利用群組原則(GPO)設定WSUS 用戶端更新

 繼前篇〈建立及設定Windows Server Update Services (WSUS)主機實作記錄〉，設定了WSUS主機。但後續仍需經由GPO群組原則建立原則(Policy)並派送到終端電腦、或者單獨在終端電腦設定群組原則，這樣終端電腦才能收到新的更新位置。

以下是設定GPO的實作記錄：

------------------------------------------------------------

網域的話，就在AD主機開啟「群組原則管理」，並新增一條群組原則。筆者的習慣是，AD都會有個test_Policy群組當作測試用，測試無誤才會把該原則擺到一般的群組

1. 建立一條新原則並命名

2. 確認有啟用連結(或是都設定完之後在啟用連結)

3. 編輯該原則，到電腦設定→原則→系統管理範本→Windows元件→Windows Update，並找到「指定近端內部網路Microsoft更新服務位置」

4. 再來只要啟用該項目，並將路徑指到WSUS主機即可，最後按確定就完成設定了

※下圖忘了打port就截圖了，WSUS走的通道是8530 port

完成設定後，最遲大約等120分鐘，用戶端電腦就會更新群組原則。像是筆者是把該群組原則放在測試群組、測試群組的電腦才會套用到該群組原則

如果不想等這麼久，可以直接在用戶端電腦執行立即更新群組原則(gpupdate /force)，更新完之後也可以查看報告(rsop.msc)

另外，在WSUS管理介面也能看到有用戶端電腦報到

==========================================

WSUS相關文章：

1. 建立及設定Windows Server Update Services (WSUS)主機實作記錄

2. 利用群組原則(GPO)設定WSUS 用戶端更新

[開箱] Synology DS220j

去年底因為組織承接了某縣市政府標案，新設辦公據點。由於該據點服務性質偏向運動教練場館，同仁與資訊設備不多，而有關NAS的需求則大多資料為存放文件與影音教學資料等。評估後則是採用價格較低的Synology DS220j。

組織的新購/汰換NAS皆陸續採用Synology的產品了，該單位採購的NAS仍持續用Synology，除了單一廠牌好管理、操作介面一致之外，主要還是因為便於異機/異地備份。

(總歸就是好管理好維護啦......)

以下就是記錄DS220j的開箱與硬體安裝等實作過程

------------------------------------------------------------------------

1. 到貨，透過經銷商採購

2. NAS及硬碟

3. WD 紅標2TB，小單位，使用量不大

4. 主角：DS220j

5. 打開後

6. 配件

7. 變壓器，12V / 5A，供應60W

8. 快速安裝手冊

9. NAS本體正面

10.側面

11.背面

12.底部

13.拆開：參考快手冊，主機平放將殼推開

14.風扇看起來還是可更換的

15.固定螺絲有使用橡膠環(O型環)減震

開箱就到此了，接著就是DSM的首次設定了

-------------------------------------------------------------------

DSM首次設定：

1. 硬碟、網路線、UPS(如果有的話)都裝上後，就是DSM首次設定了，首次設定建議在有DHCP的(同一網段)區域網路環境下，開機後NAS就會被配發到1個IP。

2. 開啟網頁瀏覽器，輸入「http://find.synology.com/」或「http://diskstation:5000」就可以找到NAS並進行初始設定

如果輸入上面兩個網址(通常是可以)卻還是找不到NAS，則可使用官方工具「Synology Assistant」來尋找該NAS。到官網下載、安裝後就可以開啟並尋找。
(可參考筆者先前的文章〈Synology DS218j 初始/首次設定與效能簡易測試〉，該軟體的下載、安裝在此就不多加贅述)

---------------------------------------------------------------------

心得：

DS220j的定位就是基礎/經濟型的NAS，便宜、效能普通，適合家用、及小型辦公室(僅存放檔案需求)。

雖然Synology提供相當豐富的套件，但J系列機型有部分套件無法安裝/使用(像是Synology Active Backup for Business)

需要用到類商用功能的套件，就必須購買Value 系列以上的機種才行

如果是小型辦公室，有需要為PC/NB進行備份，稍微增加一些經費，提升到DS220+，效能、使用體驗也會提升不少

=========================================

延伸閱讀：Synology NAS系列文

1. [開箱] Synology DS1817+(8G) & WD Gold 6TB(WD6002FRYZ)硬碟

2. [心得] Synology DS1817+(8G) & WD Gold 6TB(WD6002FRYZ)硬碟設定&簡易測試

3. [開箱] Synology DS218j開箱與硬體安裝

4. Synology DS218j 初始/首次設定與效能簡易測試

5. Synology Hyper Backup設定流程與實測 - 以DS218j為例

6. Synology Hyper Backup實測 - 備份資料壓縮/未壓縮比較 - 以DS218j為例

7. Synology Active Backup for Business 實體伺服器備份實作

8. Synology Active Backup for Business 實體伺服器還原實作-精細還原

9. Synology Active Backup for Business 實體伺服器還原實作-整機還原

10.[開箱] Synology DS918+ & WD NAS 6TB(WD60EFRX)開箱、硬體安裝與初始設定

11.Synology Active Backup for  Office 365設定實作

12.Synology NAS擴增硬碟實作記錄 (DS1817+)

