Geek of All Trades: 6 suggerimenti per una compatibilità al 100% con WSUS
WSUS in pratica domina incontrastato come soluzione di gestione degli aggiornamenti leader nel settore, ma esistono modi per migliorarne ulteriormente le funzionalità.
Da Greg Shields
Windows Server Update Services (WSUS) è davvero di una delle realizzazioni degno di nota della Microsoft. Molti di noi ricordare il suo predecessore, Software Update Services (SUS). Torna poi, gli aggiornamenti software è arrivato con poco pianificazioni di avvisi e imprevedibile. Ci sono state decine di soluzioni di gestione delle patch sul mercato, ogni pubblicità, un unico modo per portare l'ordine per l'assalto di aggiornamenti critici.
Poi è venuto WSUS, e con esso la coltura delle soluzioni di gestione delle patch sembrava asciugare. Permanente quasi da soli, WSUS regna sovrana come la soluzione di gestione delle patch di Microsoft per le masse. Per quale motivo? Perché funziona.
Molti datacenter utilizzare un server WSUS per gestire gli aggiornamenti di Windows. Ancor più utilizzare il client WSUS — l'agente di Windows Update — per l'installazione di codice eseguibile del ogni aggiornamento. Tuttavia, molti ancora lottano per distribuire gli aggiornamenti in modo tempestivo. Arrivare al 100 per cento rispetto durante la notte è un nobile obiettivo, anche se noi non sempre rendono.
Molti Jack-of-all-trades esso professionisti non riconoscono che alcuni dei modi migliori per implementare WSUS non sono il più evidente. Alcuni non sono ancora pubblicizzate. Permettetemi di condividere alcune delle più-successo trucchi che ti aiuterà a smussare il processo di aggiornamento.
1. Non lasciate che gli utenti o i riavvii controllo aggiornamenti
Guida all'aggiornamento del 100 per cento rispetto richiede due passaggi fondamentali: In primo luogo, è necessario installare l'aggiornamento;in secondo luogo, è necessario riavviare il computer. È necessario eseguire entrambi i passaggi per il computer essere considerato conforme. WSUS è carente in come gestisce la fase di riavvio.
La maggior parte di voi non vogliono preoccuparsi di utenti con un riavvio post-aggiornamento. Calci fuori un riavvio durante la giornata lavorativa irrita gli utenti e può causare la perdita del lavoro. Ecco perché c'è sempre l'opzione per consentire agli utenti di posticipare il riavvio. Rinviare un riavvio dà un utente il tempo di finire ciò che stanno facendo e arrestare il computer normalmente. Tuttavia, rinviare il riavvio può ritardare conseguire la conformità del 100 per cento.
Un'altra opzione è di fissare un termine per ogni aggiornamento approvato. Che stabilisce una data e un tempo quando deve essere completi l'installazione e riavviare il sistema. È assolutamente ti forzare computer riavviare dopo la scadenza. Il problema qui è con i computer che sono stati alimentati giù o fuori rete durante il periodo di scadenza. Tali computer saranno ottenere patch e successivamente riavviati dopo che hai acceso indietro o quando si riconnettono alla rete. Non è una buona soluzione.
Un modo migliore per controllare i riavvii è per rimuoverli completamente da WSUS. Creare uno script che riavvia ogni computer tutti in una volta. Pianificare lo script da eseguire dopo gli utenti lasciano per il giorno. È possibile aggiornare sistemi ogni volta che vuoi, conoscendo il tuo script esterni riavvio si concluderà il processo.
Identificare, ad esempio, una finestra di tempo quando sarò riavviare ogni desktop sulla rete — diciamo mercoledì e sabato mattina fra 2: 00 a.m. e 4: 00 a.m. Socializzare il riavvio "finestra" per gli utenti, in modo da sapere per salvare il loro lavoro. Quindi, lei costruire un piccolo script che viene riavviato ogni desktop tutti in una volta. È possibile scaricare un esempio di uno da $concentratedtech.com/download $. Utilizzare l'utilità di pianificazione per eseguire lo script ogni settimana durante il Windows di riavvio.
Alcune impostazioni di criteri di gruppo possono aiutare con questa situazione: Attivare i criteri di non impostazione "Nessun riavvio automatico con utenti registrati su per installazioni pianificate Aggiornamenti automatici." Ciò impedisce l'installazione di un aggiornamento dal riavvio del computer.
Impostare il valore a 4 l'impostazione "Configura aggiornamenti automatici," e assicurarsi che il tempo di installazione si verifica prima della vostra finestra di riavvio. Attivazione del criterio di "Consentire aggiornamenti immediati installazione automatica" contribuisce anche, come installa immediatamente gli aggiornamenti che non richiedono un riavvio. Infine, se si desidera bloccare queste impostazioni giù anche per gli amministratori, è possibile attivare la configurazione utente politica "Rimuovi accesso a utilizzare tutte le funzionalità di Windows Update".
Riconfigurazione di WSUS in questo modo separa il passo di riavvio dalla fase di installazione e offre un controllo molto meglio raggiungere il 100 per cento rispetto durante la notte.
2. Utilizzare le API di WSUS per Patch immediatamente di un Computer
Ragazzi IT continuamente chiedono a me, "C'È un modo per utilizzare WSUS per patch immediatamente di un computer?" Sono stanchi di aspettare gli aggiornamenti basati sul tempo WSUS. Vogliono il controllo immediato su quando computer ottenere patchato, specialmente con i server.
C'è un modo, anche se non è esposta all'interno della GUI di WSUS. WSUS ha anche l'esposizione attraverso un'API di scripting. Utilizzando tale API e il linguaggio di scripting preferito, è possibile indicare Windows Update Agent di qualsiasi client per raccogliere e installare gli aggiornamenti approvati dal server WSUS. L'agente sarà anche riavviare il computer immediatamente se aggiornamenti richiedono un riavvio per l'installazione.
La parte più difficile è per la costruzione di uno script che potrai realizzare il compito. Troverete due script di concentratedtech.com/download . Il primo viene eseguito sul computer che necessitano di aggiornamenti. Sarà Scarica gli aggiornamenti approvati, installarli e riavviare il computer se necessario. La seconda utilizza lo strumento Microsoft nifty PSExec per lanciare in remoto il primo script su più computer in rete.
Questi due script rivelarsi utile per l'applicazione di patch ai server. Si può dire il tuo server di patch e riavviare stessi immediatamente, senza dover aspettare il timer dell'orologio-in-the-wall WSUS iniziare.
3. Riattivare il computer con criteri di gruppo
Destra dove vengono archiviate le altre impostazioni di criteri di gruppo di WSUS, troverete uno denominato abilitazione Windows Update Power Management. Questo verrà automaticamente riattivare il sistema per installare gli aggiornamenti pianificati.
Molti di noi configurare i nostri computer per spostare in Stati di potenza inferiore, quando non sono in uso, ad esempio la disattivazione dello schermo o persino dormire il computer. Il guaio è che un computer sonno non sarà sveglio per l'installazione degli aggiornamenti nel bel mezzo di notte.
L'attivazione di questa impostazione indica a Windows Update per riattivare automaticamente computer dormire quando è il momento di aggiornare. Una volta completata, il computer verrà restituito a una modalità sleep dopo due minuti.
4. Implementare un WSUS a Internet
I dipendenti che raramente connettono alla rete LAN interna sono un'altra sfida. Questi computer portatili sono proprietà dell'azienda, ma le opzioni di gestione sono limitate, perché sono raramente sulla rete. Per garantire che questi computer ottenere patchati, molti utenti sono costretti al sito Web Microsoft update pubblica. Lì, che arriva ogni patch che Microsoft ritiene opportuno.
Come potete immaginare, non ci sono più problemi con questo approccio. La maggior parte di noi desidera determinare quali patch sono installati. Vogliamo verificare e approvare le patch, in modo che noi possiamo escludere quelle sappiamo causano problemi. Abbiamo bisogno anche di rapporti sull'applicazione di successo, per impedire la nostra rete di infettare un computer senza patch patch.
Un modo per ottenere questo risultato (e raggiungere il 100 per cento rispetto durante la notte) è con un server WSUS a Internet. Questo tipo di server può affrontare le esigenze di gestione delle patch per gli utenti che sono raramente in ufficio. Server WSUS a Internet in genere non contengono l'effettivo aggiornamento dati. Invece, essi punto client di Windows Update per il contenuto di aggiornamento.
