Настройка клиентов Windows Server Update Services (WSUS)

Третья заметка из серии про WSUS. Первая - тут, вторая - тут

Настройка компьютеров рабочей группы или отдельно стоящих серверов

Для настройки компьютеров в данном случае потребуется оснастка «Редактор объекта групповой политики». Чтобы ее открыть, сделайте следующее:

1. Выбрать на сервере оснастку «Редактор объектов групповой политики».
2. Хочу создать правило для обновления ОС компьютера. Открываю во вкладке «Конфигурация компьютера» ветку Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows
3. Выбираю правило «Настройка автоматического обновления».
4. В окне настройки автоматического обновления включаю правило и указываю параметры. По умолчанию выбран режим настройки №3 – автоматическая загрузка и уведомление об установке. Возможна так же установка обновлений по расписанию. Далее -  «Применить» и «Следующий параметр»
5. Следующий параметр - правило «Указать размещение службы обновлений Майкрософт в интрасети», указать расположение службы обновлений, а так же сервер статистики (у меня в этой роли выступает мой же сервер). Жмем - ОК.
6. Закрыть оснастку

Все… правила начнут действовать сразу.

Настройка компьютеров домена

Для настройки компьютеров домена на обновление с корпоративного сервера WSUS необходимо иметь права администратора домена Windows (банально звучит :) ).
Для настройки вам потребуется оснастка GPMC (Group Policy Management Console - Оснастка Управления Групповой Политикой).
Шаги по настройке:
1. Запустить с помощью меню Пуск - Выполнить - GPMC.msc
2. Открыть ветку Домены – Имя_Домена – Объекты групповой политики и правой кнопкой мыши выбрать меню «Создать»
3. В поле «Имя» указать имя нового объекта групповой политики (у меня - “WSUS Group Policy”), ОК.
4. В правом окне оснастки найти имя объекта и правой кнопкой выбрать «Изменить». Откроется оснастка «Редактор управления групповыми политиками»
5. Далее, необходимо выполнить те же самые шаги, что описаны в предыдущем разделе.
Объект групповой политики (GPO) создан, но созданный GPO является лишь голым каркасом. Для того, чтобы оно заработала, необходимо сделать привязку этой GPO к контейнеру Windows AD. Именно те компьютеры домена, которые находятся в этом контейнере, будут выполнять эти инструкции (т.е. обновляться).
Важно:

• Если необходимо, чтобы обновлялись все компьютеры  домена – привязать GPO к домену
• Если необходимо обновлять только часть компьютеров, к примеру отдельные серверы – лучше создать отдельное  подразделение в домене, поместить туда сервера и сделать привязку к этому подразделению
• Если сетка большая и имеет несколько филиалах в разных городах, то по-хорошему подсети этих площадок должны принадлежать отдельным сайтам. В этом случае, чтобы не нагружать каналы связи между площадками, на каждом сайте необходимо установить свой сервер WSUS и создать для каждого отдельный GPO, указывающий именно на него. В дальнейшем, следует сделать привязки их к соответствующим сайтам

Далее привязываем созданные объекты групповых политик к соответствующим контейнерам Windows AD.
У примеру нужно обновлять все компьютеры домена ( в принципе так и надо).
1. Открыть в оснастке «Управление групповой политикой» «Лес: Имя_Леса – Домены – Имя_домена»
2. выбираем меню «Связать существующий объект групповой политики…»
3. В окне «Выбор объекта групповой политики» найти соответствующий GPO. Жамкаем ОК.

Фильтры WMI для GPO

Правила хорошего сисадминского тона - обновлять клиентские и серверные ОС с помощью отдельных групповых политик домена. В данном случае предполагаю, что:

•  - серверные ОС лучше обновлять вручную в рамках плановых регламентных работ (осторожность и еще раз осторожность, бывают печальные последствия);
•  - клиентские ОС лучше обновлять автоматически. Обновлять их вручную весьма проблематично, а пользователи это делать не будут (даже если им показать как).

