কম্পিউটার
 Computer >> কম্পিউটার >  >> পদ্ধতি >> Windows Server

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

পূর্ববর্তী নিবন্ধগুলির একটিতে আমরা উইন্ডোজ সার্ভার 2012 R2 / 2016-এ একটি WSUS সার্ভারের ইনস্টলেশনের বিস্তারিত বর্ণনা করেছি। আপনি আপডেট সার্ভার কনফিগার করার পরে, আপডেট পেতে WSUS সার্ভার ব্যবহার করার জন্য আপনাকে Windows ক্লায়েন্ট (সার্ভার এবং ওয়ার্কস্টেশন) কনফিগার করতে হবে। এইভাবে, আপনার নেটওয়ার্কের সমস্ত উইন্ডোজ ক্লায়েন্টদের অভ্যন্তরীণ আপডেট সার্ভার থেকে আপডেট পাওয়া উচিত, এবং ইন্টারনেটের মাধ্যমে Microsoft আপডেট সার্ভার থেকে নয়। এই নিবন্ধে, আমরা অ্যাক্টিভ ডিরেক্টরি ডোমেন গ্রুপ নীতিগুলি (GPO) ব্যবহার করে একটি WSUS সার্ভার ব্যবহার করার জন্য ক্লায়েন্টদের কীভাবে কনফিগার করতে হয় তা দেখব।

AD গোষ্ঠী নীতিগুলি প্রশাসককে স্বয়ংক্রিয়ভাবে বিভিন্ন WSUS গোষ্ঠীগুলিতে কম্পিউটারগুলি বরাদ্দ করার অনুমতি দেয়, এইভাবে WSUS প্রশাসককে ম্যানুয়ালি WSUS কনসোলে গ্রুপগুলির মধ্যে কম্পিউটারগুলি সরাতে হবে না এবং এই গোষ্ঠীগুলিকে আপ-টু-ডেট রাখতে হবে। বিভিন্ন টার্গেট WSUS গ্রুপে ক্লায়েন্টদের বরাদ্দ করা ক্লায়েন্টের রেজিস্ট্রির একটি লেবেলের উপর ভিত্তি করে (লেবেলগুলি একটি GPO বা সরাসরি রেজিস্ট্রি পরিবর্তন দ্বারা সেট করা হয়)। WSUS গ্রুপগুলিতে এই ধরনের ক্লায়েন্ট অ্যাসাইন করাকে বলা হয় ক্লায়েন্ট সাইড টার্গেটিং .

আশা করা হচ্ছে যে আমাদের নেটওয়ার্ক দুটি ভিন্ন আপডেট নীতি ব্যবহার করবে:সার্ভারের জন্য পৃথক আপডেট নীতি এবং আরেকটি ওয়ার্কস্টেশনের জন্য . সমস্ত কম্পিউটার বিভাগে WSUS কনসোলে এই দুটি গ্রুপ তৈরি করতে হবে।

টিপ . ক্লায়েন্টদের দ্বারা WSUS সার্ভার ব্যবহার করার নীতি মূলত সক্রিয় ডিরেক্টরি সংস্থা ইউনিটের (OU) সাংগঠনিক কাঠামোর উপর নির্ভর করে এবং কোম্পানিতে ইনস্টলেশনের নিয়ম আপডেট করে। এই নিবন্ধে আমরা উইন্ডোজ আপডেটগুলি ইনস্টল করার জন্য গ্রুপ নীতিগুলি ব্যবহার করার প্রাথমিক নীতিগুলি বোঝার চেষ্টা করব৷

প্রথমত, আপনাকে WSUS কনসোলে (টার্গেটিং) কম্পিউটারগুলিকে গ্রুপ করার নিয়মটি নির্দিষ্ট করতে হবে। ডিফল্টরূপে, WSUS কনসোলের কম্পিউটারগুলি সার্ভার অ্যাডমিনিস্ট্রেটর (সার্ভার-সাইড টার্গেটিং) দ্বারা ম্যানুয়ালি গ্রুপে বিতরণ করা হয়। এটি আমাদের উপযুক্ত নয়, তাই আমরা নির্দিষ্ট করতে যাচ্ছি যে ক্লায়েন্ট সাইড টার্গেটিং (গ্রুপ নীতি বা রেজিস্ট্রি প্যারামিটার ব্যবহার করে) ব্যবহার করে কম্পিউটারগুলিকে গ্রুপে বিতরণ করা হবে। এটি করতে, WSUS কনসোলে বিকল্পগুলি ক্লিক করুন৷ এবং কম্পিউটার খুলুন . "কম্পিউটারে গ্রুপ নীতি বা রেজিস্ট্রি সেটিংস ব্যবহার করুন" তে মান পরিবর্তন করুন .

