Настройка сервера WSUS и групповых политик
 

Настраивал сервер домена (2003) и отдельный тестовый сервер (2008)для WSUS.
В домене создал OU update_from_WSUS, загнал туда четыре компа для тестирования.
Создал политику Windows Update for Desktops, применил для OU политику update_from_WSUS.
Кроме прочего, в политике, указал путь откуда компам обновляться и фигурировать на тестовом сервере WSUS как группа testovaya-gruppa.
После нового года, наконец то, в testovaya-gruppa посыпалиь компы из не распределённой группы,
но вместо 4х, аж 32 штуки.
Что интересно, команда gpresult об этой политике на тестовом сервере WSUS вообще не упоминает,
но политика что то делает (машины в тестовую группу она загнала).
На рядовых машинах загнанных в testovaya-gruppa политика действует:

C:\Windows\System32>gpresult /r


Примененные объекты групповой политики
---------------------------------------
Windows Update for Desktops


Что не понятно, после установки WSUS большая часть компов конторы пошла в интернет скачивать обновления с майкрософт, как это остановить?

Как сделать чтоб в testovaya-gruppa (на сервере WSUS) были только те комппы, которые я назначил?
Какие настройки нужно сделать чтобы на сервере WSUS применялась политика?

Политику с "ноля" настраиваю впервые...
Буду благодарен за совет!

Давайте уточним некоторые моменты:
1. Наверно имелось ввиду - OU update_from_WSUS политику Windows Update for Desktops

2.политики не пересекаются?

3.Тестовый сервер находится OU update_from_WSUS?

4.А до установки ВСУС как клиенты обновлялись?

5.Проверьте чтобы политики не перекрывались, на компах, которые должны быть в группе ВСУСа и нет запустите rsop.msc и проверьте примененные политики.

хотелось бы посмотреть на эту политику. Сделайте экспорт политики и выложите файл сюда.

1. Наверно имелось ввиду - OU update_from_WSUS политику Windows Update for Desktops\\ Да, именно так!

2.но вместо 4х, аж 32 штуки.\\ политики не пересекаются?\\ А как это посмотреть???

3.Что интересно, команда gpresult об этой политике на тестовом сервере WSUS вообще не упоминает \\ Тестовый сервер находится OU update_from_WSUS?\\
Не понял вопроса. В OU update_from_WSUS включены три ПК и сервер ВСУС. Сервер ВСУС- это отдельная тачка под 2008й виндой. На ней команда gpresult /r не показывает политику Windows Update for Desktops((


4.А до установки ВСУС как клиенты обновлялись?\\ Никак не обновлялись. Машины древние, только недавно начали закупаться новые. Для них и планировали наладить всус.

5. Проверьте чтобы политики не перекрывались, на компах, которые должны быть в группе ВСУСа и нет запустите rsop.msc и проверьте примененные политики.\\ По пути:"Результирующая политика-Конфигурация компьютера-административные шаблоны-система-групповая политика", в настройках упоминается только одна групповая политика,
общая для всех наших компов. На сервере с всус и клиентским ПК ситуация одинаковая, в командной строке gpresult говорит о 3х примененных политиках, rsop.msc упоминает одну .



6.хотелось бы посмотреть на эту политику. Сделайте экспорт политики и выложите файл сюда.\\ Сделать экспорт не получилось(( Пользовался этой статьей http://www.securitylab.ru/contest/395253.php и книжкой Нортроп Т.,МакинДж.К."Проектирование сетевой инфраструктуры Windows Server® 2008 2011" (глава 9я). Вроде бы ничего сложного. Буду очень благодарен , если расскажете как это делать "по правильному".

Вы чем редактируете политики, штатными средствами ОС? Насколько я помню у Windows Server 2003 на борту не очень удобный инструмент для работы с ГП. Рекомендую установить Group Policy Management Console Там есть возможность сделать бэкап политики и выложить сюда.
Что показал rsop.msc?

Да, бэкап то я сделал, получилась куча файлов.. Решил что не то что то сделал. Там инфа о данной политике или о всем серере тоже?

инфа только о политики. папка + файл xml, все это в архив и сюда

Вот архив... Что в политике не так?

