دانلود کتاب آموزشی Mastering Windows Server Update Services (WSUS) on Windows Server 2025 جلد اول

[cdb_course_lessons title=”بخش 1: آشنایی با WSUS و مفاهیم پایه”][cdb_course_lesson title=”فصل 1. معرفی WSUS و نقش آن در مدیریت به‌روزرسانی‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”WSUS چیست و چه کاربردی دارد؟” subtitle=”توضیحات کامل”]Windows Server Update Services (WSUS) یک ابزار قدرتمند برای مدیریت به‌روزرسانی‌ها در سیستم‌های ویندوزی است. این سرویس به مدیران شبکه این امکان را می‌دهد که به‌روزرسانی‌های مختلف مایکروسافت را در داخل شبکه سازمانی دانلود و مدیریت کنند، بدون اینکه به اینترنت برای هر سیستم نیاز داشته باشند. به این ترتیب، به‌روزرسانی‌ها از سرور WSUS به‌طور مرکزی برای تمامی کلاینت‌های شبکه توزیع می‌شود، که نه تنها فرآیند به‌روزرسانی را سرعت می‌بخشد بلکه مصرف پهنای باند اینترنت را نیز کاهش می‌دهد.

کاربردهای اصلی WSUS:

1. مدیریت به‌روزرسانی‌ها: WSUS به شما این امکان را می‌دهد که به‌روزرسانی‌های امنیتی، بهبودهای عملکرد، و به‌روزرسانی‌های ویژگی‌های جدید ویندوز را به‌صورت مرکزی مدیریت کنید.
2. کنترل فرآیند به‌روزرسانی: مدیران شبکه قادرند که تعیین کنند کدام به‌روزرسانی‌ها برای نصب انتخاب شوند، چه زمانی و در کدام دستگاه‌ها اعمال شوند. این قابلیت به‌ویژه در سازمان‌های بزرگ که نیاز به کنترل دقیق‌تر دارند، مفید است.
3. بهینه‌سازی پهنای باند: با استفاده از WSUS، به‌روزرسانی‌ها فقط یکبار از اینترنت دانلود می‌شوند و سپس در داخل شبکه توزیع می‌شوند. این کار موجب کاهش فشار بر روی پهنای باند اینترنت و صرفه‌جویی در هزینه‌ها می‌شود.
4. گزارش‌دهی و نظارت: WSUS امکان گزارش‌گیری از وضعیت به‌روزرسانی‌ها را فراهم می‌کند. به این معنی که می‌توان وضعیت هر سیستم را بررسی کرد که آیا به‌روزرسانی‌ها به درستی اعمال شده‌اند یا خیر.

---

تنظیمات WSUS به صورت کامندی:

برای نصب WSUS به‌طور کامندی از PowerShell می‌توانید از دستورات زیر استفاده کنید:

1. نصب WSUS با PowerShell:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

این دستور بسته WSUS را نصب کرده و ابزارهای مدیریت آن را نیز نصب می‌کند.

مسیر فایل: این دستور باید در PowerShell اجرا شود که از طریق کنسول مدیریت ویندوز (Windows Server) قابل دسترسی است.

2. پیکربندی اولیه WSUS:

بعد از نصب WSUS، باید تنظیمات اولیه را انجام دهید. برای پیکربندی اولیه، می‌توانید از دستور زیر استفاده کنید:

Invoke-WSUSServerConfig

این دستور به شما کمک می‌کند تا تنظیمات اولیه شامل انتخاب دیتابیس و مسیر ذخیره‌سازی به‌روزرسانی‌ها را انجام دهید.

مسیر فایل: این دستور نیز باید در PowerShell اجرا شود.

3. انتخاب مسیر ذخیره‌سازی به‌روزرسانی‌ها:

برای تنظیم مسیر ذخیره‌سازی به‌روزرسانی‌ها در WSUS، از دستور زیر استفاده کنید:

Set-WsusServerConfiguration -UpdateStoragePath "D:\WSUS"

این دستور مسیر ذخیره‌سازی به‌روزرسانی‌ها را به درایو D: تغییر می‌دهد.

مسیر فایل: فایل‌های به‌روزرسانی‌ها در مسیر مشخص شده ذخیره خواهند شد.

---

جمع‌بندی

WSUS یک ابزار قدرتمند است که به سازمان‌ها کمک می‌کند تا به‌روزرسانی‌ها را به‌صورت مرکزی و کارآمد مدیریت کنند. با استفاده از WSUS، مصرف پهنای باند اینترنت کاهش می‌یابد، کنترل دقیقی بر روی به‌روزرسانی‌ها اعمال می‌شود و فرآیند نصب به‌روزرسانی‌ها آسان‌تر می‌شود. همچنین، نصب و پیکربندی WSUS به‌صورت کامندی این امکان را می‌دهد که مدیران شبکه بتوانند به‌راحتی و با دقت تنظیمات را انجام دهند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تاریخچه و تکامل WSUS در نسخه‌های مختلف ویندوز سرور” subtitle=”توضیحات کامل”]WSUS یکی از ابزارهای مدیریت به‌روزرسانی ویندوز است که به مدیران شبکه این امکان را می‌دهد تا فرآیند به‌روزرسانی سیستم‌ها و برنامه‌های ویندوزی را به‌طور متمرکز و بدون نیاز به اینترنت برای هر کامپیوتر در شبکه انجام دهند. این ابزار در طول زمان تکامل یافته است تا قابلیت‌های بیشتری را در اختیار مدیران شبکه قرار دهد.

تاریخچه WSUS:

1. نسخه ابتدایی WSUS (Windows Server 2003): اولین نسخه از WSUS در ویندوز سرور 2003 معرفی شد. این ابزار به‌عنوان جایگزینی برای SUS (Software Update Services) که پیش از آن موجود بود، معرفی گردید. WSUS ویژگی‌های جدیدی همچون امکان نظارت دقیق‌تر بر به‌روزرسانی‌ها، گزارش‌گیری پیشرفته و پشتیبانی از سیستم‌های 64 بیتی را در اختیار کاربران قرار داد.
2. ویندوز سرور 2008: در ویندوز سرور 2008، WSUS ویژگی‌های جدیدی نظیر قابلیت دسته‌بندی به‌روزرسانی‌ها و امکان انتشار به‌روزرسانی‌ها به‌طور خودکار به مشتریان شبکه اضافه شد. همچنین، بهبودهای قابل توجهی در زمینه مدیریت پهنای باند و ذخیره‌سازی به‌روزرسانی‌ها صورت گرفت.
3. ویندوز سرور 2012: در این نسخه، WSUS امکاناتی برای همگام‌سازی با سرویس‌های مایکروسافت و به‌روزرسانی‌های مختلف در انواع سیستم‌های عملیاتی (ویندوز 7، 8، 10 و ویندوز سرور 2008، 2012) اضافه گردید. در این نسخه همچنین کارایی و توانایی‌های این ابزار افزایش یافت تا بتواند مدیریت و توزیع به‌روزرسانی‌ها را برای شبکه‌های بزرگ و پیچیده به‌طور موثرتری انجام دهد.
4. ویندوز سرور 2016 و 2019: در این نسخه‌ها، بهبودهایی در رابط کاربری WSUS صورت گرفت و امکاناتی برای مدیریت راحت‌تر به‌روزرسانی‌ها فراهم شد. همچنین، بهینه‌سازی‌های مربوط به کار با Microsoft Update و نیز افزایش پشتیبانی از به‌روزرسانی‌های نرم‌افزاری دیگر نرم‌افزارهای مایکروسافت انجام شد.
5. ویندوز سرور 2022: در ویندوز سرور 2022، WSUS همچنان به‌عنوان ابزاری برای مدیریت به‌روزرسانی‌ها در کنار سایر ابزارهای مدیریتی مایکروسافت مانند System Center Configuration Manager (SCCM) مطرح است. در این نسخه، مدیریت و پشتیبانی از به‌روزرسانی‌ها حتی ساده‌تر و سریع‌تر شده است.

---

تنظیمات WSUS به صورت کامندی:

برای نصب WSUS در ویندوز سرور 2022 از PowerShell می‌توانید از دستورات زیر استفاده کنید:

1. نصب WSUS با PowerShell:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

این دستور بسته WSUS را نصب کرده و ابزارهای مدیریت آن را نیز نصب می‌کند.

مسیر فایل: این دستور باید در PowerShell اجرا شود که از طریق کنسول مدیریت ویندوز (Windows Server) قابل دسترسی است.

2. پیکربندی اولیه WSUS:

برای پیکربندی اولیه WSUS، از دستور زیر استفاده کنید:

Invoke-WSUSServerConfig

این دستور به شما کمک می‌کند تا تنظیمات اولیه شامل انتخاب دیتابیس و مسیر ذخیره‌سازی به‌روزرسانی‌ها را انجام دهید.

مسیر فایل: این دستور نیز باید در PowerShell اجرا شود.

3. تنظیمات مسیر ذخیره‌سازی به‌روزرسانی‌ها:

برای تغییر مسیر ذخیره‌سازی به‌روزرسانی‌ها، از دستور زیر استفاده کنید:

Set-WsusServerConfiguration -UpdateStoragePath "E:\WSUS"

این دستور مسیر ذخیره‌سازی به‌روزرسانی‌ها را به درایو E: تغییر می‌دهد.

مسیر فایل: فایل‌های به‌روزرسانی‌ها در مسیر مشخص شده ذخیره خواهند شد.

---

جمع‌بندی

WSUS از ابتدای معرفی‌اش در ویندوز سرور 2003 تاکنون، همواره در حال تکامل بوده است و هر نسخه جدید ویژگی‌ها و بهبودهای جدیدی را به همراه داشته است. این ابزار، با فراهم آوردن امکان مدیریت به‌روزرسانی‌ها به‌صورت مرکزی و کاهش هزینه‌های پهنای باند، به یکی از ابزارهای ضروری برای مدیران شبکه تبدیل شده است. از طریق نصب و پیکربندی کامندی WSUS، مدیران شبکه می‌توانند به‌راحتی و به‌طور دقیق تنظیمات مورد نیاز خود را اعمال کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نحوه عملکرد WSUS در اکوسیستم سازمانی” subtitle=”توضیحات کامل”]WSUS در اکوسیستم سازمانی نقشی حیاتی در مدیریت به‌روزرسانی‌ها و بهینه‌سازی فرآیندهای نگهداری سیستم‌ها ایفا می‌کند. در سازمان‌ها با تعداد زیاد کامپیوترها و دستگاه‌ها، نصب و به‌روزرسانی دستی سیستم‌ها می‌تواند به یک چالش تبدیل شود. در اینجا WSUS به کمک می‌آید تا این فرآیند را خودکار و متمرکز کند.

ساختار عمومی WSUS در سازمان‌ها:

1. WSUS سرور مرکزی: در اکوسیستم سازمانی، WSUS معمولاً به‌عنوان یک سرور مرکزی نصب می‌شود که تمامی به‌روزرسانی‌ها را از Microsoft Update یا یک سرور WSUS دیگر دریافت می‌کند. این سرور به‌طور متمرکز به تمامی کامپیوترهای شبکه متصل است و به‌روزرسانی‌ها را به صورت هدفمند و با اولویت‌بندی به آن‌ها ارسال می‌کند.
2. مشتریان WSUS: تمامی دستگاه‌ها (کامپیوترها، سرورها و دیگر سیستم‌های کلیدی در شبکه سازمان) به سرور WSUS متصل می‌شوند. این دستگاه‌ها به‌طور منظم از سرور WSUS درخواست به‌روزرسانی می‌کنند و WSUS به آن‌ها بسته‌های به‌روزرسانی را ارسال می‌کند.
3. گروه‌های به‌روزرسانی: WSUS به مدیران شبکه این امکان را می‌دهد که گروه‌های مختلفی از دستگاه‌ها را با توجه به نیازهای خاصشان تنظیم کنند. به‌عنوان مثال، می‌توان یک گروه برای کامپیوترهای دسکتاپ، یک گروه برای سرورها و یک گروه برای سیستم‌های خاص در نظر گرفت و به هر گروه یک سری از به‌روزرسانی‌ها را تخصیص داد.

عملکرد WSUS در سازمان‌ها:

1. دریافت به‌روزرسانی‌ها از Microsoft Update: WSUS به‌طور منظم به Microsoft Update متصل می‌شود و جدیدترین به‌روزرسانی‌ها را دریافت می‌کند. این به‌روزرسانی‌ها شامل اصلاحات امنیتی، ویژگی‌های جدید و رفع اشکالات نرم‌افزاری است.
2. انتقال به‌روزرسانی‌ها به دستگاه‌ها: پس از دریافت به‌روزرسانی‌ها، WSUS این به‌روزرسانی‌ها را ذخیره کرده و به گروه‌های مختلف دستگاه‌ها ارسال می‌کند. این فرآیند می‌تواند به‌طور خودکار و یا با تایید مدیر شبکه صورت گیرد. این امر به‌ویژه در سازمان‌های بزرگ بسیار مفید است زیرا پهنای باند اینترنتی کاهش می‌یابد.
3. کنترل دقیق بر به‌روزرسانی‌ها: یکی از مزایای WSUS این است که به مدیران شبکه اجازه می‌دهد تا کنترل کاملی بر زمان‌بندی و نوع به‌روزرسانی‌هایی که بر روی هر دستگاه اعمال می‌شود داشته باشند. به‌طور مثال، می‌توان به‌روزرسانی‌ها را برای گروه خاصی از کامپیوترها به‌صورت روزانه، هفتگی یا ماهانه تنظیم کرد.
4. گزارش‌گیری و پایش به‌روزرسانی‌ها: WSUS ابزارهای گزارش‌گیری پیشرفته‌ای دارد که مدیران می‌توانند برای نظارت بر وضعیت به‌روزرسانی‌ها و عملکرد دستگاه‌ها استفاده کنند. این گزارش‌ها شامل اطلاعاتی درباره دستگاه‌هایی که به‌روزرسانی‌ها را دریافت کرده‌اند و همچنین دستگاه‌هایی که نیاز به به‌روزرسانی دارند می‌باشد.

پیکربندی WSUS به‌صورت کامندی:

برای شروع به کار با WSUS در ویندوز سرور، می‌توان از دستورات زیر در PowerShell استفاده کرد:

1. نصب WSUS:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

این دستور WSUS را به همراه ابزارهای مدیریتی آن نصب می‌کند.

مسیر فایل: این دستور باید در PowerShell اجرا شود.

2. راه‌اندازی WSUS:

پس از نصب، WSUS باید راه‌اندازی شود. برای این کار از دستور زیر استفاده می‌شود:

Start-Service -Name WSUSService

مسیر فایل: این دستور در PowerShell وارد می‌شود.

3. تنظیمات گروه‌بندی دستگاه‌ها:

برای ایجاد گروه‌های مختلف برای دستگاه‌ها و تنظیمات به‌روزرسانی، از دستور زیر می‌توان استفاده کرد:

New-WsusComputerTargetGroup -Name "Desktops"
New-WsusComputerTargetGroup -Name "Servers"

این دستورات دو گروه جدید برای دستگاه‌های دسکتاپ و سرورها ایجاد می‌کنند.

مسیر فایل: این دستورات در PowerShell وارد می‌شوند.

4. گزارش‌گیری از وضعیت به‌روزرسانی‌ها:

برای مشاهده وضعیت به‌روزرسانی‌های انجام‌شده بر روی دستگاه‌ها، می‌توانید از دستور زیر استفاده کنید:

Get-WsusComputer | Select-Object Name, LastSyncResult, UpdateStatus

این دستور لیستی از دستگاه‌ها و وضعیت به‌روزرسانی آن‌ها را به شما نشان می‌دهد.

مسیر فایل: این دستور در PowerShell اجرا می‌شود.

---

جمع‌بندی

WSUS در اکوسیستم سازمانی به‌عنوان ابزاری قدرتمند برای مدیریت به‌روزرسانی‌ها و اصلاحات امنیتی شناخته می‌شود. با استفاده از WSUS، مدیران شبکه می‌توانند به‌روزرسانی‌ها را به‌صورت متمرکز و بهینه برای تمامی دستگاه‌های سازمان توزیع کنند. همچنین، این ابزار امکاناتی را برای گروه‌بندی دستگاه‌ها، کنترل دقیق بر فرآیند به‌روزرسانی و گزارش‌گیری از وضعیت به‌روزرسانی‌ها فراهم می‌آورد.[/cdb_course_lesson][cdb_course_lesson title=”فصل 2. اهمیت استفاده از WSUS در سازمان‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”چالش‌های به‌روزرسانی دستی و مشکلات آن” subtitle=”توضیحات کامل”]به‌روزرسانی‌های دستی در سازمان‌ها و محیط‌های شبکه‌ای با مشکلات و چالش‌های زیادی همراه است که می‌تواند تاثیر منفی بر روی امنیت، عملکرد و بهره‌وری سیستم‌ها بگذارد. به‌روزرسانی‌های دستی به فرآیندهایی اشاره دارند که در آن‌ها مدیران شبکه باید به‌طور دستی به هر سیستم یا دستگاه متصل شده و به‌روزرسانی‌ها را نصب کنند. در اینجا به برخی از مهم‌ترین چالش‌ها و مشکلات این فرآیند اشاره می‌شود:

1. زمان‌بر بودن فرآیند

به‌روزرسانی دستی برای هر سیستم نیازمند زمان زیادی است. زمانی که سازمانی دارای تعداد زیادی سیستم است، این فرآیند می‌تواند ساعت‌ها یا حتی روزها به طول انجامد. مدیران باید به‌طور مداوم به دستگاه‌ها دسترسی پیدا کنند و به‌روزرسانی‌ها را به صورت دستی نصب کنند.

2. ریسک خطای انسانی

یکی از بزرگ‌ترین مشکلات به‌روزرسانی دستی، خطای انسانی است. ممکن است یک مدیر سیستم به اشتباه یک به‌روزرسانی را نادیده بگیرد یا بر روی سیستم اشتباهی نصب کند. این خطاها می‌تواند منجر به ایجاد مشکلات امنیتی، از دست دادن داده‌ها یا نقص عملکرد سیستم‌ها شود.

3. توزیع ناعادلانه به‌روزرسانی‌ها

در بسیاری از موارد، به‌روزرسانی‌ها به‌طور نامنظم و ناعادلانه در سیستم‌ها نصب می‌شوند. برخی از دستگاه‌ها ممکن است به‌روزرسانی‌ها را دریافت کنند، در حالی که برخی دیگر از آن‌ها بی‌خبر می‌مانند. این عدم هماهنگی می‌تواند باعث ایجاد مشکلات سازگاری و عملکرد نادرست در شبکه شود.

4. کمبود نظارت و گزارش‌گیری

در فرآیند به‌روزرسانی دستی، نظارت بر وضعیت به‌روزرسانی‌ها و گزارش‌گیری از دستگاه‌ها کار دشواری است. مدیران به‌راحتی نمی‌توانند به‌طور دقیق از اینکه کدام دستگاه به‌روزرسانی‌ها را نصب کرده است یا کدام‌یک نیاز به به‌روزرسانی دارد، اطلاع پیدا کنند.

5. آسیب‌پذیری در برابر تهدیدات امنیتی

یکی از خطرات بزرگ به‌روزرسانی دستی این است که برخی از به‌روزرسانی‌های امنیتی ممکن است به‌طور نادرست یا به تأخیر نصب شوند. این تأخیر می‌تواند به سازمان‌ها اجازه دهد تا در معرض تهدیدات امنیتی مانند ویروس‌ها، بدافزارها و حملات سایبری قرار گیرند.

6. افزایش مصرف منابع شبکه

به‌روزرسانی‌های دستی معمولاً نیاز به بارگذاری مجدد بسته‌های به‌روزرسانی برای هر دستگاه به‌طور جداگانه دارند. این امر باعث مصرف زیاد پهنای باند شبکه و منابع سیستم می‌شود. این امر می‌تواند تاثیر منفی بر سایر فعالیت‌های شبکه داشته باشد.

7. عدم یکپارچگی در سیستم‌ها

به‌روزرسانی‌های دستی ممکن است منجر به نصب نسخه‌های مختلف از یک نرم‌افزار یا سیستم‌عامل بر روی دستگاه‌های مختلف شوند. این مسأله می‌تواند باعث مشکلات سازگاری و هماهنگی بین سیستم‌ها و دستگاه‌ها شود.

پیکربندی WSUS به‌صورت کامندی

برای رفع مشکلات ذکر شده و استفاده از مزایای WSUS، می‌توان از دستورات کامندی برای نصب و پیکربندی WSUS به‌طور خودکار استفاده کرد. در اینجا دستوراتی برای نصب و پیکربندی WSUS آمده است:

1. نصب WSUS:

برای نصب WSUS در ویندوز سرور، از دستور زیر در PowerShell استفاده کنید:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

مسیر فایل: این دستور در PowerShell وارد می‌شود.

2. راه‌اندازی سرویس WSUS:

پس از نصب، برای راه‌اندازی سرویس WSUS از دستور زیر استفاده کنید:

Start-Service -Name WSUSService

مسیر فایل: این دستور در PowerShell وارد می‌شود.

3. پیکربندی گروه‌های دستگاه‌ها:

برای ایجاد گروه‌های دستگاه‌های مختلف و مدیریت به‌روزرسانی‌ها، از دستورات زیر استفاده کنید:

New-WsusComputerTargetGroup -Name "Desktops"
New-WsusComputerTargetGroup -Name "Servers"

این دستورات گروه‌های دستگاه‌های دسکتاپ و سرور را ایجاد می‌کند.

مسیر فایل: این دستورات در PowerShell وارد می‌شوند.

4. گزارش‌گیری وضعیت به‌روزرسانی‌ها:

برای مشاهده وضعیت به‌روزرسانی‌ها بر روی دستگاه‌ها، از دستور زیر استفاده کنید:

Get-WsusComputer | Select-Object Name, LastSyncResult, UpdateStatus

مسیر فایل: این دستور در PowerShell وارد می‌شود.

---

جمع‌بندی

چالش‌های به‌روزرسانی دستی شامل مشکلات زمان‌بر بودن، خطای انسانی، توزیع ناعادلانه به‌روزرسانی‌ها، کمبود نظارت و آسیب‌پذیری امنیتی هستند. به‌روزرسانی دستی همچنین می‌تواند منجر به افزایش مصرف منابع شبکه و عدم یکپارچگی سیستم‌ها شود. استفاده از WSUS برای مدیریت متمرکز به‌روزرسانی‌ها می‌تواند این مشکلات را برطرف کند و به سازمان‌ها کمک کند تا به‌روزرسانی‌ها را به‌طور خودکار و هماهنگ در تمامی دستگاه‌ها اعمال کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مزایای پیاده‌سازی WSUS در محیط‌های کوچک و بزرگ” subtitle=”توضیحات کامل”]پیاده‌سازی WSUS در محیط‌های مختلف، از جمله محیط‌های کوچک و بزرگ، می‌تواند مزایای بسیاری را به همراه داشته باشد. این مزایا نه تنها به سازمان‌ها کمک می‌کند تا فرآیندهای به‌روزرسانی را ساده‌تر و کارآمدتر کنند، بلکه از نظر صرفه‌جویی در منابع و بهبود امنیت نیز تاثیرات مثبتی دارد. در ادامه به بررسی این مزایا در هر دو نوع محیط خواهیم پرداخت:

1. مدیریت متمرکز به‌روزرسانی‌ها

با استفاده از WSUS، سازمان‌ها می‌توانند تمامی به‌روزرسانی‌ها را به‌صورت متمرکز مدیریت کنند. در محیط‌های بزرگ، این ویژگی اهمیت بیشتری پیدا می‌کند زیرا امکان مدیریت به‌روزرسانی‌ها از یک نقطه واحد وجود دارد. برای پیاده‌سازی به‌روزرسانی‌های متمرکز، کافی است تا WSUS روی یک سرور نصب شود و تمامی دستگاه‌های شبکه به آن متصل شوند.

دستور کامندی نصب WSUS:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

مسیر فایل: این دستور در PowerShell وارد می‌شود.

2. کاهش ترافیک شبکه

در محیط‌های بزرگ، به‌روزرسانی‌های مکرر ممکن است باعث افزایش بار شبکه شوند. WSUS این مشکل را با فراهم آوردن امکان دانلود به‌روزرسانی‌ها از سرور محلی به‌جای اینترنت، برطرف می‌کند. این ویژگی در محیط‌های کوچک نیز مفید است زیرا ترافیک شبکه را کاهش می‌دهد و سرعت به‌روزرسانی‌ها را افزایش می‌دهد.

دستور کامندی برای تغییر مسیر دانلود به سرور محلی:

Set-WsusServerSynchronization -SyncFromMU

مسیر فایل: این دستور در PowerShell وارد می‌شود.

3. بهبود امنیت و یکپارچگی سیستم‌ها

WSUS به مدیران شبکه این امکان را می‌دهد که به‌روزرسانی‌های امنیتی را به‌صورت اولویت‌بندی شده در تمامی سیستم‌ها نصب کنند. این موضوع به‌ویژه در محیط‌های بزرگ بسیار مهم است، چرا که امنیت تمامی دستگاه‌ها و سیستم‌ها به‌صورت یکپارچه تضمین می‌شود.

دستور کامندی برای نصب به‌روزرسانی‌های امنیتی:

Get-WsusUpdate | Where-Object {$_.UpdateClassification.Title -eq "Security Updates"} | Install-WsusUpdate

مسیر فایل: این دستور در PowerShell وارد می‌شود.

4. کاهش خطای انسانی

در محیط‌های بزرگ و کوچک، به‌روزرسانی دستی می‌تواند باعث اشتباهات انسانی شود. WSUS با اتوماسیون فرآیند به‌روزرسانی‌ها، احتمال خطای انسانی را کاهش می‌دهد و از نصب اشتباه به‌روزرسانی‌ها جلوگیری می‌کند. مدیران فقط باید نظارت داشته باشند و سیستم‌ها به‌طور خودکار به‌روزرسانی می‌شوند.

دستور کامندی برای تنظیم اتوماسیون به‌روزرسانی‌ها:

Set-WsusServerSynchronization -AutomaticApproval

مسیر فایل: این دستور در PowerShell وارد می‌شود.

5. گزارش‌دهی و نظارت دقیق

WSUS ابزارهای گزارش‌دهی جامعی را فراهم می‌آورد که مدیران شبکه می‌توانند از آن‌ها برای بررسی وضعیت به‌روزرسانی‌ها در سیستم‌ها استفاده کنند. این قابلیت در محیط‌های بزرگ به‌ویژه برای نظارت بر دستگاه‌های متعدد بسیار مفید است. در محیط‌های کوچک نیز، این گزارش‌ها می‌تواند به مدیران کمک کند تا وضعیت دقیق به‌روزرسانی‌ها را مشاهده کنند.

دستور کامندی برای مشاهده گزارش وضعیت به‌روزرسانی‌ها:

Get-WsusUpdate | Select-Object Title, InstalledCount, ApprovalAction

مسیر فایل: این دستور در PowerShell وارد می‌شود.

6. پشتیبانی از تنظیمات پیشرفته و سفارشی‌سازی

WSUS به مدیران شبکه این امکان را می‌دهد که تنظیمات به‌روزرسانی‌ها را به‌طور سفارشی و دقیق پیکربندی کنند. این ویژگی در محیط‌های بزرگ که نیاز به تنظیمات پیچیده دارند بسیار مفید است، اما در محیط‌های کوچک نیز می‌تواند برای بهینه‌سازی عملکرد مفید باشد.

دستور کامندی برای سفارشی‌سازی اولویت‌های به‌روزرسانی:

Set-WsusUpdateApproval -Approval Action_Install

مسیر فایل: این دستور در PowerShell وارد می‌شود.

جمع‌بندی

پیاده‌سازی WSUS در هر دو محیط کوچک و بزرگ مزایای زیادی دارد، از جمله مدیریت متمرکز به‌روزرسانی‌ها، کاهش ترافیک شبکه، بهبود امنیت و یکپارچگی سیستم‌ها، کاهش خطای انسانی، گزارش‌دهی دقیق و امکان سفارشی‌سازی پیشرفته. این ویژگی‌ها به‌ویژه در سازمان‌های بزرگ که با تعداد زیادی سیستم مواجه هستند، از اهمیت ویژه‌ای برخوردار است. استفاده از WSUS نه تنها باعث تسهیل فرآیند به‌روزرسانی‌ها می‌شود، بلکه مدیریت شبکه و بهبود امنیت را به‌طور قابل توجهی افزایش می‌دهد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”کاهش مصرف پهنای باند و بهینه‌سازی عملکرد شبکه” subtitle=”توضیحات کامل”]یکی از بزرگترین چالش‌ها در محیط‌های شبکه‌ای بزرگ، مدیریت مصرف پهنای باند هنگام به‌روزرسانی سیستم‌ها است. به‌ویژه زمانی که تعداد زیادی از سیستم‌ها به‌طور همزمان نیاز به دریافت به‌روزرسانی‌ها داشته باشند، می‌تواند باعث افزایش بار شبکه و کند شدن سایر فرآیندها شود. به همین دلیل، استفاده از WSUS به‌طور ویژه‌ای در این زمینه مؤثر است. با پیاده‌سازی صحیح WSUS، سازمان‌ها می‌توانند از پهنای باند به‌طور بهینه استفاده کنند و عملکرد شبکه را بهبود بخشند.

1. دانلود به‌روزرسانی‌ها از سرور محلی

یکی از مزایای اصلی استفاده از WSUS در کاهش مصرف پهنای باند، این است که به‌روزرسانی‌ها از سرور WSUS محلی به سیستم‌ها ارسال می‌شوند، نه از اینترنت. این امر موجب می‌شود که هر سیستم به‌جای دریافت به‌روزرسانی‌ها از اینترنت، آن‌ها را از سرور داخلی دانلود کند، که مصرف پهنای باند را به میزان قابل توجهی کاهش می‌دهد.

دستور کامندی برای دانلود به‌روزرسانی‌ها از سرور محلی:

Set-WsusServerSynchronization -SyncFromMU

مسیر فایل: این دستور در PowerShell وارد می‌شود.

2. استفاده از تقسیم‌بندی‌های به‌روزرسانی برای کاهش ترافیک

یکی دیگر از روش‌های بهینه‌سازی مصرف پهنای باند، تقسیم‌بندی به‌روزرسانی‌ها است. با استفاده از WSUS، می‌توانید به‌روزرسانی‌ها را در زمان‌های مختلف و به صورت گروهی برای بخش‌های مختلف شبکه ارسال کنید. این کار باعث می‌شود که همه سیستم‌ها به‌طور همزمان بار زیادی روی شبکه ایجاد نکنند و ترافیک در طول زمان پخش شود.

دستور کامندی برای تنظیم زمان‌بندی به‌روزرسانی‌ها:

Set-WsusServerSynchronization -SyncSchedule 3AM

مسیر فایل: این دستور در PowerShell وارد می‌شود.

3. پیکربندی گروه‌های کامپیوتری برای اولویت‌بندی به‌روزرسانی‌ها

با استفاده از گروه‌های کامپیوتری در WSUS، می‌توانید به‌روزرسانی‌ها را اولویت‌بندی کرده و به گروه‌های خاصی از سیستم‌ها ارسال کنید. این امر باعث می‌شود که به‌روزرسانی‌ها به‌صورت تدریجی انجام شوند و فشار روی شبکه در یک زمان خاص کاهش یابد.

دستور کامندی برای تنظیم گروه‌های کامپیوتری در WSUS:

New-WsusComputerTargetGroup -Name "Critical Systems"

مسیر فایل: این دستور در PowerShell وارد می‌شود.

4. استفاده از Peer-to-Peer برای به‌روزرسانی‌ها

در محیط‌های شبکه‌ای بزرگ، امکان استفاده از روش Peer-to-Peer برای به‌روزرسانی‌ها وجود دارد. این روش اجازه می‌دهد که سیستم‌ها به‌روزرسانی‌ها را از یکدیگر دریافت کنند و نیاز به دریافت آن‌ها از سرور مرکزی کمتر شود. این قابلیت باعث می‌شود که مصرف پهنای باند کاهش یابد و به‌روزرسانی‌ها سریع‌تر انجام شوند.

دستور کامندی برای فعال‌سازی Peer-to-Peer در WSUS:

Set-WsusPeerUpdate -EnablePeerToPeer $true

مسیر فایل: این دستور در PowerShell وارد می‌شود.

5. تنظیمات مربوط به کش کردن به‌روزرسانی‌ها

WSUS این امکان را فراهم می‌کند که به‌روزرسانی‌ها کش شوند و دوباره مورد استفاده قرار گیرند. این کار می‌تواند مصرف پهنای باند را در زمان‌های بعدی که به‌روزرسانی‌ها مشابه یا یکسان هستند، کاهش دهد.

دستور کامندی برای پیکربندی کش در WSUS:

Set-WsusServerCaching -EnableCaching $true

مسیر فایل: این دستور در PowerShell وارد می‌شود.

6. نظارت و گزارش‌دهی بر مصرف پهنای باند

با استفاده از ابزارهای گزارش‌دهی WSUS، می‌توانید عملکرد شبکه و مصرف پهنای باند را به‌دقت بررسی کنید و از هرگونه ترافیک غیرضروری جلوگیری کنید. این گزارش‌ها به شما کمک می‌کنند تا نقاط ضعفی که ممکن است باعث مصرف بالای پهنای باند شوند، شناسایی کنید.

دستور کامندی برای مشاهده وضعیت پهنای باند:

Get-WsusUpdate | Select-Object Title, Status, BandwidthUsage

مسیر فایل: این دستور در PowerShell وارد می‌شود.

جمع‌بندی

با پیاده‌سازی WSUS و پیکربندی صحیح آن، سازمان‌ها می‌توانند به‌طور قابل توجهی مصرف پهنای باند خود را کاهش دهند و عملکرد شبکه را بهینه کنند. استفاده از سرور محلی برای به‌روزرسانی‌ها، تقسیم‌بندی به‌روزرسانی‌ها به‌طور گروهی، استفاده از روش Peer-to-Peer، کش کردن به‌روزرسانی‌ها و نظارت بر مصرف پهنای باند، همه ابزارهایی هستند که می‌توانند به کاهش مصرف منابع شبکه کمک کنند. این ویژگی‌ها نه تنها در محیط‌های بزرگ بلکه در محیط‌های کوچک نیز به کارایی بهتر شبکه و کاهش هزینه‌های مرتبط با پهنای باند کمک می‌کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”کنترل و نظارت بر فرآیندهای به‌روزرسانی” subtitle=”توضیحات کامل”]کنترل و نظارت دقیق بر فرآیندهای به‌روزرسانی یکی از ارکان اصلی مدیریت مؤثر سیستم‌ها در هر سازمانی است. استفاده از WSUS این امکان را فراهم می‌کند که به‌روزرسانی‌ها به‌طور متمرکز و کنترل‌شده در سازمان اجرا شوند. نظارت بر فرآیندهای به‌روزرسانی نه تنها به مدیران این امکان را می‌دهد که از نصب صحیح به‌روزرسانی‌ها اطمینان حاصل کنند، بلکه به شناسایی و رفع مشکلات پیش آمده در طول این فرآیند کمک می‌کند.

1. نظارت بر وضعیت به‌روزرسانی‌ها

WSUS این قابلیت را دارد که وضعیت به‌روزرسانی‌های نصب‌شده، موفق و ناموفق را گزارش دهد. این گزارش‌ها به مدیران شبکه کمک می‌کنند تا مطمئن شوند که تمامی سیستم‌ها به‌روز هستند و مشکلات به‌روزرسانی‌ها به سرعت شناسایی و حل می‌شوند.

دستور کامندی برای بررسی وضعیت به‌روزرسانی‌ها:

Get-WsusUpdate | Select-Object Title, Status, InstallationResult

مسیر فایل: این دستور در PowerShell وارد می‌شود.

2. گزارش‌گیری از فرآیند به‌روزرسانی

یکی از ابزارهای قدرتمند WSUS، توانایی تولید گزارش‌های جامع از فرآیند به‌روزرسانی است. این گزارش‌ها شامل اطلاعاتی درباره تعداد سیستم‌هایی است که به‌روزرسانی‌ها را دریافت کرده‌اند، تعداد به‌روزرسانی‌های موفق، تعداد سیستم‌های موفق یا ناموفق و وضعیت‌های مختلف آن‌ها.

دستور کامندی برای تولید گزارش وضعیت به‌روزرسانی‌ها:

Get-WsusUpdate -Approval Unapproved | Export-Csv "C:\WSUS\Reports\UnapprovedUpdates.csv"

مسیر فایل: این دستور در PowerShell وارد می‌شود و گزارش را در مسیر مشخص‌شده ذخیره می‌کند.

3. ایجاد و مدیریت گروه‌های نظارتی

با استفاده از WSUS، می‌توانید گروه‌های کامپیوتری ایجاد کرده و فرآیندهای به‌روزرسانی را به‌طور گروهی نظارت کنید. این به شما این امکان را می‌دهد که به‌روزرسانی‌ها را برای گروه‌های خاصی از سیستم‌ها تست کرده و بررسی کنید که آیا به‌درستی نصب می‌شوند یا خیر.

دستور کامندی برای ایجاد گروه نظارتی جدید:

New-WsusComputerTargetGroup -Name "Test Group"

مسیر فایل: این دستور در PowerShell وارد می‌شود.

4. تنظیمات برای دریافت خودکار گزارش‌های نظارتی

WSUS این قابلیت را دارد که به‌طور خودکار گزارش‌های نظارتی را از سرور ارسال کند. این ویژگی به‌ویژه برای سازمان‌هایی که نیاز به پیگیری مستمر دارند بسیار مفید است.

دستور کامندی برای تنظیم ارسال خودکار گزارش‌ها:

Set-WsusServerSynchronization -SyncSchedule 9AM

مسیر فایل: این دستور در PowerShell وارد می‌شود و برای هماهنگی با زمان‌بندی مشخص‌شده اجرا می‌شود.

5. مانیتورینگ و تجزیه و تحلیل لاگ‌های WSUS

WSUS همچنین لاگ‌های دقیقی از فرآیندهای به‌روزرسانی و هرگونه خطای احتمالی تولید می‌کند. این لاگ‌ها می‌توانند برای تجزیه و تحلیل مشکلات و بهبود فرآیندهای به‌روزرسانی مورد استفاده قرار گیرند.

دستور کامندی برای بررسی لاگ‌های WSUS:

Get-EventLog -LogName Application | Where-Object {$_.Source -eq "Windows Server Update Services"} | Select-Object TimeGenerated, Message

مسیر فایل: این دستور در PowerShell وارد می‌شود و لاگ‌های مربوط به WSUS را نمایش می‌دهد.

6. نظارت بر مصرف منابع سرور WSUS

نظارت بر منابع سرور WSUS می‌تواند به مدیران کمک کند تا از عملکرد بهینه سرور و اجتناب از بروز مشکلات احتمالی در فرآیند به‌روزرسانی‌ها اطمینان حاصل کنند.

دستور کامندی برای بررسی وضعیت منابع سرور:

Get-WmiObject -Class Win32_OperatingSystem | Select-Object TotalVisibleMemorySize, FreePhysicalMemory

مسیر فایل: این دستور در PowerShell وارد می‌شود و وضعیت منابع سرور را گزارش می‌کند.

جمع‌بندی

کنترل و نظارت بر فرآیندهای به‌روزرسانی با استفاده از WSUS به مدیران این امکان را می‌دهد که فرآیند به‌روزرسانی را به‌طور متمرکز و کارآمد مدیریت کنند. نظارت بر وضعیت به‌روزرسانی‌ها، تولید گزارش‌های دقیق، استفاده از گروه‌های نظارتی، بررسی لاگ‌ها و مانیتورینگ مصرف منابع سرور، از جمله ابزارهایی هستند که به شناسایی مشکلات احتمالی و بهبود فرآیند به‌روزرسانی کمک می‌کنند. با استفاده از دستورات کامندی مختلف، این فرآیندها می‌توانند به‌صورت خودکار و با دقت بیشتر مدیریت شوند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 3. مقایسه WSUS با سایر روش‌های مدیریت به‌روزرسانی”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تفاوت WSUS با Windows Update for Business” subtitle=”توضیحات کامل”]در حالی که WSUS و Windows Update for Business هر دو به‌منظور مدیریت به‌روزرسانی‌های سیستم‌ها طراحی شده‌اند، هرکدام ویژگی‌ها و کاربردهای خاص خود را دارند که آن‌ها را از یکدیگر متمایز می‌کند. در اینجا به بررسی تفاوت‌های اصلی این دو سیستم می‌پردازیم:

1. مدیریت و کنترل به‌روزرسانی‌ها

• WSUS: این ابزار به مدیران سیستم اجازه می‌دهد تا به‌روزرسانی‌ها را به‌طور متمرکز و کنترل‌شده مدیریت کنند. شما می‌توانید به‌روزرسانی‌ها را به گروه‌های خاص از کامپیوترها اختصاص دهید و فرآیند نصب به‌روزرسانی‌ها را به‌طور دقیق نظارت کنید.دستور کامندی برای بررسی به‌روزرسانی‌ها در WSUS:

  Get-WsusUpdate | Select-Object Title, Status, InstallationResult
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود.

• Windows Update for Business: برخلاف WSUS، Windows Update for Business بیشتر برای سازمان‌هایی مناسب است که می‌خواهند به‌روزرسانی‌ها را در مقیاس بزرگ و به‌طور خودکار اعمال کنند. این سیستم در واقع به مدیران این امکان را می‌دهد که نسخه‌های مختلف به‌روزرسانی‌ها را در زمان‌های مختلف روی دستگاه‌های مختلف نصب کنند.

2. مقیاس و محیط اجرایی

• WSUS: معمولاً برای سازمان‌هایی که نیاز به کنترل دقیق‌تری بر فرآیند به‌روزرسانی دارند، از جمله محیط‌های IT سازمان‌های بزرگ، طراحی شده است. این سیستم امکان نصب به‌روزرسانی‌ها را برای گروه‌های خاصی از سیستم‌ها فراهم می‌کند و شما می‌توانید به‌روزرسانی‌ها را برای گروه‌های مختلف پیاده‌سازی کنید.
• Windows Update for Business: این گزینه بیشتر برای محیط‌های سازمانی با تعداد دستگاه‌های زیاد و شبکه‌های گسترده طراحی شده است که به‌روزرسانی‌ها به‌طور خودکار بر اساس زمان‌بندی‌هایی که از پیش تعیین شده‌اند، اعمال می‌شوند. مدیریت به‌روزرسانی‌ها بیشتر به‌صورت مبتنی بر سیاست‌های گروهی انجام می‌شود.

3. پیکربندی و تنظیمات

• WSUS: WSUS به‌طور گسترده از طریق گرافیک مدیریتی یا دستورات کامندی پیکربندی می‌شود. از طریق WSUS، شما می‌توانید انواع مختلفی از به‌روزرسانی‌ها (امنیتی، اصلاحی و غیره) را برای دانلود و نصب انتخاب کنید.دستور کامندی برای پیکربندی WSUS:

  Set-WsusServerSynchronization -SyncSchedule 9AM
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود.

• Windows Update for Business: تنظیمات در این سیستم از طریق سیاست‌های گروهی یا تنظیمات در سطح حساب مایکروسافت انجام می‌شود. شما می‌توانید از این سیستم برای پیاده‌سازی سیاست‌های به‌روزرسانی خودکار برای گروه‌های مختلف دستگاه‌ها استفاده کنید.

4. نظارت و گزارش‌گیری

• WSUS: WSUS به شما اجازه می‌دهد تا گزارش‌های دقیق و سفارشی از وضعیت به‌روزرسانی‌ها تولید کنید. این گزارش‌ها می‌توانند شامل جزئیاتی از وضعیت به‌روزرسانی‌ها در سیستم‌های مختلف سازمان باشند.دستور کامندی برای گزارش‌گیری در WSUS:

  Get-WsusUpdate -Approval Unapproved | Export-Csv "C:\WSUS\Reports\UnapprovedUpdates.csv"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و گزارش را در مسیر مشخص‌شده ذخیره می‌کند.

• Windows Update for Business: این سیستم به‌طور عمده از طریق داشبوردهای مایکروسافت و تنظیمات حساب مایکروسافت پیگیری و نظارت می‌شود. مدیران می‌توانند میزان نصب به‌روزرسانی‌ها و وضعیت آن‌ها را مشاهده کنند، اما گزینه‌های گزارش‌گیری کمتری نسبت به WSUS در اختیار دارند.

5. هزینه و نگهداری

• WSUS: WSUS نیاز به یک سرور فیزیکی یا مجازی برای نگهداری دارد و نیازمند پیکربندی و نگهداری دقیق است. علاوه بر این، شما باید منابع کافی برای ذخیره‌سازی به‌روزرسانی‌ها فراهم کنید.
• Windows Update for Business: این سیستم به‌طور خودکار و از طریق اینترنت از سرورهای مایکروسافت به‌روزرسانی‌ها را دریافت می‌کند، بنابراین نیازی به نگهداری سخت‌افزاری ندارد و هزینه‌های کمتری برای نگهداری و پیکربندی دارد.

جمع‌بندی

WSUS و Windows Update for Business هر دو ابزارهایی برای مدیریت به‌روزرسانی‌ها هستند، اما انتخاب بین این دو بستگی به نیازهای خاص سازمان شما دارد. اگر شما نیاز به کنترل دقیق و سفارشی‌سازی فرآیند به‌روزرسانی‌ها دارید و می‌خواهید به‌روزرسانی‌ها را بر اساس گروه‌های خاص مدیریت کنید، WSUS انتخاب مناسبی است. از سوی دیگر، اگر به‌روزرسانی‌ها باید به‌طور خودکار در مقیاس وسیع‌تری انجام شوند و منابع کمتری برای پیکربندی و نگهداری در اختیار دارید، Windows Update for Business گزینه بهتری خواهد بود.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”WSUS در مقابل Microsoft Endpoint Manager (SCCM)” subtitle=”توضیحات کامل”]در مقایسه بین WSUS و Microsoft Endpoint Manager (که در گذشته به‌عنوان System Center Configuration Manager یا SCCM شناخته می‌شد)، هرکدام ابزارهای قدرتمندی برای مدیریت به‌روزرسانی‌ها و پیکربندی سیستم‌ها هستند، اما ویژگی‌ها و قابلیت‌های متفاوتی دارند که در انتخاب ابزار مناسب برای سازمان تأثیرگذار است. در این بخش، تفاوت‌های کلیدی این دو سیستم را بررسی خواهیم کرد.

1. مدیریت به‌روزرسانی‌ها

• WSUS: هدف اصلی WSUS مدیریت به‌روزرسانی‌های سیستم‌های ویندوز در سطح سازمان است. این سیستم به مدیران این امکان را می‌دهد که به‌روزرسانی‌ها را در یک سرور مرکزی دانلود کرده و سپس آن‌ها را به سیستم‌های مختلف ارسال کنند. این ابزار برای شبکه‌های کوچک تا متوسط با نیاز به مدیریت به‌روزرسانی‌های ویندوز مناسب است.دستور کامندی برای مدیریت به‌روزرسانی‌ها در WSUS:

  Invoke-WsusServerCleanup
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و عملیات پاک‌سازی WSUS را اجرا می‌کند.

• Microsoft Endpoint Manager (SCCM): SCCM علاوه بر مدیریت به‌روزرسانی‌ها، امکانات بیشتری برای مدیریت نرم‌افزار، پیکربندی سیستم‌ها و امنیت فراهم می‌کند. SCCM به مدیران این امکان را می‌دهد که سیستم‌های مختلف را به‌طور متمرکز پیکربندی کنند، نرم‌افزار نصب کنند، و از به‌روزرسانی‌ها نیز به‌طور دقیق و سفارشی استفاده کنند.دستور کامندی برای به‌روزرسانی در SCCM:

  Get-CMSoftwareUpdate | Install-CMSoftwareUpdate
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های نرم‌افزاری را نصب می‌کند.

2. مقیاس و مقایسه محیط‌ها

• WSUS: معمولاً برای سازمان‌هایی با اندازه متوسط یا کوچک که نیاز به مدیریت به‌روزرسانی‌های ویندوز دارند، مناسب است. در این سیستم، مدیران می‌توانند به‌روزرسانی‌ها را بر اساس گروه‌های مختلف سیستم‌ها تقسیم‌بندی کنند و از آن‌ها برای به‌روزرسانی استفاده کنند.
• Microsoft Endpoint Manager (SCCM): برای سازمان‌های بزرگ و پیچیده‌تر طراحی شده است. این سیستم نه تنها به‌روزرسانی‌ها بلکه نصب نرم‌افزار، پیکربندی سیستم‌ها، نظارت بر عملکرد، امنیت و موارد دیگر را نیز مدیریت می‌کند. به همین دلیل، SCCM برای محیط‌های پیچیده و با مقیاس بزرگ بسیار مناسب‌تر است.

3. مدیریت و پیکربندی سیستم‌ها

• WSUS: تنظیمات و پیکربندی‌ها در WSUS از طریق گرافیک مدیریتی و دستورات PowerShell انجام می‌شود. این ابزار به شما این امکان را می‌دهد که از طریق یک کنسول مدیریتی به‌روزرسانی‌ها را برای گروه‌های خاصی از سیستم‌ها ارسال کنید.دستور کامندی برای پیکربندی WSUS:

  Set-WsusServerSynchronization -SyncSchedule "Daily"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و زمان‌بندی همگام‌سازی WSUS را تنظیم می‌کند.

• Microsoft Endpoint Manager (SCCM): SCCM همچنین امکان پیکربندی پیچیده‌تر و دقیق‌تر سیستم‌ها را در مقیاس وسیع فراهم می‌کند. شما می‌توانید تنظیمات مختلف، از جمله سیاست‌های امنیتی و گروه‌های به‌روزرسانی نرم‌افزار، را از طریق کنسول مدیریتی SCCM پیاده‌سازی کنید.دستور کامندی برای پیکربندی در SCCM:

  Set-CMClientSetting -Name "SoftwareUpdate"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و تنظیمات به‌روزرسانی نرم‌افزاری را در SCCM تنظیم می‌کند.

4. هزینه و نگهداری

• WSUS: به‌طور کلی WSUS ابزار کم‌هزینه‌ای است که نیاز به سخت‌افزار و منابع کمتری نسبت به SCCM دارد. این سیستم برای سازمان‌هایی که نیاز به مدیریت ساده‌تری دارند و تعداد سیستم‌های کمتری را مدیریت می‌کنند، گزینه مناسبی است.
• Microsoft Endpoint Manager (SCCM): SCCM به دلیل ویژگی‌ها و قابلیت‌های گسترده‌ای که ارائه می‌دهد، هزینه بیشتری دارد و نیازمند منابع بیشتری برای نصب و نگهداری است. این سیستم برای سازمان‌هایی با نیازهای پیچیده و شبکه‌های وسیع طراحی شده است.

5. گزارش‌دهی و نظارت

• WSUS: WSUS گزارش‌های اساسی در مورد به‌روزرسانی‌ها، وضعیت نصب و خطاهای موجود تولید می‌کند. این گزارش‌ها می‌توانند از طریق کنسول مدیریتی یا PowerShell مشاهده شوند.دستور کامندی برای گزارش‌گیری در WSUS:

  Get-WsusUpdate | Select-Object Title, Status | Export-Csv "C:\WSUS\Reports\UpdatesStatus.csv"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و وضعیت به‌روزرسانی‌ها را در قالب CSV ذخیره می‌کند.

• Microsoft Endpoint Manager (SCCM): SCCM قابلیت گزارش‌دهی پیشرفته‌تری دارد که شامل جزئیات دقیق‌تری از وضعیت نصب نرم‌افزار، به‌روزرسانی‌ها، و پیکربندی سیستم‌ها است.دستور کامندی برای گزارش‌گیری در SCCM:

  Get-CMSoftwareUpdateStatus | Export-Csv "C:\SCCM\Reports\UpdateStatus.csv"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و وضعیت به‌روزرسانی‌ها را در قالب CSV ذخیره می‌کند.

جمع‌بندی

WSUS و Microsoft Endpoint Manager (SCCM) هر دو ابزارهایی عالی برای مدیریت به‌روزرسانی‌ها و پیکربندی سیستم‌ها هستند، اما تفاوت‌هایی در مقیاس، قابلیت‌ها و پیچیدگی‌های مدیریتی دارند. WSUS به‌عنوان یک ابزار کم‌هزینه‌تر و ساده‌تر برای سازمان‌های کوچک تا متوسط مناسب است، در حالی که SCCM برای سازمان‌های بزرگ و پیچیده‌تر با نیازهای گسترده‌تر طراحی شده است. انتخاب بین این دو ابزار بستگی به نیازهای سازمان، مقیاس شبکه، و منابع موجود دارد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مقایسه WSUS با ابزارهای شخص ثالث مدیریت به‌روزرسانی” subtitle=”توضیحات کامل”]WSUS یکی از ابزارهای شناخته‌شده برای مدیریت به‌روزرسانی‌ها در شبکه‌های سازمانی است. با این حال، ابزارهای شخص ثالث مدیریت به‌روزرسانی می‌توانند ویژگی‌ها و امکانات متفاوتی را ارائه دهند. در این بخش، تفاوت‌های اصلی بین WSUS و ابزارهای شخص ثالث مانند SolarWinds Patch Manager، ManageEngine Patch Manager Plus و سایر نرم‌افزارهای مشابه بررسی می‌شود.

1. ویژگی‌های مدیریت به‌روزرسانی

• WSUS: WSUS به مدیران این امکان را می‌دهد که به‌روزرسانی‌ها را از سرور مایکروسافت دانلود کرده و آن‌ها را به دستگاه‌های مختلف در شبکه ارسال کنند. این ابزار از ویژگی‌های پایه مانند زمان‌بندی به‌روزرسانی‌ها و گروه‌بندی دستگاه‌ها پشتیبانی می‌کند.دستور کامندی برای مدیریت به‌روزرسانی‌ها در WSUS:

  Set-WsusServerSynchronization -SyncSchedule "Weekly"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و زمان‌بندی همگام‌سازی WSUS را تنظیم می‌کند.

• ابزارهای شخص ثالث: این ابزارها امکانات پیشرفته‌تری نسبت به WSUS دارند. بسیاری از این ابزارها به شما اجازه می‌دهند که به‌روزرسانی‌ها را نه تنها برای ویندوز، بلکه برای دیگر نرم‌افزارهای جانبی و برنامه‌های موجود در سیستم‌ها نیز مدیریت کنید. برای مثال، ابزارهایی مانند SolarWinds Patch Manager و ManageEngine Patch Manager Plus قابلیت مدیریت به‌روزرسانی‌های برنامه‌های شخص ثالث را نیز دارند.دستور کامندی برای به‌روزرسانی در SolarWinds Patch Manager:

  Update-SolarWindsPatchManager -Action Install
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌ها را از طریق SolarWinds Patch Manager نصب می‌کند.

2. گزارش‌دهی و تجزیه و تحلیل

• WSUS: WSUS گزارش‌دهی‌هایی برای مشاهده وضعیت به‌روزرسانی‌ها فراهم می‌کند. این گزارش‌ها ساده هستند و به‌طور معمول شامل اطلاعاتی از قبیل تعداد دستگاه‌هایی که به‌روزرسانی‌ها را دریافت کرده‌اند یا مشکلات در نصب به‌روزرسانی‌ها هستند.دستور کامندی برای گزارش‌گیری در WSUS:

  Get-WsusUpdate | Select-Object Title, Status | Export-Csv "C:\WSUS\Reports\UpdatesStatus.csv"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و وضعیت به‌روزرسانی‌ها را در قالب CSV ذخیره می‌کند.

• ابزارهای شخص ثالث: ابزارهای شخص ثالث معمولاً گزارش‌های دقیق‌تری را ارائه می‌دهند که شامل اطلاعات پیشرفته‌تری از قبیل تجزیه و تحلیل ریسک‌ها، هشدارهای امنیتی و جزئیات بیشتر درباره پیکربندی‌های به‌روزرسانی‌ها هستند. به‌عنوان مثال، در SolarWinds Patch Manager، شما می‌توانید از گزارش‌های پیشرفته برای تجزیه و تحلیل عملکرد سیستم‌ها و وضعیت به‌روزرسانی‌ها استفاده کنید.دستور کامندی برای گزارش‌گیری در SolarWinds Patch Manager:

  Get-SolarWindsPatchStatus | Export-Csv "C:\SolarWinds\Reports\PatchStatus.csv"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و وضعیت به‌روزرسانی‌ها را در قالب CSV ذخیره می‌کند.

3. پیکربندی و سفارشی‌سازی

• WSUS: WSUS بیشتر برای سازمان‌های کوچک تا متوسط مناسب است و پیکربندی و سفارشی‌سازی آن محدودتر از ابزارهای شخص ثالث است. شما می‌توانید پیکربندی‌های مختلف مانند زمان‌بندی به‌روزرسانی‌ها و گروه‌بندی دستگاه‌ها را از طریق کنسول WSUS انجام دهید.دستور کامندی برای پیکربندی WSUS:

  Set-WsusServerSynchronization -SyncSchedule "Daily"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و زمان‌بندی همگام‌سازی WSUS را تنظیم می‌کند.

• ابزارهای شخص ثالث: ابزارهایی مانند SolarWinds Patch Manager و ManageEngine Patch Manager Plus امکانات بیشتری برای سفارشی‌سازی دارند. شما می‌توانید به‌روزرسانی‌ها را برای نرم‌افزارهای خاص، دستگاه‌ها یا گروه‌های مختلف با تنظیمات پیچیده‌تر اعمال کنید و سیاست‌های به‌روزرسانی را مطابق با نیازهای دقیق سازمان تنظیم کنید.دستور کامندی برای سفارشی‌سازی به‌روزرسانی در SolarWinds Patch Manager:

  Set-SolarWindsUpdatePolicy -Policy "Custom"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و سیاست‌های سفارشی به‌روزرسانی را در SolarWinds Patch Manager تنظیم می‌کند.

4. هزینه و نگهداری

• WSUS: به‌عنوان یک ابزار رایگان، WSUS هزینه‌ای برای خرید ندارد. با این حال، نیاز به منابع و نگهداری دارد، خصوصاً در شبکه‌های بزرگ‌تر. WSUS به‌طور کلی برای سازمان‌های کوچک و متوسط که نیاز به مدیریت به‌روزرسانی‌های ویندوز دارند مناسب است.
• ابزارهای شخص ثالث: این ابزارها معمولاً هزینه‌ای دارند، اما ویژگی‌های پیشرفته‌تر و قابلیت‌های سفارشی‌سازی را در اختیار مدیران قرار می‌دهند. این ابزارها برای سازمان‌های بزرگ و پیچیده‌تر با نیازهای خاص مانند مدیریت به‌روزرسانی‌های نرم‌افزارهای شخص ثالث یا تحلیل دقیق‌تر وضعیت به‌روزرسانی‌ها مناسب‌تر هستند.

5. پشتیبانی از سیستم‌های عامل مختلف

• WSUS: WSUS به‌طور خاص برای ویندوز طراحی شده است و فقط به‌روزرسانی‌های ویندوز را مدیریت می‌کند. به همین دلیل، نمی‌توان از آن برای مدیریت به‌روزرسانی‌های نرم‌افزارهای دیگر سیستم‌عامل‌ها استفاده کرد.
• ابزارهای شخص ثالث: بسیاری از ابزارهای شخص ثالث، مانند SolarWinds Patch Manager، قابلیت مدیریت به‌روزرسانی‌های نرم‌افزارهای شخص ثالث و حتی سیستم‌عامل‌های مختلف مانند لینوکس و macOS را نیز دارند.دستور کامندی برای به‌روزرسانی نرم‌افزارهای شخص ثالث در SolarWinds Patch Manager:

  Update-SolarWindsPatchManager -ThirdPartyUpdates
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های نرم‌افزارهای شخص ثالث را از طریق SolarWinds Patch Manager نصب می‌کند.

جمع‌بندی

در نهایت، انتخاب بین WSUS و ابزارهای شخص ثالث مدیریت به‌روزرسانی بستگی به نیازهای سازمان دارد. WSUS گزینه‌ای رایگان و ساده برای مدیریت به‌روزرسانی‌های ویندوز در شبکه‌های کوچک تا متوسط است، در حالی که ابزارهای شخص ثالث امکانات پیشرفته‌تری برای مدیریت به‌روزرسانی‌های نرم‌افزارهای مختلف و ارائه گزارش‌های دقیق‌تر دارند. ابزارهای شخص ثالث برای سازمان‌های بزرگ و پیچیده‌تر با نیاز به سفارشی‌سازی و مدیریت دقیق‌تر مناسب‌تر هستند، اما هزینه‌بر خواهند بود.[/cdb_course_lesson][cdb_course_lesson title=”فصل 4. ویژگی‌های جدید WSUS در ویندوز سرور 2025″][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی ویژگی‌های جدید WSUS در ویندوز سرور 2025″ subtitle=”توضیحات کامل”]ویندوز سرور 2025 با معرفی ویژگی‌های جدید و بهبودهای مختلف، WSUS را به ابزاری قدرتمندتر برای مدیریت به‌روزرسانی‌ها تبدیل کرده است. این به‌روزرسانی‌ها نه تنها فرآیندهای مدیریتی و امنیتی را بهبود داده، بلکه امکانات جدیدی برای پشتیبانی از محیط‌های هیبریدی و سیستم‌های لینوکسی ارائه کرده است. در این بخش به ویژگی‌های جدید WSUS در ویندوز سرور 2025 پرداخته می‌شود.

1. بهبودهای مدیریتی و امنیتی

• مدیریت بهینه‌تر: در WSUS ویندوز سرور 2025، فرآیندهای مدیریتی بهبود یافته‌اند. مدیران سیستم قادرند به‌راحتی به تنظیمات پیچیده‌تر دسترسی پیدا کنند و مدیریت به‌روزرسانی‌ها را به‌صورت مؤثرتری انجام دهند. یکی از ویژگی‌های جدید، گرافیک و رابط کاربری بهبود یافته برای نظارت و مدیریت است.دستور کامندی برای تنظیمات مدیریتی در WSUS:

  Set-WsusServerSyncTime -SyncTime "03:00"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و زمان همگام‌سازی WSUS را به ساعت 3:00 صبح تنظیم می‌کند.

• افزایش امنیت: WSUS در ویندوز سرور 2025 ویژگی‌های امنیتی به‌روزتری ارائه داده است که شامل پروتکل‌های بهینه‌سازی‌شده برای ارتباطات شبکه‌ای و ابزارهای جدید برای جلوگیری از نفوذ و دسترسی غیرمجاز به سرورهای WSUS است.

2. تغییرات در نحوه مدیریت Synchronization

• مدیریت خودکار همگام‌سازی: در ویندوز سرور 2025، فرآیند همگام‌سازی WSUS خودکارتر شده است. به‌ویژه، امکان همگام‌سازی خودکار به‌صورت زمان‌بندی‌شده و یا همگام‌سازی بر اساس نیاز، به‌صورت پیشرفته‌تر در این نسخه موجود است.دستور کامندی برای مدیریت همگام‌سازی:

  Set-WsusServerSynchronization -SyncSchedule "Daily"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و تنظیمات همگام‌سازی را به‌صورت روزانه برای WSUS تنظیم می‌کند.

3. بهینه‌سازی فرآیند تأیید و توزیع به‌روزرسانی‌ها

• مدیریت سریع‌تر به‌روزرسانی‌ها: فرآیند تأیید و توزیع به‌روزرسانی‌ها در WSUS ویندوز سرور 2025 به‌طور چشمگیری سریع‌تر شده است. با بهینه‌سازی‌های جدید، مدیران می‌توانند به‌راحتی به‌روزرسانی‌ها را تأیید کرده و در مدت زمان کمتری آن‌ها را به شبکه‌های گسترده ارسال کنند.دستور کامندی برای تأیید به‌روزرسانی‌ها:

  Approve-WsusUpdate -UpdateID <UpdateID> -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌ها را برای نصب تأیید می‌کند.

4. پشتیبانی از Hybrid Environments و کلاینت‌های لینوکسی

• پشتیبانی از محیط‌های هیبریدی: یکی از ویژگی‌های جدید WSUS در ویندوز سرور 2025، پشتیبانی از محیط‌های هیبریدی است. این به این معناست که WSUS قادر است به‌طور همزمان به‌روزرسانی‌ها را برای سیستم‌های موجود در دیتاسنترها و همچنین دستگاه‌های موجود در فضای ابری مدیریت کند.دستور کامندی برای پیکربندی محیط هیبریدی:

  Set-WsusHybridMode -EnableHybrid "True"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و محیط هیبریدی را در WSUS فعال می‌کند.

• پشتیبانی از کلاینت‌های لینوکسی: یکی دیگر از ویژگی‌های جالب WSUS در ویندوز سرور 2025، پشتیبانی از سیستم‌های لینوکسی است. این امکان به مدیران شبکه این اجازه را می‌دهد که به‌روزرسانی‌ها را برای سیستم‌عامل‌های لینوکس نیز از طریق WSUS مدیریت کنند.دستور کامندی برای پیکربندی به‌روزرسانی‌های لینوکس:

  Set-WsusLinuxSupport -EnableLinuxUpdates "True"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و پشتیبانی از به‌روزرسانی‌های لینوکس را در WSUS فعال می‌کند.

جمع‌بندی

ویندوز سرور 2025 با ارائه ویژگی‌های جدید در WSUS، این ابزار را به یک گزینه بسیار قدرتمندتر برای مدیریت به‌روزرسانی‌ها تبدیل کرده است. بهبودهای مدیریتی و امنیتی، تغییرات در نحوه مدیریت همگام‌سازی، بهینه‌سازی فرآیند تأیید و توزیع به‌روزرسانی‌ها و پشتیبانی از محیط‌های هیبریدی و سیستم‌های لینوکسی، از جمله مهم‌ترین تغییرات این نسخه هستند. با استفاده از این ویژگی‌ها، مدیران شبکه می‌توانند به‌روزرسانی‌ها را به‌طور مؤثرتری در شبکه‌های پیچیده و گسترده مدیریت کنند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 5. مفاهیم پایه در مدیریت به‌روزرسانی‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”انواع به‌روزرسانی‌ها در مایکروسافت” subtitle=”توضیحات کامل”]مایکروسافت انواع مختلفی از به‌روزرسانی‌ها را برای سیستم‌عامل‌های خود ارائه می‌دهد که هرکدام هدف خاصی را دنبال می‌کنند و به‌طور متفاوتی بر عملکرد، امنیت و ویژگی‌های سیستم تاثیر می‌گذارند. در این بخش، انواع به‌روزرسانی‌ها که در WSUS قابل مدیریت هستند، معرفی می‌شود.

