WSUS (Windows Server Update Services), Microsoft'un Network ortamlarında yazılım ve işletim sistemi güncellemelerini merkezi olarak yönetmeyi sağlayan güçlü bir araçtır. Windows Server 2012 R2 üzerinde yapılandırılan WSUS, çok sayıda Clientve Server'ın güncellemelerini optimize edilmiş bir şekilde almasını sağlar. Bu yapılandırma, özellikle büyük ölçekli organizasyonlarda, güncellemelerin manuel olarak dağıtılmasının zorluklarını ortadan kaldırarak sistemin güvenlik ve performansını en üst düzeye çıkarmaya yardımcı olur.
WSUS’un teknik temeli, Windows Update Agent (WUA) bileşeni ile Client'ların düzenli aralıklarla WSUS sunucusuna bağlanarak güncellemeleri çekmesine dayanır. Bu süreç, HTTP veya HTTPS protokolleri kullanılarak gerçekleştirilir, bu nedenle WSUS sunucusu ile Client'lar arasında güvenli bir iletişim sağlamak için doğru sertifika yapılandırması yapılmalıdır. WSUS, sunucu üzerinde kurulu olduğu sistemin güncellemelerini merkezi bir noktadan yönetir ve bu güncellemelerin hangi Client'lare veya sunuculara dağıtılacağını belirler.
Kurulum sırasında, WSUS için ayrılacak olan Disk alanı, dikkatle hesaplanmalıdır. Özellikle Full Updates ve Express Updates gibi güncelleme türlerinin saklanacağı Disk alanının yeterli olması, sistemin uzun vadede sorunsuz çalışması açısından kritik bir adımdır. Express Updates, yalnızca değişen dosyaları gönderdiği için ağ trafiği ve Disk kullanımı açısından avantaj sağlar, ancak bu özelliği kullanabilmek için Client'ların Windows 10 ve daha üst versiyonları kullanıyor olması gerekir.
WSUS sunucusunun mimarisi gereği, sunucu tarafında yapılan yapılandırma, Client'ların ve sunucuların güncelleme işlemlerini düzenli olarak WSUS sunucusundan almasını sağlar. Client'ların WSUS sunucusu ile iletişim kurabilmesi için, Group Policy (GPO) kullanılarak Client'ların doğru şekilde yönlendirilmesi gerekir. Bu yapılandırma, büyük Network'lerde merkezi bir kontrol sağlayarak her Client'ın aynı anda değil, belirlenen periyodlar çerçevesinde güncellemeleri almasını garanti eder. Bu, Network üzerindeki yoğunluğu kontrol altında tutarken, aynı zamanda güncellemelerin sistemleri aksatmadan gerçekleşmesini sağlar.
Güncelleme onaylama süreci, WSUS'un en önemli özelliklerinden biridir. Güncellemeler, WSUS sunucusu üzerine geldikten sonra, yöneticiler tarafından manuel olarak onaylanabilir veya otomatik onaylama kuralları kullanılabilir. Otomatik onaylama kuralları, Security Update (güvenlik güncellemeleri) gibi belirli güncelleme türlerinin belirli bir kullanıcı grubuna veya sunuculara otomatik olarak dağıtılmasını sağlar. Bu, özellikle güvenlik yamalarının hızla uygulanması gereken sistemler için büyük bir avantaj sunar.
WSUS ayrıca, sistem güncellemeleri raporları sağlayarak yöneticilere, hangi sistemlerin güncellemeleri aldığını, hangi güncellemelerin yüklendiğini veya eksik olduğunu gösterir. Bu raporlar, güvenlik açıklarının hızlı bir şekilde tespit edilmesine ve güncellemelerin hangi Client'lare uygulanması gerektiğine dair kritik bilgiler sunar. Böylece, sistem yöneticileri olası güvenlik risklerini minimumda tutabilir.
WSUS yapılandırması sırasında önemli bir diğer adım da Synchronization Schedule (senkronizasyon planlaması) ayarlarının yapılmasıdır. WSUS sunucusu, güncellemeleri Microsoft Update sunucusundan çekerek dağıtır. Bu senkronizasyon işleminin ne sıklıkla yapılacağına karar vermek, sistem performansı açısından önemlidir. Genellikle, büyük Network'lerde senkronizasyon işlemi yoğun iş saatleri dışında, örneğin gece saatlerinde yapılır. Böylece, Network üzerindeki güncelleme trafiği minimumda tutulur ve Client'ların veya sunucuların çalışma saatlerinde herhangi bir kesinti yaşanmaması sağlanır.
