Wednesday, May 27, 2009

การอัพเดท Windows 7 จากเซิร์ฟเวอร์ WSUS (ตอนที่ 2/2)

การคอนฟิก Windows 7 ให้อัพเดทจากเซิร์ฟเวอร์ WSUS โดยใช้ Group Policy Editor
บทความนี้ผมจะสาธิตขั้นตอนการคอนฟิก Windows 7 ให้ทำการอัพเดทจากเซิร์ฟเวอร์ WSUS โดยใช้โปรแกรม Group Policy Editor ซึ่งมีเนื้อหาต่อเนื่องจากบทความเรื่อง "การอัพเดท Windows 7 จากเซิร์ฟเวอร์ WSUS"

แนะนำ Group Policy Editor
Group Policy Editor เป็นโปรแกรมเครื่องมือขั้นสูงที่ไมโครซอฟต์พัฒนาขึ้นมาเพื่อใช้คอนฟิกการทำงานของระบบต่างๆ ของ Windows ซึ่งรวมถึงกำหนดการทำงานของระบบ Windows Updates โดย Group Policy Editor มีการทำงานแบบกราฟิกอินเทอร์เฟช (Graphic User Interface) ซึ่งมีคำอธิบายรายละเอียดของนโยบาย (Policy) แต่ละตัว และบางนโยบายมีการตั้งค่าแบบตัวเลือก ทำให้ง่ายต่อการคอนฟิกและยังป้องกันการใส่ค่าผิดได้อีกด้วย

สำหรับท่านที่ไม่คุ้นเคยกับการใช้ Group Policy Editor สามารถอ่านรายละเอียดเพิ่มเติมได้ที่เว็บไซต์ การคอนฟิกอัพเดท Windows XP โดยใช้ Group Policy Editor ครับ

หมายเหตุ: การเปิดโปรแกรม Group Policy Editor ต้องใช้สิทธิ์ผู้ดูแลระบบ (Administrators)

ตัวอย่างการดอนฟิก Windows 7 ให้อัพเดทจากเซิร์ฟเวอร์ WSUS
เนื้อหาในส่วนนี้ จะเป็นวิธีการกำหนดให้เครื่องคอมพิวเตอร์ทำการอัพเดทผ่านเซิร์ฟเวอร์ WSUS โดยใช้ Group Policy Editor ครับ

ขั้นตอนแรกต้องทำการเตรียมข้อมูลต่างๆ ดังนี้ครับ
1. หมายเลข IP Address หรือ Fully Qualified Domain Name (เช่น wsus.mycom.com) ของเซิร์ฟเวอร์ WSUS
2. รูปแบบการตรวจสอบอัพเดท เช่น ตรวจสอบทุกวัน เวลา 08.00 น.
3. พฤติกรรมการดาวน์โหลดและติดตั้งอัพเดท เช่น ดาวน์โหลดอัพเดทโดยอัตโนมัติแล้วแจ้งให้ผู้ใช้ทำการติดตั้งเอง หรือดาวน์โหลดและติดตั้งโดยอัตโนมัติหากมีอัพเดทใหม่ เป็นต้น
4. พฤติกรรมการหลังจากติดตั้งอัพเดทเสร็จจะให้ทำการรีสตาร์ททันทีหรือไม่
5. ต้องการแสดงตัวเลือก "Install Updates and Shut Down" ในหน้าต่าง Shut Down หรือไม่?
6. ต้องการกำหนดค่าเริ่มต้นในหน้าต่าง Shut Down เป็น "Install Updates and Shut Down" หรือไม่

ซึ่งข้อมูลต่างๆ ด้านบนนี้ จะมีรูปแบบที่แตกต่างกันไปตามแต่ละองค์กร ในการใช้งานนั้นก็ให้ปรับเปลี่ยนตามความเหมาะสมครับ