1. Critical Updates

• توضیح: به‌روزرسانی‌های بحرانی (Critical Updates) به‌منظور رفع مشکلات جدی در سیستم‌ها منتشر می‌شوند که می‌توانند بر امنیت و عملکرد سیستم تاثیر منفی بگذارند. این به‌روزرسانی‌ها باید به‌سرعت اعمال شوند تا سیستم‌ها از خطرات احتمالی محافظت شوند.دستور کامندی برای اعمال به‌روزرسانی‌های بحرانی:

  Get-WsusUpdate -Classification "Critical Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های بحرانی را برای نصب تأیید می‌کند.

2. Security Updates

• توضیح: به‌روزرسانی‌های امنیتی (Security Updates) به‌منظور رفع آسیب‌پذیری‌های شناخته شده در سیستم و جلوگیری از حملات سایبری منتشر می‌شوند. این به‌روزرسانی‌ها برای اطمینان از امنیت سیستم‌ها حیاتی هستند.دستور کامندی برای اعمال به‌روزرسانی‌های امنیتی:

  Get-WsusUpdate -Classification "Security Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های امنیتی را برای نصب تأیید می‌کند.

3. Feature Updates

• توضیح: به‌روزرسانی‌های ویژگی (Feature Updates) به‌منظور اضافه کردن ویژگی‌ها و قابلیت‌های جدید به سیستم‌عامل منتشر می‌شوند. این به‌روزرسانی‌ها معمولاً برای بهبود عملکرد و تجربه کاربری طراحی شده‌اند.دستور کامندی برای اعمال به‌روزرسانی‌های ویژگی:

  Get-WsusUpdate -Classification "Feature Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های ویژگی را برای نصب تأیید می‌کند.

4. Cumulative Updates

• توضیح: به‌روزرسانی‌های تجمعی (Cumulative Updates) به‌صورت بسته‌های به‌روزرسانی برای رفع مشکلات و بهبود عملکرد ارائه می‌شوند. این به‌روزرسانی‌ها شامل تمامی به‌روزرسانی‌های قبلی هستند که به‌طور جمعی برای نصب در یک بسته منتشر می‌شوند.دستور کامندی برای اعمال به‌روزرسانی‌های تجمعی:

  Get-WsusUpdate -Classification "Cumulative Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های تجمعی را برای نصب تأیید می‌کند.

5. Definition Updates

• توضیح: به‌روزرسانی‌های تعریفی (Definition Updates) معمولاً برای نرم‌افزارهای امنیتی مانند آنتی‌ویروس‌ها و دیگر ابزارهای شناسایی تهدیدات منتشر می‌شوند. این به‌روزرسانی‌ها شامل داده‌های جدیدی هستند که به نرم‌افزار امنیتی کمک می‌کنند تا تهدیدات جدید را شناسایی کند.دستور کامندی برای اعمال به‌روزرسانی‌های تعریفی:

  Get-WsusUpdate -Classification "Definition Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های تعریفی را برای نصب تأیید می‌کند.

جمع‌بندی

انواع مختلف به‌روزرسانی‌ها در WSUS شامل به‌روزرسانی‌های بحرانی، امنیتی، ویژگی، تجمعی و تعریفی هستند. هر یک از این به‌روزرسانی‌ها به‌طور خاص برای ارتقاء عملکرد، امنیت و قابلیت‌های سیستم‌ها طراحی شده‌اند. مدیران شبکه باید این به‌روزرسانی‌ها را به‌صورت مؤثر مدیریت کنند تا سیستم‌ها همواره به‌روز و ایمن باقی بمانند. با استفاده از دستورات PowerShell می‌توان این به‌روزرسانی‌ها را به راحتی در WSUS تأیید و نصب کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تفاوت بین انواع به‌روزرسانی‌ها و نحوه اعمال آن‌ها” subtitle=”توضیحات کامل”]در WSUS، انواع مختلف به‌روزرسانی‌ها وجود دارند که هرکدام هدف خاصی را دنبال می‌کنند. در این بخش، تفاوت‌های اصلی بین این انواع به‌روزرسانی‌ها و نحوه اعمال آن‌ها از طریق WSUS بررسی می‌شود.

1. Critical Updates

• تفاوت: به‌روزرسانی‌های بحرانی (Critical Updates) معمولاً برای رفع مشکلات بزرگ و تهدیدات امنیتی فوری منتشر می‌شوند. این به‌روزرسانی‌ها باید به‌سرعت نصب شوند تا سیستم‌ها از آسیب‌پذیری‌های امنیتی جلوگیری کنند.
• نحوه اعمال: برای تأیید به‌روزرسانی‌های بحرانی می‌توان از دستور زیر در PowerShell استفاده کرد:

  Get-WsusUpdate -Classification "Critical Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های بحرانی را برای نصب تأیید می‌کند.

2. Security Updates

• تفاوت: به‌روزرسانی‌های امنیتی (Security Updates) معمولاً برای رفع آسیب‌پذیری‌های شناخته شده منتشر می‌شوند. این به‌روزرسانی‌ها برای حفاظت از سیستم‌ها در برابر تهدیدات امنیتی طراحی شده‌اند.
• نحوه اعمال: برای تأیید به‌روزرسانی‌های امنیتی می‌توان از دستور زیر استفاده کرد:

  Get-WsusUpdate -Classification "Security Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های امنیتی را برای نصب تأیید می‌کند.

3. Feature Updates

• تفاوت: به‌روزرسانی‌های ویژگی (Feature Updates) به‌منظور اضافه کردن ویژگی‌ها و قابلیت‌های جدید به سیستم منتشر می‌شوند. این به‌روزرسانی‌ها بیشتر به‌منظور ارتقاء تجربه کاربری طراحی شده‌اند.
• نحوه اعمال: برای تأیید به‌روزرسانی‌های ویژگی می‌توان از دستور زیر استفاده کرد:

  Get-WsusUpdate -Classification "Feature Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های ویژگی را برای نصب تأیید می‌کند.

4. Cumulative Updates

• تفاوت: به‌روزرسانی‌های تجمعی (Cumulative Updates) شامل مجموعه‌ای از به‌روزرسانی‌ها هستند که برای رفع مشکلات مختلف و بهبود عملکرد منتشر می‌شوند. این به‌روزرسانی‌ها معمولاً شامل تمامی به‌روزرسانی‌های قبلی نیز می‌باشند.
• نحوه اعمال: برای تأیید به‌روزرسانی‌های تجمعی می‌توان از دستور زیر استفاده کرد:

  Get-WsusUpdate -Classification "Cumulative Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های تجمعی را برای نصب تأیید می‌کند.

5. Definition Updates

• تفاوت: به‌روزرسانی‌های تعریفی (Definition Updates) معمولاً برای نرم‌افزارهای امنیتی مانند آنتی‌ویروس‌ها منتشر می‌شوند تا آن‌ها بتوانند تهدیدات جدید را شناسایی کنند.
• نحوه اعمال: برای تأیید به‌روزرسانی‌های تعریفی می‌توان از دستور زیر استفاده کرد:

  Get-WsusUpdate -Classification "Definition Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌های تعریفی را برای نصب تأیید می‌کند.

جمع‌بندی

تفاوت‌های اصلی بین انواع به‌روزرسانی‌ها شامل بحرانی، امنیتی، ویژگی، تجمعی و تعریفی است. هرکدام از این به‌روزرسانی‌ها برای هدف خاصی طراحی شده‌اند و می‌توانند به‌طور مؤثر از طریق WSUS مدیریت شوند. دستورات PowerShell برای تأیید و نصب این به‌روزرسانی‌ها کاربردی هستند و به مدیران شبکه این امکان را می‌دهند که به‌راحتی و با سرعت سیستم‌ها را به‌روز نگه دارند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”چرخه عمر به‌روزرسانی‌های ویندوز و سیاست‌های Microsoft” subtitle=”توضیحات کامل”]چرخه عمر به‌روزرسانی‌های ویندوز برای حفظ امنیت و عملکرد بهینه سیستم‌ها حیاتی است. Microsoft سیاست‌های خاصی برای مدیریت به‌روزرسانی‌ها دارد که از نظر زمان‌بندی، اولویت و انواع به‌روزرسانی‌ها تقسیم‌بندی شده است. این سیاست‌ها به‌طور مستقیم بر نحوه اعمال به‌روزرسانی‌ها در WSUS و سایر ابزارهای مدیریت تأثیر می‌گذارند.

1. چرخه عمر به‌روزرسانی‌ها

• انتشار به‌روزرسانی‌ها: به‌روزرسانی‌های ویندوز از طریق کانال‌های مختلف منتشر می‌شوند. این به‌روزرسانی‌ها معمولاً به صورت ماهانه در Patch Tuesday (دوشنبه اول هر ماه) به‌روزرسانی‌های امنیتی و به‌روزرسانی‌های جمعی منتشر می‌شوند.
• نوع به‌روزرسانی‌ها: به‌روزرسانی‌ها می‌توانند امنیتی، ویژگی، تجمعی، یا اصلاحات کوچک باشند. WSUS اجازه می‌دهد تا این به‌روزرسانی‌ها به‌طور خاص برای سیستم‌ها انتخاب و تأیید شوند.

2. سیاست‌های Microsoft برای به‌روزرسانی‌ها

• پشتیبانی از به‌روزرسانی‌های بلندمدت (LTS): برخی از نسخه‌های ویندوز، مانند Windows Server، تحت پشتیبانی بلندمدت قرار دارند. این نسخه‌ها در چرخه‌های به‌روزرسانی طولانی‌تر نگهداری می‌شوند و تنها به‌روزرسانی‌های حیاتی دریافت می‌کنند.
• پشتیبانی از به‌روزرسانی‌های معمولی: نسخه‌های جدیدتر ویندوز، از جمله نسخه‌های ۱۰ و ۱۱، به‌روزرسانی‌های ویژگی و امنیتی را به‌طور مرتب دریافت می‌کنند.
• پایان پشتیبانی: هر نسخه ویندوز دارای تاریخ پایان پشتیبانی است که پس از آن دیگر به‌روزرسانی‌ها دریافت نخواهد کرد. سیاست Microsoft این است که کاربران را به‌روزرسانی به نسخه‌های جدیدتر تشویق کند.

3. نحوه مدیریت به‌روزرسانی‌ها در WSUS

• تنظیمات زمان‌بندی: مدیران شبکه می‌توانند زمان‌بندی خاصی برای نصب به‌روزرسانی‌ها تعیین کنند. این امر می‌تواند به‌ویژه برای کاهش تاثیر به‌روزرسانی‌ها در زمان‌های شلوغی مفید باشد.
• فرایند تأیید به‌روزرسانی‌ها: مدیران شبکه می‌توانند هر نوع به‌روزرسانی را که می‌خواهند در شبکه خود اعمال کنند، تأیید کنند. در WSUS، این کار از طریق PowerShell یا رابط گرافیکی انجام می‌شود. برای تأیید به‌روزرسانی‌ها از دستور زیر می‌توان استفاده کرد:

  Get-WsusUpdate -Classification "All Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌ها را برای نصب تأیید می‌کند.

4. مدیریت نسخه‌ها و به‌روزرسانی‌های آینده

• انتخاب نوع به‌روزرسانی: WSUS این امکان را می‌دهد که مدیران سیستم‌ها نوع به‌روزرسانی‌ها را که باید از سرورهای WSUS دریافت کنند، مشخص کنند. این می‌تواند شامل به‌روزرسانی‌های امنیتی، ویژگی‌ها یا تجمعی باشد.
• به‌روزرسانی از طریق کانال‌های مختلف: Microsoft به کاربران این امکان را می‌دهد که به‌روزرسانی‌ها را از طریق WSUS، Windows Update یا Microsoft Endpoint Manager دریافت کنند.

جمع‌بندی

چرخه عمر به‌روزرسانی‌های ویندوز به‌طور مستمر از طریق سیاست‌های Microsoft هدایت می‌شود و شامل به‌روزرسانی‌های امنیتی، ویژگی‌ها، تجمعی و اصلاحی می‌شود. مدیران شبکه می‌توانند از WSUS برای مدیریت این به‌روزرسانی‌ها با تنظیمات زمان‌بندی، تأیید و مدیریت انتخابی استفاده کنند. این فرایند برای اطمینان از امنیت و عملکرد بهینه سیستم‌ها حیاتی است و باید با دقت پیگیری شود تا از تداخل و مشکلات احتمالی جلوگیری گردد.[/cdb_course_lesson][cdb_course_lesson title=”فصل 6. ساختار و معماری WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”اجزای اصلی WSUS و نحوه تعامل آن‌ها” subtitle=”توضیحات کامل”]WSUS یک سیستم جامع برای مدیریت به‌روزرسانی‌ها در شبکه‌های سازمانی است. این ابزار اجزای مختلفی دارد که برای بهینه‌سازی فرآیند به‌روزرسانی‌ها به‌طور مؤثر با یکدیگر تعامل می‌کنند. در این بخش، به بررسی اجزای اصلی WSUS و نحوه تعامل آن‌ها می‌پردازیم.

1. سرور WSUS

• وظیفه: سرور WSUS مرکز اصلی برای دریافت، ذخیره و توزیع به‌روزرسانی‌ها به کلاینت‌ها در شبکه است. سرور به‌روزرسانی‌ها را از Microsoft Update دریافت کرده و آن‌ها را به سیستم‌های شبکه ارسال می‌کند.
• پیکربندی: برای نصب و راه‌اندازی سرور WSUS، ابتدا باید به مسیر نصب آن پرداخته شود:

  Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
  

  مسیر نصب فایل‌ها در پیش‌فرض‌ها معمولاً در C:\Program Files\Update Services قرار می‌گیرد.

2. کلاینت‌های WSUS

• وظیفه: کلاینت‌ها، دستگاه‌هایی هستند که از WSUS به‌روزرسانی‌ها را دریافت می‌کنند. این دستگاه‌ها شامل کامپیوترهای کاربران، سرورها، و سایر دستگاه‌های مبتنی بر ویندوز می‌باشند.
• پیکربندی: تنظیمات سرور WSUS در کلاینت‌ها از طریق Group Policy یا Local Group Policy انجام می‌شود. برای اعمال تنظیمات از Group Policy Management استفاده می‌کنیم:
  1. تنظیم آدرس سرور WSUS در GPO:

     Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer -Value "http://<WSUS-Server-Name>"
     

  2. تنظیم پورت برای WSUS:

     Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Name WUStatusServer -Value "http://<WSUS-Server-Name>:8530"
     

3. WSUS Database

• وظیفه: WSUS از یک پایگاه داده برای ذخیره‌سازی اطلاعات مربوط به به‌روزرسانی‌ها، وضعیت کلاینت‌ها، و گزارش‌های مربوط به هر سیستم استفاده می‌کند. معمولاً از SQL Server برای این پایگاه داده استفاده می‌شود.
• پیکربندی: به‌طور معمول، هنگام نصب WSUS، یک پایگاه داده SQL محلی برای آن ایجاد می‌شود. برای مشاهده وضعیت پایگاه داده از دستور زیر می‌توان استفاده کرد:

  Get-WsusDatabaseInfo
  

4. مدیریت به‌روزرسانی‌ها

• وظیفه: WSUS به مدیران این امکان را می‌دهد که به‌روزرسانی‌ها را بارگیری کرده، تأیید کنند و آن‌ها را به کلاینت‌ها ارسال کنند. این فرآیند می‌تواند به صورت خودکار یا دستی انجام شود.
• پیکربندی: برای تأیید به‌روزرسانی‌ها از دستور PowerShell زیر می‌توان استفاده کرد:

  Get-WsusUpdate -Classification "Security Updates" | Approve-WsusUpdate -Approval "Install"
  

  مسیر فایل: این دستور در PowerShell وارد می‌شود و به‌روزرسانی‌ها را برای نصب تأیید می‌کند.

5. گزارش‌دهی WSUS

• وظیفه: WSUS شامل قابلیت‌های گزارش‌دهی است که به مدیران این امکان را می‌دهد تا وضعیت به‌روزرسانی‌ها را بررسی کنند، از جمله سیستم‌هایی که به‌روزرسانی‌ها را دریافت کرده‌اند یا نه.
• پیکربندی: برای مشاهده گزارش‌ها می‌توان از دستور PowerShell زیر استفاده کرد:

  Get-WsusComputer | Select-Object -Property ComputerName, LastSyncResult
  

جمع‌بندی

WSUS از اجزای مختلفی مانند سرور، کلاینت‌ها، پایگاه داده، سیستم مدیریت به‌روزرسانی‌ها و گزارش‌دهی تشکیل شده است. این اجزا به‌طور مؤثر با یکدیگر تعامل دارند تا فرآیند به‌روزرسانی‌ها در شبکه را به صورت منظم و کارآمد مدیریت کنند. با پیکربندی صحیح این اجزا، می‌توان به‌روزرسانی‌ها را به‌طور خودکار یا دستی تأیید کرده و سیستم‌ها را به‌روز نگه داشت.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”Upstream و Downstream Servers” subtitle=”توضیحات کامل”]در WSUS، ارتباطات بین سرورها به صورت سلسله‌مراتبی سازماندهی می‌شود. این سرورها به دو دسته اصلی تقسیم می‌شوند: Upstream و Downstream. در این بخش، به بررسی این دو نوع سرور و نحوه تعامل آن‌ها می‌پردازیم.

1. Upstream Server

• وظیفه: سرور Upstream به عنوان مرکز اصلی دریافت به‌روزرسانی‌ها از مایکروسافت عمل می‌کند. این سرور به‌روزرسانی‌ها را از Microsoft Update دریافت کرده و سپس آن‌ها را به سرورهای Downstream یا کلاینت‌ها ارسال می‌کند.
• پیکربندی: برای تنظیم سرور WSUS به عنوان Upstream، باید به تنظیمات سرور WSUS وارد شوید و URL سرور اصلی (Microsoft Update) را پیکربندی کنید. این کار معمولاً هنگام نصب سرور WSUS انجام می‌شود. برای تنظیم این پیکربندی به‌صورت کامندی از دستور زیر استفاده می‌کنیم:

  Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles
  

  مسیر فایل: این دستور به صورت پیش‌فرض در مسیر C:\Program Files\Update Services\Tools اجرا می‌شود.

2. Downstream Server

• وظیفه: سرور Downstream به‌روزرسانی‌ها را از سرورهای Upstream دریافت کرده و آن‌ها را به کلاینت‌ها توزیع می‌کند. این سرورها می‌توانند در مکان‌های مختلف سازمان مستقر شوند و به سرورهای Upstream متصل باشند.
• پیکربندی: برای تنظیم یک سرور WSUS به عنوان Downstream، باید در ابتدا به سرور Upstream متصل شوید. در این حالت، سرور Downstream به‌طور خودکار به‌روزرسانی‌ها را از سرور اصلی دریافت می‌کند. دستور زیر برای پیکربندی این سرور به‌عنوان یک سرور Downstream استفاده می‌شود:

  Set-WsusServerSynchronization -Server <Upstream-Server-Name> -UseSSL $true
  

  مسیر فایل: این دستور باید در PowerShell بر روی سرور Downstream وارد شود.

3. ارتباط بین Upstream و Downstream Servers

• وظیفه: ارتباط بین سرورهای Upstream و Downstream به‌صورت خودکار برقرار می‌شود. سرور Downstream پس از دریافت به‌روزرسانی‌ها از سرور Upstream، آن‌ها را در اختیار کلاینت‌ها قرار می‌دهد.
• پیکربندی: برای اطمینان از همگام‌سازی درست بین سرورهای Upstream و Downstream، از دستور زیر برای همگام‌سازی استفاده می‌کنیم:

  Start-WsusServerSynchronization
  

  این دستور باعث می‌شود که سرور Downstream با سرور Upstream همگام شود و به‌روزرسانی‌های جدید را دریافت کند.

جمع‌بندی

Upstream و Downstream سرورها بخش‌های اساسی در زیرساخت WSUS هستند که مسئول دریافت و توزیع به‌روزرسانی‌ها در شبکه هستند. سرور Upstream به‌روزرسانی‌ها را از مایکروسافت دریافت کرده و آن‌ها را به سرورهای Downstream انتقال می‌دهد. سرورهای Downstream نیز این به‌روزرسانی‌ها را به کلاینت‌ها توزیع می‌کنند. پیکربندی صحیح این سرورها باعث می‌شود که به‌روزرسانی‌ها به‌طور کارآمد و به‌موقع به تمامی دستگاه‌ها ارسال شوند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”WSUS Database (WID vs SQL Server)” subtitle=”توضیحات کامل”]یکی از مهم‌ترین تصمیماتی که هنگام راه‌اندازی WSUS باید گرفت، انتخاب نوع پایگاه داده است. WSUS برای ذخیره اطلاعات مربوط به به‌روزرسانی‌ها و تنظیمات از یکی از دو گزینه زیر استفاده می‌کند:

• Windows Internal Database (WID)
• SQL Server

1. Windows Internal Database (WID)

WID یک پایگاه داده داخلی است که همراه با WSUS نصب می‌شود و نیازی به مدیریت جداگانه ندارد. این گزینه برای محیط‌های کوچک و متوسط مناسب است.

ویژگی‌های WID:
✔ رایگان و به‌صورت پیش‌فرض همراه WSUS نصب می‌شود.
✔ نیاز به مدیریت جداگانه ندارد.
✔ عملکرد مناسبی برای تعداد کلاینت‌های کم دارد (زیر 5000 کلاینت).
✔ فقط روی همان سرور WSUS قابل‌دسترسی است و امکان مدیریت از راه دور را ندارد.

2. SQL Server

SQL Server یک پایگاه داده قدرتمند است که می‌تواند برای محیط‌های بزرگ استفاده شود. این گزینه مناسب سازمان‌هایی است که به مدیریت پیشرفته پایگاه داده نیاز دارند.

ویژگی‌های SQL Server:
✔ مناسب برای محیط‌های با تعداد کلاینت بالا (بیش از 5000 کلاینت).
✔ پشتیبانی از مدیریت راه دور و امکان استفاده از چندین سرور WSUS متصل به یک پایگاه داده.
✔ عملکرد بهتری در مقایسه با WID دارد، مخصوصاً در سازمان‌های بزرگ.
✔ نیاز به لایسنس SQL Server دارد که هزینه‌بر است.

مقایسه WID و SQL Server

ویژگی	WID	SQL Server
نصب و راه‌اندازی	ساده و خودکار	نیاز به نصب و پیکربندی جداگانه
مدیریت پایگاه داده	داخلی، نیاز به مدیریت خاص ندارد	امکان مدیریت و بهینه‌سازی
حداکثر کلاینت پیشنهادی	کمتر از 5000	بیشتر از 5000
پشتیبانی از مدیریت از راه دور	خیر	بله
هزینه	رایگان	نیاز به لایسنس

جمع‌بندی

• برای سازمان‌های کوچک و متوسط (کمتر از 5000 کلاینت) WID گزینه مناسبی است.
• برای سازمان‌های بزرگ (بیش از 5000 کلاینت) SQL Server پیشنهاد می‌شود.
• اگر به مدیریت راه دور نیاز دارید، باید از SQL Server استفاده کنید.
• اگر هزینه لایسنس مهم نیست و نیاز به کارایی بالا دارید، SQL Server گزینه بهتری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”Content Repository و نحوه ذخیره‌سازی به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]در WSUS، به‌روزرسانی‌ها در یک مخزن (Content Repository) ذخیره می‌شوند. این مخزن مکانی است که تمام فایل‌های مربوط به به‌روزرسانی‌ها از جمله پچ‌ها، اصلاحات امنیتی و دیگر بسته‌های به‌روزرسانی به صورت فیزیکی ذخیره می‌شود تا کلاینت‌ها بتوانند آن‌ها را از سرور WSUS دریافت کنند.

1. ساختار Content Repository

• مخزن محتوای WSUS معمولاً در یک پوشه خاص در سرور قرار می‌گیرد. مسیر پیش‌فرض این پوشه به صورت زیر است:

  C:\WSUS\Content
  

• در این پوشه، فایل‌های مربوط به به‌روزرسانی‌ها به صورت دسته‌بندی شده و با نام‌هایی خاص ذخیره می‌شوند که برای WSUS قابل شناسایی هستند.
• ساختار پوشه‌های موجود در این دایرکتوری به گونه‌ای است که فایل‌ها به صورت هش شده ذخیره می‌شوند و این امر کمک می‌کند تا از ذخیره‌سازی داده‌های تکراری جلوگیری شود.

2. نحوه ذخیره‌سازی به‌روزرسانی‌ها

• WSUS از تکنیک‌هایی مانند فشرده‌سازی و بهینه‌سازی ذخیره‌سازی استفاده می‌کند تا فضای دیسک مصرفی را کاهش دهد.
• به‌روزرسانی‌ها به صورت فایل‌هایی با پسوند خاص (معمولاً .cab) در پوشه‌های محتوا ذخیره می‌شوند.
• این فایل‌ها پس از دانلود از مایکروسافت به WSUS، در این مخزن قرار می‌گیرند و پس از آن، کلاینت‌ها می‌توانند به آن‌ها دسترسی پیدا کنند.

3. پیکربندی و تغییر مسیر Content Repository

در صورتی که نیاز به تغییر مسیر ذخیره‌سازی این فایل‌ها داشته باشید، می‌توانید آن را از طریق تنظیمات WSUS تغییر دهید. برای این منظور، باید از دستور wsusutil استفاده کنید. به عنوان مثال، برای تغییر مسیر مخزن به یک درایو دیگر، دستور زیر را اجرا می‌کنید:

wsusutil movecontent <new_path_to_content_folder>

برای مثال:

wsusutil movecontent D:\WSUS_Content

مسیر فایل: در این دستور، <new_path_to_content_folder> باید مسیر جدیدی باشد که می‌خواهید فایل‌ها در آن ذخیره شوند.

4. دسترسی به Content Repository از طریق WSUS

• پس از تنظیمات مخزن، WSUS به طور خودکار به مسیر جدید اشاره خواهد کرد و به‌روزرسانی‌ها را در آن ذخیره می‌کند.
• برای بررسی وضعیت ذخیره‌سازی به‌روزرسانی‌ها، می‌توانید از کنسول WSUS استفاده کرده و در بخش Updates وضعیت ذخیره‌سازی و دانلود به‌روزرسانی‌ها را مشاهده کنید.

5. حذف به‌روزرسانی‌های قدیمی

WSUS به طور خودکار به‌روزرسانی‌های قدیمی را پاک نمی‌کند، اما شما می‌توانید از ابزارهای مدیریتی مانند WSUS Cleanup Wizard برای پاکسازی به‌روزرسانی‌های قدیمی و بهینه‌سازی فضای دیسک استفاده کنید. این کار می‌تواند به آزادسازی فضای دیسک و حفظ عملکرد سیستم کمک کند.

برای استفاده از WSUS Cleanup Wizard، می‌توانید دستور زیر را در کنسول WSUS اجرا کنید:

wsusutil cleanup

جمع‌بندی

مخزن محتوا (Content Repository) در WSUS مکانی است که تمام به‌روزرسانی‌ها به صورت فیزیکی ذخیره می‌شوند. این فایل‌ها معمولاً در مسیر پیش‌فرض C:\WSUS\Content قرار دارند و می‌توان مسیر آن‌ها را از طریق ابزار wsusutil تغییر داد. برای بهینه‌سازی فضای دیسک و مدیریت به‌روزرسانی‌های قدیمی، می‌توان از ابزار WSUS Cleanup Wizard استفاده کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نقش Windows Update Agent (WUA) در کلاینت‌ها” subtitle=”توضیحات کامل”]Windows Update Agent (WUA) نرم‌افزاری است که روی کلاینت‌های ویندوز نصب می‌شود و وظیفه دریافت، شناسایی، نصب و مدیریت به‌روزرسانی‌های ویندوز از WSUS را بر عهده دارد. این عامل کلاینت به‌عنوان یک واسط بین سرور WSUS و سیستم‌های کلاینت عمل می‌کند.

1. وظایف WUA در فرآیند به‌روزرسانی

• درخواست به‌روزرسانی‌ها از WSUS: WUA به‌طور منظم با سرور WSUS ارتباط برقرار کرده و بررسی می‌کند که آیا به‌روزرسانی‌های جدیدی برای نصب وجود دارد یا خیر.
• دانلود به‌روزرسانی‌ها: پس از شناسایی به‌روزرسانی‌ها، WUA به کلاینت دستور می‌دهد تا به‌روزرسانی‌ها را از سرور WSUS دانلود کند.
• نصب به‌روزرسانی‌ها: پس از دانلود، WUA نصب به‌روزرسانی‌ها را آغاز کرده و سیستم را به‌روزرسانی می‌کند.
• گزارش وضعیت به‌روزرسانی‌ها: WUA گزارش‌هایی در مورد وضعیت به‌روزرسانی‌ها به WSUS ارسال می‌کند تا مدیران سیستم بتوانند عملکرد به‌روزرسانی‌ها را نظارت کنند.

2. پیکربندی WUA برای ارتباط با WSUS

برای پیکربندی WUA به منظور ارتباط با سرور WSUS، تنظیمات مختلفی را می‌توان اعمال کرد. این تنظیمات معمولاً از طریق ویرایش رجیستری یا Group Policy انجام می‌شوند.

تنظیم از طریق Group Policy:

1. مسیر Group Policy:

   Computer Configuration > Administrative Templates > Windows Components > Windows Update
   

2. در این قسمت، گزینه‌های مختلفی برای پیکربندی WSUS وجود دارد:
   • Specify Intranet Microsoft Update Service Location: در این تنظیم، آدرس سرور WSUS مشخص می‌شود.
   • Set the date and time to install updates: این تنظیم زمان دقیق نصب به‌روزرسانی‌ها را تعیین می‌کند.

برای مثال، برای پیکربندی WSUS با استفاده از Group Policy، باید این مراحل را دنبال کنید:

1. Group Policy Object (GPO) جدیدی ایجاد کنید.
2. وارد تنظیمات Windows Update شوید و گزینه Specify Intranet Microsoft Update Service Location را فعال کنید.
3. آدرس سرور WSUS را وارد کنید:

   http://<your_wsus_server>:8530
   

پیکربندی از طریق رجیستری: برای تنظیم دستی آدرس سرور WSUS در رجیستری، می‌توانید از دستورات زیر استفاده کنید:

1. وارد رجیستری ویندوز شوید:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   

2. تنظیمات زیر را اضافه کنید:
   • WUServer: آدرس سرور WSUS
   • WUStatusServer: آدرس سرور برای ارسال گزارش وضعیت به‌روزرسانی‌ها

به عنوان مثال، دستور زیر را در خط فرمان برای تنظیم آدرس سرور WSUS اجرا کنید:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUServer /t REG_SZ /d "http://<your_wsus_server>:8530" /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d "http://<your_wsus_server>:8530" /f

3. نظارت بر وضعیت WUA

شما می‌توانید وضعیت به‌روزرسانی‌های نصب شده را از طریق ابزارهای مختلفی مانند Windows Update Log یا ابزار خط فرمان wuauclt بررسی کنید.

برای بررسی وضعیت به‌روزرسانی‌ها از طریق wuauclt، دستور زیر را اجرا کنید:

wuauclt /detectnow

این دستور باعث می‌شود تا WUA فوراً با سرور WSUS ارتباط برقرار کرده و به‌روزرسانی‌ها را بررسی کند.

برای مشاهده گزارشات به‌روزرسانی‌ها از Windows Update Log، می‌توانید به پوشه زیر بروید:

C:\Windows\WindowsUpdate.log

4. رفع مشکلات WUA

در صورتی که WUA به درستی کار نکند، مشکلات مختلفی مانند عدم توانایی در اتصال به سرور WSUS یا نصب نشدن به‌روزرسانی‌ها می‌تواند ایجاد شود. برای رفع این مشکلات می‌توانید مراحل زیر را دنبال کنید:

• اجرای Troubleshooter: در ویندوز، ابزار عیب‌یابی به‌روزرسانی‌ها وجود دارد که می‌تواند مشکلات WUA را شناسایی و رفع کند. برای اجرا، وارد تنظیمات Troubleshooting شوید و گزینه Windows Update را انتخاب کنید.
• بازنشانی تنظیمات WUA: برای بازنشانی تنظیمات WUA و حل مشکلات ارتباطی، می‌توانید از دستور wuauclt استفاده کنید:

  wuauclt /resetauthorization /detectnow
  

جمع‌بندی

Windows Update Agent (WUA) نرم‌افزاری است که نقش حیاتی در مدیریت به‌روزرسانی‌ها در کلاینت‌های ویندوز دارد. این نرم‌افزار به سرور WSUS متصل می‌شود تا به‌روزرسانی‌ها را شناسایی، دانلود و نصب کند. پیکربندی WUA می‌تواند از طریق Group Policy یا رجیستری انجام شود و شما می‌توانید وضعیت به‌روزرسانی‌ها را از طریق ابزارهای مختلف نظارت کنید.

 [/cdb_course_lesson][cdb_course_lesson title=”فصل 7. بررسی مدل‌های مختلف پیاده‌سازی WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”Standalone WSUS (مدیریت به‌روزرسانی‌ها در یک سرور واحد)” subtitle=”توضیحات کامل”]Standalone WSUS به‌منظور مدیریت به‌روزرسانی‌ها در یک سرور واحد به‌کار می‌رود و این نوع پیکربندی بیشتر در محیط‌هایی استفاده می‌شود که نیازی به مدیریت پیچیده شبکه‌های بزرگ و چندگانه نیست. در این پیکربندی، یک سرور WSUS به‌تنهایی وظیفه دریافت، ذخیره‌سازی و ارائه به‌روزرسانی‌ها به کلاینت‌های ویندوزی را انجام می‌دهد.

1. نصب Standalone WSUS

برای نصب WSUS به‌طور مستقل، می‌توان از دستورات PowerShell یا رابط گرافیکی استفاده کرد. در ادامه، نحوه نصب WSUS از طریق PowerShell و رابط گرافیکی شرح داده می‌شود:

نصب از طریق PowerShell:

1. ابتدا PowerShell را با دسترسی ادمین باز کنید.
2. دستور زیر را برای نصب WSUS وارد کنید:

   Install-WindowsFeature -Name UpdateServices -IncludeManagementTools
   

3. این دستور بسته WSUS را به‌همراه ابزارهای مدیریتی نصب می‌کند.

نصب از طریق رابط گرافیکی:

1. به Server Manager بروید.
2. از منوی Add roles and features گزینه Windows Server Update Services را انتخاب کنید.
3. فرآیند نصب را دنبال کرده و در نهایت نصب را کامل کنید.

2. پیکربندی Standalone WSUS

پس از نصب WSUS، باید تنظیمات اولیه برای پیکربندی سرور انجام شود تا به‌روزرسانی‌ها به درستی برای کلاینت‌ها توزیع شوند. این تنظیمات را می‌توان از طریق WSUS Administration Console یا از طریق PowerShell انجام داد.

تنظیم از طریق WSUS Administration Console:

1. WSUS Administration Console را باز کنید.
2. در قسمت Options، تنظیمات مختلفی از جمله پیکربندی آدرس سرور، تنظیمات دانلود و زمان‌بندی به‌روزرسانی‌ها وجود دارد.
3. گزینه‌های زیر را می‌توان تنظیم کرد:
   • Update Source and Proxy Server: آدرس سرورهای اصلی و پروکسی برای دانلود به‌روزرسانی‌ها.
   • Synchronization Schedule: زمان‌بندی همگام‌سازی با سرورهای مایکروسافت برای دریافت به‌روزرسانی‌ها.
   • Approve Updates: مشخص کردن اینکه کدام به‌روزرسانی‌ها باید برای نصب در اختیار کلاینت‌ها قرار بگیرند.

تنظیم از طریق PowerShell: برای تنظیم آدرس سرور WSUS، می‌توانید از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$wsus.Configuration.SetSynchronizationProxy("http://<your_proxy_server>:<port>")

این دستور آدرس سرور پروکسی را برای دانلود به‌روزرسانی‌ها تنظیم می‌کند.

3. همگام‌سازی WSUS با Microsoft Update

برای دریافت به‌روزرسانی‌ها از سرورهای مایکروسافت، باید فرآیند همگام‌سازی را پیکربندی کنید. این همگام‌سازی می‌تواند به‌صورت دستی یا خودکار انجام شود.

همگام‌سازی از طریق WSUS Administration Console:

1. در WSUS Console به بخش Synchronization بروید.
2. گزینه Synchronize Now را برای انجام همگام‌سازی فوری انتخاب کنید.
3. برای تنظیم همگام‌سازی خودکار، گزینه Automatic Synchronization را فعال کنید و زمان‌بندی مناسبی انتخاب کنید.

همگام‌سازی از طریق PowerShell: برای همگام‌سازی WSUS با Microsoft Update از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$wsus.StartSynchronization()

4. توزیع به‌روزرسانی‌ها به کلاینت‌ها

بعد از همگام‌سازی WSUS با Microsoft Update و دریافت به‌روزرسانی‌ها، می‌توانید به‌روزرسانی‌ها را به کلاینت‌ها توزیع کنید. توزیع به‌روزرسانی‌ها می‌تواند به‌طور خودکار یا به‌صورت دستی انجام شود.

توزیع خودکار به‌روزرسانی‌ها: در WSUS Console، شما می‌توانید پیکربندی کنید که به‌روزرسانی‌ها به‌طور خودکار تأسیس شوند یا اینکه نیاز به تأیید مدیر داشته باشند. این فرآیند از طریق گزینه Approve Updates در قسمت Updates انجام می‌شود.

توزیع دستی به‌روزرسانی‌ها: برای تأیید به‌روزرسانی‌ها به‌صورت دستی، می‌توانید به WSUS Console بروید و به‌روزرسانی‌ها را از طریق گزینه Approve تایید کنید.

توزیع به‌روزرسانی‌ها از طریق PowerShell: برای تأیید به‌روزرسانی‌ها با استفاده از PowerShell، می‌توانید از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$update = Get-WsusUpdate -Approval Unapproved
Approve-WsusUpdate -Update $update -Action Install

این دستور به‌روزرسانی‌هایی که هنوز تایید نشده‌اند را برای نصب تأیید می‌کند.

5. نظارت و گزارش‌گیری در WSUS

WSUS به شما این امکان را می‌دهد که وضعیت به‌روزرسانی‌ها را نظارت کنید و گزارش‌هایی در مورد موفقیت یا شکست نصب به‌روزرسانی‌ها دریافت کنید. شما می‌توانید گزارشات مختلفی از قبیل Update Status، Computer Status و Synchronization Reports را مشاهده کنید.

گزارش از طریق WSUS Administration Console:

1. به بخش Reports در WSUS Console بروید.
2. نوع گزارشی که می‌خواهید مشاهده کنید را انتخاب کنید. به‌عنوان مثال، می‌توانید گزارش‌هایی از وضعیت به‌روزرسانی‌ها یا وضعیت کلاینت‌ها دریافت کنید.

گزارش از طریق PowerShell: برای مشاهده وضعیت به‌روزرسانی‌ها از PowerShell می‌توانید دستور زیر را اجرا کنید:

Get-WsusUpdate | Where-Object {$_.ApprovalStatus -eq 'Approved'} | Select-Object Title,ApprovalStatus

جمع‌بندی

Standalone WSUS یک راه‌حل ساده برای مدیریت به‌روزرسانی‌ها در یک سرور واحد است. در این پیکربندی، سرور WSUS به‌طور مستقل به‌روزرسانی‌ها را از Microsoft Update دریافت کرده و آن‌ها را به کلاینت‌های ویندوزی توزیع می‌کند. نصب، پیکربندی و همگام‌سازی WSUS می‌تواند از طریق PowerShell یا رابط گرافیکی انجام شود و به‌روزرسانی‌ها می‌توانند به‌طور خودکار یا دستی تأسیس شوند. همچنین، امکان نظارت و گزارش‌گیری از وضعیت به‌روزرسانی‌ها نیز فراهم است.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”Distributed WSUS (پیاده‌سازی در چندین سایت با سرورهای وابسته)” subtitle=”توضیحات کامل”]در محیط‌های توزیع‌شده که دارای چندین سایت یا دفتر هستند، پیاده‌سازی Distributed WSUS یک روش بهینه برای کاهش پهنای باند اینترنت و افزایش سرعت دریافت و توزیع به‌روزرسانی‌ها محسوب می‌شود. در این مدل، یک سرور WSUS به‌عنوان Upstream Server و سایر سرورها به‌عنوان Downstream Servers پیکربندی می‌شوند. سرورهای وابسته (Downstream) به‌روزرسانی‌ها را از سرور اصلی دریافت کرده و آن‌ها را برای کلاینت‌های محلی توزیع می‌کنند.

1. انواع پیکربندی در Distributed WSUS

Distributed WSUS می‌تواند به دو روش زیر پیکربندی شود:

• Replica Mode: در این حالت، سرورهای Downstream تنها می‌توانند به‌روزرسانی‌ها را از سرور Upstream دریافت کنند و مدیریت به‌روزرسانی‌ها کاملاً توسط سرور Upstream انجام می‌شود.
• Autonomous Mode: در این حالت، سرورهای Downstream علاوه بر دریافت به‌روزرسانی‌ها از Upstream Server، می‌توانند تنظیمات و تأیید به‌روزرسانی‌ها را به‌طور مستقل انجام دهند.

2. نصب و پیکربندی Upstream WSUS

ابتدا سرور Upstream را نصب و پیکربندی می‌کنیم تا بتواند به‌روزرسانی‌ها را از Microsoft Update دریافت کرده و آن‌ها را برای سرورهای وابسته ارسال کند.

نصب WSUS در Upstream Server

از طریق PowerShell:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

پس از نصب، باید Post-Installation را اجرا کنیم:

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall CONTENT_DIR=C:\WSUS

در این دستور، مسیر ذخیره‌سازی به‌روزرسانی‌ها روی درایو C:\WSUS تنظیم شده است.

تنظیمات سرور Upstream

بعد از نصب، باید تنظیمات WSUS را انجام دهیم تا بتواند به‌روزرسانی‌ها را دریافت کند:

$wsus = Get-WsusServer
$wsus.Configuration.SyncFromMicrosoftUpdate = $true
$wsus.Save()

با این دستور، WSUS پیکربندی می‌شود تا به‌روزرسانی‌ها را مستقیماً از Microsoft Update دریافت کند.

3. نصب و پیکربندی Downstream WSUS

اکنون سرورهای وابسته (Downstream) را نصب و تنظیم می‌کنیم.

نصب WSUS در Downstream Server

همانند Upstream، ابتدا باید WSUS را روی سرور وابسته نصب کنیم:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

و سپس Post-Installation را انجام دهیم:

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall CONTENT_DIR=C:\WSUS

تنظیم سرور وابسته برای دریافت به‌روزرسانی از Upstream

بعد از نصب، باید سرور WSUS وابسته را طوری تنظیم کنیم که به‌روزرسانی‌ها را از سرور اصلی دریافت کند:

$wsus = Get-WsusServer
$wsus.Configuration.SyncFromMicrosoftUpdate = $false
$wsus.Configuration.SyncFromAnotherWsusServer = $true
$wsus.Configuration.SyncFromServerName = "WSUS-Upstream-Server"
$wsus.Configuration.UpstreamServerPortNumber = 8530
$wsus.Save()

در اینجا، “WSUS-Upstream-Server” باید با نام یا آدرس IP سرور اصلی جایگزین شود. همچنین، پورت پیش‌فرض WSUS 8530 است که در صورت تغییر، باید مقدار صحیح جایگزین شود.

تنظیم Replica Mode یا Autonomous Mode

برای تنظیم حالت Replica:

$wsus.Configuration.IsReplicaServer = $true
$wsus.Save()

برای تنظیم حالت Autonomous:

$wsus.Configuration.IsReplicaServer = $false
$wsus.Save()

4. همگام‌سازی سرورهای Downstream با Upstream

برای اطمینان از اینکه سرورهای Downstream با Upstream همگام هستند، می‌توانیم از دستور زیر استفاده کنیم:

$wsus = Get-WsusServer
$wsus.StartSynchronization()

برای بررسی وضعیت همگام‌سازی:

Get-WsusServer | Select-Object Name, Version, SynchronizationStatus

5. مدیریت تأیید به‌روزرسانی‌ها در Downstream

در حالت Replica Mode، تمامی به‌روزرسانی‌ها باید روی Upstream Server تأیید شوند:

$update = Get-WsusUpdate -Approval Unapproved
Approve-WsusUpdate -Update $update -Action Install

اما در حالت Autonomous Mode، می‌توان به‌روزرسانی‌ها را مستقیماً روی Downstream Server تأیید کرد:

$wsus = Get-WsusServer
$update = Get-WsusUpdate -Approval Unapproved
Approve-WsusUpdate -Update $update -Action Install

6. نظارت و گزارش‌گیری در Distributed WSUS

برای نظارت بر به‌روزرسانی‌ها در سرورهای Downstream:

Get-WsusUpdate | Where-Object {$_.ApprovalStatus -eq 'Approved'} | Select-Object Title, ApprovalStatus

برای بررسی وضعیت همگام‌سازی:

Get-WsusServer | Select-Object Name, SynchronizationStatus

جمع‌بندی

Distributed WSUS یک راهکار بهینه برای مدیریت به‌روزرسانی‌ها در چندین سایت است. در این مدل، سرور Upstream مستقیماً به‌روزرسانی‌ها را از Microsoft Update دریافت می‌کند و آن‌ها را به سرورهای وابسته (Downstream) ارسال می‌کند. Downstream Servers می‌توانند در دو حالت Replica (تحت کنترل کامل Upstream) یا Autonomous (استقلال در مدیریت به‌روزرسانی‌ها) تنظیم شوند. با استفاده از PowerShell می‌توان نصب، پیکربندی، همگام‌سازی و نظارت بر WSUS را به‌راحتی انجام داد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”Replica WSUS (مدیریت متمرکز با سرورهای WSUS زیرمجموعه)” subtitle=”توضیحات کامل”]Replica WSUS یکی از مدل‌های پیاده‌سازی در محیط‌های سازمانی است که در آن چندین سرور WSUS وجود دارد، اما مدیریت به‌روزرسانی‌ها فقط از طریق سرور مرکزی (Upstream WSUS) انجام می‌شود. سرورهای زیرمجموعه (Replica WSUS) تنظیمات، تأییدیه‌ها و به‌روزرسانی‌های خود را از سرور مرکزی دریافت کرده و به‌صورت کاملاً هماهنگ و وابسته عمل می‌کنند.

1. ویژگی‌های Replica WSUS

• مدیریت مرکزی به‌روزرسانی‌ها تنها از طریق Upstream WSUS انجام می‌شود.
• تمام تأییدیه‌های به‌روزرسانی و سیاست‌های گروهی (GPO) از Upstream به Replica ها منتقل می‌شود.
• سرورهای Replica نمی‌توانند تأییدیه‌های مستقل داشته باشند.
• استفاده از این مدل برای کنترل متمرکز به‌روزرسانی‌ها در سازمان‌هایی با چندین دفتر یا دیتاسنتر توصیه می‌شود.

2. نصب و پیکربندی Upstream WSUS

سرور مرکزی WSUS (Upstream) باید برای دریافت مستقیم به‌روزرسانی‌ها از Microsoft Update پیکربندی شود.

نصب WSUS در Upstream Server

ابتدا نقش WSUS را روی سرور مرکزی نصب می‌کنیم:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

سپس Post-Installation را اجرا می‌کنیم:

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall CONTENT_DIR=C:\WSUS

در این دستور، مسیر C:\WSUS به‌عنوان محل ذخیره‌سازی به‌روزرسانی‌ها تعیین شده است.

پیکربندی سرور Upstream

پس از نصب، باید مشخص کنیم که این سرور به‌روزرسانی‌ها را مستقیماً از Microsoft دریافت کند:

$wsus = Get-WsusServer
$wsus.Configuration.SyncFromMicrosoftUpdate = $true
$wsus.Save()

3. نصب و پیکربندی Replica WSUS

سرورهای Replica نیز مانند Upstream WSUS نصب می‌شوند اما به‌جای دریافت مستقیم از Microsoft، باید به سرور مرکزی متصل شوند.

نصب WSUS در Replica Server

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

و سپس Post-Installation:

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall CONTENT_DIR=C:\WSUS

تنظیم Replica Mode برای سرور زیرمجموعه

اکنون سرور Replica را تنظیم می‌کنیم تا فقط از Upstream WSUS به‌روزرسانی دریافت کند:

$wsus = Get-WsusServer
$wsus.Configuration.SyncFromMicrosoftUpdate = $false
$wsus.Configuration.SyncFromAnotherWsusServer = $true
$wsus.Configuration.SyncFromServerName = "WSUS-Upstream-Server"
$wsus.Configuration.UpstreamServerPortNumber = 8530
$wsus.Configuration.IsReplicaServer = $true
$wsus.Save()

در اینجا، “WSUS-Upstream-Server” باید با نام یا آدرس IP سرور مرکزی جایگزین شود.

4. همگام‌سازی Replica WSUS با Upstream

برای اطمینان از اینکه سرور Replica داده‌های به‌روزرسانی را از Upstream WSUS دریافت می‌کند، می‌توانیم همگام‌سازی را اجرا کنیم:

$wsus = Get-WsusServer
$wsus.StartSynchronization()

بررسی وضعیت همگام‌سازی:

Get-WsusServer | Select-Object Name, Version, SynchronizationStatus

5. مدیریت و تأیید به‌روزرسانی‌ها

در Replica Mode، تأییدیه‌های به‌روزرسانی فقط از Upstream WSUS انجام می‌شود:

$update = Get-WsusUpdate -Approval Unapproved
Approve-WsusUpdate -Update $update -Action Install

برای اطمینان از اینکه یک Replica تمام به‌روزرسانی‌های تأیید شده را دریافت کرده است:

Get-WsusUpdate | Where-Object {$_.ApprovalStatus -eq 'Approved'} | Select-Object Title, ApprovalStatus

6. مانیتورینگ و بررسی ارتباط بین سرورهای WSUS

برای اطمینان از ارتباط بین Upstream و Replica، از دستورات زیر استفاده کنید:

Get-WsusServer | Select-Object Name, Version, SynchronizationStatus

برای مشاهده تمام کلاینت‌هایی که از یک Replica WSUS به‌روزرسانی دریافت می‌کنند:

Get-WsusComputer -UpdateServer $wsus | Select-Object FullDomainName, LastSyncTime

جمع‌بندی

Replica WSUS یک مدل کارآمد برای مدیریت متمرکز به‌روزرسانی‌ها در شبکه‌های بزرگ سازمانی است. در این مدل، تمام سیاست‌های به‌روزرسانی، تأییدیه‌ها و تنظیمات از طریق Upstream WSUS مدیریت می‌شوند و سرورهای Replica فقط دریافت‌کننده و توزیع‌کننده به‌روزرسانی‌ها هستند. برای پیاده‌سازی موفق، ابتدا باید Upstream WSUS را پیکربندی کرده و سپس Replica WSUS را به آن متصل کنیم. استفاده از PowerShell برای پیکربندی، همگام‌سازی و نظارت بر سرورها، مدیریت را ساده‌تر و دقیق‌تر می‌کند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”WSUS در محیط‌های Cloud-Hybrid” subtitle=”توضیحات کامل”]Cloud-Hybrid WSUS یکی از مدل‌های پیاده‌سازی است که به سازمان‌ها این امکان را می‌دهد تا مدیریت به‌روزرسانی‌ها را بین سرورهای On-Premises و سرویس‌های ابری مانند Microsoft Azure ترکیب کنند. این مدل مناسب محیط‌هایی است که برخی از کلاینت‌ها در محل سازمان و برخی دیگر در Cloud هستند و نیاز به مدیریت یکپارچه به‌روزرسانی‌ها دارند.

1. ویژگی‌های WSUS در محیط Cloud-Hybrid

• ترکیب WSUS محلی (On-Premises) و سرویس‌های ابری برای مدیریت به‌روزرسانی‌ها.
• امکان استفاده از Microsoft Update به‌صورت مستقیم یا از طریق Azure Update Management.
• کاهش پهنای باند اینترنتی سازمان از طریق WSUS داخلی.
• مدیریت و نظارت یکپارچه از طریق Azure Monitor و Log Analytics.

2. سناریوهای پیاده‌سازی Cloud-Hybrid WSUS

1. WSUS On-Premises + کلاینت‌های Cloud: WSUS در شبکه داخلی مستقر است و کلاینت‌های Azure از آن به‌روزرسانی دریافت می‌کنند.
2. WSUS + Microsoft Update + Azure Update Management: ترکیب WSUS داخلی و مدیریت به‌روزرسانی‌های کلاینت‌های ابری از طریق Azure.
3. WSUS در Azure VM: سرور WSUS به‌صورت مجازی روی Azure اجرا می‌شود و هم کلاینت‌های On-Premises و هم Azure را پشتیبانی می‌کند.

3. نصب و پیکربندی WSUS در محیط Cloud-Hybrid

نصب WSUS در سرور On-Premises

ابتدا نقش WSUS را روی سرور داخلی نصب می‌کنیم:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

سپس Post-Installation را اجرا می‌کنیم:

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall CONTENT_DIR=C:\WSUS

تنظیم WSUS برای کلاینت‌های Cloud

در محیط Cloud-Hybrid، کلاینت‌های خارج از شبکه داخلی باید بتوانند به WSUS متصل شوند. برای این کار:

1. فعال‌سازی دسترسی از طریق اینترنت: باز کردن پورت 8530 یا 8531 برای ارتباط کلاینت‌های Azure.
2. افزودن نام دامنه عمومی به تنظیمات WSUS:

$wsus = Get-WsusServer
$wsus.Configuration.HostBinariesOnMicrosoftUpdate = $true
$wsus.Configuration.UpstreamServerName = "wsus.company.com"
$wsus.Save()

3. پیکربندی فایروال برای اجازه اتصال از اینترنت:

New-NetFirewallRule -DisplayName "Allow WSUS Clients" -Direction Inbound -Protocol TCP -LocalPort 8530,8531 -Action Allow

اتصال کلاینت‌های Cloud به WSUS

در کلاینت‌های Azure، آدرس WSUS را با Group Policy یا Registry تنظیم می‌کنیم:

New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer -Value "http://wsus.company.com:8530" -PropertyType String -Force
New-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Name WUStatusServer -Value "http://wsus.company.com:8530" -PropertyType String -Force

راه‌اندازی مجدد سرویس Windows Update:

Restart-Service wuauserv

4. پیکربندی Azure Update Management برای مدیریت WSUS

Azure Update Management را می‌توان به عنوان یک لایه مدیریتی در کنار WSUS اضافه کرد. مراحل انجام این کار:

ثبت WSUS در Azure Update Management

1. ورود به Azure PowerShell:

Connect-AzAccount

2. ثبت سرور WSUS در Log Analytics Workspace:

Set-AzVMExtension -ResourceGroupName "WSUS-RG" -VMName "WSUS-Server" -Publisher "Microsoft.Azure.Monitoring.DependencyAgent" -ExtensionType "DependencyAgentWindows" -TypeHandlerVersion "9.5"

3. بررسی وضعیت اتصال WSUS به Azure:

Get-AzVMExtension -ResourceGroupName "WSUS-RG" -VMName "WSUS-Server" | Select Name, ProvisioningState

مدیریت کلاینت‌های Azure از طریق Azure Update Management

Azure Update Management می‌تواند کلاینت‌های Cloud را مستقیماً مدیریت کند:

Set-AzAutomationSoftwareUpdateConfiguration -ResourceGroupName "Cloud-WSUS" -AutomationAccountName "UpdateAutomation" -ScheduleName "WeeklyUpdates"

این دستور به‌روزرسانی‌های هفتگی را برای کلاینت‌های Azure مدیریت می‌کند.

5. همگام‌سازی WSUS با Azure برای مدیریت به‌روزرسانی‌ها

برای اطمینان از اینکه WSUS داده‌های به‌روزرسانی را از Microsoft Update یا Azure دریافت می‌کند، می‌توانیم همگام‌سازی را اجرا کنیم:

$wsus = Get-WsusServer
$wsus.StartSynchronization()

بررسی وضعیت همگام‌سازی:

Get-WsusServer | Select-Object Name, Version, SynchronizationStatus

6. مانیتورینگ و بررسی سلامت WSUS در محیط Cloud-Hybrid

برای بررسی وضعیت ارتباط بین WSUS و Azure:

Get-AzLog -ResourceGroup "Cloud-WSUS" -StartTime (Get-Date).AddDays(-1)

برای مشاهده کلاینت‌هایی که از WSUS به‌روزرسانی دریافت کرده‌اند:

Get-WsusComputer | Select-Object FullDomainName, LastSyncTime

جمع‌بندی

WSUS در محیط‌های Cloud-Hybrid به سازمان‌ها اجازه می‌دهد تا به‌روزرسانی‌های کلاینت‌های داخلی و Cloud را به‌طور یکپارچه مدیریت کنند. این مدل امکان استفاده از Azure Update Management برای مدیریت و نظارت بهتر را فراهم کرده و پهنای باند مورد استفاده را بهینه می‌کند. برای پیاده‌سازی موفق، باید WSUS را برای ارتباط با کلاینت‌های Cloud تنظیم کرده و از Azure برای نظارت و مدیریت خودکار به‌روزرسانی‌ها استفاده کنیم.[/cdb_course_lesson][cdb_course_lesson title=”فصل 8. پیش‌نیازها و الزامات قبل از نصب WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی نیازمندی‌های سخت‌افزاری و نرم‌افزاری برای WSUS” subtitle=”توضیحات کامل”]برای راه‌اندازی WSUS، نیاز است که سخت‌افزار و نرم‌افزار مورد نیاز را در نظر بگیرید. این بخش به بررسی این نیازمندی‌ها پرداخته و تنظیمات مورد نیاز را ارائه می‌دهد.

نیازمندی‌های سخت‌افزاری

نیازمندی‌های سخت‌افزاری به تعداد کلاینت‌ها، میزان به‌روزرسانی‌ها و نوع پایگاه داده وابسته است.

تعداد کلاینت‌ها	پردازنده	رم	فضای دیسک
500 کلاینت	2 هسته	4GB	100GB
1000 کلاینت	4 هسته	8GB	200GB
5000 کلاینت	8 هسته	16GB	500GB
بیش از 10000 کلاینت	16 هسته	32GB+	1TB+

نکته: اگر از SQL Server به‌جای WID استفاده شود، حداقل 8GB رم برای عملکرد بهینه توصیه می‌شود.

نیازمندی‌های نرم‌افزاری

1. سیستم‌عامل پشتیبانی‌شده:
   • Windows Server 2022
   • Windows Server 2019
   • Windows Server 2016
2. نصب پیش‌نیازها:

قبل از نصب WSUS، باید برخی از نقش‌ها و ویژگی‌های ضروری نصب شوند که شامل سرویس‌های مرتبط با به‌روزرسانی‌ها و پایگاه داده داخلی (WID) یا SQL Server می‌شود.

نیازمندی‌های پایگاه داده

WSUS برای ذخیره داده‌های مربوط به به‌روزرسانی‌ها از یکی از دو پایگاه داده زیر استفاده می‌کند:

• Windows Internal Database (WID): پایگاه داده داخلی مخصوص Windows
• SQL Server: مناسب برای محیط‌های بزرگ

اگر از WID استفاده می‌کنید، نیازی به نصب پایگاه داده جداگانه ندارید، اما در صورت استفاده از SQL Server، باید از نسخه‌ای سازگار با ویندوز سرور خود استفاده کنید.

جمع‌بندی

• برای 500 تا 1000 کلاینت می‌توان از WID استفاده کرد.
• برای 5000 کلاینت و بیشتر، SQL Server گزینه بهتری است.
• پردازنده و رم متناسب با تعداد کلاینت‌ها باید افزایش یابد.
• فضای ذخیره‌سازی باید حداقل 500GB تا 1TB باشد.
• سیستم‌عامل باید یکی از نسخه‌های پشتیبانی‌شده Windows Server باشد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات پیشنهادی برای Active Directory و DNS” subtitle=”توضیحات کامل”]برای اجرای صحیح WSUS در یک محیط سازمانی، تنظیمات Active Directory (AD) و DNS نقش کلیدی دارند. در این بخش، نحوه پیکربندی Active Directory و DNS برای بهینه‌سازی عملکرد WSUS ارائه می‌شود.

1. تنظیمات پیشنهادی برای Active Directory

WSUS باید به‌درستی در دامین سازمانی قرار گیرد تا بتواند به کلاینت‌ها سرویس دهد و سیاست‌های گروهی (Group Policy) را اعمال کند.

بررسی عضویت سرور WSUS در دامنه

برای بررسی اینکه سرور WSUS در یک دامنه قرار دارد، از دستور زیر استفاده کنید:

(Get-WmiObject Win32_ComputerSystem).Domain

اگر خروجی مقدار “WORKGROUP” را نشان دهد، یعنی سرور هنوز به دامنه متصل نشده است.

اتصال سرور WSUS به دامنه Active Directory

در صورتی که سرور به دامنه متصل نیست، از این دستور استفاده کنید:

Add-Computer -DomainName "yourdomain.com" -Credential (Get-Credential) -Restart

توجه: نام دامنه را با مقدار صحیح جایگزین کنید.

ایجاد یک OU اختصاصی برای کلاینت‌های WSUS

برای مدیریت بهتر دستگاه‌هایی که باید به‌روزرسانی‌ها را از WSUS دریافت کنند، ایجاد یک Organizational Unit (OU) اختصاصی در AD توصیه می‌شود:

New-ADOrganizationalUnit -Name "WSUS-Clients" -Path "DC=yourdomain,DC=com"

سپس کلاینت‌های موردنظر را به این OU منتقل کنید:

Move-ADObject -Identity "CN=Client01,OU=Computers,DC=yourdomain,DC=com" -TargetPath "OU=WSUS-Clients,DC=yourdomain,DC=com"

2. تنظیمات پیشنهادی برای DNS

DNS یکی از مهم‌ترین بخش‌های زیرساخت شبکه است که تأثیر مستقیم بر عملکرد WSUS دارد. پیکربندی صحیح DNS باعث می‌شود کلاینت‌ها بدون مشکل به سرور WSUS متصل شوند.

بررسی تنظیمات DNS سرور

برای مشاهده تنظیمات فعلی DNS سرور WSUS، دستور زیر را اجرا کنید:

Get-DnsClientServerAddress -AddressFamily IPv4

اگر آدرس DNS به‌درستی پیکربندی نشده، باید مقدار آن را تنظیم کنید.

تغییر آدرس DNS سرور WSUS

اگر سرور WSUS نیاز دارد که از یک سرور DNS مشخص استفاده کند، می‌توانید آن را به‌صورت زیر تنظیم کنید:

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("192.168.1.10")

توجه: مقدار "192.168.1.10" را با آدرس سرور DNS مناسب جایگزین کنید.

ایجاد یک رکورد A برای WSUS در DNS

برای تسهیل دسترسی کلاینت‌ها به WSUS، می‌توان یک رکورد A در DNS ایجاد کرد:

Add-DnsServerResourceRecordA -Name "wsus" -ZoneName "yourdomain.com" -IPv4Address "192.168.1.50"

توجه: مقدار "192.168.1.50" را با آدرس سرور WSUS جایگزین کنید.

ایجاد یک CNAME برای WSUS

اگر می‌خواهید یک نام مستعار برای WSUS تنظیم کنید، می‌توانید از CNAME استفاده کنید:

Add-DnsServerResourceRecordCName -Name "updates" -HostNameAlias "wsus.yourdomain.com" -ZoneName "yourdomain.com"

اکنون کلاینت‌ها می‌توانند به‌جای وارد کردن آدرس IP، از نام updates.yourdomain.com برای اتصال به WSUS استفاده کنند.

بررسی وضوح نام (Name Resolution)

برای اطمینان از اینکه کلاینت‌ها می‌توانند نام WSUS را به‌درستی تشخیص دهند، دستور زیر را روی یکی از کلاینت‌ها اجرا کنید:

nslookup wsus.yourdomain.com

اگر آدرس IP صحیح نمایش داده شد، یعنی تنظیمات DNS به‌درستی انجام شده است.

جمع‌بندی

برای عملکرد صحیح WSUS، باید تنظیمات Active Directory و DNS بهینه شوند. ابتدا سرور WSUS باید عضو دامنه شود و یک OU اختصاصی برای کلاینت‌ها ایجاد شود. سپس در DNS، یک رکورد A و CNAME برای WSUS تنظیم شود تا کلاینت‌ها به‌راحتی بتوانند سرور را شناسایی کنند. با اجرای این تنظیمات، ارتباط کلاینت‌ها با WSUS بدون مشکل برقرار خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی Firewall و دسترسی‌های مورد نیاز WSUS” subtitle=”توضیحات کامل”]WSUS برای عملکرد صحیح نیاز دارد که دسترسی‌های شبکه‌ای مشخصی در فایروال ویندوز یا هر فایروال دیگری که در سازمان استفاده می‌شود، باز شود. این دسترسی‌ها شامل ارتباط سرور WSUS با کلاینت‌ها، ارتباط با سرورهای مایکروسافت و همچنین دسترسی به پایگاه‌داده WSUS می‌شود.

1. باز کردن پورت‌های موردنیاز در فایروال

WSUS برای عملکرد صحیح به پورت‌های مشخصی نیاز دارد. این پورت‌ها بر اساس نوع نصب WSUS و نقش آن در شبکه متفاوت خواهند بود.