Windows Update Services (WSUS) Role Kurulumu
Windows Update Services (WSUS) Role Kurulumuna başlıyorum.
1- Server Manager konsolunu açıyoruz. Sağ üst köşedeki Manage menüsünden Add Roles and Features seçeneğine tıklayarak rol ekleme sihirbazını açıyorum.
2- Karşımıza Add Roles and Features Wizard bilgi penceresi geliyor. Kuruluma devam etmek için NEXT butonuna basıyorum.
3- Select Installation Type adımında Role-based or Features-based Installation, standart rol ve özelliklerin kurulumunu yapabileceğimiz bölümdür. Ben, Windows Update Services (WSUS ) kurulumu yapacağım için, Role-based or Features-based Installation seçerek NEXT butonuna basarak devam ediyorum.
4- Select destination Server adımında, kurulum hangi Server üzerinde yapılacak ise, o Server'ı seçmemiz gerekiyor. Ben, SRV0001 ismindeki Server'ım üzerinde Windows Update Services (WSUS) rol kurulumu yaparak yapılandıracağım için, bu Server'ımı seçiyor, NEXT butonuna basarak kurulum işlemine devam ediyorum.
5- Select Server roles adımında Windows Update Services (WSUS) rolünü işaretliyorum.
5.1- Windows Update Services (WSUS) rolünü seçtiğimizde, karşımıza Add Roles and Features Wizard penceresi çıkıyor. Windows Update Services (WSUS) rolü ile birlikte Web Server (ISS) rolü, .NET Framework 4.5 Features, Remote Server Administration Tools özelliği altında bulunan Windows Update Services Tools, Windows Internal Database ve Windows Process Activation Service özelliklerinin kurulmasını gerektiğini belirtiyor. Kuruluma devam etmek için Add Required Features butonuna basarak bu özelliklerin ve Web Server (ISS) rolünün kurulması sağlıyorum.
5.2- Windows Update Services (WSUS) rolün kurulumuna devam etmek için NEXT butonuna basıyorum.
6- Select Features adımında Server'ımız üzerine kurabileceğimiz ek özellikleri (Features) görüyoruz. Windows Update Services (WSUS) rolünü seçtikten sonra, kurulması gereken özellikleri Windows Update Services (WSUS) rolünü seçtiğimizde zaten kurulması için seçmiştik. Bu nedenle bu ekranda başka bir özellik (Feature) seçmemize gerek yolmadığı için, NEXT butonuna basarak devam ediyorum.
7- Windows Update Services (WSUS) kurulumu ile birlikte, Microsoft’un bir takım uyarı ve bilgilendirmeleri karşımıza çıkıyor. NEXT butonuna basarak Windows Update Services (WSUS) rolünün kurulum işlemine devam ediyorum.
8- Select role services adımında, Windows Update Services (WSUS) rolü altında hangi servislerin hizmet vereceğini seçiyorum. Bu servisleri biraz detaylandıracak olursam;
WSUS (Windows Server Update Services) kurulumu sırasında, Select Role Services adımında belirli servislerin yapılandırılması büyük önem taşır. Bu aşama, WSUS'un doğru şekilde çalışabilmesi ve güncelleme yönetiminin sorunsuz bir şekilde yapılabilmesi için gerekli temel bileşenlerin seçilmesini sağlar. Her bir servis, WSUS’un hangi veri tabanı altyapısını kullanacağı, servislerin nasıl çalışacağı ve WSUS’un genel işleyişini etkileyen kritik yapı taşlarıdır.
» WID Database (Windows Internal Database): WSUS’un yerel bir veri tabanı kullanarak kendi içinde çalışmasına olanak tanır. Bu seçenek, WSUS için harici bir SQL Server kurulumu gerektirmeden, WSUS'in kendi veri tabanını yerel olarak oluşturmasını sağlar. WID Database, küçük ve orta ölçekli sistemler için idealdir çünkü ek bir SQL Server yönetimi gerektirmediği için kurulumu ve yönetimi daha basittir. Ancak büyük ölçekli dağıtımlarda, özellikle büyük Network ortamlarında, performans ve yönetim açısından SQL Server tercih edilebilir. WID Database seçeneği ile WSUS, gerekli veri tabanı bileşenlerini kendi bünyesinde barındırır ve veritabanı ihtiyaçlarını bağımsız bir şekilde yönetir.