ในบทความนี้ขอกำหนดให้ Automatic Update ทำงานตามเงื่อนไขดังนี้ครับ
1. ทำการอัพเดทผ่านระบบเซิร์ฟเวอร์ WSUS (http://192.168.1.100)
2. ทำการตรวจสอบอัพเดทและดาวน์โหลดอัพเดทใหม่ (ถ้ามี) ทุกวัน (Every day) เวลา 08.00 น.
3. ให้ทำการดาวน์โหลดอัพเดทอัตโนมัติและแจ้งให้ผู้ใช้เป็นผู้ทำการติดตั้งแบบแมนนวล (Download the updates automatically and notify when they are ready to be installed)
4. ผู้ใช้งานที่กำลังใช้เครื่องคอมพิวเตอร์อยู่ จะเป็นคนเลือกว่าเมื่อติดตั้งอัพเดทเสร็จจะทำการรีสตาร์ททันที
หรือไม่ (No auto-restart with logged on users for scheduled automatic updates installations)
5. ไม่ต้องแสดงตัวเลือก "Install Updates and Shut Down" ในหน้าต่าง Shut Down
6. ไม่กำหนดค่าเริ่มต้นในหน้าต่าง Shut Down เป็น "Install Updates and Shut Down"

ขั้นตอนการทำงาน
1. ทำการล็อกออนด้วยแอคเคาท์กลุ่ม Administrator จากนั้นทำการเปิดโปรแกรม Group Policy Editor นั้น ทำได้โดยการคลิก Start แล้วพิมพ์ GPEDIT.MSC ในกล่อง Search programs and files เสร็จแล้วกด Enter

2. ในคอนโซลแพนด้านซ้ายมือให้ท่องไปยังโฟลเดอร์ Computer Configuration>Administrative Templates>Windows Components>Windows Update ดังภาพที่ 1

Windows 7 Windows Update
ภาพที่ 1

3. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Do not display "Install Updates and Shut Down" option in Shut Down Windows dialog box = Enabled

Install Updates and Shut Down
ภาพที่ 2

4. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Do not adjust default option to "Install Updates and Shut Down" in Shut Down Windows dialog box = Enabled

Install Updates and Shut Down
ภาพที่ 3

5. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Enabling Windows Update Power Management Automatically wake up the system to install scheduled updates=Not Configured

Windows Update Power Management
ภาพที่ 4

6. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Configure Automatic Updates = Enabled

จากนั้นในหัวข้อ Options ให้ตั้งค่า Configure Automatic Updating ตามความเหมาะสม ดังต่อไปนี้
  • ตั้งค่าเป็น 3 - Auto download and notify to install เพื่อให้ Windows ทำการดาวน์โหลดอัพเดทโดยอัตโนมัติและแจ้งให้ผู้ใช้เป็นคนเลือกทำการติดตั้งอัพเดท

Configure Automatic Updates
ภาพที่ 5

  • ตั้งค่าเป็น 4 - Auto download and schedule the install ให้ทำการตั้งค่าเพิ่มเติมดังนี้
    • Scheduled install day: กำหนดเวลาติดตั้งอัพเดท เช่น 0 - Every Day ให้ทำการติดตั้งอัพเดททุกวัน
    • Scheduled install time: ให้เลือกเป็นเวลาที่ต้องการให้ติดตั้งอัปเดทโดยอัตโนมัติ เช่น 08.00 เป็นต้น

7. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Specify intranet Microsoft update service location = Enabled

Intranet Microsoft update service
ภาพที่ 6

แล้วเลือกตั้งค่าต่างๆ ตามความเหมาะสม ตัวอย่างเช่น
  • Set the intranet update service for detecting updates = http://192.168.1.100:8530
  • Set the intranet statistics server = http://192.168.1.100:8530

หมายเหตุ: หากในขั้นตอนการติดตั้งเซิร์ฟเวอร์ WSUS ได้กำหนดหมายเลขพอร์ตเป็น 80 การป้อนค่าด้านบนไม่ต้องใส่หมายเลขพอร์ตด้วย ตัวอย่างเช่น http://192.168.10.100 หรือ http://wsus.company_name.com เป็นต้น

8. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Automatic Updates detection frequency = Not Configured

Automatic Updates detection frequency
ภาพที่ 7

9. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Allow non-Administrators to receive update notifications = Not Configured

non-Administrators
ภาพที่ 8

10. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Turn on Software Notifications = Not Configured

Turn on Software Notifications
ภาพที่ 9

11. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Allow Automatic Updates immediate installation = Not Configured

Immediate installation
ภาพที่ 10

12. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Turn on recommended update via Automatics Updates = Not Configured

Turn on recommended update
ภาพที่ 11

13. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
No auto-restart with logged on users for scheduled automatic updates installations = Enabled

No auto-restart
ภาพที่ 12

ลักษณะการทำงาน: จะแสดงข้อความแจ้งให้ผู้ใช้ทราบว่าต้องทำการรีสตาร์ท แต่จะไม่ทำการรีสตาร์ทโดยอัตโนมัติ

14. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Re-prompt for restart with scheduled installations = Not Configured

Re-prompt for restart
ภาพที่ 13

15. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Delay Restart for scheduled installations = Not Configured

Delay Restart
ภาพที่ 14

ลักษณะการทำงาน: หลังจากทำการติดตั้ง Schedule Update แล้วเสร็จ จะทำการรีสตาร์ทภายใน 15 นาที

16. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Reschedule Automatic Updates scheduled installations = Enabled

จากนั้นให้ตั้งค่า Wait after system ดังนี้
  • Startup (minutes) = 10

ลักษณะการทำงาน: ทำการติดตั้งอัพเดทภายใน 10 นาที

Reschedule
ภาพที่ 15

17. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Enable client-side targeting = Not Configured

Enable client-side target
ภาพที่ 16

18. ในคอลัมน์ Description ด้านขวามือ ให้ตั้งค่า
Allow signed updates from an intranet Microsoft update service location = Not Configured

Allow signed updates
ภาพที่ 17

ลักษณะการทำงาน: รับเฉพาะอัพเดทของไมโครซอฟท์เท่านั้น

19. เมื่อกำหนดค่าต่างๆ เสร็จแล้วให้ปิดโปรแกรม Group Policy Editor แล้วทำการรีสตาร์ทเครื่อง หรือรันคำสั่ง gpupdate /force ที่คอมมานด์พร้อมท์
20. เปิดคอมมานด์พร้อมท์ จากนั้นให้พิมพ์คำสั่ง wuauclt.exe /detectnow เพื่อทำการตรวจสอบอัพเดทกับเซิร์ฟเวอร์ WSUS
21. หากมีอัพเดทใหม่ Automatic Update ก็จะทำงานตามที่กำหนดไว้ ในที่นี้คือ ทำการดาวน์โหลดอัพเดทและแจ้งให้ผู้ใช้ทำการติดตั้งหลังจากดาวน์โหลดแล้วเสร็จ

หมายเหตุ
การคอนฟิก Automatic Updates ด้วยโปรแกรม Group Policy Editor นั้น วินโดวส์จะทำการบันทึกค่าต่างๆ ที่กำหนด โดยอัตโนมัติเมื่อออกจากโปรแกรม

ขั้นตอนการติดตั้งอัพเดท
กรณีที่กำหนดให้ติดตั้งอัพเดทแบบแมนนวล เมื่อมีอัพเดทใหม่ให้ทำการติดตั้งตามขั้นตอนดังนี้
1. ในกรณีที่คอนฟิกติดตั้งอัพเดทแบบแมนนวล สามารถดูสรุปการอัพเดทได้โดยการคลิกที่ไอคอน Show hidden บนทาสก์บาร์
2. หากมีอัพเดทพร้อมติดตั้งวินโดวส์จะแสดงไอคอน ให้ทำการคลิกที่ไอคอน Windows Update เพื่อดูรายละเอียดของการอัพเดท
3. จากนั้น ในหน้าต่าง Windows Update ให้ทำการติดตั้งอัพเดทโดยการคลิก Install แล้วรอจนการติดตั้งแล้วเสร็จ
4. หลังจากทำการติดตั้งเสร็จแล้ว การอัพเดทบางตัวอาจต้องทำการรีสตาร์ทเครื่องเพื่อให้การติดตั้งเสร็จสมบูรณ์ หากวินโดวส์ไม่ถามให้รีสตาร์ทเครื่องให้ทำการปิดหน้าต่าง Windows Update เพื่อจบการทำงาน

ขั้นตอนต่อไป
หลังจากทำการติดตั้งอัพเดทเสร็จแล้ว ขั้นตอนถัดไปขอแนะนำให้ทำการประเมินความปลอดภัยของเครื่องคอมพิวเตอร์โดยใช้โปรแกรม MBSA (อ่านรายละเอียดได้ที่ การใช้งาน Microsoft Baseline Security Analyzer) จากนั้นให้ตรวจสอบผลลัพธ์ที่ได้ โดยเฉพาะในส่วนของ Security Update Scan Results หากมีข้อผิดพลาดหรือมีการแจ้งเตือน ให้ตรวจสอบข้อมูลให้ละเอียดและหากจำเป็นก็ให้ทำการอัพเดทแบบแมนนวล

บทความโดย: TWA Blog

© 2009 TWAB. All Rights Reserved.

0 Comment: