İlk makalemiz de Windows Server üzerinde WSUS kurulumunu sağlamıştık, WSUS Nedir, WSUS ne için kullanılır ve WSUS Role kurulumu nasıl yapılır bunlardan bahsetmiştik.
Kurulumu tamamladığımız WSUS sunucumuzu, ağımızdaki istemcilerin kullanımına açmak için Grup İlkesi Nesneleri (GPO) aracılığıyla gerekli yapılandırmaları yapacağız. Bu yapılandırmalar, istemci makinelerin güncellemeleri doğrudan Microsoft’tan değil, kurduğumuz WSUS sunucusundan almasını sağlayacak.
Group Policy ile WSUS Yapılandırılması
Öncelikle, Group Policy Management Console (GPMC) aracılığıyla WSUS için özel bir Grup İlkesi Nesnesi (GPO) oluşturarak başlayalım.
Oluşturduğumuz GPO’yu yönetmek için sağ tıklayıp ‘Edit’ seçeneğini seçerek ilerleyin.
Daha sonra Group Policy için oluşturduğumuz Policy‘de aşağıdaki adımları takip etmemiz gerekmektedir
- Computer Configuration – Policies – Administrative Templates – Windows Components – Windows Update – Configure Automatic Updates adımında Enabled duruma getirmemiz gerekmektedir.
Bu pencerede, güncellemelerin ne zaman ve nasıl yükleneceğini belirleyebilirsiniz. Yapılandırabileceğiniz önemli seçenekler:
- Auto download and notify for install: WSUS ile Güncellemelerin otomatik olarak indirilmesi ancak yükleme için kullanıcı onayının beklenmesi.
- Auto download and schedule the install: WSUS ile Güncellemelerin otomatik olarak belirli bir zaman diliminde indirilip yüklenmesini sağlamaktadır
Scheduled install day ve Scheduled install time alanlarını, güncellemelerin hangi gün ve saatte yapılacağını belirleyecek şekilde düzenleyin. Güncellemelerin iş saatleri dışında yapılmasını tercih edebilirsiniz.
Yapılandırma tamamlandığında, Apply ve OK butonlarıyla ayarları kaydedin ve pencereyi kapatın.
Son adımda, oluşturduğunuz GPO‘yu uygun OU (Organizational Unit) veya domain’e bağlayarak ilgili cihazlara politikaların uygulanmasını sağlayın. İşlemlerinizi detaylıca planlayıp uygulamanız, yönetim süreçlerinizde sorunsuz bir deneyim sağlayacaktır.
Bir sonraki adım ise WSUS kurulumunun ağ üzerinde güncellemeleri nasıl tanımlayacağını belirlemek olacak.
- Computer Configuration – Policies – Administrative Templates – Windows Components – Windows Update – Specify intranet Microsoft update service location seçeneğine geliyoruz.
Bu pencerede iki önemli alanı doldurmanız gerekiyor:
- Set the intranet update service for detecting updates: Bu alan, istemcilerin hangi sunucudan güncellemeleri algılayacağını belirtir. Sunucunuzun IP adresini ve WSUS rolünün kurulu olduğu port olan “http://<Sunucu_IP_Adresi>:8530” şeklinde girin.
- Set the intranet statistics server: Bu alan, istemcilerin güncelleme istatistiklerini hangi sunucuya göndereceğini belirler. Genellikle bu, güncellemeleri algılayan sunucu ile aynıdır. Aynı adresi “http://<Sunucu_IP_Adresi>:8530” şeklinde girebilirsiniz.
Grup İlkesi yapılandırmasını güncelledikten sonra, değişikliklerin hemen etkin olması için komut istemi (CMD) aracılığıyla aşağıdaki adımları uygulayabiliriz:
- Başlat menüsünü açın ve CMD yazarak Yönetici olarak çalıştır ile açmamız gerekmektedir
- Açılan Komut İstemi penceresine
gpupdate /force
yazarak ENTER tuşuna basın. Bu komut, tüm grup politikalarını günceller ve zorunlu kılar, böylece yaptığınız değişikliklerin hemen uygulanmasını sağlar.
WSUS GPO Yapılandırmasını Regedit ile Kontrol Etme
Grup İlkesi güncellemelerinin düzgün uygulandığını doğrulamak için Kayıt Defteri’ni kontrol edebilirsiniz:
- Başlat menüsüne tekrar gidin ve regedit yazarak ENTER tuşuna basın. Bu işlem Kayıt Defteri Düzenleyicisi’ni açacak.
- Kayıt Defteri Düzenleyicisi’nde, şu yola gidin:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
Burada, WUServer ve WUStatusServer değerlerini kontrol edin. Bu değerler, WSUS yapılandırmasının doğru bir şekilde uygulanıp uygulanmadığını gösterir. WUServer ve WUStatusServer, WSUS sunucunuzun URL‘ini içermelidir. Eğer bu değerler doğru şekilde ayarlanmışsa, yapılandırmanız başarılı bir şekilde uygulanmış demektir.