» WSUS Service: WSUS’un ana bileşeni olarak, sistemin güncellemeleri almasını, yönetmesini ve istemcilere dağıtmasını sağlayan servisi ifade eder. Bu servisin kurulumu, WSUS’un işlevsel olarak çalışması için zorunludur. WSUS Service, Microsoft Update sunucularından senkronize edilen güncellemelerin yönetilmesinden sorumludur. Bu servis, tüm WSUS altyapısının düzgün bir şekilde çalışmasını sağlamak amacıyla güncellemelerin çekilmesi, istemcilere dağıtılması ve güncelleme raporlarının oluşturulması gibi görevleri yerine getirir. Kurulum sırasında bu servis seçilmeden, WSUS’un temel işlevleri devreye alınamaz.
» Database: WSUS’un veri tabanı katmanını harici bir SQL Server sunucusuna taşımayı ifade eder. Bu seçenek seçildiğinde, WID Database kullanımı devre dışı kalır ve WSUS’un veri tabanı, harici bir SQL Server’a bağımlı hale gelir. Özellikle büyük ölçekli ortamlar veya WSUS üzerinde yüksek yük olan senaryolarda, SQL Server’ın sağladığı performans ve yönetim avantajları nedeniyle bu seçenek tercih edilebilir. Bu seçenek, özellikle yüksek veri hacmine sahip ortamlar için uygun bir çözüm sunar. SQL Server kullanımı, daha fazla kontrol imkanı sunarken, WSUS’un veri tabanına daha yüksek ölçeklenebilirlik kazandırır. Ancak bu seçeneği seçmek, WID Database ve WSUS Service seçeneklerini devre dışı bırakır, çünkü WSUS veri tabanı SQL Server tarafından yönetilecektir.
WSUS kurulumu sırasında yapılan bu seçimler, sistemin nasıl çalışacağını belirleyen kritik adımlardır. Küçük ve orta ölçekli işletmeler için WID Database ve WSUS Service yeterli olabilirken, büyük ölçekli sistemlerde SQL Server seçeneği ile veri tabanı yönetiminin harici bir sunucuya taşınması daha uygun olabilir. WSUS’un doğru yapılandırılması, Network üzerindeki tüm istemcilerin güncellemeleri sorunsuz bir şekilde almasını ve güncellemelerin merkezden yönetilmesini sağlar.
9- Content location selection adımında, Windows Update Services (WSUS) üzerinde yerel olarak saklanacak güncellemelerin depolanacağı dizin yapılandırılmalıdır. Bu adımda, güncellemelerin indirileceği ve WSUS sunucusu aracılığıyla Client'lara dağıtılacağı dizinin yolunu belirtmek gerekmektedir. WSUS, varsayılan olarak tüm onaylanan güncellemeleri bu dizine indirir ve istemci bilgisayarlar bu dizinden güncellemeleri çekerler. Bu nedenle, seçilecek dizin ve bu dizinin barındırıldığı Disk yapısının iyi planlanması kritik önem taşır.
WSUS sunucusu üzerinde depolanacak güncellemelerin boyutu, ortamınızdaki Server ve Client işletim sistemlerine, kullanılan Office yazılımlarına ve varsa ek olarak dil paketlerine bağlı olarak ciddi şekilde değişiklik gösterebilir. Güncellemelerin kapsamı büyüdükçe, Disk alanı kullanımı da buna bağlı olarak artış gösterecektir. Örneğin, hem Windows Server güncellemeleri, hem de Client işletim sistemleri için güncellemeler aynı dizinde saklandığında, Disk'te önemli miktarda yer kaplanır. Ayrıca, Microsoft Office gibi büyük yazılım paketlerine yönelik güncellemeler de bu depolama gereksinimlerini ciddi şekilde artırabilir.
Bu durumda, güncellemelerin depolandığı dizinin işletim sistemi ile aynı Diskte bulunması önerilmez. İşletim sistemi Diskinde oluşabilecek bir arıza veya kapasite dolumu, hem sunucu performansını düşürebilir hem de güncellemelerin dağıtımını engelleyebilir. Bu nedenle, güncellemelerin depolanacağı dizinin ayrı bir Disk yapısında ve mümkünse yüksek güvenilirlik ve performans sağlayacak bir RAID yapılandırması içinde olması önerilir. Özellikle RAID 5 yapısı, bu tür bir senaryo için uygun olabilir, çünkü RAID 5, hem veri güvenliği sağlar hem de büyük miktarda depolama alanı sunar.
