Admin Forest için WSUS (Windows Server Update Services) Update Dağıtımı

Bir önceki makalemizde WSUS kurulumunu ve yapılandırmasını anlatmıştık. Şimdiki makalemizde ise kurmuş olduğumuz WSUS sunucumuzun gerekli güncellemeleri indirerek, bunları istemci makinalarına nasıl yükleyebileceğimizi detaylı olarak inceleyeceğiz.

Windows Server Update Services üzerinden konsolumuzu açıyoruz. Aşağıda görüldüğü üzere henüz herhangi bir tanımlamamız olmadığı için bilgiler boş gelmektedir.

Konsol üzerinde ilk olarak bir yapı oluşturacağız. İstemcilerimizi ayırmak için işletim sistemlerine göre bir gruplandırma yapabiliriz. Aşağıdaki şekilde Computers/All Computers üzerinde sağ tıklayarak Add Computer Group’a tıklıyoruz.

Biz ilk olarak Windows 10 işletim sistemine update dağıtımı yapacağımız için, Windows 10 işletim sistemlerinin güncellemesini alacak olan istemcileri toplamak adına Windows10 isminde bir grup oluşturuyoruz. Grubumuza Windows 10 ismini vererek Add butonuna tıklıyoruz. Sizler yapınızda farklı ürünlerde kullanıyorsanız, bunlar içinde gerekli grupları oluşturabilirsiniz.

Gruplarımızı oluşturduktan sonra, bu gruba uygulayacağımız update kataloglarını da belirlememiz gerekmektedir. Bu nedenle Windows 10 işletim sistemlerine güncelleme dağıtmak için, Windows 10 işletim sistemlerini kapsayan bir update view filtresi oluşturacağız. Updates menüsüne sağ tıkladıktan sonra açılan menüden New Update View’e tıklıyoruz.

Açılan ekranımızda filtreleme kriterlerimizi seçmemiz gerekmektedir. Biz Windows 10 işletim sistemine göre filtreleme yapacağımız için Updates are for a spesific product seçimini yapıyoruz. Sonrasında Choose Prodcts ekranından Windows 10 seçerek ok butonuna basıyoruz.

Specify a name kısmına Windows 10 yazarak devam ediyoruz.

Daha sonrasında yapılandırma aşamasında başlatmış olduğumuz senkronizasyon işleminin ne durumda olduğunu Synchronizations kısmından görüntüleyebiliriz. Bizim başlatmış olduğumuz senkronizasyon işlemi devam etmekte olup, tamamlanmasını bekliyoruz. Sol alt köşede hangi aşamada olduğunu görebiliriz.

Senkronizasyon işlemimiz tamamlandıktan sonra, oluşturmuş olduğumuz Windows 10 update filtremiz, kapsamında Updates altındaki All Updates alanına tıkladığımızda güncellemelerin geldiğini görebiliyoruz. Eğer updateleri göremiyorsanız filtreleme ekranında Unapproved ve Any seçimlerini yapıp Refresh butonuna tıklayınız, sonrasında ilgili güncellemeler ekranda görünecektir.

WSUS üzerinde Windows10 istemciler için gerekli işlemleri yapmış bulunmaktayız. Şimdi ise WSUS sunucumuza indirdiğimiz güncellemeleri merkezi olarak dağıtmak için Active Directory üzerinde GPO oluşturacağız. Öncesinde Active Directory Users and Computer konsolunu açarak, Windows 10 istemcilerimi içerisine koyacağımız bir OU oluşturuyoruz. Ben aşağıda CLIENT isminde bir OU oluşturdum. Oluşturduktan sonra Windows 10 istemcilerimi bu OU’nun içerisine taşıdım.

Şimdi CLIENT OU’su altında bulunan istemcilerimize update sunucu ayarlarımızı bir GPO yardımıyla göndermemiz gerekmektedir. Bu nedenle DC üzerinden Group Policy Managament konsolunu açıyoruz. CLIENT OU’suna sağ tıklayarak Create GPO in this domain, and Link it here seçeneğini seçiyoruz.

Oluşturacak olduğumuz GPO için bir isim belirleyip OK butonuna tıklıyoruz. Ben WSUS Configuration olarak yapılandırdım.

GPO öğesine sağ tıklayıp Edit kısmına gelerek, gerekli ayarları yapmaya başlıyoruz.

