Geek de tous les métiers : 6 astuces pour une conformité WSUS à 100 pour cent

WSUS est une solution autonome de gestion de mises à jour de premier plan, mais vous pouvez encore découvrir le large éventail de possibilités qu'elle offre.

Par Greg Shields

Windows Server Update Services (WSUS) est vraiment de l'une des réalisations remarquables de Microsoft. Beaucoup d'entre nous souviennent de son ancêtre, Software Update Services (SUS). À l'époque, mises à jour logicielles est arrivé avec peu d'horaires d'avertissement et imprévisibles. Il y a des dizaines de solutions de gestion des correctifs sur le marché, chaque publicité d'une façon unique de mettre de l'ordre à l'assaut des mises à jour critiques.

Puis vint WSUS, et avec elle la récolte de solutions de gestion des correctifs semblait s'assécher. Presque isolément, WSUS règne suprême comme la solution de gestion des correctifs de Microsoft pour les masses. Pourquoi ? Parce qu'il fonctionne.

Plusieurs centres de données utilisent un serveur WSUS pour la gestion de leurs mises à jour de Windows. Encore plus utilisent le client WSUS — l'Agent de mise à jour de Windows — pour l'installation d'un code exécutable de chaque mise à jour. Néanmoins, beaucoup luttent toujours pour déployer les mises à jour en temps opportun. Se rendre à la conformité de 100 pour cent pendant la nuit, c'est un objectif noble, même si nous ne le rendre toujours.

De nombreux professionnels touche-à-tout il ne reconnaissent que certains des meilleurs moyens de mettre en œuvre WSUS ne sont pas les plus évidentes. Certains ne sont pas encore très médiatisés. Permettez-moi de partager quelques le plus de succès les astuces qui vous aideront à lisser votre processus de mise à jour.

1. Ne laissez pas les utilisateurs ou les redémarrages de contrôle des mises à jour

Se rendre à la conformité de la mise à jour de 100 p. 100, il faut deux étapes de base : Tout d'abord, vous devez installer la mise à jour.Deuxièmement, vous devez redémarrer l'ordinateur. Vous devez accomplir les deux étapes pour que l'ordinateur soit jugée conforme. WSUS est insuffisante dans la manière dont il gère l'étape de redémarrage.

La plupart d'entre vous ne voulez pas déranger les utilisateurs avec un redémarrage post-update. Coup d'envoi un redémarrage au cours de la journée de travail irrite les utilisateurs et peut causer de travail perdues. C'est pourquoi il y a toujours la possibilité de laisser les utilisateurs à retarder le redémarrage. Reporter un redémarrage donne un temps de l'utilisateur pour terminer ce qu'ils font et arrêter l'ordinateur gracieusement. Cependant, retarder le redémarrage peut retarder conformité de 100 %.

Une autre option est d'accorder un délai à chaque mise à jour approuvé. Qui établit une date et une heure lorsque l'installation et le redémarrage doivent être complètes. Vous aurez absolument forcer des ordinateurs de redémarrer après que la date limite passe. Le problème ici est avec les ordinateurs qui ont été propulsés vers le bas ou le réseau au cours de la période de délai. Ces ordinateurs seront corrigés et par la suite été redémarrés après qu'ils sont alimentés sur, ou lorsqu'ils se reconnectent au réseau. Ce n'est pas une bonne solution.

Une meilleure façon de contrôler les redémarrages est de supprimer complètement de WSUS. Construire un script qui redémarre chaque ordinateur à la fois. Annexe ce script à courir après que les utilisateurs quittent pour la journée. Vous pouvez mettre à jour les systèmes de chaque fois que vous le souhaitez, sachant votre script externe redémarrage se terminera le processus.

Par exemple, identifier une fenêtre de temps quand vous vous redémarrez chaque bureau sur le réseau — disons mercredi et samedi matin entre 2 h 00 et 4 h. Socialiser cette « fenêtre de redémarrage » aux utilisateurs, pour qu'ils sachent pour sauver leur travail. Ensuite, vous construire un petit script qui redémarre tout à la fois de chaque bureau. Vous pouvez télécharger un échantillon une partir de concentratedtech.com/download$ $. Utilisez le planificateur de tâches à exécuter ce script chaque semaine au cours de vos fenêtres de redémarrage.

Quelques paramètres de stratégie de groupe peuvent aider à cette situation : Activez la stratégie ne définissant « Aucune auto-redémarrage avec des utilisateurs connectés pour les installations mises à jour automatiques planifiées. » Cela empêchera une installation de mise à jour de redémarrage de l'ordinateur.