Eğer ortamınızda bir Storage çözümü bulunuyorsa, bu depolama ünitesi üzerinde WSUS için bir dizin ayırmak, hem performansı artıracak hem de veri güvenliğini sağlayacaktır. RAID 5 yapılandırması sayesinde, bir Disk arızası durumunda veri kaybı yaşanmadan sistem çalışmaya devam edebilir ve aynı zamanda WSUS’in ihtiyaç duyduğu büyük Disk alanı ihtiyacını da karşılar.
Ben bu senaryomda Storage (yedekleme ünitesi) oluşturmadığım için, C:\ dizini altında WSUS adında bir klasör oluşturuyor, dizin yolu olarak da burayı gösteriyorum.
10- Web Server (ISS) rolünün kurulumu yapılandırıyorum. Aslında Default olarak gelen seçeneklerden başka herhangi bir değişiklik yapmamız gerekmiyor. Bu sebeple bu adımları NEXT butonuna basarak geçiyor ve devam ediyorum.
11- Confirm installation selections adımında, Install butonuna basarak Windows Update Services (WSUS) rolü ile birlikte Web Server (ISS) rolü, .NET Framework 4.5 Features, Remote Server Administration Tools özelliği altındaki Windows Update Services Tools, Windows Internal Database ve Windows Process Activation Service özelliklerinin kurulumlarına başlabiliriz.
Windows Update Services (WSUS) rolü ve diğer özelliklerinin kurulumunu geçekleştikten sonra Server'ı otomatik olarak Restart etmek istersek, Restart the destination Server automatically if required seçeneğini işaretlememiz gerekiyor.
12- Windows Update Services (WSUS) rolü ile birlikte Web Server (ISS) rolü ve diğer özelliklerinin kurulumları tamamlandıktan sonra, Windows Update Services (WSUS) yapılandırılmasını gerçekleştirmek için Launch Post-Installation tasks'a tıklıyorum.
Windows Update Services (WSUS) Yönetim Konsolundan Ayarların Yapılandırılması
13- Update Services yönetim konsolu açıp, yapılandırmalarımı yapmaya başlıyorum.
14- Update Services yönetim konsolu üzerinde WSUS yapılandırması için ilk olarak Options seçeneğini içinden gerçekleştiriyor olacağım. İlk olarak yapılandırmamı Update Files and Languages üzerinde yapılandıracağım.
Files and Languages ekranında iki temel bölüm bulunmaktadır: Update Files ve Update Languages. Bu ayarlar, Windows Server Update Services (WSUS) üzerinde güncelleme dosyalarının nerede depolanacağı ve hangi dillerde yükleneceği gibi önemli yapılandırmalar yapmanızı sağlar.
14.1- Store Update files locally on this Server seçeneği, indirilen güncellemelerin Local olarak bu sunucuda depolanacağını belirtir. Bu seçenek işaretlendiğinde, Microsoft Update'ten indirilen güncellemeler WSUS Server üzerinde belirlenen depolama alanında tutulur. Bu, Network üzerindeki istemcilerin güncellemeleri doğrudan Microsoft sunucularından indirmesindense, yerel sunucudan çekmesini sağlar. Bu yöntem, Network trafiğini azaltarak indirme sürelerini optimize eder ve özellikle büyük bir ortamda birden fazla istemcinin aynı anda güncellemeleri almasını hızlandırır.
14.1.1- Download Update files to this Server only when Updates are approved: Güncellemelerin sadece onaylandıktan sonra (Approve işlemi sonrası) sunucuya indirileceğini belirtir. Bu, depolama alanını gereksiz yere doldurmamak ve sadece gerçekten uygulanacak güncellemeleri indirmek için oldukça kullanışlı bir özelliktir. Bu yapılandırma ile güncellemeler onaylanana kadar indirilmeyeceği için, sunucuya gereksiz güncelleme dosyalarının yüklenmesi önlenir. Bu, özellikle sınırlı depolama kapasitesine sahip ortamlar için kritik bir seçenek olabilir.
14.1.2- Download Express Installation Files: WSUS üzerinden güncellemeleri yönetirken performansı artırmak ve Disk alanı kullanımını optimize etmek için sunulan bir seçenektir. Bu seçenek, güncellemelerin daha hızlı yüklenmesini ve daha az Network trafiği oluşturmasını sağlar. Ancak bununla birlikte, bazı ek Disk alanı kullanımı gerektirir. Bu seçeneğin aktif hale getirilmesi, Express güncelleme dosyalarının indirileceği anlamına gelir.