پورت‌های پیش‌فرض WSUS

پورت	پروتکل	کاربرد
8530	HTTP	ارتباط کلاینت‌ها با WSUS (پیش‌فرض)
8531	HTTPS	ارتباط امن کلاینت‌ها با WSUS
80	HTTP	در صورتی که WSUS روی پورت پیش‌فرض IIS اجرا شود
443	HTTPS	ارتباط امن با سرورهای مایکروسافت
1433	TCP	ارتباط با SQL Server (در صورت استفاده از SQL جداگانه)
8530 و 8531	TCP	ارتباط سرورهای Replica با سرور WSUS اصلی

باز کردن پورت‌های WSUS در فایروال ویندوز

برای اطمینان از اینکه کلاینت‌ها و سایر سرورها می‌توانند به WSUS متصل شوند، دستورات زیر را اجرا کنید:

# باز کردن پورت 8530 برای ارتباط HTTP
New-NetFirewallRule -DisplayName "WSUS HTTP" -Direction Inbound -Protocol TCP -LocalPort 8530 -Action Allow

# باز کردن پورت 8531 برای ارتباط HTTPS
New-NetFirewallRule -DisplayName "WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow

# باز کردن پورت 443 برای ارتباط با سرورهای مایکروسافت
New-NetFirewallRule -DisplayName "WSUS Microsoft Update" -Direction Outbound -Protocol TCP -LocalPort 443 -Action Allow

# باز کردن پورت 1433 برای ارتباط با پایگاه داده SQL Server (در صورت استفاده)
New-NetFirewallRule -DisplayName "WSUS SQL" -Direction Inbound -Protocol TCP -LocalPort 1433 -Action Allow

2. باز کردن دسترسی‌های اینترنتی برای WSUS

WSUS باید بتواند با سرورهای مایکروسافت ارتباط برقرار کند تا به‌روزرسانی‌ها را دریافت کند. آدرس‌های زیر باید در فایروال باز باشند:

• http://windowsupdate.microsoft.com
• http://*.windowsupdate.microsoft.com
• https://*.windowsupdate.microsoft.com
• http://*.update.microsoft.com
• https://*.update.microsoft.com
• http://download.windowsupdate.com
• https://download.windowsupdate.com

برای اضافه کردن این آدرس‌ها در فایروال ویندوز، می‌توان از netsh استفاده کرد:

netsh advfirewall firewall add rule name="Allow WSUS URLs" dir=out action=allow remoteip=windowsupdate.microsoft.com,*.windowsupdate.microsoft.com,*.update.microsoft.com,download.windowsupdate.com enable=yes

3. تنظیمات فایروال برای کلاینت‌های WSUS

برای اطمینان از اینکه کلاینت‌ها می‌توانند با WSUS ارتباط برقرار کنند، دستورات زیر را روی کلاینت‌ها اجرا کنید:

# باز کردن پورت 8530 برای ارتباط با WSUS
New-NetFirewallRule -DisplayName "WSUS Client HTTP" -Direction Outbound -Protocol TCP -LocalPort 8530 -Action Allow

# باز کردن پورت 8531 برای ارتباط امن با WSUS
New-NetFirewallRule -DisplayName "WSUS Client HTTPS" -Direction Outbound -Protocol TCP -LocalPort 8531 -Action Allow

4. بررسی دسترسی‌های شبکه‌ای WSUS

پس از اعمال تنظیمات فایروال، می‌توان از طریق telnet بررسی کرد که کلاینت‌ها و سرور WSUS می‌توانند به یکدیگر متصل شوند یا خیر:

telnet wsus.yourdomain.com 8530

اگر صفحه telnet باز شد و خطای Could not open connection نمایش داده نشد، یعنی اتصال برقرار است.

5. بررسی لاگ‌های فایروال برای اشکال‌زدایی

اگر مشکلی در ارتباط بین کلاینت‌ها و WSUS وجود داشته باشد، می‌توان از لاگ‌های فایروال کمک گرفت:

Get-NetFirewallRule -DisplayName "WSUS*" | Get-NetFirewallPortFilter

در صورت نیاز به بررسی ارتباط‌های بلاک‌شده، می‌توان از لاگ‌های فایروال استفاده کرد:

notepad C:\Windows\System32\LogFiles\Firewall\pfirewall.log

جمع‌بندی

برای عملکرد صحیح WSUS، باید پورت‌های 8530، 8531، 80، 443، و 1433 در فایروال باز شوند. همچنین، دسترسی‌های اینترنتی لازم برای دریافت به‌روزرسانی‌ها از مایکروسافت باید فراهم شود. بررسی ارتباط با telnet و مشاهده لاگ‌های فایروال به تشخیص مشکلات ارتباطی کمک می‌کند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی سناریوهای بهینه‌سازی برای سازمان‌های کوچک و بزرگ” subtitle=”توضیحات کامل”]WSUS به‌عنوان یکی از راهکارهای اصلی مدیریت به‌روزرسانی در شبکه‌های سازمانی، قابلیت تطبیق با انواع زیرساخت‌ها را دارد. برای استفاده بهینه از WSUS در سازمان‌های کوچک و بزرگ، سناریوهای متفاوتی وجود دارد که در ادامه بررسی می‌شود.

1. سناریوی بهینه‌سازی برای سازمان‌های کوچک

در سازمان‌های کوچک که تعداد کلاینت‌های متصل به WSUS کم است (کمتر از 100 دستگاه)، می‌توان از یک سرور واحد استفاده کرد. در این مدل، سرور WSUS به‌طور مستقیم به اینترنت متصل شده و به‌روزرسانی‌ها را از سرورهای مایکروسافت دریافت می‌کند.

پیکربندی پیشنهادی

• نصب WSUS روی یک سرور واحد که شامل IIS، SQL Server Express و WSUS Database باشد.
• استفاده از هارددیسک با ظرفیت مناسب برای ذخیره‌سازی به‌روزرسانی‌ها.
• تنظیم Auto-Approval برای به‌روزرسانی‌های امنیتی و بحرانی.
• محدود کردن پهنای باند دانلود به‌روزرسانی‌ها برای جلوگیری از مصرف بیش‌ازحد اینترنت.

نصب و پیکربندی WSUS در سازمان‌های کوچک

# نصب ویژگی WSUS
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

# تنظیم مسیر ذخیره‌سازی به‌روزرسانی‌ها
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=D:\WSUS

# تنظیم آدرس WSUS در Group Policy
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer -Value "http://wsus.company.local:8530"
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate" -Name WUStatusServer -Value "http://wsus.company.local:8530"

بهینه‌سازی WSUS در سازمان‌های کوچک

• تنظیم به‌روزرسانی‌ها برای اجرا در ساعات غیرکاری با Group Policy:

Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name ScheduledInstallDay -Value 4
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name ScheduledInstallTime -Value 2

• حذف به‌روزرسانی‌های قدیمی و کاهش حجم پایگاه داده:

wsusutil.exe reset

• فعال کردن Express Installation Files برای کاهش حجم پهنای باند مصرفی.

2. سناریوی بهینه‌سازی برای سازمان‌های بزرگ

در سازمان‌های بزرگ (بیش از 500 کلاینت)، استفاده از مدل چندلایه برای کاهش فشار روی شبکه داخلی و بهبود کارایی WSUS ضروری است. این مدل شامل یک سرور مرکزی WSUS و چندین سرور Replica WSUS در دفاتر مختلف است.

پیکربندی پیشنهادی

• نصب یک سرور WSUS مرکزی که مسئول دریافت و تأیید به‌روزرسانی‌ها است.
• استقرار سرورهای WSUS زیرمجموعه (Replica) در هر شعبه برای کاهش پهنای باند بین دفاتر.
• استفاده از SQL Server Standard به‌جای SQL Express برای بهبود عملکرد.
• زمان‌بندی دانلود به‌روزرسانی‌ها در ساعات کم‌ترافیک.

پیکربندی سرور WSUS مرکزی

# نصب WSUS مرکزی
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

# تنظیم مسیر ذخیره‌سازی به‌روزرسانی‌ها
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=E:\WSUS

# فعال کردن Synchronization با مایکروسافت
Set-WsusServerSynchronization -SyncFromMU

پیکربندی سرورهای Replica

# نصب WSUS روی Replica
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

# تنظیم WSUS Replica برای دریافت به‌روزرسانی از سرور اصلی
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=D:\WSUS
Set-WsusServerSynchronization -SyncFromParent

بهینه‌سازی WSUS در سازمان‌های بزرگ

• استفاده از BranchCache برای کاهش مصرف پهنای باند:

Enable-WindowsOptionalFeature -Online -FeatureName BranchCache
Set-BCDataCache -Percentage 50

• زمان‌بندی دانلود به‌روزرسانی‌ها در ساعات غیرکاری:

Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name ScheduledInstallTime -Value 3

• حذف به‌روزرسانی‌های غیرضروری از پایگاه داده:

wsusutil.exe deleteunneededrevisions

جمع‌بندی

بهینه‌سازی WSUS برای سازمان‌های کوچک و بزرگ نیازمند درک صحیحی از زیرساخت شبکه، تعداد کلاینت‌ها و میزان پهنای باند مصرفی است. برای سازمان‌های کوچک، یک سرور WSUS واحد کافی است، اما در سازمان‌های بزرگ، استفاده از مدل چندلایه با Replica WSUS پیشنهاد می‌شود.[/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 2: نصب و راه‌اندازی WSUS”][cdb_course_lesson title=”فصل 1. پیش‌نیازها و آماده‌سازی محیط”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی نسخه‌های ویندوز سرور سازگار با WSUS” subtitle=”توضیحات کامل”]برای راه‌اندازی WSUS باید از نسخه‌های Windows Server سازگار استفاده شود. WSUS نسخه‌های مختلفی دارد و هر نسخه روی برخی از Windows Server ها پشتیبانی می‌شود. در این بخش، نسخه‌های WSUS و Windows Serverهای سازگار بررسی خواهند شد.

1. نسخه‌های WSUS و سازگاری با Windows Server

نسخه WSUS	نسخه‌های سازگار Windows Server
WSUS 3.0 SP2	Windows Server 2008, 2008 R2 (پشتیبانی منقضی شده)
WSUS 6.3 (Windows Server 2012/2012 R2)	Windows Server 2012, 2012 R2
WSUS 10.0 (Windows Server 2016)	Windows Server 2016
WSUS 10.0.14393 (Windows Server 2019)	Windows Server 2019
WSUS 10.0.17763 (Windows Server 2022)	Windows Server 2022

2. توصیه‌های مهم درباره انتخاب نسخه Windows Server

✔ WSUS 3.0 SP2 دیگر پشتیبانی نمی‌شود، بنابراین پیشنهاد می‌شود از نسخه‌های جدیدتر استفاده شود.
✔ WSUS 6.3 در Windows Server 2012/2012 R2 اجرا می‌شود اما این سیستم‌عامل‌ها به پایان عمر خود نزدیک شده‌اند.
✔ WSUS 10.0 در Windows Server 2016، 2019 و 2022 به‌خوبی کار می‌کند و این نسخه‌ها هنوز پشتیبانی رسمی دارند.
✔ Windows Server 2022 جدیدترین نسخه بوده و بهترین گزینه برای WSUS است.

3. نصب و بررسی نسخه WSUS

برای بررسی نسخه نصب‌شده از دستور زیر در PowerShell استفاده کنید:

Get-WindowsFeature -Name UpdateServices

برای مشاهده جزئیات بیشتر نسخه WSUS می‌توان از دستور زیر استفاده کرد:

(Get-Item "C:\Program Files\Update Services\AdministrationSnapin\Microsoft.UpdateServices.Administration.dll").VersionInfo

 جمع‌بندی

• Windows Server 2022 بهترین گزینه برای راه‌اندازی WSUS است.
• Windows Server 2016 و 2019 همچنان پشتیبانی می‌شوند و گزینه‌های مناسبی هستند.
• نسخه‌های قدیمی‌تر مانند Windows Server 2008 و 2012 دیگر توصیه نمی‌شوند.
• قبل از نصب WSUS، حتماً نسخه Windows Server را بررسی کنید تا از سازگاری آن مطمئن شوید.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نیازمندی‌های سخت‌افزاری و نرم‌افزاری برای WSUS” subtitle=”توضیحات کامل”]قبل از راه‌اندازی WSUS، باید نیازمندی‌های سخت‌افزاری و نرم‌افزاری آن را بررسی کرد. در این بخش، حداقل و توصیه‌شده‌ترین سخت‌افزار و نرم‌افزار موردنیاز برای اجرای WSUS ارائه خواهد شد.

1. نیازمندی‌های سخت‌افزاری

حداقل و پیشنهادشده‌ترین سخت‌افزار برای اجرای WSUS به شرح زیر است:

مؤلفه سخت‌افزاری	حداقل مقدار	مقدار پیشنهادی
پردازنده (CPU)	1.4 GHz (x64)	2.0 GHz یا بالاتر
حافظه (RAM)	2 GB	4 GB یا بیشتر
فضای دیسک (HDD)	10 GB	100 GB یا بیشتر (بسته به تعداد کلاینت‌ها)
کارت شبکه	1 Gbps	1 Gbps یا بالاتر

✔ مقدار فضای ذخیره‌سازی بستگی به تعداد کلاینت‌های شبکه دارد. هرچه تعداد کلاینت‌ها بیشتر باشد، فضای بیشتری برای ذخیره به‌روزرسانی‌ها نیاز خواهد بود.
✔ استفاده از یک SSD برای پایگاه داده WSUS باعث بهبود عملکرد می‌شود.

2. نیازمندی‌های نرم‌افزاری

برای راه‌اندازی WSUS باید سیستم‌عامل و سایر پیش‌نیازهای نرم‌افزاری نصب‌شده باشند.

مؤلفه نرم‌افزاری	نسخه‌های موردنیاز
سیستم‌عامل	Windows Server 2016, 2019, 2022
پایگاه داده	Windows Internal Database (WID) یا SQL Server
پیش‌نیازها	.NET Framework 4.8, IIS, Windows Update Services

3. بررسی نسخه ویندوز و پیکربندی نقش‌ها

برای بررسی نسخه Windows Server و بررسی نقش‌های نصب‌شده، از PowerShell استفاده کنید:

systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
Get-WindowsFeature -Name UpdateServices

4. بررسی فضای ذخیره‌سازی و میزان استفاده از دیسک

برای بررسی میزان فضای HDD قبل از نصب WSUS، از این دستور استفاده کنید:

Get-PSDrive C

5. تنظیم فضای دیسک برای ذخیره به‌روزرسانی‌ها

WSUS نیاز به فضای مناسب برای ذخیره‌سازی Update Files دارد. مسیر ذخیره فایل‌های WSUS را می‌توان در هنگام نصب یا پس از آن مشخص کرد.

برای تغییر مسیر پیش‌فرض به E:\WSUS-Updates:

$wsusutil = "C:\Program Files\Update Services\Tools\WsusUtil.exe"
& $wsusutil movecontent E:\WSUS-Updates E:\WSUS-Logs\Move.log

جمع‌بندی

• حداقل 100GB فضای دیسک برای سرورهایی با تعداد کلاینت‌های بالا توصیه می‌شود.
• پایگاه داده WID برای سازمان‌های کوچک و SQL Server برای سازمان‌های بزرگ پیشنهاد می‌شود.
• Windows Server 2016، 2019 و 2022 برای اجرای WSUS پشتیبانی می‌شوند.
• پیش از نصب، بررسی نیازمندی‌های سخت‌افزاری و نرم‌افزاری الزامی است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات شبکه و DNS برای ارتباط بهینه WSUS” subtitle=”توضیحات کامل”]ارتباط بهینه WSUS با کلاینت‌ها و سرورهای مایکروسافت وابسته به تنظیمات صحیح شبکه و DNS است. در این بخش، تنظیمات پیشنهادی برای بهبود کارایی و ارتباط پایدار WSUS بررسی خواهد شد.

1. تنظیمات آدرس IP و DNS روی سرور WSUS

برای عملکرد بهتر، سرور WSUS باید دارای IP استاتیک باشد و DNS مناسب تنظیم شود. می‌توان از PowerShell برای اعمال تنظیمات استفاده کرد.

مسیری که باید این تنظیمات در آن انجام شوند:
Control Panel > Network and Sharing Center > Change adapter settings

تنظیم IP استاتیک و DNS در سرور WSUS:

New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses ("192.168.1.1", "8.8.8.8")

✔ IP ثابت برای WSUS باعث جلوگیری از مشکلات ناشی از تغییر آدرس می‌شود.
✔ DNS داخلی (مثل 192.168.1.1) باید سرور اصلی باشد و DNS خارجی (مثل 8.8.8.8) برای ارتباط با Microsoft Update تنظیم شود.

2. بررسی تنظیمات شبکه و اتصال WSUS به اینترنت

برای بررسی ارتباط سرور WSUS با اینترنت و اطمینان از دسترسی به Microsoft Update، از دستورات زیر استفاده کنید:

Test-NetConnection -ComputerName "www.microsoft.com" -Port 443

✔ اگر نتیجه True باشد، ارتباط برقرار است.
✔ در صورت وجود مشکل، فایروال یا پراکسی را بررسی کنید.

3. پیکربندی DNS Forwarding برای بهینه‌سازی درخواست‌های WSUS

در محیط‌های سازمانی، DNS Forwarding می‌تواند کارایی ارتباطات اینترنتی را بهبود دهد. برای تنظیم Forwarder در DNS Server از این روش استفاده کنید:

مسیری که باید این تنظیمات در آن انجام شوند:
DNS Manager > Server Properties > Forwarders

تنظیم Forwarder در PowerShell:

Add-DnsServerForwarder -IPAddress "8.8.8.8"

✔ این تنظیم باعث افزایش سرعت پردازش درخواست‌های DNS می‌شود.
✔ می‌توان از DNS‌های جایگزین مثل 1.1.1.1 استفاده کرد.

4. بررسی و رفع مشکلات DNS در WSUS

در صورتی که سرور WSUS دچار مشکل در نام دامنه باشد، می‌توان تنظیمات DNS را بررسی کرد:

Resolve-DnsName microsoft.com

✔ اگر نام دامنه Resolve نشود، تنظیمات DNS Server را بررسی کنید.
✔ بررسی لاگ‌های Event Viewer برای یافتن ارورها مفید است.

5. اعمال تغییرات فایروال برای ارتباط WSUS

WSUS برای ارتباط نیاز به دسترسی از طریق پورت‌های مشخص دارد. می‌توان این پورت‌ها را در Windows Firewall باز کرد.

New-NetFirewallRule -DisplayName "Allow WSUS Traffic" -Direction Inbound -Protocol TCP -LocalPort 8530,8531 -Action Allow

✔ پورت‌های 8530 و 8531 برای ارتباط کلاینت‌ها با WSUS الزامی هستند.

جمع‌بندی

• تنظیم IP استاتیک و DNS مناسب در سرور WSUS الزامی است.
• اتصال WSUS به اینترنت باید بررسی شود و در صورت نیاز، فایروال و پراکسی تنظیم گردد.
• DNS Forwarding برای بهبود ارتباط و کاهش تاخیر در دریافت آپدیت‌ها پیشنهاد می‌شود.
• بررسی لاگ‌های DNS و WSUS برای رفع مشکلات احتمالی توصیه می‌شود.
• پورت‌های 8530 و 8531 در فایروال باید باز باشند تا کلاینت‌ها بتوانند با WSUS ارتباط برقرار کنند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”آماده‌سازی Active Directory برای پشتیبانی از WSUS” subtitle=”توضیحات کامل”]برای یکپارچه‌سازی WSUS با Active Directory (AD) و اطمینان از اعمال صحیح پالیسی‌های بروزرسانی، باید تنظیمات خاصی در Group Policy و Organizational Units (OUs) انجام شود. این بخش شامل مراحل آماده‌سازی Active Directory برای WSUS همراه با مثال‌های عملی خواهد بود.

1. ایجاد یک OU برای مدیریت کلاینت‌های WSUS

برای مدیریت بهتر، پیشنهاد می‌شود کلاینت‌های WSUS در یک OU اختصاصی قرار گیرند. این کار باعث می‌شود که Group Policy Objects (GPOs) به‌صورت متمرکز روی کلاینت‌های موردنظر اعمال شوند.

ایجاد یک OU جدید برای کلاینت‌های WSUS:

New-ADOrganizationalUnit -Name "WSUS Clients" -Path "DC=example,DC=com"

✔ این OU می‌تواند شامل کامپیوترهای کلاینت، سرورها و دیگر دستگاه‌هایی باشد که قرار است از WSUS آپدیت دریافت کنند.

2. ایجاد یک GPO برای تنظیمات WSUS در Active Directory

GPO برای تنظیم خودکار کلاینت‌های WSUS لازم است. برای این کار ابتدا یک Group Policy Object (GPO) جدید ایجاد می‌شود.

New-GPO -Name "WSUS Policy" | New-GPLink -Target "OU=WSUS Clients,DC=example,DC=com"

✔ این GPO روی OU موردنظر لینک شده و به کلاینت‌های داخل آن اعمال می‌شود.

3. تنظیم آدرس WSUS در Group Policy

کلاینت‌ها باید بدانند که از کجا آپدیت‌ها را دریافت کنند. برای این کار باید آدرس WSUS در GPO مشخص شود.

مسیر تنظیمات در Group Policy Management:
Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update > Specify intranet Microsoft update service location

تنظیم این گزینه از طریق PowerShell:

Set-GPRegistryValue -Name "WSUS Policy" -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -ValueName "WUServer" -Type String -Value "http://wsus.example.com:8530"
Set-GPRegistryValue -Name "WSUS Policy" -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -ValueName "WUStatusServer" -Type String -Value "http://wsus.example.com:8530"

✔ در اینجا wsus.example.com باید با نام سرور WSUS شما جایگزین شود.
✔ پورت 8530 برای HTTP و 8531 برای HTTPS است. اگر SSL استفاده می‌شود، از 8531 استفاده کنید.

4. تنظیم زمان و نوع دریافت بروزرسانی‌ها

برای جلوگیری از دانلود همزمان و سنگین آپدیت‌ها، زمان‌های دریافت آپدیت باید مدیریت شوند.

Set-GPRegistryValue -Name "WSUS Policy" -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -ValueName "AUOptions" -Type Dword -Value 4
Set-GPRegistryValue -Name "WSUS Policy" -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -ValueName "ScheduledInstallDay" -Type Dword -Value 3
Set-GPRegistryValue -Name "WSUS Policy" -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -ValueName "ScheduledInstallTime" -Type Dword -Value 3

✔ مقدار AUOptions=4 یعنی آپدیت‌ها دانلود شده و به‌صورت خودکار نصب می‌شوند.
✔ مقدار ScheduledInstallDay=3 یعنی آپدیت‌ها روز سه‌شنبه نصب خواهند شد.
✔ مقدار ScheduledInstallTime=3 یعنی نصب در ساعت 3 بامداد انجام می‌شود.

5. بررسی و اعمال تنظیمات GPO روی کلاینت‌ها

برای اعمال سریع‌تر تغییرات Group Policy در کلاینت‌ها، از دستور زیر استفاده کنید:

gpupdate /force

✔ در صورت عدم اعمال تغییرات، از Event Viewer برای بررسی ارورها استفاده کنید.

6. تست اتصال کلاینت به WSUS

برای بررسی اینکه کلاینت‌ها به WSUS متصل هستند، دستور زیر را اجرا کنید:

Get-WindowsUpdateLog

✔ این لاگ مشخص می‌کند که کلاینت توانسته به WSUS متصل شود یا خیر.

جمع‌بندی

• ایجاد یک OU برای مدیریت کلاینت‌های WSUS توصیه می‌شود.
• یک GPO مخصوص برای WSUS باید ایجاد و روی این OU لینک شود.
• آدرس WSUS در Group Policy باید تنظیم شود تا کلاینت‌ها بدانند از کجا آپدیت بگیرند.
• زمان و نحوه نصب آپدیت‌ها باید در Group Policy مشخص گردد.
• اعمال و تست GPO روی کلاینت‌ها برای اطمینان از عملکرد صحیح WSUS ضروری است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات Firewall و دسترسی‌های لازم برای WSUS” subtitle=”توضیحات کامل”]برای عملکرد صحیح WSUS و ارتباط کلاینت‌ها با سرور، باید دسترسی‌های فایروال به‌درستی تنظیم شوند. این تنظیمات شامل پورت‌های موردنیاز، رول‌های فایروال و اجازه دسترسی سرورها به اینترنت است.

1. پورت‌های موردنیاز برای WSUS

برای اطمینان از ارتباط صحیح WSUS، پورت‌های زیر باید باز شوند:

• TCP 8530 و TCP 8531: برای ارتباط کلاینت‌ها با سرور WSUS (پورت 8531 مخصوص SSL)
• TCP 80 و TCP 443: برای دانلود آپدیت‌ها از سرور مایکروسافت
• TCP 135 و 445: برای Remote Management
• UDP 53: برای ارتباط با DNS

2. تنظیم رول‌های فایروال در Windows Firewall

برای باز کردن این پورت‌ها، دستورات PowerShell زیر را در سرور WSUS اجرا کنید:

# باز کردن پورت 8530 برای ارتباط HTTP با WSUS
New-NetFirewallRule -DisplayName "WSUS HTTP" -Direction Inbound -Protocol TCP -LocalPort 8530 -Action Allow

# باز کردن پورت 8531 برای ارتباط HTTPS با WSUS (اگر SSL فعال است)
New-NetFirewallRule -DisplayName "WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow

# باز کردن پورت‌های موردنیاز برای دانلود آپدیت‌ها از Microsoft
New-NetFirewallRule -DisplayName "WSUS to Microsoft Update" -Direction Outbound -Protocol TCP -LocalPort 80,443 -Action Allow

# باز کردن پورت‌های مدیریت از راه دور
New-NetFirewallRule -DisplayName "WSUS Remote Management" -Direction Inbound -Protocol TCP -LocalPort 135,445 -Action Allow

# باز کردن پورت DNS برای دسترسی کلاینت‌ها به WSUS
New-NetFirewallRule -DisplayName "WSUS DNS" -Direction Outbound -Protocol UDP -LocalPort 53 -Action Allow

✔ این رول‌ها باعث می‌شوند WSUS بتواند با کلاینت‌ها و مایکروسافت ارتباط بگیرد.
✔ اگر فایروال سخت‌افزاری دارید، همین پورت‌ها باید در آن نیز باز شوند.

3. تنظیم مجوزهای دسترسی برای کلاینت‌ها و سرور WSUS

کلاینت‌ها باید بتوانند به سرور WSUS دسترسی داشته باشند. اگر Group Policy استفاده می‌کنید، باید دسترسی‌های لازم در GPO تنظیم شود.

برای بررسی ارتباط کلاینت‌ها با WSUS:

Test-NetConnection -ComputerName wsus.example.com -Port 8530

✔ اگر ارتباط برقرار بود، مقدار True نمایش داده می‌شود.

4. تنظیمات پروکسی در WSUS (در صورت نیاز)

اگر سرور WSUS باید از پراکسی برای دانلود آپدیت‌ها استفاده کند، تنظیمات زیر باید اعمال شوند.

netsh winhttp set proxy proxy-server="http://proxy.example.com:8080" bypass-list="*.example.com"

✔ این تنظیم باعث می‌شود که WSUS بدون مشکل از پراکسی عبور کند.

5. بررسی و تست دسترسی‌های فایروال

برای اطمینان از اعمال صحیح رول‌های فایروال، می‌توان از دستورات زیر استفاده کرد:

Get-NetFirewallRule -DisplayName "WSUS*"

✔ این دستور تمام رول‌هایی که مربوط به WSUS هستند را نمایش می‌دهد.

جمع‌بندی

• پورت‌های 8530 و 8531 باید برای ارتباط کلاینت‌ها با WSUS باز شوند.
• پورت‌های 80 و 443 برای دانلود آپدیت‌ها از مایکروسافت ضروری هستند.
• با استفاده از PowerShell می‌توان به‌صورت خودکار رول‌های فایروال را تنظیم کرد.
• در صورت استفاده از پراکسی، تنظیمات مناسب باید روی سرور WSUS اعمال شوند.
• ارتباط کلاینت‌ها با WSUS باید با Test-NetConnection بررسی شود.

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۲. نصب WSUS Role”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نصب WSUS از طریق Server Manager” subtitle=”توضیحات کامل”]WSUS یکی از سرویس‌های مهم در Windows Server است که برای مدیریت و توزیع به‌روزرسانی‌ها در شبکه استفاده می‌شود. در این بخش، نصب WSUS از طریق Server Manager و همچنین روش کامندی برای انجام این کار ارائه خواهد شد.

1. پیش‌نیازهای نصب WSUS

قبل از نصب WSUS، باید موارد زیر بررسی شوند:

• فضای دیسک مناسب: حداقل 20 گیگابایت برای پایگاه داده و 30 گیگابایت برای به‌روزرسانی‌ها
• اتصال به اینترنت: برای دانلود به‌روزرسانی‌ها از مایکروسافت
• تنظیمات فایروال: پورت‌های 8530 و 8531 باید باز باشند

2. نصب WSUS از طریق Server Manager

1. باز کردن Server Manager و کلیک روی Add roles and features
2. انتخاب Role-based or feature-based installation و کلیک روی Next
3. انتخاب سرور مقصد و کلیک روی Next
4. در لیست Server Roles گزینه Windows Server Update Services (WSUS) را انتخاب کنید و روی Next کلیک کنید.
5. در صفحه WSUS Role Services گزینه‌های زیر را انتخاب کنید:
   • WSUS Services
   • Database Type (WID یا SQL Server)
6. در قسمت Content Location مسیر ذخیره‌سازی آپدیت‌ها را مشخص کنید (مثلاً D:\WSUS ) و روی Next کلیک کنید.
7. تنظیمات را تأیید کرده و روی Install کلیک کنید.

✔ بعد از اتمام نصب، گزینه Launch Post-Installation Tasks را انتخاب کنید تا پیکربندی اولیه انجام شود.

3. نصب WSUS از طریق PowerShell

می‌توان WSUS را به‌صورت کامندی نیز نصب کرد:

# نصب ویژگی‌های لازم برای WSUS
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

# نصب WID Database و خدمات WSUS
Install-WindowsFeature -Name UpdateServices-WidDB, UpdateServices-Services

# تعیین مسیر ذخیره‌سازی برای WSUS
$wsusContentDir = "D:\WSUS"
if (!(Test-Path $wsusContentDir)) {
    New-Item -Path $wsusContentDir -ItemType Directory
}

# اجرای وظایف پس از نصب
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=$wsusContentDir

✔ این کدها، WSUS را نصب کرده و مسیر محتوای آپدیت‌ها را روی درایو D تنظیم می‌کنند.

4. تأیید نصب WSUS

پس از نصب، می‌توان وضعیت آن را بررسی کرد:

Get-WindowsFeature -Name UpdateServices*

✔ این دستور بررسی می‌کند که WSUS و کامپوننت‌های وابسته نصب شده‌اند یا خیر.

جمع‌بندی

• WSUS را می‌توان از طریق Server Manager و یا PowerShell نصب کرد.
• باید مسیر ذخیره‌سازی آپدیت‌ها را مشخص کرد تا داده‌های WSUS درایو سیستمی را پر نکنند.
• پس از نصب، Post-Installation Tasks باید اجرا شود تا WSUS به‌درستی پیکربندی شود.
• با استفاده از دستور Get-WindowsFeature می‌توان بررسی کرد که آیا نصب به‌درستی انجام شده است یا نه.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی و انتخاب Roleهای ضروری” subtitle=”توضیحات کامل”]برای نصب و راه‌اندازی WSUS، برخی Role‌ها و Feature‌های ضروری باید روی Windows Server نصب شوند. این بخش به بررسی این نقش‌ها پرداخته و نحوه نصب آن‌ها را به‌صورت گرافیکی و کامندی توضیح می‌دهد.

نقش‌ها و ویژگی‌های موردنیاز برای WSUS

قبل از نصب، باید Role‌ها و Feature‌های زیر را در نظر بگیرید:

• Windows Server Update Services (WSUS)
• Web Server (IIS) برای ارائه به‌روزرسانی‌ها به کلاینت‌ها
• WID Database یا SQL Server برای مدیریت پایگاه داده
• BITS و Remote Differential Compression برای بهینه‌سازی پهنای باند

افزودن Roleهای ضروری از طریق Server Manager

1. Server Manager را باز کنید و روی Add roles and features کلیک کنید.
2. گزینه Role-based or feature-based installation را انتخاب کرده و روی Next کلیک کنید.
3. سرور مقصد را انتخاب کرده و روی Next کلیک کنید.
4. در صفحه Select Server Roles، گزینه Windows Server Update Services را انتخاب کنید.
5. پنجره‌ای باز می‌شود که گزینه‌های Web Server (IIS) و سایر وابستگی‌های لازم را پیشنهاد می‌دهد. روی Add Features کلیک کنید.
6. در قسمت Select Features، گزینه‌های BITS و Remote Differential Compression را فعال کنید.
7. تنظیمات را بررسی کرده و روی Install کلیک کنید.

افزودن Roleهای ضروری با PowerShell

برای نصب WSUS همراه با تمام Feature‌های لازم، از PowerShell می‌توان استفاده کرد:

# نصب WSUS به همراه IIS، BITS و سایر وابستگی‌ها
Install-WindowsFeature -Name UpdateServices, Web-Server, Web-Common-Http, Web-Static-Content, Web-Default-Doc, Web-Dir-Browsing, Web-Http-Errors, Web-Http-Logging, Web-Request-Monitor, Web-Performance, Web-Stat-Compression, Web-Mgmt-Console, BITS, RDC -IncludeManagementTools

✔ این دستور تمام نقش‌ها و ویژگی‌های موردنیاز برای WSUS را نصب می‌کند.

بررسی نصب Roleها و Featureها

برای اطمینان از نصب صحیح WSUS و وابستگی‌های آن، دستور زیر را اجرا کنید:

Get-WindowsFeature | Where-Object { $_.Installed -eq $true } | Select-String "UpdateServices|Web-Server|BITS|RDC"

✔ این دستور فقط ویژگی‌هایی که نصب شده‌اند را نمایش می‌دهد و بررسی می‌کند که WSUS و وابستگی‌های آن فعال هستند.

جمع‌بندی

• برای راه‌اندازی WSUS، باید برخی نقش‌ها و ویژگی‌های کلیدی مانند IIS، BITS و WID یا SQL Server نصب شوند.
• این نقش‌ها را می‌توان از طریق Server Manager به‌صورت گرافیکی یا از طریق PowerShell به‌صورت کامندی نصب کرد.
• پس از نصب، باید بررسی شود که تمامی Feature‌های موردنیاز فعال شده‌اند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”انتخاب مسیر ذخیره‌سازی به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]یکی از بخش‌های مهم در پیکربندی WSUS، انتخاب مسیر ذخیره‌سازی به‌روزرسانی‌ها است. این مسیر باید دارای فضای کافی باشد، زیرا به‌روزرسانی‌های ویندوز ممکن است حجم بالایی داشته باشند. در این بخش، روش‌های گرافیکی و کامندی برای تعیین مسیر ذخیره‌سازی بررسی می‌شوند.

نکات مهم در انتخاب مسیر ذخیره‌سازی

• مسیر پیش‌فرض در ویندوز:

  C:\WSUS
  

  اما توصیه می‌شود یک درایو جداگانه (مثلاً D:\WSUS یا E:\WSUS) برای ذخیره به‌روزرسانی‌ها اختصاص دهید.

• فضای ذخیره‌سازی باید حداقل 500 گیگابایت یا بیشتر باشد، بسته به تعداد کلاینت‌ها و نوع به‌روزرسانی‌ها.
• عدم استفاده از درایو C: برای جلوگیری از مشکلات احتمالی در فضای سیستم.

تعیین مسیر ذخیره‌سازی از طریق WSUS Configuration Wizard

1. WSUS Configuration Wizard را اجرا کنید.
2. در صفحه Store Updates، گزینه Store updates locally را فعال کنید.
3. مسیر پیشنهادی را بررسی کنید (پیش‌فرض C:\WSUS) و در صورت نیاز مسیر جدیدی وارد کنید (مثلاً D:\WSUS).
4. روی Next کلیک کنید و مراحل را ادامه دهید.

تعیین مسیر ذخیره‌سازی از طریق PowerShell

در صورتی که بخواهید مسیر ذخیره‌سازی را به‌صورت کامندی تنظیم کنید، از دستور زیر استفاده کنید:

# تنظیم مسیر ذخیره‌سازی WSUS روی درایو D
$UpdateStorePath = "D:\WSUS"
& wsusutil.exe movecontent $UpdateStorePath log.txt

✔ این دستور فایل‌های به‌روزرسانی را به مسیر D:\WSUS منتقل کرده و لاگ عملیات را در log.txt ذخیره می‌کند.

بررسی مسیر ذخیره‌سازی تنظیم‌شده

برای بررسی مسیر فعلی ذخیره‌سازی به‌روزرسانی‌ها، از دستور زیر در PowerShell استفاده کنید:

(Get-WSUSServer).GetConfiguration().LocalContentCacheLocation

✔ این دستور مسیر ذخیره‌سازی فعلی را نمایش می‌دهد.

تغییر مسیر ذخیره‌سازی پس از نصب WSUS

اگر مسیر ذخیره‌سازی بعد از نصب WSUS تغییر کند، باید به‌روزرسانی‌های قبلی نیز منتقل شوند. برای این کار از دستور زیر استفاده کنید:

& wsusutil.exe movecontent "E:\WSUS" "E:\WSUS\Move.log"

✔ این دستور فایل‌های موجود را به مسیر جدید منتقل کرده و لاگ عملیات را در Move.log ذخیره می‌کند.

جمع‌بندی

• WSUS به‌صورت پیش‌فرض به‌روزرسانی‌ها را در مسیر C:\WSUS ذخیره می‌کند، اما بهتر است از یک درایو جداگانه مانند D:\WSUS استفاده شود.
• مسیر ذخیره‌سازی را می‌توان از طریق Configuration Wizard یا دستورات PowerShell تغییر داد.
• پس از تغییر مسیر، باید به‌روزرسانی‌های موجود را به مکان جدید منتقل کرد.
• برای بررسی مسیر فعلی می‌توان از PowerShell استفاده کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”نصب WSUS با استفاده از PowerShell” subtitle=”توضیحات کامل”]در این بخش، نصب و پیکربندی اولیه WSUS از طریق PowerShell بررسی می‌شود. این روش به شما این امکان را می‌دهد که فرآیند نصب را خودکارسازی کنید و نیازی به استفاده از Server Manager نداشته باشید.

بررسی دستورات مورد نیاز

نصب WSUS با PowerShell شامل چند مرحله کلیدی است:

1. بررسی پیش‌نیازها مانند فضای ذخیره‌سازی و دسترسی‌های لازم.
2. نصب WSUS و نقش‌های وابسته از طریق PowerShell.
3. پیکربندی پایگاه داده و مسیر ذخیره‌سازی.
4. تنظیمات اولیه و سینک کردن به‌روزرسانی‌ها.

اسکریپت نصب و پیکربندی اولیه WSUS

گام 1: نصب نقش‌های WSUS و وابستگی‌ها

برای نصب WSUS به همراه نقش‌های موردنیاز، از دستور زیر در PowerShell استفاده کنید:

# نصب نقش‌های مورد نیاز برای WSUS
Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

✔ این دستور نقش WSUS و ابزارهای مدیریتی آن را نصب می‌کند.

اگر قصد دارید WSUS را به همراه WID (Windows Internal Database) نصب کنید، از دستور زیر استفاده کنید:

# نصب WSUS همراه با پایگاه داده داخلی
Install-WindowsFeature -Name UpdateServices-WidDB -IncludeManagementTools

✔ این روش پایگاه داده داخلی WSUS را به‌جای SQL Server استفاده می‌کند.

در صورتی که بخواهید WSUS را با SQL Server نصب کنید، از دستور زیر استفاده کنید:

# نصب WSUS همراه با پشتیبانی از SQL Server
Install-WindowsFeature -Name UpdateServices-DB -IncludeManagementTools

گام 2: تعیین مسیر ذخیره‌سازی به‌روزرسانی‌ها

قبل از اجرای این مرحله، مطمئن شوید که درایو مناسب (مثلاً D:) وجود دارد.

# تنظیم مسیر ذخیره‌سازی WSUS
$WsusContent = "D:\WSUS"
New-Item -Path $WsusContent -ItemType Directory -Force

✔ این اسکریپت مسیر D:\WSUS را ایجاد می‌کند تا به‌روزرسانی‌ها در آن ذخیره شوند.

گام 3: پیکربندی پایگاه داده WSUS

اگر از Windows Internal Database (WID) استفاده می‌کنید، تنظیمات اولیه را با دستور زیر انجام دهید:

# تنظیم پایگاه داده داخلی WSUS
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=D:\WSUS

✔ این دستور، پیکربندی پایگاه داده و مسیر ذخیره‌سازی را انجام می‌دهد.

اگر از SQL Server استفاده می‌کنید، نام سرور و دیتابیس خود را مشخص کنید:

# تنظیم WSUS برای استفاده از SQL Server
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall SQL_INSTANCE_NAME="SQLServerName" CONTENT_DIR=D:\WSUS

✔ این دستور WSUS را با SQL Server پیکربندی می‌کند. نام سرور SQLServerName را با نام سرور واقعی خود جایگزین کنید.

گام 4: تأیید نصب و شروع سرویس‌ها

بعد از نصب، باید سرویس‌های WSUS را بررسی کنید:

# بررسی وضعیت سرویس‌های WSUS
Get-Service WsusService, W3SVC

✔ این دستور وضعیت سرویس‌های WSUS و IIS را نمایش می‌دهد.

برای اطمینان از اجرای صحیح سرویس‌ها، می‌توانید از دستورات زیر استفاده کنید:

# راه‌اندازی مجدد سرویس‌های WSUS
Restart-Service WsusService
Restart-Service W3SVC

✔ این دستور سرویس‌های WSUS و IIS را ریستارت می‌کند تا تنظیمات اعمال شوند.

گام 5: انجام سینک اولیه WSUS

در این مرحله، WSUS را برای همگام‌سازی با Microsoft Update تنظیم می‌کنیم:

# دریافت سرور WSUS
$Wsus = Get-WsusServer

# انجام سینک اولیه
$Wsus.GetSubscription().StartSynchronization()

✔ این دستور، فرآیند همگام‌سازی را شروع می‌کند و به‌روزرسانی‌ها را دریافت می‌کند.

جمع‌بندی

• WSUS را می‌توان با استفاده از PowerShell به‌طور کامل نصب و پیکربندی کرد.
• برای استفاده از WID (Windows Internal Database) یا SQL Server، گزینه‌های مختلفی در دسترس است.
• مسیر ذخیره‌سازی باید روی یک درایو جداگانه تنظیم شود و می‌توان آن را با PowerShell مدیریت کرد.
• پس از نصب، باید سرویس‌های WSUS بررسی و ریستارت شوند.
• برای دریافت به‌روزرسانی‌ها از Microsoft Update، همگام‌سازی اولیه انجام می‌شود.

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۳. پیکربندی اولیه WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”انتخاب نوع دیتابیس (WID یا SQL Server) در WSUS” subtitle=”توضیحات کامل”]یکی از مراحل مهم در راه‌اندازی WSUS، انتخاب نوع پایگاه داده است که تأثیر مستقیمی بر عملکرد، مقیاس‌پذیری و مدیریت WSUS دارد. در این بخش، دو گزینه Windows Internal Database (WID) و SQL Server بررسی شده و دستورهای لازم برای هر یک ارائه می‌شود.

مقایسه Windows Internal Database (WID) و SQL Server

ویژگی	Windows Internal Database (WID)	SQL Server
عملکرد	مناسب برای سازمان‌های کوچک و متوسط	عملکرد بهتر در مقیاس‌های بزرگ
مدیریت	مدیریت خودکار، نیازی به تنظیم دستی ندارد	نیاز به مدیریت حرفه‌ای و تنظیمات دقیق
مقیاس‌پذیری	مناسب برای کمتر از 150,000 کلاینت	مناسب برای تعداد کلاینت‌های زیاد
نوع ذخیره‌سازی	پایگاه داده داخلی (WID)	ذخیره‌سازی در SQL Server جداگانه
امکان استفاده از SSMS	خیر، قابل مشاهده در SQL Server Management Studio نیست	بله، می‌توان با SSMS مدیریت کرد
پشتیبانی از چندین سرور WSUS	خیر	بله
مناسب برای	محیط‌های کوچک و متوسط	محیط‌های سازمانی بزرگ با WSUS متعدد

اگر WSUS را در محیطی کوچک یا متوسط اجرا می‌کنید، WID انتخاب مناسبی است. اما اگر به مقیاس‌پذیری و مدیریت بهتر نیاز دارید، باید SQL Server را انتخاب کنید.

---

نصب WSUS با WID (Windows Internal Database)

اگر تصمیم به استفاده از Windows Internal Database (WID) دارید، می‌توانید از دستور زیر برای نصب WSUS همراه با WID استفاده کنید:

# نصب WSUS همراه با Windows Internal Database (WID)
Install-WindowsFeature -Name UpdateServices-WidDB -IncludeManagementTools

✔ این دستور WSUS را همراه با پایگاه داده داخلی WID نصب می‌کند.

بعد از نصب، باید پیکربندی اولیه را انجام دهید:

# تنظیم مسیر ذخیره‌سازی WSUS
$WsusContent = "D:\WSUS"
New-Item -Path $WsusContent -ItemType Directory -Force

# پیکربندی WSUS برای استفاده از WID
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=D:\WSUS

✔ این اسکریپت مسیر ذخیره‌سازی WSUS را تنظیم کرده و پیکربندی اولیه را انجام می‌دهد.

---

نصب WSUS با SQL Server

اگر SQL Server را به‌عنوان پایگاه داده انتخاب کرده‌اید، ابتدا باید SQL Server روی سیستم نصب و تنظیمات اولیه آن انجام شده باشد.

سپس می‌توانید از دستور زیر برای نصب WSUS با پشتیبانی از SQL Server استفاده کنید:

# نصب WSUS همراه با پشتیبانی از SQL Server
Install-WindowsFeature -Name UpdateServices-DB -IncludeManagementTools

✔ این دستور WSUS را برای استفاده از SQL Server نصب می‌کند.

بعد از نصب، برای پیکربندی WSUS جهت اتصال به SQL Server، از دستور زیر استفاده کنید:

# تنظیم WSUS برای استفاده از SQL Server
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall SQL_INSTANCE_NAME="SQLServerName" CONTENT_DIR=D:\WSUS

🔹 مقدار "SQLServerName" را با نام واقعی سرور SQL خود جایگزین کنید.

✔ این اسکریپت WSUS را با SQL Server متصل کرده و مسیر ذخیره‌سازی را تنظیم می‌کند.

---

جمع‌بندی

• WID برای سازمان‌های کوچک و متوسط مناسب است، درحالی‌که SQL Server برای محیط‌های بزرگ و چندین سرور WSUS توصیه می‌شود.
• اگر SQL Server از قبل نصب شده است، می‌توان WSUS را به آن متصل کرد تا از مدیریت پیشرفته و مقیاس‌پذیری بهتر بهره برد.
• دستورات PowerShell برای نصب و پیکربندی WSUS با هر دو گزینه (WID و SQL Server) ارائه شد.
• بسته به نیاز سازمان، می‌توان یکی از این دو روش را برای راه‌اندازی پایگاه داده WSUS انتخاب کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی WSUS با دیتابیس داخلی (WID)” subtitle=”توضیحات کامل”]پس از نصب WSUS با Windows Internal Database (WID)، لازم است پیکربندی اولیه انجام شود تا سرور آماده دریافت و توزیع به‌روزرسانی‌ها باشد. در این بخش، مراحل تنظیم WSUS برای کار با WID بررسی شده و دستورات لازم برای اجرای آن ارائه می‌شود.

---

۱. بررسی وضعیت نصب و دیتابیس WID

برای اطمینان از اینکه WSUS به‌درستی نصب شده و از دیتابیس داخلی WID استفاده می‌کند، می‌توان از دستورات زیر استفاده کرد:

# بررسی وضعیت نصب WSUS و دیتابیس داخلی WID
Get-WindowsFeature -Name UpdateServices*

✔ این دستور وضعیت نصب WSUS و کامپوننت‌های آن را نمایش می‌دهد.

# بررسی سرویس WID که مخصوص WSUS است
Get-Service -Name *WID*

✔ این دستور بررسی می‌کند که سرویس Windows Internal Database اجرا شده است یا خیر.

---

۲. تنظیم مسیر ذخیره‌سازی و پیکربندی اولیه

به‌صورت پیش‌فرض، WSUS فایل‌های به‌روزرسانی را در درایو C ذخیره می‌کند که ممکن است باعث پر شدن فضای ذخیره‌سازی شود. بهتر است مسیر پیش‌فرض را به یک درایو دیگر تغییر دهیم:

# ایجاد مسیر جدید برای ذخیره‌سازی آپدیت‌های WSUS
$WsusContent = "D:\WSUS"
New-Item -Path $WsusContent -ItemType Directory -Force

# پیکربندی WSUS برای استفاده از مسیر جدید
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall CONTENT_DIR=D:\WSUS

✔ این اسکریپت یک دایرکتوری جدید در درایو D ایجاد کرده و مسیر ذخیره‌سازی WSUS را روی آن تنظیم می‌کند.

---

۳. تنظیم و تأیید اتصال WSUS به WID

WSUS برای ذخیره داده‌ها از دیتابیس داخلی WID استفاده می‌کند. برای بررسی اتصال و مشاهده دیتابیس، از دستورات زیر استفاده کنید:

# بررسی اتصال WSUS به دیتابیس داخلی WID
$wsus = Get-WsusServer -Name localhost -Port 8530
$wsus

✔ این دستور اتصال به سرور WSUS را بررسی کرده و اطلاعات آن را نمایش می‌دهد.

اگر نیاز باشد که به دیتابیس WID متصل شوید، می‌توانید از ابزار SQL Server Management Studio (SSMS) استفاده کرده و در قسمت Server Name مقدار زیر را وارد کنید:

\\.\pipe\MICROSOFT##WID\tsql\query

---

۴. تنظیمات فایروال برای WSUS

اگر WSUS در یک سرور فایروال دارد، باید پورت‌های لازم را باز کنید تا کلاینت‌ها بتوانند به آن متصل شوند. دستورات زیر، پورت‌های ضروری WSUS را باز می‌کنند:

# باز کردن پورت‌های ضروری در فایروال برای WSUS
New-NetFirewallRule -DisplayName "WSUS HTTP" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8530
New-NetFirewallRule -DisplayName "WSUS HTTPS" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8531

✔ این اسکریپت پورت‌های 8530 (HTTP) و 8531 (HTTPS) را در فایروال سرور باز می‌کند.

---

۵. تنظیم زمان‌بندی همگام‌سازی WSUS

برای اینکه WSUS به‌صورت خودکار به‌روزرسانی‌ها را از مایکروسافت دریافت کند، می‌توان زمان‌بندی همگام‌سازی را تنظیم کرد:

# تنظیم زمان‌بندی همگام‌سازی WSUS (روزانه ۱ بار)
$subscription = Get-WsusSubscription
$subscription.SynchronizeAutomatically = $true
$subscription.NumberOfSynchronizationsPerDay = 1
$subscription.Save()

✔ این اسکریپت WSUS را طوری تنظیم می‌کند که روزانه یک‌بار با سرورهای مایکروسافت همگام‌سازی شود.

اگر بخواهید همگام‌سازی را به‌صورت دستی اجرا کنید، از این دستور استفاده کنید:

# اجرای همگام‌سازی دستی WSUS
Start-WsusSync

✔ این دستور بلافاصله فرآیند همگام‌سازی را شروع می‌کند.

---

۶. بررسی وضعیت کلاینت‌ها و تأیید ارتباط با WSUS

پس از پیکربندی WSUS، کلاینت‌ها باید به آن متصل شوند و به‌روزرسانی‌ها را دریافت کنند. برای بررسی اینکه کلاینت‌ها به WSUS متصل هستند، از این دستور استفاده کنید:

# مشاهده لیست کلاینت‌های متصل به WSUS
Get-WsusComputer -All

✔ این دستور لیست تمام کلاینت‌های متصل به WSUS را نمایش می‌دهد.

---

جمع‌بندی

• WSUS را می‌توان با Windows Internal Database (WID) تنظیم کرد که برای محیط‌های کوچک و متوسط مناسب است.
• تنظیم مسیر ذخیره‌سازی به درایوی غیر از C:\ برای بهینه‌سازی عملکرد توصیه می‌شود.
• بررسی اتصال WSUS به WID با PowerShell امکان‌پذیر است.
• باز کردن پورت‌های لازم در فایروال برای اطمینان از ارتباط کلاینت‌ها ضروری است.
• تنظیم همگام‌سازی خودکار WSUS باعث می‌شود که همیشه آخرین به‌روزرسانی‌ها در دسترس باشند.
• بررسی کلاینت‌های متصل به WSUS به مدیران کمک می‌کند تا اطمینان حاصل کنند که کلاینت‌ها به‌درستی آپدیت‌ها را دریافت می‌کنند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیمات برای استفاده از SQL Server اختصاصی در WSUS” subtitle=”توضیحات کامل”]برای استفاده از یک SQL Server اختصاصی به‌جای Windows Internal Database (WID) در WSUS، باید تنظیمات مربوطه را انجام داده و اتصال WSUS به دیتابیس SQL Server را برقرار کنیم. این کار باعث بهبود عملکرد و افزایش قابلیت مدیریت دیتابیس می‌شود. در این بخش، مراحل نصب، پیکربندی و اتصال WSUS به SQL Server اختصاصی بررسی می‌شود.

---

۱. نصب نقش WSUS بدون استفاده از WID

در ابتدا، نقش WSUS را نصب می‌کنیم اما به‌جای WID، از SQL Server اختصاصی استفاده می‌کنیم. برای این کار از PowerShell استفاده کنید:

# نصب WSUS بدون دیتابیس WID و انتخاب SQL Server اختصاصی
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services -IncludeManagementTools

✔ این دستور نقش WSUS را نصب می‌کند اما از دیتابیس داخلی WID استفاده نمی‌کند.

---

۲. تنظیم مسیر ذخیره‌سازی آپدیت‌ها

WSUS به‌طور پیش‌فرض آپدیت‌ها را در درایو C ذخیره می‌کند، اما بهتر است مسیر آن را تغییر دهیم:

# ایجاد مسیر جدید برای ذخیره‌سازی آپدیت‌های WSUS
$WsusContent = "D:\WSUS"
New-Item -Path $WsusContent -ItemType Directory -Force

# اجرای اسکریپت پیکربندی با مسیر جدید
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" postinstall SQL_INSTANCE_NAME="SQLServerName\InstanceName" CONTENT_DIR="D:\WSUS"

✔ این دستور WSUS را به SQL Server متصل کرده و مسیر ذخیره‌سازی آپدیت‌ها را تنظیم می‌کند.

🔹 مقدار "SQLServerName\InstanceName" را با نام سرور و اینستنس SQL Server خود جایگزین کنید.

---

۳. تنظیمات فایروال برای SQL Server و WSUS

برای اینکه WSUS بتواند با SQL Server ارتباط برقرار کند، باید پورت‌های لازم در فایروال باز شوند:

# باز کردن پورت‌های SQL Server و WSUS در فایروال
New-NetFirewallRule -DisplayName "SQL Server 1433" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 1433
New-NetFirewallRule -DisplayName "SQL Server Browser 1434" -Direction Inbound -Action Allow -Protocol UDP -LocalPort 1434
New-NetFirewallRule -DisplayName "WSUS HTTP" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8530
New-NetFirewallRule -DisplayName "WSUS HTTPS" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8531

✔ این دستور پورت‌های ضروری برای SQL Server و WSUS را باز می‌کند.

---

۴. بررسی اتصال WSUS به SQL Server

پس از انجام تنظیمات، می‌توان اتصال WSUS به SQL Server را بررسی کرد:

# بررسی اتصال WSUS به SQL Server اختصاصی
$wsus = Get-WsusServer -Name localhost -Port 8530
$wsus

✔ این دستور بررسی می‌کند که آیا WSUS به‌درستی به SQL Server متصل شده است یا خیر.

---

۵. بررسی دیتابیس WSUS در SQL Server

برای اطمینان از اینکه دیتابیس WSUS به درستی در SQL Server ایجاد شده است، از این کوئری در SQL Server Management Studio (SSMS) استفاده کنید:

SELECT name FROM sys.databases WHERE name LIKE 'SUSDB';

✔ اگر دیتابیس SUSDB نمایش داده شد، یعنی WSUS به‌درستی به SQL Server متصل شده است.

---

۶. تنظیم زمان‌بندی همگام‌سازی WSUS

برای همگام‌سازی خودکار WSUS با سرورهای مایکروسافت، این اسکریپت را اجرا کنید:

# تنظیم زمان‌بندی همگام‌سازی WSUS (روزانه ۲ بار)
$subscription = Get-WsusSubscription
$subscription.SynchronizeAutomatically = $true
$subscription.NumberOfSynchronizationsPerDay = 2
$subscription.Save()

✔ این دستور زمان‌بندی همگام‌سازی را تنظیم می‌کند تا روزانه دو بار اجرا شود.

🔹 برای اجرای دستی همگام‌سازی:

Start-WsusSync

✔ این دستور بلافاصله WSUS را با سرورهای مایکروسافت همگام‌سازی می‌کند.

---

۷. بررسی کلاینت‌ها و تأیید ارتباط با WSUS

برای بررسی اینکه کلاینت‌ها به WSUS متصل هستند، از این دستور استفاده کنید:

# مشاهده لیست کلاینت‌های متصل به WSUS
Get-WsusComputer -All

✔ این دستور لیست تمام کلاینت‌هایی که به WSUS متصل شده‌اند را نمایش می‌دهد.

---

جمع‌بندی

• WSUS را می‌توان به یک SQL Server اختصاصی متصل کرد تا عملکرد بهتر و مدیریت دیتابیس بهتری داشته باشد.
• استفاده از SQL Server نیاز به تغییر مسیر ذخیره‌سازی آپدیت‌ها دارد که با دستور WsusUtil.exe انجام می‌شود.
• باز کردن پورت‌های فایروال برای SQL Server و WSUS ضروری است تا کلاینت‌ها بتوانند ارتباط برقرار کنند.
• اتصال WSUS به SQL Server باید بررسی شود و دیتابیس SUSDB باید در SQL Server ایجاد شده باشد.
• تنظیم زمان‌بندی همگام‌سازی WSUS کمک می‌کند که سرور همیشه به‌روز باشد.
• با بررسی لیست کلاینت‌ها، می‌توان از صحت اتصال دستگاه‌ها به WSUS اطمینان حاصل کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی ساختار فولدرها و Storage در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های پیکربندی WSUS، تعیین ساختار فولدرها و فضای ذخیره‌سازی (Storage) است. اگر مدیریت بهینه‌ای روی فولدرها و مسیر ذخیره‌سازی انجام نشود، ممکن است فضای دیسک پر شود و عملکرد سرور تحت تأثیر قرار بگیرد.

در این بخش، نحوه ساختاردهی مناسب فولدرها، انتقال مسیر ذخیره‌سازی، تعیین محدودیت فضا و بررسی وضعیت Storage در WSUS را آموزش می‌دهیم.

---

۱. تعیین مسیر مناسب برای ذخیره‌سازی آپدیت‌های WSUS

به‌طور پیش‌فرض، WSUS تمام آپدیت‌ها را در مسیر زیر ذخیره می‌کند:

C:\WSUS\WsusContent

🔹 این مسیر درایو C را اشغال می‌کند و ممکن است باعث کمبود فضای ذخیره‌سازی شود. بهتر است یک درایو اختصاصی برای این کار در نظر گرفته شود (مثلاً D:\WSUS).

برای تغییر مسیر ذخیره‌سازی، از این دستور استفاده کنید:

# تنظیم مسیر جدید برای ذخیره آپدیت‌های WSUS
$NewPath = "D:\WSUS"
New-Item -Path $NewPath -ItemType Directory -Force

# انتقال فایل‌های موجود به مسیر جدید
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent $NewPath "C:\WSUS\Move.log"

✔ این دستور تمام داده‌های WSUS را به مسیر جدید منتقل می‌کند و یک لاگ از انتقال را در فایل Move.log ثبت می‌کند.

---

۲. بررسی فضای ذخیره‌سازی موجود

قبل از اختصاص فضای جدید به WSUS، باید میزان فضای موجود در درایو را بررسی کنیم. این دستور مقدار فضای آزاد در تمام درایوها را نمایش می‌دهد:

# نمایش فضای آزاد دیسک برای تمام درایوها
Get-PSDrive -PSProvider FileSystem

✔ این دستور مشخص می‌کند که آیا فضای کافی برای ذخیره‌سازی آپدیت‌ها وجود دارد یا خیر.

---

۳. تنظیم محدودیت حجم پوشه WSUS

برای جلوگیری از اشغال بیش از حد فضای ذخیره‌سازی، می‌توان یک Storage Quota تنظیم کرد. مثلاً، اگر می‌خواهید WSUS حداکثر ۵۰۰ گیگابایت فضا مصرف کند، این دستور را اجرا کنید:

# تنظیم محدودیت 500GB روی پوشه WSUS
fsutil quota enforce /add D:\WSUS 500000000000

✔ این دستور محدودیت حجمی روی مسیر D:\WSUS اعمال می‌کند تا از پر شدن ناگهانی دیسک جلوگیری شود.

---

۴. پیکربندی Auto Cleanup برای آزادسازی فضای ذخیره‌سازی

WSUS به‌طور خودکار فایل‌های قدیمی را حذف نمی‌کند، بنابراین باید پاک‌سازی خودکار (Auto Cleanup) را فعال کنیم تا آپدیت‌های غیرضروری حذف شوند.

# حذف آپدیت‌های قدیمی و نامعتبر از WSUS
$cleanupManager = New-Object -ComObject Microsoft.UpdateServices.Administration.WsusCleanupManager
$cleanupManager.PerformCleanup($true, $true, $true, $true, $true, $true)

✔ این دستور تمام آپدیت‌های قدیمی و نامعتبر را حذف می‌کند و فضای دیسک را آزاد می‌سازد.

---

۵. تنظیم ذخیره‌سازی در یک فضای شبکه‌ای (NAS یا SAN)

اگر می‌خواهید WSUS را به یک ذخیره‌ساز شبکه‌ای متصل کنید، باید مسیر WsusContent را روی یک Shared Folder قرار دهید.

ایجاد مسیر اشتراکی برای ذخیره‌سازی آپدیت‌ها:

# ایجاد یک فولدر اشتراکی روی سرور ذخیره‌سازی
New-SmbShare -Name "WSUSUpdates" -Path "E:\WSUS" -FullAccess "WSUSAdmin"

✔ این دستور یک فولدر اشتراکی ایجاد می‌کند که WSUS می‌تواند از آن به‌عنوان مسیر ذخیره‌سازی استفاده کند.

انتقال محتوا به مسیر شبکه‌ای:

# انتقال داده‌های WSUS به فولدر اشتراکی
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent "\\NAS-Server\WSUSUpdates" "C:\WSUS\Move.log"

✔ این دستور تمام محتویات WSUS را به یک سرور ذخیره‌سازی شبکه‌ای انتقال می‌دهد.

---

۶. بررسی وضعیت Storage و حذف فایل‌های اضافی

برای بررسی وضعیت فضای دیسک و حذف فایل‌های غیرضروری، این اسکریپت را اجرا کنید:

# بررسی حجم فولدر WSUS
Get-ChildItem "D:\WSUS" -Recurse | Measure-Object -Property Length -Sum

# حذف لاگ‌های قدیمی‌تر از 30 روز برای آزادسازی فضای دیسک
Get-ChildItem "C:\Program Files\Update Services\LogFiles" -Filter "*.log" | Where-Object {$_.LastWriteTime -lt (Get-Date).AddDays(-30)} | Remove-Item

✔ این دستورات حجم فولدر WSUS را بررسی کرده و لاگ‌های قدیمی را حذف می‌کنند تا فضای بیشتری آزاد شود.

---

جمع‌بندی

• WSUS به‌طور پیش‌فرض از درایو C برای ذخیره‌سازی آپدیت‌ها استفاده می‌کند، اما می‌توان مسیر را تغییر داد تا از درایو دیگری مانند D یا فضای شبکه‌ای (NAS/SAN) استفاده کند.
• برای بهینه‌سازی Storage، می‌توان محدودیت حجمی تعیین کرد تا WSUS بیش از حد فضای دیسک را اشغال نکند.
• با استفاده از قابلیت Auto Cleanup، می‌توان فایل‌های قدیمی و نامعتبر را حذف کرد تا فضای ذخیره‌سازی بهینه شود.
• اگر فضای دیسک کم است، می‌توان مسیر WSUS را به یک فضای شبکه‌ای متصل کرد تا آپدیت‌ها در یک NAS/SAN ذخیره شوند.
• بررسی وضعیت Storage و حذف فایل‌های غیرضروری به بهینه‌سازی عملکرد WSUS کمک می‌کند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی فضای مورد نیاز برای ذخیره‌سازی به‌روزرسانی‌ها در WSUS” subtitle=”توضیحات کامل”]برای عملکرد بهینه WSUS، باید فضای کافی برای ذخیره‌سازی آپدیت‌ها، پایگاه داده و گزارش‌ها در نظر گرفته شود. میزان فضای مورد نیاز به عوامل مختلفی بستگی دارد، از جمله تعداد کلاینت‌ها، نوع آپدیت‌ها و مدت زمان نگهداری به‌روزرسانی‌های قدیمی. در این بخش، روش‌های بررسی فضای مورد نیاز، نحوه تحلیل میزان استفاده و مدیریت بهتر آن توضیح داده می‌شود.

---

۱. تخمین فضای مورد نیاز برای ذخیره‌سازی آپدیت‌های WSUS

برای تعیین میزان فضای مورد نیاز، جدول زیر یک راهنمای کلی بر اساس تعداد کلاینت‌ها و نوع به‌روزرسانی‌ها ارائه می‌دهد:

تعداد کلاینت‌ها	فقط به‌روزرسانی‌های امنیتی	تمامی به‌روزرسانی‌ها
۱۰۰	۳۰ – ۵۰ گیگابایت	۱۰۰ – ۱۵۰ گیگابایت
۵۰۰	۱۰۰ – ۱۵۰ گیگابایت	۳۰۰ – ۵۰۰ گیگابایت
۱۰۰۰	۲۰۰ – ۳۰۰ گیگابایت	۷۰۰ – ۱۰۰۰ گیگابایت
۵۰۰۰	۸۰۰ – ۱۲۰۰ گیگابایت	۲۵۰۰ – ۳۰۰۰ گیگابایت

✔ این اعداد تقریبی هستند و بسته به تعداد آپدیت‌های انتخاب‌شده و حذف به‌روزرسانی‌های قدیمی ممکن است تغییر کنند.

---

۲. بررسی میزان فضای اشغال‌شده توسط WSUS

برای مشاهده حجم اشغال‌شده توسط WSUS، می‌توان از این دستورات استفاده کرد:

۱. بررسی حجم پوشه WsusContent

Get-ChildItem "E:\WSUS\WsusContent" -Recurse | Measure-Object -Property Length -Sum

✔ این دستور حجم کلی آپدیت‌های ذخیره‌شده را محاسبه می‌کند.

۲. بررسی حجم پایگاه داده WSUS

اگر از WID (Windows Internal Database) استفاده می‌شود:

Get-Item "C:\Windows\WID\Data\SUSDB.mdf" | Select-Object Name, @{Name="Size(GB)";Expression={$_.length / 1GB}}

✔ این دستور حجم فایل دیتابیس SUSDB.mdf را نمایش می‌دهد.

اگر از SQL Server استفاده می‌شود، می‌توان این دستور را در SQL Management Studio (SSMS) اجرا کرد:

USE SUSDB;
SELECT name, size * 8 / 1024 AS Size_MB FROM sys.master_files;

✔ این کوئری حجم دیتابیس WSUS را بر حسب مگابایت نمایش می‌دهد.

---

۳. بررسی فضای خالی دیسک برای ذخیره‌سازی WSUS

برای مشاهده میزان فضای خالی دیسک‌های سرور، از این دستور استفاده کنید:

Get-PSDrive -PSProvider FileSystem

✔ این دستور لیست تمامی درایوها و میزان فضای آزاد آن‌ها را نمایش می‌دهد.

🔹 اگر فضای کافی وجود ندارد، باید آپدیت‌های قدیمی حذف شوند یا مسیر ذخیره‌سازی تغییر کند.

---

۴. حذف به‌روزرسانی‌های قدیمی و آزادسازی فضای اشغال‌شده

برای پاک‌سازی خودکار آپدیت‌های قدیمی و نامعتبر، این دستور را اجرا کنید:

$cleanupManager = New-Object -ComObject Microsoft.UpdateServices.Administration.WsusCleanupManager
$cleanupManager.PerformCleanup($true, $true, $true, $true, $true, $true)

✔ این دستور به‌روزرسانی‌های قدیمی، غیرفعال و نامعتبر را حذف می‌کند و فضای اشغال‌شده را کاهش می‌دهد.

🔹 همچنین می‌توان از WSUS Cleanup Wizard به‌صورت گرافیکی استفاده کرد:

۱. کنسول WSUS را باز کنید.
۲. به Options > Server Cleanup Wizard بروید.
3. گزینه‌های Expired Updates, Superseded Updates, Unused Updates and Revisions را انتخاب کنید.
4. فرآیند پاک‌سازی را اجرا کنید.

---

۵. تغییر مسیر ذخیره‌سازی برای افزایش فضای در دسترس

اگر فضای درایو C: رو به اتمام است، می‌توان مسیر ذخیره‌سازی را تغییر داد.

🔹 برای انتقال WsusContent به درایو جدید (مثلاً E:)، از این دستور استفاده کنید:

$NewPath = "E:\WSUS"
New-Item -Path $NewPath -ItemType Directory -Force
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent $NewPath "C:\WSUS\Move.log"

✔ این دستور تمام محتویات WsusContent را به مسیر جدید منتقل می‌کند و گزارشی در Move.log ذخیره می‌شود.

---

۶. تنظیم یک محدودیت حجمی (Quota) برای WSUS

برای جلوگیری از اشغال بیش از حد فضای ذخیره‌سازی، می‌توان یک محدودیت حجمی (Quota) روی درایو WSUS اعمال کرد.

🔹 برای محدود کردن فضای WSUS به ۵۰۰ گیگابایت، این دستور را اجرا کنید:

fsutil quota enforce /add E:\WSUS 500000000000

✔ این دستور یک محدودیت ۵۰۰ گیگابایتی برای WSUS اعمال می‌کند تا فضای سرور کنترل شود.

---

۷. استفاده از Compression برای کاهش فضای اشغال‌شده

می‌توان از قابلیت NTFS Compression برای کاهش فضای اشغال‌شده استفاده کرد.

🔹 برای فشرده‌سازی فولدر WsusContent، این دستور را اجرا کنید:

compact /c /s:E:\WSUS\WsusContent

✔ این دستور تمام فایل‌های داخل WsusContent را فشرده‌سازی می‌کند و فضای ذخیره‌سازی را کاهش می‌دهد.

---

جمع‌بندی

• برای مدیریت فضای ذخیره‌سازی WSUS، باید میزان فضای مورد نیاز را بر اساس تعداد کلاینت‌ها و نوع آپدیت‌ها تخمین زد.
• با اجرای دستورات PowerShell می‌توان حجم فولدر WsusContent، پایگاه داده و فضای کلی دیسک را بررسی کرد.
• پاک‌سازی خودکار آپدیت‌های قدیمی با استفاده از WSUS Cleanup Wizard و PowerShell باعث کاهش فضای اشغال‌شده می‌شود.
• در صورت کمبود فضا، باید مسیر ذخیره‌سازی WSUS به یک درایو دیگر منتقل شود.
• با تنظیم Storage Quota و استفاده از NTFS Compression، می‌توان میزان فضای اشغال‌شده را کنترل کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”تنظیم مسیر ذخیره‌سازی و پارتیشن‌بندی مناسب در WSUS” subtitle=”توضیحات کامل”]برای عملکرد بهینه WSUS، باید یک استراتژی مناسب برای ذخیره‌سازی و پارتیشن‌بندی انتخاب شود تا فضای کافی برای به‌روزرسانی‌ها و لاگ‌های سرور فراهم گردد. در این بخش، روش‌های انتخاب مسیر مناسب، ایجاد پارتیشن جداگانه و تغییر مسیر ذخیره‌سازی آپدیت‌های WSUS را توضیح می‌دهیم.

---

۱. انتخاب مسیر ذخیره‌سازی مناسب برای WSUS

به‌صورت پیش‌فرض، WSUS فایل‌های به‌روزرسانی را در مسیر زیر ذخیره می‌کند:

C:\WSUS\WsusContent

🔹 این مسیر روی درایو C قرار دارد که می‌تواند باعث پر شدن فضای دیسک سیستم‌عامل شود. بهترین راهکار، ایجاد یک پارتیشن مجزا (مثلاً درایو D یا E) برای ذخیره‌سازی آپدیت‌ها است.

برای مشاهده لیست درایوهای موجود و فضای خالی، می‌توان از این دستور استفاده کرد:

Get-PSDrive -PSProvider FileSystem

✔ این دستور تمام درایوهای موجود و میزان فضای آزاد آن‌ها را نمایش می‌دهد.

---

۲. ایجاد یک پارتیشن جدید برای ذخیره‌سازی WSUS

اگر قصد دارید یک پارتیشن مجزا برای WSUS ایجاد کنید، مراحل زیر را دنبال کنید:

۱. بررسی دیسک‌های موجود و انتخاب فضای آزاد

ابتدا لیست دیسک‌های موجود را بررسی کنید:

Get-Disk

✔ این دستور لیستی از دیسک‌های متصل به سرور را نمایش می‌دهد و نشان می‌دهد کدام دیسک‌ها فضای خالی دارند.

۲. ایجاد یک پارتیشن جدید و فرمت کردن آن

مثلاً اگر دیسک شماره 2 دارای فضای خالی است، برای ایجاد یک درایو جدید (مثلاً E:) از این دستور استفاده کنید:

New-Partition -DiskNumber 2 -UseMaximumSize -AssignDriveLetter E | Format-Volume -FileSystem NTFS -NewFileSystemLabel "WSUSStorage"

✔ این دستور یک پارتیشن جدید روی دیسک 2 ایجاد می‌کند، آن را به E: اختصاص می‌دهد و با فرمت NTFS آماده‌سازی می‌کند.

---

۳. تغییر مسیر ذخیره‌سازی آپدیت‌های WSUS

بعد از ایجاد پارتیشن جدید، باید مسیر پیش‌فرض WSUS را به مسیر جدید منتقل کرد.

🔹 فرض کنیم مسیر جدید E:\WSUS باشد. برای انتقال محتویات WSUS، این دستور را اجرا کنید:

$NewPath = "E:\WSUS"
New-Item -Path $NewPath -ItemType Directory -Force
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent $NewPath "C:\WSUS\Move.log"

✔ این دستور محتویات قبلی WSUS را به درایو E: منتقل می‌کند و گزارشی از انتقال در Move.log ثبت می‌کند.

---

۴. بررسی و بهینه‌سازی فضای ذخیره‌سازی WSUS

برای بررسی میزان فضای اشغال‌شده توسط WSUS، این دستور را اجرا کنید:

Get-ChildItem "E:\WSUS" -Recurse | Measure-Object -Property Length -Sum

✔ این دستور حجم کلی فایل‌های WSUS را نمایش می‌دهد.

🔹 اگر فضای ذخیره‌سازی محدود است، می‌توان پوشه‌های موقتی و آپدیت‌های قدیمی را حذف کرد:

$cleanupManager = New-Object -ComObject Microsoft.UpdateServices.Administration.WsusCleanupManager
$cleanupManager.PerformCleanup($true, $true, $true, $true, $true, $true)

✔ این دستور آپدیت‌های قدیمی و نامعتبر را حذف کرده و فضای اشغال‌شده را آزاد می‌کند.

---

۵. تنظیم یک فضای ذخیره‌سازی شبکه‌ای (NAS یا SAN) برای WSUS

اگر قصد دارید از یک فضای ذخیره‌سازی شبکه‌ای (NAS/SAN) برای WSUS استفاده کنید، باید مسیر WsusContent را روی یک Shared Folder قرار دهید.

🔹 برای ایجاد یک فولدر اشتراکی برای WSUS، این دستور را اجرا کنید:

New-SmbShare -Name "WSUSUpdates" -Path "E:\WSUS" -FullAccess "WSUSAdmin"

✔ این دستور یک فولدر اشتراکی ایجاد می‌کند که WSUS می‌تواند از آن استفاده کند.

🔹 سپس، انتقال محتوا به مسیر شبکه‌ای را انجام دهید:

& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent "\\NAS-Server\WSUSUpdates" "C:\WSUS\Move.log"

✔ این دستور تمام محتویات WSUS را به سرور ذخیره‌سازی شبکه‌ای منتقل می‌کند.

---

۶. تنظیم محدودیت حجمی برای جلوگیری از پر شدن فضای دیسک

اگر می‌خواهید میزان استفاده از فضای ذخیره‌سازی WSUS را کنترل کنید، می‌توانید Storage Quota تنظیم کنید.

🔹 برای محدود کردن فضای WSUS به ۵۰۰ گیگابایت، این دستور را اجرا کنید:

fsutil quota enforce /add E:\WSUS 500000000000

✔ این دستور محدودیت حجمی ۵۰۰ گیگابایت روی فولدر E:\WSUS اعمال می‌کند.

---

جمع‌بندی

• بهترین روش برای ذخیره‌سازی WSUS، ایجاد یک پارتیشن اختصاصی (مثلاً E:) است تا از پر شدن فضای درایو C: جلوگیری شود.
• برای تغییر مسیر ذخیره‌سازی، باید محتوای WSUS را به مسیر جدید منتقل کرده و مسیر جدید را در تنظیمات پیکربندی کرد.
• با استفاده از Auto Cleanup، می‌توان فایل‌های غیرضروری را حذف کرد تا فضای ذخیره‌سازی بهینه شود.
• در صورت نیاز به ذخیره‌سازی شبکه‌ای، می‌توان مسیر WsusContent را روی یک Shared Folder در NAS یا SAN تنظیم کرد.
• با تنظیم Storage Quota، می‌توان میزان فضای اشغال‌شده توسط WSUS را مدیریت کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”مدیریت و پاک‌سازی فضای ذخیره‌سازی در WSUS” subtitle=”توضیحات کامل”]در محیط‌های سازمانی که WSUS برای مدیریت به‌روزرسانی‌ها استفاده می‌شود، فضای ذخیره‌سازی ممکن است به مرور زمان پر شود. در این بخش، روش‌های مدیریت و پاک‌سازی فضای اشغال‌شده، حذف آپدیت‌های قدیمی و غیرضروری، فشرده‌سازی و تغییر مسیر ذخیره‌سازی را بررسی خواهیم کرد.

---

۱. بررسی میزان فضای اشغال‌شده و دیسک‌های موجود

قبل از هر اقدامی، ابتدا باید حجم اشغال‌شده توسط WSUS و فضای خالی درایوها بررسی شود.

بررسی حجم فولدر WsusContent

Get-ChildItem "E:\WSUS\WsusContent" -Recurse | Measure-Object -Property Length -Sum

✔ این دستور، حجم کل فولدر WsusContent را بر حسب بایت نمایش می‌دهد.

بررسی حجم دیتابیس WSUS (WID و SQL Server)

🔹 اگر از Windows Internal Database (WID) استفاده می‌شود:

Get-Item "C:\Windows\WID\Data\SUSDB.mdf" | Select-Object Name, @{Name="Size(GB)";Expression={$_.length / 1GB}}

🔹 اگر از SQL Server استفاده می‌شود:

USE SUSDB;
SELECT name, size * 8 / 1024 AS Size_MB FROM sys.master_files;

✔ این کوئری، حجم دیتابیس WSUS را در مگابایت نمایش می‌دهد.

بررسی میزان فضای خالی درایوها

Get-PSDrive -PSProvider FileSystem

✔ این دستور، تمامی درایوها و مقدار فضای آزاد موجود را نشان می‌دهد.

---

۲. حذف به‌روزرسانی‌های قدیمی و غیرضروری در WSUS

WSUS به‌طور خودکار به‌روزرسانی‌هایی که دیگر استفاده نمی‌شوند را حذف نمی‌کند. برای آزادسازی فضای اشغال‌شده، باید از WSUS Cleanup Wizard یا PowerShell استفاده شود.

حذف به‌روزرسانی‌های منقضی‌شده و غیرضروری (روش خودکار با PowerShell)

$cleanupManager = New-Object -ComObject Microsoft.UpdateServices.Administration.WsusCleanupManager
$cleanupManager.PerformCleanup($true, $true, $true, $true, $true, $true)

✔ این دستور، آپدیت‌های غیرضروری، قدیمی و بدون استفاده را حذف کرده و فضای دیسک را آزاد می‌کند.

حذف دستی آپدیت‌های قدیمی از دیتابیس WSUS (SQL Server)

USE SUSDB;
DELETE FROM tbUpdate WHERE UpdateID IN (SELECT UpdateID FROM tbRevision WHERE IsSuperseded = 1);

✔ این کوئری، تمامی به‌روزرسانی‌هایی که دیگر استفاده نمی‌شوند را از پایگاه داده حذف می‌کند.

---

۳. انتقال مسیر ذخیره‌سازی WsusContent به درایو دیگر

اگر فضای درایو فعلی کافی نباشد، می‌توان مکان ذخیره‌سازی WSUS را به یک درایو دیگر منتقل کرد.

انتقال WsusContent به درایو E:

$NewPath = "E:\WSUS"
New-Item -Path $NewPath -ItemType Directory -Force
& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent $NewPath "C:\WSUS\Move.log"

✔ این دستور، تمامی فایل‌های آپدیت را به مسیر جدید انتقال داده و گزارشی در Move.log ذخیره می‌کند.

---

۴. تنظیم یک محدودیت حجمی (Quota) برای جلوگیری از پر شدن دیسک

🔹 برای محدود کردن فضای اشغال‌شده توسط WSUS به ۵۰۰ گیگابایت، از این دستور استفاده کنید:

fsutil quota enforce /add E:\WSUS 500000000000

✔ این دستور، یک محدودیت ۵۰۰ گیگابایتی برای فولدر WSUS اعمال می‌کند.

---

۵. فشرده‌سازی فضای اشغال‌شده برای کاهش حجم WSUS

اگر فضای ذخیره‌سازی محدود باشد، می‌توان فشرده‌سازی فولدر WsusContent را فعال کرد.

فعال‌سازی فشرده‌سازی NTFS روی WsusContent

compact /c /s:E:\WSUS\WsusContent

✔ این دستور، تمام فایل‌های ذخیره‌شده در WsusContent را فشرده‌سازی کرده و میزان فضای اشغال‌شده را کاهش می‌دهد.

---

۶. حذف فایل‌های قدیمی و غیرفعال از دیتابیس WSUS

پاک‌سازی Metadata به‌روزرسانی‌های قدیمی

USE SUSDB;
DELETE FROM tbRevision WHERE IsSuperseded = 1;
DELETE FROM tbLocalizedPropertyForRevision WHERE NOT EXISTS (SELECT 1 FROM tbRevision WHERE tbRevision.RevisionID = tbLocalizedPropertyForRevision.RevisionID);

✔ این کوئری، به‌روزرسانی‌های قدیمی که دیگر مورد نیاز نیستند را از دیتابیس حذف می‌کند.

---

۷. کاهش حجم دیتابیس WSUS با اجرای عملیات Shrink

🔹 پس از حذف آپدیت‌های قدیمی، می‌توان حجم دیتابیس WSUS را کاهش داد:

USE SUSDB;
DBCC SHRINKDATABASE (SUSDB, 10);

✔ این دستور، حجم دیتابیس WSUS را کاهش داده و فضای آزاد را بازیابی می‌کند.

---

جمع‌بندی

• بررسی میزان فضای اشغال‌شده توسط WSUS با دستورات PowerShell و SQL
• پاک‌سازی آپدیت‌های قدیمی و غیرضروری برای کاهش فضای اشغال‌شده
• انتقال مسیر ذخیره‌سازی WsusContent به یک درایو دیگر در صورت کمبود فضا
• اعمال محدودیت حجمی (Quota) برای جلوگیری از پر شدن فضای دیسک
• فشرده‌سازی WsusContent برای کاهش میزان فضای اشغال‌شده
• حذف Metadata و آپدیت‌های غیرضروری از دیتابیس WSUS و انجام عملیات Shrink برای کاهش حجم پایگاه داده

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۴. تنظیمات اولیه شبکه برای WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی ارتباطات اینترنتی و نیازهای پهنای باند در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین جنبه‌های پیکربندی WSUS، بررسی ارتباطات اینترنتی و مدیریت پهنای باند است. از آنجا که WSUS نیاز به دانلود به‌روزرسانی‌ها از سرورهای مایکروسافت دارد، پهنای باند موردنیاز باید به‌درستی تخمین زده شود و محدودیت‌های مناسب برای جلوگیری از اشباع شبکه اعمال شوند. در این بخش، روش‌های بررسی ارتباطات، محاسبه پهنای باند و بهینه‌سازی مصرف اینترنت در WSUS ارائه خواهد شد.

---

۱. بررسی ارتباطات اینترنتی WSUS با سرورهای مایکروسافت

WSUS برای دانلود به‌روزرسانی‌ها به ارتباط پایدار با سرورهای مایکروسافت نیاز دارد. برای بررسی این ارتباط، می‌توان از دستورات PowerShell و ابزارهای شبکه استفاده کرد.

بررسی وضعیت اتصال WSUS به سرورهای مایکروسافت

Test-NetConnection -ComputerName download.windowsupdate.com -Port 80
Test-NetConnection -ComputerName download.windowsupdate.com -Port 443

✔ این دستورات، وضعیت اتصال WSUS به سرورهای اصلی به‌روزرسانی مایکروسافت را بررسی می‌کنند.

بررسی دسترسی به سرورهای موردنیاز WSUS

Resolve-DnsName -Name windowsupdate.microsoft.com
Resolve-DnsName -Name wsus.microsoft.com
Resolve-DnsName -Name fe2.update.microsoft.com

✔ اگر این دستورات آدرس IP معتبر را بازگردانند، ارتباط اینترنتی با سرورهای WSUS برقرار است.

بررسی ترافیک شبکه برای WSUS

Get-NetAdapterStatistics

✔ این دستور، میزان داده‌های ارسال و دریافت‌شده توسط کارت شبکه را نمایش می‌دهد.

---

۲. محاسبه پهنای باند موردنیاز برای WSUS

میزان پهنای باند مصرفی WSUS به چند عامل بستگی دارد:

• تعداد کلاینت‌ها (سیستم‌های متصل به WSUS)
• حجم به‌روزرسانی‌های دانلودشده
• فرکانس همگام‌سازی با سرور مایکروسافت

تخمین حجم دانلود برای کلاینت‌ها

🔹 برای مثال، اگر ۵۰ کلاینت در شبکه وجود داشته باشد و هر کدام حدود ۵۰۰ مگابایت به‌روزرسانی در ماه دریافت کنند:

🔹 حجم کل دانلود موردنیاز:
50 × 500MB = 25GB در ماه

🔹 اگر همگام‌سازی به‌صورت روزانه انجام شود:
25GB ÷ 30 روز = 833MB در روز

🔹 اگر همگام‌سازی هر ۶ ساعت انجام شود:
833MB ÷ 4 = 208MB در هر همگام‌سازی

✔ با توجه به این ارقام، برای جلوگیری از اشباع شبکه، می‌توان محدودیت‌های پهنای باند را تنظیم کرد.

---

۳. بهینه‌سازی مصرف پهنای باند WSUS

فعال‌سازی Background Intelligent Transfer Service (BITS) برای کنترل سرعت دانلود

BITS به مدیریت پهنای باند دانلود به‌روزرسانی‌ها کمک می‌کند تا عملکرد شبکه مختل نشود.

🔹 بررسی تنظیمات فعلی BITS در WSUS:

Get-WsusServer | Select-Object BitsDownloadPriority

🔹 تنظیم محدودیت پهنای باند روی ۱۰Mbps:

Set-WsusServer -BitsDownloadPriority Normal
Set-WsusServer -BitsMaxBandwidth 10000

✔ این تنظیمات سرعت دانلود به‌روزرسانی‌ها را به ۱۰ مگابیت بر ثانیه محدود می‌کند.

---

۴. تنظیم محدودیت پهنای باند در فایروال و روتر

اگر سازمانی نیاز به مدیریت بیشتر پهنای باند WSUS داشته باشد، می‌توان QoS (Quality of Service) را در فایروال یا روتر تنظیم کرد.

تنظیم QoS برای WSUS در ویندوز سرور

🔹 ایجاد یک قانون QoS برای محدود کردن مصرف پهنای باند WSUS

New-NetQosPolicy -Name "WSUSLimit" -AppPathNameMatchCondition "C:\Program Files\Update Services\service\WsusService.exe" -ThrottleRateActionBitsPerSecond 5000000

✔ این دستور، پهنای باند WSUS را به ۵Mbps محدود می‌کند.

---

۵. زمان‌بندی دانلود به‌روزرسانی‌ها در ساعات کم ترافیک

برای جلوگیری از اشغال پهنای باند، می‌توان دانلود به‌روزرسانی‌ها را در ساعات کم‌بار شبکه (مانند شب‌ها) تنظیم کرد.

تنظیم زمان‌بندی همگام‌سازی WSUS به ساعت ۲ بامداد

$wsus = Get-WsusServer
$subscription = $wsus.GetSubscription()
$subscription.SynchronizeAutomatically = $true
$subscription.SynchronizeTimeOfDay = [datetime]"02:00:00"
$subscription.Save()

✔ این تنظیم، WSUS را طوری پیکربندی می‌کند که همگام‌سازی فقط در ساعت ۲ بامداد انجام شود.

---

۶. استفاده از Express Updates برای کاهش مصرف پهنای باند

Express Updates باعث می‌شود کلاینت‌ها فقط بخشی از به‌روزرسانی‌ها که نیاز دارند را دانلود کنند و مصرف پهنای باند کاهش یابد.

فعال‌سازی Express Updates در WSUS

🔹 بررسی وضعیت فعلی:

(Get-WsusServer).GetConfiguration().DownloadExpressPackages

🔹 فعال‌سازی Express Updates:

$config = (Get-WsusServer).GetConfiguration()
$config.DownloadExpressPackages = $true
$config.Save()

✔ با این روش، کلاینت‌ها فقط قسمت‌های موردنیاز آپدیت‌ها را دانلود می‌کنند و مصرف پهنای باند کاهش می‌یابد.

---

۷. استفاده از BranchCache برای ذخیره و به‌اشتراک‌گذاری به‌روزرسانی‌ها

اگر در شبکه‌ای چندین کلاینت از یک سرور WSUS به‌روزرسانی دریافت کنند، می‌توان از BranchCache برای ذخیره و توزیع آپدیت‌ها در داخل شبکه استفاده کرد.

فعال‌سازی BranchCache در WSUS

Enable-WindowsOptionalFeature -Online -FeatureName BranchCache
netsh branchcache set service mode=HOSTEDCLIENT

✔ این روش به کاهش مصرف پهنای باند اینترنت و استفاده از شبکه داخلی کمک می‌کند.

---

جمع‌بندی

• بررسی وضعیت اتصال WSUS به سرورهای مایکروسافت با دستورات Test-NetConnection و Resolve-DnsName
• محاسبه پهنای باند مصرفی WSUS با توجه به تعداد کلاینت‌ها و حجم دانلود ماهانه
• بهینه‌سازی مصرف پهنای باند با استفاده از BITS و QoS
• زمان‌بندی دانلود به‌روزرسانی‌ها در ساعات کم‌بار شبکه
• فعال‌سازی Express Updates برای کاهش حجم دانلودی هر کلاینت
• استفاده از BranchCache برای ذخیره و توزیع آپدیت‌ها در شبکه داخلی

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”پیکربندی Proxy Server برای ارتباط WSUS با Microsoft Update” subtitle=”توضیحات کامل”]در برخی محیط‌های سازمانی، سرور WSUS نمی‌تواند به‌طور مستقیم به اینترنت متصل شود و برای دانلود به‌روزرسانی‌ها باید از Proxy Server استفاده کند. پیکربندی صحیح پراکسی در WSUS به شما این امکان را می‌دهد که بدون نیاز به اتصال مستقیم به اینترنت، همچنان به‌روزرسانی‌ها را از Microsoft Update دریافت کنید.

در این بخش، پیکربندی پراکسی در WSUS به‌صورت گرافیکی و کامندی ارائه خواهد شد.

---

۱. بررسی نیاز به Proxy Server در WSUS

اگر WSUS مستقیماً به اینترنت متصل نیست، ابتدا باید بررسی کنید که آیا نیاز به پراکسی دارید یا خیر. برای این کار، از دستور زیر در PowerShell استفاده کنید:

Test-NetConnection -ComputerName download.windowsupdate.com -Port 80
Test-NetConnection -ComputerName download.windowsupdate.com -Port 443

✔ اگر ارتباط برقرار نشود، باید از پراکسی استفاده کنید.

---

۲. تنظیم پراکسی در WSUS از طریق کنسول گرافیکی

🔹 ۱. باز کردن کنسول WSUS:
۱. Server Manager را باز کنید.
۲. از بخش Tools، گزینه Windows Server Update Services را انتخاب کنید.
۳. در کنسول WSUS، روی نام سرور کلیک راست کرده و گزینه “Options” را انتخاب کنید.
۴. گزینه “Update Source and Proxy Server” را باز کنید.

🔹 ۲. تنظیم اطلاعات Proxy Server:
۱. به تب “Proxy Server” بروید.
۲. گزینه “Use a proxy server when synchronizing” را فعال کنید.
۳. اطلاعات پراکسی را وارد کنید:

• Server name: آدرس پراکسی
• Port: شماره پورت پراکسی (معمولاً ۸۰ یا ۳۱۲۸)
  ۴. اگر پراکسی برای احراز هویت نیاز به نام کاربری و رمز عبور دارد، گزینه “Use user credentials to connect to the proxy server” را فعال کرده و اطلاعات را وارد کنید.
  ۵. روی “Apply” و سپس “OK” کلیک کنید.

✔ اکنون WSUS از طریق پراکسی به سرورهای Microsoft Update متصل خواهد شد.

---

۳. تنظیم پراکسی در WSUS از طریق PowerShell

اگر بخواهید پراکسی را به‌صورت کامندی پیکربندی کنید، می‌توانید از PowerShell استفاده کنید.

🔹 تنظیم پراکسی در WSUS با دستور PowerShell:

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config.ProxyName = "proxy.example.com"
$config.ProxyPort = 8080
$config.Save()

✔ این دستور، پراکسی را روی سرور WSUS با آدرس proxy.example.com و پورت 8080 تنظیم می‌کند.

🔹 تنظیم پراکسی همراه با احراز هویت

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config.ProxyName = "proxy.example.com"
$config.ProxyPort = 8080
$config.ProxyUserName = "Domain\User"
$config.SetProxyPassword("YourPassword")
$config.Save()

✔ این دستور، پراکسی را به همراه نام کاربری و رمز عبور تنظیم می‌کند.

🔹 بررسی تنظیمات پراکسی در WSUS

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config | Select-Object ProxyName, ProxyPort, ProxyUserName

✔ این دستور، اطلاعات پراکسی فعلی را نمایش می‌دهد.

🔹 حذف پراکسی از WSUS

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config.ProxyName = $null
$config.ProxyPort = 0
$config.ProxyUserName = $null
$config.SetProxyPassword("")
$config.Save()

✔ این دستور، پراکسی را غیرفعال می‌کند و WSUS را برای ارتباط مستقیم تنظیم می‌کند.

---

۴. بررسی اتصال WSUS به Microsoft Update پس از تنظیم پراکسی

بعد از انجام تنظیمات، بررسی کنید که آیا WSUS می‌تواند از طریق پراکسی به سرورهای Microsoft Update متصل شود.

🔹 بررسی اتصال با استفاده از PowerShell:

Test-NetConnection -ComputerName windowsupdate.microsoft.com -Port 443

✔ اگر نتیجه True باشد، یعنی WSUS با موفقیت از طریق پراکسی متصل شده است.

🔹 بررسی صحت ارتباط از طریق همگام‌سازی دستی WSUS:

$wsus = Get-WsusServer
$subscription = $wsus.GetSubscription()
$subscription.StartSynchronization()

✔ این دستور، یک همگام‌سازی دستی آغاز می‌کند تا بررسی کنید که ارتباط از طریق پراکسی کار می‌کند.

🔹 بررسی وضعیت همگام‌سازی در Event Viewer:

۱. Event Viewer را باز کنید.
۲. به مسیر زیر بروید:

Applications and Services Logs → Microsoft → Windows → WindowsUpdateServer → Operational

۳. خطاهای احتمالی مربوط به ارتباط اینترنتی را بررسی کنید.

---

۵. مدیریت و رفع اشکال تنظیمات پراکسی در WSUS

✔ اگر WSUS هنوز قادر به اتصال به اینترنت نیست، مراحل زیر را بررسی کنید:

✅ بررسی تنظیمات فایروال

• پورت‌های ۸۰، ۴۴۳ و ۸۵۳۰ در فایروال باز باشند.
• بررسی کنید که WSUS ترافیک را از طریق پراکسی ارسال می‌کند:

netsh winhttp show proxy

✅ پاک‌سازی کش تنظیمات پراکسی

• اگر تغییری در پراکسی انجام داده‌اید و هنوز اتصال برقرار نیست، می‌توانید تنظیمات کش را پاک کنید:

netsh winhttp reset proxy
Restart-Service WsusService

✅ بررسی ارتباط دستی با پراکسی

• برای بررسی دستی ارتباط پراکسی، از curl یا Invoke-WebRequest استفاده کنید:

Invoke-WebRequest -Uri "https://download.windowsupdate.com" -Proxy "http://proxy.example.com:8080"

✔ اگر این دستور خطایی برگرداند، بررسی کنید که پراکسی به درستی تنظیم شده است.

---

جمع‌بندی

• اگر WSUS مستقیماً به اینترنت متصل نیست، باید از پراکسی سرور استفاده شود.
• پیکربندی پراکسی از طریق کنسول WSUS و PowerShell امکان‌پذیر است.
• احراز هویت پراکسی را می‌توان از طریق PowerShell تنظیم کرد.
• پس از پیکربندی پراکسی، باید اتصال را بررسی و صحت همگام‌سازی را تأیید کرد.
• در صورت وجود مشکل، می‌توان از دستورات netsh و Invoke-WebRequest برای بررسی مشکلات پراکسی استفاده کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” title=”بررسی و تنظیم Portهای مورد نیاز برای ارتباط WSUS با کلاینت‌ها” subtitle=”توضیحات کامل”]برای عملکرد صحیح WSUS و کلاینت‌ها، باید پورت‌های مناسب در فایروال باز شوند تا کلاینت‌ها بتوانند به سرور WSUS متصل شده و به‌روزرسانی‌ها را دریافت کنند. در این بخش، پورت‌های موردنیاز، نحوه بررسی وضعیت آن‌ها و تنظیم فایروال به‌صورت گرافیکی و کامندی توضیح داده می‌شود.

---

۱. بررسی پورت‌های مورد نیاز برای WSUS

🔹 WSUS به‌صورت پیش‌فرض از پورت‌های زیر برای ارتباط با کلاینت‌ها و سایر سرویس‌ها استفاده می‌کند:

پورت	پروتکل	توضیحات
۸۵۳۰	HTTP	ارتباط کلاینت‌ها با WSUS (حالت پیش‌فرض)
۸۵۳۱	HTTPS	ارتباط کلاینت‌ها در صورت استفاده از SSL
۴۴۳	HTTPS	برای دانلود به‌روزرسانی‌های مایکروسافت در صورت استفاده از HTTPS
۸۰	HTTP	ارتباط اولیه قبل از تغییر تنظیمات (در برخی موارد)
۳۴۴۳	HTTPS	در صورت استفاده از WSUS در نقش Replica

✔ اگر WSUS روی یک پورت سفارشی اجرا شود، باید آن را در تنظیمات شبکه و فایروال اعمال کنید.

---

۲. بررسی وضعیت پورت‌های WSUS

قبل از انجام تنظیمات، ابتدا بررسی کنید که پورت‌های مورد نیاز باز هستند یا خیر.

🔹 بررسی پورت‌های باز روی سرور WSUS با PowerShell

Get-NetTCPConnection | Where-Object { $_.LocalPort -eq 8530 -or $_.LocalPort -eq 8531 }

✔ این دستور لیستی از پورت‌های باز روی سرور WSUS را نمایش می‌دهد.

🔹 بررسی وضعیت گوش دادن WSUS روی پورت‌های مشخص

netstat -an | findstr :8530
netstat -an | findstr :8531

✔ اگر WSUS روی این پورت‌ها گوش نمی‌دهد، باید بررسی شود که آیا سرویس WSUS اجرا می‌شود یا خیر.

🔹 بررسی دسترسی کلاینت‌ها به WSUS با Test-NetConnection

Test-NetConnection -ComputerName WSUS_Server -Port 8530
Test-NetConnection -ComputerName WSUS_Server -Port 8531

✔ اگر دسترسی برقرار نشد، احتمالاً فایروال جلوی اتصال را گرفته است.

---

۳. تنظیم فایروال برای باز کردن پورت‌های WSUS

🔹 باز کردن پورت‌های موردنیاز در Windows Firewall با PowerShell

New-NetFirewallRule -DisplayName "Allow WSUS HTTP" -Direction Inbound -Protocol TCP -LocalPort 8530 -Action Allow
New-NetFirewallRule -DisplayName "Allow WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow

✔ این دستورات، پورت‌های ۸۵۳۰ و ۸۵۳۱ را در فایروال باز می‌کنند.

🔹 بررسی اینکه پورت‌ها در فایروال باز شده‌اند

Get-NetFirewallRule | Where-Object { $_.DisplayName -like "*WSUS*" }

✔ این دستور، لیست قوانین فایروال مربوط به WSUS را نمایش می‌دهد.

🔹 حذف قوانین فایروال برای WSUS در صورت نیاز به تنظیم مجدد

Remove-NetFirewallRule -DisplayName "Allow WSUS HTTP"
Remove-NetFirewallRule -DisplayName "Allow WSUS HTTPS"

✔ اگر نیاز به تغییر پورت‌ها باشد، ابتدا باید قوانین قبلی را حذف کرده و مجدداً پیکربندی کنید.

---

۴. تنظیم پورت‌های WSUS در IIS

WSUS برای ارتباط با کلاینت‌ها از IIS استفاده می‌کند. اگر بخواهید پورت‌ها را تغییر دهید یا بررسی کنید که WSUS از چه پورتی استفاده می‌کند، باید تنظیمات IIS را تغییر دهید.

🔹 بررسی تنظیمات WSUS در IIS

۱. کنسول IIS را باز کنید (در Run تایپ کنید: inetmgr).
۲. به Sites → WSUS Administration بروید.
3. در قسمت Bindings، پورت‌های تنظیم‌شده برای HTTP و HTTPS را بررسی کنید.

🔹 تغییر پورت WSUS در IIS با PowerShell

اگر بخواهید پورت WSUS را از ۸۵۳۰ به ۸۸۸۸ تغییر دهید، از دستورات زیر استفاده کنید:

Import-Module WebAdministration
Set-ItemProperty -Path "IIS:\Sites\WSUS Administration" -Name bindings -Value @{protocol="http";bindingInformation="*:8888:"}
Restart-Service W3SVC
Restart-Service WsusService

✔ این دستور پورت پیش‌فرض را تغییر داده و IIS و سرویس WSUS را راه‌اندازی مجدد می‌کند.

🔹 تغییر پورت در رجیستری WSUS (در صورت نیاز)

اگر WSUS از طریق IIS اجرا نشود یا نیاز به تنظیم دستی در رجیستری داشته باشید:

۱. Registry Editor را باز کنید (regedit را در Run اجرا کنید).
۲. به مسیر زیر بروید:

HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

3. مقدار PortNumber را به مقدار دلخواه (مثلاً 8888) تغییر دهید.
4. سرور را ریستارت کنید تا تغییرات اعمال شوند.

---

۵. بررسی ارتباط کلاینت‌ها با WSUS

بعد از تنظیم پورت‌ها، بررسی کنید که کلاینت‌ها می‌توانند به WSUS متصل شوند.

🔹 بررسی ارتباط کلاینت‌ها با استفاده از PowerShell

Invoke-WebRequest -Uri "http://WSUS_Server:8530/selfupdate/wuident.cab" -UseBasicParsing

✔ اگر این درخواست موفق باشد، یعنی WSUS روی پورت مورد نظر پاسخگو است.

🔹 بررسی اتصال از طریق Windows Update Agent روی کلاینت‌ها

wuauclt /detectnow
wuauclt /reportnow

✔ این دستورات، اتصال کلاینت را با WSUS بررسی می‌کنند.

---

جمع‌بندی

• WSUS به‌طور پیش‌فرض از پورت‌های ۸۵۳۰ (HTTP) و ۸۵۳۱ (HTTPS) استفاده می‌کند.
• برای ارتباط کلاینت‌ها، باید این پورت‌ها را در فایروال باز کرد.
• با استفاده از PowerShell و IIS، می‌توان پورت‌های WSUS را بررسی و تغییر داد.
• پس از تغییر پورت‌ها، باید سرور و IIS ریستارت شوند.
• با اجرای دستورات تست، می‌توان بررسی کرد که آیا کلاینت‌ها به WSUS متصل هستند یا خیر.

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۵. راه‌اندازی WSUS Post-Installation”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اجرای WSUS Configuration Wizard” subtitle=”توضیحات کامل”]پس از نصب WSUS، برای پیکربندی اولیه باید WSUS Configuration Wizard را اجرا کنید. این ویزارد، شامل مراحل مختلفی مانند انتخاب منبع به‌روزرسانی، تنظیم زبان‌ها، انتخاب محصولات و طبقه‌بندی‌های به‌روزرسانی، تنظیم زمانبندی همگام‌سازی و تنظیمات Proxy است.

در این بخش، نحوه اجرای ویزارد پیکربندی WSUS به‌صورت گرافیکی و کامندی توضیح داده می‌شود.

---

۱. اجرای WSUS Configuration Wizard به‌صورت گرافیکی

برای اجرای WSUS Configuration Wizard به‌صورت گرافیکی، مراحل زیر را دنبال کنید:

۱. کنسول WSUS را باز کنید

• Server Manager را اجرا کنید.
• از منوی Tools گزینه Windows Server Update Services را انتخاب کنید.
• روی نام سرور WSUS کلیک کنید تا ویزارد پیکربندی باز شود.

۲. تنظیمات اولیه

• در اولین مرحله، روی Next کلیک کنید.

۳. انتخاب گزینه استفاده از Microsoft Update یا Upstream WSUS Server

• اگر این سرور به اینترنت متصل است و قرار است مستقیماً از Microsoft Update به‌روزرسانی‌ها را دریافت کند، گزینه Synchronize from Microsoft Update را انتخاب کنید.
• اگر این سرور یک Replica از سرور دیگری است، گزینه Synchronize from another WSUS server را انتخاب کنید و آدرس سرور بالادستی (Upstream Server) را وارد کنید.

۴. تنظیمات Proxy Server (در صورت نیاز)

• اگر سرور شما برای دسترسی به اینترنت از پراکسی استفاده می‌کند، گزینه Use a proxy server when synchronizing را فعال کنید و آدرس Proxy Server را وارد کنید.

۵. انتخاب زبان‌های موردنیاز

• اگر فقط به‌روزرسانی‌های یک زبان خاص نیاز دارید، گزینه Download updates only in these languages را انتخاب کنید و زبان موردنظر را مشخص کنید.
• برای دانلود به‌روزرسانی‌ها در تمام زبان‌ها، گزینه Download updates in all languages را انتخاب کنید.

۶. انتخاب محصولات موردنیاز

• در این مرحله، لیستی از محصولات مایکروسافت نمایش داده می‌شود.
• محصولاتی را که قصد دارید به‌روزرسانی شوند، انتخاب کنید.

۷. انتخاب دسته‌بندی (Classification) به‌روزرسانی‌ها

• انواع مختلفی از به‌روزرسانی‌ها مانند Security Updates، Critical Updates، Feature Packs و Drivers نمایش داده می‌شود.
• گزینه‌های موردنیاز را انتخاب کنید.

۸. تنظیم زمانبندی همگام‌سازی (Synchronization Schedule)

• می‌توان همگام‌سازی خودکار (Automatic Synchronization) را فعال کرد.
• تعداد دفعات همگام‌سازی را تعیین کنید (مثلاً روزانه).

۹. پایان پیکربندی

• پس از اتمام مراحل، گزینه Begin Initial Synchronization را انتخاب کنید تا اولین همگام‌سازی انجام شود.
• روی Finish کلیک کنید تا ویزارد بسته شود.

---

۲. اجرای WSUS Configuration Wizard به‌صورت کامندی

برای اجرای پیکربندی اولیه WSUS به‌صورت کامندی، می‌توان از PowerShell و WsusUtil.exe استفاده کرد.

🔹 اجرای ویزارد پیکربندی WSUS به‌صورت خودکار

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall CONTENT_DIR=C:\WSUS

✔ این دستور، پیکربندی اولیه را انجام داده و مسیر ذخیره‌سازی به‌روزرسانی‌ها را روی C:\WSUS تنظیم می‌کند.

🔹 تنظیم سرور WSUS برای دریافت به‌روزرسانی از Microsoft Update

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.SyncFromMicrosoftUpdate = $true
$wsusConfig.Save()

✔ این تنظیمات، WSUS را طوری پیکربندی می‌کند که از Microsoft Update به‌روزرسانی‌ها را دریافت کند.

🔹 تنظیم پراکسی برای WSUS (در صورت نیاز)

$proxy = $wsusConfig.GetProxySettings()
$proxy.UseProxy = $true
$proxy.ProxyName = "192.168.1.1"
$proxy.ProxyPort = 8080
$proxy.SetCredentials("domain\user", "password")
$proxy.Save()

✔ در این مثال، پراکسی سرور روی 192.168.1.1 با پورت 8080 تنظیم شده است.

🔹 انتخاب زبان‌های مورد نیاز برای دانلود به‌روزرسانی‌ها

$wsusConfig.AllUpdateLanguagesEnabled = $false
$wsusConfig.SetEnabledUpdateLanguages(@("en", "fr"))
$wsusConfig.Save()

✔ در این مثال، فقط زبان‌های انگلیسی (en) و فرانسوی (fr) انتخاب شده‌اند.

🔹 انتخاب محصولات موردنیاز برای دریافت به‌روزرسانی‌ها

$wsus = Get-WsusServer
$subscription = $wsus.GetSubscription()
$products = $subscription.GetUpdateCategories() | Where-Object { $_.Title -match "Windows 10" }
$subscription.SetUpdateCategories($products)
$subscription.Save()

✔ در این مثال، فقط به‌روزرسانی‌های Windows 10 انتخاب شده‌اند.

🔹 انتخاب طبقه‌بندی (Classification) به‌روزرسانی‌ها

$classifications = $subscription.GetUpdateClassifications() | Where-Object { $_.Title -match "Security Updates" -or $_.Title -match "Critical Updates" }
$subscription.SetUpdateClassifications($classifications)
$subscription.Save()

✔ در این مثال، فقط به‌روزرسانی‌های امنیتی (Security Updates) و بحرانی (Critical Updates) انتخاب شده‌اند.

🔹 تنظیم همگام‌سازی خودکار و برنامه‌ریزی آن

$subscription.SynchronizeAutomatically = $true
$subscription.SynchronizeAutomaticallyTimeOfDay = [TimeSpan]::FromHours(3)
$subscription.NumberOfSynchronizationsPerDay = 1
$subscription.Save()

✔ در این مثال، WSUS به‌صورت خودکار هر روز در ساعت 03:00 AM همگام‌سازی را انجام می‌دهد.

🔹 اجرای همگام‌سازی اولیه

$subscription.StartSynchronization()

✔ این دستور، فرآیند همگام‌سازی اولیه را آغاز می‌کند.

---

جمع‌بندی

• WSUS Configuration Wizard را می‌توان به‌صورت گرافیکی و کامندی اجرا کرد.
• در ویزارد، می‌توان سرور بالادستی (Microsoft Update یا WSUS دیگر)، تنظیمات پراکسی، زبان‌ها، محصولات و دسته‌بندی‌های به‌روزرسانی را تعیین کرد.
• با استفاده از PowerShell، می‌توان تمام مراحل ویزارد را به‌صورت خودکار انجام داد.
• پس از پیکربندی اولیه، WSUS باید همگام‌سازی اولیه را انجام دهد تا به‌روزرسانی‌ها را دریافت کند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”انتخاب زبان‌ها و دسته‌بندی‌های به‌روزرسانی در WSUS” subtitle=”توضیحات کامل”]یکی از مراحل مهم پیکربندی WSUS، انتخاب زبان‌ها و دسته‌بندی‌های (Classification) به‌روزرسانی‌ها است. این تنظیمات تأثیر مستقیمی بر میزان پهنای باند مصرفی، فضای ذخیره‌سازی و عملکرد سرور WSUS دارند. در این بخش، این تنظیمات هم به‌صورت گرافیکی و هم کامندی توضیح داده می‌شوند.

---

۱. انتخاب زبان‌های به‌روزرسانی در WSUS

WSUS می‌تواند به‌روزرسانی‌ها را برای چندین زبان مختلف دریافت کند. به‌صورت پیش‌فرض، همه به‌روزرسانی‌ها به تمام زبان‌ها دانلود می‌شوند که ممکن است باعث مصرف بالای پهنای باند و فضای ذخیره‌سازی شود. اگر فقط به به‌روزرسانی‌های مربوط به یک یا چند زبان خاص نیاز دارید، باید این مورد را تنظیم کنید.

تنظیم زبان‌ها به‌صورت گرافیکی

۱. کنسول WSUS را باز کنید

• از مسیر Server Manager > Tools > Windows Server Update Services کنسول WSUS را باز کنید.
• روی نام سرور کلیک کرده و از منوی سمت چپ، گزینه Options را انتخاب کنید.

۲. گزینه “Update Files and Languages” را انتخاب کنید

۳. در تب “Update Languages” یکی از گزینه‌های زیر را انتخاب کنید:

• Download updates in all languages (default) → دریافت تمام به‌روزرسانی‌ها در همه زبان‌ها
• Download updates only in these languages → دریافت به‌روزرسانی‌ها فقط در زبان‌های انتخاب‌شده

۴. زبان‌های موردنظر خود را انتخاب کنید و روی OK کلیک کنید.

---

تنظیم زبان‌های WSUS به‌صورت کامندی (PowerShell)

برای انتخاب زبان‌های خاص، می‌توان از PowerShell استفاده کرد:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات سرور
$wsusConfig = $wsus.GetConfiguration()

# غیرفعال کردن دریافت همه زبان‌ها
$wsusConfig.AllUpdateLanguagesEnabled = $false

# تنظیم زبان‌های خاص (مثلاً فقط انگلیسی و فرانسوی)
$wsusConfig.SetEnabledUpdateLanguages(@("en", "fr"))

# ذخیره تنظیمات
$wsusConfig.Save()

✔ در این مثال، به‌روزرسانی‌ها فقط برای زبان‌های انگلیسی (en) و فرانسوی (fr) دریافت خواهند شد.

---

۲. انتخاب دسته‌بندی‌های به‌روزرسانی در WSUS

دسته‌بندی‌ها مشخص می‌کنند چه نوع به‌روزرسانی‌هایی باید دریافت شوند. برخی از دسته‌بندی‌های مهم شامل:

• Security Updates → به‌روزرسانی‌های امنیتی
• Critical Updates → به‌روزرسانی‌های بحرانی
• Feature Packs → بسته‌های ویژگی‌های جدید
• Service Packs → بسته‌های سرویس سیستم‌عامل
• Drivers → درایورها

انتخاب دسته‌بندی‌های به‌روزرسانی به‌صورت گرافیکی

۱. کنسول WSUS را باز کنید و به مسیر زیر بروید:

• Options > Products and Classifications

2. به تب “Classifications” بروید و دسته‌بندی‌های موردنظر را انتخاب کنید.
3. روی OK کلیک کنید تا تغییرات ذخیره شوند.

---

انتخاب دسته‌بندی‌های به‌روزرسانی در WSUS به‌صورت کامندی (PowerShell)

برای تنظیم دسته‌بندی‌های به‌روزرسانی می‌توان از PowerShell استفاده کرد:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# دریافت تمام دسته‌بندی‌های موجود
$classifications = $subscription.GetUpdateClassifications()

# فیلتر کردن دسته‌بندی‌های موردنیاز (مثلاً Security و Critical Updates)
$selectedClassifications = $classifications | Where-Object { $_.Title -match "Security Updates" -or $_.Title -match "Critical Updates" }

# اعمال دسته‌بندی‌های انتخاب‌شده
$subscription.SetUpdateClassifications($selectedClassifications)

# ذخیره تغییرات
$subscription.Save()

✔ در این مثال، فقط دسته‌بندی‌های “Security Updates” و “Critical Updates” انتخاب شده‌اند.

---

۳. همگام‌سازی تغییرات پس از تنظیم زبان و دسته‌بندی‌ها

بعد از تغییر تنظیمات زبان‌ها و دسته‌بندی‌ها، باید یک همگام‌سازی انجام دهید تا WSUS اطلاعات جدید را از Microsoft Update دریافت کند.

# شروع فرآیند همگام‌سازی WSUS
$subscription.StartSynchronization()

✔ این دستور، همگام‌سازی اولیه را آغاز می‌کند تا تنظیمات جدید اعمال شوند.

---

جمع‌بندی

• انتخاب زبان‌ها و دسته‌بندی‌های به‌روزرسانی تأثیر زیادی در بهینه‌سازی WSUS دارد.
• با انتخاب زبان‌های محدود، می‌توان از دانلود به‌روزرسانی‌های غیرضروری جلوگیری کرد.
• دسته‌بندی‌های به‌روزرسانی مشخص می‌کنند که چه نوع به‌روزرسانی‌هایی دریافت شوند.
• تنظیمات را می‌توان به‌صورت گرافیکی یا کامندی (PowerShell) انجام داد.
• پس از تغییر تنظیمات، باید فرآیند همگام‌سازی انجام شود.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”انتخاب محصولات ویندوز برای مدیریت به‌روزرسانی‌ها در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های پیکربندی WSUS، انتخاب محصولات (Products) است که سرور باید به‌روزرسانی‌های آن‌ها را دریافت کند. انتخاب محصولات مناسب، تأثیر مستقیم بر مصرف پهنای باند، فضای ذخیره‌سازی و عملکرد کلی سرور WSUS دارد.

در این بخش، انتخاب محصولات برای مدیریت به‌روزرسانی‌ها هم به‌صورت گرافیکی و هم کامندی توضیح داده خواهد شد.

---

۱. انتخاب محصولات در WSUS به‌صورت گرافیکی

۱. کنسول WSUS را باز کنید.

• از مسیر Server Manager > Tools > Windows Server Update Services کنسول WSUS را باز کنید.
• روی نام سرور کلیک کنید و از منوی سمت چپ، گزینه Options را انتخاب کنید.

۲. روی گزینه “Products and Classifications” کلیک کنید.

۳. در تب “Products”، محصولاتی را که می‌خواهید به‌روزرسانی شوند، انتخاب کنید.

• به‌عنوان مثال، اگر قصد مدیریت به‌روزرسانی‌های مربوط به Windows Server 2025 و Windows 11 را دارید، فقط این گزینه‌ها را فعال کنید.

۴. روی OK کلیک کنید تا تنظیمات ذخیره شوند.

---

۲. انتخاب محصولات در WSUS به‌صورت کامندی (PowerShell)

برای انتخاب محصولات خاص در WSUS می‌توان از PowerShell استفاده کرد:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# دریافت لیست محصولات قابل انتخاب
$allProducts = $subscription.GetUpdateCategories() 

# نمایش لیست محصولات برای انتخاب دستی
$allProducts | ForEach-Object { Write-Output $_.Title }

# انتخاب محصولات موردنظر (مثلاً Windows 11 و Windows Server 2025)
$selectedProducts = $allProducts | Where-Object { $_.Title -match "Windows 11" -or $_.Title -match "Windows Server 2025" }

# اعمال تنظیمات محصولات انتخاب‌شده
$subscription.SetUpdateCategories($selectedProducts)

# ذخیره تغییرات
$subscription.Save()

✔ در این مثال، فقط به‌روزرسانی‌های مربوط به “Windows 11” و “Windows Server 2025” دریافت خواهند شد.

---

۳. بررسی و تأیید محصولات انتخاب‌شده

پس از انجام تنظیمات، می‌توان لیست محصولات انتخاب‌شده را بررسی کرد:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# نمایش محصولات انتخاب‌شده
$subscription.GetUpdateCategories() | ForEach-Object { Write-Output $_.Title }

✔ اجرای این دستور، لیست محصولات انتخاب‌شده برای دریافت به‌روزرسانی را نمایش خواهد داد.

---

۴. همگام‌سازی تغییرات پس از انتخاب محصولات

بعد از تغییر تنظیمات، باید فرآیند همگام‌سازی اجرا شود تا WSUS اطلاعات جدید را دریافت کند:

# شروع فرآیند همگام‌سازی WSUS
$subscription.StartSynchronization()

✔ این دستور باعث می‌شود که WSUS اطلاعات جدید را از Microsoft Update دریافت کند و به‌روزرسانی‌های مربوط به محصولات انتخاب‌شده را فهرست کند.

---

جمع‌بندی

• انتخاب محصولات مناسب، تأثیر زیادی در بهینه‌سازی عملکرد WSUS دارد.
• با محدود کردن محصولات به موارد موردنیاز، می‌توان از مصرف غیرضروری پهنای باند و فضای ذخیره‌سازی جلوگیری کرد.
• انتخاب محصولات می‌تواند از طریق کنسول گرافیکی یا دستورات PowerShell انجام شود.
• پس از تغییر تنظیمات، باید فرآیند همگام‌سازی اجرا شود تا تغییرات اعمال شوند.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیم روش‌های Synchronization با Microsoft Update در WSUS” subtitle=”توضیحات کامل”]یکی از مراحل مهم در پیکربندی WSUS، تعیین روش همگام‌سازی (Synchronization) با Microsoft Update یا یک سرور WSUS بالادستی است. این تنظیمات تعیین می‌کنند که WSUS چگونه و چه زمانی به‌روزرسانی‌ها را از منبع خود دریافت کند.

در این بخش، روش‌های Synchronization به دو صورت گرافیکی و کامندی توضیح داده خواهد شد.

---

۱. تنظیم روش‌های Synchronization در WSUS به‌صورت گرافیکی

۱. کنسول WSUS را باز کنید.

• از مسیر Server Manager > Tools > Windows Server Update Services کنسول WSUS را اجرا کنید.
• روی نام سرور کلیک کنید و از منوی سمت چپ، گزینه Options را انتخاب کنید.

۲. روی گزینه “Sync Schedule” کلیک کنید.

۳. انتخاب روش همگام‌سازی:

• Synchronize manually → همگام‌سازی دستی که نیاز به اجرای فرآیند توسط مدیر سرور دارد.
• Synchronize automatically → همگام‌سازی خودکار که در بازه‌های زمانی مشخص انجام می‌شود.

۴. در صورت انتخاب همگام‌سازی خودکار:

• تعداد دفعات اجرا در روز را تنظیم کنید (به‌عنوان مثال، هر ۱۲ ساعت یک‌بار).

۵. روی OK کلیک کنید تا تنظیمات ذخیره شوند.

---

۲. تنظیم روش‌های Synchronization در WSUS به‌صورت کامندی (PowerShell)

برای پیکربندی روش‌های همگام‌سازی از PowerShell می‌توان استفاده کرد:

✔ تعیین همگام‌سازی دستی:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# تنظیم همگام‌سازی به صورت دستی
$subscription.SynchronizeAutomatically = $false

# ذخیره تغییرات
$subscription.Save()

✔ تعیین همگام‌سازی خودکار با تعداد دفعات مشخص در روز:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# تنظیم همگام‌سازی خودکار
$subscription.SynchronizeAutomatically = $true

# تنظیم تعداد دفعات اجرا در روز (به‌عنوان مثال، 2 بار در روز)
$subscription.NumberOfSynchronizationsPerDay = 2

# ذخیره تغییرات
$subscription.Save()

✔ شروع همگام‌سازی به‌صورت دستی:

# اجرای همگام‌سازی به‌صورت دستی
$subscription.StartSynchronization()

---

۳. بررسی وضعیت همگام‌سازی

برای بررسی وضعیت همگام‌سازی و مشاهده جزئیات آخرین به‌روزرسانی‌ها، می‌توان از این دستور استفاده کرد:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# بررسی وضعیت همگام‌سازی
$syncStatus = $wsus.GetSubscription().GetSynchronizationStatus()

# نمایش اطلاعات آخرین همگام‌سازی
$syncStatus

✔ این دستور، وضعیت همگام‌سازی را نمایش می‌دهد و مشخص می‌کند که آیا فرآیند موفق بوده یا خطایی رخ داده است.

---

۴. تنظیم سرور بالادستی (Upstream Server) برای همگام‌سازی WSUS

اگر قصد دارید WSUS را با یک سرور WSUS دیگر همگام‌سازی کنید (به‌جای Microsoft Update)، می‌توانید از دستورات زیر استفاده کنید:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# تنظیم سرور WSUS بالادستی
$subscription.UseProxy = $false
$subscription.SetUpstreamServer("WSUS-Parent.Domain.local", 8530)

# ذخیره تغییرات
$subscription.Save()

✔ در این مثال، سرور WSUS به جای Microsoft Update، از سرور بالادستی با آدرس WSUS-Parent.Domain.local و پورت 8530 استفاده خواهد کرد.

---

۵. فعال‌سازی گزارش‌گیری از وضعیت همگام‌سازی

برای بررسی رویدادهای مربوط به همگام‌سازی، می‌توان از Event Viewer استفاده کرد:

# دریافت لاگ‌های مربوط به WSUS Sync
Get-EventLog -LogName Application -Source "Windows Server Update Services" -Newest 10

✔ اجرای این دستور، آخرین ۱۰ رویداد مربوط به همگام‌سازی را نمایش می‌دهد.

---

جمع‌بندی

• WSUS می‌تواند به‌صورت دستی یا خودکار با Microsoft Update یا یک سرور بالادستی همگام‌سازی شود.
• انتخاب همگام‌سازی خودکار باعث کاهش تأخیر در دریافت به‌روزرسانی‌ها و افزایش بهره‌وری می‌شود.
• تنظیمات همگام‌سازی را می‌توان از طریق کنسول گرافیکی یا PowerShell انجام داد.
• می‌توان سرور بالادستی را برای همگام‌سازی با WSUS تعیین کرد.
• بررسی وضعیت همگام‌سازی و گزارش‌های مربوطه کمک می‌کند که مشکلات احتمالی شناسایی شوند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”انجام اولین Synchronization و بررسی لاگ‌ها در WSUS” subtitle=”توضیحات کامل”]بعد از تنظیم روش‌های همگام‌سازی (Synchronization) در WSUS، اولین Synchronization باید انجام شود تا سرور بتواند اطلاعات به‌روزرسانی‌ها را از Microsoft Update یا یک سرور WSUS بالادستی دریافت کند. این فرآیند شامل دریافت فهرست به‌روزرسانی‌ها، اطلاعات متادیتا و آماده‌سازی سرور برای مدیریت آپدیت‌ها است.

در این بخش، نحوه اجرای اولین همگام‌سازی WSUS و بررسی لاگ‌ها برای عیب‌یابی توضیح داده می‌شود.

---

۱. اجرای اولین Synchronization در WSUS به‌صورت گرافیکی

۱. کنسول WSUS را باز کنید.

• از مسیر Server Manager > Tools > Windows Server Update Services، کنسول WSUS را اجرا کنید.

۲. در پنل سمت چپ، روی نام سرور کلیک کنید و گزینه Synchronizations را انتخاب کنید.

3. روی “Synchronize Now” کلیک کنید.
   • این گزینه باعث شروع اولین همگام‌سازی خواهد شد.
   • می‌توانید وضعیت همگام‌سازی را در صفحه Synchronizations مشاهده کنید.
4. بررسی لاگ‌ها در کنسول WSUS:
   • در قسمت Synchronizations، وضعیت فرآیند را بررسی کنید.
   • اگر Synchronization Failed نمایش داده شد، باید لاگ‌ها بررسی شوند.

---

۲. اجرای اولین Synchronization در WSUS به‌صورت کامندی (PowerShell)

✔ اجرای اولین همگام‌سازی:

# دریافت سرور WSUS
$wsus = Get-WsusServer

# دریافت تنظیمات Subscription
$subscription = $wsus.GetSubscription()

# اجرای اولین همگام‌سازی
$subscription.StartSynchronization()

✔ بررسی وضعیت همگام‌سازی:

# بررسی وضعیت همگام‌سازی
$syncStatus = $subscription.GetSynchronizationStatus()
$syncStatus

✔ بررسی زمان آخرین همگام‌سازی:

# دریافت آخرین تاریخ Synchronization
$lastSync = $subscription.GetLastSynchronizationTime()
Write-Output "آخرین همگام‌سازی در: $lastSync"

✔ دریافت تاریخچه همگام‌سازی:

# دریافت تاریخچه ۵ همگام‌سازی آخر
$wsus.GetSynchronizationHistory(5)

✔ بررسی وضعیت همگام‌سازی به‌صورت زنده:

# نمایش اطلاعات همگام‌سازی در زمان اجرا
$syncJob = $subscription.GetSynchronizationProgress()
$syncJob

---

۳. بررسی لاگ‌های WSUS برای مشکلات احتمالی

در صورتی که Synchronization با خطا مواجه شد، بررسی لاگ‌ها برای شناسایی مشکل ضروری است.

✔ مشاهده لاگ‌های مربوط به WSUS Synchronization در Event Viewer:

# نمایش آخرین ۱۰ لاگ مرتبط با WSUS Sync
Get-EventLog -LogName Application -Source "Windows Server Update Services" -Newest 10

✔ بررسی فایل لاگ WSUS در مسیر پیش‌فرض:

# مشاهده لاگ WSUS
notepad "C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log"

✔ مشاهده وضعیت لاگ‌های IIS برای ارتباط WSUS:

# مشاهده لاگ‌های IIS مربوط به WSUS
notepad "C:\inetpub\logs\LogFiles\W3SVC1\*.log"

✔ دریافت خطاهای مربوط به WSUS در سطح سیستم:

# مشاهده ۱۰ خطای اخیر مربوط به WSUS
Get-EventLog -LogName System -Source "Windows Server Update Services" -EntryType Error -Newest 10

✔ بررسی دسترسی سرور به اینترنت برای دانلود به‌روزرسانی‌ها:

# تست اتصال به Microsoft Update
Test-NetConnection -ComputerName update.microsoft.com -Port 443

✔ بررسی تنظیمات پروکسی (در صورتی که از سرور پراکسی استفاده می‌شود):

# دریافت تنظیمات پروکسی در WSUS
$proxyConfig = $subscription.GetProxySettings()
$proxyConfig

---

۴. راه‌حل‌های رایج در صورت بروز مشکل در همگام‌سازی

✔ بررسی اتصال شبکه و تنظیمات فایروال:

• بررسی کنید که پورت‌های ۸۰، ۴۴۳، و ۸۵۳۰/۸۵۳۱ برای ارتباط با Microsoft Update باز باشند.
• در صورت وجود فایروال، می‌توان دستورات زیر را برای باز کردن پورت‌ها اجرا کرد:

# باز کردن پورت‌های مورد نیاز WSUS
New-NetFirewallRule -DisplayName "WSUS HTTP" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8530
New-NetFirewallRule -DisplayName "WSUS HTTPS" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 8531

✔ بررسی فضای ذخیره‌سازی:

• اطمینان حاصل کنید که درایوی که WSUS روی آن نصب شده است، فضای کافی دارد.
• می‌توانید از این دستور برای بررسی استفاده کنید:

Get-PSDrive -Name C

✔ پاک‌سازی کش و فایل‌های موقت WSUS در صورت نیاز:

# توقف سرویس WSUS
Stop-Service WsusService

# حذف فایل‌های موقت دانلود شده
Remove-Item "C:\Program Files\Update Services\LogFiles\*.*" -Force

# راه‌اندازی مجدد سرویس
Start-Service WsusService

---

جمع‌بندی

• اولین همگام‌سازی WSUS می‌تواند به‌صورت دستی یا خودکار انجام شود.
• برای اجرای همگام‌سازی می‌توان از کنسول WSUS یا دستورات PowerShell استفاده کرد.
• در صورت بروز مشکل در همگام‌سازی، بررسی لاگ‌های Event Viewer، IIS و فایل‌های WSUS ضروری است.
• دستورات PowerShell برای بررسی وضعیت، خطاها و تاریخچه همگام‌سازی می‌توانند مفید باشند.
• در صورت وجود خطا، بررسی تنظیمات فایروال، فضای ذخیره‌سازی و پروکسی می‌تواند به حل مشکل کمک کند.

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۶. بررسی صحت نصب و عملکرد WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تست اتصال کلاینت‌ها به WSUS” subtitle=”توضیحات کامل”]بعد از راه‌اندازی WSUS و تنظیم همگام‌سازی، کلاینت‌های شبکه باید بتوانند به سرور WSUS متصل شوند و به‌روزرسانی‌ها را دریافت کنند. برای اطمینان از اتصال صحیح کلاینت‌ها، چندین مرحله تست و بررسی وجود دارد که در این بخش به آن پرداخته می‌شود.

این فرآیند شامل بررسی تنظیمات WSUS روی کلاینت‌ها، بررسی لاگ‌ها، اجرای تست‌های ارتباطی و حل مشکلات احتمالی است. تمام این مراحل هم از طریق رابط گرافیکی و هم دستورات کامندی ارائه خواهند شد.

---

۱. بررسی تنظیمات WSUS روی کلاینت‌ها

برای اینکه کلاینت‌ها بتوانند از WSUS به‌روزرسانی دریافت کنند، ابتدا باید اطمینان حاصل شود که تنظیمات WSUS Server روی آنها اعمال شده است.

