راه اندازی سرویس WSUS یا WINDOWS SERVER UPDATE SERVICE (بخش سوم)
برای مطالعه بخش دوم اینجا کیلیک کنید
- به طریق زیر نیز به فولدر ویندوز میرویم:
- برای چک کردن برقراری ارتباط:
همانطور که در تصویر زیر مشاهده میکنید چندین کامپیوتر به wsus اضافه شده اند:
برای مثال در تصویر بالا wsus نشان میدهد که کامپیوتر bold شده 34% آپدیت است.
وقتی مطابق تصویر زیر روی گزینه ی Reports در کنسول wsus کلیک میکنیم انواع report ها را میتوانیم مشاهده کنیم اما با کلیک روی هر report با error زیر مواجه میشویم:
در اینجا مایکروسافت یک Tools ای دارد که در متن خطا نیز مشخص شده است که برای دیدن خطا باید نصب شود و اگر نصب نباشد گزارشات را نشان نمیدهد.
به معرفی بقیه گزینه های کنسول میپردازیم:
Downstream Servers مشخص است که سرورهای downstream را نشان میدهد. Synchronization آمار Sync شدن ها را نشان میدهد؛ یعنی آمار هرباری که آپدیت ها را دانلود میکنیم:
اما در این بخش میخواهیم به معرفی Options بپردازیم:
یک سری از گزینه هایی که در اینجا است گزینه هایی است که در Wizardدیدیم .
Update Files and Languages:
در wizard نصب گفتیم که به به دلیل آمارگیری ما wsus را نصب می کنیم ولی آپدیت ها را دانلود نمیکنیم. با زدن گزینه ی آخر در تصویر بالا یعنی do not store.. همین کار را انجام داده ایم. یعنی اگر میخواهیم wsus چیزی را دانلود نکند radio button را انتخاب میکنیم. گزینه ی اول نیز آپدیت ها را در مسیری که قبلا مشخص کردیم store کند. اما این گزینه دوتا checkbox نیز دارد. همانطور که قبلا گفته بودیم تا آپدیتی Approve نشود دانلود نمیشود. checkbox اول دلیل آن است. اگر این تیک را برداریم همه ی آپدیت های در catalog دانلود میشوند. اما Checkbox دوم: Express یعنی سریع، Express installation files فایل هایی هستند که سریع تر دانلود میشوند ولی برای فایل های بزرگ است و زمان دانلود هم بالا میبرد. زیرا دانلود یک فایل بزرگ سریع تر از چندین فایل کوچک است. برای مثال 10 تا فایل 1GB دیرتر از یک فایل 10GB ای دانلود میشوند. اما اگر به یاد داشته باشید گفتیم بعضی آپدیت ها superseded میشوند یعنی با دانلود آنها نیازی به دانلود چندین آپدیت دیگر نیست و آنها همه را پوشش میدهند. در اینجا هم منظور دقیقا همان ها است. حالا اگر این تیک را بزنیم یعنی فقط این آپدیت ها را دانلود کن.
Checkbox سوم هم کاملا مشخص است. در اینجا هم به این دلیل gray out شده که این کامپیوتر خودش Upstream است و این گزینه برای Down Stream ها فعال میشود.
همانطور که مشاهده میکنید این بخش را در wizard نصب داشتیم.
Update source and proxy server:
Product and classification:
این option را در مراحل نصب دیدیم.
تصویر زیر Product های مختلفی است که میخواهیم آپدیت آنها را بگیریم.
تصویر زیر نیز Classification هایی است که میگوییم چه آپدیت هایی دانلود شود.
Synchronization schedule:
در option های مختلف به یک پیغام برخوردیم که در تصویر بالا مشخص شده است؛ این یعنی این که مادامی که سرور synchronize میکند یک سری تنظیمات را نمیتوانید تغییر دهید، یعنی باید Synchronization تمام یا cancel شود تا شما بتوانید تنظیمات را انجام دهید.
Automatic Approvals:
همانطور که قبلا گفته بودیم آپدیت های Security و Critical باید حتما نصب شوند.نکته اینجاست که ما زمانی برای چک کردن اینکه آپدیت Security یا Critical آمده است را نداریم که آن را Approve کنیم. چون هر روز سر تایمی که مشخص کردیم Catalog آپدیت میشه و ما هم باید Approve کنیم و تا Approve نکنیم دانلود نمیشوند. بنابراین میتوانیم برایشان Rule هایی را بنویسیم که آپدیت هایی را که میخواهیم خودش اتوماتیک Approve کند. یعنی با این کار میگوییم هر زمان آپدیتی با مشخصاتی که مشخص کریم اومد آن را Approve شده در نظر بگیر.