Group Policy Management Editor penceresi açıldıktan sonra sırası ile Computer Configuration/Policies/Administrative Templates/Windows Components altındaki Windows Update’yi genişletiyorum. Burada çok sayıda policy ayarı bizi karşılamaktadır. Bize temel olarak 4 policy ayarı yetecektir.

Windows Update klasörü altında Windows Update için gerekli olan birçok Policy seçeneği bulunmaktadır. Bizim için gerekli olan Policy’ler aşağıdaki gibidir.

  • Configure Automatic Updates
  • Specify intranet Microsoft Update service location
  • Automatic Updates detection frequency
  • Allow non-administrators to receive Update notifications

İlk olarak Configure Automatic Updates’i yapılandırarak işleme başlıyoruz. Configure Automatic Updates: Policy güncellemerin hangi şarta bağlı olarak Download edilip, Install edileceğini belirlemektedir. Configure Automatic Updates ayarını enable ettiğimizde karşımıza çıkan ekranda bazı tanımlamalar yapmamız gerekmektedir.

Configure Automatic Updates alanını genişlettiğimizde karşımıza aşağıdaki seçenekler çıkmaktadır. Biz bu seçeneklerden 4- Auto Download and schedule the install seçerek bir sonraki ayara geçiyoruz.

2- Notify for Download and notify for install: İndirmek ve yüklemek için sor.

3- Auto Download and notify for install: Otomatik olarak indir, yüklemek için sor.

4- Auto Download and schedule the install: otomatik olarak indir, yüklemeyi bir zamana bağla.

5- Allow Local admin to choose setting: İndirme ve yükleme işlemlerini Local admin’e bırak.

Sonrasında Schedule Install day: altında yüklemelerin otomatik olarak kaç günde bir yapılacağını seçiyoruz. Ben, 0- Every day seçeneğini seçiyorum.

Sonrasında Schedule Install time: altında indirilen otomatik güncellemelerin hangi saat diliminde yükleneceğini seçiyorum. Ben, 03:00 olarak belirliyorum.

Specify intranet Microsoft Update service location Policy’si, burada, Set the intranet Update service for detecting Updates: altında Client PC’lerin Wsus Server’ı bulabilmesi için, Wsus Server’ın Host Name’ini belirtiyorum. Buradaki 8530, erişimin http veya https üzerinden yapılacağını belirtir ki Wsus kurulumu sırasında IIS kurulumu da yapmıştık. 8530, IIS üzerindeki Wsus Website’ın Port numarasına karşılık gelmektedir.

Automatic Updates detection frequency Policy’si, güncellemelerin Client PC’ler tarafından kaç saatte bir kontrol edileceğini belirtir.

Allow non-administrators to receive Update notifications Policy’si, Administrators grubuna dahil olmayan, users grubu üyesi kullanıcılar için, belirtilen saattelerde kontrol edilen güncellemelerde yeni güncelleme bulunması durumunda, bunu ekranın sağ altında uyarı olarak gösterecektir.

Bu ayarlardan sonra artık ayarlarımızı istemci makinalarımıza atamamız gerekmektedir. Biz GPO’yu oluştururken direkt olarak CLIENT OU’su üzerinde bu işlemi gerçekleştirmiştik, bu sebepten dolayı bu OU’ altında yer alan tüm istemcilere bu GPO ayarları gidecektir. İstemciler Group policy potikalarını sunucuya gelerek aldıkları için, sistem üzerinde default olarak belirlenmiş bir süre bulunmaktadır. Biz bu süreyi beklemeden hızlıca ilgili politikayı aldırmak için, ilgili OU altında bulunan istemci makinalarımızdan birisine login oluyoruz. Ben bu işlemi CLIENT03 makinası üzerinde gerçekleştireceğim. Makinaya login olduktan sonra cmd ekranını Administrator olarak başlatıyorum ve gelen ekrana gpupdate /force yazarak politikaları almasını sağlıyorum.

Bu işlemden sonra, ayarları alıp almadığımızı tam olarak anlamak için run’a rsop.msc yazıyoruz. Rsop.msc alınan gpo ayarlarını gösteren bir araçtır. Kontrol ettiğimizde ayarların başarılı bir şekilde bu makine tarafından alındığını görebiliyoruz.

Makine üzerinden Windows update ekranına girdiğimizde *Some settings are managed by your organization uyarısı ile karşılaşmaktayım, bu uyarı Windows update sisteminin bir organizasyon tarafından yönetildiğini göstermektedir. Sonrasında check for updates diyerek WSUS sunucumuza bir istekte bulunuyorum.