Questo consente di controllare che le patch si distribuisce mentre liberando la responsabilità di distribuzione di patch di Microsoft Server. Questi server, inoltre, tendono ad essere indurito contro inappropriati utenti attraverso l'uso di certificati SSL e un server database separato.
5. Si consideri l'accelerazione su BranchCache
Obiettivo 100% durante la notte la conformità richiede rapidamente patch client. È inoltre necessario distribuire rapidamente gli aggiornamenti in tutta la gerarchia WSUS. Purtroppo, tale distribuzione rapida di metadati dei aggiornamento e il contenuto non è sempre possibile se voi avete concatenare più server WSUS. La frequenza di rilevamento automatico aggiornamenti e alcune connessioni rete filiali latenti sono le questioni qui.
Se stai usando Windows Server 2008 R2, è possibile sostituire il server WSUS concatenato con su BranchCache, una soluzione di contenuto-accelerazione che memorizza nella cache i documenti per gli utenti di uffici remoti. È anche possibile utilizzare su BranchCache per accelerare la distribuzione degli aggiornamenti.
Installare su BranchCache sul server WSUS. Quindi utilizzare criteri di gruppo per accenderlo per i client Windows 7 negli uffici remoti. Infine, punto quei clienti ufficio remoto all'ufficio principale server WSUS per gli aggiornamenti.
Utilizzando la modalità Cache distribuita su BranchCache, i computer Windows 7 presso il sito remoto sarà condividere il contenuto WSUS una volta scaricato. Questa velocità di aggiornamento distribuzione senza saturare la connessione di rete.
La memorizzazione nella cache effettivo in su BranchCache è completamente trasparente al client. Questo significa accelerazione funzionerà una volta attivato per tutto il contenuto scaricato da un server abilitato su BranchCache. Di conseguenza, si può sbarazzarsi dei server WSUS siti remoti e rimuovere un passaggio nella distribuzione di aggiornamento.
6. Tenere pulito il tuo Database WSUS
Questo ultimo suggerimento potrebbe sentire come barare, ma è un passo importante per arrivare al 100 per cento rispetto. Eliminando il computer scaduto dal database di WSUS, li rimuove dal tuo contatori di conformità. Se un computer non esiste più, mai riferirà conformità e non vedrete mai il 100 per cento.
WSUS comprende una pulitura guidata, che dovrebbe utilizzare su base regolare. Esso sarà rimuovere computer non più contatto con il server, nonché eliminare inutili gli aggiornamenti.
Ho stato condivisione questi suggerimenti ai clienti per anni. Tutti loro relazione significativi miglioramenti nel loro tempo al pieno rispetto. È possibile ottenere lì, troppo. Se è impossibile, fatemelo sapere. Condividere i vostri problemi di concentratedtech.com/WSUSGuarantee .
Greg Shields MVP, è un partner al concentrato di tecnologia. Ottenere più degli scudi Jack-of-all-Trades trucchi e suggerimenti a ConcentratedTech.com.
Ottenere riconosciuto per i vostri suggerimenti migliori
Sei un amministratore di Windows Jack-Of-All-Trades (JOAT)? Siete responsabili di reti, server, stampanti e tutto intermedia? Se è così, sicuramente aver sviluppato alcuni utili suggerimenti e trucchi per mantenere tali server in esecuzione. Siete interessati a condividere? Geek-di-all-Trades editorialista TechNet Magazine Greg Shields sta cercando alcuni buoni consigli per un'imminente colonna, e lui sta cercando il vostro aiuto.
Hai un suggerimento intelligente per la gestione dei server Windows? Capito una tattica nifty per mantenere desktop in esecuzione? Cura di condividere un trucco segreto per gestire il vostro ambiente IT? "Top 20 E suggerimenti di Greg" verrà visualizzato in un prossimo numero di TechNet Magazine. Lì, egli sarà essere riconoscendo la top 20 JOATs IT intelligente nell'industria a fianco del loro gioco evoluzione punta o il trucco. Invia la tua oggi! Ottenere il tuo nome in stampa, esaltare le virtù e ricordare a tutti perché siete quelli che ricevono il vero lavoro fatto. Inviare i vostri suggerimenti a gshields@concentratedtech.com. Ogni suggerimento presentato otterrà una risposta.
— G.S.