Not: Group Policy oluşturmuş olduğumuz Policy objesini, WSUS servisine dahil edilmesini istediğim OU içerisine Link edilmesi gerekmektedir.
Computer bazlı Grup İlkesi Objeleri (GPO) uygulamak için, öncelikle hedef bilgisayarları ilgili Organization Unit (OU) altına taşımamız gerekiyor. Bu işlemi şu adımlarla yapabiliriz:
- Group Policy Management konsolunu açın.
- Taşımak istediğiniz bilgisayara sağ tıklayın ve Move seçeneğini seçin.
- Taşımak istediğiniz OU‘yu seçerek bilgisayarı bu OU altına taşıyın.
Bilgisayar taşıma işlemini tamamladıktan sonra, uygulamak istediğiniz Grup İlkesi Objelerini (GPO) ilgili OU’ya bağlamak için şu adımları izleyin:
- Group Policy Management konsolunu tekrar açın.
- WSUS servisine dahil edeceğiniz bilgisayarın bulunduğu OU‘ya sağ tıklayın.
- Link an Existing GPO seçeneğine tıklayın.
- Listeden uygulamak istediğiniz GPO‘yu seçin ve OK butonuna basarak bağlantıyı tamamlamış olursunuz.
WSUS Üzerinde Group Oluşturma ve Bilgisayar Taşıma İşlemleri
Windows Server Update Services (WSUS) yapılandırmasını tamamladıktan sonra, ilgili ayarları grup ilkesi aracılığıyla uyguladığınız bilgisayarlar, WSUS konsolunda varsayılan olarak Computer – All Computers – Unassigned Computers kategorisi altında listelenir.
Daha organize bir yönetim için, bilgisayarları işletim sistemlerine veya kurum içindeki departmanlara göre gruplara ayırmak işleri kolaylaştıracaktır.
- WSUS konsolunu açın.
- All Computers kısmında sağ tıklayın ve Add Computer Group seçeneğini seçin.
- Yeni grup için bir isim girin ve bu ismi kurumunuzun ihtiyaçlarına uygun şekilde belirleyin, ardından OK‘e tıklayın.
Grup oluşturduktan sonra, bilgisayarları atanmamış bilgisayarlar listesinden yeni oluşturduğunuz gruba taşıyabilirsiniz:
- Unassigned Computers altında, gruba taşımak istediğiniz bilgisayarın üzerine sağ tıklayın.
- Change Membership seçeneğine tıklayın.
- Açılan listeden oluşturduğunuz yeni grubu seçin ve OK‘e computer objesini belirlediğiniz grup içerisine taşıyabilirsiniz.
WSUS ile Update Dağıtımı
Microsoft’un sunduğu sistemler arasından spesifik güncellemeleri kolayca ayırt etmek ve yönetmek için WSUS panelinde özel bir güncelleme görünümü oluşturabilirsiniz. Bu işlem, güncellemeleri filtreleyerek sadece belirli ürünler için olanları göstermenize olanak tanımaktadır.
- Wsus Konsolunu açıyoruz.
- Updates sekmesi üzerinde New Update View seçeneği ile devam ediyoruz.
- Açılan pencerede Updates are for a specific product seçeneğini işaretleyin.
- Step 2 kısmında Any Product düşey menüsünden, güncellemelerini görmek istediğiniz Microsoft sistemi seçin.
- Step 3 kısmında, bu filtreye bir isim verin. Örneğin, Windows 10 için güncellemeleri ayırt etmek istiyorsanız, “W10 Updates” gibi anlamlı bir isim verebilirsiniz.
Oluşturduğunuz yeni güncelleme görünümüne tıklayarak, seçtiğiniz ürüne ait mevcut güncellemeleri görebilirsiniz. Buradan, istediğiniz güncellemeleri seçip dağıtımını başlatabilirsiniz:
- Dağıtmak istediğiniz güncellemeye sağ tıklayın ve Approve seçeneğini seçin.
- Açılan pencerede, hangi grup veya gruplara güncellemenin dağıtılacağını seçin. Güncelleme dağıtımını tek bir gruba veya tüm bilgisayarlara uygulayabilirsiniz.
Windows 10 sistemleriniz WSUS üzerinden başlattığınız güncellemeleri almaya başlamıştır. Bu, belirlemiş olduğunuz Grup İlkesi Yönetimi (GPO) ayarlarına göre düzenli bir şekilde gerçekleşecektir.
Belirlediğiniz saatte ve belirttiğiniz sıklıkta, sistemler otomatik olarak yeni güncellemeleri kontrol edip yükleyecektir. Bu düzenleme sayesinde, tüm cihazlarınızın güncel ve güvenli kalması sağlanmış olur. WSUS, güncellemeleri merkezi bir noktadan yönetmek ve ağ trafiğini optimize etmek amacıyla son derece etkili bir araçtır.
“GPO ile WSUS Yapılandırılması” üzerine bir yorum