Dans le cadre de la politique « configurer automatique Updates, » définir la valeur sur 4 et veillez à ce que le temps d'installation se produit avant votre fenêtre de redémarrage. L'activation de la stratégie de « Permettre aux mises à jour immédiate Installation automatique » aide également, comme il installe immédiatement mises à jour qui ne nécessitent pas un redémarrage. Enfin, si vous souhaitez verrouiller ces paramètres down, même pour les administrateurs, vous pouvez activer la Configuration utilisateur politique « Remove accès à utiliser toutes les fonctionnalités de Windows Update ».

Reconfiguration WSUS de cette façon sépare de l'étape de redémarrage de l'étape de l'installation et vous donne beaucoup mieux contrôler atteindre la conformité de 100 pour cent pendant la nuit.

2. Utilisez l'API WSUS de patcher un ordinateur immédiatement

TI gars constamment me demandent, « Y a-t-il un moyen d'utiliser WSUS de patcher un ordinateur immédiatement? » Ils sont fatigués d'attendre les mises à jour basée sur le temps de WSUS. Ils veulent contrôle immédiat lorsque les ordinateurs obtenir patchés, surtout avec les serveurs.

Il y a une manière, même si elle n'est pas exposée au sein de la GUI de WSUS. WSUS dispose également d'exposition au moyen d'une API de script. En utilisant cette API et votre langage de script favori, vous pouvez demander à Windows Update Agent de n'importe quel client de recueillir et d'installer les mises à jour approuvées par le serveur WSUS. L'agent sera même redémarrer l'ordinateur immédiatement si les mises à jour nécessitent un redémarrage pour l'installation.

La partie difficile est dans la construction d'un script qui vous acquitter de la tâche. Vous trouverez deux scripts de concentratedtech.com/download . Le premier s'exécute sur l'ordinateur qui ont besoin de mises à jour. Il télécharger les mises à jour approuvées, les installer et redémarrer l'ordinateur si nécessaire. La seconde utilise l'outil de Microsoft nifty PSExec à distance de lancer le premier script sur plusieurs ordinateurs sur votre réseau.

Ces deux scripts être utiles pour les serveurs d'application de correctifs. Vous pouvez indiquer à vos serveurs et correctifs et eux-mêmes redémarrer immédiatement, sans avoir à attendre autour de la minuterie d'horloge-on-the-wall WSUS commencer.

3. Réveiller les ordinateurs avec la stratégie de groupe

À droite, où sont stockés les autres paramètres de stratégie de groupe WSUS, vous trouverez un nommé permettant à Windows Update gestion de l'alimentation. Cela se réveillera automatiquement par le système pour installer les mises à jour planifiées.

Beaucoup d'entre nous configurer nos ordinateurs vers les États de basse puissance lorsqu'ils ne sont pas en usage, comme la désactivation de l'écran ou même dormir l'ordinateur. Le problème est qu'un ordinateur sommeil ne sera pas éveillé pour l'installation de mises à jour au milieu de la nuit.

L'activation de ce paramètre indique à Windows Update pour réveiller automatiquement les ordinateurs endormis lorsqu'il est temps de mettre à jour. Une fois terminé, les ordinateurs retournera à un mode de sommeil après deux minutes.

4. Mettre en œuvre un WSUS faisant face à l'Internet

Les employés qui rarement se connecter au réseau local interne sont un autre défi. Ces portables sont la propriété de la compagnie, mais les options de gestion sont limitées parce qu'ils sont rarement sur le réseau. Pour assurer que ces ordinateurs obtenir patchés, beaucoup d'utilisateurs est forcés du site Web public de mise à jour de Microsoft. Là, ils obtiendront chaque patch que Microsoft estime appropriée.

Comme vous pouvez l'imaginer, il y a plusieurs problèmes avec cette approche. La plupart d'entre nous voulons déterminer quels correctifs sont installés. Nous voulons tester et approuver les patchs, donc nous pouvons écarter ceux nous savons causent des problèmes. Nous devons également des rapports sur la correction de succès, pour empêcher un ordinateur sans correctif d'infecter de notre réseau.

Une façon d'y parvenir (et assurer la conformité de 100 pour cent pendant la nuit) est un serveur WSUS faisant face à l'Internet. Ce type de serveur peut répondre à vos besoins de gestion des correctifs pour les utilisateurs qui sont rarement au bureau. Internet-serveurs WSUS ne contiennent généralement pas les données réelles de mise à jour. Au lieu de cela, ils soulignent les clients Windows Update pour le contenu de la mise à jour.