Реализуем вышеуказанное:

1.        в оснастке GPMC.msc следует создать раздельные GPO. Я создал такие:

• ServerOS WSUS Group Policy
• ClientOS  WSUS Group Policy

и настроил их на ручной (автоматическая загрузка и уведомление об установке) и автоматический режимы обновления ОС соответственно.

2.        в той же оснастке создаю два WMI-фильтра. Именно эти фильтры и будут определять, которая из выше указанных GPO будет действовать при обновлении каждого компьютера вашей сети.

3.        связать фильтры WMI с соответствующими GPO, а обе эти GPO уже можно будет связать прямо с доменом или сайтом.

Создание фильтров:

В оснастке GPMC идем по ветке Лес -- Домены -- _Имя_домена_ -- Фильтры WMI. Правой кнопкой "Создать" создаем фильтр с именем Server OS's and DC
Добавляем в него запрос в пространство root\CIMv2
select * from Win32_OperatingSystem where ProductType="2" or ProductType="3"

Этот фильтр позволит GPO с именем "ServerOS WSUS Group Policy" работать только с компьютерами под управлением серверных OS Windows (в том числе, с контроллерами домена).
Аналогично создаем фильтр с именем Client OS's
Добавляем в него запрос в root\CIMv2
select * from Win32_OperatingSystem where ProductType="1"
(ProductType=”1″ - Work Station; ProductType=”2″ - Domain Controller; ProductType=”3″ - Server)
Этот фильтр позволит GPO с именем "ClientOS  WSUS Group Policy" работать только с компьютерами под управлением клиентских OS Windows независимо от версии
С фильтрами вроде как разобрались.

Далее необходимо связать GPO ServerOS WSUS Group Policy и ClientOS WSUS Group Policy с соответствующими фильтрами. Как вариант, это можно сделать следующим образом: в ветке "Объекты групповой политики" выбрать нужный GPO, далее  внизу "Фильтр WMI" выбрать нужный фильтр из выпадающего списка.

Благодаря такой настройке клиентские компьютеры домена будут обновляться автоматически, а сервера будут покорно ждать вашего внимания.
На этом настройка закончена.

А проверка?

В результате всех вышеуказанных действий, ждем начала обновления компьютеров домена. Обновились? Значит все хорошо.
Если не пошли обновления, можно предпринять следующие шаги:
Необходимо посмотреть в журналах оснастки управления сервером WSUS появление записей о состоянии клиентов автоматического обновления.
Убедиться, что настроенная политика действует на клиентов WSUS. Посмотреть в панели управления - Центр обновления Windows, что там есть надпись: "Контролирует системный администратор" (для Windows 7/Vista/2008/2008R2) Если этого нет – швах, неправильная настройка.
Но в принципе это не значит, что это ошибка. Возможно, компьютер еще не применил свои настройки с контроллера домена.
Можно поторопить (через командную строку):
gpupdate /force
После обновления групповых политик, на компьютер начнется загрузка обновлений Windows.

Если все же не работает:

Причин может быть масса, как и способов решения:
1. Если загрузка с сервера WSUS  не происходит совсем:
сервер WSUS недоступен (перепроверить настройки встроенный firewall, сервер IIS и т.п)
сервер WSUS настроен неверно
в настройках GPO был неверно указан адрес сервера WSUS (я кстати ошибся именно так J )
-- сервер WSUS работает по нестандартному порту. Например, WSUS сервер находится по адресу http://bla-bla.local:8080, а при настройке адреса в GPO, не указан номер порта совсем или указан другой
2. Если загрузка обновлений не происходит только на отдельные компьютеры
на компьютере-клиенте WSUS не запущены необходимые службы
не отработал GPO для отдельных компьютеров. Придётся разбираться с каждым отдельно.
Лог WSUS-клиента вот тут --> c:\Windows\WindowsUpdate.log