Где?

Блин, загруженных фаилов 0 , но квота превышена((

123.7z:
Общая квота форума превышена на 102.7 Kb. Пожалуйста, сообщите об этом администрации.

Уважаемый ejik_off , отправил вам сообщение на почту, посмотрите ...

Igor2, отправьте еще раз, в настройках моего профиля стоял не правильный е-маил.

Почту отправил....Посмотрите пожалуйста.

Сообщение в почте......Посмотрите пожалуйста.

Вы только это... о результатах исследований отпишитесь. Спасибо )

В понедельник,210113 был месяц как я тренируюсь со WSUSом. Тестовый сервер настойчиво напоминал о лицензировании и я переустановил ось , а затем накатил всус.
Сразу после установки всуса в списке не распределенных появилось два компа из тестовой группы, назову их ivanof и petrof. Следуя
подсказкам хорошего человека под ником ejik_off я удалил сервер с обновлениями (wsus) из OU, к которой применяется политика;
создал Целевую группу с тем же именем какое прописано в политике (Enabledclient-side target group) на сервере с обновлениями (wsus) ;
загнал сервер wsus в домен (я его выгнал от туда когда закачивал дистриб всуса, тк политика запрета глушила закачку).
Главной ошибкой был запрет в политикке на обновление с вэбсайта майкрософт (If the status is set to Enabled, Windows recognizes when this computer is online and uses its Internet connection to search the Windows Update Web site for updates that apply to this computer.),
который я сделал чтоб компы не лезли обновляться в инет. ejik_off так это прокоментировал:"они полезут туда, куда указано в той же политике в настройках "Указать размещение службы обновлений Майкрософт в интрасети" - если данная настройка включена и указан адрес куда идти за обдейтами. Но если эта настройка отключена то клиены пойдут в инет."
После этих манипуляций два компа из тестовой группы, ivanof и petrof переместились в целевую группу на сервере wsus.
Комп petrof висел некоторое время одновременно в неназначеных и целевовой.
Третий комп-sidorof долго не падал в целевую. Я подозвал владельца компа sidorof показываю ему эти две строчки во всусе и говорю "что за дела,
комп petrof появился в списке нераспределенные, хотя был выключен, а у тебя комп постоянно включен , но в списке тебя нет((" При этом я нажал кнопку "обновить", в этот момент комп petrof изчез, но появился комп-sidorof. Мы посмеялись над этим чудом.
В данный момент мои танцы с бубном- gpupdate и перезагрузки ничего не дали. На компе petrof политика видна, имя компа верное , но в списке на сервере всуса его нет.
Второй ошибкой было то, что я прилинковал политику не только к ОИ , но и к домену в целом. Это привело к тому, что все компы сети посыпались в папки всуса:-)
Запрет в политикке на обновление с вэбсайта майкрософт у меня был не всегда, но видимо корректная работа быле невозможна из за какого то другого косяка.
Не сказать что сейчас у меня все супер, но покрайней мере политика ведет себя более предсказуемо.
Некоторую тормознутость всуса по включению компов в группы я давно заметил, надеюсь к завтрашнему дню третий комп (petrof) появиться в списке))
Большое спасибо ejik_offУ, он дал самые дельные советы!

Первое что пришло в голову - это возможно если у машин одинаковые ID. Посмотрите на этих машинах HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate значения SusClientId, если они одинаковые, то на одной машине удалите это параметр (SusClientId) и выполните команду wuauclt.exe /resetauthorization /detectnow.

Если машины в домене "разливались" с одного образа, то желательно прогнать скрипт для зачистки SusClientId.

Спасибо, народ!
Обновление политики, команда wuauclt.exe /resetauthorization /detectnow, и перегрузка клиентских тачек помогла. Весь день продолжалась чехарда, компы sidorof и petrof по череди появлялись в тестовой группе на всусе, но сейчас в очередной раз ребутнутый petrof появился в списке вместе с sidorof и не собирается от туда уходить)) Ура! Завтра буду обновления накатывать!

Новая ссылка на скрипт http://blog.it-kb.ru/2011/01/15/powe...-wsus-clients/