पिछले लेखों में से एक में हमने विवरण में विंडोज सर्वर 2012 R2 / 2016 पर WSUS सर्वर की स्थापना का वर्णन किया है। अपडेट सर्वर को कॉन्फ़िगर करने के बाद, आपको अपडेट प्राप्त करने के लिए WSUS सर्वर का उपयोग करने के लिए विंडोज क्लाइंट (सर्वर और वर्कस्टेशन) को कॉन्फ़िगर करने की आवश्यकता है। इस प्रकार, आपके नेटवर्क पर सभी विंडोज क्लाइंट को आंतरिक अपडेट सर्वर से अपडेट प्राप्त करना चाहिए, न कि इंटरनेट के माध्यम से माइक्रोसॉफ्ट अपडेट सर्वर से। इस लेख में, हम सक्रिय निर्देशिका डोमेन समूह नीतियों (GPO) का उपयोग करके WSUS सर्वर का उपयोग करने के लिए क्लाइंट को कॉन्फ़िगर करने के तरीके पर एक नज़र डालेंगे।
AD समूह नीतियां व्यवस्थापक को स्वचालित रूप से विभिन्न WSUS समूहों को कंप्यूटर असाइन करने की अनुमति देती हैं, इस प्रकार WSUS व्यवस्थापक को WSUS कंसोल में समूहों के बीच कंप्यूटर को मैन्युअल रूप से स्थानांतरित करने और इन समूहों को अद्यतित रखने की आवश्यकता नहीं होगी। क्लाइंट को अलग-अलग लक्ष्य WSUS समूहों को असाइन करना क्लाइंट पर रजिस्ट्री में एक लेबल पर आधारित होता है (लेबल GPO या प्रत्यक्ष रजिस्ट्री संशोधन द्वारा सेट किए जाते हैं)। WSUS समूहों को निर्दिष्ट करने वाले इस प्रकार के क्लाइंट को क्लाइंट साइड टारगेटिंग . कहा जाता है ।
यह अपेक्षा की जाती है कि हमारा नेटवर्क दो भिन्न अद्यतन नीतियों का उपयोग करेगा:सर्वर . के लिए अलग अद्यतन नीति और दूसरा कार्यस्थानों . के लिए . इन दो समूहों को सभी कंप्यूटर अनुभाग में WSUS कंसोल में बनाने की आवश्यकता है।
युक्ति . क्लाइंट द्वारा WSUS सर्वर का उपयोग करने की नीति काफी हद तक सक्रिय निर्देशिका संगठन इकाइयों (OU) की संगठनात्मक संरचना और कंपनी में अद्यतन स्थापना नियमों पर निर्भर करती है। इस लेख में हम Windows अद्यतन स्थापित करने के लिए समूह नीतियों का उपयोग करने के मूल सिद्धांतों को समझने का प्रयास करेंगे।सबसे पहले, आपको WSUS कंसोल (लक्ष्यीकरण) में कंप्यूटरों को समूहीकृत करने का नियम निर्दिष्ट करना होगा। डिफ़ॉल्ट रूप से, WSUS कंसोल में कंप्यूटर सर्वर व्यवस्थापक (सर्वर-साइड लक्ष्यीकरण) द्वारा मैन्युअल रूप से समूहों में वितरित किए जाते हैं। यह हमें शोभा नहीं देता है, इसलिए हम यह निर्दिष्ट करने जा रहे हैं कि कंप्यूटर को क्लाइंट साइड टारगेटिंग (समूह नीतियों या रजिस्ट्री मापदंडों का उपयोग करके) का उपयोग करके समूहों में वितरित किया जाना है। ऐसा करने के लिए, WSUS कंसोल में विकल्प . क्लिक करें और कंप्यूटर खोलें . मान को “कंप्यूटर पर समूह नीति या रजिस्ट्री सेटिंग्स का उपयोग करें” . में बदलें ।
अब आप WSUS क्लाइंट को कॉन्फ़िगर करने के लिए GPO बना सकते हैं। समूह नीति प्रबंधन (GPMC.msc) खोलें और दो नई समूह नीतियां बनाएं:ServerWSUSpolicy और वर्कस्टेशनWSUSPनीति .
