WINDOWS SERVER UPDATE SERVICES (WSUS)
Windows Server Update Services (WSUS) cho phép quản trị viên hệ thống triển khai các bản cập nhật sản phẩm mới nhất của Microsoft. Bạn có thể sử dụng WSUS để quản lý phân phối các bản cập nhật được phát hành thông qua Microsoft Update tới các máy tính trong hệ thống mạng của bạn.
WSUS Server cũng có thể là nguồn cập nhật cho các WSUS Server khác trong tổ chức của bạn. WSUS Server này hoạt động như một nguồn cập nhật được gọi là upstream server. Khi triển khai WSUS, ít nhất một WSUS Server trên mạng của bạn phải có khả năng kết nối với Microsoft Update để nhận thông tin cập nhật mới nhất.
Bài lab cung cấp cái nhìn tổng quan về vai trò, cách triển khai và duy trì WSUS.
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt WSUS
2. Cấu hình WSUS
3. Cấu hình Client bằng Group Policy Object (GPO)
4. Tạo Computer Group
5. Approve updates
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
+ PC02: Windows 10/11 Professional đã join Domain
B- THỰC HIỆN WINDOWS SERVER UPDATE SERVICES (WSUS)
1. Cài đặt WSUS (Thực hiện trên máy PC01)
B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features.
B2 – Cửa sổ Before You Begin, chọn Next 3 lần.
B3 – Cửa sổ Select server roles, đánh dấu chọn Windows Server Update Services, chọn Add features, chọn Next 5 lần
B4 – Cửa sổ Content location selection, nhập vào đường dẫn C:\WSUS2016, chọn Next
B5 – Màn hình Confirm installation selections, chọn Install
B6 – Chọn Launch Post-Installation tasks, sau khi hoàn tất, chọn Close
Lưu ý: Do WSUS sử dụng account NETWORK SERVICES để lưu trữ các file tạm nên cần phân quyền Full Control cho account này
B7 – Phân quyền Full Control cho account NETWORK SERVICES trên thư mục Temporary ASP.NET Files, nằm trong đường dẫn C:\Windows\Microsoft.NET\Framework\v4.0.30319\
B8 – Tương tự phân quyền Full Control cho account NETWORK SERVICES trên thư mục C:\Windows\Temp
 |
 |
2. Cấu hình WSUS (Thực hiện trên máy PC01)
B1 – Mở Server Manager, vào menu Tools, chọn Windows Server Update Services
B2 – Cửa sổ Before you begin, chọn Next
B3 – Cửa sổ Microsoft Update Improvement Program, bỏ chọn ô Yes, I would like to join the Microsoft Update Improvement Program, chọn Next
B4 – Cửa sổ Choose Upstream Server, chọn Synchronize from Microsoft Update, chọn Next
B5 – Cửa sổ Specify Proxy Server, chọn Next
B6 – Cửa sổ Connect to Upstream Server, chọn Start Connecting (đợi khoảng 15 – 20 phút), chọn Next
B7 – Cửa sổ Choose Language, chọn Download updates only in these languages, đánh dấu chọn ô English, chọn Next
B8 – Cửa sổ Choose Product, chọn sản phẩm cần download các bản Update, vd: chọn ô Windows 10, sau đó chọn Next
B9 – Cửa sổ Choose Classifications, đánh dấu chọn Critical Updates, chọn Next
B10 – Cửa sổ Configure Sync Schedule, chọn Synchronize automatically, chọn Next
B11 – Cửa sổ Finished, đánh dấu chọn ô Begin initial synchronization, chọn Next
B12 – Cửa sổ What’s Next, chọn Finish
B13 – Ở khung bên trái, chọn Synchronizations. Chờ đợi quá trình download các bản update và đồng bộ hóa WSUS Server. Sau khi hoàn tất, kiểm tra trạng thái Succeeded
B14 – Ở khung bên trái bung mục Updates, chọn All Updates. Mục Approval, chọn Any Except Declined. Mục Status, chọn Any. Quan sát các bản update đã được download từ Microsoft.
3. Cấu hình Client bằng Group Policy Object (Thực hiện trên máy PC01)
B1 – Mở Active Directory Users and Computers. Tạo OU WSUS Clients. Di chuyển các Computers Client vào OU này
B2 – Mở Group Policy Management. Chuột phải vào OU WSUS Clients, chọn Create a GPO in this domain, and Link it here…
B3 – Ở mục Name, đặt tên WSUS. Chuột phải GPO WSUS, chọn Edit
B4 – Mở theo đường dẫn: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update. Double Click Policy Configure Automatic Updates, chọn Edit
B5 – Chọn Enabled. Khung bên dưới góc trái, mục Configure automatic updating, qui định các Client sẽ tự động Download Update và cài đặt vào lúc 17 giờ hằng ngày, chọn OK
B6 – Double click policy Specify intranet Microsoft update service location. Chọn Enabled. Nhập vào URL WSUS Server cho 2 mục Set the intranet update service for detecting services và Set the Intranet static server là http://192.168.1.1:8530, nhấn OK
B7 – Mở CMD, gõ lệnh gpupdate /force
B8 – Qua máy PC02, gõ lệnh gpresult /r . Bảo đảm trong mục COMPUTER SETTINGS có GPO WSUS.
B9 – Tiếp tục gõ lệnh wuauclt /resetauthorization /detectnow để máy Client có thể xuất hiện trong mục Computers trên WSUS console. Sau khi gõ lệnh xong, restart lại máy.
4. Tạo Computer Group (Thực hiện trên máy PC01)
Trong hệ thống mạng, các client có thể chạy nhiều hệ điều hành khác nhau (Windows 10, Windows 8 hay Windows 7). Mỗi hệ điều hành cần cập nhật các bản update khác nhau. Vì vậy cần phân loại các client dựa vào hệ điều hành bằng cách tạo các Computer Group
B1 – Mở WSUS, bung mục Computers, chuột phải All Computers, chọn Add Computer Group
B2 – Ở mục Name, đặt tên cho Computer Group: Windows 10 Clients, chọn Add
B3 – Khung bên trái chọn Unassigned Computers. Mục Status, chọn Any, chọn Refresh. Chuột phải PC02, chọn Change Membership
B4 – Check vào group Windows 10 Clients 🡪 OK
B5 – Quan sát thấy máy Client đã được đưa vào Computer Group Windows 10 Clients
5. Approve updates (Thực hiện trên máy PC01)
Để cho phép các máy client download và cài đặt các update, chúng ta cần approve các bản update cho các computer group chỉ định.
B1 – Khung bên trái bung mục Updates, chọn All Updates. Chọn các bản Update cần Approve, chuột phải và chọn Approve
B2 – Chỉ định Computer Group cần Approve, chọn Approved for install, chọn OK. Chờ đợi quá trình approve, quá trình này có thể nhanh hay chậm tùy thuộc vào số lượng các bản update mà chúng ta approve
B3 – Kiểm tra các Update đã được Approve, chọn Close
Hoàn Tất Bài Lab