Avantajları:
• Güncelleme işlemi sırasında istemci bilgisayarlar, yalnızca gerekli olan dosya bölümlerini indirir. Yani, her seferinde tam güncelleme dosyasını indirip kurmak yerine, yalnızca eksik ya da değiştirilmiş olan dosyalar çekilir. Bu, özellikle büyük boyutlu güncellemeler ve düşük bant genişlikli ortamlar için performans avantajı sağlar.
• Express Installation Files seçeneği, normal güncelleme dosyalarından daha fazla Disk alanı kullanır çünkü bu dosyalar, istemci makineler için farklı sürümler içerir. Bu, indirme ve kurulum sürelerini optimize ederken, sunucuda daha fazla yer kaplamasına neden olur.
• İstemciler için daha küçük dosya transferleri sağladığı için Network trafiğini azaltır.
• Güncellemeler daha hızlı kurulur, çünkü her istemci yalnızca gerekli olan dosya parçalarını indirir.
• Düşük bant genişliği olan yerlerde güncellemeleri daha hızlı uygulamayı mümkün kılar.
Dezavantajları:
• Sunucu üzerinde daha fazla Disk alanına ihtiyaç duyar, çünkü Express dosyalar daha büyük boyutludur.
• Yönetim açısından, çok fazla sunucu kaynağı tüketebilir.
Download Express Installation Files seçeneği, çok sayıda istemciye sahip ortamlarda güncellemelerin dağıtımını hızlandırmak amacıyla tercih edilir. Ancak Disk alanı ve sunucu performansı göz önünde bulundurularak dikkatle yapılandırılmalıdır.
14.1.3- Do not store Update files locally; computers Install from Microsoft Update: Güncellemelerin Local sunucuda depolanmayacağını, tüm istemcilerin güncellemeleri doğrudan Microsoft Update sunucularından çekeceğini belirtir. Bu durumda, WSUS yalnızca güncelleme onaylama ve yönetim işlemlerini yaparken, istemci bilgisayarlar güncellemeleri internet üzerinden doğrudan Microsoft sunucularından indirir. Bu seçenek, yerel depolama alanını tamamen ortadan kaldırarak, güncellemelerin Microsoft Update üzerinden indirildiği bir senaryo için uygundur. Ancak bu yöntemin en büyük dezavantajı, her istemcinin internet üzerinden güncelleme indirmesi nedeniyle Network trafiğini ve indirme sürelerini önemli ölçüde artırabilmesidir.
WSUS ayarlarında bu yapılandırmalar dikkatli bir şekilde değerlendirilmelidir. Eğer ağınızda büyük bir güncelleme yönetimi yapılıyorsa, güncellemeleri Local sunucuda depolamak, hem performans açısından hem de istemci bilgisayarlar için kesintisiz bir güncelleme süreci sağlamak açısından önemli olacaktır.
14.1.3- Yine Store Update files Locally on this Server seçeneği altındaki Download express installation files seçeneği ile bilgisayarlara indirilip, kurulacak olan Update'ler daha hızlı yapılacaktır. Bunun dezavantajı, indirilen güncelleme dosyaları büyük boyutlu olacağı için indirme sürelerinin uzun sürmesidir.
15- Update Languages sekmesinde; Download Updates only in these languages: seçeneğini seçerek, Microsoft'tan çekilecek güncelleme dillerinin İngilizce ve Türkçe dilleri olarak ayarlıyorum.
16- Windows Update Services (WSUS) yönetim konsolu üzerinde WSUS yapılandırması için ikinci adımda da yine Options seçeneğini içinden gerçekleştiriyor olacağım. Options seçeneği altındaki ikinci yapılandırmamı Products and Classifications üzerinde yapılandıracağım.
Products and Classifications iki bölümden oluşmaktadır.
16.1- Products sekmesinde, hangi Microsoft ürünleri için güncelleştirme çekeceğimizi belirtiyoruz. Sadece burada belirttiğimiz Microsoft ürünleri için Update çekilecektir.
NOT: WSUS Service ilk kurulduğunda, Products listesinde güncel ürünleri göremeyebilirsiniz. Bunun sebebi, WSUS Server'ınızın güncel olmamasıdır. WSUS Server'ınızı güncellediğiniz zaman, Products listesinde güncel ürünlerin de yer aldığını göreceksiniz.
WSUS Server'ım için gerekli güncelleştirmeleri yaptıktan sonra, Products listesinde güncel ürünlerin de yer aldığını görebiliyorum. Güncel ürün listesi geldikten sonra, ihtiyacımıza göre seçim yapmaya başlayabiliriz.