Windows सर्वर के लिए WSUS समूह नीति
आइए सर्वर नीति के विवरण के साथ शुरू करें - ServerWSUSpolicy ।
Windows अद्यतन सेवा के संचालन के लिए ज़िम्मेदार समूह नीति सेटिंग्स निम्न GPO अनुभाग में स्थित हैं:कंप्यूटर कॉन्फ़िगरेशन -> नीतियां -> प्रशासनिक टेम्प्लेट -> Windows घटक -> विंडोज अपडेट।
हमारे परिवेश में, हम Windows सर्वर पर WSUS से अद्यतन स्थापित करने के लिए इस नीति का उपयोग करने का सुझाव देते हैं। इस नीति के अंतर्गत आने वाले सभी कंप्यूटर WSUS कंसोल में सर्वर समूह को असाइन किए जाते हैं। इसके अलावा, हम सर्वर पर स्वचालित अपडेट इंस्टॉलेशन को प्राप्त होने पर अक्षम करना चाहते हैं। अपडेट के दौरान क्लाइंट को केवल स्थानीय ड्राइव पर उपलब्ध अपडेट को डाउनलोड करना चाहिए, सिस्टम ट्रे में संबंधित अधिसूचना प्रदर्शित करनी चाहिए और व्यवस्थापक द्वारा मैन्युअल रूप से इंस्टॉलेशन शुरू करने की प्रतीक्षा करनी चाहिए (स्थानीय या दूरस्थ रूप से PSWindowsUpdate मॉड्यूल का उपयोग करके)। इसका मतलब यह है कि उत्पादक सर्वर स्वचालित रूप से अपडेट इंस्टॉल नहीं करेंगे और व्यवस्थापक पुष्टि के बिना पुनरारंभ नहीं करेंगे (आमतौर पर ये कार्य मासिक शेड्यूल किए गए रखरखाव के हिस्से के रूप में सिस्टम व्यवस्थापक द्वारा किए जाते हैं)। ऐसी योजना को लागू करने के लिए, आइए निम्नलिखित नीतियां निर्धारित करें:
- स्वचालित अपडेट कॉन्फ़िगर करें: सक्षम करें। 3 - स्वतः डाउनलोड करें और इंस्टॉल के लिए सूचित करें - क्लाइंट स्वचालित रूप से नए अपडेट डाउनलोड करता है और आपको उनके बारे में सूचित करता है;
- इंट्रानेट Microsoft अद्यतन सेवा स्थान निर्दिष्ट करें :सक्षम करें . अपडेट का पता लगाने के लिए इंट्रानेट अपडेट सेवा सेट करें: https://hq-wsus.woshub.com:8530 , इंट्रानेट सांख्यिकी सर्वर सेट करें: https://hq-wsus.woshub.com:8530 - स्थानीय WSUS सर्वर और सांख्यिकी सर्वर का पता सेट करें (आमतौर पर वे समान होते हैं);
- अनुसूचित स्वचालित अपडेट इंस्टॉलेशन के लिए लॉग ऑन उपयोगकर्ताओं के साथ कोई ऑटो-पुनरारंभ नहीं: सक्षम करें - उपयोगकर्ता सत्र खुला होने पर स्वचालित पुनरारंभ अक्षम करें;
- क्लाइंट-साइड लक्ष्यीकरण सक्षम करें: सक्षम करें . इस कंप्यूटर के लिए लक्ष्य समूह का नाम: सर्वर - WSUS कंसोल में, क्लाइंट को सर्वर समूह को असाइन करें।
नोट . जब आप अद्यतन नीति को कॉन्फ़िगर करते हैं, तो हम अनुशंसा करते हैं कि आप उन सभी सेटिंग्स से परिचित हों जो विंडोज अपडेट जीपीओ अनुभाग के प्रत्येक विकल्प में उपलब्ध हैं, और आपके बुनियादी ढांचे और संगठन के लिए उपयुक्त पैरामीटर सेट करें।
Windows वर्कस्टेशन के लिए WSUS समूह नीति
हम मानते हैं कि सर्वर नीति के विपरीत, क्लाइंट वर्कस्टेशन के अपडेट अपडेट प्राप्त करने के तुरंत बाद रात में स्वचालित रूप से इंस्टॉल हो जाते हैं। अद्यतनों की स्थापना (5 मिनट में उपयोगकर्ता को सूचित करने) के बाद कंप्यूटर को स्वचालित रूप से पुनरारंभ करना चाहिए।
इस GPO (वर्कस्टेशनWSUSPolicy) में हम निर्दिष्ट करते हैं:
- स्वचालित अपडेट को तत्काल स्थापना की अनुमति दें: अक्षम - अपडेट प्राप्त होने के बाद उनकी तत्काल स्थापना अक्षम है;