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

এখন আপনি WSUS ক্লায়েন্ট কনফিগার করার জন্য একটি GPO তৈরি করতে পারেন। গ্রুপ পলিসি ম্যানেজমেন্ট (GPMC.msc) খুলুন এবং দুটি নতুন গ্রুপ নীতি তৈরি করুন:ServerWSUSPolicy এবং WorkstationWSUSPolicy .

উইন্ডোজ সার্ভারের জন্য WSUS গ্রুপ নীতি

সার্ভার নীতির বর্ণনা দিয়ে শুরু করা যাক – ServerWSUSPolicy .

উইন্ডোজ আপডেট পরিষেবার অপারেশনের জন্য দায়ী গ্রুপ নীতি সেটিংস নিম্নলিখিত GPO বিভাগে অবস্থিত:কম্পিউটার কনফিগারেশন -> নীতি –> প্রশাসনিক টেমপ্লেট -> উইন্ডোজ উপাদান -> উইন্ডোজ আপডেট।

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

আমাদের পরিবেশে, আমরা Windows সার্ভারগুলিতে WSUS থেকে আপডেটগুলি ইনস্টল করতে এই নীতিটি ব্যবহার করার পরামর্শ দিই। এই নীতির অধীনে থাকা সমস্ত কম্পিউটার WSUS কনসোলে সার্ভার গ্রুপে বরাদ্দ করা হয়। উপরন্তু, আমরা সার্ভারে স্বয়ংক্রিয় আপডেট ইনস্টলেশন নিষ্ক্রিয় করতে চাই যখন তারা প্রাপ্ত হয়. আপডেটের সময় ক্লায়েন্টকে শুধুমাত্র স্থানীয় ড্রাইভে উপলব্ধ আপডেটগুলি ডাউনলোড করতে হবে, সিস্টেম ট্রেতে সংশ্লিষ্ট বিজ্ঞপ্তিটি প্রদর্শন করতে হবে এবং প্রশাসকের ম্যানুয়ালি ইনস্টলেশন শুরু করার জন্য অপেক্ষা করতে হবে (স্থানীয়ভাবে বা দূরবর্তীভাবে PSWindowsUpdate মডিউল ব্যবহার করে)। এর মানে হল যে উত্পাদনশীল সার্ভারগুলি স্বয়ংক্রিয়ভাবে আপডেটগুলি ইনস্টল করবে না এবং প্রশাসকের নিশ্চিতকরণ ছাড়া পুনরায় চালু করবে না (সাধারণত এই কাজগুলি সিস্টেম প্রশাসক দ্বারা মাসিক নির্ধারিত রক্ষণাবেক্ষণের অংশ হিসাবে সঞ্চালিত হয়)। এই ধরনের একটি স্কিম বাস্তবায়ন করতে, আসুন নিম্নলিখিত নীতিগুলি সেট করি:

  • স্বয়ংক্রিয় আপডেট কনফিগার করুন: সক্রিয় করুন। 3 – স্বয়ংক্রিয়ভাবে ডাউনলোড করুন এবং ইনস্টল করার জন্য অবহিত করুন - ক্লায়েন্ট স্বয়ংক্রিয়ভাবে নতুন আপডেট ডাউনলোড করে এবং সেগুলি সম্পর্কে আপনাকে অবহিত করে;
  • ইন্ট্রানেট Microsoft আপডেট পরিষেবা অবস্থান নির্দিষ্ট করুন৷ :সক্ষম করুন . আপডেটগুলি সনাক্ত করার জন্য ইন্ট্রানেট আপডেট পরিষেবা সেট করুন:https://hq-wsus.woshub.com:8530 , ইন্ট্রানেট পরিসংখ্যান সার্ভার সেট করুন: https://hq-wsus.woshub.com:8530 - স্থানীয় WSUS সার্ভার এবং পরিসংখ্যান সার্ভারের ঠিকানা সেট করুন (সাধারণত তারা একই হয়);
  • নিয়মিত স্বয়ংক্রিয় আপডেট ইনস্টলেশনের জন্য লগ অন ব্যবহারকারীদের সাথে কোনো স্বয়ংক্রিয়-পুনঃসূচনা নেই: সক্ষম করুন – ব্যবহারকারীর অধিবেশন খোলা থাকলে স্বয়ংক্রিয়ভাবে পুনরায় আরম্ভ নিষ্ক্রিয় করুন;
  • ক্লায়েন্ট-সাইড টার্গেটিং সক্ষম করুন: সক্ষম করুন .এই কম্পিউটারের জন্য লক্ষ্য গোষ্ঠীর নাম: সার্ভার – WSUS কনসোলে, সার্ভার গ্রুপে ক্লায়েন্টদের বরাদ্দ করুন।

