigurowanie komputerów klienckich do nawiązywania połączeń SSL z serwerem WSUS
Zakładając, że skonfigurowano serwer programu WSUS w celu ochrony połączeń komputerów klienckich przy użyciu protokołu SSL, należy skonfigurować komputery klienckie tak, aby ufały tym połączeniom SSL.
Certyfikat SSL serwera WSUS musi zostać zaimportowany do magazynu zaufanego głównego urzędu certyfikacji na komputerach klienckich lub do magazynu zaufanego głównego urzędu certyfikacji usługi automatycznej aktualizacji na komputerach klienckich, jeśli taki istnieje.
Ważne
Należy użyć magazynu certyfikatów dla komputera lokalnego. Nie można użyć magazynu certyfikatów użytkownika.
Komputery klienckie muszą ufać certyfikatowi, z którym jest powiązany serwer programu WSUS. W zależności od typu używanego certyfikatu może być konieczne skonfigurowanie usługi w celu umożliwienia komputerom klienckim zaufania certyfikatowi powiązanemu z serwerem programu WSUS.
Jeśli używasz lokalnego publikowania, należy również skonfigurować komputery klienckie, aby ufały certyfikatowi podpisywania kodu serwera WSUS. Aby uzyskać instrukcje, zobacz Lokalne publikowanie.
2.6. Konfigurowanie komputerów klienckich do odbierania aktualizacji z serwera programu WSUS
Domyślnie komputery klienckie otrzymują aktualizacje z usługi Windows Update. Należy je skonfigurować do odbierania aktualizacji z serwera WSUS.
Ważne
W tym artykule przedstawiono jeden zestaw kroków konfigurowania komputerów klienckich przy użyciu zasad grupy. Te kroki są odpowiednie w wielu sytuacjach. Istnieje jednak wiele innych opcji konfigurowania zachowania aktualizacji na komputerach klienckich, w tym przy użyciu zarządzania urządzeniami przenośnymi. Te opcje opisano w Zarządzanie dodatkowymi ustawieniami usługi Windows Update.
2.6.1. Wybierz prawidłowy zestaw zasad do edycji
Jeśli skonfigurowano usługę Active Directory w sieci, można skonfigurować jeden lub wiele komputerów jednocześnie, dołączając je do obiektu zasad grupy (GPO), a następnie konfigurując ten obiekt zasad grupy przy użyciu ustawień programu WSUS.
Zalecamy utworzenie nowego obiektu zasad grupy zawierającego tylko ustawienia programu WSUS. Połącz ten GPO WSUS z kontenerem Active Directory odpowiednim dla danego środowiska.
W prostym środowisku można połączyć pojedynczy obiekt zasad grupy programu WSUS z domeną. W bardziej złożonym środowisku można połączyć wiele obiektów zasad grupy programu WSUS z kilkoma jednostkami organizacyjnymi . Łączenie GPO z jednostkami organizacyjnymi umożliwi zastosowanie ustawień zasad programu WSUS do różnych typów komputerów.
Jeśli nie używasz usługi Active Directory w sieci, skonfigurujesz każdy komputer przy użyciu Edytora lokalnych zasad grupy.
2.6.2. Edytowanie zasad w celu skonfigurowania komputerów klienckich
Uwaga
W tych instrukcjach przyjęto założenie, że używasz najnowszych wersji narzędzi do edytowania zasad. W starszych wersjach narzędzi zasady mogą być rozmieszczone inaczej.
Otwórz odpowiedni obiekt zasad:
- Jeśli używasz usługi Active Directory, otwórz konsolę zarządzania zasadami grupy, przejdź do obiektu zasad grupy, w którym chcesz skonfigurować WSUS, a następnie wybierz pozycję Edytuj. Następnie rozwiń węzeł Konfiguracja komputera oraz rozwiń Zasady.
- Jeśli nie używasz usługi Active Directory, otwórz Edytor lokalnych zasad grupy. Zostanie wyświetlone zasady komputera lokalnego. Rozwiń Konfiguracja komputera.
W obiekcie, który rozwinięto w poprzednim kroku, rozwiń szablony administracyjne , rozwiń składniki systemu Windows , rozwiń Windows Update , i wybierz Zarządzanie doświadczeniem użytkownika końcowego .
W okienku szczegółów kliknij dwukrotnie Skonfiguruj aktualizacje automatyczne. Zostanie otwarta polityka Konfigurowanie aktualizacji automatycznych.
Wybierz pozycję Włączone, a następnie wybierz odpowiednią opcję w obszarze Skonfiguruj automatyczne aktualizowanie ustawienia, aby zarządzać sposobem pobierania i instalowania zatwierdzonych aktualizacji automatycznych.
Zalecamy użycie opcji Automatycznego pobierania oraz opcji zaplanowania instalacji. Gwarantuje to, że aktualizacje zatwierdzone w programie WSUS zostaną pobrane i zainstalowane w odpowiednim czasie bez konieczności interwencji użytkownika.
W razie potrzeby zmodyfikuj inne części zasad zgodnie z opisem w Zarządzanie dodatkowymi ustawieniami usługi Windows Update.
Uwaga
Pole wyboru Zainstaluj aktualizacje z innych produktów firmy Microsoft nie ma wpływu na komputery klienckie odbierające aktualizacje z programu WSUS. Komputery klienckie otrzymają wszystkie aktualizacje zatwierdzone dla nich na serwerze programu WSUS.
Wybierz pozycję OK, aby zamknąć zasadę Konfiguruj aktualizacje automatyczne.
Po powrocie do węzła Windows Update drzewa, wybierz Zarządzaj aktualizacjami oferowanymi przez usługę Windows Server Update Service.
