Досить довго стаття про методиках і особливості затвердження (схвалення) оновлень на сервері Windows Server Update Services (WSUS) у мене лежала в чернетках, і по наполегливим проханням одного з постійних передплатників я вирішив її закінчити і опублікувати.
Одна з основних завдань адміністратора WSUS є управління оновленнями, які отримали дозвіл на встановлення на комп'ютерах і сервера Windows. Сервер WSUS після установки і настройки починає регулярно завантажувати оновлення для обраних продуктів з серверів Microsoft Update.
зміст:
- Цільові групи комп'ютерів WSUS
- Ручне схвалення і установка оновлень через WSUS
- Налаштування правил автоматичного схвалення оновлень на WSUS
- Відгук встановлених оновлень на WSUS
- Методика схвалення оновлень WSUS для продуктивних середовищ
Цільові групи комп'ютерів WSUS
Після того, як оновлення потрапили в базу даних WSUS, вони можуть бути встановлені на комп'ютери. Але, перш ніж комп'ютери почнуть качати і ставити нові оновлення, їх повинен схвалити (або відхилити) адміністратор WSUS. Важливо мати на увазі, що в більшості випадків перед установкою оновлень на продуктивні системи їх потрібно обов'язково тестувати на кількох типових робочих станціях і серверах.
Для організації процесу тестування та встановити нову версію на комп'ютерах і серверах домена адміністратор WSUS повинен створити групи комп'ютерів. Залежно від завдань бізнесу, типів робочих місць користувачів і категорій серверів можна створювати різні групи комп'ютерів. У загальному випадку в консолі WSUS в розділі Computers -> All computers має сенс створити такі групи на WSUS:
- Test_Srv_WSUS - група з тестовими серверами (некритичні для бізнесу сервера і виділені сервера з тестової середовищем, ідентичною продуктивної);
- Test_Wks_WSUS - тестові робочі станції;
- Prod_Srv_WSUS - продуктивні сервера Windows;
- Prod_Wks_WSUS - все робочі станції користувачів.
Дані групи комп'ютерів можна наповнити серверами вручну (зазвичай це має сенс для тестових груп) або ви можете прив'язати комп'ютери і сервера до груп WSUS за допомогою групової політики Enable client-side targeting (Дозволити клієнту приєднання до цільової групи).
Після того, як групи створені, ви можете схвалити для них оновлення. Є два способи затвердження оновлень для установки на комп'ютерах: ручне і автоматичне оновлення.
Ручне схвалення і установка оновлень через WSUS
Відкрийте консоль управління WSUS (Update Services) і виберіть секцію Updates. У ній відображається результуючий звіт про доступні оновлення. У цьому розділі за замовчуванням присутній 4 підрозділи: All Updates, Critical Updates, Security Updates і WSUS Updates. Ви можете схвалити конкретне оновлення до установки, знайшовши його в одному з цих розділів (ви можете скористатися пошуком по імені KB в консолі пошуку оновлень або номеру бюлетеня безпеки Microsoft), або ж можна впорядкувати поновлення за датою випуску, або номерами.
Виведіть список ще не затверджених оновлень (фільтр - Approval = Unapproved). Знайдіть потрібне оновлення, клацніть по ньому ПКМ і виберіть в меню пункт Approve.
У вікні виберіть групу комп'ютерів WSUS, для яких потрібно схвалити установку цього оновлення (наприклад, Test_Srv_WSUS). Виберіть пункт Approve for Install. Можна схвалити оновлення відразу для всіх груп комп'ютерів, вибравши пункт All Computers, або для кожної групи індивідуально. Наприклад, спочатку ви можете схвалити установку оновлень на групі тестових комп'ютерів, а через 4-7 днів, якщо проблем не виявлено, схвалите установку поновлення на всі комп'ютери.
З'явиться віконце з результатами процесу затвердження оновлення. Якщо оновлення успішно схвалено, з'явиться напис Success. Закрийте це вікно.