✔ بررسی تنظیمات WSUS از طریق Registry (روی کلاینت‌ها)

# بررسی آدرس سرور WSUS روی کلاینت
Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer,WUStatusServer

✔ اگر خروجی این دستور شامل آدرس WSUS نبود، یعنی تنظیمات اعمال نشده است و باید پیکربندی انجام شود.

✔ اعمال تنظیمات WSUS روی کلاینت از طریق Registry (در صورت نیاز)

# تنظیم آدرس WSUS روی کلاینت
$WSUSServer = "http://wsus.domain.local:8530"

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer -Value $WSUSServer
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name WUStatusServer -Value $WSUSServer

# فعال‌سازی تنظیمات
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name UseWUServer -Value 1

# راه‌اندازی مجدد سرویس Windows Update
Restart-Service wuauserv -Force

✔ بررسی اینکه آیا کلاینت به WSUS متصل شده است یا نه:

# بررسی اتصال به WSUS
wuauclt /detectnow
wuauclt /reportnow

---

۲. بررسی دسترسی کلاینت‌ها به سرور WSUS

کلاینت‌ها باید بتوانند از طریق پورت ۸۵۳۰ (HTTP) یا ۸۵۳۱ (HTTPS) به WSUS متصل شوند. برای بررسی ارتباط می‌توان از دستورات زیر استفاده کرد.

✔ تست اتصال به سرور WSUS از کلاینت:

# بررسی اتصال به WSUS روی پورت ۸۵۳۰
Test-NetConnection -ComputerName wsus.domain.local -Port 8530

# بررسی اتصال در صورت استفاده از HTTPS
Test-NetConnection -ComputerName wsus.domain.local -Port 8531

✔ بررسی پینگ سرور WSUS از کلاینت:

# تست پینگ سرور WSUS
ping wsus.domain.local

✔ بررسی رزولوشن نام دامنه برای اطمینان از درست بودن تنظیمات DNS

# بررسی تبدیل نام به IP
nslookup wsus.domain.local

✔ اگر نام سرور WSUS در این مرحله به IP درست ترجمه نشد، باید تنظیمات DNS بررسی و اصلاح شود.

---

۳. بررسی وضعیت سرویس Windows Update روی کلاینت‌ها

برای اینکه کلاینت‌ها بتوانند به WSUS متصل شوند، سرویس Windows Update باید در حال اجرا باشد.

✔ بررسی وضعیت سرویس Windows Update:

# مشاهده وضعیت سرویس Windows Update
Get-Service -Name wuauserv

✔ اگر سرویس غیرفعال بود، آن را مجدداً راه‌اندازی کنید:

# راه‌اندازی مجدد سرویس Windows Update
Restart-Service wuauserv -Force

✔ مشاهده تنظیمات اعمال‌شده روی Windows Update از طریق PowerShell:

# نمایش تنظیمات Windows Update
Get-WmiObject -Namespace "root\cimv2" -Class Win32_Service | Where-Object { $_.Name -eq "wuauserv" }

---

۴. بررسی وضعیت کلاینت در کنسول WSUS

بعد از انجام تست‌های بالا، کلاینت باید در کنسول WSUS ظاهر شود. برای بررسی این موضوع:

۱. کنسول WSUS را باز کنید.
۲. در پنل سمت چپ، روی Computers کلیک کنید.
۳. گروه مناسب را بررسی کنید و ببینید که کلاینت در لیست نمایش داده می‌شود یا خیر.

✔ اگر کلاینت در لیست نبود، دستورات زیر را روی کلاینت اجرا کنید تا دوباره خود را به WSUS معرفی کند:

# ثبت کلاینت در WSUS
gpupdate /force
wuauclt /detectnow
wuauclt /reportnow

✔ بررسی تاریخ آخرین ارتباط کلاینت با WSUS:

# مشاهده زمان آخرین ارتباط کلاینت با WSUS
Get-WmiObject -Namespace "root\ccm\clientsdk" -Class CCM_Client

✔ بررسی کلاینت‌های متصل در WSUS از طریق PowerShell روی سرور WSUS:

# دریافت لیست کلاینت‌های متصل به WSUS
$wsus = Get-WsusServer
$wsus.GetComputerTargets() | Select-Object FullDomainName, LastSyncTime

---

۵. بررسی لاگ‌های Windows Update در کلاینت‌ها

اگر کلاینت به WSUS متصل نشد، لاگ‌های Windows Update می‌توانند دلیل مشکل را مشخص کنند.

✔ مشاهده لاگ‌های Windows Update در مسیر پیش‌فرض:

# باز کردن لاگ Windows Update در Notepad
notepad "C:\Windows\WindowsUpdate.log"

✔ بررسی لاگ‌های Windows Update در Event Viewer:

# دریافت ۱۰ خطای اخیر مرتبط با Windows Update
Get-EventLog -LogName System -Source "Microsoft-Windows-WindowsUpdateClient" -EntryType Error -Newest 10

✔ بررسی وضعیت آپدیت‌های نصب‌شده روی کلاینت:

# نمایش لیست آپدیت‌های نصب‌شده
Get-HotFix | Sort-Object InstalledOn -Descending | Format-Table -AutoSize

---

جمع‌بندی

• برای اطمینان از اتصال کلاینت‌ها به WSUS، ابتدا تنظیمات مربوط به آدرس سرور WSUS روی کلاینت بررسی می‌شود.
• بررسی می‌شود که آیا کلاینت‌ها از طریق پورت‌های ۸۵۳۰ (HTTP) و ۸۵۳۱ (HTTPS) به سرور WSUS دسترسی دارند.
• سرویس Windows Update روی کلاینت‌ها باید در حال اجرا باشد.
• کلاینت‌ها باید در کنسول WSUS قابل مشاهده باشند. در غیر این صورت، ثبت مجدد کلاینت‌ها در WSUS انجام می‌شود.
• در صورت بروز خطا، لاگ‌های Windows Update بررسی می‌شوند تا مشکل مشخص شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی Event Viewer برای مشاهده خطاهای احتمالی” subtitle=”توضیحات کامل”]برای شناسایی مشکلات مرتبط با WSUS و Windows Update در کلاینت‌ها یا سرور، یکی از ابزارهای مهم Event Viewer است. این ابزار لاگ‌های سیستم را ثبت می‌کند و به مدیران شبکه امکان می‌دهد تا مشکلات احتمالی را شناسایی و برطرف کنند.

در این بخش، نحوه بررسی Event Viewer برای پیدا کردن خطاهای مرتبط با WSUS و Windows Update از طریق رابط گرافیکی و دستورات کامندی ارائه می‌شود.

---

۱. باز کردن Event Viewer به‌صورت گرافیکی

۱. روی Start کلیک کنید و عبارت Event Viewer را جستجو کنید.
۲. در پنجره باز شده، به مسیر زیر بروید:

Windows Logs > Application
Windows Logs > System

۳. در این بخش، به دنبال رخدادهایی (Event) بگردید که مرتبط با Windows Update و WSUS باشند.

۴. در قسمت سمت راست، روی “Filter Current Log” کلیک کنید و Event Source را روی موارد زیر تنظیم کنید:

• WindowsUpdateClient
• WSUS
• Windows Server Update Services
• Microsoft-Windows-WindowsUpdateClient

5. خطاهایی که با آیکون قرمز مشخص شده‌اند را بررسی کنید و جزئیات آن‌ها را مطالعه کنید.

---

۲. بررسی لاگ‌های Windows Update از طریق PowerShell

برای مشاهده خطاهای Windows Update از طریق PowerShell، می‌توان از دستورات زیر استفاده کرد.

✔ دریافت ۱۰ خطای اخیر مرتبط با Windows Update

Get-EventLog -LogName System -Source "Microsoft-Windows-WindowsUpdateClient" -EntryType Error -Newest 10

✔ مشاهده لاگ‌های WSUS روی سرور

Get-EventLog -LogName Application -Source "WSUS" -Newest 10

✔ بررسی خطاهای مربوط به Windows Update در ۲۴ ساعت گذشته

Get-EventLog -LogName System -After (Get-Date).AddDays(-1) -Source "Microsoft-Windows-WindowsUpdateClient"

✔ مشاهده رخدادهای مهم Windows Update در ۷ روز گذشته

Get-WinEvent -FilterHashtable @{LogName='System'; Id=19,20,21} -MaxEvents 50

✔ مشاهده تمامی لاگ‌های مرتبط با WSUS در ۳۰ روز گذشته

Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='WSUS'} -MaxEvents 100

✔ دریافت لیست تمامی خطاهای اخیر در سیستم

Get-WinEvent -LogName System | Where-Object {$_.LevelDisplayName -eq "Error"} | Select-Object -First 10

---

۳. مشاهده لاگ‌های Windows Update از طریق CMD

برای کاربران CMD نیز چندین روش برای بررسی مشکلات Windows Update از طریق Event Viewer وجود دارد.

✔ مشاهده خطاهای مرتبط با Windows Update از طریق CMD

wevtutil qe System /q:"*[System[(Provider[@Name='Microsoft-Windows-WindowsUpdateClient'])]]" /f:text /c:10

✔ بررسی تمامی رخدادهای اخیر Windows Update

wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-WindowsUpdateClient']]]" /f:text

✔ خروجی گرفتن از لاگ‌های Windows Update به یک فایل متنی

wevtutil qe System /q:"*[System[Provider[@Name='Microsoft-Windows-WindowsUpdateClient']]]" /f:text > C:\Logs\WindowsUpdateLog.txt

پس از اجرای دستور بالا، می‌توانید فایل WindowsUpdateLog.txt را در مسیر C:\Logs بررسی کنید.

---

۴. مشاهده خطاهای WSUS در مسیر لاگ‌های ویندوز

اگر به هر دلیلی WSUS یا Windows Update دچار مشکل باشد، لاگ‌های مربوطه را می‌توان از طریق مسیرهای ثبت لاگ در فایل‌ها بررسی کرد.

✔ مشاهده لاگ‌های Windows Update در مسیر پیش‌فرض:

notepad C:\Windows\WindowsUpdate.log

✔ بررسی لاگ‌های WSUS روی سرور WSUS:

notepad "C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log"
notepad "C:\Program Files\Update Services\LogFiles\WSUSCtrl.log"

✔ بررسی خطاهای IIS مربوط به WSUS در مسیر:

notepad "C:\inetpub\logs\LogFiles\W3SVC1\u_exYYMMDD.log"

(YYMMDD را با تاریخ موردنظر جایگزین کنید)

---

۵. حل مشکلات رایج WSUS با استفاده از Event Viewer

اگر در Event Viewer خطاهای رایج مشاهده شد، می‌توان از راهکارهای زیر برای حل آن‌ها استفاده کرد.

✔ خطای 0x8024401c – عدم اتصال کلاینت به WSUS

راهکار: بررسی ارتباط کلاینت با سرور WSUS از طریق Ping و Test-NetConnection

Test-NetConnection -ComputerName wsus.domain.local -Port 8530

✔ خطای 0x8024402C – خطای پراکسی یا DNS

راهکار: بررسی تنظیمات پراکسی و DNS

ipconfig /flushdns
netsh winhttp reset proxy

✔ خطای 0x800B0109 – مشکل در اعتبارسنجی گواهینامه SSL

راهکار: بررسی گواهینامه WSUS و اطمینان از نصب آن روی کلاینت

certutil -store Root | Select-String "WSUS"

✔ خطای 0x80244010 – سرور WSUS تعداد زیادی درخواست دریافت کرده است

راهکار: افزایش تعداد اتصالات همزمان در IIS

iisreset /restart

---

جمع‌بندی

• Event Viewer یکی از ابزارهای مهم برای بررسی خطاهای WSUS و Windows Update است.
• لاگ‌های مرتبط با WSUS و Windows Update را می‌توان از طریق مسیرهای مختلف در Event Viewer مشاهده کرد.
• از PowerShell و CMD می‌توان برای بررسی سریع‌تر لاگ‌ها استفاده کرد.
• لاگ‌های ذخیره‌شده در مسیرهای پیش‌فرض نیز می‌توانند در تحلیل مشکلات کمک کنند.
• خطاهای رایج WSUS و Windows Update معمولاً به دلیل مشکلات ارتباطی، گواهینامه SSL یا تنظیمات پراکسی رخ می‌دهند که با روش‌های ارائه‌شده قابل رفع هستند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اجرای دستورات PowerShell برای بررسی وضعیت سرویس‌ها” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های مدیریت WSUS و سایر سرویس‌های ویندوز، اطمینان از اجرای صحیح سرویس‌های موردنیاز است. در این بخش، نحوه بررسی وضعیت سرویس‌ها از طریق PowerShell و مسیرهای مربوط به لاگ‌ها بررسی خواهد شد.

---

۱. بررسی وضعیت سرویس‌های WSUS

برای اطمینان از عملکرد صحیح WSUS، سرویس‌های زیر باید در حال اجرا باشند:

• WSUSService
• W3SVC (IIS Web Server)
• UpdateServices
• SQL Server (در صورت استفاده از دیتابیس داخلی WSUS: سرویس WID یا SQL Server Instance)

✔ بررسی وضعیت تمامی سرویس‌های مرتبط با WSUS

Get-Service -Name WSUSService, W3SVC, UpdateServices, MSSQL$MICROSOFT##WID

✔ بررسی وضعیت تمام سرویس‌های WSUS به‌همراه جزئیات بیشتر

Get-Service -DisplayName "*update*" | Format-Table -AutoSize

✔ بررسی وضعیت تمامی سرویس‌های IIS و WSUS

Get-Service | Where-Object {$_.DisplayName -match "WSUS|IIS|Update"} | Select-Object Name, Status, StartType

✔ مشاهده وضعیت سرویس‌های موردنیاز برای WSUS از طریق WMI

Get-WmiObject -Class Win32_Service | Where-Object {$_.Name -match "WSUS|IIS|Update"} | Select-Object Name, State, StartMode

---

۲. بررسی وضعیت سایر سرویس‌های مرتبط با Windows Update

در کنار WSUS، برخی سرویس‌های ویندوز برای دریافت و پردازش آپدیت‌ها باید در حال اجرا باشند. سرویس‌های کلیدی شامل:

• Windows Update Service (wuauserv)
• Background Intelligent Transfer Service (BITS)
• Cryptographic Services (CryptSvc)

✔ بررسی وضعیت این سرویس‌ها با PowerShell

Get-Service -Name wuauserv, BITS, CryptSvc

✔ بررسی وضعیت سرویس Windows Update با جزئیات بیشتر

Get-WmiObject -Class Win32_Service -Filter "Name='wuauserv'"

✔ بررسی سرویس‌های مهم با جزئیات و خروجی دقیق‌تر

Get-Service | Where-Object { $_.Name -in @('wuauserv', 'BITS', 'CryptSvc') } | Format-Table Name, Status, StartType

---

۳. راه‌اندازی مجدد سرویس‌های WSUS و Windows Update

اگر یکی از سرویس‌های بالا متوقف شده باشد، می‌توان آن را به‌صورت دستی راه‌اندازی کرد.

✔ راه‌اندازی مجدد تمامی سرویس‌های موردنیاز WSUS

Restart-Service -Name WSUSService, W3SVC, UpdateServices, MSSQL$MICROSOFT##WID -Force

✔ راه‌اندازی مجدد تمامی سرویس‌های کلیدی Windows Update

Restart-Service -Name wuauserv, BITS, CryptSvc -Force

✔ استفاده از WMI برای راه‌اندازی مجدد یک سرویس خاص

(Get-WmiObject -Class Win32_Service -Filter "Name='wuauserv'").StartService()

✔ توقف و راه‌اندازی مجدد Windows Update در یک خط

Stop-Service wuauserv -Force; Start-Service wuauserv

✔ بررسی و راه‌اندازی خودکار تمامی سرویس‌های WSUS در صورت متوقف بودن

$services = "WSUSService", "W3SVC", "UpdateServices", "MSSQL$MICROSOFT##WID"
foreach ($service in $services) {
    if ((Get-Service -Name $service).Status -ne "Running") {
        Start-Service -Name $service
        Write-Host "$service restarted successfully!"
    }
}

---

۴. بررسی لاگ‌های مرتبط با سرویس‌ها

برای بررسی دقیق‌تر مشکلات مرتبط با سرویس‌ها، می‌توان لاگ‌های آن‌ها را مشاهده کرد.

✔ بررسی لاگ‌های مرتبط با WSUS در Event Viewer از طریق PowerShell

Get-EventLog -LogName Application -Source "WSUS" -Newest 10

✔ بررسی لاگ‌های مرتبط با Windows Update در Event Viewer

Get-EventLog -LogName System -Source "Microsoft-Windows-WindowsUpdateClient" -Newest 10

✔ بررسی تمام خطاهای اخیر مرتبط با WSUS در ۲۴ ساعت گذشته

Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='WSUS'; StartTime=(Get-Date).AddDays(-1)} -MaxEvents 50

✔ مشاهده لاگ‌های ذخیره‌شده در مسیر فایل‌های ثبت رخداد WSUS

notepad "C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log"
notepad "C:\Program Files\Update Services\LogFiles\WSUSCtrl.log"

✔ مشاهده لاگ‌های IIS برای بررسی مشکلات مربوط به WSUS

notepad "C:\inetpub\logs\LogFiles\W3SVC1\u_exYYMMDD.log"

(YYMMDD را با تاریخ موردنظر جایگزین کنید)

---

۵. بررسی و تغییر وضعیت راه‌اندازی خودکار سرویس‌ها

برخی از سرویس‌های کلیدی باید روی Automatic تنظیم شده باشند تا بعد از ری‌استارت سیستم، به‌طور خودکار اجرا شوند.

✔ بررسی وضعیت تنظیمات راه‌اندازی سرویس‌ها

Get-Service -Name WSUSService, W3SVC, UpdateServices, MSSQL$MICROSOFT##WID | Select-Object Name, StartType

✔ تغییر وضعیت راه‌اندازی سرویس‌های کلیدی به حالت Automatic

Set-Service -Name WSUSService -StartupType Automatic
Set-Service -Name W3SVC -StartupType Automatic
Set-Service -Name UpdateServices -StartupType Automatic
Set-Service -Name MSSQL$MICROSOFT##WID -StartupType Automatic

✔ بررسی و تنظیم خودکار تمامی سرویس‌های موردنیاز WSUS به حالت Automatic

$services = "WSUSService", "W3SVC", "UpdateServices", "MSSQL$MICROSOFT##WID"
foreach ($service in $services) {
    Set-Service -Name $service -StartupType Automatic
}

---

جمع‌بندی

• سرویس‌های کلیدی WSUS و Windows Update باید همیشه در حال اجرا باشند تا به‌روزرسانی‌ها به درستی مدیریت شوند.
• می‌توان با PowerShell وضعیت سرویس‌ها را بررسی کرد و در صورت توقف، آن‌ها را مجدداً راه‌اندازی کرد.
• بررسی لاگ‌های WSUS و Windows Update در Event Viewer و مسیرهای ذخیره لاگ‌ها، مشکلات احتمالی را شناسایی می‌کند.
• سرویس‌های مهم را می‌توان با PowerShell به‌صورت خودکار روی Automatic تنظیم کرد تا پس از ری‌استارت سیستم، اجرا شوند.
• در صورت مواجه شدن با خطا، باید از لاگ‌ها و WMI برای بررسی دقیق‌تر مشکل استفاده کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تأیید صحت نصب و پیکربندی از طریق WSUS Console” subtitle=”توضیحات کامل”]پس از نصب و پیکربندی اولیه WSUS، نیاز است که صحت نصب و تنظیمات انجام‌شده بررسی شود. در این بخش، روش‌های بررسی صحت عملکرد WSUS Console از طریق رابط گرافیکی و همچنین بررسی وضعیت سرور از طریق PowerShell توضیح داده می‌شود.

---

۱. تأیید نصب WSUS از طریق WSUS Console

✔ اجرای کنسول WSUS

1. به سرور WSUS وارد شوید.
2. Server Manager را باز کنید.
3. از بخش Tools گزینه Windows Server Update Services را انتخاب کنید.
4. در کنسول WSUS، بررسی کنید که سرور به درستی نمایش داده شود.

✔ بررسی صحت پیکربندی اولیه

در WSUS Console، از طریق WSUS Administration Console می‌توان اطلاعات مربوط به وضعیت Synchronization، Approval، Update Status و دیگر موارد را بررسی کرد:

1. بررسی وضعیت سرور:
   • در بخش Overview وضعیت سرور نمایش داده می‌شود.
   • بررسی کنید که Synchronization Status در حالت Succeeded باشد.
   • وضعیت WSUS Service و Database را بررسی کنید.
2. بررسی تنظیمات گروه‌های کامپیوتر:
   • از طریق Computers > All Computers بررسی کنید که کلاینت‌ها به درستی اضافه شده‌اند.
   • وضعیت Last Contact را بررسی کنید.
3. بررسی دانلود به‌روزرسانی‌ها:
   • از طریق Updates > All Updates تأیید کنید که به‌روزرسانی‌ها در حالت Downloaded یا Approved باشند.
   • در صورتی که دانلود به‌روزرسانی‌ها با مشکل مواجه شده، Event Viewer را بررسی کنید.

---

۲. تأیید نصب و تنظیمات WSUS از طریق PowerShell

✔ بررسی وضعیت سرویس‌های WSUS

Get-Service -Name WSUSService, W3SVC, UpdateServices

✔ بررسی وضعیت IIS برای اجرای WSUS

Get-WebSite | Where-Object { $_.Name -like "WSUS*" }

✔ بررسی تنظیمات URL برای اتصال به کنسول WSUS

(Get-WebConfigurationProperty -pspath "IIS:\Sites\WSUS Administration" -filter system.webServer/aspNetCore -name processPath).Value

✔ بررسی وضعیت همگام‌سازی (Synchronization) WSUS

(Get-WsusServer).GetSubscription().GetLastSynchronizationInfo()

✔ بررسی تعداد به‌روزرسانی‌های دانلود شده

(Get-WsusServer).GetUpdates() | Where-Object { $_.UpdateStatus -eq "Downloaded" } | Measure-Object

✔ بررسی تعداد کلاینت‌های متصل به WSUS

(Get-WsusServer).GetComputerTargetGroups() | Select-Object Name, @{Label="Clients"; Expression={$_.GetComputerTargets().Count}}

✔ بررسی وضعیت دیتابیس WSUS

Get-Process | Where-Object { $_.ProcessName -like "*sql*" -or $_.ProcessName -like "*wsus*" }

---

۳. بررسی لاگ‌های مربوط به WSUS برای خطاهای احتمالی

✔ مشاهده لاگ‌های اصلی WSUS

notepad "C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log"

✔ بررسی لاگ‌های IIS برای مشکلات احتمالی دسترسی به WSUS

notepad "C:\inetpub\logs\LogFiles\W3SVC1\u_exYYMMDD.log"

(YYMMDD را با تاریخ موردنظر جایگزین کنید)

✔ بررسی رخدادهای اخیر WSUS در Event Viewer

Get-EventLog -LogName Application -Source "WSUS" -Newest 10

✔ بررسی رخدادهای مرتبط با Windows Update در ۲۴ ساعت اخیر

Get-WinEvent -FilterHashtable @{LogName='System'; ProviderName='Microsoft-Windows-WindowsUpdateClient'; StartTime=(Get-Date).AddDays(-1)} -MaxEvents 50

---

۴. تأیید صحت ارتباط کلاینت‌ها با WSUS

✔ بررسی لیست کلاینت‌های متصل به WSUS از طریق PowerShell

(Get-WsusServer).GetComputerTargets() | Select-Object FullDomainName, LastSyncTime

✔ بررسی وضعیت بروزرسانی کلاینت‌ها

(Get-WsusServer).GetUpdateApprovalActions()

✔ اجرای دستور دستی روی کلاینت برای دریافت بروزرسانی از WSUS

این دستور باید روی کلاینت اجرا شود:

wuauclt /detectnow
wuauclt /reportnow

✔ بررسی تنظیمات کلاینت برای ارتباط با WSUS

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

✔ بررسی لاگ‌های Windows Update روی کلاینت

notepad C:\Windows\WindowsUpdate.log

---

جمع‌بندی

• WSUS Console ابزار اصلی برای بررسی وضعیت WSUS است و اطلاعاتی مانند تعداد کلاینت‌های متصل، وضعیت همگام‌سازی، و بروزرسانی‌ها را نمایش می‌دهد.
• از PowerShell می‌توان برای بررسی وضعیت سرویس‌ها، همگام‌سازی، لاگ‌ها، و تنظیمات WSUS استفاده کرد.
• بررسی لاگ‌های Event Viewer و فایل‌های ثبت رخداد به شناسایی مشکلات احتمالی کمک می‌کند.
• وضعیت ارتباط کلاینت‌ها با WSUS باید تأیید شود تا از صحت دریافت بروزرسانی‌ها اطمینان حاصل شود.

[/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 3: مدیریت WSUS”][cdb_course_lesson title=”فصل 1. تنظیمات سرور WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات عمومی WSUS از طریق کنسول” subtitle=”توضیحات کامل”]برای مدیریت و پیکربندی WSUS، اولین گام انجام تنظیمات عمومی از طریق WSUS Console است. این تنظیمات شامل مشخص کردن سرورهای همگام‌سازی، تعیین زبان و دسته‌بندی به‌روزرسانی‌ها، تنظیمات ذخیره‌سازی و سایر گزینه‌های مدیریتی است. در این بخش، تمامی مراحل به‌صورت گرافیکی و کامندی ارائه شده است.

---

دسترسی به WSUS Console و انجام تنظیمات اولیه

روش گرافیکی:

1. در سرور WSUS، کنسول مدیریتی را باز کنید:
   • Start را باز کنید و عبارت Windows Server Update Services را جستجو کنید.
   • روی WSUS Console کلیک کنید.
2. در اولین اجرا، WSUS Configuration Wizard نمایش داده می‌شود. اگر این ویزارد نمایش داده نشد، می‌توانید آن را از مسیر زیر اجرا کنید:
   • در کنسول WSUS، روی نام سرور کلیک کنید.
   • در پنل سمت راست، گزینه Run the WSUS Server Configuration Wizard را انتخاب کنید.
3. مراحل پیکربندی اولیه را مطابق نیاز خود انجام دهید.

روش کامندی:

برای اجرای WSUS Configuration Wizard از طریق PowerShell، دستور زیر را اجرا کنید:

Invoke-WsusServerConfigurationWizard

در صورتی که نیاز به تغییر دستی برخی از تنظیمات باشد، می‌توان از ویرایش مستقیم فایل تنظیمات WSUS استفاده کرد. مسیر فایل پیکربندی اصلی در رجیستری:

HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

برای مشاهده مقادیر تنظیمات فعلی از PowerShell استفاده کنید:

Get-ItemProperty -Path "HKLM:\Software\Microsoft\Update Services\Server\Setup"

---

تنظیمات زبان و دسته‌بندی به‌روزرسانی‌ها

روش گرافیکی:

1. در WSUS Console، به مسیر Options > Update Languages بروید.
2. تیک گزینه Download updates only in these languages را بزنید و زبان‌های موردنظر خود را انتخاب کنید.
3. روی OK کلیک کنید تا تغییرات ذخیره شوند.

روش کامندی:

برای تغییر زبان‌های انتخابی از طریق PowerShell:

$wsus = Get-WsusServer
$wsus.GetConfiguration().UpdateLanguages | Out-File -FilePath "C:\WSUS\UpdateLanguages.txt"
Set-WsusServerLanguage -Language en,fa -Confirm:$false

🔹 در این مثال، زبان‌های انگلیسی (en) و فارسی (fa) برای دریافت به‌روزرسانی‌ها تنظیم شده‌اند.

---

تنظیمات مسیر ذخیره‌سازی به‌روزرسانی‌ها

روش گرافیکی:

1. در WSUS Console، مسیر Options > Update Files and Languages را باز کنید.
2. گزینه Store updates locally را فعال کنید.
3. در قسمت Store update files in this location، مسیر دلخواه برای ذخیره‌سازی به‌روزرسانی‌ها را مشخص کنید (مثلاً D:\WSUSUpdates).
4. روی OK کلیک کنید.

روش کامندی:

اگر قصد دارید مسیر ذخیره‌سازی را از طریق PowerShell تغییر دهید، از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.ContentDir = "D:\WSUSUpdates"
$wsusConfig.Save()

🔹 این دستور مسیر ذخیره‌سازی WSUS را به D:\WSUSUpdates تغییر می‌دهد.

برای مشاهده مسیر ذخیره‌سازی فعلی، دستور زیر را اجرا کنید:

(Get-WsusServer).GetConfiguration().ContentDir

---

فعال کردن گزارش‌گیری از کلاینت‌ها

روش گرافیکی:

1. در WSUS Console، به Options > Computers بروید.
2. گزینه Use the Update Services console را انتخاب کنید تا مدیریت کلاینت‌ها از طریق کنسول انجام شود.
3. روی OK کلیک کنید.

روش کامندی:

برای تغییر تنظیمات Client Reporting از طریق PowerShell، دستور زیر را اجرا کنید:

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.ClientReportingLevel = 3 # مقدار 3 نشان‌دهنده گزارش کامل از کلاینت‌هاست.
$wsusConfig.Save()

---

جمع‌بندی

• برای مدیریت WSUS، تنظیمات عمومی باید در اولین گام انجام شود که شامل تعیین زبان، دسته‌بندی‌ها و مسیر ذخیره‌سازی است.
• تنظیمات از طریق WSUS Console و همچنین PowerShell قابل انجام است.
• برای تنظیم زبان‌ها می‌توان از Set-WsusServerLanguage و برای تنظیم مسیر ذخیره‌سازی از Set-ContentDir استفاده کرد.
• گزارش‌گیری از کلاینت‌ها باید فعال شود تا وضعیت به‌روزرسانی‌ها مشخص شود.
• تمامی این مراحل می‌توانند از طریق کنسول گرافیکی یا دستورات PowerShell انجام شوند که برای مدیریت خودکار WSUS بسیار مفید است.

🔹 در ادامه، سایر تنظیمات مدیریتی WSUS را بررسی خواهیم کرد.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی تنظیمات Storage و مسیر ذخیره‌سازی به‌روزرسانی‌ها در WSUS” subtitle=”توضیحات کامل”]مدیریت Storage در WSUS یکی از بخش‌های مهم پیکربندی این سرویس است. این تنظیمات شامل تعیین محل ذخیره‌سازی فایل‌های به‌روزرسانی، استفاده از دیسک‌های مختلف، انتقال داده‌ها و بهینه‌سازی فضای ذخیره‌سازی می‌شود. در این بخش، نحوه پیکربندی مسیر ذخیره‌سازی WSUS را به‌صورت گرافیکی و کامندی بررسی خواهیم کرد.

---

تعیین مسیر ذخیره‌سازی به‌روزرسانی‌ها

روش گرافیکی:

1. WSUS Console را باز کنید.
2. به مسیر Options > Update Files and Languages بروید.
3. در بخش Update Files، گزینه Store update files locally on this server را انتخاب کنید.
4. در بخش Store update files in this location، مسیر موردنظر خود را مشخص کنید (مثلاً D:\WSUSUpdates).
5. روی OK کلیک کنید تا تنظیمات ذخیره شوند.

روش کامندی:

برای تغییر مسیر ذخیره‌سازی به‌روزرسانی‌ها از طریق PowerShell، از دستورات زیر استفاده کنید:

تغییر مسیر ذخیره‌سازی:

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.ContentDir = "D:\WSUSUpdates"
$wsusConfig.Save()

🔹 این دستور مسیر ذخیره‌سازی WSUS را به D:\WSUSUpdates تغییر می‌دهد.

مشاهده مسیر ذخیره‌سازی فعلی:

(Get-WsusServer).GetConfiguration().ContentDir

مسیری که این تنظیمات در رجیستری تغییر می‌کنند:

HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

---

انتقال فایل‌های به‌روزرسانی به مسیر جدید

پس از تغییر مسیر، نیاز است که فایل‌های قبلی به مسیر جدید منتقل شوند.

روش گرافیکی:

1. در WSUS Console، مسیر Options > Server Cleanup Wizard را باز کنید.
2. گزینه Move update files را انتخاب کنید.
3. مسیر جدید را مشخص کرده و فرآیند را شروع کنید.

روش کامندی:

برای انتقال فایل‌های WSUS از مسیر قبلی به مسیر جدید، از دستور زیر استفاده کنید:

Move-Content.cmd D:\WSUSUpdates

📌 مسیر فایل اسکریپت:

C:\Program Files\Update Services\Tools\WsusUtil.exe

اگر نیاز به انتقال محتوا به مسیر جدید باشد، از دستور زیر استفاده کنید:

& "C:\Program Files\Update Services\Tools\WsusUtil.exe" movecontent D:\WSUSUpdates D:\Move.log

🔹 این دستور محتوا را به مسیر D:\WSUSUpdates منتقل کرده و گزارش را در D:\Move.log ذخیره می‌کند.

---

فعال‌سازی حذف خودکار به‌روزرسانی‌های قدیمی برای بهینه‌سازی فضای ذخیره‌سازی

با گذشت زمان، فایل‌های قدیمی فضای زیادی اشغال می‌کنند. می‌توان با Server Cleanup Wizard فضای اشغال‌شده را آزاد کرد.

روش گرافیکی:

1. WSUS Console را باز کنید.
2. به مسیر Options > Server Cleanup Wizard بروید.
3. گزینه Unused updates and update revisions را انتخاب کنید.
4. گزینه Superseded updates را فعال کنید تا به‌روزرسانی‌های قدیمی حذف شوند.
5. روی Next کلیک کنید تا فرآیند پاک‌سازی انجام شود.

روش کامندی:

برای حذف به‌روزرسانی‌های اضافی از طریق PowerShell، از دستورات زیر استفاده کنید:

Invoke-WsusServerCleanup -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CleanupObsoleteComputers -CompressUpdates -DeclineExpiredUpdates

📌 این دستور به‌روزرسانی‌های قدیمی، محتواهای اضافی و کلاینت‌های غیرضروری را حذف می‌کند.

---

افزایش فضای ذخیره‌سازی WSUS با حذف داده‌های غیرضروری

اگر دیسک سرور WSUS پر شده باشد، می‌توان فضای بیشتری آزاد کرد.

مشاهده حجم فضای اشغال‌شده:

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.GetContentSizeInBytes() / 1GB

🔹 این دستور مقدار فضای اشغال‌شده توسط به‌روزرسانی‌ها را به گیگابایت نمایش می‌دهد.

حذف آپدیت‌های غیرضروری برای آزادسازی فضا:

Invoke-WsusServerCleanup -CleanupUnneededContentFiles

---

انتقال مسیر ذخیره‌سازی به دیسک دیگر بدون تغییر مسیر در تنظیمات WSUS

در برخی موارد، بهتر است مسیر ذخیره‌سازی بدون تغییر در تنظیمات WSUS به دیسک دیگری منتقل شود. این کار را می‌توان با Symbolic Link انجام داد.

انتقال مسیر به درایو جدید:

robocopy C:\WSUS D:\WSUS /E /COPYALL /MOVE

ایجاد لینک نمادین:

mklink /D C:\WSUS D:\WSUS

🔹 این کار باعث می‌شود WSUS همچنان مسیر C:\WSUS را شناسایی کند، اما فایل‌ها روی D:\WSUS قرار گیرند.

---

جمع‌بندی

• مسیر ذخیره‌سازی WSUS می‌تواند از طریق WSUS Console یا PowerShell تغییر داده شود.
• پس از تغییر مسیر، باید فایل‌های قدیمی را به مسیر جدید منتقل کرد.
• بهینه‌سازی فضای ذخیره‌سازی از طریق Server Cleanup Wizard یا دستور Invoke-WsusServerCleanup انجام می‌شود.
• در صورت کمبود فضای دیسک، می‌توان Symbolic Link ایجاد کرد تا مسیر ذخیره‌سازی بدون تغییر در تنظیمات به درایو دیگری منتقل شود.
• تمامی این عملیات از طریق PowerShell نیز قابل انجام است که در سناریوهای مدیریت خودکار WSUS کاربرد زیادی دارد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”انتخاب زبان‌ها و دسته‌بندی‌های به‌روزرسانی‌ها در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های پیکربندی WSUS، تعیین زبان‌های موردنیاز و دسته‌بندی‌های به‌روزرسانی‌ها است. این تنظیمات به شما کمک می‌کند که فقط به‌روزرسانی‌های مرتبط با محیط سازمانی خود را دانلود و ذخیره کنید و از اشغال فضای اضافی جلوگیری کنید.

در این بخش، نحوه انتخاب زبان‌ها و دسته‌بندی‌های به‌روزرسانی‌ها را به‌صورت گرافیکی و کامندی بررسی خواهیم کرد.

---

انتخاب زبان‌های به‌روزرسانی‌ها در WSUS

WSUS به‌صورت پیش‌فرض تمام زبان‌ها را برای دانلود فعال می‌کند. اما در اغلب موارد، نیازی به همه زبان‌ها نیست و می‌توان تنها زبان‌های موردنیاز را انتخاب کرد.

روش گرافیکی:

1. WSUS Console را باز کنید.
2. به مسیر Options > Update Files and Languages بروید.
3. در تب Update Languages، گزینه Download updates only in these languages را انتخاب کنید.
4. از لیست زبان‌ها، زبان‌های موردنظر خود را انتخاب کنید (برای مثال: English, Persian).
5. روی OK کلیک کنید تا تنظیمات ذخیره شوند.

روش کامندی:

برای تغییر زبان‌های دانلود در WSUS از طریق PowerShell، از دستورات زیر استفاده کنید:

مشاهده زبان‌های فعال فعلی:

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.AllUpdateLanguages

تعیین زبان‌های موردنیاز:

$wsus = Get-WsusServer
$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.SetEnabledUpdateLanguages(@("en", "fa"))
$wsusConfig.Save()

🔹 این دستور فقط دو زبان انگلیسی (en) و فارسی (fa) را برای به‌روزرسانی‌ها فعال می‌کند.

مسیر تنظیمات زبان‌ها در رجیستری:

HKEY_LOCAL_MACHINE\Software\Microsoft\Update Services\Server\Setup

---

انتخاب دسته‌بندی‌های به‌روزرسانی‌ها در WSUS

WSUS این قابلیت را دارد که فقط برخی از دسته‌بندی‌های به‌روزرسانی را دریافت کند. برای مثال، می‌توان فقط به‌روزرسانی‌های امنیتی را فعال کرد و از دانلود به‌روزرسانی‌های دیگر جلوگیری کرد.

روش گرافیکی:

1. WSUS Console را باز کنید.
2. به مسیر Options > Products and Classifications بروید.
3. در تب Classifications، دسته‌بندی‌های موردنظر خود را انتخاب کنید.
4. روی OK کلیک کنید تا تغییرات اعمال شوند.

لیست دسته‌بندی‌های اصلی:

• Critical Updates: به‌روزرسانی‌های حیاتی
• Security Updates: به‌روزرسانی‌های امنیتی
• Feature Packs: بسته‌های ویژگی جدید
• Service Packs: بسته‌های خدماتی
• Drivers: درایورها
• Definition Updates: به‌روزرسانی‌های ضدویروس و ضدبدافزار

روش کامندی:

مشاهده دسته‌بندی‌های فعال فعلی:

$wsus = Get-WsusServer
$categories = $wsus.GetUpdateClassifications()
$categories | Select-Object Title

🔹 این دستور لیست دسته‌بندی‌های موجود را نمایش می‌دهد.

فعال کردن فقط دسته‌بندی‌های خاص (مثلاً Critical و Security Updates):

$wsus = Get-WsusServer
$categories = $wsus.GetUpdateClassifications()

$critical = $categories | Where-Object { $_.Title -eq "Critical Updates" }
$security = $categories | Where-Object { $_.Title -eq "Security Updates" }

$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.SetEnabledUpdateClassifications(@($critical.Id, $security.Id))
$wsusConfig.Save()

🔹 این دستور فقط به‌روزرسانی‌های حیاتی و امنیتی را فعال می‌کند.

---

انتخاب محصولات برای به‌روزرسانی‌ها در WSUS

علاوه بر زبان‌ها و دسته‌بندی‌ها، می‌توان محصولاتی که WSUS برای آن‌ها به‌روزرسانی دریافت می‌کند را مشخص کرد.

روش گرافیکی:

1. WSUS Console را باز کنید.
2. به مسیر Options > Products and Classifications بروید.
3. در تب Products، محصولات موردنظر خود را انتخاب کنید (مثلاً Windows 10, Windows Server 2025).
4. روی OK کلیک کنید تا تغییرات اعمال شوند.

روش کامندی:

مشاهده لیست محصولات فعال فعلی:

$wsus = Get-WsusServer
$products = $wsus.GetUpdateCategories()
$products | Select-Object Title

فعال کردن فقط محصولات خاص (مثلاً Windows 10 و Windows Server 2025):

$wsus = Get-WsusServer
$products = $wsus.GetUpdateCategories()

$win10 = $products | Where-Object { $_.Title -eq "Windows 10" }
$winserver = $products | Where-Object { $_.Title -eq "Windows Server 2025" }

$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.SetEnabledUpdateCategories(@($win10.Id, $winserver.Id))
$wsusConfig.Save()

🔹 این دستور فقط به‌روزرسانی‌های Windows 10 و Windows Server 2025 را فعال می‌کند.

---

جمع‌بندی

• WSUS به شما امکان می‌دهد که فقط زبان‌های موردنیاز خود را انتخاب کنید تا از دانلود بی‌رویه جلوگیری شود.
• می‌توان از طریق WSUS Console یا PowerShell زبان‌های دانلود را تغییر داد.
• می‌توان دسته‌بندی‌های به‌روزرسانی‌ها را مشخص کرد تا فقط به‌روزرسانی‌های حیاتی و امنیتی دریافت شوند.
• علاوه بر زبان‌ها و دسته‌بندی‌ها، می‌توان محصولات خاصی را برای دریافت به‌روزرسانی انتخاب کرد.
• تمامی این تنظیمات از طریق PowerShell نیز قابل انجام است که در سناریوهای مدیریت خودکار WSUS کاربرد زیادی دارد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”مدیریت حجم به‌روزرسانی‌ها و پاک‌سازی داده‌های قدیمی در WSUS” subtitle=”توضیحات کامل”]WSUS به‌مرور زمان حجم زیادی از داده‌های به‌روزرسانی را ذخیره می‌کند که این موضوع می‌تواند باعث پر شدن فضای ذخیره‌سازی، کندی عملکرد و افزایش زمان همگام‌سازی شود. برای مدیریت بهتر، باید به‌روزرسانی‌های قدیمی، غیرضروری و تکراری را پاک‌سازی کنیم.

در این بخش، روش‌های مختلف مدیریت حجم به‌روزرسانی‌ها و پاک‌سازی داده‌های قدیمی را به‌صورت گرافیکی و کامندی بررسی می‌کنیم.

---

۱. پاک‌سازی WSUS با استفاده از Cleanup Wizard

یکی از ساده‌ترین روش‌های پاک‌سازی WSUS، استفاده از ابزار WSUS Cleanup Wizard است.

روش گرافیکی:

1. WSUS Console را باز کنید.
2. به مسیر Options > Server Cleanup Wizard بروید.
3. گزینه‌های زیر را فعال کنید:
   • Unused updates and update revisions (حذف به‌روزرسانی‌های بدون استفاده)
   • Computers not contacting the server (حذف کلاینت‌های غیرفعال)
   • Superseded updates (حذف به‌روزرسانی‌های منسوخ‌شده)
   • Expired updates (حذف به‌روزرسانی‌های منقضی‌شده)
   • Obsolete updates (حذف به‌روزرسانی‌های قدیمی و بی‌استفاده)
   • Unneeded update files (حذف فایل‌های غیرضروری)
4. روی Next کلیک کنید تا فرآیند پاک‌سازی انجام شود.

🔹 مزیت این روش: راحت و سریع است، اما ممکن است همه داده‌های غیرضروری را حذف نکند.

---

۲. پاک‌سازی WSUS با استفاده از PowerShell

می‌توان با استفاده از PowerShell فرآیند پاک‌سازی را خودکار و دقیق‌تر انجام داد.

پاک‌سازی به‌روزرسانی‌های منسوخ و غیرضروری:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$cleanupManager = $wsus.GetCleanupManager()

# حذف به‌روزرسانی‌های بی‌استفاده
$cleanupManager.PerformCleanup([Microsoft.UpdateServices.Administration.CleanupScope]::ObsoleteUpdates)

# حذف به‌روزرسانی‌های منسوخ‌شده
$cleanupManager.PerformCleanup([Microsoft.UpdateServices.Administration.CleanupScope]::SupersededUpdates)

# حذف به‌روزرسانی‌های منقضی‌شده
$cleanupManager.PerformCleanup([Microsoft.UpdateServices.Administration.CleanupScope]::ExpiredUpdates)

# حذف فایل‌های غیرضروری
$cleanupManager.PerformCleanup([Microsoft.UpdateServices.Administration.CleanupScope]::UnneededUpdateFiles)

📌 این اسکریپت به ترتیب موارد زیر را حذف می‌کند:
✅ به‌روزرسانی‌های قدیمی و بی‌استفاده
✅ به‌روزرسانی‌های جایگزین‌شده با نسخه‌های جدید
✅ به‌روزرسانی‌های منقضی‌شده
✅ فایل‌های غیرضروری که دیگر استفاده نمی‌شوند

---

۳. کاهش حجم WSUS با تنظیمات Storage و حذف فایل‌های به‌روزرسانی قدیمی

انتقال مسیر ذخیره‌سازی به یک درایو دیگر

اگر فضای WSUS در درایو فعلی کم است، می‌توان مسیر Storage را تغییر داد.

🔹 مشاهده مسیر فعلی:

(Get-WsusServer).GetConfiguration().LocalContentCachePath

🔹 تغییر مسیر ذخیره‌سازی (مثلاً انتقال به درایو D):

wsusutil.exe movecontent D:\WSUS\ D:\WSUS\Move.log

📌 مسیر جدید: D:\WSUS\
📌 فایل گزارش: D:\WSUS\Move.log

---

۴. کاهش حجم پایگاه داده WSUS (SQL Cleanup)

🔹 مشاهده حجم پایگاه داده WSUS:

USE SUSDB;
SELECT name, size * 8 / 1024 AS SizeMB FROM sys.master_files WHERE database_id = DB_ID('SUSDB');

📌 این دستور حجم پایگاه داده WSUS را برحسب مگابایت نمایش می‌دهد.

🔹 پاک‌سازی پایگاه داده و حذف لاگ‌های اضافی:

USE SUSDB;
EXEC sp_DeletedUnusedUpdates;
EXEC sp_CleanupObsoleteComputers;
EXEC sp_CleanupObsoleteUpdates;

📌 این دستورات، لاگ‌های اضافی، کلاینت‌های قدیمی و به‌روزرسانی‌های غیرضروری را از پایگاه داده حذف می‌کنند.

---

۵. حذف کلاینت‌های غیرفعال از WSUS

🔹 مشاهده لیست کلاینت‌های غیرفعال (بیش از ۳۰ روز):

$wsus = Get-WsusServer
$computers = $wsus.GetComputerTargetGroups() | ForEach-Object { $_.GetComputerTargets() }
$inactiveComputers = $computers | Where-Object { $_.LastSyncTime -lt (Get-Date).AddDays(-30) }
$inactiveComputers | Select-Object FullDomainName, LastSyncTime

📌 این دستور لیستی از کلاینت‌هایی که بیش از ۳۰ روز غیرفعال بوده‌اند، نمایش می‌دهد.

🔹 حذف کلاینت‌های غیرفعال:

$inactiveComputers | ForEach-Object { $_.Delete() }

📌 این دستور تمام کلاینت‌های غیرفعال را از WSUS حذف می‌کند.

---

جمع‌بندی

• WSUS با گذشت زمان حجم زیادی از داده‌های غیرضروری را ذخیره می‌کند که باعث اشغال فضای سرور و کندی عملکرد می‌شود.
• برای پاک‌سازی، می‌توان از Server Cleanup Wizard در کنسول WSUS استفاده کرد.
• با استفاده از PowerShell می‌توان به‌صورت خودکار به‌روزرسانی‌های منسوخ، کلاینت‌های غیرفعال و فایل‌های غیرضروری را حذف کرد.
• اگر فضای WSUS کم است، می‌توان مسیر ذخیره‌سازی را به درایو دیگری منتقل کرد.
• کاهش حجم پایگاه داده SQL WSUS نیز باعث بهینه‌سازی عملکرد می‌شود.
• حذف کلاینت‌های غیرفعال به سازماندهی بهتر و کاهش بار سرور کمک می‌کند.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 2. مدیریت Synchronization با Microsoft Update”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”نحوه انجام همگام‌سازی دستی و خودکار در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های مدیریت WSUS، انجام همگام‌سازی (Synchronization) به‌منظور دریافت لیست جدید به‌روزرسانی‌ها از Microsoft Update یا یک سرور WSUS دیگر است.

🔹 دو روش برای همگام‌سازی وجود دارد:

1. همگام‌سازی دستی – هر زمان که نیاز باشد، فرآیند به‌روزرسانی را به‌صورت دستی اجرا می‌کنیم.
2. همگام‌سازی خودکار – سرور به‌صورت خودکار در بازه‌های زمانی مشخص همگام‌سازی را انجام می‌دهد.

در ادامه، روش‌های گرافیکی و کامندی برای هر دو نوع همگام‌سازی بررسی می‌شوند.

---

۱. انجام همگام‌سازی دستی

روش گرافیکی (از طریق کنسول WSUS)

1. WSUS Console را باز کنید.
2. به بخش Options بروید.
3. روی Synchronizations کلیک کنید.
4. در قسمت Tasks گزینه Synchronize Now را انتخاب کنید.
5. فرآیند همگام‌سازی آغاز شده و می‌توانید وضعیت پیشرفت را در بخش Synchronization Results مشاهده کنید.

🔹 مزیت این روش: ساده است اما نیاز به اجرای دستی دارد.

روش کامندی (از طریق PowerShell)

برای انجام همگام‌سازی دستی از PowerShell می‌توان از دستورات زیر استفاده کرد:

(Get-WsusServer).GetSubscription().StartSynchronization()

📌 این دستور باعث شروع همگام‌سازی WSUS با Microsoft Update یا سرور بالادستی WSUS می‌شود.

🔹 بررسی وضعیت همگام‌سازی:

(Get-WsusServer).GetSubscription().GetSynchronizationStatus()

📌 مقدار خروجی:

• 1 – همگام‌سازی در حال انجام است.
• 0 – همگام‌سازی تکمیل شده است.

🔹 مشاهده آخرین تاریخ همگام‌سازی:

(Get-WsusServer).GetSubscription().GetLastSynchronizationTime()

📌 این دستور تاریخ آخرین همگام‌سازی موفق را نمایش می‌دهد.

---

۲. تنظیم همگام‌سازی خودکار

برای جلوگیری از اجرای دستی مداوم، می‌توان همگام‌سازی خودکار را تنظیم کرد تا WSUS به‌صورت دوره‌ای لیست به‌روزرسانی‌ها را از سرور مایکروسافت یا WSUS بالادستی دریافت کند.

روش گرافیکی (از طریق کنسول WSUS)

1. WSUS Console را باز کنید.
2. به مسیر Options > Synchronization Schedule بروید.
3. گزینه Automatically synchronize را انتخاب کنید.
4. مقدار Number of synchronizations per day را تعیین کنید (مثلاً 1 بار در روز).
5. روی OK کلیک کنید.

🔹 نکته: توصیه می‌شود حداقل یک بار در روز این همگام‌سازی انجام شود.

روش کامندی (از طریق PowerShell)

🔹 فعال‌سازی همگام‌سازی خودکار:

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config.SynchronizeAutomatically = $true
$config.NumberOfSynchronizationsPerDay = 1  # تغییر به ۱ بار در روز
$config.Save()

📌 این اسکریپت موارد زیر را تنظیم می‌کند:
✅ فعال‌سازی همگام‌سازی خودکار
✅ تنظیم همگام‌سازی برای یک بار در روز

🔹 تنظیم زمان‌بندی خاص برای همگام‌سازی خودکار:
اگر بخواهیم همگام‌سازی در یک ساعت مشخص از روز اجرا شود (مثلاً هر روز ساعت 2:00 بامداد):

$subscription = (Get-WsusServer).GetSubscription()
$subscription.SynchronizeAutomatically = $true
$subscription.SetDailySynchronizationTime([DateTime] "02:00:00")
$subscription.Save()

📌 این اسکریپت، همگام‌سازی را هر روز رأس ساعت ۲:۰۰ صبح اجرا می‌کند.

---

۳. بررسی گزارش‌های همگام‌سازی

بعد از اجرای همگام‌سازی، باید وضعیت آن را بررسی کنیم تا مطمئن شویم که همه به‌روزرسانی‌ها دریافت شده‌اند.

🔹 مشاهده وضعیت آخرین همگام‌سازی:

$syncStatus = (Get-WsusServer).GetSubscription().GetLastSynchronizationResult()
$syncStatus

📌 مقدار خروجی 0 نشان‌دهنده موفقیت‌آمیز بودن همگام‌سازی است.

🔹 نمایش جزئیات کامل همگام‌سازی‌های اخیر:

(Get-WsusServer).GetSynchronizationHistory(5)

📌 این دستور، اطلاعات ۵ همگام‌سازی آخر را نمایش می‌دهد.

🔹 دریافت لیست آخرین به‌روزرسانی‌های دریافت‌شده:

$updates = (Get-WsusServer).SearchUpdates()
$updates | Select-Object Title, ArrivalDate | Sort-Object ArrivalDate -Descending

📌 این دستور، آخرین به‌روزرسانی‌های دریافت‌شده را نمایش می‌دهد.

---

۴. ریست کردن وضعیت همگام‌سازی در صورت وجود مشکل

اگر همگام‌سازی دچار مشکل شود، می‌توان با ریست کردن WSUS مشکل را برطرف کرد.

🔹 پاک کردن کش همگام‌سازی و راه‌اندازی مجدد سرویس WSUS:

net stop wuauserv
rd /s /q "%windir%\SoftwareDistribution"
net start wuauserv

📌 این دستور باعث پاک شدن کش همگام‌سازی و دانلود مجدد اطلاعات به‌روزرسانی‌ها می‌شود.

---

جمع‌بندی

• همگام‌سازی دستی از طریق WSUS Console یا PowerShell انجام می‌شود.
• برای جلوگیری از اجرای دستی مداوم، همگام‌سازی خودکار را می‌توان از طریق کنسول یا PowerShell تنظیم کرد.
• PowerShell گزینه‌های پیشرفته‌تری مانند تنظیم ساعت مشخص برای همگام‌سازی خودکار را فراهم می‌کند.
• بررسی گزارش‌های همگام‌سازی کمک می‌کند تا از دریافت صحیح به‌روزرسانی‌ها مطمئن شویم.
• در صورت وجود مشکل، می‌توان کش WSUS را پاک‌سازی و همگام‌سازی را مجدداً انجام داد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیم بازه‌های زمانی Synchronization در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های مدیریت WSUS، تنظیم بازه‌های زمانی مناسب برای Synchronization (همگام‌سازی) است. با تعیین زمان‌های دقیق برای همگام‌سازی، می‌توان از دریافت به‌موقع به‌روزرسانی‌ها اطمینان حاصل کرد و از افزایش بار غیرضروری روی سرور جلوگیری نمود.

🔹 گزینه‌های اصلی برای تنظیم همگام‌سازی:

• همگام‌سازی دستی – هر زمان که نیاز باشد، می‌توان فرآیند همگام‌سازی را به‌صورت دستی اجرا کرد.
• همگام‌سازی خودکار روزانه – همگام‌سازی به‌صورت خودکار و یک بار در روز انجام شود.
• همگام‌سازی خودکار چندباره در روز – همگام‌سازی در چند نوبت مشخص از روز اجرا شود.
• همگام‌سازی در یک ساعت خاص – تنظیم زمان همگام‌سازی روی یک ساعت مشخص و ثابت.

در ادامه، روش‌های گرافیکی و کامندی برای هر یک بررسی می‌شوند.

---

۱. تنظیم بازه زمانی Synchronization از طریق کنسول WSUS

تنظیم همگام‌سازی خودکار در یک یا چند نوبت در روز

1. WSUS Console را باز کنید.
2. به مسیر Options > Synchronization Schedule بروید.
3. گزینه Automatically synchronize را فعال کنید.
4. تعداد دفعات همگام‌سازی در روز را مشخص کنید (مثلاً ۱ بار یا بیشتر).
5. برای همگام‌سازی در یک ساعت مشخص گزینه Synchronize at a specified time را انتخاب کرده و ساعت دقیق را تنظیم کنید.
6. روی OK کلیک کنید تا تنظیمات ذخیره شوند.

🔹 مثال:

• اگر ۱ بار در روز تنظیم شود، WSUS هر ۲۴ ساعت یک‌بار همگام‌سازی را انجام می‌دهد.
• اگر ۲ بار در روز تنظیم شود، هر ۱۲ ساعت یک بار اجرا خواهد شد.

🔹 نکته: توصیه می‌شود که همگام‌سازی خارج از ساعات کاری انجام شود تا تأثیری روی عملکرد شبکه نگذارد.

---

۲. تنظیم بازه زمانی Synchronization از طریق PowerShell

فعال‌سازی همگام‌سازی خودکار و تعیین تعداد دفعات همگام‌سازی در روز

برای تنظیم همگام‌سازی خودکار می‌توان از اسکریپت PowerShell زیر استفاده کرد:

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config.SynchronizeAutomatically = $true
$config.NumberOfSynchronizationsPerDay = 2  # همگام‌سازی ۲ بار در روز
$config.Save()

📌 توضیح:
✅ همگام‌سازی خودکار فعال شد.
✅ WSUS هر ۱۲ ساعت یک بار با سرور مایکروسافت یا WSUS بالادستی همگام می‌شود.

تنظیم همگام‌سازی خودکار در یک ساعت خاص از روز

اگر بخواهیم همگام‌سازی را در یک ساعت خاص (مثلاً ساعت ۳:۰۰ بامداد) انجام دهیم، از دستور زیر استفاده می‌کنیم:

$subscription = (Get-WsusServer).GetSubscription()
$subscription.SynchronizeAutomatically = $true
$subscription.SetDailySynchronizationTime([DateTime] "03:00:00")
$subscription.Save()

📌 توضیح:
✅ WSUS هر روز رأس ساعت ۳:۰۰ صبح همگام‌سازی را انجام می‌دهد.

ترکیب همگام‌سازی در یک ساعت مشخص و چندبار در روز

اگر بخواهیم همگام‌سازی چندباره در روز را در ساعت‌های خاصی اجرا کنیم، از Task Scheduler استفاده می‌کنیم.

🔹 مراحل:

1. در Task Scheduler یک تسک جدید ایجاد کنید.
2. در قسمت Triggers، چند زمان مشخص اضافه کنید (مثلاً ۰۳:۰۰، ۱۵:۰۰، ۲۱:۰۰).
3. در قسمت Actions، دستور زیر را وارد کنید:

   powershell.exe -Command "(Get-WsusServer).GetSubscription().StartSynchronization()"
   

4. روی OK کلیک کنید.

📌 با این روش، WSUS در ساعت‌های مشخص‌شده همگام‌سازی را انجام می‌دهد.

---

۳. بررسی و تغییر تنظیمات همگام‌سازی از طریق PowerShell

بررسی تعداد دفعات همگام‌سازی خودکار در روز

(Get-WsusServer).GetConfiguration().NumberOfSynchronizationsPerDay

📌 خروجی عددی نشان‌دهنده تعداد دفعات همگام‌سازی روزانه است.

بررسی زمان آخرین همگام‌سازی موفق

(Get-WsusServer).GetSubscription().GetLastSynchronizationTime()

📌 خروجی این دستور، تاریخ و ساعت آخرین همگام‌سازی را نمایش می‌دهد.

بررسی زمان‌بندی تنظیم‌شده برای همگام‌سازی خودکار

(Get-WsusServer).GetSubscription().GetDailySynchronizationTime()

📌 این دستور، ساعت مشخص‌شده برای همگام‌سازی خودکار را نشان می‌دهد.

حذف همگام‌سازی خودکار و تنظیم به حالت دستی

$wsus = Get-WsusServer
$config = $wsus.GetConfiguration()
$config.SynchronizeAutomatically = $false
$config.Save()

📌 بعد از اجرای این دستور، همگام‌سازی فقط به‌صورت دستی انجام می‌شود.

---

۴. ریست کردن تنظیمات همگام‌سازی در صورت وجود مشکل

اگر به هر دلیلی همگام‌سازی درست انجام نشود، می‌توان با ریست کردن تنظیمات WSUS مشکل را برطرف کرد.

🔹 پاک کردن تنظیمات و اعمال مجدد همگام‌سازی خودکار:

$subscription = (Get-WsusServer).GetSubscription()
$subscription.SynchronizeAutomatically = $false
$subscription.Save()

Start-Sleep -Seconds 10  # یک توقف ۱۰ ثانیه‌ای برای اعمال تنظیمات

$subscription.SynchronizeAutomatically = $true
$subscription.SetDailySynchronizationTime([DateTime] "03:00:00")
$subscription.Save()

📌 با این دستور، ابتدا همگام‌سازی غیرفعال شده و بعد از ۱۰ ثانیه دوباره فعال و تنظیم می‌شود.

🔹 پاک کردن کش WSUS برای حل مشکلات همگام‌سازی:

net stop wuauserv
rd /s /q "%windir%\SoftwareDistribution"
net start wuauserv

📌 این دستور کش WSUS را پاک‌سازی کرده و امکان دانلود مجدد داده‌های همگام‌سازی را فراهم می‌کند.

---

جمع‌بندی

• تنظیم بازه‌های زمانی همگام‌سازی کمک می‌کند تا WSUS در زمان‌های کم‌ترافیک شبکه به‌روزرسانی‌ها را دریافت کند.
• همگام‌سازی خودکار می‌تواند یک بار در روز یا چندبار در روز انجام شود.
• برای اجرای همگام‌سازی در ساعت مشخص، می‌توان از PowerShell یا Task Scheduler استفاده کرد.
• در صورت وجود مشکل، می‌توان تنظیمات همگام‌سازی را ریست کرده و مجدداً اعمال کرد.
• برای مشاهده وضعیت همگام‌سازی و زمان آخرین همگام‌سازی، از دستورات PowerShell استفاده می‌شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”انتخاب منابع همگام‌سازی (Microsoft Update یا Upstream WSUS Server)” subtitle=”توضیحات کامل”]در WSUS می‌توان منابع همگام‌سازی را بین Microsoft Update و یک Upstream WSUS Server انتخاب کرد. این انتخاب بستگی به زیرساخت شبکه، نیازهای سازمان و نحوه مدیریت به‌روزرسانی‌ها دارد. در ادامه به نحوه انتخاب منبع همگام‌سازی از طریق کنسول گرافیکی و دستورات کامندی پرداخته می‌شود.

تنظیمات از طریق کنسول گرافیکی

برای انتخاب منبع همگام‌سازی در WSUS به روش گرافیکی، مراحل زیر را انجام دهید:

1. کنسول مدیریت WSUS را باز کنید.
2. در بخش Options، روی Update Source and Proxy Server کلیک کنید.
3. در تب Update Source دو گزینه برای انتخاب وجود دارد:
   • Synchronize from Microsoft Update: دریافت مستقیم به‌روزرسانی‌ها از سرورهای Microsoft.
   • Synchronize from another WSUS server: دریافت به‌روزرسانی‌ها از یک سرور WSUS بالادستی (Upstream).
4. اگر گزینه Upstream WSUS Server انتخاب شود، باید نام سرور و پورت مربوطه را وارد کنید.
5. در صورت نیاز به فعال‌سازی SSL برای ارتباط امن، گزینه Use SSL when synchronizing update information را فعال کنید.
6. در نهایت روی Apply کلیک کنید تا تغییرات ذخیره شوند.

تنظیمات از طریق PowerShell

برای انجام این تنظیمات از طریق PowerShell، می‌توان از WSUS API استفاده کرد. ابتدا PowerShell را با دسترسی ادمین اجرا کنید و سپس از دستورات زیر استفاده نمایید.

تنظیم همگام‌سازی از Microsoft Update:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$config = $wsus.GetConfiguration()
$config.SyncFromMicrosoftUpdate = $true
$config.Save()

این دستور به سرور اعلام می‌کند که به‌روزرسانی‌ها را مستقیماً از Microsoft Update دریافت کند.

تنظیم همگام‌سازی از یک سرور WSUS دیگر:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$config = $wsus.GetConfiguration()
$config.SyncFromMicrosoftUpdate = $false
$config.UpstreamWsusServerName = "WSUS-UpstreamServer"
$config.UpstreamWsusServerPortNumber = 8530
$config.UpstreamWsusServerUseSsl = $false
$config.Save()

در این دستور، WSUS-UpstreamServer نام سرور WSUS بالادستی است و ارتباط روی پورت 8530 برقرار می‌شود. در صورت استفاده از SSL مقدار $config.UpstreamWsusServerUseSsl را به $true تغییر دهید.

تنظیمات از طریق رجیستری (Registry Editor)

گاهی ممکن است نیاز به تغییر مستقیم تنظیمات در رجیستری ویندوز داشته باشید. برای این کار:

1. Regedit را اجرا کنید (Win + R و سپس regedit).
2. به مسیر زیر بروید:

   HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
   

3. مقدار WUStatusServer و WUServer را بررسی کنید.
   • اگر مقدار Microsoft Update باشد، WSUS از مایکروسافت همگام‌سازی می‌کند.
   • اگر مقدار آدرس یک WSUS Server باشد، از یک سرور داخلی استفاده می‌شود.
4. در صورت نیاز مقادیر را تغییر داده و سیستم را ری‌استارت کنید.

تغییر مسیر پیکربندی در فایل تنظیمات WSUS

اگر از یک فایل پیکربندی برای اعمال تنظیمات WSUS استفاده می‌کنید، مسیر فایل C:\Program Files\Update Services\Config\WSUSConfig.xml می‌باشد. می‌توانید مقادیر مربوط به Upstream Server را در این فایل ویرایش کنید.

نمونه ویرایش فایل:

<Configuration>
    <SyncFromMicrosoftUpdate>true</SyncFromMicrosoftUpdate>
    <UpstreamServer>WSUS-UpstreamServer</UpstreamServer>
    <UpstreamPort>8530</UpstreamPort>
    <UseSsl>false</UseSsl>
</Configuration>

پس از ویرایش این فایل، لازم است سرویس WSUS را ری‌استارت کنید.

ری‌استارت سرویس WSUS پس از تغییر تنظیمات

پس از اعمال هر تغییری در تنظیمات همگام‌سازی، سرویس WSUS را ری‌استارت کنید:

Restart-Service WsusService

جمع‌بندی

• اگر سازمان شما اتصال به اینترنت دارد، می‌توان WSUS را مستقیماً به Microsoft Update متصل کرد.
• در محیط‌هایی که چندین سرور WSUS وجود دارد، بهتر است یک سرور بالادستی (Upstream) تعیین کرده و سایر سرورها را از آن همگام‌سازی کنید.
• تنظیمات را می‌توان از طریق کنسول WSUS، PowerShell، رجیستری و فایل پیکربندی انجام داد.
• پس از اعمال تغییرات، حتماً سرویس WSUS را ری‌استارت کنید تا تنظیمات اعمال شوند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی و مدیریت مشکلات Synchronization در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین بخش‌های مدیریت WSUS، بررسی و مدیریت مشکلات همگام‌سازی (Synchronization) است. اگر WSUS به درستی با Microsoft Update یا Upstream WSUS Server همگام‌سازی نشود، کل فرآیند توزیع به‌روزرسانی‌ها مختل می‌شود. در این بخش، روش‌های بررسی و رفع مشکلات همگام‌سازی را به روش‌های گرافیکی و کامندی بررسی خواهیم کرد.

بررسی وضعیت همگام‌سازی در کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل سمت چپ، روی Synchronizations کلیک کنید.
3. در پنل وسط، لیست تمام Synchronization‌های انجام‌شده را مشاهده کنید.
4. برای دیدن جزئیات یک همگام‌سازی خاص، روی آن دابل کلیک کنید.
5. در صورت وجود خطا، پیام خطا در قسمت Errors نمایش داده می‌شود.

بررسی وضعیت همگام‌سازی با PowerShell

برای بررسی وضعیت همگام‌سازی WSUS، دستور زیر را اجرا کنید:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$syncManager = $wsus.GetSubscription()
$syncStatus = $syncManager.GetSynchronizationStatus()
$syncStatus

این دستور وضعیت آخرین همگام‌سازی را نشان می‌دهد.

بررسی لاگ‌های WSUS برای خطاهای همگام‌سازی

برای پیدا کردن علت مشکلات Synchronization، لاگ‌های WSUS را بررسی کنید. مسیر فایل‌های لاگ به شرح زیر است:

• لاگ‌های WSUS Synchronization

  C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log
  

• لاگ‌های عمومی WSUS

  C:\Program Files\Update Services\LogFiles\WSUSCtrl.log
  

برای خواندن سریع این لاگ‌ها می‌توانید از PowerShell استفاده کنید:

Get-Content "C:\Program Files\Update Services\LogFiles\SoftwareDistribution.log" -Tail 50

این دستور 50 خط آخر لاگ همگام‌سازی را نمایش می‌دهد.

بررسی ارتباط با سرورهای Microsoft Update

اگر WSUS به درستی به Microsoft Update متصل نمی‌شود، از ابزار Test-NetConnection برای بررسی اتصال استفاده کنید:

Test-NetConnection -ComputerName update.microsoft.com -Port 443

این دستور بررسی می‌کند که آیا پورت 443 که برای اتصال به Microsoft Update لازم است، باز است یا خیر.

در صورت استفاده از Upstream WSUS Server، ارتباط با سرور بالادستی را تست کنید:

Test-NetConnection -ComputerName WSUS-UpstreamServer -Port 8530

رفع مشکلات رایج Synchronization

1. اطمینان از اجرای سرویس WSUS

اگر WSUS اجرا نمی‌شود، دستور زیر را برای بررسی وضعیت سرویس اجرا کنید:

Get-Service WsusService

در صورت متوقف بودن سرویس، آن را ری‌استارت کنید:

Restart-Service WsusService

2. تنظیم مجدد همگام‌سازی و اجرا به‌صورت دستی

گاهی نیاز است همگام‌سازی را دستی اجرا کنید:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$subscription = $wsus.GetSubscription()
$subscription.StartSynchronization()

این دستور همگام‌سازی را فوراً اجرا می‌کند.

3. پاک‌سازی دیتابیس WSUS برای حل مشکلات

گاهی مشکلات همگام‌سازی ناشی از حجم زیاد دیتابیس WSUS است. برای کاهش حجم پایگاه داده و رفع مشکلات، از دستورات زیر استفاده کنید:

cd "C:\Program Files\Update Services\Tools"
.\WsusUtil.exe reset

این دستور باعث بازنشانی و بررسی دوباره به‌روزرسانی‌ها در WSUS می‌شود.

4. اطمینان از باز بودن پورت‌های مورد نیاز

WSUS برای همگام‌سازی نیاز به پورت‌های زیر دارد:

• پورت 443 (برای Microsoft Update)
• پورت 8530/8531 (برای Upstream WSUS Server)

برای بررسی باز بودن پورت‌ها از netstat استفاده کنید:

netstat -ano | findstr :8530

اگر پورت مورد نظر باز نیست، باید آن را در فایروال باز کنید:

New-NetFirewallRule -DisplayName "Allow WSUS Sync" -Direction Outbound -Action Allow -Protocol TCP -LocalPort 8530

بازنشانی تنظیمات همگام‌سازی در رجیستری

در صورت نیاز به بازنشانی تنظیمات همگام‌سازی، مقادیر رجیستری مربوطه را بررسی و تغییر دهید:

1. Regedit را اجرا کنید (Win + R و تایپ regedit).
2. مسیر زیر را باز کنید:

   HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
   

3. مقدار WUServer را تغییر دهید:
   • اگر WSUS از Microsoft Update استفاده می‌کند مقدار را خالی بگذارید.
   • اگر WSUS از Upstream WSUS Server استفاده می‌کند مقدار را به http://WSUS-UpstreamServer:8530 تغییر دهید.
4. پس از تغییر، سیستم را ری‌استارت کنید.

جمع‌بندی

• وضعیت همگام‌سازی را از طریق کنسول WSUS یا PowerShell بررسی کنید.
• لاگ‌های WSUS را در مسیر C:\Program Files\Update Services\LogFiles\ برای یافتن خطاها بررسی کنید.
• با استفاده از Test-NetConnection مطمئن شوید که سرور Microsoft Update یا Upstream WSUS Server در دسترس است.
• در صورت وجود مشکل، سرویس WSUS را ری‌استارت کنید.
• همگام‌سازی را به‌صورت دستی اجرا کنید و اگر مشکل ادامه داشت، پایگاه داده را پاک‌سازی کنید.
• پورت‌های مورد نیاز WSUS را در فایروال باز کنید.
• در صورت نیاز، تنظیمات WSUS را در رجیستری بررسی و بازنشانی کنید.

با انجام این مراحل، مشکلات همگام‌سازی WSUS برطرف خواهند شد و فرآیند مدیریت به‌روزرسانی‌ها بدون اختلال ادامه خواهد یافت.[/cdb_course_lesson][cdb_course_lesson title=”فصل 3. گروه‌های کامپیوتر در WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ایجاد و مدیریت گروه‌های کامپیوتری در WSUS” subtitle=”توضیحات کامل”]یکی از قابلیت‌های مهم WSUS، گروه‌بندی کامپیوترها برای اعمال به‌روزرسانی‌های خاص است. با استفاده از گروه‌های کامپیوتری، می‌توان آپدیت‌های خاصی را برای گروهی از سیستم‌ها ارائه کرد و نحوه‌ی دریافت آپدیت‌ها را بهتر مدیریت کرد. در این بخش، نحوه ایجاد، مدیریت و تخصیص کامپیوترها به گروه‌های مختلف را بررسی خواهیم کرد.

روش‌های مدیریت گروه‌های کامپیوتری در WSUS

WSUS دو روش برای مدیریت گروه‌های کامپیوتری ارائه می‌دهد:

1. Server-Side Targeting (مدیریت از طریق کنسول WSUS)
2. Client-Side Targeting (مدیریت از طریق Group Policy یا رجیستری)

در ادامه، هر دو روش را بررسی می‌کنیم.

---

ایجاد و مدیریت گروه‌های کامپیوتری با Server-Side Targeting

در این روش، مدیر WSUS به‌صورت دستی گروه‌های کامپیوتری را در کنسول WSUS ایجاد کرده و سپس کامپیوترها را به این گروه‌ها اضافه می‌کند.

ایجاد گروه کامپیوتری در کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل سمت چپ، روی Computers کلیک کنید.
3. از منوی Actions، گزینه Add Computer Group را انتخاب کنید.
4. نام گروه جدید را وارد کرده و روی OK کلیک کنید.

افزودن کامپیوترها به گروه در کنسول WSUS

1. در کنسول WSUS، به Computers بروید.
2. گروه Unassigned Computers را باز کنید.
3. کامپیوتر موردنظر را انتخاب کنید.
4. از منوی Change Membership، گروه دلخواه را انتخاب کنید.
5. روی OK کلیک کنید.

---

مدیریت گروه‌های کامپیوتری با Client-Side Targeting

در این روش، کامپیوترها به‌صورت خودکار به گروه‌های مشخص‌شده اضافه می‌شوند. این کار از طریق Group Policy یا رجیستری انجام می‌شود.

فعال‌سازی Client-Side Targeting در WSUS

1. در کنسول WSUS، به Options بروید.
2. روی Computers کلیک کنید.
3. گزینه Use Group Policy or registry settings on computers را انتخاب کنید.
4. روی Apply و سپس OK کلیک کنید.

پیکربندی Client-Side Targeting با Group Policy

1. Group Policy Management را باز کنید (gpmc.msc).
2. یک GPO جدید ایجاد کنید یا GPO موجود را ویرایش کنید.
3. مسیر زیر را باز کنید:

   Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
   

4. گزینه Enable client-side targeting را فعال کنید.
5. در قسمت Target group name for this computer، نام گروه موردنظر را وارد کنید (مثلاً "IT-Computers").
6. روی Apply و سپس OK کلیک کنید.

اعمال تنظیمات Group Policy روی کلاینت‌ها

بعد از پیکربندی Group Policy، کامپیوترها باید آن را دریافت کنند. می‌توان این فرآیند را با دستورات زیر تسریع کرد:

gpupdate /force

همچنین، برای بررسی اینکه تنظیمات WSUS روی کلاینت اعمال شده است، دستور زیر را اجرا کنید:

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /s

---

مدیریت گروه‌های کامپیوتری با استفاده از رجیستری

اگر مدیریت از طریق Group Policy امکان‌پذیر نباشد، می‌توان از رجیستری برای تعیین گروه WSUS استفاده کرد.

تنظیم Client-Side Targeting در رجیستری

1. Registry Editor را باز کنید (regedit).
2. به مسیر زیر بروید:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   

3. مقدار TargetGroupEnabled را روی 1 قرار دهید.
4. مقدار TargetGroup را با نام گروه موردنظر تنظیم کنید (مثلاً "HR-Computers").
5. کامپیوتر را ری‌استارت کنید یا دستور زیر را اجرا کنید:

   net stop wuauserv && net start wuauserv
   

---

مدیریت گروه‌های کامپیوتری از طریق PowerShell

می‌توان از PowerShell برای ایجاد گروه‌های کامپیوتری، افزودن سیستم‌ها به گروه‌ها و مدیریت آن‌ها استفاده کرد.

ایجاد گروه کامپیوتری با PowerShell

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$wsus.CreateComputerTargetGroup("Engineering-Group")

نمایش لیست گروه‌های کامپیوتری

$wsus.GetComputerTargetGroups() | Select-Object Name

اضافه کردن یک کامپیوتر به گروه خاص

$group = $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "Engineering-Group" }
$computer = $wsus.GetComputerTarget("ComputerName")
$group.AddComputerTarget($computer)

حذف یک کامپیوتر از گروه

$group.RemoveComputerTarget($computer)

---

جمع‌بندی

• WSUS از دو روش Server-Side Targeting و Client-Side Targeting برای مدیریت گروه‌های کامپیوتری استفاده می‌کند.
• در Server-Side Targeting، گروه‌ها به‌صورت دستی از طریق کنسول WSUS مدیریت می‌شوند.
• در Client-Side Targeting، کامپیوترها به‌صورت خودکار بر اساس Group Policy یا رجیستری در گروه‌های مشخص قرار می‌گیرند.
• از PowerShell می‌توان برای ایجاد، نمایش، افزودن و حذف کامپیوترها از گروه‌ها استفاده کرد.
• تنظیمات Client-Side Targeting را می‌توان از طریق Group Policy یا رجیستری روی کلاینت‌ها اعمال کرد.
• بررسی لاگ‌ها و اجرای gpupdate /force به حل مشکلات احتمالی کمک می‌کند.

با پیاده‌سازی این روش‌ها، مدیریت گروه‌های کامپیوتری در WSUS ساده‌تر و بهینه‌تر خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی Client-Side Targeting در WSUS” subtitle=”توضیحات کامل”]Client-Side Targeting یکی از قابلیت‌های WSUS است که به سرورها و کلاینت‌ها این امکان را می‌دهد که به‌طور خودکار در گروه‌های خاصی از کامپیوترها قرار بگیرند. این روش مناسب سازمان‌هایی است که مدیریت به‌روزرسانی‌های خود را بر اساس واحدهای سازمانی (OU)، نقش‌های سرور یا دسته‌بندی‌های خاصی از دستگاه‌ها انجام می‌دهند.

در این بخش، نحوه پیکربندی Client-Side Targeting را از طریق کنسول WSUS، Group Policy و رجیستری بررسی خواهیم کرد. همچنین، دستورات PowerShell برای بررسی و رفع مشکلات ارائه می‌شود.

---

فعال‌سازی Client-Side Targeting در WSUS

قبل از اعمال پیکربندی روی کلاینت‌ها، باید WSUS را طوری تنظیم کنیم که از Client-Side Targeting استفاده کند.

فعال‌سازی در کنسول WSUS

1. کنسول WSUS را باز کنید.
2. به Options بروید.
3. روی Computers کلیک کنید.
4. گزینه Use Group Policy or registry settings on computers را انتخاب کنید.
5. روی Apply و سپس OK کلیک کنید.

فعال‌سازی از طریق PowerShell

برای انجام این کار از طریق PowerShell، دستور زیر را اجرا کنید:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$wsus.SetComputerTargetingMode(1) # مقدار 1 به معنای Client-Side Targeting است

---

پیکربندی Client-Side Targeting با Group Policy

برای اعمال Client-Side Targeting به کامپیوترها، باید یک GPO تنظیم کنیم.

ایجاد و پیکربندی GPO

1. Group Policy Management را باز کنید (gpmc.msc).
2. یک GPO جدید ایجاد کنید یا GPO پیش‌فرض دامنه را ویرایش کنید.
3. مسیر زیر را باز کنید:

   Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Update
   

4. گزینه Enable client-side targeting را پیدا کرده و روی آن دابل کلیک کنید.
5. گزینه Enabled را انتخاب کنید.
6. در قسمت Target group name for this computer، نام گروه موردنظر را وارد کنید. (مثلاً "HR-Computers").
7. روی Apply و سپس OK کلیک کنید.

اعمال Group Policy روی کلاینت‌ها

بعد از پیکربندی Group Policy، برای اطمینان از اعمال آن روی کلاینت‌ها، دستور زیر را روی سیستم‌ها اجرا کنید:

gpupdate /force

بررسی مقدار تنظیم شده در رجیستری کلاینت

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /v TargetGroup

---

پیکربندی Client-Side Targeting از طریق رجیستری

در صورتی که Group Policy در دسترس نباشد، می‌توان رجیستری را مستقیماً تنظیم کرد.

تنظیم رجیستری برای Client-Side Targeting

1. Registry Editor را باز کنید (regedit).
2. مسیر زیر را باز کنید:

   HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
   

3. دو مقدار زیر را ایجاد یا مقدار آن‌ها را تغییر دهید:
   • مقدار DWORD با نام TargetGroupEnabled و مقدار 1
   • مقدار String با نام TargetGroup و مقدار "HR-Computers" (یا نام گروه دلخواه)

انجام این تغییرات از طریق PowerShell

برای تغییر مقدار رجیستری از PowerShell استفاده کنید:

New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name "TargetGroupEnabled" -Value 1 -PropertyType DWord -Force
New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name "TargetGroup" -Value "HR-Computers" -PropertyType String -Force

---

بررسی و رفع مشکلات Client-Side Targeting

بررسی تنظیمات WSUS روی کلاینت‌ها

برای بررسی آیا کلاینت‌ها تنظیمات WSUS را دریافت کرده‌اند، از این دستور استفاده کنید:

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /s

بررسی اتصال کلاینت‌ها به WSUS

wuauclt /detectnow
wuauclt /reportnow

یا در ویندوز‌های جدیدتر:

USOClient StartScan

بررسی گروهی که کامپیوتر در آن عضو شده است

(Get-WmiObject -Namespace root\Microsoft\Windows\Update -Class MSFT_WUOperations).TargetGroup

اعمال مجدد تنظیمات به‌روزرسانی روی کلاینت‌ها

net stop wuauserv
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientIDValidation /f
net start wuauserv
wuauclt /resetauthorization /detectnow

---

جمع‌بندی

• Client-Side Targeting در WSUS به کلاینت‌ها امکان می‌دهد که به‌طور خودکار در گروه‌های مشخصی قرار بگیرند.
• برای فعال‌سازی این قابلیت، باید WSUS را در حالت Client-Side Targeting قرار دهیم.
• پیکربندی از طریق Group Policy امکان مدیریت مرکزی را فراهم می‌کند.
• در صورت نبود Group Policy، می‌توان از رجیستری برای تنظیم گروه‌بندی استفاده کرد.
• با استفاده از PowerShell می‌توان تنظیمات را بررسی و مشکلات احتمالی را رفع کرد.
• اجرای wuauclt /detectnow یا USOClient StartScan به کلاینت‌ها کمک می‌کند که تنظیمات جدید را دریافت کنند.

با پیاده‌سازی این روش‌ها، می‌توان Client-Side Targeting را در سازمان بهینه کرد و مدیریت به‌روزرسانی‌ها را بهبود بخشید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیم Server-Side Targeting و تفاوت‌های آن با روش Client-Side در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین قابلیت‌های WSUS امکان دسته‌بندی کلاینت‌ها برای مدیریت به‌روزرسانی‌ها است. این کار به دو روش Client-Side Targeting و Server-Side Targeting انجام می‌شود. در این بخش، روش Server-Side Targeting را بررسی کرده و تفاوت‌های آن را با Client-Side Targeting توضیح می‌دهیم.

---

تفاوت Server-Side Targeting با Client-Side Targeting

ویژگی	Client-Side Targeting	Server-Side Targeting
مدیریت گروه‌ها	توسط Group Policy یا رجیستری کلاینت انجام می‌شود.	از طریق کنسول WSUS مدیریت می‌شود.
ایجاد گروه‌ها	کلاینت‌ها به‌صورت خودکار در گروه‌های از پیش تعیین‌شده قرار می‌گیرند.	ادمین باید دستی کلاینت‌ها را به گروه‌ها اضافه کند.
نیاز به تنظیم کلاینت‌ها	بله، نیاز به Group Policy یا ویرایش رجیستری کلاینت‌ها دارد.	خیر، تنظیمات مستقیماً در WSUS انجام می‌شود.
مناسب برای	محیط‌هایی که کلاینت‌ها به‌طور خودکار باید دسته‌بندی شوند.	محیط‌هایی که نیاز به کنترل دستی و انعطاف‌پذیری بیشتر دارند.

اگر در سازمان نیاز به مدیریت پویا و خودکار کلاینت‌ها دارید، Client-Side Targeting مناسب‌تر است. اما اگر می‌خواهید کنترل دستی بیشتری بر گروه‌بندی کلاینت‌ها داشته باشید، Server-Side Targeting انتخاب بهتری خواهد بود.

---

فعال‌سازی Server-Side Targeting در WSUS

تنظیم WSUS برای استفاده از Server-Side Targeting

1. کنسول WSUS را باز کنید.
2. به Options بروید.
3. روی Computers کلیک کنید.
4. گزینه Use the Update Services console را انتخاب کنید.
5. روی Apply و سپس OK کلیک کنید.

انجام این کار از طریق PowerShell

برای تغییر روش مدیریت کلاینت‌ها از PowerShell استفاده کنید:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$wsus.SetComputerTargetingMode(0) # مقدار 0 یعنی Server-Side Targeting

---

ایجاد و مدیریت گروه‌های کامپیوتری در WSUS

ایجاد گروه کامپیوتری جدید در کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل Computers روی All Computers کلیک کنید.
3. از پنل سمت راست، گزینه Add Computer Group را انتخاب کنید.
4. در قسمت Group Name نام گروه را وارد کنید (مثلاً "HR-Computers").
5. روی OK کلیک کنید.

انجام این کار از طریق PowerShell

برای ایجاد یک گروه جدید از PowerShell استفاده کنید:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$group = $wsus.CreateComputerTargetGroup("HR-Computers")
$group.Save()

---

اضافه کردن کلاینت‌ها به گروه‌ها در Server-Side Targeting

اضافه کردن کلاینت‌ها از طریق کنسول WSUS

1. در کنسول WSUS، به قسمت Computers بروید.
2. کامپیوتر موردنظر را پیدا کرده و راست‌کلیک کنید.
3. گزینه Change Membership را انتخاب کنید.
4. گروه موردنظر را انتخاب کرده و روی OK کلیک کنید.

انجام این کار از طریق PowerShell

برای افزودن یک کلاینت به گروه HR-Computers:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$group = $wsus.GetComputerTargetGroupByName("HR-Computers")
$computer = $wsus.GetComputerTargetByName("PC-01") # نام کلاینت را تغییر دهید
$group.AddComputerTarget($computer)
$group.Save()

اضافه کردن همه کلاینت‌ها از یک گروه خاص Active Directory

اگر بخواهید کلاینت‌هایی که در یک OU خاص از Active Directory هستند را اضافه کنید:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$group = $wsus.GetComputerTargetGroupByName("HR-Computers")
$computers = Get-ADComputer -Filter * -SearchBase "OU=HR,DC=example,DC=com" | Select-Object -ExpandProperty Name
foreach ($computer in $computers) {
    $client = $wsus.GetComputerTargetByName($computer)
    if ($client) {
        $group.AddComputerTarget($client)
    }
}
$group.Save()

---

بررسی و رفع مشکلات در Server-Side Targeting

بررسی گروهی که یک کلاینت در آن عضو است

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$computer = $wsus.GetComputerTargetByName("PC-01") # نام کلاینت را تغییر دهید
$computer.GetComputerTargetGroups() | Select-Object -ExpandProperty Name

بررسی تنظیمات کلاینت روی WSUS

wuauclt /detectnow
wuauclt /reportnow

یا در ویندوز‌های جدیدتر:

USOClient StartScan

بررسی ارتباط کلاینت با WSUS

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /s

حذف یک کلاینت از گروه خاص

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$group = $wsus.GetComputerTargetGroupByName("HR-Computers")
$computer = $wsus.GetComputerTargetByName("PC-01")
$group.RemoveComputerTarget($computer)
$group.Save()

---

جمع‌بندی

• Server-Side Targeting در WSUS به ادمین اجازه می‌دهد که دستی کامپیوترها را به گروه‌ها اضافه کند.
• برخلاف Client-Side Targeting، نیازی به Group Policy یا تنظیمات رجیستری روی کلاینت‌ها ندارد.
• گروه‌های کامپیوتری در کنسول WSUS ایجاد و مدیریت می‌شوند.
• می‌توان از PowerShell برای ایجاد، مدیریت و تغییر گروه‌بندی کلاینت‌ها استفاده کرد.
• برای بررسی وضعیت کلاینت‌ها و رفع مشکلات، می‌توان از دستورات PowerShell و ابزارهای داخلی ویندوز استفاده کرد.

استفاده از Server-Side Targeting یا Client-Side Targeting به ساختار سازمان و نیازهای مدیریت به‌روزرسانی بستگی دارد. اگر نیاز به کنترل دقیق و دستی کلاینت‌ها دارید، Server-Side Targeting گزینه بهتری است. اما اگر می‌خواهید این فرآیند خودکار باشد، Client-Side Targeting را انتخاب کنید.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی و مدیریت کلاینت‌های متصل به WSUS” subtitle=”توضیحات کامل”]مدیریت کلاینت‌هایی که به WSUS متصل هستند، یکی از بخش‌های حیاتی در فرآیند به‌روزرسانی‌های سازمانی است. این کار شامل بررسی وضعیت اتصال کلاینت‌ها، شناسایی کلاینت‌هایی که بروزرسانی دریافت نکرده‌اند، حذف کلاینت‌های قدیمی یا غیرضروری، و بررسی ارتباط کلاینت‌ها با سرور WSUS است.

---

بررسی کلاینت‌های متصل به WSUS

بررسی لیست کلاینت‌ها از طریق کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل سمت چپ، به Computers بروید.
3. از سمت راست، می‌توانید کلاینت‌ها را بر اساس گروه دسته‌بندی کنید.
4. برای مشاهده جزئیات هر کلاینت، روی آن دو بار کلیک کنید.

بررسی لیست کلاینت‌ها از طریق PowerShell

برای دریافت لیست کلاینت‌های متصل به WSUS می‌توان از PowerShell استفاده کرد:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$computers = $wsus.GetComputerTargets() 
$computers | Select-Object FullDomainName, IPAddress, LastSyncTime | Format-Table -AutoSize

---

بررسی وضعیت ارتباط کلاینت‌ها با WSUS

بررسی رجیستری برای تأیید تنظیمات WSUS روی کلاینت

روی کلاینت موردنظر، دستور زیر را اجرا کنید:

reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate /s

در این خروجی، مقدار WUServer و WUStatusServer باید آدرس WSUS سرور را نشان دهد. اگر این مقادیر خالی یا اشتباه باشند، باید اصلاح شوند.

بررسی اتصال کلاینت به WSUS از طریق گزارش‌گیری

wuauclt /detectnow
wuauclt /reportnow

یا در نسخه‌های جدیدتر ویندوز:

USOClient StartScan

بررسی کلاینت‌های غیرفعال در WSUS

برای یافتن کلاینت‌هایی که بیش از ۳۰ روز متصل نشده‌اند:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$thresholdDate = (Get-Date).AddDays(-30)
$computers = $wsus.GetComputerTargets() | Where-Object { $_.LastSyncTime -lt $thresholdDate }
$computers | Select-Object FullDomainName, LastSyncTime | Format-Table -AutoSize

---

حذف کلاینت‌های قدیمی یا غیرضروری

حذف کلاینت از طریق کنسول WSUS

1. به Computers بروید.
2. کلاینت موردنظر را راست‌کلیک کرده و Delete را انتخاب کنید.

حذف کلاینت از طریق PowerShell

برای حذف یک کلاینت خاص از WSUS:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$computer = $wsus.GetComputerTargetByName("PC-01")
$wsus.DeleteComputerTarget($computer.Id)

برای حذف تمام کلاینت‌هایی که بیش از ۹۰ روز متصل نشده‌اند:

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$thresholdDate = (Get-Date).AddDays(-90)
$computers = $wsus.GetComputerTargets() | Where-Object { $_.LastSyncTime -lt $thresholdDate }

foreach ($computer in $computers) {
    $wsus.DeleteComputerTarget($computer.Id)
}

---

بررسی وضعیت بروزرسانی‌های کلاینت‌ها

مشاهده وضعیت بروزرسانی‌های کلاینت از طریق کنسول WSUS

1. در Computers، روی کامپیوتر موردنظر دو بار کلیک کنید.
2. در بخش Status, وضعیت بروزرسانی‌ها و آخرین زمان هماهنگی نمایش داده می‌شود.

بررسی وضعیت بروزرسانی‌های کلاینت از طریق PowerShell

برای دریافت لیست بروزرسانی‌های نصب‌شده روی یک کلاینت:

Get-HotFix | Select-Object HotFixID, InstalledOn | Format-Table -AutoSize

---

بررسی و تنظیم مجدد WSUS روی کلاینت‌های مشکل‌دار

پاک کردن کش WSUS روی کلاینت و همگام‌سازی مجدد

اگر کلاینت به WSUS متصل نمی‌شود یا مشکلاتی در دریافت بروزرسانی‌ها دارد، می‌توان کش WSUS را حذف و ارتباط را از ابتدا تنظیم کرد:

net stop wuauserv
rd /s /q C:\Windows\SoftwareDistribution
net start wuauserv
wuauclt /detectnow
wuauclt /reportnow

در ویندوز‌های جدیدتر:

net stop wuauserv
Remove-Item -Path "C:\Windows\SoftwareDistribution" -Recurse -Force
net start wuauserv
USOClient StartScan

---

جمع‌بندی

• بررسی کلاینت‌های متصل به WSUS را می‌توان از کنسول WSUS یا PowerShell انجام داد.
• وضعیت ارتباط و تنظیمات WSUS روی کلاینت‌ها را می‌توان با بررسی رجیستری و اجرای دستورات تشخیصی ارزیابی کرد.
• کلاینت‌های غیرفعال یا مشکل‌دار را می‌توان مشخص، بررسی و در صورت نیاز حذف کرد.
• پاک کردن کش WSUS و اجرای اسکن مجدد یکی از روش‌های رایج برای رفع مشکلات عدم دریافت بروزرسانی‌ها در کلاینت‌ها است.

با این تنظیمات و بررسی‌ها، می‌توان مدیریت کاملی بر کلاینت‌های WSUS داشت و اطمینان حاصل کرد که تمامی کلاینت‌ها به‌درستی بروزرسانی دریافت می‌کنند.[/cdb_course_lesson][cdb_course_lesson title=”فصل 4. تصویب به‌روزرسانی‌ها (Update Approval)”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”روش‌های تصویب به‌روزرسانی‌ها (Approve/Decline) در WSUS” subtitle=”توضیحات کامل”]یکی از مهم‌ترین مراحل در مدیریت WSUS، تصویب (Approve) یا رد (Decline) به‌روزرسانی‌ها است. پس از همگام‌سازی (Synchronization) به‌روزرسانی‌ها از Microsoft Update یا یک سرور WSUS بالادستی، مدیر باید تصمیم بگیرد که کدام به‌روزرسانی‌ها در شبکه نصب شوند. این کار از طریق کنسول مدیریتی WSUS یا خط فرمان انجام می‌شود.

در این بخش، روش‌های مختلف تأیید یا رد کردن به‌روزرسانی‌ها را هم به‌صورت گرافیکی و هم به‌صورت کامندی بررسی می‌کنیم.

---

تصویب به‌روزرسانی‌ها در کنسول WSUS

1. باز کردن کنسول WSUS
   • کنسول WSUS را با اجرای wsus.msc از طریق Run یا Start Menu باز کنید.
2. رفتن به بخش Updates
   • در کنسول مدیریتی WSUS، از منوی سمت چپ، گزینه Updates را انتخاب کنید.
   • بسته به نیاز، می‌توانید یکی از دسته‌بندی‌های زیر را انتخاب کنید:
     • All Updates (همه به‌روزرسانی‌ها)
     • Critical Updates (به‌روزرسانی‌های حیاتی)
     • Security Updates (به‌روزرسانی‌های امنیتی)
     • Unapproved Updates (به‌روزرسانی‌های تصویب‌نشده)
3. انتخاب به‌روزرسانی‌های موردنظر
   • از لیست نمایش داده شده، به‌روزرسانی‌های موردنظر را انتخاب کنید.
   • روی به‌روزرسانی انتخاب شده راست‌کلیک کنید و گزینه Approve را بزنید.
4. انتخاب گروه‌های کامپیوتری برای تصویب
   • در پنجره باز شده، گروه‌های کامپیوتری را انتخاب کنید.
   • گزینه Approved for Install را انتخاب کرده و تأیید کنید.
5. مشاهده وضعیت به‌روزرسانی
   • پس از تصویب، وضعیت به‌روزرسانی‌ها در لیست تغییر کرده و به حالت Approved درمی‌آید.

---

تصویب به‌روزرسانی‌ها از طریق خط فرمان

برای مدیریت تصویب به‌روزرسانی‌ها در WSUS به‌صورت کامندی، می‌توان از ابزار PowerShell و wsusutil.exe استفاده کرد. در ادامه، روش تصویب و رد کردن به‌روزرسانی‌ها با PowerShell آورده شده است.

تصویب یک به‌روزرسانی خاص

مسیر فایل مربوط به این اسکریپت:
C:\Scripts\Approve-WSUSUpdates.ps1

# Import WSUS module
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null

# اتصال به سرور WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت تمام به‌روزرسانی‌های تصویب‌نشده
$updates = $wsus.GetUpdates() | Where-Object { $_.IsApproved -eq $false }

# تصویب تمام به‌روزرسانی‌های مهم برای گروه "All Computers"
foreach ($update in $updates) {
    $update.Approve([Microsoft.UpdateServices.Administration.UpdateApprovalAction]::Install, $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "All Computers" })
    Write-Output "Approved Update: $($update.Title)"
}

---

رد کردن یک به‌روزرسانی خاص

مسیر فایل مربوط به این اسکریپت:
C:\Scripts\Decline-WSUSUpdates.ps1

# Import WSUS module
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null

# اتصال به سرور WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت تمام به‌روزرسانی‌های غیرضروری
$updates = $wsus.GetUpdates() | Where-Object { $_.Title -like "*Bing*" -or $_.Title -like "*Silverlight*" }

# رد کردن به‌روزرسانی‌های انتخاب‌شده
foreach ($update in $updates) {
    $update.Decline()
    Write-Output "Declined Update: $($update.Title)"
}

---

مشاهده وضعیت به‌روزرسانی‌ها در WSUS از طریق PowerShell

برای بررسی وضعیت به‌روزرسانی‌های تصویب‌شده، از دستور زیر استفاده کنید:

# اتصال به سرور WSUS و نمایش به‌روزرسانی‌های تصویب‌شده
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$approvedUpdates = $wsus.GetUpdates() | Where-Object { $_.IsApproved -eq $true }

# نمایش لیست به‌روزرسانی‌های تأیید شده
$approvedUpdates | Select-Object Title, CreationDate, ArrivalDate

---

جمع‌بندی

• مدیران WSUS می‌توانند به‌روزرسانی‌ها را به‌صورت دستی یا خودکار تصویب کنند.
• در روش گرافیکی، این کار از طریق کنسول مدیریتی WSUS و گزینه Approve انجام می‌شود.
• در روش کامندی، از PowerShell برای تصویب (Approve) یا رد (Decline) به‌روزرسانی‌ها استفاده می‌شود.
• مسیرهای فایلی اسکریپت‌های PowerShell برای تصویب و رد کردن به‌روزرسانی‌ها مشخص شده است.
• برای مشاهده وضعیت به‌روزرسانی‌های تصویب‌شده، می‌توان از PowerShell استفاده کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی قوانین تصویب خودکار (Automatic Approval Rules)” subtitle=”توضیحات کامل”]قوانین تصویب خودکار (Automatic Approval Rules) یکی از ویژگی‌های مهم WSUS است که به مدیران شبکه این امکان را می‌دهد تا بدون نیاز به تأیید دستی، به‌روزرسانی‌ها را برای نصب تصویب کنند. این قابلیت به‌ویژه در محیط‌های بزرگ با تعداد زیادی کلاینت، باعث کاهش بار مدیریتی و افزایش سرعت اعمال به‌روزرسانی‌ها می‌شود.

در این بخش، نحوه ایجاد و مدیریت قوانین تصویب خودکار را هم به‌صورت گرافیکی و هم به‌صورت کامندی بررسی خواهیم کرد.

---

ایجاد قوانین تصویب خودکار از طریق کنسول WSUS

1. باز کردن کنسول WSUS
   • از طریق Run یا Start Menu، دستور wsus.msc را اجرا کنید تا کنسول WSUS باز شود.
2. رفتن به تنظیمات قوانین تصویب خودکار
   • از پنل سمت چپ، به مسیر Options > Automatic Approvals بروید.
   • در تب Update Rules، روی New Rule کلیک کنید.
3. تعریف شرایط برای تصویب خودکار
   • در پنجره Add Rule، شرایطی را برای قوانین تصویب خودکار مشخص کنید. این شرایط شامل موارد زیر می‌شوند:
     • Classification (طبقه‌بندی به‌روزرسانی‌ها) مانند Security Updates، Critical Updates و Feature Packs.
     • Product (محصولات مایکروسافت) مانند Windows 11، Windows Server 2025، Office 2021 و …
     • Update Properties (ویژگی‌های به‌روزرسانی)، مانند انتشار توسط Microsoft یا نیاز به تأیید مجوز.
4. انتخاب گروه کامپیوتری برای اعمال قوانین
   • گروه‌های کامپیوتری که باید این قوانین روی آن‌ها اعمال شوند را انتخاب کنید.
   • گزینه Approved for Install را انتخاب کنید.
5. فعال کردن قوانین تصویب خودکار
   • روی OK کلیک کنید تا قانون ذخیره شود.
   • مطمئن شوید که گزینه Run Rule After Synchronization فعال باشد تا قوانین تصویب خودکار پس از هر همگام‌سازی اجرا شوند.

---

پیکربندی قوانین تصویب خودکار از طریق PowerShell

برای خودکارسازی تصویب به‌روزرسانی‌ها با PowerShell، می‌توان از APIهای WSUS استفاده کرد.

ایجاد یک قانون تصویب خودکار برای به‌روزرسانی‌های امنیتی

مسیر فایل مربوط به این اسکریپت:
C:\Scripts\Create-AutoApprovalRule.ps1

# Import WSUS module
[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null

# اتصال به سرور WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت گروه کامپیوتری "All Computers"
$computerGroup = $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "All Computers" }

# ایجاد قانون جدید
$rule = $wsus.CreateInstallApprovalRule()
$rule.Name = "Auto Approve Security Updates"

# اضافه کردن شرط برای تصویب خودکار به‌روزرسانی‌های امنیتی
$rule.Enabled = $true
$rule.IncludedUpdateClassifications.Add([Microsoft.UpdateServices.Administration.UpdateClassification]::SecurityUpdates)

# اعمال قانون برای گروه "All Computers"
$rule.ApproveForGroups($computerGroup)

# ذخیره تغییرات
$rule.Save()
Write-Output "Automatic Approval Rule Created Successfully."

---

مشاهده قوانین تصویب خودکار در WSUS

برای مشاهده قوانین تصویب خودکار تعریف‌شده در WSUS، از دستور زیر استفاده کنید:

# اتصال به سرور WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت قوانین تصویب خودکار
$rules = $wsus.GetInstallApprovalRules()

# نمایش لیست قوانین موجود
$rules | Select-Object Name, Enabled, Id

---

حذف یک قانون تصویب خودکار از WSUS

مسیر فایل مربوط به این اسکریپت:
C:\Scripts\Remove-AutoApprovalRule.ps1

# اتصال به سرور WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت قانون با نام مشخص
$rule = $wsus.GetInstallApprovalRules() | Where-Object { $_.Name -eq "Auto Approve Security Updates" }

# حذف قانون در صورت وجود
if ($rule) {
    $wsus.DeleteInstallApprovalRule($rule.Id)
    Write-Output "Rule 'Auto Approve Security Updates' has been deleted."
} else {
    Write-Output "Rule not found."
}

---

جمع‌بندی

• قوانین تصویب خودکار در WSUS باعث کاهش بار مدیریتی و افزایش سرعت اعمال به‌روزرسانی‌ها می‌شوند.
• تنظیم این قوانین از طریق کنسول WSUS و بخش Automatic Approvals قابل انجام است.
• در محیط‌های بزرگ، می‌توان از PowerShell برای خودکارسازی قوانین تصویب استفاده کرد.
• مثال‌های عملی ارائه شد که شامل ایجاد، مشاهده و حذف قوانین تصویب خودکار به‌وسیله PowerShell هستند.
• مسیرهای فایلی مربوط به اسکریپت‌های PowerShell مشخص شده‌اند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تست و تأیید به‌روزرسانی‌ها قبل از انتشار در سازمان” subtitle=”توضیحات کامل”]به‌روزرسانی‌های WSUS قبل از اعمال روی کلاینت‌ها باید تست و تأیید شوند تا از مشکلات احتمالی جلوگیری شود. این فرآیند باعث کاهش ریسک ناسازگاری‌ها، مشکلات امنیتی و عملکردی در شبکه سازمانی می‌شود.

در این بخش، روش‌های تست و تأیید به‌روزرسانی‌ها قبل از انتشار در سازمان را بررسی خواهیم کرد. این فرآیند هم به‌صورت گرافیکی و هم به‌صورت کامندی ارائه می‌شود.

---

روش‌های تست به‌روزرسانی‌ها در WSUS

برای تست به‌روزرسانی‌ها قبل از اعمال روی تمام کلاینت‌ها، از گروه‌های کامپیوتری در WSUS استفاده می‌شود. دو روش اصلی برای مدیریت تست به‌روزرسانی‌ها وجود دارد:

1. ایجاد گروه آزمایشی (Pilot Group)
2. استفاده از گروه‌های کامپیوتری WSUS

---

ایجاد گروه آزمایشی برای تست به‌روزرسانی‌ها (Pilot Group)

۱. ایجاد گروه آزمایشی در کنسول WSUS

1. باز کردن کنسول WSUS
   • wsus.msc را اجرا کنید.
2. ایجاد گروه آزمایشی
   • از بخش Computers، گزینه All Computers را انتخاب کنید.
   • روی Add Computer Group کلیک کنید و نامی مانند Pilot Group را وارد کنید.
3. انتقال کلاینت‌های آزمایشی به گروه جدید
   • کلاینت‌هایی که باید به‌روزرسانی‌ها را ابتدا دریافت کنند، به این گروه اضافه کنید.
4. تصویب به‌روزرسانی‌ها فقط برای این گروه
   • در بخش Updates، یک به‌روزرسانی را انتخاب کرده و روی Approve کلیک کنید.
   • به‌جای All Computers، فقط Pilot Group را تأیید کنید.

---

۲. پیکربندی گروه آزمایشی در رجیستری کلاینت‌ها

مسیر فایل مربوط به تغییرات رجیستری:
C:\Scripts\Configure-Windows-Update-Group.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"TargetGroup"="Pilot Group"
"TargetGroupEnabled"=dword:00000001

مراحل اجرا:

1. این فایل را ذخیره کرده و روی کلاینت‌های آزمایشی اجرا کنید.
2. سرویس Windows Update را با دستور زیر راه‌اندازی مجدد کنید:

net stop wuauserv && net start wuauserv

---

بررسی وضعیت به‌روزرسانی‌ها در گروه آزمایشی

۱. مشاهده وضعیت کلاینت‌ها در کنسول WSUS

• به Computers > Pilot Group بروید.
• وضعیت کلاینت‌ها و درصد نصب به‌روزرسانی‌ها را بررسی کنید.

۲. استفاده از PowerShell برای بررسی وضعیت کلاینت‌ها

مسیر فایل مربوط به این اسکریپت:
C:\Scripts\Check-WSUS-ClientStatus.ps1

# اتصال به WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت کلاینت‌های گروه آزمایشی
$group = $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "Pilot Group" }
$clients = $group.GetComputerTargets()

# نمایش وضعیت به‌روزرسانی کلاینت‌ها
$clients | ForEach-Object {
    Write-Output "Client: $($_.FullDomainName) - Status: $($_.UpdateInstallationState)"
}

---

تصویب نهایی و انتشار عمومی به‌روزرسانی‌ها

۱. تأیید به‌روزرسانی پس از تست موفق

• اگر به‌روزرسانی‌ها بدون مشکل در گروه آزمایشی نصب شدند، برای سایر گروه‌ها تصویب کنید.

۲. تصویب به‌روزرسانی برای همه کلاینت‌ها از طریق WSUS

1. به Updates بروید.
2. به‌روزرسانی‌های تست‌شده را انتخاب کنید.
3. روی Approve کلیک کنید و گزینه All Computers را انتخاب کنید.

۳. تصویب به‌روزرسانی برای همه کلاینت‌ها از طریق PowerShell

مسیر فایل مربوط به این اسکریپت:
C:\Scripts\Approve-Updates-For-All.ps1

# اتصال به WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت لیست به‌روزرسانی‌های تأییدنشده
$updates = $wsus.GetUpdates() | Where-Object { $_.UpdateApprovalActions.Count -eq 0 }

# دریافت گروه "All Computers"
$group = $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "All Computers" }

# تصویب همه به‌روزرسانی‌ها برای نصب
$updates | ForEach-Object {
    $_.Approve([Microsoft.UpdateServices.Administration.UpdateApprovalAction]::Install, $group)
    Write-Output "Approved update: $($_.Title)"
}

---

جمع‌بندی

• قبل از انتشار عمومی به‌روزرسانی‌ها، آن‌ها را روی گروهی از کلاینت‌های آزمایشی تست کنید.
• ایجاد گروه‌های آزمایشی (Pilot Group) در WSUS به کاهش ریسک مشکلات به‌روزرسانی کمک می‌کند.
• می‌توان کلاینت‌ها را به‌صورت دستی یا از طریق رجیستری در گروه آزمایشی قرار داد.
• وضعیت نصب به‌روزرسانی‌ها را از طریق کنسول WSUS یا PowerShell بررسی کنید.
• پس از موفقیت‌آمیز بودن تست، به‌روزرسانی‌ها را برای سایر کلاینت‌ها تصویب کنید.
• دستورات PowerShell ارائه شده، فرآیند تصویب و بررسی وضعیت کلاینت‌ها را خودکار می‌کنند.
• مسیر فایل‌های موردنیاز برای تغییرات رجیستری و اسکریپت‌های PowerShell مشخص شده است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی و رد به‌روزرسانی‌های ناسازگار” subtitle=”توضیحات کامل”]به‌روزرسانی‌هایی که در تست‌های اولیه باعث ایجاد مشکلات در سیستم‌ها می‌شوند، باید شناسایی و رد (Decline) شوند تا از اعمال آن‌ها روی کلاینت‌های سازمان جلوگیری شود. این فرآیند باعث کاهش خرابی‌های احتمالی، ناسازگاری نرم‌افزاری و مشکلات عملکردی در شبکه سازمانی می‌شود.

در این بخش، روش‌های بررسی و رد به‌روزرسانی‌های ناسازگار را به‌صورت گرافیکی و کامندی ارائه می‌کنیم.

---

روش‌های بررسی ناسازگاری به‌روزرسانی‌ها

برای شناسایی و بررسی مشکلات ناشی از به‌روزرسانی‌های ناسازگار، روش‌های زیر پیشنهاد می‌شود:

1. بررسی لاگ‌های نصب به‌روزرسانی در کلاینت‌ها
2. استفاده از گزارش‌های WSUS
3. تحلیل مشکلات از طریق PowerShell

---

بررسی لاگ‌های نصب به‌روزرسانی در کلاینت‌ها

۱. بررسی لاگ در Event Viewer

1. روی کلاینتی که مشکل دارد، Event Viewer را باز کنید:
   • eventvwr.msc را در Run اجرا کنید.
2. مسیر زیر را دنبال کنید:

   Applications and Services Logs > Microsoft > Windows > WindowsUpdateClient > Operational
   

3. خطاهای مربوط به به‌روزرسانی را بررسی کنید.

۲. مشاهده لاگ‌های Windows Update از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\Check-Update-Logs.ps1

# مشاهده لاگ‌های Windows Update
Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" | Select-Object -First 20

---

استفاده از گزارش‌های WSUS برای شناسایی به‌روزرسانی‌های مشکل‌دار

۱. بررسی به‌روزرسانی‌های نصب‌شده از طریق کنسول WSUS

1. WSUS را باز کنید.
2. به Reports > Update Status Summary بروید.
3. گزارشی از کلاینت‌هایی که دچار مشکل شده‌اند را مشاهده کنید.

۲. استخراج گزارش به‌روزرسانی‌های ناموفق از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\WSUS-Failed-Updates.ps1

# اتصال به WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت به‌روزرسانی‌هایی که با خطا مواجه شده‌اند
$failedUpdates = $wsus.GetUpdates() | Where-Object { $_.FailedCount -gt 0 }

# نمایش لیست به‌روزرسانی‌های ناموفق
$failedUpdates | ForEach-Object {
    Write-Output "Failed Update: $($_.Title) - Failed Count: $($_.FailedCount)"
}

---

رد به‌روزرسانی‌های ناسازگار در WSUS

۱. رد به‌روزرسانی از طریق کنسول WSUS

1. WSUS را باز کنید.
2. به Updates بروید و روی به‌روزرسانی مشکل‌دار کلیک کنید.
3. روی Decline کلیک کنید و تأیید کنید.

۲. رد به‌روزرسانی از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\Decline-WSUS-Updates.ps1

# اتصال به WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت لیست به‌روزرسانی‌هایی که نیاز به رد شدن دارند
$updatesToDecline = $wsus.GetUpdates() | Where-Object { $_.FailedCount -gt 0 }

# رد کردن به‌روزرسانی‌های ناسازگار
$updatesToDecline | ForEach-Object {
    $_.Decline()
    Write-Output "Declined Update: $($_.Title)"
}

---

برگرداندن (Rollback) به‌روزرسانی‌های مشکل‌دار در کلاینت‌ها

۱. حذف یک به‌روزرسانی از طریق خط فرمان

wusa /uninstall /kb:5005565 /quiet /norestart

در این مثال، KB5005565 حذف می‌شود. شماره مربوط به به‌روزرسانی ناسازگار را جایگزین کنید.

۲. حذف یک به‌روزرسانی از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\Uninstall-WindowsUpdate.ps1

# دریافت لیست به‌روزرسانی‌های نصب‌شده
$updates = Get-HotFix | Where-Object { $_.HotFixID -eq "KB5005565" }

# حذف به‌روزرسانی ناسازگار
if ($updates) {
    wusa.exe /uninstall /kb:5005565 /quiet /norestart
    Write-Output "Uninstalled KB5005565"
} else {
    Write-Output "Update KB5005565 not found"
}

---

جمع‌بندی

• به‌روزرسانی‌های ناسازگار باید قبل از انتشار عمومی در کلاینت‌ها شناسایی شوند.
• برای بررسی مشکلات، می‌توان از لاگ‌های Event Viewer، گزارش‌های WSUS و PowerShell استفاده کرد.
• در صورت شناسایی به‌روزرسانی مشکل‌دار، آن را از طریق WSUS رد (Decline) کنید.
• PowerShell امکان رد کردن و گزارش‌گیری از به‌روزرسانی‌های ناسازگار را به‌صورت خودکار فراهم می‌کند.
• در صورتی که به‌روزرسانی نصب شده باشد، می‌توان آن را با WUSA یا PowerShell حذف کرد.
• مسیر فایل‌های موردنیاز برای بررسی، حذف و رد کردن به‌روزرسانی‌های ناسازگار مشخص شده است.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 5. زمان‌بندی به‌روزرسانی‌ها (Update Scheduling)”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیم Deadline برای نصب به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]در سازمان‌ها، ممکن است برخی به‌روزرسانی‌ها برای مدت مشخصی به تأخیر بیفتند، اما پس از یک بازه زمانی مشخص، باید به‌صورت اجباری نصب شوند. WSUS امکان تنظیم Deadline (آخرین مهلت نصب) را برای کنترل زمان اعمال به‌روزرسانی‌ها فراهم می‌کند. در این بخش، روش‌های تنظیم Deadline به‌صورت گرافیکی و کامندی ارائه می‌شود.

---

مفهوم Deadline در WSUS

Deadline مشخص می‌کند که یک به‌روزرسانی پس از تاریخ تعیین‌شده، بدون نیاز به تأیید کاربر و به‌صورت خودکار روی کلاینت‌ها نصب شود. این قابلیت معمولاً برای به‌روزرسانی‌های امنیتی یا بحرانی استفاده می‌شود.

ویژگی‌های Deadline:

• اگر کاربر تا مهلت تعیین‌شده به‌روزرسانی را نصب نکند، WSUS به‌صورت خودکار آن را نصب خواهد کرد.
• در صورت نیاز، کلاینت پس از نصب اجباری به‌روزرسانی‌ها، به‌طور خودکار راه‌اندازی مجدد (Restart) می‌شود.
• در Group Policy می‌توان تنظیماتی را اعمال کرد که مهلت نصب برای دسته‌های مختلف به‌روزرسانی متفاوت باشد.

---

تنظیم Deadline از طریق کنسول WSUS

1. کنسول WSUS را باز کنید.
2. به بخش Updates بروید.
3. به‌روزرسانی موردنظر را انتخاب کنید و روی Approve کلیک کنید.
4. در پنجره باز شده، گروه‌های کامپیوتری را انتخاب کنید.
5. در ستون Approval، گزینه Deadline را فعال کنید.
6. تاریخ و ساعت مهلت نصب را تنظیم کنید و روی OK کلیک کنید.

---

تنظیم Deadline از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\Set-WSUS-Deadline.ps1

# اتصال به سرور WSUS
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

# دریافت به‌روزرسانی‌های موردنظر برای تنظیم Deadline
$updates = $wsus.GetUpdates() | Where-Object { $_.Title -match "Security Update" }

# تنظیم Deadline برای به‌روزرسانی‌های انتخاب‌شده
$deadlineDate = (Get-Date).AddDays(7)  # تعیین مهلت ۷ روزه

foreach ($update in $updates) {
    $update.Approve([Microsoft.UpdateServices.Administration.UpdateApprovalAction]::Install, $wsus.GetComputerTargetGroups() | Where-Object { $_.Name -eq "All Computers" })
    $update.Deadline = $deadlineDate
    $update.Save()
    Write-Output "Deadline set for: $($update.Title) on $deadlineDate"
}

---

تنظیم Deadline از طریق Group Policy

علاوه بر WSUS، می‌توان از Group Policy برای تعیین مهلت نصب به‌روزرسانی‌ها استفاده کرد.

۱. اجرای Group Policy Editor

1. gpedit.msc را اجرا کنید.
2. مسیر زیر را دنبال کنید:

   Computer Configuration > Administrative Templates > Windows Components > Windows Update
   

3. تنظیمات موردنیاز را پیکربندی کنید.

۲. فعال‌سازی سیاست‌های مرتبط

• Specify deadline before auto-restart for update installation
  • این گزینه را Enable کنید.
  • مقدار Deadline را به تعداد روزهای موردنظر تعیین کنید (مثلاً ۷ روز).
• Always automatically restart at the scheduled time
  • در صورت نیاز، این گزینه را برای راه‌اندازی مجدد خودکار فعال کنید.

۳. اعمال تغییرات از طریق خط فرمان

gpupdate /force

---

بررسی و اطمینان از تنظیم Deadline

۱. مشاهده مهلت نصب به‌روزرسانی‌ها در کلاینت از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\Check-Update-Deadline.ps1

# بررسی به‌روزرسانی‌های دانلود شده در کلاینت
$updates = Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_UpdateStatus | Select-Object Name, Deadline, Status

# نمایش اطلاعات به‌روزرسانی‌ها
$updates | ForEach-Object {
    Write-Output "Update: $($_.Name) - Deadline: $($_.Deadline) - Status: $($_.Status)"
}

۲. مشاهده به‌روزرسانی‌های دارای Deadline در WSUS از طریق PowerShell

# دریافت به‌روزرسانی‌هایی که دارای Deadline هستند
$updates = $wsus.GetUpdates() | Where-Object { $_.Deadline -ne $null }

# نمایش اطلاعات
$updates | ForEach-Object {
    Write-Output "Update: $($_.Title) - Deadline: $($_.Deadline)"
}

---

جمع‌بندی

• Deadline برای اطمینان از نصب خودکار به‌روزرسانی‌ها پس از یک بازه زمانی مشخص استفاده می‌شود.
• می‌توان Deadline را از طریق کنسول WSUS، PowerShell و Group Policy تنظیم کرد.
• PowerShell امکان خودکارسازی تنظیم و بررسی Deadline را در WSUS و کلاینت‌ها فراهم می‌کند.
• برای مشاهده وضعیت Deadline در کلاینت‌ها و WSUS، می‌توان از دستورات PowerShell استفاده کرد.
• در Group Policy می‌توان سیاست‌هایی را برای کنترل زمان نصب و راه‌اندازی مجدد به‌روزرسانی‌ها اعمال کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”جلوگیری از تأثیرات منفی به‌روزرسانی‌ها بر عملکرد شبکه” subtitle=”توضیحات کامل”]یکی از چالش‌های مهم در مدیریت WSUS، جلوگیری از تأثیرات منفی به‌روزرسانی‌ها بر عملکرد شبکه است. دانلود و توزیع به‌روزرسانی‌ها می‌تواند پهنای باند زیادی مصرف کند و باعث کندی شبکه، کاهش بهره‌وری کاربران و حتی ایجاد مشکلات در سایر سرویس‌های حیاتی شود. در این بخش، روش‌های کاهش تأثیرات منفی به‌روزرسانی‌ها بر شبکه ارائه شده و پیکربندی‌های مربوطه به‌صورت گرافیکی و کامندی انجام خواهد شد.

---

استراتژی‌های بهینه‌سازی به‌روزرسانی‌ها در WSUS

برای جلوگیری از کاهش عملکرد شبکه، باید استراتژی‌هایی برای کاهش ترافیک و بهینه‌سازی توزیع به‌روزرسانی‌ها در WSUS در نظر گرفت. مهم‌ترین روش‌ها عبارت‌اند از:

• استفاده از BITS برای محدودسازی پهنای باند دانلود
• پیکربندی زمان‌بندی دانلود به‌روزرسانی‌ها در ساعات غیرفعال
• استفاده از BranchCache برای کاهش مصرف پهنای باند در دفاتر راه دور
• پیکربندی سرورهای Downstream برای کاهش فشار روی لینک‌های WAN
• فعال‌سازی Delivery Optimization برای کاهش وابستگی به سرور WSUS
• تنظیم محدودیت‌های Group Policy برای جلوگیری از دانلود همزمان کلاینت‌ها

---

۱. استفاده از BITS برای مدیریت پهنای باند دانلود

WSUS از Background Intelligent Transfer Service (BITS) برای مدیریت پهنای باند دانلود به‌روزرسانی‌ها استفاده می‌کند. می‌توان نرخ دانلود را برای ساعات کاری محدود کرد تا تأثیر منفی بر عملکرد شبکه کاهش یابد.

پیکربندی از طریق کنسول WSUS

1. کنسول WSUS را باز کنید.
2. به مسیر Options > WSUS Server Configuration Wizard بروید.
3. گزینه Limit bandwidth for downloading updates را انتخاب کنید.
4. مقدار حداکثر پهنای باند مجاز را تنظیم کنید.
5. تغییرات را ذخیره کنید.

پیکربندی از طریق Group Policy

مسیر تنظیمات:

Computer Configuration > Administrative Templates > Network > Background Intelligent Transfer Service (BITS)

گزینه Limit the maximum network bandwidth for BITS background transfers را فعال کرده و مقدار پهنای باند را برحسب کیلوبیت بر ثانیه تنظیم کنید.

پیکربندی از طریق PowerShell

مسیر فایل پیکربندی:
C:\Scripts\Set-BITS-Policy.ps1

# تنظیم محدودیت سرعت BITS برای دانلود به‌روزرسانی‌ها
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\BITS" -Name "MaxTransferRateOnSchedule" -Value 512 -Type DWord

---

۲. زمان‌بندی دانلود به‌روزرسانی‌ها در ساعات غیرکاری

می‌توان دانلود به‌روزرسانی‌ها را به زمانی که بار شبکه کمتر است (مثلاً ساعات شب) محدود کرد.

پیکربندی از طریق WSUS

1. کنسول WSUS را باز کنید.
2. به مسیر Options > Automatic Approvals بروید.
3. گزینه Schedule install day and time را فعال کرده و زمان‌بندی مناسب را تنظیم کنید.

پیکربندی از طریق Group Policy

مسیر تنظیمات:

Computer Configuration > Administrative Templates > Windows Components > Windows Update

گزینه Configure Automatic Updates را فعال کرده و مقدار 4 – Auto download and schedule the install را تنظیم کنید. سپس زمان موردنظر برای نصب را مشخص کنید.

پیکربندی از طریق PowerShell

مسیر فایل اسکریپت:
C:\Scripts\Set-Update-Schedule.ps1

# تنظیم زمان‌بندی نصب به‌روزرسانی‌ها
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "ScheduledInstallTime" -Value 3 -Type DWord

(مقدار 3 معادل ساعت 3 صبح است.)

---

۳. استفاده از BranchCache برای دفاتر راه دور

BranchCache قابلیتی در ویندوز سرور است که به دفاتر راه دور کمک می‌کند تا به‌جای دانلود مستقیم به‌روزرسانی‌ها از WSUS، آنها را از کش داخلی شبکه دریافت کنند.

فعال‌سازی BranchCache در سرور WSUS

مسیر فایل پیکربندی:
C:\Scripts\Enable-BranchCache.ps1

# نصب و فعال‌سازی BranchCache
Install-WindowsFeature -Name BranchCache -IncludeManagementTools
Enable-BCHostedServer -RegisterSCP

فعال‌سازی BranchCache در کلاینت‌ها از طریق Group Policy

مسیر تنظیمات:

Computer Configuration > Administrative Templates > Network > Offline Files

گزینه Enable BranchCache را فعال کنید.

---

۴. استفاده از سرورهای Downstream برای کاهش بار شبکه

در محیط‌های بزرگ، می‌توان سرورهای Downstream را در دفاتر راه دور مستقر کرد تا به‌روزرسانی‌ها را از سرور اصلی WSUS دریافت کرده و به کلاینت‌ها تحویل دهند.

پیکربندی سرور Downstream از طریق WSUS

1. کنسول WSUS را باز کنید.
2. به مسیر Options > Update Source and Proxy Server بروید.
3. گزینه Synchronize from another Windows Server Update Services server را انتخاب کنید.
4. آدرس سرور WSUS اصلی را وارد کنید.

پیکربندی از طریق PowerShell

مسیر فایل پیکربندی:
C:\Scripts\Set-Downstream-WSUS.ps1

$wsusConfig = $wsus.GetConfiguration()
$wsusConfig.SyncFromMicrosoftUpdate = $false
$wsusConfig.SyncFromAnotherServer = $true
$wsusConfig.SetSyncFromAnotherServer("wsus-main.domain.com", $false)
$wsusConfig.Save()

---

۵. فعال‌سازی Delivery Optimization برای کاهش ترافیک دانلود

Delivery Optimization یک فناوری نظیر به نظیر (P2P) در ویندوز است که به کلاینت‌ها اجازه می‌دهد به‌روزرسانی‌ها را از سایر کلاینت‌های شبکه محلی دریافت کنند.

پیکربندی از طریق Group Policy

مسیر تنظیمات:

Computer Configuration > Administrative Templates > Windows Components > Delivery Optimization

گزینه Download Mode را روی LAN (2) تنظیم کنید.

پیکربندی از طریق PowerShell

مسیر فایل پیکربندی:
C:\Scripts\Enable-DeliveryOptimization.ps1

# فعال‌سازی Delivery Optimization برای کاهش مصرف پهنای باند
Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\DeliveryOptimization\Config" -Name "DODownloadMode" -Value 2 -Type DWord

---

جمع‌بندی

• برای جلوگیری از افت عملکرد شبکه، می‌توان از BITS برای محدودسازی پهنای باند دانلود استفاده کرد.
• با زمان‌بندی دانلود و نصب به‌روزرسانی‌ها در ساعات غیرکاری، می‌توان از مصرف پهنای باند در ساعات کاری جلوگیری کرد.
• BranchCache و Delivery Optimization امکان بهینه‌سازی توزیع به‌روزرسانی‌ها را فراهم می‌کنند.
• با استفاده از سرورهای Downstream، می‌توان ترافیک WAN را کاهش داد.
• تمامی تنظیمات فوق را می‌توان از طریق کنسول WSUS، Group Policy و PowerShell انجام داد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از Maintenance Windows در WSUS” subtitle=”توضیحات کامل”]Maintenance Windows یکی از قابلیت‌های مهم در WSUS است که به مدیران سیستم امکان می‌دهد زمان مشخصی را برای انجام به‌روزرسانی‌ها تعریف کنند. این قابلیت برای سازمان‌هایی که نیاز به کنترل دقیق زمان نصب به‌روزرسانی‌ها دارند، بسیار مفید است. در این بخش، نحوه پیکربندی و استفاده از Maintenance Windows در WSUS از طریق کنسول گرافیکی، Group Policy و PowerShell ارائه خواهد شد.

---

۱. اهمیت Maintenance Windows در WSUS

با استفاده از Maintenance Windows، می‌توان:

• زمان نصب به‌روزرسانی‌ها را به بازه‌ای مشخص محدود کرد تا تأثیر آن بر عملکرد سیستم‌ها کاهش یابد.
• از اجرای به‌روزرسانی‌ها در ساعات کاری حساس جلوگیری کرد و آنها را به زمان‌های غیرفعال منتقل کرد.
• هماهنگی بیشتری با فرآیندهای نگهداری سیستم‌ها داشت تا از بروز اختلالات غیرمنتظره جلوگیری شود.
• امکان کنترل بهتر روی کلاینت‌ها و سرورها فراهم شود تا نصب به‌روزرسانی‌ها به‌طور مدیریت‌شده انجام گیرد.

---

۲. پیکربندی Maintenance Windows در WSUS

۲.۱. تنظیم Maintenance Windows از طریق کنسول WSUS

1. کنسول WSUS را باز کنید.
2. به مسیر Computer Groups بروید و گروه موردنظر را انتخاب کنید.
3. بر روی گروه کلیک راست کرده و گزینه Configure Automatic Approval Rules را انتخاب کنید.
4. در بخش Scheduling, گزینه Only apply updates during a scheduled maintenance window را فعال کنید.
5. بازه زمانی موردنظر را تنظیم کنید (مثلاً از ساعت ۲ تا ۴ بامداد).
6. تغییرات را ذخیره کرده و تنظیمات را تأیید کنید.

---

۲.۲. تنظیم Maintenance Windows از طریق Group Policy

برای تنظیم بازه زمانی نصب به‌روزرسانی‌ها از طریق Group Policy، مسیر زیر را دنبال کنید:

مسیر تنظیمات:

Computer Configuration > Administrative Templates > Windows Components > Windows Update

1. گزینه Configure Automatic Updates را باز کرده و مقدار 4 – Auto download and schedule the install را انتخاب کنید.
2. گزینه Schedule install day and time را فعال کرده و ساعت موردنظر را تنظیم کنید.
3. مقدار Active Hours را تنظیم کنید تا نصب به‌روزرسانی‌ها خارج از ساعات کاری انجام شود.