W okienku szczegółów Zarządzaj aktualizacjami oferowanymi w usłudze Windows Server Update Service kliknij dwukrotnie Określ intranetową lokalizację usługi aktualizacji firmy Microsoft. Zostanie otwarta zasada Określ intranetową lokalizację usługi aktualizacji firmy Microsoft.
Wybierz Włącz, a następnie wprowadź adres URL serwera WSUS w obu polach tekstowych: Ustaw usługę aktualizacji intranetu do wykrywania aktualizacji oraz Ustaw serwer statystyk intranetu.
Ostrzeżenie
Upewnij się, że w adresie URL znajduje się poprawny port. Zakładając, że serwer został skonfigurowany do używania protokołu SSL zgodnie z zaleceniami, należy określić port skonfigurowany dla protokołu HTTPS. Jeśli na przykład wybrano port 8531 dla protokołu HTTPS, a nazwa domeny serwera jest wsus.contoso.com, należy wprowadzić https://wsus.contoso.com:8531 w obu polach tekstowych.
Wybierz pozycję OK, aby zamknąć Określ intranetową lokalizację usługi aktualizacji firmy Microsoft zasad.
Skonfiguruj targetowanie po stronie klienta, jeśli jest to odpowiednie
Jeśli zdecydowałeś się na korzystanie z kierowania po stronie klienta, powinieneś teraz wybrać odpowiednią grupę dla komputerów klienckich, które konfigurujesz.
Uwaga
W tych krokach założono, że właśnie wykonano kroki edytowania zasad w celu skonfigurowania komputerów klienckich.
W okienku szczegółów Zarządzaj aktualizacjami oferowanymi w usłudze Windows Server Update Service kliknij dwukrotnie Włącz określanie wartości docelowej po stronie klienta. Otwiera się zasada włączania celowania po stronie klienta.
Wybierz Włączone, a następnie wprowadź nazwę grupy komputerów WSUS, do której chcesz dodać komputery klienckie, w polu Nazwa grupy docelowej dla tego komputera .
Jeśli używasz bieżącej wersji programu WSUS, możesz dodać komputery klienckie do wielu grup komputerów, wprowadzając nazwy grup rozdzielone średnikami. Na przykład możesz wprowadzić Accounting;Executive, aby dodać komputery klienckie zarówno do grup komputerów Accounting, jak i Executive.
Wybierz pozycję OK, aby zamknąć zasadę Włącz określanie wartości docelowych po stronie klienta.
2.6.3. Zezwalanie komputerowi klienckim na nawiązywanie połączenia z serwerem programu WSUS
Komputery klienckie nie będą wyświetlane w konsoli administracyjnej programu WSUS, dopóki nie połączą się z serwerem programu WSUS po raz pierwszy.
Poczekaj na wprowadzenie zmian zasad na komputerze klienckim.
Jeśli do skonfigurowania komputerów klienckich użyto Obiektu zasad grupy opartego na usłudze Active Directory, mechanizm aktualizacji zasad grupy będzie potrzebował pewnego czasu na dostarczenie zmian do komputera klienckiego. Jeśli chcesz przyspieszyć ten proces, możesz otworzyć okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie wprowadzić polecenie gpupdate /force.
Jeśli do skonfigurowania pojedynczego komputera klienckiego użyto Edytora lokalnych zasad grupy, zmiany zostaną wprowadzone natychmiast.
Uruchom ponownie komputer kliencki. Ten krok zapewnia, że oprogramowanie Windows Update na komputerze wykryje zmiany zasad.
Zezwalaj komputerowi klienckim na skanowanie pod kątem aktualizacji. To skanowanie zwykle trwa trochę czasu.
Proces można przyspieszyć, korzystając z jednej z następujących opcji:
- W systemie Windows 10 lub 11 użyj strony Windows Update ustawienia , aby ręcznie sprawdzić dostępność aktualizacji.
- W wersjach systemu Windows przed windows 10 użyj ikony Windows Update w Panelu sterowania, aby ręcznie sprawdzić dostępność aktualizacji.
- W wersjach systemu Windows przed Windows 10 otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i wprowadź polecenie wuauclt /detectnow.
2.6.4 Sprawdź pomyślne połączenie komputera klienckiego z serwerem programu WSUS
Jeśli wszystkie poprzednie kroki zostały wykonane pomyślnie, zostaną wyświetlone następujące wyniki:
Komputer kliencki pomyślnie skanuje pod kątem aktualizacji. (Może lub nie może znaleźć żadnych odpowiednich aktualizacji do pobrania i zainstalowania).
W ciągu około 20 minut komputer klienta pojawi się na liście komputerów wyświetlanych w konsoli administracyjnej programu WSUS, na podstawie typu targetowania.
Jeśli używasz targetowania serwerowego, komputer użytkownika pojawi się w grupach komputerów: Wszystkie komputery oraz Komputery nieprzypisane.
Jeśli używasz określania wartości docelowej po stronie klienta, komputer kliencki zostanie wyświetlony w grupie komputerów Wszystkie komputery i w grupie komputerów wybranej podczas konfigurowania komputera klienckiego.
2.6.5. Skonfiguruj docelowe ustawienia po stronie serwera dla komputera klienckiego, jeśli jest to odpowiednie.
Jeśli używasz określania wartości docelowej po stronie serwera, należy teraz dodać nowy komputer kliencki do odpowiednich grup komputerów.
W konsoli administracyjnej programu WSUS znajdź nowy komputer kliencki. Powinien zostać wyświetlony w grupach komputerów Wszystkie komputery i Komputery nieprzypisane na liście komputerów serwera WSUS.
Kliknij prawym przyciskiem myszy komputer kliencki i wybierz pozycję Zmień członkostwo.
W oknie dialogowym wybierz odpowiednie grupy komputerów, a następnie wybierz pozycję OK.