Ce permet de vous contrôler patchs vous déployez tout en déchargement de la responsabilité de distribution de patch de serveurs Microsoft. Aussi, ces serveurs ont tendance à être durci contre inappropriés d'utilisateurs à l'aide de certificats SSL et un serveur de base de données distincte.

5. Examiner l'accélération de la BranchCache

Atteindre 100 % conformité pendant la nuit exige des clients rapidement colmatage. Il faut aussi distribuer rapidement les mises à jour tout au long de la hiérarchie WSUS. Malheureusement, que la distribution rapide de mise à jour de métadonnées et de contenu n'est toujours possible, si vous avez enchaîné plusieurs serveurs WSUS ensemble. La fréquence des mises à jour automatiques de détection et de certaines connexions de réseau de bureau direction latente sont les questions ici.

Si vous utilisez Windows Server 2008 R2, vous pouvez remplacer vos serveurs WSUS chaînées avec BranchCache, une solution de contenu-accélération qui met en cache les documents pour les utilisateurs dans les bureaux distants. Vous pouvez également utiliser BranchCache pour accélérer le déploiement de la mise à jour.

Installer BranchCache sur votre serveur WSUS. Puis utilisez stratégie de groupe pour l'activer pour les clients Windows 7 dans vos bureaux distants. Enfin, pointer ces bureaux distants clients vers le Bureau principal serveur WSUS pour leurs mises à jour.

À l'aide de BranchCache Mode de Cache distribuée, ordinateurs Windows 7 sur le site distant partageront WSUS contenu une fois il est téléchargé. Cela accélère la mise à jour de distribution sans saturer votre connexion réseau.

La mise en cache réelles dans BranchCache est complètement transparente pour le client. Cela signifie accélération travaillera une fois activée pour tout contenu téléchargé depuis un serveur BranchCache-activé. En conséquence, vous pouvez se débarrasser de vos serveurs WSUS remote-site et supprimez une étape dans la distribution de la mise à jour.

6. Gardez votre base de données WSUS propre

Ce dernier truc peut-être envie de tricher, mais il est important de se rendre à la conformité de 100 %. Les éliminant expirés ordinateurs à partir de la base de données WSUS retire de vos compteurs de conformité. Si un ordinateur n'existe plus, il ne rendra jamais de conformité, et vous verrez jamais 100 pour cent.

WSUS comprend un Assistant Nettoyage vous devriez utiliser sur une base régulière. Il va supprimer les ordinateurs ne sont plus contacter le serveur, ainsi que éliminer les mises à jour inutiles.

J'ai été partager ces suggestions aux clients à ans. Tous les rapport des améliorations significatives dans leur temps au respect intégral. Vous pouvez y arriver, trop. Si vous ne pouvez pas, let me know. Partager vos problèmes de concentratedtech.com/WSUSGuarantee .

Greg Shields MVP, est associé à un concentré de technologie. Obtenez plus de Shields touche-à-tout conseils et astuces à ConcentratedTech.com.

Reconnu pour vos meilleurs conseils

Vous êtes un administrateur Windows touche-à-tout (JOAT) ? Vous êtes responsable de réseaux, serveurs, imprimantes et tout entre les deux ? Dans l'affirmative, vous avez certainement développé certains conseils utiles et des astuces pour garder ces serveurs exécutant. Intéressées à partager ? Geek-de-tous-métiers chroniqueur TechNet Magazine Greg Shields est la recherche de quelques bons plans pour une colonne à venir, et il cherche à votre aide.

Vous avez une astuce smart pour gérer vos serveurs Windows ? Figured out une tactique nifty pour garder les postes de travail en cours d'exécution ? Soins de partager une astuce secrète pour la gestion de votre environnement informatique ?  « Top 20 il Tips de Greg » apparaîtra dans un prochain numéro de TechNet Magazine. Là, il va être reconnaissant les JOATs IT smartest 20 haut dans l'industrie, aux côtés de leur bout de changement de jeu ou un trick.  Soumettez le vôtre dès aujourd'hui !  Obtenez votre nom catalogue, vanter vos mérites et rappeler pourquoi vous êtes ceux que faire le travail réel. Envoyer vos conseils à gshields@concentratedtech.com.  Chaque extrémité soumise recevront une réponse.

— G.S.

Contenu associé

• Geek de tous les métiers : Déploiement de Windows 7 en 7 étapes faciles
• Geek de tous les métiers : Automatiquement déploiement Microsoft Office 2010 avec des outils libres
• Geek de tous les métiers : Cesser de gaspiller de puissance et d'économiser 50 par ordinateur par année