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

দ্রষ্টব্য . আপনি যখন আপডেট নীতি কনফিগার করেন, তখন আমরা আপনাকে Windows Update GPO সেকশনের প্রতিটি বিকল্পে উপলব্ধ সমস্ত সেটিংসের সাথে পরিচিত হতে এবং আপনার পরিকাঠামো এবং প্রতিষ্ঠানের জন্য উপযুক্ত পরামিতি সেট করার পরামর্শ দিই।

উইন্ডোজ ওয়ার্কস্টেশনের জন্য WSUS গ্রুপ নীতি

আমরা অনুমান করি যে সার্ভার নীতির বিপরীতে, ক্লায়েন্ট ওয়ার্কস্টেশনের আপডেটগুলি আপডেট পাওয়ার পরপরই রাতে স্বয়ংক্রিয়ভাবে ইনস্টল হয়ে যায়। আপডেটগুলি ইনস্টল করার পরে কম্পিউটারগুলি স্বয়ংক্রিয়ভাবে পুনরায় চালু হওয়া উচিত (5 মিনিটের মধ্যে ব্যবহারকারীকে অবহিত করা)।

এই GPO (WorkstationWSUSPolicy) এ আমরা উল্লেখ করি:

  • স্বয়ংক্রিয় আপডেটগুলিকে অবিলম্বে ইনস্টল করার অনুমতি দিন: অক্ষম - আপডেটগুলি পাওয়ার পরে অবিলম্বে ইনস্টলেশন নিষ্ক্রিয় করা হয়;
  • অ-প্রশাসকদের আপডেট বিজ্ঞপ্তি পাওয়ার অনুমতি দিন: সক্ষম – নন-প্রশাসকদের কাছে নতুন আপডেটের বিজ্ঞপ্তি প্রদর্শন করে এবং সেগুলিকে ম্যানুয়ালি ইনস্টল করার অনুমতি দেয়;
  • স্বয়ংক্রিয় আপডেট কনফিগার করুন: সক্ষম . স্বয়ংক্রিয় আপডেট কনফিগার করুন: 4 – স্বয়ংক্রিয়ভাবে ডাউনলোড করুন এবং ইনস্টল করার সময়সূচী করুন৷ নির্ধারিত ইনস্টলেশন দিন: 0 – প্রতিদিন . নির্ধারিত ইনস্টলেশন সময় :05:00 – একজন ক্লায়েন্ট নতুন আপডেট ডাউনলোড করেন এবং সকাল 5:00 এ স্বয়ংক্রিয়ভাবে ইনস্টল করার পরিকল্পনা করেন;
  • এই কম্পিউটারের জন্য লক্ষ্য গোষ্ঠীর নাম: ওয়ার্কস্টেশন – WSUS কনসোলে, ওয়ার্কস্টেশন গ্রুপে ক্লায়েন্টকে বরাদ্দ করুন;
  • নিয়মিত স্বয়ংক্রিয় আপডেট ইনস্টলেশনের জন্য লগ অন ব্যবহারকারীদের সাথে কোনো স্বয়ংক্রিয়-পুনঃসূচনা নেই: অক্ষম;
  • ইন্ট্রানেট মাইক্রোসফ্ট আপডেট পরিষেবা অবস্থান নির্দিষ্ট করুন:সক্ষম করুন৷ আপডেটগুলি সনাক্ত করার জন্য ইন্ট্রানেট আপডেট পরিষেবা সেট করুন: https://hq-wsus.woshub.com:8530 , ইন্ট্রানেট পরিসংখ্যান সার্ভার সেট করুন: https://hq-wsus.woshub.com:8530 – হল কর্পোরেট WSUS সার্ভারের ঠিকানা।

Windows 10 1607 এবং উচ্চতর ক্ষেত্রে, আপনি অভ্যন্তরীণ WSUS থেকে আপডেট পাওয়ার জন্য নির্দিষ্ট করেছেন তা সত্ত্বেও, Windows 10 এখনও ইন্টারনেটে Windows আপডেট সার্ভারগুলি অ্যাক্সেস করার চেষ্টা করতে পারে। এই "বৈশিষ্ট্য" কে ডুয়াল স্ক্যান বলা হয়৷ . ইন্টারনেট থেকে আপডেট প্রাপ্তি অক্ষম করতে, আপনাকে অতিরিক্তভাবে নীতিটি সক্ষম করতে হবে উইন্ডোজ আপডেটের বিরুদ্ধে স্ক্যান করার জন্য আপডেট স্থগিত নীতিগুলিকে অনুমতি দেবেন না .