16.2- Classifications sekmesinde, Products sekmesinde seçtiğimiz Microsoft ürünleri için hangi tür Update'leri çekeceğimizi belirtiyoruz. Ben burada Critial Updates, Definition Updates ve Security Updates olmak üzere üç sınıflandırma seçiyorum.
16.3- Windows Update Services (WSUS) yönetim konsolu üzerinde WSUS yapılandırması için üçüncü adımda da yine Options seçeneğini içinden gerçekleştiriyor olacağım. Options seçeneği altındaki üçüncü yapılandırmamı Update Source and Proxy Server üzerinde yapılandıracağım.
Update Source and Proxy Server iki bölümden oluşmaktadır;
16.4- Update Source sekmesi altında Syncronize from Microsoft Update seçili halde iken, WSUS Server'ı aslında Upstream WSUS Server olarak kullanmış oluyoruz. Bunun anlamı, güncelleştirmelerin Microsoft'tan direkt olarak WSUS Server tarafından çekileceğidir. WSUS Server, direkt olarak Microsoft'tan güncelleştirmeleri çeker ve bu Server üzerinden Update dağıtımını yaparsınız. Kısacası bu seçenek, WSUS Server'ı Upstream WSUS Server yapar.
16.4.1- Yine Update Source sekmesi altında Syncronize from another Windows Server Update Services Server seçili halde iken, altında bulunan Server name alanında Upstream WSUS Server olan Server'ın adı yazılır. Bunun anlamı, güncelleştirmelerin Microsoft'tan direkt olarak WSUS Server tarafından değil, bir üstte anlatığımız ayarda yapılandırılmış bir Upstream WSUS Server'dan çekileceği anlamına gelmektedir. Kısacası bu seçenek, WSUS Server'ı Downstream WSUS Server yapar. Downstream WSUS Server üzerinde approval işlemleri gerçekleştireMEzsiniz. Approval işlemleri sadece Upstream WSUS Server tarafından yapılarak tüm Downstream WSUS Server'lara ve oradan da Client PC'lere dağıtılır.
16.5- Proxy Server sekmesinde; Internet'e proxy üzrerinden çıkıyorsanız, bu bilgileri burada belirmeniz gerekmektedir.
17- Windows Update Services (WSUS) yönetim konsolu üzerinde WSUS yapılandırması için ilk olarak Options seçeneğini içinden gerekli ilk ayarlar yapıldıktan sonra (benim yaptığım ayarlar temel ayarlardır. Dilerseniz diğer ayarları da yapılandırabilirsiniz.) yine Windows Update Services (WSUS) yönetim konsolu üzerinde Syncronizations seçeneğini üzerinden, Products and Classifications bölümünde belirttiğimiz yapılandırma ayarlarına uygun güncelleştirmeleri çekmek için Sağda, Syncronizations altında, bulunan Syncronize Now seçeneğine tıklayarak güncelleştirmeleri indirmeye başlıyorum. Güncelleştirmeleri indirme işlemim tamamlandıktan sonra 5370 tane Update çektiğini görüyorum.
17.1- Güncelleştirmeler başarılı bir şekilde indirildikten sonra; Options altında, Products and Classifications bölümünde, Products sekmesinde belirttiğim Microsoft ürünleri için çektiğim güncelleştirmeleri, bu ürünler için tek tek dağıtmak istiyorum. Bunun için, Computers seçeneği altındaki All Computers bölümünde sağ tıklayarak Add Computer Group... seçeneğini seçiyor, ürünler için gruplandırma oluşturuyorum.
17.1.1- Add Computer Group... seçeneğini seçtikten sonra ilk gruplandırmamı Windows 7 İşletim sistemli bilgisayarlar için hazırlıyorum. Name alanına da bana anlamlı gelecek olarak "Windows-7" adını veriyorum.
17.1.2- İkinci gruplandırmamı, Windows 8.1 İşletim sistemli bilgisayarlar için hazırlıyorum. Name alanına da bana anlamlı gelecek olarak "Windows-8.1" adını veriyorum.
18- İşletim sistemlerine göre gruplandırmalarımı yaptıktan sonra, Active Directory Users and Computers üzerinde bir groups OU'su açıp, WsusComputers adında bir Security Group açıyorum.
18.1- Oluşturmuş olduğum Security Group üzerinde sağ tıklayarak Properties seçeneğini seçiyorum.
18.2- Members sekmesinde, sistemimdeki bilgisayarları Add... butonuna tıklayarak ekleyeceğim.
18.3- Burada dikkat edilmesi gereken nokta, Object olarak Computers object'inin seçili olmaması. Computers object'i seçili olmazsa, Check Names butonuna bastığınızda bilgisayar adını getirmeyecektir.
Wsus Group Policy Ayarları
19- Windows Update Services (WSUS) Yönetim Konsolu üzerinden gerekli ayarları yapılandırdıktan sonra, Wsus Group Policy Ayarlarını yapılandırma işlemine geçiyorum. Group Policy ayarlarını yapılandırmazsak, güncellemeleri Client PC'e yönlendiremezsiniz. GPO oluşturmak için Group Policy Management içindeyken ilgili OU'um üzerinde sağ tıklayarak, Create a GPO in this domain, and Link it here... seçeneğini seçerek, OU üzerinde GPO oluşturup, aynı zamanda da GPO'yu OU'ya bağlama işlemini gerçekleştiriyorum.
19.1- GPO için WsusPol adını verip, OK butonuna basıyorum.
19.2- WsusPol adındaki GPO, Istanbul OU'su altında oluştu.
19.3- GPO üzerine tıkladıktan sonra, sağ bölümde GPO ile ilgil ayarların bulunduğu kısım açılıyor. Bu kısımda Delegation sekmesine tıklıyorum.
19.4- Delegation sekmesinde iken, sağ altta bulunan Advanced... butonuna tıklıyorum. Karşıma gelen WsusPol Security Settigs penceresinde, Active Directory'de oluşturduğum Security Group'u ekleyeceğim. Add... butonuna tıklıyor, oluşturmuş olduğum WsusComputers isimli Security Group'u seçip, OK butonuna basıyorum. WsusComputers isimli Security Group'um seçildikten sonra tekrar OK butonuna basıyor, ekleme işlemini bitiriyorum.
19.5- WsusComputers isimli Security Group'um eklendikten sonra, gerekli izin atamasını yapmak için seçiyorum ve izinler kısmında Apply group Policy seçeneği ile bu GPO'nun bu gruba uygulanmasını sağlıyorum.
19.6- Gerekli izin ayarını yaptıktan sonra, OK butonuna tıklayarak, Settings penceresini kapatıyorum.
19.7- Delegation sekmesindeki işlemlerimi tamamladım. Şimdiki adımda bu sefer de Scope sekmesine tıklıyor, en alttaki Security Filtering bölümünde WsusComputers isimli Security Group'umu Add... butonuna tıklayarak ekliyorum. Amacım, Policy'nin bu bilgisayar grubuna etki etmesi.
19.8- Yine aynı bölümde Authenticated Users'ı seçerek Remove butonuna basıyor ve siliyorum.
20- GPO üzerindeki izinlerin yapılandırmasını tamamladıktan sonra, Istanbul OU'su altında oluşturmuş olduğum WsusPol isimli GPO üzerinde sağ tıklayarak Edit... seçeneğini seçiyor, GPO yapılandırma işlemine geçiyorum.
20.1- Group Policy Management Editor penceresi açıldıktan sonra sırası ile Computer Configuration > Policies > Administrative Templates altıkdaki Windows Components'ı genişletiyorum.
20.2- Windows Components'ı genişlettikten sonra, alt klasörlerden Windows Update klasörü, GPO yapılandırması için ihtiyacımız olan klasör. Windows Update klasörü altında Windows Update için gerekli olan birçok Policy seçeneği mevcut. Bizim için gerekli olan Policy'ler;
● Configure Automatic Updates
● Specify intranet Microsoft Update service location
● Automatic Updates detection frequency
● Allow non-administrators to receive Update notifications
20.2.1- Configure Automatic Updates: Bu Policy, güncellemerin hangi şarta bağlı olarak Download edilip, Install edileceği ile alakalıdır.
2- Notify for Download and notify for install: İndirmek ve yüklemek için sor.
3- Auto Download and notify for install: Otomatik olarak indir, yüklemek için sor.
4- Auto Download and schedule the install: otomatik olarak indir, yüklemeyi bir zamana bağla.
5- Allow Local admin to choose setting: İndirme ve yükleme işlemlerini Local admin'e bırak.
20.2.1.1- Ben, Auto Download and schedule the Install seçeneğini seçerek güncellemelerin otomatik olarak indirilip, yüklemeyi bir zamana bağlamak istiyorum. Bu nedenle 4 numaralı seçeneği seçiyorum.
20.2.1.2- 4 numaralı seçeneği seçtikten sonra, alt kısımda bulunan;
● Schedule Install day: altında yüklemelerin otomatik olarak kaç günde bir yapılacağını seçiyoruz. Ben, 0- Every day seçeneğini seçiyorum.
