在開始說明之前,先看一下上次的進度。
接下來就逐一介紹主控台的各項選項吧,這是主控台的概觀,裡面會寫著一些重要訊息。
點選左側「更新」欄位後,會看到更細項的更新選單,這些選單顯示的項目是根據你WSUS組態精靈裡的設定來呈現,會概觀的顯示各項更新類別分別的狀況。
點選「更新」選單裡面的隨意一項來觀察,選擇「重大更新」,在最上方的欄位,核准選擇「任何(已拒絕者除外)」;狀態選擇「任一」,並按下重新整理。裡面會列出所有重大更新的更新檔。
隨意選擇一項更新檔,按下右鍵會看到些選項。可依據組織內的需求來進行「核准」或「拒絕」,這部份會在後面的實作上來做更詳細的介紹。
在最上方的欄位按右鍵,可以需求來顯示需要看到的欄位。
點選左側「電腦」欄位,可以看到這台WSUS底下管轄的電腦更新情況。由於目前為測試,底下一台電腦都沒有。
點選「下游伺服器」欄位,可以看到WSUS的階層架構,由於目前這台WSUS是唯一一台主機,所以這個欄位也會是空白的。
點選「同步處理」欄位,可以看到每次與微軟或上游主機的同步紀錄,並了解這次同步有多少新的更新檔。
點選「報告」欄位,可依據管理者需求來產生報表,這功能對定期要提交管理報告的使用者來說,真的是非常方便阿,我們隨意點選一個報告來看看效果。
阿勒....這裡跳出一個功能無法使用的對話框。其實Server上所有的內建報表都需要這個Microsoft Report Viewer 2008來呈現,之後我們裝起來後再來看看效果。
點選「選項」欄位,這裡可以更改所有的WSUS組態設定,如果之前的設定覺得不滿意或者有錯誤,都可以在這個欄位中做修改。
三.GPO配置與測試
要怎樣讓環境內的電腦不再跟微軟伺服器要更新檔,改跟我們的WSUS伺服器來要求更新檔呢?這就要請我們的「群組原則物件(GPO)」來幫忙拉,GPO可以針對環境內的主機做克制化的要求,像是設定IE首頁、關閉控制台某些功能、派送軟體等,舉凡Windows看的到的東西大部分都可以做設定,甚至連Office都可以做設定,是微軟Server強大的原因之一!那今天我們就用GPO來鎖定環境內的主機,讓他們無法修改控制台內的「Windows Update」,避免我們設定的那麼辛苦,結果使用者自己亂改設定的困擾。
首先先打開「群組原則管理」,也就是我們俗稱的GPO。
這個是GPO的主介面,而裡面的test1.local是我測試用的網域,點開test1.local(每個人的網域名稱會不一樣),再點選「群組原則物件」,按右鍵點選「新增」。
幫你的GPO取個名字,我這裡就先取WSUS_GPO,名字只要好識別裡面是再設定什麼的即可。
現在我們可以在「群組原則物件」看到我們剛剛新增的WSUS_GPO了,點選右鍵「編輯」。
GPO打開有分電腦設定與使用者設定,我們這次的設定是針對電腦的,所以點選「電腦設定」>「原則」>「系統管理範本」>「Windows元件」>「Windows Updare」
這裡就顯示了所有Windows Update能設定的選項,大家可以每個都點開來研究研究,但這次我們主要針對三條選項來進行設定。
第一條:設定自動更新,首先勾選「已啟用」開啟這條設定,接下來在選項欄位,設定自動更新的部分進行設定,這裡我選擇3-自動下載和通知我安裝,這樣更新檔派送到使用者電腦時,會自動先下載下來,並通知使用者安裝。如果你想要強制性高一點,也可以設定4-自動下載和排程安裝,這樣就會不管使用者願不願意,直接下載安裝搂。下面可以設定安裝的時間點,這部分我就暫時先不設定了。