টিপ . কোম্পানির কম্পিউটারগুলিকে সমস্ত উপলব্ধ প্যাচ ইনস্টল করার অনুমতি দেওয়ার জন্য, উভয় নীতিই কনফিগার করা যেতে পারে যাতে আপডেট পরিষেবা (wuauserv) ক্লায়েন্টে শুরু করতে বাধ্য হয়৷ এটি করতে, কম্পিউটার কনফিগারেশন -> নীতি -> উইন্ডোজ সেটিংস -> নিরাপত্তা সেটিংস -> সিস্টেম পরিষেবাগুলি এর অধীনে উইন্ডোজ আপডেট খুঁজুন এবং এটিকে স্বয়ংক্রিয়ভাবে শুরু করতে সেট করুন (স্বয়ংক্রিয় ) আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

AD OUs-কে WSUS গ্রুপের নীতি বরাদ্দ করা

পরবর্তী ধাপে তৈরি করা নীতিগুলি সংশ্লিষ্ট অ্যাক্টিভ ডিরেক্টরি কন্টেইনারে (OU) বরাদ্দ করা। আমাদের উদাহরণে OU গঠনটি অত্যন্ত সহজ:দুটি কন্টেইনার রয়েছে - সার্ভার (এটিতে কোম্পানির সমস্ত সার্ভার রয়েছে, ডোমেন কন্ট্রোলার বাদে) এবং WKS (ওয়ার্কস্টেশন - ব্যবহারকারীদের কম্পিউটার)।

টিপ . আমরা ক্লায়েন্টদের সাথে WSUS নীতিগুলি আবদ্ধ করার একটি মোটামুটি সহজ উপায় বিবেচনা করি। বাস্তব জগতে, সমস্ত ডোমেন কম্পিউটারের সাথে একটি একক WSUS নীতি লিঙ্ক করা সম্ভব (একটি GPO ডোমেন রুটে বরাদ্দ করা হয়েছে), বিভিন্ন ধরনের ক্লায়েন্টকে বিভিন্ন OU জুড়ে বিতরণ করা সম্ভব (আমাদের উদাহরণ হিসাবে, আমরা সার্ভারের জন্য বিভিন্ন WSUS নীতি তৈরি করেছি এবং ওয়ার্কস্টেশন)। বৃহৎ বিতরণকৃত ডোমেনে বিভিন্ন WSUS সার্ভারকে AD সাইটের সাথে লিঙ্ক করা, বা WMI ফিল্টারগুলির উপর ভিত্তি করে একটি GPO বরাদ্দ করা বা এমনকি এই পদ্ধতিগুলিকে একত্রিত করা মূল্যবান।

OU-তে নীতি বরাদ্দ করতে, গ্রুপ পলিসি ম্যানেজমেন্ট কনসোলে সঠিক OU-তে ক্লিক করুন, একটি বিদ্যমান GPO লিঙ্ক করুন নির্বাচন করুন , এবং তারপর উপযুক্ত নীতি পরীক্ষা করুন।

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

টিপ . আলাদা OU - ডোমেন কন্ট্রোলার সম্পর্কে ভুলবেন না . বেশিরভাগ ক্ষেত্রে WSUS সার্ভার নীতিটি এই কন্টেইনারের সাথে লিঙ্ক করা উচিত৷
আপনাকে একইভাবে WKS (যেখানে উইন্ডোজ ওয়ার্কস্টেশনগুলি অবস্থিত) নাম দিয়ে AD কন্টেইনারে WorkstationWSUSPolicy বরাদ্দ করতে হবে৷

ক্লায়েন্টকে WSUS সার্ভারের সাথে আবদ্ধ করার জন্য ক্লায়েন্টদের উপর গোষ্ঠী নীতিগুলি আপডেট করা বাকি রয়েছে:

1

gpupdate /force

gpupdate /force

সমস্ত উইন্ডোজ আপডেট সেটিংস যা আমরা গ্রুপ নীতির মাধ্যমে সেট করেছি ক্লায়েন্টের রেজিস্ট্রি কী HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate-এ প্রদর্শিত হবে .