● Schedule Install time: altında indirilen otomatik güncellemelerin hangi saat diliminde yükleneceğini seçiyorum. Ben, 23:00 olarak belirledim.
20.2.2- Specify intranet Microsoft Update service location Policy'si, en önemli Policy'lerdendir. Burada, Set the intranet Update service for detecting Updates: altında Client PC'lerin Wsus Server'ı bulabilmesi için, Wsus Server'ın Host Name'ini http://ServerName:8530 şeklinde belirtiyorum. Buradaki 8530, erişimin http veya https üzerinden yapılacağını belirtir ki Wsus (Windows Update Services) kurulumu sırasında IIS kurulumu da yapmıştık. 8530, IIS üzerindeki Wsus Website'ın Port numarasına karşılık gelmektedir.
20.2.3- Automatic Updates detection frequency Policy'si, güncellemelerin Client PC'ler tarafından kaç saatte bir kontrol edileceğini belirtir.
20.2.4- Allow non-administrators to receive Update notifications Policy'si, Administrators grubuna dahil olmayan, users grubu üyesi kullanıcılar için, belirtilen saattelerde kontrol edilen güncellemelerde yeni güncelleme bulunması durumunda, bunu ekranın sağ altında uyarı olarak gösterecektir.
21- Group Policy güncelleştirme Policy'lerini yapılandırdıktan sonra, Istanbul OU'su üzerinde sağ tıklayıp, Group Policy Update... seçeneğini seçerek, güncelleştirmelerin tüm Client PC'lere uygulanmasını sağlıyorum.
22- Client PC üzerinde Contol Panel'den (Denetim Masası) Windows Update penceresini açtıktan sonra ilk olarak You receive Updates: For windows only. seçeneği görünecektir. Client PC'yi yeniden başlattıktan sonra, Managed by your system administator olarak değiştiğini göreceksiniz.
23- Güncelleştirmelerin tüm Client PC'lere uygulanmasını sağladıktan sonra, Client PC'lerin Update Services Yönetim Konsolu üzerinde All Computers içine geldiğini göreceksiniz. Client PC'leri buradan daha önce oluşturuğumuz gruplara dağıtabiliriz. Ben, Windows 8.1 işletim sistemli bilgisayarımı Windows-8.1 grubuna taşıyorum. Taşımak için; Client PC üzerinde sağ tıklayarak Change Membership... seçeneğini seçiyorum. Set Computer Group Membership penceresi altında Windows-8.1 grubunu seçip, OK butonuna basıyorum.
24- Update Services yönetim konsolu üzerinde sol bölümde SRV0001 altında Updates sekmesi içindeki All Updates bölümünde, Microsoft'tan indirilen güncelleştirmeleri görececeksiniz. Buradaki güncelleştirmeler; Products and Classifications yapılandırması yaparken, Classifications bölümünde bir önceki ayar olan Products sekmesinde seçtiğimiz Microsoft ürünleri için hangi tür Update'leri çekeceğimizi belirtmiştik. Burada çektiğimiz tüm Update'ler sınıflandırmasız, karışık olarak yer almaktadır.
Ben, senaryom gereği Windows 8.1 işletim sistemi için indirilmiş olarak Update'lerden bazılarını seçip, sağ tıklayarak Approve... seçeneğini seçiyorum.
24.1- All Updates bölümünde toplanan güncelleştirmeleri Approve etmediğiniz sürece, hiçbir güncelleştirme yüklenmeyecektir. Approve Updates penceresi altında All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçiyorum.
24.2- All computers üzerinde sağ tıklayarak Approved for Install seçeneğini seçtikten sonra, aynı işlemi Windows-8.1 üzerinde de gerçekleştiriyorum.
24.3- Bu işlemleri bitirdikten sonra, OK butonuna basarak Approve Updates penceresini kapatıyorum.
24.5- Seçtiğim ve Approve ettiğim güncelleştirmelerin başarılı bir şekilde Windows-8.1 grubu içindeki bilgisayarlara yüklenmek için atandığını görüyorum. Close penceresini Approval Progress penceresini kapatıyorum.
25- Client PC üzerinde Contol Panel'den Windows Update penceresini açtığımda, Windows-8.1 grubu içine atadığım güncelleştirmelerin Automatic Updates detection frequency Policy'si sayesinde Windows 8.1 işletim sistemli Client PC tarafından Check edilip, Install edilmeye hazır hale geldiğini görüyorum.
Faydalı olması dileğiyle...
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.