Wsus Best Configuration (GPO)
Firewall İzinleri:
Allow URL's: https://*.microsoft.com https://*.windowsupdate.com http://*.microsoft.com http://*.windowsupdate.com Allow PORTS: 80 , 443
GPO:
"Computer Configuration > Policies > Administrative Templates > Windows Components > Windows updates > Configure Automatic Updates"
1) Settings State GPO Name Status - Durum
1) Configure Automatic Updates Enabled
2) Always automatically restart at the scheduled time Enabled
3) Specify intranet Microsoft update service "location" Enabled https://wsus.guler.com:8530
4) Automatic Updates detection frequency Enabled
5) Allow non-administrators to receive update notifications Enabled
[a] Configure Automatic Updates
[1] Notify for download and notify for install: Yeni update geldiğinde indireyim mi diye sor ve indirdikten sonrada kurulumu yapılsın mı diye sor.
[2] Auto download and notify for install: Otomatik olarak indir ve kurulum yapılsın mı diye sor.
[3] Auto download and schedule the install: Hiç bir şey sorma otomatik olarak indir ve benim aşağıdaki bölümde belirteceğim gün ve saatte kurulumu yap.
[4] Allow local admin to choose setting: Local admin nasıl istiyorsa update’leri one indirip kurulumu yapsın.
Ben [2] seçenek olan Auto download and notify for install ‘ı seçiyorum. “Apply” diyorum.
[b] Always automatically restart at the scheduled time:
Windows Update önemli güncellemeleri yükledikten sonra kullanıcıları oturum açma ekranında en az iki gün boyunca bilgilendirmek yerine her zaman bir yeniden başlatma süresi 15 dk vs.
[c] Specify intranet Microsoft update service location:
Intranet Microsoft güncelleştirme hizmeti konumunu belirtiyorum.
[d] Automatic Updates detection frequency:
Otomatik güncelleme denetleme zamanını 12 saatte 1 olarak ayarlıyorum.
[e] Allow non-administrators to receive update notifications:
Yönetici olmayanların güncelleştirme yapabilmesi için bu seçeneğini aktif ediyorum.
WSUS Group policy Regedit üzerinden test edilmeldir. - WSUS Group policy should be tested via Regedit.
REG:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
Clientler Üzerinden Test Ededelim - Let's Test on Clients
- İstemcilerin WSUS sunucuya erişimini web tarayıcısından kontrol edebilirsiniz.
Clientlerdeki browser(chrome,firefox vs) üzerinden https://wsus.guler.com/iuident.cab adresine girerseniz .cab dosyasını indirebiliyor olmanız gerekmektedir. eğer indiremiyorsanız ağınızdaki güvenlik cihazının port ayarlarını yada GPO üzerindeki ayarları vs. kontrol ediniz.
Clientler Wsus consolu üzerinde görünmüyor ? - Clients do not appear on Wsus console?
Powershell’i administrator olarak açın aşağıdai komutları sırasıyla çalıştırın. - Open Powershell as administrator and run the following commands in order.
Windows Server 2016 ve 2019 için;
PS:
Stop-Service -Name BITS, wuauserv -Force Start-Service -Name BITS, wuauserv wuauclt /resetauthorization /detectnowwuauclt /reportnow (New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()
Windows Server 2012 için;
Stop-Service -Name BITS, wuauserv -Force Start-Service -Name BITS, wuauserv wuauclt /resetauthorization /detectnow wuauclt /reportnow
Eğer GPO iptal edilip bilgisayarlar GPO dan çıkarılacaksa Yukarıdaki Regedit ayarları silinmelidir. Bunu tüm domainde yapacağınız için tek tek uğraşmak yerine reg policy yapabilirsiniz.
Yararlı olması dileğiyle. - Hope it's useful.