- गैर-व्यवस्थापकों को अपडेट सूचनाएं प्राप्त करने दें: सक्षम - गैर-व्यवस्थापकों को नए अपडेट की सूचनाएं प्रदर्शित करें और उन्हें मैन्युअल रूप से इंस्टॉल करने की अनुमति दें;
- स्वचालित अपडेट कॉन्फ़िगर करें: सक्षम . स्वचालित अपडेट कॉन्फ़िगर करें: 4 - स्वतः डाउनलोड करें और इंस्टॉल को शेड्यूल करें। निर्धारित स्थापना दिवस: 0 - हर दिन . शेड्यूल किया गया इंस्टॉल समय :05:00 - एक क्लाइंट नए अपडेट डाउनलोड करता है और सुबह 5:00 बजे उन्हें स्वचालित रूप से इंस्टॉल करने की योजना बनाता है;
- इस कंप्यूटर के लिए लक्ष्य समूह का नाम: कार्यस्थान - WSUS कंसोल में, क्लाइंट को वर्कस्टेशन समूह को असाइन करें;
- अनुसूचित स्वचालित अपडेट इंस्टॉलेशन के लिए लॉग ऑन उपयोगकर्ताओं के साथ कोई ऑटो-पुनरारंभ नहीं: अक्षम;
- इंट्रानेट निर्दिष्ट करें Microsoft अद्यतन सेवा स्थान:सक्षम करें। अपडेट का पता लगाने के लिए इंट्रानेट अपडेट सेवा सेट करें: https://hq-wsus.woshub.com:8530 , इंट्रानेट सांख्यिकी सर्वर सेट करें: https://hq-wsus.woshub.com:8530 - कॉर्पोरेट WSUS सर्वर का पता है।
विंडोज 10 1607 और उच्चतर में, इस तथ्य के बावजूद कि आपने आंतरिक WSUS से अपडेट प्राप्त करने के लिए निर्दिष्ट किया है, विंडोज 10 अभी भी इंटरनेट पर विंडोज अपडेट सर्वर तक पहुंचने का प्रयास कर सकता है। इस "सुविधा" को दोहरी स्कैन . कहा जाता है . इंटरनेट से अपडेट प्राप्त करना अक्षम करने के लिए, आपको नीति को अतिरिक्त रूप से सक्षम करने की आवश्यकता है अद्यतन आस्थगित नीतियों को विंडोज अपडेट के खिलाफ स्कैन करने की अनुमति न दें ।
युक्ति . कंपनी में कंप्यूटरों को सभी उपलब्ध पैच स्थापित करने देने के लिए, दोनों नीतियों को कॉन्फ़िगर किया जा सकता है ताकि क्लाइंट पर अद्यतन सेवा (wuauserv) को शुरू करने के लिए मजबूर किया जा सके। ऐसा करने के लिए, कंप्यूटर कॉन्फ़िगरेशन -> नीतियां -> विंडोज सेटिंग्स -> सुरक्षा सेटिंग्स -> सिस्टम सेवाएं के अंतर्गत Windows अद्यतन ढूंढें और इसे स्वचालित रूप से प्रारंभ करने के लिए सेट करें (स्वचालित )AD OU को WSUS समूह नीतियां सौंपना
अगला चरण बनाई गई नीतियों को संबंधित सक्रिय निर्देशिका कंटेनर (OU) को असाइन करना है। हमारे उदाहरण में OU संरचना अत्यंत सरल है:दो कंटेनर हैं - सर्वर (इसमें डोमेन नियंत्रकों के अपवाद के साथ कंपनी के सभी सर्वर शामिल हैं) और WKS (वर्कस्टेशन - उपयोगकर्ता के कंप्यूटर)।
युक्ति . हम ग्राहकों के लिए WSUS नीतियों को बाध्य करने का केवल एक काफी सरल तरीका मानते हैं। वास्तविक दुनिया में, एक एकल WSUS नीति को सभी डोमेन कंप्यूटरों से जोड़ना संभव है (एक GPO को डोमेन रूट को सौंपा गया है), विभिन्न OU में विभिन्न प्रकार के क्लाइंट वितरित करें (जैसा कि हमारे उदाहरण में, हमने सर्वरों के लिए अलग-अलग WSUS नीतियां बनाई हैं और वर्कस्टेशन)। बड़े वितरित डोमेन में विभिन्न WSUS सर्वरों को AD साइटों से लिंक करना, या WMI फ़िल्टर के आधार पर GPO असाइन करना, या इन विधियों को संयोजित करना भी उचित है।OU को नीति असाइन करने के लिए, समूह नीति प्रबंधन कंसोल में सही OU क्लिक करें, मौजूदा GPO लिंक करें चुनें , और फिर उपयुक्त नीति की जाँच करें।