---

۲.۳. تنظیم Maintenance Windows از طریق PowerShell

مسیر فایل پیکربندی:
C:\Scripts\Set-MaintenanceWindow.ps1

# تنظیم بازه زمانی نصب به‌روزرسانی‌ها
$MaintenanceWindowStart = "02:00" # شروع در ساعت ۲ بامداد
$MaintenanceWindowEnd = "04:00" # پایان در ساعت ۴ بامداد

# تنظیم در رجیستری برای تعیین بازه زمانی
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "ScheduledInstallTime" -Value 2 -Type DWord
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "MaintenanceStartTime" -Value $MaintenanceWindowStart -Type String
Set-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "MaintenanceEndTime" -Value $MaintenanceWindowEnd -Type String

---

۳. بررسی وضعیت Maintenance Windows در WSUS

۳.۱. بررسی وضعیت از طریق PowerShell

برای مشاهده وضعیت Maintenance Windows در کلاینت‌ها:

# بررسی تنظیمات WSUS Maintenance Windows
Get-ItemProperty -Path "HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate\AU" | Select-Object ScheduledInstallTime, MaintenanceStartTime, MaintenanceEndTime

۳.۲. بررسی وضعیت از طریق Event Viewer

1. Event Viewer را باز کنید.
2. به مسیر زیر بروید:

   Applications and Services Logs > Microsoft > Windows > WindowsUpdateClient
   

3. لاگ‌های مربوط به Windows Update را بررسی کنید تا اطمینان حاصل شود که به‌روزرسانی‌ها در بازه زمانی مشخص انجام شده‌اند.

---

۴. تنظیم Maintenance Windows برای گروه‌های مختلف کلاینت‌ها

برای گروه‌بندی کلاینت‌ها در WSUS و تنظیم Maintenance Windows متفاوت برای هر گروه، می‌توان از ویژگی Computer Groups در WSUS استفاده کرد.

مراحل پیکربندی گروه‌های کامپیوتری در WSUS:

1. کنسول WSUS را باز کنید.
2. به مسیر Computers > All Computers بروید.
3. بر روی گروه موردنظر کلیک راست کرده و گزینه Add a new Computer Group را انتخاب کنید.
4. نام گروه را تعیین کرده و تأیید کنید.
5. سیستم‌های موردنظر را به این گروه اضافه کنید.
6. برای این گروه، Maintenance Windows را مطابق مراحل گفته‌شده تنظیم کنید.

---

جمع‌بندی

• Maintenance Windows امکان کنترل بهتر زمان نصب به‌روزرسانی‌ها را فراهم می‌کند.
• می‌توان از طریق کنسول WSUS، Group Policy و PowerShell این قابلیت را تنظیم کرد.
• تنظیم بازه زمانی مناسب برای نصب به‌روزرسانی‌ها باعث جلوگیری از اختلال در ساعات کاری می‌شود.
• بررسی وضعیت Maintenance Windows از طریق PowerShell و Event Viewer امکان‌پذیر است.
• گروه‌بندی کلاینت‌ها در WSUS به مدیران کمک می‌کند تا Maintenance Windows جداگانه برای بخش‌های مختلف سازمان تنظیم کنند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی لاگ‌های نصب به‌روزرسانی‌ها در کلاینت‌ها” subtitle=”توضیحات کامل”]برای اطمینان از اجرای صحیح فرآیند به‌روزرسانی در کلاینت‌ها، بررسی لاگ‌های نصب به‌روزرسانی‌ها یکی از مهم‌ترین اقدامات مدیریتی است. این لاگ‌ها اطلاعات دقیقی در مورد موفقیت یا شکست به‌روزرسانی‌ها ارائه می‌دهند و به شناسایی مشکلات احتمالی کمک می‌کنند. در این بخش، نحوه بررسی لاگ‌های WSUS در کلاینت‌ها از طریق Event Viewer، PowerShell و فایل‌های لاگ مربوطه توضیح داده می‌شود.

---

۱. مسیرهای اصلی لاگ‌های به‌روزرسانی در کلاینت‌ها

در کلاینت‌های ویندوز، لاگ‌های مربوط به Windows Update در مسیرهای زیر قرار دارند:

• Event Viewer Logs:

  Applications and Services Logs > Microsoft > Windows > WindowsUpdateClient
  

• فایل‌های لاگ در سیستم:

  C:\Windows\WindowsUpdate.log
  C:\Windows\Logs\WindowsUpdate
  

• لاگ‌های مربوط به کلاینت WSUS:

  C:\Windows\SoftwareDistribution\ReportingEvents.log
  

---

۲. بررسی لاگ‌های به‌روزرسانی از طریق Event Viewer

برای مشاهده لاگ‌های Windows Update در Event Viewer مراحل زیر را انجام دهید:

1. Event Viewer را باز کنید.
2. به مسیر زیر بروید:

   Applications and Services Logs > Microsoft > Windows > WindowsUpdateClient > Operational
   

3. در این بخش، لاگ‌های مربوط به دانلود، نصب و خطاهای احتمالی را مشاهده کنید.

انواع لاگ‌های مهم در Event Viewer

Event ID	توضیح
19	به‌روزرسانی با موفقیت نصب شد.
20	نصب به‌روزرسانی با خطا مواجه شد.
21	به‌روزرسانی‌ها دانلود شده و آماده نصب هستند.
31	کلاینت WSUS موفق به اتصال به سرور شد.
41	نصب به‌روزرسانی به دلیل تنظیمات Maintenance Window انجام نشد.

---

۳. بررسی وضعیت به‌روزرسانی‌ها با PowerShell

برای بررسی وضعیت آخرین به‌روزرسانی‌های نصب‌شده، از دستور زیر استفاده کنید:

Get-WindowsUpdateLog

این دستور فایل لاگ را پردازش کرده و آن را در قالب یک فایل متنی در مسیر زیر ذخیره می‌کند:

C:\Users\<UserName>\Desktop\WindowsUpdate.log

مشاهده تاریخچه به‌روزرسانی‌های نصب‌شده

Get-HotFix | Select-Object Description, HotFixID, InstalledOn | Sort-Object InstalledOn -Descending

بررسی وضعیت کلاینت WSUS و آخرین ارتباط با سرور

Get-WmiObject -Namespace "root\ccm\clientsdk" -Class CCM_UpdateStatus | Select-Object LastWUScanSuccessDate, LastErrorCode

---

۴. بررسی فایل‌های لاگ دستی در کلاینت

مشاهده فایل WindowsUpdate.log از طریق Command Prompt

notepad C:\Windows\WindowsUpdate.log

تحلیل فایل ReportingEvents.log

این فایل گزارش‌های مربوط به نصب به‌روزرسانی‌ها را ذخیره می‌کند و می‌توان آن را با Notepad یا PowerShell مشاهده کرد:

Get-Content C:\Windows\SoftwareDistribution\ReportingEvents.log -Tail 20

---

۵. بررسی وضعیت کلاینت WSUS از طریق wuauclt و usoclient

اجرای بررسی دستی به‌روزرسانی‌ها در کلاینت

wuauclt /detectnow
wuauclt /reportnow

یا در ویندوز ۱۰ و ۱۱:

usoclient StartScan

بررسی وضعیت ارتباط کلاینت با WSUS

Get-WmiObject -Namespace "root\Microsoft\Windows\WindowsUpdate" -Class Win32_WUSettings

---

۶. بررسی لاگ‌های کلاینت WSUS در رجیستری

بررسی زمان آخرین اسکن به‌روزرسانی‌ها در رجیستری

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect" | Select-Object LastSuccessTime

بررسی آخرین خطای رخ‌داده در WSUS Client

Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install" | Select-Object LastErrorCode

---

۷. ارسال گزارش‌های لاگ به سرور برای بررسی بیشتر

در صورتی که نیاز به ارسال لاگ‌های Windows Update برای بررسی بیشتر باشد، می‌توان از PowerShell برای فشرده‌سازی و ارسال آنها استفاده کرد:

Compress-Archive -Path "C:\Windows\Logs\WindowsUpdate", "C:\Windows\SoftwareDistribution\ReportingEvents.log" -DestinationPath "C:\Logs\WSUSLogs.zip"

---

جمع‌بندی

• لاگ‌های Windows Update اطلاعات مفیدی درباره وضعیت نصب، دانلود و خطاهای به‌روزرسانی‌ها ارائه می‌دهند.
• بررسی لاگ‌ها از طریق Event Viewer، PowerShell و فایل‌های لاگ سیستم امکان‌پذیر است.
• مدیران می‌توانند با PowerShell وضعیت آخرین اسکن و نصب به‌روزرسانی‌ها را بررسی کنند.
• در صورت بروز مشکل، لاگ‌های Windows Update را می‌توان استخراج، فشرده‌سازی و ارسال کرد تا در سرور یا توسط تیم IT تحلیل شود.

[/cdb_course_lesson][cdb_course_lesson title=”فصل 6. مدیریت گزارش‌ها و تحلیل اطلاعات WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از WSUS Reports برای مانیتورینگ وضعیت به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]یکی از مهم‌ترین وظایف مدیران سیستم، بررسی و نظارت بر وضعیت به‌روزرسانی‌های کلاینت‌ها در WSUS است. برای انجام این کار، WSUS Reports ابزار قدرتمندی ارائه می‌دهد که امکان مشاهده وضعیت نصب، دانلود و خطاهای به‌روزرسانی‌ها را فراهم می‌کند.

در این بخش، نحوه استفاده از WSUS Reports برای نظارت بر وضعیت به‌روزرسانی‌ها از طریق کنسول مدیریتی، PowerShell و SQL Server بررسی می‌شود.

---

۱. انواع گزارش‌های WSUS

WSUS دارای چندین نوع گزارش برای بررسی وضعیت به‌روزرسانی‌ها است که در بخش Reports کنسول مدیریتی WSUS قرار دارند. این گزارش‌ها شامل موارد زیر هستند:

نوع گزارش	توضیح
Update Status Summary	خلاصه‌ای از وضعیت به‌روزرسانی‌ها در کل شبکه را نشان می‌دهد.
Computer Status Summary	وضعیت به‌روزرسانی‌های یک یا چند کلاینت خاص را نمایش می‌دهد.
Update Detailed Status	جزئیات دقیق وضعیت هر به‌روزرسانی، شامل تعداد دستگاه‌هایی که آن را دریافت کرده‌اند، نمایش می‌دهد.
Computer Detailed Status	جزئیات وضعیت هر دستگاه، شامل به‌روزرسانی‌های نصب‌شده یا ناموفق را ارائه می‌دهد.
Synchronization Reports	وضعیت همگام‌سازی WSUS با سرور Microsoft Update را نمایش می‌دهد.

---

۲. مشاهده گزارش‌ها از طریق کنسول WSUS

برای مشاهده گزارش‌ها از طریق کنسول WSUS، مراحل زیر را دنبال کنید:

1. کنسول WSUS را باز کنید.
2. از بخش Reports یکی از گزارش‌های موردنظر را انتخاب کنید.
3. فیلترهای دلخواه را برای مشاهده اطلاعات دقیق‌تر اعمال کنید.
4. روی Run Report کلیک کنید تا گزارش ایجاد شود.

نکته: برای مشاهده این گزارش‌ها، باید Microsoft Report Viewer روی سرور نصب باشد. اگر این ابزار نصب نیست، می‌توانید آن را از سایت مایکروسافت دانلود و نصب کنید.

---

۳. استخراج اطلاعات به‌روزرسانی‌ها با PowerShell

برای دریافت لیستی از وضعیت به‌روزرسانی‌ها در WSUS، می‌توان از PowerShell استفاده کرد.

بررسی لیست آپدیت‌های موردنیاز کلاینت‌ها

Get-WsusUpdate -UpdateClassification All -Approval AnyExceptDeclined | Select-Object Title, UpdateID, ArrivalDate, State

بررسی وضعیت به‌روزرسانی‌های تأییدشده

Get-WsusUpdate -Approval Approved | Select-Object Title, UpdateID, State

بررسی دستگاه‌هایی که یک به‌روزرسانی خاص را دریافت نکرده‌اند

Get-WsusComputer -Status Needed | Select-Object FullDomainName, LastSyncTime

خروجی گرفتن از گزارشات به‌روزرسانی‌ها به یک فایل CSV

Get-WsusUpdate -Approval Approved | Export-Csv -Path "C:\WSUSReports\ApprovedUpdates.csv" -NoTypeInformation

---

۴. ایجاد گزارش‌های سفارشی با استفاده از SQL Server

اگر WSUS روی یک SQL Server Database اجرا می‌شود، می‌توان با استفاده از SQL Queries گزارش‌های سفارشی ایجاد کرد.

اتصال به دیتابیس WSUS و دریافت لیست به‌روزرسانی‌های تأییدشده

SELECT 
    u.Title, 
    u.CreationDate, 
    ua.Action
FROM tbUpdate u
JOIN tbUpdateApproval ua ON u.UpdateID = ua.UpdateID
WHERE ua.Action = 'Approve'
ORDER BY u.CreationDate DESC;

بررسی دستگاه‌هایی که یک به‌روزرسانی خاص را دریافت نکرده‌اند

SELECT 
    c.FullDomainName, 
    s.LastSyncTime
FROM tbComputerTarget c
JOIN tbState s ON c.TargetID = s.TargetID
WHERE s.State = 'Needed';

---

۵. خودکارسازی مانیتورینگ WSUS با اسکریپت PowerShell

برای خودکارسازی فرآیند گزارش‌گیری و ارسال اطلاعات به مدیران سیستم، می‌توان از اسکریپت PowerShell زیر استفاده کرد. این اسکریپت وضعیت به‌روزرسانی‌ها را استخراج کرده و از طریق ایمیل ارسال می‌کند:

$reportPath = "C:\WSUSReports\WSUS_Status.csv"
$smtpServer = "smtp.yourdomain.com"
$recipient = "admin@yourdomain.com"
$subject = "WSUS Update Status Report"

# دریافت لیست آپدیت‌های تأیید شده
Get-WsusUpdate -Approval Approved | Export-Csv -Path $reportPath -NoTypeInformation

# ارسال گزارش به ایمیل
Send-MailMessage -To $recipient -From "WSUS_Report@yourdomain.com" -Subject $subject -SmtpServer $smtpServer -Attachments $reportPath

---

۶. بررسی وضعیت به‌روزرسانی‌های کلاینت‌ها با wuauclt و usoclient

برای بررسی وضعیت به‌روزرسانی‌ها در کلاینت‌ها، می‌توان از دستورات زیر در CMD استفاده کرد:

بررسی وضعیت دانلود و نصب آپدیت‌ها

wuauclt /reportnow
wuauclt /detectnow

اجرای دستی اسکن آپدیت در ویندوز ۱۰ و ۱۱

usoclient StartScan

---

جمع‌بندی

• WSUS Reports ابزار مهمی برای نظارت بر وضعیت نصب، دانلود و خطاهای به‌روزرسانی‌ها است.
• گزارش‌ها را می‌توان از طریق کنسول مدیریتی WSUS، PowerShell و SQL Server دریافت و تحلیل کرد.
• برای خودکارسازی مانیتورینگ، می‌توان از اسکریپت PowerShell برای ایجاد گزارش و ارسال آن از طریق ایمیل استفاده کرد.
• بررسی وضعیت به‌روزرسانی‌ها در کلاینت‌ها از طریق CMD و PowerShell امکان‌پذیر است.
• با استفاده از SQL Queries می‌توان گزارش‌های سفارشی‌تر از WSUS استخراج کرد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”گزارش‌گیری از کلاینت‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند” subtitle=”توضیحات کامل”]در یک محیط سازمانی، مهم است که بررسی کنیم کدام کلاینت‌ها هنوز به‌روزرسانی‌های تأییدشده را دریافت نکرده‌اند. این اطلاعات به مدیران سیستم کمک می‌کند تا مشکلات احتمالی در WSUS، کلاینت‌ها یا تنظیمات شبکه را شناسایی و برطرف کنند.

در این بخش، روش‌های مختلف گزارش‌گیری از کلاینت‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند، از طریق کنسول WSUS، PowerShell و SQL Server بررسی خواهد شد.

---

۱. مشاهده کلاینت‌های ناسازگار از طریق کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل سمت چپ، به Reports بروید.
3. گزینه Computer Detailed Status را انتخاب کنید.
4. در قسمت Approval, گزینه Approved را انتخاب کنید.
5. روی Run Report کلیک کنید.
6. لیستی از کلاینت‌هایی که هنوز آپدیت‌ها را دریافت نکرده‌اند نمایش داده خواهد شد.

نکته: برای مشاهده این گزارش، باید Microsoft Report Viewer روی سرور نصب باشد.

---

۲. بررسی کلاینت‌های ناسازگار با PowerShell

نمایش کلاینت‌هایی که هنوز به‌روزرسانی‌ها را دریافت نکرده‌اند

Get-WsusComputer -Status Needed | Select-Object FullDomainName, LastSyncTime

بررسی لیست آپدیت‌های تأیید شده اما نصب‌نشده

$wsus = Get-WsusServer -Name "WSUS-Server" -PortNumber 8530
$computers = Get-WsusComputer -Status Needed
$computers | ForEach-Object {
    Write-Output "$($_.FullDomainName) has pending updates."
}

استخراج لیست کلاینت‌هایی که به‌روزرسانی را دریافت نکرده‌اند به فایل CSV

$reportPath = "C:\WSUSReports\PendingClients.csv"
Get-WsusComputer -Status Needed | Select-Object FullDomainName, LastSyncTime | Export-Csv -Path $reportPath -NoTypeInformation

---

۳. بررسی وضعیت به‌روزرسانی‌ها با SQL Server

اگر WSUS روی SQL Server Database اجرا می‌شود، می‌توان با استفاده از SQL Queries لیست کلاینت‌هایی که هنوز آپدیت‌های تأیید شده را دریافت نکرده‌اند، دریافت کرد.

بررسی کلاینت‌هایی که به‌روزرسانی‌های تأییدشده را دریافت نکرده‌اند

SELECT 
    c.FullDomainName, 
    u.Title, 
    s.State
FROM tbComputerTarget c
JOIN tbState s ON c.TargetID = s.TargetID
JOIN tbUpdate u ON s.UpdateID = u.UpdateID
WHERE s.State = 'Needed'
ORDER BY c.FullDomainName;

بررسی آخرین زمان همگام‌سازی کلاینت‌ها

SELECT 
    FullDomainName, 
    LastSyncTime 
FROM tbComputerTarget
WHERE LastSyncTime < DATEADD(DAY, -7, GETDATE());

---

۴. استفاده از اسکریپت PowerShell برای ارسال گزارش از کلاینت‌های ناسازگار

اسکریپت زیر، لیست کلاینت‌هایی که به‌روزرسانی را دریافت نکرده‌اند، استخراج کرده و به ایمیل مدیر سیستم ارسال می‌کند:

$reportPath = "C:\WSUSReports\PendingClients.csv"
$smtpServer = "smtp.yourdomain.com"
$recipient = "admin@yourdomain.com"
$subject = "WSUS Pending Clients Report"

# استخراج لیست کلاینت‌هایی که آپدیت دریافت نکرده‌اند
Get-WsusComputer -Status Needed | Select-Object FullDomainName, LastSyncTime | Export-Csv -Path $reportPath -NoTypeInformation

# ارسال گزارش از طریق ایمیل
Send-MailMessage -To $recipient -From "WSUS_Report@yourdomain.com" -Subject $subject -SmtpServer $smtpServer -Attachments $reportPath

---

۵. بررسی وضعیت به‌روزرسانی‌ها در کلاینت‌ها با wuauclt و usoclient

بررسی وضعیت نصب و دانلود آپدیت‌ها در کلاینت‌ها از طریق CMD

wuauclt /reportnow
wuauclt /detectnow

اجرای اسکن دستی برای دریافت به‌روزرسانی‌ها در کلاینت‌های ویندوز ۱۰ و ۱۱

usoclient StartScan

---

جمع‌بندی

• WSUS Reports ابزار مهمی برای بررسی کلاینت‌هایی است که هنوز آپدیت‌ها را دریافت نکرده‌اند.
• این اطلاعات را می‌توان از کنسول WSUS، PowerShell و SQL Server دریافت کرد.
• با استفاده از PowerShell می‌توان لیست کلاینت‌های ناسازگار را به فایل CSV استخراج و برای مدیر سیستم ایمیل کرد.
• بررسی زمان آخرین همگام‌سازی کلاینت‌ها و اجرای اسکن دستی در کلاینت‌های مشکل‌دار می‌تواند به شناسایی مشکلات کمک کند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تحلیل مشکلات مرتبط با عدم نصب به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]یکی از چالش‌های رایج در مدیریت WSUS، مشکلات مرتبط با عدم نصب به‌روزرسانی‌ها در کلاینت‌ها است. دلایل مختلفی می‌توانند باعث این مشکل شوند، از جمله مشکلات شبکه، تنظیمات نادرست WSUS، اشکالات در سرویس Windows Update، خطاهای رجیستری و مسائل مربوط به Group Policy. در این بخش، روش‌های مختلفی برای شناسایی، تحلیل و رفع مشکلات عدم نصب به‌روزرسانی‌ها بررسی خواهد شد.

---

۱. بررسی وضعیت کلاینت‌ها در کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل سمت چپ، به Computers بروید.
3. گروه موردنظر را انتخاب کنید.
4. در ستون Status, وضعیت کلاینت‌ها را بررسی کنید:
   • Not yet reported (کلاینت با WSUS ارتباط ندارد)
   • Updates needed (کلاینت به‌روزرسانی دریافت نکرده است)
   • Failed (نصب به‌روزرسانی‌ها با شکست مواجه شده است)
5. برای مشاهده جزئیات خطاها، بر روی کلاینت راست‌کلیک کنید و Status Report را اجرا کنید.

---

۲. بررسی وضعیت کلاینت‌ها با PowerShell

بررسی کلاینت‌هایی که به‌روزرسانی دریافت نکرده‌اند

Get-WsusComputer -Status Needed | Select-Object FullDomainName, LastSyncTime

بررسی آپدیت‌هایی که نصب نشده‌اند

$wsus = Get-WsusServer -Name "WSUS-Server" -PortNumber 8530
$computers = Get-WsusComputer -Status Failed
$computers | ForEach-Object {
    Write-Output "$($_.FullDomainName) has failed updates."
}

---

۳. بررسی مشکلات ارتباطی کلاینت با WSUS

۱. بررسی ارتباط با سرور WSUS از طریق ping

ping WSUS-Server

۲. بررسی اتصال به پورت ۸۵۳۰ (در صورت استفاده از HTTP)

telnet WSUS-Server 8530

۳. بررسی ارتباط از طریق PowerShell

Test-NetConnection -ComputerName WSUS-Server -Port 8530

۴. بررسی پینگ به‌همراه جزییات بیشتر

ping WSUS-Server -t

---

۴. بررسی و رفع مشکلات مربوط به سرویس Windows Update در کلاینت‌ها

۱. بررسی وضعیت سرویس Windows Update

sc query wuauserv

۲. راه‌اندازی مجدد سرویس Windows Update

net stop wuauserv
net start wuauserv

۳. پاک کردن کش به‌روزرسانی‌ها در کلاینت‌ها

net stop wuauserv
rd /s /q C:\Windows\SoftwareDistribution
net start wuauserv

۴. اجرای ابزار عیب‌یابی Windows Update

msdt.exe /id WindowsUpdateDiagnostic

---

۵. بررسی و رفع مشکلات مربوط به Group Policy

۱. بررسی تنظیمات Group Policy مرتبط با WSUS

gpresult /h C:\WSUSReports\gp_report.html

۲. اعمال مجدد Group Policy در کلاینت‌ها

gpupdate /force

۳. بررسی مقدار رجیستری مرتبط با WSUS

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"

۴. اصلاح مقدار رجیستری در صورت نیاز

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer -Value "http://WSUS-Server:8530"

---

۶. بررسی و رفع مشکلات دیتابیس WSUS

۱. بررسی سلامت دیتابیس WSUS از طریق PowerShell

(Get-WsusServer).GetDatabaseConfiguration()

۲. بررسی و بهینه‌سازی پایگاه داده WSUS در SQL Server

EXEC sp_MSforeachtable @command1="DBCC CHECKTABLE ('?')"

---

۷. بررسی لاگ‌های مربوط به Windows Update در کلاینت‌ها

۱. مشاهده لاگ‌های Windows Update در کلاینت

notepad C:\Windows\WindowsUpdate.log

۲. بررسی لاگ‌های به‌روزرسانی در Event Viewer

1. Event Viewer را باز کنید.
2. به مسیر زیر بروید:

   Applications and Services Logs > Microsoft > Windows > WindowsUpdateClient > Operational
   

3. لاگ‌های مربوط به خطاهای Windows Update را بررسی کنید.

۳. فیلتر کردن لاگ‌های مرتبط از طریق PowerShell

Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" | Where-Object {$_.Level -eq 2}

---

۸. اجرای دستی اسکن به‌روزرسانی‌ها در کلاینت‌ها

۱. اجرای اسکن از طریق wuauclt

wuauclt /detectnow
wuauclt /reportnow

۲. اجرای اسکن از طریق usoclient (ویندوز ۱۰ و ۱۱)

usoclient StartScan

---

۹. اسکریپت PowerShell برای تشخیص مشکلات عدم نصب به‌روزرسانی‌ها

اسکریپت زیر لیست کلاینت‌هایی که آپدیت‌ها را دریافت نکرده‌اند، استخراج کرده و در یک فایل CSV ذخیره می‌کند:

$reportPath = "C:\WSUSReports\FailedUpdates.csv"
Get-WsusComputer -Status Failed | Select-Object FullDomainName, LastSyncTime | Export-Csv -Path $reportPath -NoTypeInformation

---

جمع‌بندی

• بررسی وضعیت کلاینت‌ها از طریق کنسول WSUS، PowerShell و SQL Server
• تحلیل مشکلات ارتباطی با سرور WSUS و بررسی اتصال شبکه و پورت‌های مرتبط
• رفع مشکلات مربوط به Windows Update Service در کلاینت‌ها
• بررسی و اصلاح تنظیمات Group Policy و رجیستری مرتبط با WSUS
• عیب‌یابی پایگاه داده WSUS و بهینه‌سازی آن
• بررسی لاگ‌های Windows Update و Event Viewer برای یافتن ارورها
• اجرای اسکن و گزارش‌گیری از کلاینت‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند

با انجام این مراحل، می‌توان به‌صورت دقیق مشکلات مرتبط با عدم نصب به‌روزرسانی‌ها را شناسایی و برطرف کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”نحوه استخراج و بررسی گزارش‌های Update Compliance” subtitle=”توضیحات کامل”]Update Compliance یکی از ابزارهای قدرتمند برای مانیتورینگ و بررسی وضعیت به‌روزرسانی‌ها در کلاینت‌های متصل به WSUS است. این ابزار اطلاعات دقیقی از به‌روزرسانی‌های نصب‌شده، آپدیت‌های در انتظار نصب، کلاینت‌های ناسازگار و مشکلات احتمالی را ارائه می‌دهد. در این بخش، نحوه استخراج و بررسی گزارش‌های Update Compliance از طریق کنسول WSUS، PowerShell و SQL Server بررسی خواهد شد.

---

۱. استخراج گزارش‌های Update Compliance از طریق کنسول WSUS

1. کنسول WSUS را باز کنید.
2. در پنل سمت چپ، به Reports بروید.
3. روی Update Compliance Summary کلیک کنید.
4. فیلترهای موردنظر را انتخاب کنید (مانند گروه‌های کلاینت، محدوده زمانی و نوع آپدیت‌ها).
5. روی Run Report کلیک کنید.
6. برای ذخیره گزارش، روی Export کلیک کرده و فرمت CSV یا PDF را انتخاب کنید.

---

۲. استخراج گزارش‌های Update Compliance از طریق PowerShell

۱. دریافت لیست کلاینت‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند

$wsus = Get-WsusServer -Name "WSUS-Server" -PortNumber 8530
$computers = Get-WsusComputer -Status Needed
$computers | Select-Object FullDomainName, LastSyncTime | Format-Table -AutoSize

۲. دریافت لیست کلاینت‌هایی که آپدیت‌ها را نصب نکرده‌اند

Get-WsusComputer -Status Failed | Select-Object FullDomainName, LastSyncTime

۳. دریافت لیست آپدیت‌های نصب‌نشده در کلاینت‌ها

$wsus = Get-WsusServer
$updates = $wsus.GetUpdates() | Where-Object { $_.IsInstalled -eq $false }
$updates | Select-Object Title, UpdateID, CreationDate | Format-Table -AutoSize

۴. استخراج گزارش از کلاینت‌هایی که با WSUS هماهنگ نشده‌اند و ذخیره آن در فایل CSV

$reportPath = "C:\WSUSReports\NonCompliantClients.csv"
Get-WsusComputer -Status NotApplicable | Select-Object FullDomainName, LastSyncTime | Export-Csv -Path $reportPath -NoTypeInformation

---

۳. استخراج گزارش‌های Update Compliance از طریق SQL Server

اگر WSUS از SQL Server به‌عنوان پایگاه داده استفاده می‌کند، می‌توان گزارش‌های دقیقی از کلاینت‌های ناسازگار و وضعیت به‌روزرسانی‌ها استخراج کرد.

۱. بررسی تعداد کلاینت‌هایی که آپدیت دریافت نکرده‌اند

SELECT COUNT(*) AS NonCompliantClients
FROM PUBLIC_VIEWS.vUpdateComplianceSummary
WHERE Status = 'Not Installed'

۲. دریافت لیست کلاینت‌هایی که آپدیت‌های مهم را دریافت نکرده‌اند

SELECT ComputerTargetName, LastSyncTime
FROM PUBLIC_VIEWS.vUpdateComplianceSummary
WHERE Status = 'Not Installed'
AND UpdateClassification = 'Critical Updates'

۳. دریافت لیست آپدیت‌هایی که تعداد زیادی کلاینت آن‌ها را نصب نکرده‌اند

SELECT Title, COUNT(*) AS NonInstalledClients
FROM PUBLIC_VIEWS.vUpdateComplianceSummary
WHERE Status = 'Not Installed'
GROUP BY Title
ORDER BY NonInstalledClients DESC

---

۴. تحلیل گزارش‌های استخراج‌شده

۱. بررسی وضعیت به‌روزرسانی کلاینت‌ها

پس از دریافت گزارش‌ها، لازم است وضعیت کلاینت‌ها تحلیل شود:

• اگر کلاینتی در لیست “Not Installed” است: احتمالاً مشکل ارتباط با WSUS دارد.
• اگر کلاینتی در لیست “Failed” است: ممکن است خطای Windows Update داشته باشد.
• اگر کلاینتی برای مدت طولانی همگام‌سازی انجام نداده: بررسی ارتباط شبکه و تنظیمات GPO الزامی است.

۲. بررسی به‌روزرسانی‌های ناسازگار

گاهی برخی به‌روزرسانی‌ها روی تعدادی از کلاینت‌ها نصب نمی‌شوند. این موارد باید بررسی شوند تا مشخص شود:

• آیا سخت‌افزار یا نرم‌افزار کلاینت با آپدیت سازگار است؟
• آیا کلاینت نیاز به ریستارت دارد؟
• آیا خطایی در سرویس Windows Update کلاینت وجود دارد؟

۳. تحلیل مشکلات در SQL Server و WSUS Database

اگر گزارش‌ها نشان‌دهنده ناسازگاری گسترده هستند، بهتر است پایگاه داده WSUS بررسی و بهینه‌سازی شود:

EXEC sp_MSforeachtable @command1="DBCC CHECKTABLE ('?')"

---

۵. ایجاد یک اسکریپت PowerShell برای دریافت گزارش‌های Update Compliance و ارسال ایمیل

اسکریپت زیر، لیست کلاینت‌های ناسازگار را استخراج کرده، در یک فایل CSV ذخیره می‌کند و آن را از طریق ایمیل ارسال می‌کند:

$reportPath = "C:\WSUSReports\NonCompliantClients.csv"
$wsus = Get-WsusServer -Name "WSUS-Server" -PortNumber 8530
$computers = Get-WsusComputer -Status NotApplicable
$computers | Select-Object FullDomainName, LastSyncTime | Export-Csv -Path $reportPath -NoTypeInformation

# تنظیمات ایمیل
$smtpServer = "smtp.yourdomain.com"
$from = "wsus@yourdomain.com"
$to = "admin@yourdomain.com"
$subject = "WSUS Update Compliance Report"
$body = "گزارش کلاینت‌های ناسازگار به پیوست ارسال شده است."
$attachment = $reportPath

Send-MailMessage -SmtpServer $smtpServer -From $from -To $to -Subject $subject -Body $body -Attachments $attachment

---

جمع‌بندی

• گزارش‌های Update Compliance را می‌توان از کنسول WSUS، PowerShell و SQL Server استخراج کرد.
• بررسی وضعیت کلاینت‌ها با استفاده از PowerShell و دستورات SQL امکان تشخیص کلاینت‌های ناسازگار را فراهم می‌کند.
• تحلیل گزارش‌ها برای شناسایی کلاینت‌های دارای مشکل، بهینه‌سازی پایگاه داده و اصلاح تنظیمات ضروری است.
• می‌توان گزارش‌های Update Compliance را به‌صورت خودکار در فایل CSV ذخیره و از طریق ایمیل ارسال کرد.

با این روش‌ها، می‌توان وضعیت به‌روزرسانی کلاینت‌ها را به‌صورت دقیق و مداوم نظارت و مشکلات احتمالی را سریع‌تر برطرف کرد.[/cdb_course_lesson][cdb_course_lesson title=”فصل 7. پیکربندی تنظیمات WSUS از طریق Group Policy”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اعمال تنظیمات WSUS برای کلاینت‌ها با Group Policy” subtitle=”توضیحات کامل”]استفاده از Group Policy (GPO) برای پیکربندی کلاینت‌ها جهت دریافت به‌روزرسانی‌ها از WSUS یکی از بهترین روش‌ها برای مدیریت متمرکز آپدیت‌ها در سازمان است. در این بخش، نحوه ایجاد و اعمال تنظیمات WSUS روی کلاینت‌ها از طریق Group Policy را بررسی خواهیم کرد.

---

۱. ایجاد و پیکربندی Group Policy برای WSUS

۱.۱. باز کردن Group Policy Management

1. در سرور Domain Controller، ابزار Group Policy Management را باز کنید.
2. در پنل سمت چپ، روی Domain خود کلیک کرده و Create a GPO in this domain, and Link it here را انتخاب کنید.
3. یک نام مناسب مانند WSUS Client Policy برای GPO وارد کنید و OK را بزنید.

۱.۲. ویرایش GPO برای تنظیم WSUS در کلاینت‌ها

1. روی GPO ایجاد شده راست‌کلیک کرده و گزینه Edit را انتخاب کنید.
2. در پنجره Group Policy Management Editor، مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

3. سیاست‌های زیر را برای تنظیم WSUS پیکربندی کنید:۱. Specify intranet Microsoft update service location
   • این گزینه را فعال کنید و آدرس WSUS Server را مشخص کنید (مثلاً: http://WSUS-Server:8530).
   • همچنین مقدار Set the intranet statistics server را برابر با همان آدرس WSUS-Server قرار دهید.

   ۲. Configure Automatic Updates

   • این گزینه را فعال کنید و یکی از حالت‌های زیر را انتخاب کنید:
     • ۲: دانلود به‌روزرسانی‌ها و اطلاع‌رسانی به کاربر برای نصب.
     • ۳: دانلود خودکار و نصب بر اساس تنظیمات زمان‌بندی شده.
     • ۴: نصب خودکار به‌روزرسانی‌ها و راه‌اندازی مجدد در صورت نیاز.

   ۳. Enable client-side targeting (اختیاری، در صورت استفاده از گروه‌های WSUS)

   • این گزینه را فعال کنید و نام گروه WSUS را وارد کنید (مثلاً "Desktops" یا "Servers").

   ۴. No auto-restart with logged on users for scheduled automatic updates installations (اختیاری، برای جلوگیری از ریستارت ناگهانی)

   • این گزینه را فعال کنید تا از راه‌اندازی مجدد ناگهانی کلاینت‌ها جلوگیری شود.

---

۲. اعمال GPO روی کلاینت‌ها

۲.۱. لینک کردن GPO به OU مربوطه

1. در Group Policy Management، روی OU موردنظر (مانند "Workstations" یا "Servers") راست‌کلیک کرده و Link an Existing GPO را انتخاب کنید.
2. GPO مربوط به WSUS Client Policy را انتخاب کرده و OK را بزنید.

۲.۲. بررسی اعمال GPO روی کلاینت‌ها

1. روی کلاینت موردنظر، دستور زیر را برای اعمال سریع GPO اجرا کنید:

   gpupdate /force
   

2. بررسی کنید که کلاینت، تنظیمات را از GPO دریافت کرده است:

   gpresult /h C:\WSUS_GPO_Report.html
   

3. فایل C:\WSUS_GPO_Report.html را باز کنید و مطمئن شوید که تنظیمات WSUS Server و Automatic Updates به درستی اعمال شده‌اند.

---

۳. تنظیم کلاینت‌ها برای استفاده از WSUS با PowerShell

۳.۱. تنظیم آدرس WSUS در کلاینت‌ها به‌صورت دستی

$WSUSServer = "http://WSUS-Server:8530"
$RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"

# ایجاد کلید Registry در صورت وجود نداشتن
If (!(Test-Path $RegPath)) { New-Item -Path $RegPath -Force }

# تنظیم آدرس WSUS Server
Set-ItemProperty -Path $RegPath -Name "WUServer" -Value $WSUSServer
Set-ItemProperty -Path $RegPath -Name "WUStatusServer" -Value $WSUSServer
Set-ItemProperty -Path $RegPath -Name "AcceptTrustedPublisherCerts" -Value 1
Set-ItemProperty -Path $RegPath -Name "DisableWindowsUpdateAccess" -Value 1

۳.۲. اعمال تنظیمات Automatic Updates روی کلاینت‌ها

$AUPath = "$RegPath\AU"
If (!(Test-Path $AUPath)) { New-Item -Path $AUPath -Force }

Set-ItemProperty -Path $AUPath -Name "AUOptions" -Value 4 # گزینه 4 = نصب خودکار
Set-ItemProperty -Path $AUPath -Name "ScheduledInstallDay" -Value 0 # هر روز
Set-ItemProperty -Path $AUPath -Name "ScheduledInstallTime" -Value 3 # ساعت 3 صبح

۳.۳. راه‌اندازی مجدد سرویس Windows Update برای اعمال تنظیمات

Restart-Service wuauserv -Force

---

۴. بررسی ارتباط کلاینت‌ها با WSUS

۴.۱. بررسی وضعیت به‌روزرسانی‌ها در کلاینت

Get-WmiObject -Namespace "root\ccm\clientsdk" -Class CCM_UpdateStatus

۴.۲. بررسی اینکه کلاینت از WSUS آپدیت دریافت می‌کند یا نه

wuauclt /detectnow
wuauclt /reportnow

۴.۳. دریافت اطلاعات دقیق‌تر از Windows Update Log

Get-Content C:\Windows\WindowsUpdate.log | Select-String "WSUS"

---

جمع‌بندی

• Group Policy بهترین روش برای مدیریت کلاینت‌ها و تنظیم WSUS در سطح سازمانی است.
• تنظیمات اصلی شامل آدرس WSUS، تنظیمات Automatic Updates و Client-Side Targeting است.
• PowerShell می‌تواند برای اعمال تنظیمات در کلاینت‌ها به‌صورت دستی یا خودکار استفاده شود.
• بررسی گزارش GPO، ارتباط با WSUS و لاگ‌های Windows Update کمک می‌کند تا مشکلات احتمالی شناسایی و رفع شوند.

با این روش‌ها، می‌توان کلاینت‌های سازمان را به‌صورت اتوماتیک و متمرکز از طریق WSUS مدیریت کرد و به‌روزرسانی‌ها را کنترل نمود.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیم Windows Update Policy برای کنترل به‌روزرسانی‌های کلاینت‌ها” subtitle=”توضیحات کامل”]مدیریت و کنترل به‌روزرسانی‌های کلاینت‌ها در یک سازمان از طریق Group Policy و Registry امکان‌پذیر است. این تنظیمات به شما اجازه می‌دهند تا تعیین کنید کلاینت‌ها چگونه و چه زمانی به‌روزرسانی‌ها را دریافت و نصب کنند. در این بخش، نحوه پیکربندی Windows Update Policy برای کلاینت‌های سازمان را از طریق GPO و PowerShell بررسی می‌کنیم.

---

۱. پیکربندی Windows Update Policy با استفاده از Group Policy

۱.۱. ایجاد یک GPO برای Windows Update

1. در سرور Domain Controller، ابزار Group Policy Management را باز کنید.
2. روی Domain خود کلیک کنید و Create a GPO in this domain, and Link it here را انتخاب کنید.
3. یک نام مناسب مانند Windows Update Policy برای GPO وارد کنید و OK را بزنید.

۱.۲. ویرایش GPO برای تنظیم Windows Update

1. روی GPO ایجاد شده راست‌کلیک کرده و گزینه Edit را انتخاب کنید.
2. مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

3. سیاست‌های زیر را برای کنترل Windows Update پیکربندی کنید:۱. Configure Automatic Updates
   • این گزینه را فعال کنید.
   • یکی از گزینه‌های زیر را برای نحوه دریافت و نصب به‌روزرسانی‌ها انتخاب کنید:
     • ۲: دانلود به‌روزرسانی‌ها و اطلاع‌رسانی به کاربر برای نصب.
     • ۳: دانلود خودکار و اطلاع‌رسانی برای نصب.
     • ۴: دانلود و نصب خودکار طبق برنامه‌ریزی مشخص‌شده.
   • گزینه ۴ را انتخاب کرده و روز و ساعت اجرای به‌روزرسانی‌ها را مشخص کنید (مثلاً هر روز ساعت ۳ صبح).

   ۲. Specify intranet Microsoft update service location (در صورت استفاده از WSUS)

   • این گزینه را فعال کنید و آدرس سرور WSUS را وارد کنید (مثلاً: http://WSUS-Server:8530).
   • مقدار Set the intranet statistics server را نیز برابر با همان آدرس قرار دهید.

   ۳. No auto-restart with logged on users for scheduled automatic updates installations

   • این گزینه را فعال کنید تا در صورتی که کاربری در سیستم وارد شده باشد، ویندوز به‌طور خودکار ریستارت نشود.

   ۴. Turn on recommended updates via Automatic Updates (اختیاری)

   • فعال کردن این گزینه باعث می‌شود که علاوه بر آپدیت‌های امنیتی، سایر آپدیت‌های پیشنهادی نیز دریافت شوند.

   ۵. Enable Windows Update Power Management to automatically wake up the system to install scheduled updates (اختیاری، برای لپ‌تاپ‌ها و سیستم‌های کم‌مصرف)

   • این گزینه را فعال کنید تا سیستم‌های خاموش در زمان مشخص‌شده برای نصب به‌روزرسانی‌ها، روشن شوند.

---

۲. اعمال GPO روی کلاینت‌ها

۲.۱. لینک کردن GPO به OU مربوطه

1. در Group Policy Management، روی OU مربوط به کلاینت‌ها راست‌کلیک کنید.
2. گزینه Link an Existing GPO را انتخاب کرده و Windows Update Policy را به آن لینک کنید.

۲.۲. بررسی اعمال GPO روی کلاینت‌ها

1. روی کلاینت موردنظر دستور زیر را اجرا کنید:

   gpupdate /force
   

2. بررسی کنید که تنظیمات Windows Update در کلاینت اعمال شده است:

   gpresult /h C:\WindowsUpdate_GPO_Report.html
   

3. فایل C:\WindowsUpdate_GPO_Report.html را باز کرده و مطمئن شوید که تنظیمات GPO اعمال شده‌اند.

---

۳. تنظیم Windows Update Policy با استفاده از PowerShell

۳.۱. تنظیمات Windows Update در Registry به‌صورت دستی

$RegPath = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"

# ایجاد کلید Registry در صورت عدم وجود
If (!(Test-Path $RegPath)) { New-Item -Path $RegPath -Force }

# تنظیم سرور WSUS (در صورت استفاده از WSUS)
Set-ItemProperty -Path $RegPath -Name "WUServer" -Value "http://WSUS-Server:8530"
Set-ItemProperty -Path $RegPath -Name "WUStatusServer" -Value "http://WSUS-Server:8530"

۳.۲. تنظیم دانلود و نصب خودکار به‌روزرسانی‌ها

$AUPath = "$RegPath\AU"
If (!(Test-Path $AUPath)) { New-Item -Path $AUPath -Force }

Set-ItemProperty -Path $AUPath -Name "AUOptions" -Value 4   # نصب خودکار
Set-ItemProperty -Path $AUPath -Name "ScheduledInstallDay" -Value 0  # هر روز
Set-ItemProperty -Path $AUPath -Name "ScheduledInstallTime" -Value 3  # ساعت 3 صبح

۳.۳. جلوگیری از ریستارت ناگهانی هنگام ورود کاربر

Set-ItemProperty -Path $AUPath -Name "NoAutoRebootWithLoggedOnUsers" -Value 1

۳.۴. اعمال تغییرات و راه‌اندازی مجدد سرویس Windows Update

Restart-Service wuauserv -Force

---

۴. بررسی وضعیت Windows Update در کلاینت‌ها

۴.۱. بررسی تنظیمات Windows Update

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU"

۴.۲. بررسی وضعیت آخرین به‌روزرسانی‌ها

Get-WmiObject -Namespace "root\ccm\clientsdk" -Class CCM_UpdateStatus

۴.۳. اجرای دستی بررسی به‌روزرسانی‌ها

wuauclt /detectnow
wuauclt /reportnow

۴.۴. مشاهده لاگ‌های Windows Update برای خطایابی

Get-Content C:\Windows\WindowsUpdate.log | Select-String "Update"

---

جمع‌بندی

• Group Policy و PowerShell بهترین روش‌های مدیریت و کنترل Windows Update در کلاینت‌ها هستند.
• تنظیمات اصلی شامل فعال‌سازی به‌روزرسانی خودکار، تعیین سرور WSUS، زمان‌بندی نصب و جلوگیری از ریستارت ناگهانی است.
• PowerShell می‌تواند برای تغییر تنظیمات کلاینت‌ها بدون نیاز به Group Policy استفاده شود.
• بررسی گزارش GPO، لاگ‌های Windows Update و وضعیت نصب آپدیت‌ها به شما کمک می‌کند مشکلات را شناسایی و رفع کنید.

با این روش‌ها، مدیریت به‌روزرسانی‌ها در کلاینت‌های سازمان به‌صورت دقیق و کنترل‌شده انجام خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”مدیریت و نظارت بر WSUS Client Reporting” subtitle=”توضیحات کامل”]مدیریت و نظارت بر وضعیت کلاینت‌های WSUS از اهمیت بالایی برخوردار است، زیرا بررسی گزارش‌های مربوط به کلاینت‌ها و تحلیل وضعیت دریافت و نصب به‌روزرسانی‌ها به کاهش مشکلات و افزایش امنیت شبکه کمک می‌کند. در این بخش، نحوه مدیریت و نظارت بر WSUS Client Reporting را از طریق کنسول WSUS، Group Policy، PowerShell و WSUS Reports بررسی می‌کنیم.

---

۱. بررسی وضعیت کلاینت‌ها در کنسول WSUS

برای مشاهده وضعیت کلاینت‌ها در کنسول WSUS:

1. کنسول WSUS را باز کنید.
2. در قسمت Computers، گروه‌های کامپیوتری را مشاهده کنید.
3. روی گروه موردنظر کلیک کرده و کلاینت‌های موجود را بررسی کنید.
4. وضعیت هر کلاینت در ستون‌های Last Contact, Status Report, Updates Needed نمایش داده می‌شود.

وضعیت‌های متداول کلاینت‌ها در WSUS:

• Not Yet Reported: کلاینت هنوز گزارشی به سرور ارسال نکرده است.
• Updates Needed: کلاینت نیاز به به‌روزرسانی دارد.
• Compliant: کلاینت به‌روزرسانی‌ها را نصب کرده و به‌روز است.
• Failed: خطایی در دریافت یا نصب به‌روزرسانی‌ها رخ داده است.

---

۲. اعمال پیکربندی برای گزارش‌گیری صحیح از کلاینت‌ها

۲.۱. تنظیمات Group Policy برای اطمینان از ارسال گزارش کلاینت‌ها به WSUS

1. در Group Policy Management، یک GPO جدید ایجاد کرده و به OU مربوطه لینک کنید.
2. در ویرایشگر GPO، مسیر زیر را باز کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

3. تنظیمات زیر را انجام دهید:۱. Configure Automatic Updates
   • این گزینه را فعال کرده و مقدار ۴ (Auto Download & Schedule Install) را انتخاب کنید.

   ۲. Specify intranet Microsoft update service location

   • این گزینه را فعال کرده و مقدار http://WSUS-Server:8530 را وارد کنید.

   ۳. Allow signed updates from an intranet Microsoft update service location

   • این گزینه را فعال کنید تا کلاینت‌ها به‌روزرسانی‌ها را از WSUS دریافت کنند.

   ۴. Enable Client-side Targeting (در صورت استفاده از گروه‌های WSUS)

   • این گزینه را فعال کنید و مقدار Workstations یا Servers را برای تعیین گروه کلاینت وارد کنید.
4. اعمال GPO روی کلاینت‌ها با اجرای دستور زیر:

   gpupdate /force
   

5. برای بررسی اعمال سیاست‌ها در کلاینت، دستور زیر را اجرا کنید:

   gpresult /h C:\GPO_Report.html
   

---

۳. بررسی وضعیت گزارش‌گیری کلاینت‌ها با PowerShell

۳.۱. بررسی ارتباط کلاینت با سرور WSUS

روی کلاینت دستور زیر را اجرا کنید:

Get-WindowsUpdateLog

سپس فایل WindowsUpdate.log را بررسی کنید و مطمئن شوید که WSUS به‌درستی تنظیم شده است.

۳.۲. بررسی آخرین زمان گزارش کلاینت به WSUS

(Get-WmiObject -Namespace "root\Microsoft\Windows\WindowsUpdate" -Class "WUSettings").LastDetectionTime

۳.۳. بررسی لیست به‌روزرسانی‌های در انتظار نصب

Get-WmiObject -Namespace "root\Microsoft\Windows\WindowsUpdate" -Class "WUHistory" | Select-Object Title, ResultCode

۳.۴. اجرای دستی گزارش‌گیری کلاینت به WSUS

wuauclt /reportnow

یا در Windows 10 و نسخه‌های جدیدتر:

USOClient StartScan
USOClient ReportNow

---

۴. استفاده از WSUS Reports برای مانیتورینگ کلاینت‌ها

1. در کنسول WSUS، به Reports بروید.
2. در بخش Computer Reports، روی Computer Status Summary کلیک کنید.
3. گزینه All Computers را انتخاب کرده و روی Run Report کلیک کنید.
4. این گزارش نشان می‌دهد که چه کلاینت‌هایی:
   • به‌روزرسانی دریافت کرده‌اند.
   • در انتظار نصب به‌روزرسانی هستند.
   • گزارش ارسال نکرده‌اند.

۴.۱. استخراج گزارش از طریق PowerShell

(Get-WsusServer).GetComputerTargetGroups() | ForEach-Object { $_.GetComputerTargets() } | Select-Object FullDomainName, LastReportedStatusTime

---

۵. تحلیل مشکلات عدم گزارش‌گیری کلاینت‌ها در WSUS

۵.۱. بررسی خطای Windows Update Agent در کلاینت

Get-EventLog -LogName System -Source "WindowsUpdateClient" -Newest 20

۵.۲. بررسی ارتباط شبکه‌ای کلاینت با WSUS

Test-NetConnection -ComputerName WSUS-Server -Port 8530

اگر ارتباط برقرار نشود، بررسی کنید که:

• سرور WSUS روشن باشد.
• کلاینت بتواند به پورت ۸۵۳۰ یا ۸۵۳۱ دسترسی داشته باشد.
• آدرس WSUS در Group Policy تنظیم شده باشد.

۵.۳. تنظیم مجدد Windows Update Agent در کلاینت

net stop wuauserv
rd /s /q C:\Windows\SoftwareDistribution
net start wuauserv
wuauclt /detectnow /reportnow

---

جمع‌بندی

1. کنسول WSUS امکان مشاهده وضعیت کلاینت‌ها را فراهم می‌کند.
2. Group Policy باید به درستی تنظیم شود تا کلاینت‌ها گزارش خود را ارسال کنند.
3. PowerShell می‌تواند برای بررسی وضعیت ارتباط و دریافت گزارش از کلاینت‌ها استفاده شود.
4. WSUS Reports ابزارهای قدرتمندی برای مانیتورینگ وضعیت به‌روزرسانی کلاینت‌ها ارائه می‌دهد.
5. در صورت عدم گزارش‌گیری کلاینت‌ها، بررسی خطاهای Windows Update Agent، ارتباط شبکه‌ای و بازنشانی Windows Update Agent توصیه می‌شود.

با این روش‌ها، مدیریت و نظارت بر WSUS Client Reporting به‌طور دقیق انجام خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی و رفع مشکلات عدم دریافت به‌روزرسانی از طریق GPO” subtitle=”توضیحات کامل”]در برخی موارد، کلاینت‌ها به دلیل پیکربندی نادرست GPO، مشکلات شبکه‌ای یا اختلال در Windows Update Agent قادر به دریافت به‌روزرسانی‌ها از WSUS نیستند. در این بخش، مراحل بررسی و رفع مشکلات عدم دریافت به‌روزرسانی‌ها از طریق Group Policy (GPO) را به‌صورت گرافیکی و کامندی ارائه می‌کنیم.

---

۱. بررسی تنظیمات GPO برای Windows Update

۱.۱. بررسی پیکربندی WSUS در Group Policy

1. کنسول Group Policy Management را باز کنید.
2. به مسیر زیر بروید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

3. تنظیمات زیر را بررسی کنید:
   • Configure Automatic Updates → فعال باشد و مقدار ۴ (Auto Download & Schedule Install) تنظیم شده باشد.
   • Specify intranet Microsoft update service location → آدرس WSUS صحیح باشد (مثلاً http://WSUS-Server:8530).
   • Allow signed updates from an intranet Microsoft update service location → فعال باشد.
   • Enable Client-side Targeting → اگر از گروه‌بندی کلاینت‌ها در WSUS استفاده می‌شود، مقدار Workstations یا Servers مشخص شود.
4. برای اعمال تغییرات، GPO را روی کلاینت‌ها اعمال کنید:

   gpupdate /force
   

---

۲. بررسی اعمال GPO روی کلاینت‌ها

۲.۱. بررسی GPO اعمال‌شده در کلاینت

روی کلاینت، دستور زیر را اجرا کنید تا بررسی کنید که GPO به‌درستی اعمال شده است:

gpresult /h C:\GPO_Report.html

فایل GPO_Report.html را باز کرده و بررسی کنید که سیاست‌های مربوط به Windows Update به‌درستی اعمال شده باشند.

۲.۲. بررسی مقدار Registry برای تنظیمات WSUS

می‌توانید مقدارهای GPO را مستقیماً از طریق Registry بررسی کنید:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /s

اگر مقدار WUServer و WUStatusServer در خروجی نبود، یعنی GPO روی کلاینت اعمال نشده است.

برای تنظیم دستی این مقادیر، از دستورات زیر استفاده کنید:

reg add HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer /t REG_SZ /d "http://WSUS-Server:8530" /f
reg add HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUStatusServer /t REG_SZ /d "http://WSUS-Server:8530" /f

---

۳. بررسی و رفع مشکلات ارتباطی بین کلاینت و WSUS

۳.۱. بررسی دسترسی کلاینت به WSUS

روی کلاینت، بررسی کنید که آیا سرور WSUS در دسترس است:

Test-NetConnection -ComputerName WSUS-Server -Port 8530

اگر پورت ۸۵۳۰ بسته بود، بررسی کنید که آیا فایروال سرور WSUS ترافیک را مسدود کرده است یا خیر. می‌توانید این پورت را باز کنید:

netsh advfirewall firewall add rule name="Allow WSUS" dir=in action=allow protocol=TCP localport=8530

۳.۲. بررسی ارتباط DNS و نام سرور WSUS

روی کلاینت، بررسی کنید که نام سرور WSUS قابل حل است:

nslookup WSUS-Server

اگر خروجی نامعتبر بود، اطمینان حاصل کنید که نام WSUS در DNS به درستی تنظیم شده است.

---

۴. بررسی و رفع مشکلات Windows Update Agent در کلاینت‌ها

۴.۱. بررسی آخرین زمان ارتباط کلاینت با WSUS

(Get-WmiObject -Namespace "root\Microsoft\Windows\WindowsUpdate" -Class "WUSettings").LastDetectionTime

اگر مقدار LastDetectionTime قدیمی باشد، یعنی کلاینت برای دریافت به‌روزرسانی اقدام نکرده است.

۴.۲. بررسی سرویس Windows Update در کلاینت

Get-Service wuauserv

اگر وضعیت Stopped باشد، آن را مجدداً راه‌اندازی کنید:

net start wuauserv

۴.۳. بررسی خطاهای Windows Update در Event Viewer

Get-EventLog -LogName System -Source "WindowsUpdateClient" -Newest 20

این دستور لیستی از خطاهای Windows Update را نمایش می‌دهد که می‌توانند دلیل مشکل را مشخص کنند.

---

۵. تنظیم مجدد Windows Update Agent و اجباری کردن دریافت به‌روزرسانی

۵.۱. پاک‌سازی کش Windows Update و بارگیری مجدد به‌روزرسانی‌ها

net stop wuauserv
rd /s /q C:\Windows\SoftwareDistribution
net start wuauserv
wuauclt /detectnow /reportnow

۵.۲. اجرای دستی بررسی و دریافت به‌روزرسانی‌ها در کلاینت

USOClient StartScan
USOClient StartDownload
USOClient StartInstall
USOClient ScanInstallWait

---

۶. اطمینان از ثبت کلاینت در WSUS

۶.۱. بررسی ثبت کلاینت در WSUS

در کنسول WSUS، بررسی کنید که کلاینت‌ها در بخش Computers نمایش داده می‌شوند.

۶.۲. ثبت مجدد کلاینت در WSUS

reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientIdValidation /f
net stop wuauserv
net start wuauserv
wuauclt /resetauthorization /detectnow

---

جمع‌بندی

1. بررسی تنظیمات GPO در WSUS و اطمینان از اعمال آن روی کلاینت‌ها
2. بررسی مقدارهای Registry مربوط به WSUS در کلاینت
3. تست ارتباط شبکه‌ای کلاینت با WSUS
4. بررسی سرویس Windows Update و خطاهای مربوط به آن
5. پاک‌سازی کش Windows Update و ثبت مجدد کلاینت در WSUS
6. استفاده از PowerShell و Windows Update Client برای اجرای دستی به‌روزرسانی‌ها

با اجرای این مراحل، مشکلات عدم دریافت به‌روزرسانی از طریق GPO در WSUS برطرف خواهد شد.[/cdb_course_lesson][/cdb_course_lessons]

[cdb_course_lessons title=”بخش 4: امنیت و مدیریت پیشرفته WSUS”][cdb_course_lesson title=”فصل 1. پیاده‌سازی امنیت در WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اصول امنیتی در WSUS و نقش آن در مدیریت به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]امنیت در WSUS یکی از مهم‌ترین جنبه‌های مدیریت به‌روزرسانی‌ها است. بدون اجرای سیاست‌های امنیتی مناسب، سرور WSUS می‌تواند هدف حملات سایبری قرار گیرد یا به‌عنوان یک نقطه ضعف در شبکه سازمان عمل کند. در این بخش، اصول امنیتی کلیدی در WSUS و نقش آن‌ها در مدیریت به‌روزرسانی‌ها را بررسی می‌کنیم.

---

۱. اهمیت امنیت در WSUS

WSUS به‌عنوان یک مخزن مرکزی برای توزیع به‌روزرسانی‌های مایکروسافت در شبکه سازمانی عمل می‌کند. اگر این سرور ایمن نباشد، تهدیداتی مانند موارد زیر ممکن است به وجود بیایند:

• تزریق به‌روزرسانی‌های مخرب: اگر یک مهاجم به سرور WSUS دسترسی پیدا کند، می‌تواند به‌روزرسانی‌های آلوده را به کلاینت‌ها ارسال کند.
• دسترسی غیرمجاز به تنظیمات به‌روزرسانی: تغییرات ناخواسته در تنظیمات می‌تواند باعث توزیع نادرست به‌روزرسانی‌ها شود.
• حملات Man-in-the-Middle (MITM): اگر ارتباط بین کلاینت‌ها و WSUS رمزگذاری نشده باشد، مهاجم می‌تواند به‌روزرسانی‌ها را تغییر دهد.
• مصرف پهنای باند و بار اضافی: یک سرور WSUS ناامن می‌تواند به‌صورت ناهماهنگ به‌روزرسانی‌ها را دانلود و توزیع کند و باعث کندی شبکه شود.

---

۲. اصول امنیتی در WSUS

۲.۱. به‌روزرسانی و ایمن‌سازی سیستم عامل و نرم‌افزارهای مرتبط

یکی از مهم‌ترین گام‌های امنیتی، به‌روزرسانی سیستم‌عامل و نرم‌افزارهای وابسته به WSUS است:

دستور به‌روزرسانی دستی در Windows Server:

sconfig

در پنجره باز شده گزینه ۶ (Download and Install Updates) را انتخاب کنید.

همچنین می‌توانید از PowerShell استفاده کنید:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

۲.۲. محدودسازی دسترسی‌ها (Least Privilege)

مدل حداقل دسترسی (Least Privilege) باید در مدیریت کاربران WSUS اعمال شود:

• حذف حساب‌های غیرضروری از گروه WSUS Administrators
• تنظیم Read-Only Access برای حساب‌های غیرمدیریتی
• استفاده از Role-Based Access Control (RBAC) در WSUS برای تفکیک وظایف

برای بررسی حساب‌های موجود در گروه WSUS Administrators از این دستور استفاده کنید:

Get-LocalGroupMember -Group "WSUS Administrators"

۲.۳. فعال‌سازی احراز هویت و کنترل دسترسی‌ها

پیکربندی احراز هویت و محدودسازی دسترسی‌ها برای امنیت بیشتر ضروری است.

• محدود کردن دسترسی از طریق Group Policy:

gpedit.msc

سپس مسیر زیر را دنبال کنید:

Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment

و دسترسی‌های غیرضروری را حذف کنید.

• فعال کردن احراز هویت NTLM:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "LmCompatibilityLevel" -Value 5

۲.۴. استفاده از SSL برای ارتباط ایمن

برای جلوگیری از حملات MITM، باید ارتباطات بین کلاینت‌ها و WSUS را رمزگذاری کنید. این کار با فعال‌سازی SSL انجام می‌شود. ابتدا گواهینامه SSL را نصب کنید:

دستور مشاهده گواهینامه‌های نصب‌شده:

Get-ChildItem -Path Cert:\LocalMachine\My

دستور تنظیم WSUS برای استفاده از HTTPS:

wsusutil configuressl <FQDN_of_WSUS_Server>

۲.۵. غیرفعال کردن HTTP و فعال‌سازی فقط HTTPS

بعد از پیکربندی SSL، باید اطمینان حاصل کنید که WSUS فقط از HTTPS استفاده می‌کند:

دستور حذف شنود HTTP در IIS:

Import-Module WebAdministration
Set-WebBinding -Name "WSUS Administration" -BindingInformation "*:8530:" -PropertyName "protocol" -Value "https"

۲.۶. استفاده از فایروال برای محدودسازی ارتباطات

برای افزایش امنیت، باید پورت‌های غیرضروری بسته شده و فقط پورت‌های مورد نیاز برای WSUS باز باشند.

پورت‌های مورد نیاز برای WSUS:

• TCP 8530 (اگر از HTTP استفاده شود)
• TCP 8531 (اگر از HTTPS استفاده شود)

دستور تنظیم فایروال برای WSUS:

New-NetFirewallRule -DisplayName "Allow WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow

۲.۷. پیکربندی Logging و Auditing برای بررسی تغییرات

فعال‌سازی Audit Logging باعث می‌شود تغییرات انجام‌شده در WSUS ثبت شوند و در صورت بروز مشکل، قابل بررسی باشند.

برای فعال‌سازی Logging در Event Viewer:

1. باز کردن Event Viewer با دستور:

eventvwr.msc

2. مسیر زیر را دنبال کنید:

Applications and Services Logs > Microsoft > Windows > WindowsUpdateClient

3. گزینه Enable Logging را فعال کنید.

---

جمع‌بندی

• امنیت WSUS یک بخش حیاتی در مدیریت به‌روزرسانی‌هاست که نیازمند رمزگذاری ارتباطات، کنترل دسترسی‌ها، استفاده از Least Privilege، و بررسی لاگ‌ها است.
• استفاده از HTTPS به‌جای HTTP، محدود کردن حساب‌های کاربری، و تنظیم فایروال از اصول امنیتی مهم هستند.
• پیکربندی مناسب Audit Logging به شناسایی تهدیدات و مشکلات امنیتی کمک می‌کند.
• اجرای تنظیمات امنیتی باعث می‌شود تا WSUS به‌عنوان یک بستر امن برای دریافت و توزیع به‌روزرسانی‌ها در شبکه سازمانی عمل کند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”” private_lesson=”true” title=”محدود سازی دسترسی‌ها بر اساس مدل Least Privilege” subtitle=”توضیحات کامل”]مدل Least Privilege یا حداقل دسترسی ممکن یکی از اصول اساسی امنیت اطلاعات است که در WSUS نیز باید اعمال شود. این مدل تضمین می‌کند که کاربران و سرویس‌ها فقط به حداقل سطح دسترسی موردنیاز خود دسترسی داشته باشند و از هرگونه دسترسی غیرضروری جلوگیری شود. در این بخش، روش‌های اعمال Least Privilege در WSUS را بررسی می‌کنیم.

---

۱. اهمیت Least Privilege در WSUS

• جلوگیری از تغییرات غیرمجاز: تنها کاربران موردنیاز به تنظیمات WSUS دسترسی داشته باشند.
• کاهش سطح حمله (Attack Surface): جلوگیری از دسترسی غیرمجاز به پایگاه داده و تنظیمات حساس.
• افزایش امنیت کلاینت‌ها: کلاینت‌ها فقط باید مجوز دریافت به‌روزرسانی‌ها را داشته باشند، نه تغییر تنظیمات.
• پیشگیری از حملات داخلی و خارجی: کاربرانی که دسترسی غیرضروری دارند، می‌توانند باعث مشکلات امنیتی شوند.