İstemci makine üzerinden WSUS makinamıza gerekli isteği yaptıktan sonra, WSUS makinamıza gelerek konsolu tekrar açıyoruz. İstemci Wsus üzerinden güncelleme talebinde bulunması halinde Unassigned Computer grubu altına dolayısı ile All Computer grubu altına gelecektir. All Computer seçiminden sonra Refesh butonuna tıklayalım. Burada işlemi yapmış olduğum CLIENT03 makinasının geldiğini görebiliyorum. Yanında yer alan sarı ünlem işareti updatalerinin güncel olmadığını göstermektedir.

Wsus ayarını alan sistemler ilk olarak Unassigned Computer grubuna düşer. Burada düzenli bir yapıyı sağlamak için gelen istemcileri ilgili gruplara taşımamız gerekmektedir. Bu nedenle istemcinin üzerinde sağ tıklayarak Change Membership linkini tıklıyorum.

Gelen ekranda oluşturmuş olduğumuz gruplar görünecektir, ben Windows 10 grubu oluşturmuşdum, bu istemcide Windows 10 bir makine olduğu için Windows 10 grubunun içerisine taşıyorum.

Şimdi ise update ihtiyacı bulunan istemcimize, daha önce WSUS üzerinden senkronizasyon ile bulduğumuz updata paketlerini göndereceğiz. Updates altında All Updates alanına gelerek, yukarıdaki filtreleme alanından Unapproved ve Any seçimini yapalım. Bu onaylanmamış tüm güncellemeleri getir anlamına gelmektedir. Refresh butonumuza tıkladığımızda dağıtılmamış Windows 10 işletim sistemine ait olan güncellemeler karşımıza gelecektir. Bu ekran üzerinde göndermek istediğimiz ilgili update paketlerini seçerek, sağ tıklayarak Approve diyoruz.

Karşımıza güncellemelerin hangi gruba dağıtılacağını belirleyeceğimiz ekran gelecektir. Biz Windows 10 grubu altındaki sistemlerimize Windows 10 güncellemelerimizi dağıtacağımız için Windows10 grubuna tıklıyor ve sonrasında Approved for Install yapıyoruz.

İlgili update paketlerinin başarılı bir şekilde ilgili istemci makinelere gönderildiğini görmekteyiz.

Sonrasında konsol ekranı üzerinden sunucu ismimizin üzerine geldiğimizde, sayfanın ortasında Download Status alanında kaç tane update paketinin indirileceğini ve indirme durumunu görebiliriz. İlgili update paketleri tamamen indirildiğinde istemci makinalarına ulaşacaktır. O sebepten dolayı update paketlerinin indirilerek tamamlanmasını bekliyoruz.

İndirme işlemi tamamlandıktan sonra tekrar CLIENT03 istemci makinama gelerek, tekrar Windows updateleri kontrol etmesini sağlıyorum. Bu kez kontrol edildiğinde WSUS üzerinden göndermiş olduğum update paketlerinin istemci makinasına başarılı bir şekilde geldiğini görmekteyiz. Bu uptadeleri makineye kurması için işlemi başlatıyorum.

Tüm bu update paketleri yüklenip, istemci makinası restart edildikten sonra, WSUS konsol ekranına gelerek tekrar kontrol ettiğimde, bu kez CLIENT03 makinasının yanındaki sarı uyarı simgesinin gittiğini, tüm gerekli update paketleri yüklendiği için yeşil başarılı simgesinin geldiğini görmekteyim.

Synchronizations: Bu kısımda Wsus sunucumuzun Microsoft sunucuları ile olan iletişimlerinin senkronizasyon durumlarının bilgisi yer almaktadır.

Options ekranına geldiğimizde, burada ilk WSUS yapılandırması yaparken, seçtiğimiz bir çok ayarı görebileceğimiz ve değiştirebileceğimiz ekrana ulaşmaktayız.

Burada ek olarak E-Mail Notifications kısmına bakacak olursak;

General kısmında mail gönderici ve alıcı adreslerini belirleyerek günlük senkronizasyon ve update durumları ile ilgili olarak mail bildirimi almamızı sağlayabiliriz. Mail gönderiminin başarılı olabilmesi için E-Mail Server kısmındaki gerekli bilgileri de girmemiz gerekmektedir.