নিম্নলিখিত reg ফাইলটি অন্য কম্পিউটারগুলিতে WSUS সেটিংস স্থানান্তর করতে ব্যবহার করা যেতে পারে যেখানে আপনি GPO ব্যবহার করে আপডেট সেটিংস কনফিগার করতে পারবেন না (একটি ওয়ার্কগ্রুপের কম্পিউটার, বিচ্ছিন্ন অংশ, DMZ, ইত্যাদি)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"WUServer"="https://hq-wsus.woshub.com:8530"
"WUStatusServer"="https://hq-wsus.woshub.com:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
"NoAutoUpdate"=dword:00000000 –
"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

rsop.msc স্ন্যাপ-ইন ব্যবহার করে ক্লায়েন্টদের উপর প্রয়োগকৃত WSUS সেটিংস নিয়ন্ত্রণ করাও সুবিধাজনক।

কিছু সময়ের মধ্যে (এটি WSUS সার্ভারে আপডেটের সংখ্যা এবং ব্যান্ডউইথের উপর নির্ভর করে) ট্রেতে নতুন আপডেটগুলির একটি পপ-আপ বিজ্ঞপ্তি আছে কিনা তা পরীক্ষা করুন৷ ক্লায়েন্ট (ক্লায়েন্টের নাম, একটি আইপি, একটি ওএস, প্যাচ শতাংশ এবং শেষ স্ট্যাটাস আপডেটের তারিখ) WSUS কনসোলে সংশ্লিষ্ট গ্রুপগুলিতে উপস্থিত হওয়া উচিত। যেহেতু আমরা GPO ব্যবহার করে বিভিন্ন WSUS গোষ্ঠীতে কম্পিউটার এবং সার্ভারগুলিকে বরাদ্দ করেছি, তাই তারা শুধুমাত্র সেই আপডেটগুলি পাবে যা সংশ্লিষ্ট WSUS গ্রুপগুলিতে ইনস্টলেশনের জন্য অনুমোদিত৷

আপডেটগুলি স্থাপন করার জন্য WSUS গ্রুপ নীতি সেটিংস

দ্রষ্টব্য যদি ক্লায়েন্টে আপডেটগুলি উপস্থিত না হয়, তাহলে Windows আপডেট পরিষেবা লগ (C:\Windows\WindowsUpdate.log) সাবধানে পরীক্ষা করার পরামর্শ দেওয়া হয়। অনুগ্রহ করে মনে রাখবেন যে Windows 10 (Windows Server 2016) WindowsUpdate.log ফাইলের একটি ভিন্ন বিন্যাস ব্যবহার করে।

ক্লায়েন্ট স্থানীয় ফোল্ডার C:\Windows\SoftwareDistribution\Download এ আপডেট ডাউনলোড করে।

অবিলম্বে WSUS সার্ভারে নতুন আপডেটের জন্য অনুসন্ধান শুরু করতে, আপনাকে কমান্ডটি চালাতে হবে:

1

wuauclt /detectnow

wuauclt /detectnow

এছাড়াও, কখনও কখনও আপনাকে ক্লায়েন্টকে WSUS সার্ভারে পুনরায় নিবন্ধন করতে বাধ্য করতে হবে:

1

wuauclt /detectnow /resetAuthorization

wuauclt /detectnow /resetAuthorization

বিশেষ করে কঠিন ক্ষেত্রে, আপনি নিম্নরূপ wuauserv পরিষেবাটি ঠিক করার চেষ্টা করতে পারেন। ক্লায়েন্টদের আপডেট পাওয়ার সময় যদি একটি ত্রুটি 0x80244010 ঘটে, তাহলে স্বয়ংক্রিয় আপডেট সনাক্তকরণ ফ্রিকোয়েন্সি ব্যবহার করে WSUS সার্ভারে আপডেটের জন্য চেক করার ফ্রিকোয়েন্সি পরিবর্তন করার চেষ্টা করুন। নীতি 3-4 ঘন্টা।

পরবর্তী নিবন্ধগুলিতে আমরা WSUS সার্ভারে আপডেট অনুমোদনের বিশেষত্ব বর্ণনা করব এবং কিভাবে PowerShell ব্যবহার করে একটি WSUS সার্ভারে গোষ্ঠীর মধ্যে অনুমোদিত আপডেট স্থানান্তর করা যায়।


  1. উইন্ডোজ 10-এ সমস্ত ফলিত বা সক্ষম গ্রুপ নীতি সেটিংস কীভাবে খুঁজে পাবেন

  2. গ্রুপ পলিসি এডিটর ব্যবহার করে Windows 10-এ স্টার্ট মেনু নিষ্ক্রিয় করা হচ্ছে

  3. উইন্ডোজ 10-এ কীভাবে স্থানীয় গ্রুপ নীতি সেটিংস ডিফল্টে রিসেট করবেন

  4. সারভার 2016-এ গ্রুপ নীতির মাধ্যমে কীভাবে একটি নেটওয়ার্ক প্রিন্টার স্থাপন করবেন।