第二條:指定近端內部網路Microsoft更新服務的位置,這條是最重要的啦,沒有設定的話是不會有使用者來跟WSUS伺服器要更新檔的!一樣勾選「已啟用」,並在下方選項上打上你的WSUS伺服器名稱。格是長這樣:http://你的WSUS伺服器主機名稱:8530,8530是WSUS預設的port,你也可以改成你喜歡的port。
第三條:不要連線到任何Windows Update網際網路位置,一樣勾選「已啟用」,這樣可以確保環境內的主機不會連線到網際網路去找尋更新檔。
設定完成後會長成這樣,出現三條「已啟用」。
接下來我們要新增一個「組織單位OU」,一般我們都稱他為OU拉,講組織單位可能反而沒人聽得懂XDDDD 要新增一個OU的原因是因為,並不是每台主機都會套一樣的GPO,你可能想要環境內不同主機套不同的GPO,所以我們要請出我們的OU來區隔。點選工具開啟「Active Directory使用者與電腦」。
在test1.local(每個人名稱不一樣)點選右鍵「新增」>「組織單位」。
簡單幫它取個名字,先叫WSUS_OU好了。
接著因為我沒有使用者,就先暫時新增一位使用者叫Amy來幫我測試一下。 點選右鍵「新增」>「使用者」。
把Amy的基本資料輸入,「使用者登入名稱」也就是你的使用者帳號。
密碼打一打,要符合微軟的密碼複雜度,也就是要8位以上、英數組合、大小寫、有特殊符號等
這裡我搬了兩台電腦到WSUS_OU裡面,現在他有兩台電腦(一台WSUW伺服器跟一台測試電腦)跟1位使用者了。
接著我們回到GPO的主介面,你會在左側看到我們剛剛新增的WSUS_OU,這個OU代表著剛剛的那兩台電腦跟1位使用者,也就是說套在上面的GPO只有針對這個OU起作用。
我們對WSUS_OU點選右鍵「連結到現有的GPO」。
找到我們剛剛設定好的WSUS_GPO,然後點選確定給他套用下去。
接下來我用剛剛那兩台電腦中的測試電腦,並以使用者Amy登入。GPO在套用下去後要等一段時間才會套上去,我們可以直接下gpupdate /force來強迫它套用。指令下完登入就成功套用GPO了。
GPO已經套用完畢後,接下來我們要進行派送工作拉,回到我們的WSUS主控台,我們會在「所有電腦」裡面看到我們的測試電腦,這代表GPO已經套用成功了,這台電腦以後會乖乖地來跟WSUS伺服器要更新檔了,但我們還沒派送更新檔出去呢,接下來我們要來派送了。
首先現在WSUS伺服器下wuauclt /detectnow 和wuauclt /reportnow,可以立即讓使用者立即與 WSUS伺服器聯繫,檢測是否有新的更新包。
接下來我們點選左側的「重大更新」,並將核准欄位改成「未核准」;狀態欄位改成「需要」,並按下重新整理
這些就是可以派送的更新包了,我們隨便點選其中一個更新包,按右鍵點選「核准」。
這裡針對所有電腦按右鍵點選「已核准安裝」。
接下來回到我們的測試電腦,來實測看看有沒有成功收到更新包,開啟「控制台」>「Windows Update」,點選左側的「檢查更新」。
登登登!測試電腦成功的從WSUS伺服器上找到了一個重要更新,由於我前面是設定自動下載但手動安裝,所以這裡它不會自動幫使用者安裝,那我們就手動給他點選「安裝更新」。
在「檢視更新紀錄」裡面看到,我們成功在使用者的電腦上安裝了更新包了!
這裡補充一下前面提到的「報告」,由於缺少Report Viewer,我們趕緊去官網下載一下Microsoft Report Viewer Redistributable 2008,下載完把它安裝起來。
接著點選WSUS主控台左側的「報告」,隨便點選其中一個選項。
把想設定的設定一下,然後點選右側的「執行報告」。
登登登!一份份的報告就這樣產生拉,整理一下就可以做成每周或每月的工作紀錄了,趕快去跟上級邀功吧:D
留言列表