13.[開箱] Synology DS920+ ST10000VN0008首次設定實作記錄

14.[開箱] APC Back-UPS BN650M1-TW 650VA 離線式UPS、連接NAS實作記錄

15.Synology NAS (DSM系統)新增儲存空間實作記錄

16.[開箱] Synology DS220+ 

17.[開箱] Synology DS720+

18.[開箱] Synology DS220j

19.[開箱] Synology DX517

20.CentOS 6安裝設定Synology Active Backup for Business實作記錄

建立及設定Windows Server Update Services (WSUS)主機實作記錄

以下是實作記錄：

--------------------------------------------------

筆者將組織內運作負載低的DFS主機拿來運用，其作業系統為Windows Server 2012 R2 Standard，建置於Hyper-V下。如果讀者有使用虛擬化環境(Hyper-V、VMware等)規劃實作，建議可以直接新建虛擬機器，環境較為單純。

1. 在伺服器管理員點選「管理」→「新增角色及功能」

2. 再來是說明畫面，點選下一步。

3. 點選「角色型功能型安裝」，並點下一步

4. 由於是本機，維持預設的選項就好，點選下一步

5. 在角色的選項，勾選「WindowsServer Update Services」，右側的描述會說明該角色所具備的功能；而一台主機可具備多種角色

※在不需考量授權因素下，因為虛擬化環境帶來的高可用性，筆者經驗其實讓個虛擬主機的角色單純最好，方便管理與維護

6. 勾選「WindowsServer Update Services」時，還會跳出提醒，說明也必須同時安裝某些角色與功能才行，故點選「新增功能」繼續

7. 回到剛才的畫面後，點下一步

8. 再來是功能選項，如上述，有些功能會自動被一起勾選，所以不需要再手動去點選，繼續按下一步即可

9. 說明和注意事項，點下一步繼續

10.選擇要安裝的角色服務，預設的選項就行，不須變更。點選下一步繼續

11.選擇下載的更新檔儲存路徑，自行創建一個資料夾，也可以日後更改；點選下一步繼續

12.說明和注意事項，點選下一步繼續

13.針對IIS要安裝的角色服務，依預設的就好，不須變更，點下一步繼續

14.確認要安裝的各項角色與服務/功能，確認無誤就點選「安裝」即可

※雖然WSUS的各項安裝不需重啟電腦，但自動重啟通常不需勾選，如安裝完畢系統建議重啟再手動啟動。

(避免影響到本機其他運作中的功能，但如果是全新的系統就無所謂了)

15.再來則是進行安裝，需等待一些時間

16.安裝完畢，點選關閉即可

--------------------------------------------------------------------------

上述的WSUS角色及相關服務已經安裝完成，再來就是到程式集開啟「WindowsServer Update Services」。首次執行需要完成一些設定方能使用

17.設定存放路徑，在前述已經有設定好了，如不須再更改路徑，就點選「執行」

18.等待安裝繼續進行......

19.安裝完成，點選「關閉」繼續

20.繼續進行設定，一些提醒事項請務必確認，不然會影響日後整個組織的更新運作。點選下一步繼續

21.點選是否參加改進方案，這個隨意，點選下一步

22.選擇上游伺服器，如果有其他上游主機，才需設定；否則就依預設選項，從Microsoft Update同步即可。點選下一步繼續

23.沒有Proxy伺服器的話，也不需要設定，點下一步繼續

24.再來就點選「開始連線」了，需要一些時間，先同步一些清單

25.連線過程可停止，但通常不需要

26.連線完成，點下一步繼續

27.先選擇語言，預設是中文、英文，除非組織內有電腦使用其他語系，不然不需變更或增加語言。點選下一步繼續

28.點選產品，選好繼續下一步

29.選擇哪些類型的更新，筆者是全選

30.選擇手動或自動同步處理M，筆者設定自動同步處理Microsoft Update

31.可點選是否開始同步處理，不勾選也沒關係，稍後可在WSUS視窗執行；點選下一步繼續

32.最後是一些官網文章連結，有興趣可自行參閱，點選「完成」即可

--------------------------------------------------------------------------

上述就是WSUS組態精靈設定流程，至此WSUS就安裝完成了，接著就是WSUS的視窗，就是一些細部的設定、以及同步Microsoft Update更新。有興趣的讀者可以自行摸索，在此提一些筆者比較會留意的功能

33.WSUS首頁，會顯示一些各項狀態，因為是首次執行、GPO也未設定各電腦向WSUS報到，所以一開始的狀態資訊較貧乏

34.如果有顯示待辦/注意事項則可留意，通常會有更新需核可，即便規則有自動核准，部分更新仍需手動核准。

35.在「選項」可點選「自動核准」，設定自動核准的規則

36.預設有一條自動核准規則，但預設未勾選。由於更新同步來源是微軟官方，所以建議勾選，可省很多心力。

37.手動核准時，就是逐一看、逐一核准，但也可以批次選取/核准

38.如果更新規則有設定群組/子系，則核准更新也能設定是否要套用到子系。

至此，WSUS就設定得差不多了，接下來就是要花時間從上游(Microsoft Update)同步更新資料，需要相當久的時間。WSUS的功能簡易，通常可自行摸索，網路上官方/非官方資源也都相當豐富。

通常等同步完成後，再從AD的GPO 建立群組原則了，可參閱下一篇文章〈利用群組原則(GPO)設定WSUS 用戶端更新〉

==========================

參考資料：

1. 部署 Windows Server Update Services--https://docs.microsoft.com/zh-tw/windows-server/administration/windows-server-update-services/deploy/deploy-windows-server-update-services

=============================

WSUS相關文章：

1. 建立及設定Windows Server Update Services (WSUS)主機實作記錄

2. 利用群組原則(GPO)設定WSUS 用戶端更新