مشاهده میکنید که بصورت Defult یک Rule دارد که check box آن فعال نیست. همانطور که در پایین آن نوشته اگر این تیک را بزنیم آپدیت های Security و Critical همه نوع کامپیوتری را Approve میکند. توجه داشته باشید که نصب نکردن این جنس آپدیت ها کامپیوتر شما را تهدید امنیتی میکند. حالا اگر خودمان بخواهیم یک Rule جدید بنویسیم روی New Rule کلیک میکنیم:
با زدن تیک هر مورد یک گزینه نمایان میشود که میتوانیم روی هر گزینه کانفیگ خودش را انجام دهیم مانند all computer .
در اینجا گفته شده است که هر زمان آپدیت Security و Critical برای ویندوز 10 آمد Approve کن به گروه Windows 10 clients.
اگر روی all computer کلیک کنیم:
که در اینجا میگوییم به چه کسانی اعمال شود.
در آخر یک نام برای Rule مینویسیم.
Computers:
عضویت کامپیوترها در گروه های wsus به دو روش میتواند انجام بشود. دستی و اتوماتیک. در حالت دستی ادمین کنسول wsus را باز میکند و تعیین میکند کامپیوتر x عضو گروه y شود (یک کامپیوتر هم میتواند عضو چندین گروه بشود).
وقتی روی کامپیوتر کلیک میکنیم باید تعیین کنیم که عضویت کامپیوترها در گروه ها دستی انجام میشود یا اتوماتیک. که حالت اول در این تصویر حالت دستی است:
میتوانیم از اینجا نیز مشخص کنیم که کامپیوتر عضو چه گروهی شود.
در نتیجه اضافه میشود:
اما اگر مطابق شکل در حالت اتوماتیک قرار دهیم:
حالا اگر دوباره به بخش computers برویم:
میبینیم که change membership آن gray out شده است. در اینجا گفته میشود که عضویت کامپیوترها در گروه ها باید توسط Group Policy انجام شود. حالا سوالی که پیش می آید این است که Group Policy از کجا بداند که یک کامپیوتر را عضو چه گروهی کند؟ مگر group policy میداند که ما چه گروه هایی در wsus داریم؟
به Group Policy کامپیوتر مربوطه میرویم و گزینه ی مشخص شده را انتخاب میکنیم:
این گزینهتعینن میکندکه این Policy به هرکسی اعمال میشود عضو گروه X (گروهی که ما مشخض میکنیم) در wsus شود. برای مثال کامپیوتر به اسم updatesrv را میخواهیم به گروه windows 7 clients منتقل کنیم. این کار دستی انجام نمیشود همچنین گزینه ی change membership هم gray out شده بود. روی policy بالا کلیک راست و Edit میکنیم.
حالا policy را ایجاد میکنیم:
حالا این Policy به کامپیوتر اعمال شود عضو گروه Windows 7 میشود. ابتدا دستورات زیر را میزنیم و سپس برمیگردیم به wsus و میبینیم که تغییرات اعمال شده است:
ما میتوانیم برای هر OU ای که در AD داریم گروه های wsus درست کنیم و در GP هر OU مشخص کنیم که عضو گروه wsus مربوطه باشد.برای مثال اگر یک OU مالی داشته باشیم یک گروه مالی هم در wsus داریم و تنظیمات GP آن هم انجام میدهیم. یعنی تنظیمات group policy را برای کل OU انجام میدهیم.
حال به ادامه ی معرفی بقیه Option ها میپردازیم:
Server Clean up wizard:
فرض کنید سرور wsus شما آپدیت گرفته است، حالا یکسری از این آپدیت ها Decline شدند یا برایشان new revision آمده است، و یک سری Data روی Wsus داریم کهمورد نیاز نیست و فضای اضافی اشغال کرده است. برای مثال یک آپدیتی را ما Approve کردیم ولی الان مدت زیادی هست که هیچکس آن را تقاضا نکرده است. برای پاک کردن همه Data های اضافی از این option استفاده میکنیم.
Next میکنیم و پاک میشوند.
Reporting Roll up:
در اینجا گزارشات را میتوانیم به دست بیاوریم.
Email notification:
این خیلی option مهمی است.
ممکن است یک ادمین وقت این را نداشته باشد که مدام wsus را چک بکند. در این بخش config میکند که هر چندوقت یکبار Report بدهد. برای کانفیگ ابتدا باید از Email-Server وضعیت ایمیل سرور را مشخص کنیم:
توجه داشته باشید که در Mail server باید این اکانتی که در بالا نوشته شده است ساخته شده باشد. گزینه آخر هم برای این است که چون اکثر Mail Server ها نیاز به Authenticate دارند باید با این Username و Password وصل شود به Mail server و لاگین کند.
نویسنده:مهندس محمد آجورلو
با سلام و خسته نباشید به تیم Adminpro
اگر چند سوال در مورد wsus داشته باشیم چگون و از چه طریقی می شود پرسید ؟