Як ви зрозуміли, це ручна схема схвалення конкретних оновлень. Вона досить трудомістка, тому що кожне оновлення потрібно схвалювати індивідуально. Якщо ви не хочете схвалювати оновлення вручну, ви можете створити правила автоматичного схвалення оновлень (auto-approval).
Налаштування правил автоматичного схвалення оновлень на WSUS
Автоматичне схвалення дозволяє відразу, без втручання адміністратора, схвалити нові оновлення, які з'явилися на сервері WSUS і призначити їх для установки на клієнтів. Автоматичне схвалення оновлень WSUS засноване на правилах схвалення.
В консолі управління WSUS відкрийте розділ Options і виберіть Automatic Approvals.
У вікні на вкладці Update Rules вказано тільки одне правило з ім'ям Default Automatic Approval Rule (За замовчуванням воно відключено).
Щоб створити нове правило, натисніть на кнопку New Rule.
Правило складається з 3 кроків. Вам потрібно вибрати необхідні властивості поновлення, вибрати на які групи комп'ютерів WSUS потрібно схвалити оновлення і ім'я правила.
Клацаючи на кожну синю посилання, відкриється відповідне вікно властивостей.
Наприклад, ви можете включити автоматичне схвалення оновленні безпеки для тестових серверів. Для цього в секції Choose Update Classifications виберіть пункт Critical Updates, Security Updates, Definition Updates (інші галки зніміть). Потім в діалозі Approve the update for виберіть групу WSUS з ім'ям Test_Srv_WSUS.
на вкладці Advanced ви можете вибрати, чи потрібно автоматично схвалювати оновлення для самої служби WSUS і чи потрібно додатково схвалювати оновлення, які були змінені Microsoft. Зазвичай все галки на цій вкладці включені.
Тепер, коли в черговий другий вівторок місяця ваш сервер WSUS закачає нові оновлення (або при ручному імпорті оновлень), вони будуть схвалені для автоматичної установки на тестовій групі. Клієнти Windows за замовчуванням виконують сканування нових оновлень на сервері WSUS кожні 22 години. Щоб критичні комп'ютери отримували нові оновлення як можна швидше, ви можете змінити частоту таких синхронізацій за допомогою політики Automatic Update detection frequency до декількох годин (також ви можете виконати сканування оновлень вручну за допомогою модуля PSWindowsUpdate). При великій кількості клієнтів на сервері WSUS (більше 2000 комп'ютерів), продуктивність сервера оновлень зі стандартними настройками може виявитися недостатньою, тому її необхідно оптимізувати (див. Статтю).
Відгук встановлених оновлень на WSUS
Якщо одне з схвалених оновлень виявилося проблемним і викликає помилки на комп'ютерах або серверах, адміністратор WSUS може його відкликати. Для цього потрібно знайти оновлення в консолі WSUS і вибрати Decline. потім вкажіть
Тепер виберіть групу WSUS, для якої потрібно видалити та вибрати Approved for Removal. Через деякий час оновлення буде видалено на клієнті (докладніше процес описаний в статті Способи видалення оновлень Windows.
Методика схвалення оновлень WSUS для продуктивних середовищ
Після того, як ви встановили і протестували поновлення на тестових групах і переконалися, що пробам немає (зазвичай на тестування досить 3-6 днів), ви можете схвалити нові оновлення для установки на продуктивні системи. Також не можна автоматично затвердити поновлення з деякою затримкою (наприклад, через 7 днів) на продуктивні системи.
На жаль, консоль WSUS не представляє можливості скопіювати всі схвалені поновлення з однієї групи комп'ютерів WSUS в іншу. Ви можете по одному шукати нові оновлення і вручну затверджувати їх для установки на продуктивніше групи серверів і комп'ютерів. Це досить довго і виснажливо.
Для себе я зробив невеличкий PowerShell скрипт, який збирає список оновлень, схвалених для тестової групи і автоматично схвалює всі виявлені оновлення на продуктивну групу (див. Статтю Копіювання схвалених оновлень між групами WSUS). Тепер я запускаю цей скрипт через 7 днів після установки оновлень і тестування оновлень на тестових групах. Якщо серед патчів виявилися проблемні, їх необхідно відхилити на тестовій групі.