युक्ति . अलग OU के बारे में न भूलें – डोमेन नियंत्रक . ज्यादातर मामलों में WSUS सर्वर नीति को इस कंटेनर से लिंक किया जाना चाहिए।
आपको उसी तरह WKS (जहां विंडोज वर्कस्टेशन स्थित हैं) नाम के साथ AD कंटेनर को WorkstationWSUSPolicy असाइन करनी होगी।
क्लाइंट को WSUS सर्वर से बाइंड करने के लिए क्लाइंट पर समूह नीतियों को अपडेट करना बाकी है:
1 | gpupdate /force |
gpupdate /force
सभी Windows अद्यतन सेटिंग्स जो हमने समूह नीतियों के माध्यम से सेट की हैं, क्लाइंट की रजिस्ट्री कुंजी HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate में दिखाई देनी चाहिए ।
निम्नलिखित reg फ़ाइल का उपयोग WSUS सेटिंग्स को अन्य कंप्यूटरों में स्थानांतरित करने के लिए किया जा सकता है, जिन पर आप GPO (कार्यसमूह में कंप्यूटर, पृथक खंड, DMZ, आदि) का उपयोग करके अद्यतन सेटिंग्स को कॉन्फ़िगर नहीं कर सकते हैं।
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="https://hq-wsus.woshub.com:8530"
"WUStatusServer"="https://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001
rsop.msc स्नैप-इन का उपयोग करके क्लाइंट पर लागू WSUS सेटिंग्स को नियंत्रित करना भी सुविधाजनक है।
कुछ समय में (यह WSUS सर्वर पर अपडेट और बैंडविड्थ की संख्या पर निर्भर करता है) जांचें कि क्या ट्रे में नए अपडेट की पॉप-अप सूचना है। क्लाइंट (क्लाइंट का नाम, एक आईपी, एक ओएस, पैच प्रतिशत और अंतिम स्थिति अपडेट की तारीख) WSUS कंसोल में संबंधित समूहों में दिखाई देना चाहिए। चूंकि हमने GPO का उपयोग करके विभिन्न WSUS समूहों को कंप्यूटर और सर्वर सौंपे हैं, इसलिए उन्हें केवल वही अपडेट प्राप्त होंगे जो संबंधित WSUS समूहों पर स्थापना के लिए स्वीकृत हैं।
नोट <मजबूत>। यदि क्लाइंट पर अद्यतन प्रकट नहीं होते हैं, तो यह अनुशंसा की जाती है कि Windows अद्यतन सेवा लॉग (C:\Windows\WindowsUpdate.log) की सावधानीपूर्वक जाँच करें। कृपया ध्यान दें कि Windows 10 (Windows Server 2016) WindowsUpdate.log फ़ाइल के भिन्न स्वरूप का उपयोग करता है।
क्लाइंट स्थानीय फ़ोल्डर C:\Windows\SoftwareDistribution\Download में अपडेट डाउनलोड करता है।
WSUS सर्वर पर तुरंत नए अपडेट की खोज शुरू करने के लिए, आपको कमांड चलाने की आवश्यकता है:
1 | wuauclt /detectnow |
wuauclt /detectnow
साथ ही, कभी-कभी आपको क्लाइंट को WSUS सर्वर पर फिर से पंजीकृत करने के लिए बाध्य करना पड़ता है:
1 | wuauclt /detectnow /resetAuthorization |
wuauclt /detectnow /resetAuthorization
विशेष रूप से कठिन मामलों में, आप निम्न प्रकार से wuauserv सेवा को ठीक करने का प्रयास कर सकते हैं। यदि क्लाइंट पर अपडेट प्राप्त करते समय कोई त्रुटि 0x80244010 होती है, तो स्वचालित अपडेट डिटेक्शन फ़्रीक्वेंसी का उपयोग करके WSUS सर्वर पर अपडेट के लिए जाँच की आवृत्ति को बदलने का प्रयास करें। 3-4 घंटे के लिए नीति।
अगले लेखों में हम WSUS सर्वर पर अद्यतन अनुमोदन की ख़ासियतों का वर्णन करेंगे, और PowerShell का उपयोग करके समूहों के बीच स्वीकृत अद्यतनों को WSUS सर्वर पर कैसे स्थानांतरित करें।