---

۲. گروه‌های امنیتی پیش‌فرض در WSUS

WSUS دارای سه گروه امنیتی اصلی است که برای اعمال Least Privilege باید از آن‌ها به‌درستی استفاده کرد:

گروه امنیتی	سطح دسترسی
WSUS Administrators	مدیریت کامل WSUS، امکان تغییر تنظیمات، تأیید یا رد به‌روزرسانی‌ها
WSUS Reporters	فقط مشاهده گزارش‌ها و وضعیت به‌روزرسانی‌ها
WSUS Clients	فقط دریافت به‌روزرسانی‌ها، بدون امکان تغییر تنظیمات

بررسی اعضای گروه‌های WSUS در PowerShell:

Get-LocalGroupMember -Group "WSUS Administrators"
Get-LocalGroupMember -Group "WSUS Reporters"

---

۳. تنظیم دسترسی کاربران بر اساس Least Privilege

۳.۱. حذف حساب‌های غیرضروری از گروه WSUS Administrators

یکی از مهم‌ترین اقدامات امنیتی، کاهش تعداد کاربرانی است که در گروه WSUS Administrators عضو هستند. فقط افرادی که وظیفه مدیریت WSUS را دارند باید در این گروه باشند.

حذف یک کاربر از گروه WSUS Administrators:

Remove-LocalGroupMember -Group "WSUS Administrators" -Member "UserName"

۳.۲. اعطای دسترسی فقط به کاربران موردنیاز

به جای دادن دسترسی مدیر به همه کاربران، می‌توان دسترسی فقط به مشاهده گزارش‌ها را به کاربران مشخصی اعطا کرد.

افزودن کاربر به گروه WSUS Reporters:

Add-LocalGroupMember -Group "WSUS Reporters" -Member "UserName"

۳.۳. استفاده از Role-Based Access Control (RBAC)

RBAC در WSUS به شما اجازه می‌دهد که دسترسی‌ها را بر اساس نقش هر کاربر محدود کنید.

ایجاد یک گروه امنیتی جدید برای مشاهده گزارش‌ها:

New-ADGroup -Name "WSUS_Viewers" -GroupScope Global -GroupCategory Security

افزودن کاربران به این گروه:

Add-ADGroupMember -Identity "WSUS_Viewers" -Members "User1", "User2"

۳.۴. استفاده از Group Policy برای محدودسازی دسترسی به کنسول WSUS

با Group Policy (GPO) می‌توان مشخص کرد که فقط کاربران مجاز اجازه اجرای کنسول مدیریتی WSUS را داشته باشند.

مراحل انجام کار:

1. اجرای Group Policy Management با دستور:

   gpmc.msc
   

2. مسیر زیر را دنبال کنید:

   Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
   

3. در بخش Log on as a batch job و Log on as a service، فقط کاربران موردنیاز را اضافه کنید.
4. در مسیر:

   User Configuration > Administrative Templates > System
   

   گزینه “Don’t run specified Windows applications” را فعال کنید و MMC.exe را برای کاربران غیرمجاز بلاک کنید.

---

۴. محدود کردن دسترسی به دیتابیس WSUS

۴.۱. بررسی و محدودسازی دسترسی به پایگاه داده

WSUS می‌تواند از Windows Internal Database (WID) یا SQL Server استفاده کند. برای اطمینان از امنیت دیتابیس، فقط کاربران مجاز باید به آن دسترسی داشته باشند.

بررسی دسترسی به دیتابیس WSUS در WID:

Get-LocalGroupMember -Group "MSSQL$MICROSOFT##WID"

حذف کاربر غیرضروری از این گروه:

Remove-LocalGroupMember -Group "MSSQL$MICROSOFT##WID" -Member "UserName"

۴.۲. محدود کردن دسترسی به SQL Server

اگر از SQL Server استفاده می‌کنید، می‌توان با اجرای دستورات زیر فقط دسترسی‌های ضروری را نگه داشت.

مشاهده کاربران مجاز در SQL Server:

SELECT name, type_desc FROM sys.database_principals;

حذف یک کاربر از دیتابیس:

DROP USER [UserName];

---

۵. محدودسازی دسترسی‌های شبکه‌ای برای WSUS

۵.۱. تنظیم فایروال برای جلوگیری از دسترسی غیرمجاز

برای جلوگیری از دسترسی غیرمجاز به WSUS، باید فقط پورت‌های ضروری باز باشند.

اجازه دادن به ارتباطات فقط از سرورهای خاص (مثلاً DC و سرورهای مدیریتی):

New-NetFirewallRule -DisplayName "Allow WSUS from DC" -Direction Inbound -Protocol TCP -LocalPort 8531 -RemoteAddress <DC_IP> -Action Allow

۵.۲. غیرفعال کردن ریموت دسکتاپ برای کاربران غیرمجاز

برای افزایش امنیت، فقط مدیران WSUS باید به سرور WSUS از طریق RDP دسترسی داشته باشند.

بررسی کاربران دارای دسترسی به ریموت دسکتاپ:

Get-LocalGroupMember -Group "Remote Desktop Users"

حذف کاربران غیرمجاز از گروه:

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "UserName"

---

جمع‌بندی

• مدل Least Privilege باعث کاهش سطح حمله و افزایش امنیت WSUS می‌شود.
• دسترسی کاربران باید به حداقل مقدار لازم محدود شود.
• گروه‌های امنیتی پیش‌فرض WSUS (Administrators, Reporters, Clients) باید به‌درستی مدیریت شوند.
• با استفاده از Group Policy می‌توان اجرای کنسول WSUS را برای کاربران غیرمجاز مسدود کرد.
• دسترسی به پایگاه داده WSUS (WID یا SQL Server) باید به کاربران مجاز محدود شود.
• تنظیمات فایروال و کنترل دسترسی شبکه‌ای باید برای جلوگیری از حملات اجرا شوند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیم دسترسی‌های کاربران و گروه‌ها در WSUS” subtitle=”توضیحات کامل”]مدیریت دسترسی کاربران در WSUS یکی از مهم‌ترین اقدامات برای افزایش امنیت و جلوگیری از تغییرات غیرمجاز است. در این بخش، نحوه مدیریت دسترسی‌ها برای کاربران و گروه‌ها را بررسی خواهیم کرد.

---

۱. مفاهیم پایه دسترسی در WSUS

WSUS دارای سه گروه امنیتی اصلی است که نقش‌های مختلفی در مدیریت به‌روزرسانی‌ها ایفا می‌کنند:

گروه امنیتی	شرح وظایف و سطح دسترسی
WSUS Administrators	مدیریت کامل WSUS، امکان تأیید یا رد به‌روزرسانی‌ها، تغییر تنظیمات و مدیریت کلاینت‌ها
WSUS Reporters	مشاهده گزارش‌های WSUS بدون امکان اعمال تغییرات
WSUS Clients	دریافت به‌روزرسانی‌ها از سرور WSUS بدون دسترسی مدیریتی

✅ توصیه امنیتی: تنها کاربران موردنیاز باید در گروه WSUS Administrators باشند و سایر کاربران فقط باید نقش مشاهده‌گر (WSUS Reporters) یا کلاینت (WSUS Clients) را داشته باشند.

---

۲. بررسی کاربران و گروه‌های WSUS

۲.۱. بررسی اعضای گروه‌های امنیتی در PowerShell

مشاهده اعضای گروه WSUS Administrators:

Get-LocalGroupMember -Group "WSUS Administrators"

مشاهده اعضای گروه WSUS Reporters:

Get-LocalGroupMember -Group "WSUS Reporters"

۲.۲. مشاهده مجوزهای فایل‌ها و پوشه‌های WSUS

icacls "C:\Program Files\Update Services"  

خروجی این دستور سطح دسترسی‌های فایل‌های WSUS را نمایش می‌دهد.

---

۳. اضافه یا حذف کاربران در گروه‌های WSUS

۳.۱. اضافه کردن کاربر به گروه WSUS Administrators

Add-LocalGroupMember -Group "WSUS Administrators" -Member "AdminUser"

۳.۲. اضافه کردن کاربر به گروه WSUS Reporters

Add-LocalGroupMember -Group "WSUS Reporters" -Member "User1"

۳.۳. حذف کاربر از گروه WSUS Administrators

Remove-LocalGroupMember -Group "WSUS Administrators" -Member "UserToRemove"

۳.۴. ایجاد یک گروه امنیتی Active Directory برای مشاهده گزارش‌های WSUS

اگر از Active Directory استفاده می‌کنید، می‌توان یک گروه امنیتی برای مشاهده گزارش‌های WSUS ایجاد کرد:

New-ADGroup -Name "WSUS_Viewers" -GroupScope Global -GroupCategory Security

افزودن کاربران به این گروه:

Add-ADGroupMember -Identity "WSUS_Viewers" -Members "User1", "User2"

---

۴. اعمال دسترسی کاربران از طریق Group Policy

با Group Policy (GPO) می‌توان اجرای کنسول WSUS را برای کاربران غیرمجاز محدود کرد.

۴.۱. مسدود کردن اجرای MMC برای کاربران غیرمجاز

1. اجرای Group Policy Management:

   gpmc.msc
   

2. رفتن به مسیر:

   User Configuration > Administrative Templates > System
   

3. فعال کردن گزینه “Don’t run specified Windows applications” و اضافه کردن MMC.exe برای کاربران غیرمجاز.

۴.۲. اعمال محدودیت در سطح دسترسی به کنسول WSUS

مسیر زیر را دنبال کنید:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment

✅ گزینه‌هایی مانند “Log on as a batch job” و “Log on as a service” را فقط به کاربران مجاز اختصاص دهید.

---

۵. مدیریت دسترسی به پایگاه داده WSUS

WSUS از Windows Internal Database (WID) یا SQL Server استفاده می‌کند. تنظیم دسترسی‌ها در سطح دیتابیس نیز اهمیت زیادی دارد.

۵.۱. بررسی کاربران دارای دسترسی به دیتابیس WSUS

اگر از WID استفاده می‌کنید:

Get-LocalGroupMember -Group "MSSQL$MICROSOFT##WID"

اگر از SQL Server استفاده می‌کنید:

SELECT name, type_desc FROM sys.database_principals;

۵.۲. حذف کاربران غیرضروری از دیتابیس WSUS

در Windows Internal Database (WID):

Remove-LocalGroupMember -Group "MSSQL$MICROSOFT##WID" -Member "UserToRemove"

در SQL Server:

DROP USER [UserName];

---

۶. محدودسازی دسترسی‌های شبکه‌ای برای WSUS

۶.۱. بستن پورت‌های غیرضروری در فایروال

برای افزایش امنیت، فقط باید پورت‌های 8530 (HTTP) و 8531 (HTTPS) باز باشند.

New-NetFirewallRule -DisplayName "Allow WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 8531 -Action Allow

✅ می‌توان ارتباطات را فقط به سرورهای خاص محدود کرد:

New-NetFirewallRule -DisplayName "Allow WSUS from DC" -Direction Inbound -Protocol TCP -LocalPort 8531 -RemoteAddress <DC_IP> -Action Allow

۶.۲. مسدود کردن دسترسی ریموت دسکتاپ به WSUS برای کاربران غیرمجاز

مشاهده کاربران دارای دسترسی به Remote Desktop:

Get-LocalGroupMember -Group "Remote Desktop Users"

حذف کاربران غیرمجاز:

Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "UserToRemove"

---

جمع‌بندی

1. دسترسی‌ها را فقط به کاربران ضروری محدود کنید.
2. اعضای گروه‌های امنیتی WSUS را به‌طور مرتب بررسی و مدیریت کنید.
3. با استفاده از Group Policy، دسترسی به کنسول مدیریتی WSUS را کنترل کنید.
4. تنظیمات سطح دسترسی به دیتابیس WSUS (WID یا SQL Server) را مدیریت کنید.
5. محدودیت‌های فایروال را اعمال کرده و فقط دسترسی‌های ضروری را باز نگه دارید.
6. دسترسی ریموت دسکتاپ به سرور WSUS را به کاربران مجاز محدود کنید.

 [/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی تهدیدات امنیتی رایج در سرور WSUS” subtitle=”توضیحات کامل”]WSUS به‌عنوان یکی از اجزای مهم در مدیریت به‌روزرسانی‌های ویندوز، نیازمند محافظت در برابر تهدیدات امنیتی است. مهاجمان می‌توانند از پیکربندی‌های نادرست WSUS برای اجرای حملات سایبری استفاده کنند. در این بخش، تهدیدات امنیتی رایج در WSUS و راهکارهای مقابله با آن‌ها بررسی می‌شود.

---

۱. حملات Man-in-the-Middle (MiTM) بر روی ارتباطات WSUS

مشکل:

ارتباطات پیش‌فرض WSUS روی HTTP (پورت 8530) انجام می‌شود که رمزگذاری نشده است. مهاجمان می‌توانند با شنود ترافیک بین کلاینت‌ها و WSUS، به‌روزرسانی‌های جعلی ارسال کنند و بدافزار را در شبکه توزیع نمایند.

راهکار:

✅ استفاده از HTTPS برای رمزگذاری ارتباطات WSUS
WSUS باید از SSL/TLS برای ارتباط امن استفاده کند. می‌توان این کار را با تنظیم HTTPS روی پورت 8531 انجام داد.

مراحل فعال‌سازی HTTPS در WSUS:

1. ایجاد یک گواهینامه SSL معتبر
2. پیکربندی IIS برای استفاده از HTTPS
3. ویرایش کلاینت‌ها برای ارتباط امن با WSUS

برای راه‌اندازی SSL در WSUS، دستور زیر را در PowerShell اجرا کنید:

New-SelfSignedCertificate -DnsName "wsus.domain.com" -CertStoreLocation "Cert:\LocalMachine\My"

سپس این گواهینامه را در IIS تنظیم کرده و کلاینت‌ها را برای استفاده از HTTPS پیکربندی کنید.

---

۲. حملات جعل به‌روزرسانی (Fake Updates)

مشکل:

اگر WSUS به‌درستی ایمن نشده باشد، مهاجمان می‌توانند با آپلود به‌روزرسانی‌های آلوده، بدافزار را روی کلاینت‌های شبکه منتشر کنند.

راهکار:

✅ فعال‌سازی گزینه “Require SSL for WSUS” و امضای دیجیتالی به‌روزرسانی‌ها

بررسی فعال بودن امضای دیجیتالی برای به‌روزرسانی‌ها:

Get-WsusServer | Select-Object UseReplica

✅ به‌روزرسانی‌های WSUS باید فقط از سرورهای رسمی مایکروسافت دانلود شوند.

برای اطمینان از صحت منبع به‌روزرسانی‌ها، تنظیمات زیر را در GPO بررسی کنید:

Computer Configuration > Administrative Templates > Windows Components > Windows Update > Specify intranet Microsoft update service location

مقدار این تنظیم باید فقط شامل آدرس رسمی WSUS باشد.

---

۳. حملات تزریق SQL در پایگاه داده WSUS

مشکل:

اگر مهاجمان بتوانند به پایگاه داده WSUS دسترسی پیدا کنند، ممکن است از حملات SQL Injection برای تغییر داده‌های WSUS استفاده کنند.

راهکار:

✅ محدود کردن دسترسی کاربران به دیتابیس WSUS

Get-LocalGroupMember -Group "MSSQL$MICROSOFT##WID"

✅ به‌روزرسانی مرتب پایگاه داده و ایمن‌سازی SQL Server

ALTER DATABASE SUSDB SET READ_COMMITTED_SNAPSHOT ON;

✅ عدم استفاده از حساب‌های کاربری با سطح دسترسی بالا برای اتصال به دیتابیس WSUS

---

۴. حملات Ransomware بر روی سرور WSUS

مشکل:

اگر WSUS در برابر باج‌افزارها ایمن نباشد، ممکن است مهاجمان با رمزگذاری داده‌های WSUS، از مدیر شبکه درخواست باج کنند.

راهکار:

✅ فعال‌سازی Windows Defender و پیکربندی Security Baseline

Set-MpPreference -DisableRealtimeMonitoring $false

✅ غیرفعال‌سازی SMBv1 برای جلوگیری از حملات WannaCry

Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

✅ ایجاد نسخه‌های پشتیبان از دیتابیس WSUS و تنظیم نقاط بازیابی سیستم

wbadmin start backup -backupTarget:D:\Backup -include:C:\WSUS -quiet

---

۵. حملات Brute Force بر روی کنسول WSUS

مشکل:

مهاجمان می‌توانند با حملات Brute Force رمز عبور حساب مدیر WSUS را حدس بزنند و کنترل کامل آن را به دست آورند.

راهکار:

✅ فعال‌سازی Account Lockout Policy برای جلوگیری از حدس مکرر رمز عبور

net accounts /lockoutthreshold:5
net accounts /lockoutduration:30

✅ استفاده از احراز هویت چندمرحله‌ای (MFA) برای دسترسی به WSUS
✅ استفاده از رمزهای عبور قوی و تغییر دوره‌ای آن‌ها

---

۶. حملات داخلی (Insider Threats)

مشکل:

کاربران داخلی که دسترسی مدیریتی به WSUS دارند، ممکن است به‌صورت عمدی یا تصادفی تنظیمات آن را تغییر دهند و به‌روزرسانی‌های حیاتی را غیرفعال کنند.

راهکار:

✅ استفاده از Role-Based Access Control (RBAC) برای محدود کردن سطح دسترسی کاربران
✅ مانیتورینگ تغییرات اعمال‌شده در WSUS

wevtutil qe "Microsoft-Windows-WindowsUpdateClient/Operational" /f:text /rd:true

✅ اعمال سیاست Least Privilege برای کاربران WSUS

---

۷. حملات DoS/DDoS علیه WSUS

مشکل:

مهاجمان ممکن است با ارسال درخواست‌های متعدد به WSUS، باعث مصرف بیش‌ازحد منابع و ازکارافتادن سرور شوند.

راهکار:

✅ محدود کردن تعداد کلاینت‌هایی که می‌توانند به WSUS متصل شوند

Set-WsusServerConfiguration -MaxHttpConnections 100

✅ فعال‌سازی فایروال برای جلوگیری از درخواست‌های غیرمجاز

New-NetFirewallRule -DisplayName "Block Untrusted WSUS Requests" -Direction Inbound -Action Block -RemoteAddress Any

---

جمع‌بندی

1. حملات MiTM را با استفاده از HTTPS کاهش دهید.
2. فقط به‌روزرسانی‌های معتبر را از سرورهای مایکروسافت دریافت کنید.
3. دسترسی به پایگاه داده WSUS را محدود کرده و تنظیمات امنیتی SQL را بررسی کنید.
4. از حملات Ransomware با تنظیم Windows Defender و پشتیبان‌گیری منظم جلوگیری کنید.
5. حملات Brute Force را با فعال‌سازی Account Lockout Policy مسدود کنید.
6. سطح دسترسی کاربران را محدود کرده و تغییرات اعمال‌شده در WSUS را نظارت کنید.
7. در برابر حملات DoS/DDoS، تعداد کانکشن‌های WSUS را محدود کنید و از فایروال استفاده نمایید.

✅ با پیاده‌سازی این راهکارها، می‌توان امنیت سرور WSUS را به شکل قابل‌توجهی افزایش داد و از تهدیدات رایج جلوگیری کرد.[/cdb_course_lesson][cdb_course_lesson title=”فصل ۲. مدیریت دسترسی کاربران به WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ایجاد و مدیریت کاربران و گروه‌های امنیتی در WSUS” subtitle=”توضیحات کامل”]یکی از اقدامات مهم در افزایش امنیت WSUS، مدیریت صحیح کاربران و گروه‌های امنیتی است. تخصیص دسترسی مناسب به کاربران باعث جلوگیری از حملات داخلی، کاهش خطاهای انسانی و افزایش امنیت کلی WSUS می‌شود. در این بخش، نحوه ایجاد و مدیریت کاربران و گروه‌های امنیتی در WSUS بررسی می‌شود.

---

۱. گروه‌های امنیتی پیش‌فرض در WSUS

WSUS از مدل نقش‌محور (RBAC) برای مدیریت دسترسی‌ها استفاده نمی‌کند، اما می‌توان با ایجاد گروه‌های امنیتی در Active Directory (AD) یا Local Users and Groups، سطح دسترسی‌ها را مدیریت کرد. برخی از گروه‌های امنیتی مرتبط شامل موارد زیر هستند:

گروه امنیتی	سطح دسترسی	توضیحات
WSUS Administrators	مدیریت کامل	امکان تغییر تنظیمات، تأیید به‌روزرسانی‌ها و مدیریت کلاینت‌ها
WSUS Reporters	فقط مشاهده و گزارش‌گیری	مشاهده وضعیت به‌روزرسانی‌ها و اجرای گزارش‌ها بدون توانایی تغییر
WSUS Read-Only Users	فقط مشاهده	کاربران با این سطح دسترسی نمی‌توانند تغییری در WSUS اعمال کنند
WSUS Update Managers	مدیریت به‌روزرسانی‌ها	تأیید یا رد به‌روزرسانی‌ها بدون دسترسی به تنظیمات اصلی

---

۲. ایجاد کاربران و گروه‌های امنیتی در ویندوز سرور

ایجاد یک کاربر جدید برای WSUS در سرور

اگر WSUS در یک محیط Workgroup اجرا می‌شود، باید کاربران را به‌صورت محلی ایجاد کنید:

New-LocalUser -Name "WSUSManager" -Password (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) -FullName "WSUS Manager" -Description "User for managing WSUS"

✅ این کاربر را به گروه WSUS Administrators اضافه کنید:

Add-LocalGroupMember -Group "WSUS Administrators" -Member "WSUSManager"

ایجاد یک گروه امنیتی جدید در Active Directory

اگر WSUS در یک دامین اجرا می‌شود، باید گروه‌های امنیتی را در Active Directory ایجاد کنید:

New-ADGroup -Name "WSUS Update Managers" -GroupScope Global -GroupCategory Security

✅ اضافه کردن کاربر به گروه موردنظر در دامین:

Add-ADGroupMember -Identity "WSUS Update Managers" -Members "WSUSManager"

---

۳. اختصاص دسترسی‌ها در WSUS

تنظیم سطح دسترسی برای کاربران در کنسول WSUS

۱. کنسول WSUS را باز کنید:
Start > Administrative Tools > Windows Server Update Services
۲. در پنل Options، روی WSUS Server Security کلیک کنید.
۳. در بخش Permissions، کاربر یا گروه موردنظر را انتخاب کرده و سطح دسترسی را تنظیم کنید.

✅ برای اختصاص دسترسی Read-Only به کاربران WSUS:

icacls "C:\Program Files\Update Services" /grant WSUSReadOnlyUsers:(R)

---

۴. اعمال سیاست Least Privilege در WSUS

محدود کردن دسترسی کاربران به حداقل موردنیاز

✅ بررسی اعضای گروه WSUS Administrators و حذف کاربران غیرمجاز:

Get-LocalGroupMember -Group "WSUS Administrators"

✅ حذف کاربر از گروه Administrators در صورت عدم نیاز:

Remove-LocalGroupMember -Group "WSUS Administrators" -Member "UnwantedUser"

ایجاد سیاست‌های امنیتی برای کنترل دسترسی‌ها

✅ جلوگیری از اجرای تغییرات توسط کاربران غیرمجاز با استفاده از Group Policy:

New-GPO -Name "WSUS Security Policy"
Set-GPLink -Name "WSUS Security Policy" -Target "OU=WSUS,DC=domain,DC=com"

✅ غیرفعال کردن دسترسی کاربران عادی به تنظیمات WSUS در Group Policy:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment

🔹 تنظیم Deny log on locally برای کاربران غیرمجاز

---

۵. نظارت و گزارش‌گیری از دسترسی‌های کاربران

بررسی ورود کاربران به کنسول WSUS

✅ مشاهده کاربران متصل‌شده به WSUS:

Get-WinEvent -LogName "Security" | Where-Object { $_.Id -eq 4624 }

✅ بررسی تغییرات اعمال‌شده در WSUS توسط کاربران:

wevtutil qe "Microsoft-Windows-WindowsUpdateClient/Operational" /f:text /rd:true

فعال‌سازی لاگ‌گیری برای فعالیت‌های کاربران

✅ فعال‌سازی لاگ‌گیری در WSUS برای نظارت بر تغییرات کاربران:

auditpol /set /subcategory:"Policy Change" /success:enable /failure:enable

---

جمع‌بندی

1. کاربران و گروه‌های امنیتی WSUS را تعریف کنید و فقط دسترسی‌های لازم را به آن‌ها بدهید.
2. از Least Privilege استفاده کنید و دسترسی‌های اضافی را حذف نمایید.
3. از Group Policy برای کنترل دسترسی‌ها استفاده کنید و تنظیمات امنیتی را اعمال نمایید.
4. دسترسی کاربران به پوشه‌ها و فایل‌های حساس WSUS را محدود کنید.
5. فعالیت‌های کاربران را نظارت کنید و لاگ‌های امنیتی را بررسی نمایید.

✅ با رعایت این اصول، امنیت WSUS افزایش یافته و از دسترسی‌های غیرمجاز جلوگیری خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از Role-Based Access Control (RBAC) در WSUS” subtitle=”توضیحات کامل”]مدیریت نقش‌محور (RBAC) یک مدل امنیتی است که سطح دسترسی کاربران را بر اساس نقش آن‌ها در سیستم تعیین می‌کند. این روش باعث می‌شود کاربران فقط به بخش‌هایی از WSUS دسترسی داشته باشند که برای انجام وظایفشان لازم است.

WSUS به‌طور پیش‌فرض دارای یک مدل دسترسی کامل یا بدون دسترسی است و از RBAC به‌صورت بومی پشتیبانی نمی‌کند. اما با ترکیب Active Directory Security Groups، Group Policy و Folder Permissions می‌توان مدلی شبیه به RBAC را در WSUS پیاده‌سازی کرد.

---

۱. تعریف نقش‌های امنیتی برای WSUS

برای کنترل دسترسی‌ها در WSUS، می‌توان نقش‌های امنیتی (Security Roles) زیر را تعریف کرد:

نقش امنیتی	دسترسی	گروه AD پیشنهادی
WSUS Administrator	مدیریت کامل WSUS	WSUS Admins
WSUS Update Manager	تأیید و رد به‌روزرسانی‌ها	WSUS Update Managers
WSUS Report Viewer	مشاهده گزارش‌ها	WSUS Report Viewers
WSUS Read-Only User	فقط مشاهده تنظیمات	WSUS Read-Only Users

---

۲. ایجاد گروه‌های امنیتی در Active Directory برای RBAC

✅ ایجاد گروه‌های امنیتی برای هر نقش در Active Directory:

New-ADGroup -Name "WSUS Admins" -GroupScope Global -GroupCategory Security
New-ADGroup -Name "WSUS Update Managers" -GroupScope Global -GroupCategory Security
New-ADGroup -Name "WSUS Report Viewers" -GroupScope Global -GroupCategory Security
New-ADGroup -Name "WSUS Read-Only Users" -GroupScope Global -GroupCategory Security

✅ افزودن کاربران به گروه‌های امنیتی مشخص‌شده:

Add-ADGroupMember -Identity "WSUS Admins" -Members "AdminUser1","AdminUser2"
Add-ADGroupMember -Identity "WSUS Update Managers" -Members "UpdateUser1","UpdateUser2"
Add-ADGroupMember -Identity "WSUS Report Viewers" -Members "ReportUser1"
Add-ADGroupMember -Identity "WSUS Read-Only Users" -Members "ViewerUser1"

---

۳. تنظیم دسترسی‌های لازم برای هر نقش

الف) مدیریت دسترسی به پوشه‌های WSUS

به‌منظور محدود کردن سطح دسترسی کاربران، باید مجوزهای لازم را روی پوشه‌های مربوط به WSUS تنظیم کنید:

✅ اعمال دسترسی به WSUS Admins (مدیریت کامل)

icacls "C:\Program Files\Update Services" /grant "WSUS Admins:(F)"

✅ اعمال دسترسی به WSUS Update Managers (مدیریت به‌روزرسانی‌ها)

icacls "C:\Program Files\Update Services" /grant "WSUS Update Managers:(M)"

✅ اعمال دسترسی به WSUS Report Viewers (فقط مشاهده گزارش‌ها)

icacls "C:\Program Files\Update Services\LogFiles" /grant "WSUS Report Viewers:(R)"

✅ اعمال دسترسی به WSUS Read-Only Users (فقط مشاهده تنظیمات)

icacls "C:\Program Files\Update Services" /grant "WSUS Read-Only Users:(R)"

---

ب) تنظیم سطح دسترسی در کنسول WSUS

۱. کنسول WSUS را باز کنید:
Start > Administrative Tools > Windows Server Update Services
۲. به مسیر Options > WSUS Server Security بروید.
۳. کاربران و گروه‌های امنیتی را اضافه کنید و سطح دسترسی آن‌ها را مشخص کنید.

✅ برای WSUS Read-Only Users که فقط باید گزارش‌ها را مشاهده کنند:

icacls "C:\Program Files\Update Services" /grant "WSUS Read-Only Users:(R)"

---

ج) محدود کردن دسترسی به تنظیمات WSUS در Group Policy

✅ برای جلوگیری از تغییرات غیرمجاز توسط کاربران غیرمجاز، Group Policy را پیکربندی کنید:

1. در Group Policy Management، یک GPO جدید برای امنیت WSUS ایجاد کنید.
2. مسیر زیر را تنظیم کنید:

   Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
   

3. تنظیمات زیر را اعمال کنید:
   • Deny log on locally: برای کاربران غیرمجاز
   • Allow log on locally: برای گروه WSUS Admins

✅ اجرای GPO برای محدود کردن تغییرات:

gpupdate /force

---

۴. نظارت و بررسی دسترسی کاربران

✅ مشاهده کاربران عضو گروه‌های امنیتی WSUS:

Get-ADGroupMember -Identity "WSUS Admins"

✅ بررسی لاگ‌های امنیتی برای تغییرات انجام‌شده در WSUS:

Get-WinEvent -LogName "Security" | Where-Object { $_.Id -eq 4624 }

✅ فعال‌سازی لاگ‌های بررسی تغییرات در WSUS:

auditpol /set /subcategory:"Policy Change" /success:enable /failure:enable

---

جمع‌بندی

1. RBAC را به‌صورت دستی با گروه‌های امنیتی Active Directory و مجوزهای فایل پیاده‌سازی کنید.
2. کاربران را بر اساس نقش‌های مشخص‌شده (Administrator, Update Manager, Report Viewer, Read-Only) مدیریت کنید.
3. از تنظیمات امنیتی روی پوشه‌های WSUS و کنسول مدیریتی برای کنترل دسترسی استفاده کنید.
4. با استفاده از Group Policy، تغییرات ناخواسته را مسدود کنید.
5. لاگ‌های امنیتی را فعال کنید تا تغییرات انجام‌شده توسط کاربران را نظارت کنید.

✅ با پیاده‌سازی این ساختار، امنیت و مدیریت دسترسی در WSUS بهینه خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”کنترل سطح دسترسی کاربران به کنسول WSUS” subtitle=”توضیحات کامل”]برای کنترل سطح دسترسی کاربران به کنسول WSUS، باید از ترکیبی از مجوزهای دسترسی به پوشه‌های سیستم، گروه‌های امنیتی Active Directory، Group Policy و تنظیمات کنسول WSUS استفاده شود. این روش باعث می‌شود که کاربران فقط به بخش‌هایی از WSUS که برای انجام وظایفشان نیاز دارند دسترسی داشته باشند.

---

۱. ایجاد گروه‌های امنیتی برای مدیریت سطح دسترسی

WSUS به‌طور پیش‌فرض، سطح دسترسی خاصی برای کاربران ارائه نمی‌دهد. برای پیاده‌سازی مدل دسترسی محدود (Least Privilege Access)، گروه‌های امنیتی جداگانه‌ای در Active Directory ایجاد کنید.

✅ ایجاد گروه‌های امنیتی در Active Directory:

New-ADGroup -Name "WSUS Admins" -GroupScope Global -GroupCategory Security
New-ADGroup -Name "WSUS Update Managers" -GroupScope Global -GroupCategory Security
New-ADGroup -Name "WSUS Read-Only Users" -GroupScope Global -GroupCategory Security

✅ افزودن کاربران به گروه‌های امنیتی مشخص‌شده:

Add-ADGroupMember -Identity "WSUS Admins" -Members "AdminUser1","AdminUser2"
Add-ADGroupMember -Identity "WSUS Update Managers" -Members "UpdateUser1","UpdateUser2"
Add-ADGroupMember -Identity "WSUS Read-Only Users" -Members "ViewerUser1"

---

۲. تنظیم مجوزهای دسترسی به کنسول WSUS

✅ دسترسی کامل به کنسول WSUS برای مدیران:

icacls "C:\Program Files\Update Services" /grant "WSUS Admins:(F)"

✅ دسترسی محدود برای مدیران به‌روزرسانی:

icacls "C:\Program Files\Update Services" /grant "WSUS Update Managers:(M)"

✅ دسترسی فقط خواندنی برای کاربران مشاهده‌کننده:

icacls "C:\Program Files\Update Services" /grant "WSUS Read-Only Users:(R)"

---

۳. محدود کردن دسترسی کاربران به کنسول WSUS با Group Policy

برای جلوگیری از اجرای WSUS MMC Console توسط کاربران غیرمجاز، می‌توان از Group Policy Object (GPO) استفاده کرد.

✅ مراحل تنظیم GPO برای مسدود کردن اجرای کنسول WSUS برای کاربران غیرمجاز:

1. باز کردن Group Policy Management:

   Start > Run > gpedit.msc
   

2. ایجاد یک GPO جدید یا ویرایش یک GPO موجود:

   Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
   

3. محدود کردن اجرای WSUS MMC Console:

   User Configuration > Administrative Templates > System > Don't run specified Windows applications
   

   • مقدار mmc.exe را اضافه کنید تا اجرای WSUS MMC برای کاربران غیرمجاز مسدود شود.
   • این محدودیت را فقط برای کاربران WSUS Read-Only Users اعمال کنید.

✅ اجرای Group Policy روی کلاینت‌ها:

gpupdate /force

✅ بررسی اعمال شدن تنظیمات GPO:

gpresult /r

---

۴. مدیریت دسترسی به پایگاه داده WSUS

برای اطمینان از این‌که کاربران غیرمجاز نمی‌توانند تغییراتی در پایگاه داده WSUS ایجاد کنند، باید مجوزهای SQL Server یا Windows Internal Database (WID) را تنظیم کنید.

✅ مشاهده کاربران مجاز در دیتابیس WSUS:

USE SUSDB;
SELECT loginname FROM sys.syslogins;

✅ افزودن کاربر مجاز به دیتابیس WSUS:

USE SUSDB;
CREATE USER [WSUS Update Managers] FOR LOGIN [WSUS Update Managers];
ALTER ROLE db_datareader ADD MEMBER [WSUS Read-Only Users];

✅ مسدود کردن کاربران غیرمجاز در دیتابیس WSUS:

REVOKE CONNECT TO [UnauthorizedUser];

---

۵. فعال‌سازی Auditing برای بررسی تغییرات غیرمجاز

✅ فعال کردن لاگ‌های امنیتی برای تغییرات در WSUS:

auditpol /set /subcategory:"Policy Change" /success:enable /failure:enable

✅ مشاهده تغییرات انجام‌شده توسط کاربران:

Get-WinEvent -LogName "Security" | Where-Object { $_.Id -eq 4624 }

---

جمع‌بندی

1. گروه‌های امنیتی Active Directory را برای مدیریت نقش‌های WSUS ایجاد کنید.
2. دسترسی به فایل‌های مربوط به WSUS را برای گروه‌های امنیتی مختلف تنظیم کنید.
3. با استفاده از Group Policy، کاربران غیرمجاز را از اجرای کنسول WSUS مسدود کنید.
4. دسترسی کاربران به پایگاه داده WSUS را کنترل کرده و از تغییرات غیرمجاز جلوگیری کنید.
5. از Auditing برای نظارت بر فعالیت‌های کاربران در WSUS استفاده کنید.

✅ با این روش، کاربران فقط به بخش‌هایی از کنسول WSUS که نیاز دارند دسترسی خواهند داشت و تغییرات غیرمجاز کنترل می‌شود.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اعمال محدودیت‌های امنیتی برای جلوگیری از تغییرات ناخواسته” subtitle=”توضیحات کامل”]برای جلوگیری از تغییرات ناخواسته در WSUS، باید محدودیت‌های امنیتی را در بخش‌های مختلفی از سرور WSUS، دیتابیس، کنسول مدیریتی و کلاینت‌ها اعمال کرد. این کار باعث می‌شود که فقط کاربران مجاز بتوانند به تنظیمات حیاتی WSUS دسترسی داشته باشند و از تغییرات ناخواسته جلوگیری شود.

---

۱. اعمال مجوزهای امنیتی (NTFS Permissions) روی فایل‌های WSUS

WSUS فایل‌های به‌روزرسانی و تنظیمات مربوط به خود را در مسیرهای مشخصی ذخیره می‌کند. برای جلوگیری از تغییرات ناخواسته، باید دسترسی کاربران را روی این مسیرها محدود کنیم.

✅ مسیرهای حساس WSUS و تنظیم مجوزهای امنیتی:

• مسیر نصب WSUS: C:\Program Files\Update Services\
• مسیر دانلود به‌روزرسانی‌ها: C:\WSUS\WsusContent\
• مسیر لاگ‌های WSUS: C:\Program Files\Update Services\LogFiles\

✅ تنظیم مجوزهای امنیتی با PowerShell:

icacls "C:\Program Files\Update Services" /inheritance:r
icacls "C:\Program Files\Update Services" /grant "Administrators:F"
icacls "C:\Program Files\Update Services" /grant "WSUS Admins:M"
icacls "C:\Program Files\Update Services" /deny "Users:(CI)(OI)(W)"

🔹 توضیحات:

• Administrators → دسترسی کامل (Full Control)
• WSUS Admins → دسترسی مدیریتی (Modify)
• Users → عدم مجوز تغییر (Write Deny)

---

۲. تنظیم محدودیت‌های دسترسی به کنسول WSUS

باید تعیین کنیم چه کاربرانی به WSUS MMC Console دسترسی دارند. این کار را می‌توان با Group Policy و Role-Based Access Control (RBAC) انجام داد.

✅ محدود کردن دسترسی کاربران غیرمجاز به کنسول:

New-ADGroup -Name "WSUS Read-Only Users" -GroupScope Global -GroupCategory Security
Add-ADGroupMember -Identity "WSUS Read-Only Users" -Members "ViewerUser1"

✅ اعمال محدودیت‌های امنیتی با Group Policy:

1. باز کردن Group Policy Management
2. رفتن به مسیر:

   Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment
   

3. اضافه کردن کاربران فقط به WSUS Admins و WSUS Read-Only Users
4. برای جلوگیری از اجرای WSUS MMC برای کاربران غیرمجاز:

   User Configuration > Administrative Templates > System > Don't run specified Windows applications
   

   • مقدار mmc.exe را اضافه کنید.

✅ اعمال GPO روی کلاینت‌ها:

gpupdate /force

✅ بررسی تنظیمات اعمال‌شده:

gpresult /r

---

۳. محدود کردن دسترسی به پایگاه داده WSUS

✅ بررسی کاربران مجاز در دیتابیس WSUS:

USE SUSDB;
SELECT loginname FROM sys.syslogins;

✅ حذف دسترسی کاربران غیرمجاز به پایگاه داده:

REVOKE CONNECT TO [UnauthorizedUser];
DROP USER [UnauthorizedUser];

✅ ایجاد یک کاربر جدید فقط برای مشاهده اطلاعات:

USE SUSDB;
CREATE USER [WSUS_ReadOnly] FOR LOGIN [WSUS_ReadOnly];
ALTER ROLE db_datareader ADD MEMBER [WSUS_ReadOnly];

✅ مسدود کردن تغییرات در جداول حساس:

DENY INSERT, UPDATE, DELETE ON wsus_table TO WSUS_ReadOnly;

---

۴. فعال‌سازی Auditing برای نظارت بر تغییرات ناخواسته

✅ فعال کردن Audit برای تغییرات WSUS:

auditpol /set /subcategory:"Policy Change" /success:enable /failure:enable

✅ مشاهده تغییرات کاربران در لاگ‌های امنیتی:

Get-WinEvent -LogName "Security" | Where-Object { $_.Id -eq 4624 }

✅ بررسی تغییرات در تنظیمات WSUS با PowerShell:

Get-EventLog -LogName Application -Source "Windows Server Update Services"

---

۵. ایجاد سیاست‌های امنیتی در WSUS برای جلوگیری از تغییرات غیرمجاز

۱. غیرفعال کردن تأیید خودکار به‌روزرسانی‌ها:
✅ عدم تأیید خودکار به‌روزرسانی‌های جدید:

Set-WsusServerSynchronization -AutomaticApprovalRuleDisabled $true

۲. غیرفعال کردن حذف دستی به‌روزرسانی‌ها:
✅ مسدود کردن امکان حذف به‌روزرسانی‌ها:

Set-WsusServerSynchronization -DeclineExpiredUpdatesEnabled $false

۳. تنظیم محدودیت‌های Administrative Approval:
✅ فعال کردن نیاز به تأیید مدیریتی برای تمامی به‌روزرسانی‌ها:

Set-WsusServerSynchronization -RequireManualApproval $true

---

جمع‌بندی

1. محدودیت‌های امنیتی (NTFS Permissions) را روی مسیرهای حساس WSUS تنظیم کنید.
2. دسترسی به کنسول WSUS را با Group Policy و RBAC کنترل کنید.
3. دسترسی کاربران به پایگاه داده WSUS را محدود کنید و تغییرات ناخواسته را مسدود کنید.
4. از Auditing برای نظارت بر فعالیت‌های کاربران استفاده کنید.
5. تنظیمات WSUS را طوری پیکربندی کنید که تأیید و حذف به‌روزرسانی‌ها به‌صورت دستی انجام شود.

✅ با این روش، امکان تغییرات غیرمجاز در تنظیمات WSUS، پایگاه داده و فایل‌های سیستم کاهش می‌یابد و امنیت سرور WSUS افزایش پیدا می‌کند.[/cdb_course_lesson][cdb_course_lesson title=”فصل ۳. استفاده از SSL برای انتقال امن به‌روزرسانی‌ها”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اهمیت رمزگذاری ارتباطات WSUS” subtitle=”توضیحات کامل”]رمزگذاری ارتباطات در WSUS یکی از مهم‌ترین اقداماتی است که برای تأمین امنیت انتقال به‌روزرسانی‌ها در محیط سازمانی باید انجام شود. در حالت پیش‌فرض، WSUS از پروتکل HTTP برای ارتباطات بین سرور و کلاینت‌ها استفاده می‌کند که داده‌ها را به‌صورت رمزنگاری‌نشده منتقل می‌کند. این موضوع می‌تواند تهدیدات امنیتی مانند حملات Man-in-the-Middle (MITM) را افزایش دهد. در این بخش، به بررسی اهمیت رمزگذاری ارتباطات WSUS و راهکارهای پیاده‌سازی آن پرداخته می‌شود.

مزایای رمزگذاری ارتباطات در WSUS

۱. جلوگیری از شنود داده‌ها: با استفاده از پروتکل HTTPS، داده‌های انتقال‌یافته بین کلاینت‌ها و سرور رمزگذاری می‌شوند و امکان دسترسی غیرمجاز کاهش می‌یابد.
۲. محافظت در برابر حملات MITM: رمزگذاری ارتباطات از تغییر یا تزریق کدهای مخرب در هنگام انتقال داده جلوگیری می‌کند.
۳. افزایش امنیت احراز هویت: استفاده از SSL/TLS در WSUS موجب می‌شود تا ارتباطات تنها بین کلاینت‌های مجاز و سرور برقرار شود.
۴. تطابق با استانداردهای امنیتی: بسیاری از سازمان‌ها برای رعایت استانداردهای امنیتی مانند ISO 27001 و NIST نیاز به رمزگذاری ارتباطات دارند.
۵. حفظ یکپارچگی به‌روزرسانی‌ها: رمزگذاری مانع از تغییر غیرمجاز در بسته‌های به‌روزرسانی ارسال‌شده از سرور WSUS به کلاینت‌ها می‌شود.

مخاطرات استفاده از ارتباطات رمزنگاری‌نشده در WSUS

۱. افشای اطلاعات به‌روزرسانی‌ها: بدون رمزگذاری، امکان استخراج اطلاعات به‌روزرسانی‌های دانلودشده و حمله به نقاط ضعف سیستم وجود دارد.
2. امکان جعل بسته‌های به‌روزرسانی: مهاجمان می‌توانند بسته‌های مخرب را جایگزین به‌روزرسانی‌های رسمی کنند و امنیت شبکه را تهدید نمایند.
3. افزایش احتمال حملات Replay Attack: در صورت عدم رمزگذاری، امکان بازپخش (Replay) درخواست‌های مخرب برای ایجاد تغییرات ناخواسته وجود دارد.

راهکارهای پیاده‌سازی رمزگذاری در WSUS

برای افزایش امنیت WSUS، باید ارتباطات بین سرور WSUS و کلاینت‌ها از طریق پروتکل HTTPS انجام شود. این کار با پیکربندی SSL/TLS بر روی سرور امکان‌پذیر است. در بخش‌های بعدی، روش‌های عملی پیاده‌سازی HTTPS بر روی WSUS و پیکربندی کلاینت‌ها برای استفاده از این ارتباط امن بررسی خواهند شد.

جمع‌بندی

۱. استفاده از رمزگذاری ارتباطات در WSUS برای جلوگیری از حملات و تهدیدات امنیتی ضروری است.
۲. رمزگذاری با استفاده از SSL/TLS موجب افزایش امنیت، احراز هویت، و یکپارچگی به‌روزرسانی‌ها می‌شود.
۳. استفاده از HTTP در WSUS باعث ایجاد مخاطرات امنیتی مانند حملات شنود، جعل داده، و بازپخش درخواست‌ها خواهد شد.
۴. پیاده‌سازی HTTPS برای WSUS یک اقدام امنیتی مهم است که در بخش‌های بعدی نحوه انجام آن به‌صورت گرافیکی و کامندی توضیح داده خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی HTTPS برای WSUS” subtitle=”توضیحات کامل”]پیکربندی HTTPS برای WSUS یکی از مهم‌ترین اقدامات امنیتی است که از شنود داده‌ها، حملات MITM و تغییرات غیرمجاز در به‌روزرسانی‌ها جلوگیری می‌کند. در این بخش، نحوه پیاده‌سازی HTTPS بر روی WSUS را به دو روش گرافیکی و کامندی بررسی خواهیم کرد.

---

۱. پیش‌نیازهای پیکربندی HTTPS در WSUS

قبل از انجام پیکربندی، موارد زیر را بررسی کنید:

✅ نصب WSUS: اطمینان حاصل کنید که سرور WSUS از قبل نصب شده و به‌درستی پیکربندی شده است.
✅ داشتن گواهینامه SSL معتبر: یک گواهینامه معتبر از CA داخلی یا خارجی برای سرور تهیه کنید.
✅ دسترسی به IIS Manager: تنظیمات مربوط به HTTPS از طریق IIS انجام می‌شود.
✅ پورت ۴۴۳ باز باشد: فایروال سرور باید اجازه ترافیک HTTPS (پورت ۴۴۳) را بدهد.

---

۲. ایجاد و نصب گواهینامه SSL برای WSUS

روش گرافیکی (IIS Manager)

۱. باز کردن کنسول IIS Manager:

• در Run دستور inetmgr را وارد کنید و Enter بزنید.

۲. ایجاد یک درخواست گواهینامه (CSR):

• در پنل سمت چپ روی نام سرور کلیک کنید.
• در پنل Features View گزینه Server Certificates را انتخاب کنید.
• در قسمت Actions روی Create Certificate Request کلیک کنید.
• اطلاعات گواهینامه را وارد کنید (CN باید نام FQDN سرور WSUS باشد).
• الگوریتم SHA-256 و طول کلید 2048-bit را انتخاب کنید.
• فایل CSR را ذخیره کرده و به یک CA داخلی یا خارجی ارسال کنید.

۳. نصب گواهینامه صادرشده:

• در همان بخش Server Certificates روی Complete Certificate Request کلیک کنید.
• فایل گواهینامه صادرشده را انتخاب کرده و یک نام برای آن وارد کنید.
• پس از نصب، گواهینامه در لیست نمایش داده خواهد شد.

4. بایند کردن (Binding) گواهینامه به سایت WSUS در IIS:
   • در IIS Manager، به Sites > WSUS Administration بروید.
   • در قسمت Actions، روی Bindings کلیک کنید.
   • گزینه HTTPS را انتخاب کرده و Edit را بزنید.
   • گواهینامه نصب‌شده را انتخاب کرده و OK کنید.

---

روش کامندی (PowerShell)

۱. بررسی گواهینامه‌های نصب‌شده:

Get-ChildItem -Path Cert:\LocalMachine\My

۲. تنظیم بایندینگ HTTPS در IIS:

$cert = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -match "CN=WSUS_Server_FQDN" })
New-WebBinding -Name "WSUS Administration" -IPAddress "*" -Port 443 -Protocol https
Set-ItemProperty -Path "IIS:\Sites\WSUS Administration" -Name sslFlags -Value 1

۳. تأیید بایندینگ HTTPS:

Get-WebBinding -Name "WSUS Administration"

۴. باز کردن پورت HTTPS در فایروال:

New-NetFirewallRule -DisplayName "Allow WSUS HTTPS" -Direction Inbound -Protocol TCP -LocalPort 443 -Action Allow

---

۳. پیکربندی WSUS برای استفاده از HTTPS

روش گرافیکی (WSUS Console)

۱. باز کردن کنسول WSUS:

• در Run دستور wsusmsc را اجرا کنید.

۲. پیکربندی SSL در WSUS:

• در پنل سمت چپ، روی Options کلیک کنید.
• گزینه Update Source and Proxy Server را باز کنید.
• در تب Update Source گزینه Use SSL when synchronizing update information را فعال کنید.
• در قسمت Update Server، آدرس WSUS را با https:// وارد کنید، مانند:

  https://wsus.yourdomain.com:8531
  

• تنظیمات را ذخیره کنید و WSUS را ری‌استارت کنید.

---

روش کامندی (PowerShell)

# تنظیم پروتکل HTTPS برای WSUS
$wsus = Get-WsusServer -UseSsl -PortNumber 8531
$wsus.GetConfiguration().ServerSslCertificateName = "WSUS_Server_FQDN"
$wsus.Save()
Restart-Service WsusService

---

۴. پیکربندی کلاینت‌ها برای استفاده از HTTPS

بعد از پیکربندی سرور WSUS برای HTTPS، باید کلاینت‌ها را برای ارتباط امن تنظیم کنید.

روش گرافیکی (Group Policy – GPO)

۱. باز کردن Group Policy Management:

• در Run دستور gpedit.msc را اجرا کنید.

۲. پیکربندی سیاست‌های WSUS:

• مسیر زیر را باز کنید:

  Computer Configuration > Administrative Templates > Windows Components > Windows Update
  

• دو گزینه Specify intranet Microsoft update service location و Allow signed updates from an intranet Microsoft update service location را فعال کنید.
• مقدار WSUS server را به صورت زیر وارد کنید:

  https://wsus.yourdomain.com:8531
  

• تغییرات را ذخیره کنید و کلاینت‌ها را ریستارت کنید.

---

روش کامندی (Registry + PowerShell)

۱. پیکربندی دستی Registry برای HTTPS:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name "WUServer" -Value "https://wsus.yourdomain.com:8531"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name "WUStatusServer" -Value "https://wsus.yourdomain.com:8531"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" -Value 1
Restart-Service wuauserv

۲. بررسی اتصال کلاینت به WSUS:

wuauclt.exe /detectnow

Get-WindowsUpdateLog

---

۵. تأیید عملکرد HTTPS در WSUS

بررسی صحت تنظیمات در سرور:

netsh http show sslcert

Test-NetConnection -ComputerName wsus.yourdomain.com -Port 8531

بررسی ارتباط کلاینت با WSUS:

gpresult /h C:\GPO_Report.html

Get-WindowsUpdateLog

---

جمع‌بندی

۱. برای افزایش امنیت WSUS، باید از HTTPS برای ارتباطات استفاده شود.
۲. ابتدا گواهینامه SSL را دریافت و روی سرور نصب کنید.
۳. بایندینگ HTTPS را در IIS تنظیم کنید تا ارتباط امن برقرار شود.
۴. تنظیمات WSUS را برای استفاده از HTTPS پیکربندی کنید.
۵. کلاینت‌ها را به استفاده از HTTPS مجبور کنید (از طریق GPO یا Registry).
6. عملکرد HTTPS را بررسی کنید تا اطمینان حاصل شود که کلاینت‌ها به درستی به WSUS متصل شده‌اند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ایجاد و نصب گواهینامه SSL بر روی سرور WSUS” subtitle=”توضیحات کامل”]برای ایمن‌سازی ارتباطات WSUS و جلوگیری از حملاتی مانند Man-in-the-Middle (MITM)، ضروری است که یک گواهینامه SSL معتبر روی سرور نصب شود. در این بخش، نحوه ایجاد و نصب گواهینامه SSL را به روش‌های گرافیکی و کامندی بررسی خواهیم کرد.

---

۱. انتخاب نوع گواهینامه SSL

قبل از ایجاد گواهینامه، ابتدا باید مشخص کنید که از کدام نوع گواهینامه استفاده می‌کنید:

✅ گواهینامه صادرشده توسط CA داخلی (Enterprise CA): مناسب برای سازمان‌هایی که دارای Active Directory Certificate Services (AD CS) هستند.
✅ گواهینامه خریداری‌شده از CA خارجی: مناسب برای سناریوهایی که WSUS از طریق اینترنت نیز قابل‌دسترسی است.
✅ گواهینامه Self-Signed: تنها برای محیط‌های تستی مناسب است، زیرا کلاینت‌ها به آن اعتماد ندارند.

---

۲. ایجاد درخواست گواهینامه (CSR) در IIS

روش گرافیکی (IIS Manager)

۱. باز کردن IIS Manager:

• در Run دستور inetmgr را تایپ کنید و Enter بزنید.

۲. ایجاد درخواست گواهینامه:

• در پنل Connections روی نام سرور کلیک کنید.
• گزینه Server Certificates را از بخش Features View انتخاب کنید.
• در قسمت Actions روی Create Certificate Request کلیک کنید.
• اطلاعات موردنیاز را وارد کنید:
  • Common Name (CN): نام FQDN سرور WSUS (مثلاً wsus.example.com).
  • Organization (O): نام شرکت
  • Organizational Unit (OU): نام دپارتمان
  • City/Locality: شهر
  • State/Province: استان
  • Country: کد کشور (مثلاً IR برای ایران)
• در صفحه بعد، Cryptographic Service Provider را Microsoft RSA SChannel Cryptographic Provider و طول کلید را 2048-bit انتخاب کنید.
• فایل درخواست CSR را ذخیره کرده و به CA داخلی یا CA خارجی ارسال کنید.

---

روش کامندی (PowerShell)

۱. ایجاد فایل درخواست CSR:

$certRequest = New-SelfSignedCertificate -DnsName "wsus.example.com" -CertStoreLocation "Cert:\LocalMachine\My"
Export-Certificate -Cert $certRequest -FilePath "C:\WSUS_CSR.cer"

📌 این درخواست را برای صدور گواهینامه به CA ارسال کنید.

---

۳. نصب گواهینامه SSL در IIS

روش گرافیکی (IIS Manager)

۱. در IIS Manager به Server Certificates برگردید.
2. روی Complete Certificate Request کلیک کنید.
3. فایل گواهینامه صادرشده را انتخاب کرده و نامی برای آن وارد کنید.
4. روی OK کلیک کنید تا گواهینامه در سرور ثبت شود.

---

روش کامندی (PowerShell)

۱. نصب گواهینامه صادرشده:

Import-Certificate -FilePath "C:\WSUS_SSL.cer" -CertStoreLocation "Cert:\LocalMachine\My"

۲. نمایش لیست گواهینامه‌های نصب‌شده:

Get-ChildItem -Path Cert:\LocalMachine\My

---

۴. بایند کردن (Binding) گواهینامه به WSUS در IIS

روش گرافیکی (IIS Manager)

۱. به IIS Manager بروید.
۲. در Connections روی Sites > WSUS Administration کلیک کنید.
3. در قسمت Actions، روی Bindings کلیک کنید.
4. در پنجره بازشده، Add را بزنید.
5. در قسمت Type، گزینه HTTPS را انتخاب کنید.
6. گواهینامه نصب‌شده را انتخاب کنید و OK کنید.

---

روش کامندی (PowerShell)

۱. دریافت Thumbprint گواهینامه:

Get-ChildItem -Path Cert:\LocalMachine\My | Format-List Subject, Thumbprint

۲. تنظیم بایندینگ HTTPS در IIS:

$certThumbprint = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"  # مقدار Thumbprint را جایگزین کنید
netsh http add sslcert ipport=0.0.0.0:8531 certhash=$certThumbprint appid='{00112233-4455-6677-8899-AABBCCDDEEFF}'

۳. تأیید بایندینگ HTTPS:

netsh http show sslcert

---

۵. پیکربندی WSUS برای استفاده از HTTPS

روش گرافیکی (WSUS Console)

۱. کنسول WSUS (wsusmsc) را باز کنید.
۲. به Options > Update Source and Proxy Server بروید.
3. گزینه Use SSL when synchronizing update information را فعال کنید.
4. آدرس سرور را با https:// وارد کنید:

https://wsus.example.com:8531

5. تنظیمات را ذخیره کنید و WSUS را ری‌استارت کنید.

---

روش کامندی (PowerShell)

$wsus = Get-WsusServer -UseSsl -PortNumber 8531
$wsus.GetConfiguration().ServerSslCertificateName = "wsus.example.com"
$wsus.Save()
Restart-Service WsusService

---

۶. اطمینان از عملکرد صحیح HTTPS

بررسی تنظیمات سرور:

netsh http show sslcert
Test-NetConnection -ComputerName wsus.example.com -Port 8531

بررسی ارتباط کلاینت با WSUS:

gpresult /h C:\GPO_Report.html
Get-WindowsUpdateLog

---

جمع‌بندی

۱. ابتدا گواهینامه SSL را ایجاد کنید (از طریق CA داخلی، خارجی یا Self-Signed).
2. گواهینامه را روی سرور WSUS نصب کنید.
3. در IIS Manager بایندینگ HTTPS را برای WSUS Administration تنظیم کنید.
4. در WSUS Console، گزینه Use SSL را فعال کرده و آدرس را تغییر دهید.
5. کلاینت‌ها را مجبور به استفاده از HTTPS کنید و اتصال آن‌ها را بررسی کنید.
6. عملکرد صحیح را با ابزارهایی مانند netsh http show sslcert بررسی کنید.

در بخش بعدی، پیکربندی کلاینت‌ها برای ارتباط امن با WSUS و نحوه مدیریت و تمدید گواهینامه‌های SSL بررسی خواهد شد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”پیکربندی کلاینت‌ها برای استفاده از ارتباطات امن در WSUS” subtitle=”توضیحات کامل”]پس از پیکربندی سرور WSUS برای استفاده از HTTPS، کلاینت‌ها نیز باید طوری تنظیم شوند که فقط از ارتباطات امن برای دریافت به‌روزرسانی‌ها استفاده کنند. این کار را می‌توان از طریق Group Policy (GPO) و ثبت‌نام دستی در WSUS انجام داد. در این بخش، نحوه پیکربندی کلاینت‌ها برای ارتباط امن با WSUS به‌صورت گرافیکی و کامندی توضیح داده خواهد شد.

---

۱. بررسی نیازمندی‌های کلاینت برای ارتباط امن با WSUS

قبل از شروع پیکربندی، کلاینت‌ها باید دارای موارد زیر باشند:

✅ دریافت و نصب گواهینامه SSL از سرور WSUS یا یک CA معتبر
✅ فعال‌سازی استفاده از HTTPS برای دریافت به‌روزرسانی‌ها
✅ اعمال تنظیمات WSUS در کلاینت‌ها از طریق GPO یا رجیستری

---

۲. نصب گواهینامه SSL بر روی کلاینت‌ها

کلاینت‌ها باید به گواهینامه‌ای که روی WSUS نصب شده است اعتماد کنند. این کار را می‌توان به روش‌های زیر انجام داد:

روش گرافیکی (MMC – مدیریت گواهینامه‌ها)

۱. در کلاینت، Run را باز کرده و mmc را تایپ کنید.
۲. از File گزینه Add/Remove Snap-in را انتخاب کنید.
3. Certificates را انتخاب کرده و روی Add کلیک کنید.
4. Computer Account را انتخاب کرده و Next را بزنید.
5. گزینه Local Computer را انتخاب کنید و روی Finish کلیک کنید.
6. به مسیر Trusted Root Certification Authorities > Certificates بروید.
7. روی Certificates راست‌کلیک کنید و All Tasks > Import را انتخاب کنید.
8. گواهینامه سرور WSUS (WSUS_SSL.cer) را انتخاب و نصب کنید.

---

روش کامندی (PowerShell)

Import-Certificate -FilePath "C:\WSUS_SSL.cer" -CertStoreLocation "Cert:\LocalMachine\Root"

---

۳. پیکربندی کلاینت‌ها برای استفاده از HTTPS در WSUS

روش گرافیکی (Group Policy – GPO)

۱. Group Policy Management Console (GPMC) را باز کنید (gpmc.msc).
۲. یک GPO جدید ایجاد کرده و نام آن را WSUS HTTPS Policy بگذارید.
3. مسیر زیر را باز کنید:

Computer Configuration > Administrative Templates > Windows Components > Windows Update

4. گزینه Specify intranet Microsoft update service location را فعال کنید.
5. مقدار زیر را در فیلدها وارد کنید:

   https://wsus.example.com:8531
   

6. Apply و سپس OK را بزنید.
7. GPO را به OU موردنظر لینک کنید تا کلاینت‌ها تنظیمات را دریافت کنند.

---

روش کامندی (PowerShell – Registry تنظیمات WSUS)

۱. ثبت کلاینت در WSUS:

$wsusServer = "https://wsus.example.com:8531"
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name WUServer -Value $wsusServer
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name WUStatusServer -Value $wsusServer
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name UseWUServer -Value 1
Restart-Service wuauserv

۲. بررسی ارتباط امن با WSUS:

Get-WindowsUpdateLog | Select-String "https://wsus.example.com:8531"

---

۴. اطمینان از دریافت به‌روزرسانی‌ها از طریق HTTPS

روش گرافیکی (Windows Update GUI)

۱. به Settings > Windows Update بروید.
2. روی Check for Updates کلیک کنید.
3. بررسی کنید که آدرس WSUS در قسمت Update Source نمایش داده می‌شود.

---

روش کامندی (PowerShell)

۱. بررسی وضعیت کلاینت در WSUS:

Get-WmiObject -Namespace "root\ccm\clientSDK" -Class CCM_UpdateStatus

۲. بررسی تنظیمات Windows Update:

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate"

---

۵. عیب‌یابی مشکلات ارتباطی کلاینت با WSUS

اگر کلاینت به WSUS متصل نشد، موارد زیر را بررسی کنید:

✅ مطمئن شوید که پورت 8531 در فایروال باز است:

Test-NetConnection -ComputerName wsus.example.com -Port 8531

✅ بررسی ارورها در Windows Update Log:

Get-WindowsUpdateLog | Out-File C:\Windows\Temp\WSUS_Debug.log

✅ ریستارت کردن Windows Update Agent:

net stop wuauserv
net start wuauserv

✅ بررسی اتصال از طریق Browser:

• در کلاینت، آدرس https://wsus.example.com:8531 را در مرورگر باز کنید.
• اگر صفحه پیش‌فرض IIS نمایش داده شد، یعنی اتصال برقرار است.

---

جمع‌بندی

۱. ابتدا گواهینامه SSL سرور WSUS را در کلاینت‌ها نصب کنید تا اعتمادسازی انجام شود.
۲. با استفاده از GPO یا رجیستری، کلاینت‌ها را به سرور WSUS HTTPS متصل کنید.
۳. ارتباط کلاینت‌ها را با دستورات PowerShell یا بررسی Windows Update تأیید کنید.
۴. اگر مشکلی در ارتباط وجود داشت، لاگ‌ها را بررسی کرده و پورت 8531 را در فایروال بررسی کنید.[/cdb_course_lesson][cdb_course_lesson title=”فصل ۴. پیکربندی Cleanup در WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اهمیت پاکسازی و بهینه‌سازی WSUS برای حفظ عملکرد” subtitle=”توضیحات کامل”]WSUS در طول زمان مقدار زیادی داده ذخیره می‌کند که شامل به‌روزرسانی‌های قدیمی، گزارش‌های کلاینت‌ها، متادیتاها و فایل‌های دانلود شده است. این حجم از اطلاعات می‌تواند باعث مشکلاتی از جمله کاهش عملکرد سرور WSUS، افزایش فضای مصرفی دیسک و کند شدن فرآیند توزیع به‌روزرسانی‌ها شود. بنابراین، پاکسازی و بهینه‌سازی WSUS یک گام مهم برای حفظ عملکرد بهینه سرور محسوب می‌شود.

---

۱. مشکلات رایج در صورت عدم پاکسازی WSUS

عدم مدیریت صحیح WSUS می‌تواند مشکلات زیر را به همراه داشته باشد:

✅ افزایش مصرف فضای دیسک: فایل‌های قدیمی و بلااستفاده مقدار زیادی از فضای ذخیره‌سازی را اشغال می‌کنند.
✅ کاهش عملکرد WSUS: تعداد زیاد به‌روزرسانی‌های غیرضروری باعث کند شدن پردازش درخواست‌ها می‌شود.
✅ خطا در ارتباط کلاینت‌ها: در برخی موارد، کلاینت‌ها ممکن است قادر به دریافت به‌روزرسانی‌ها نباشند.
✅ مشکلات پایگاه داده WSUS: دیتابیس WSUS ممکن است به دلیل حجم زیاد اطلاعات Fragmented شود.

---

۲. ابزارهای پاکسازی و بهینه‌سازی WSUS

برای مدیریت و پاکسازی WSUS، می‌توان از روش‌های زیر استفاده کرد:

1️⃣ WSUS Cleanup Wizard – ابزار گرافیکی برای حذف به‌روزرسانی‌های قدیمی
2️⃣ WsusUtil.exe – ابزار کامندی برای حذف فایل‌های غیرضروری
3️⃣ SQL Management Studio (SSMS) – برای بهینه‌سازی دیتابیس
4️⃣ PowerShell – برای حذف خودکار به‌روزرسانی‌های غیرضروری

---

۳. استفاده از WSUS Cleanup Wizard (روش گرافیکی)

WSUS Cleanup Wizard یکی از روش‌های ساده برای پاکسازی WSUS است. این ابزار به شما کمک می‌کند تا:

🔹 به‌روزرسانی‌های جایگزین‌شده را حذف کنید.
🔹 به‌روزرسانی‌های غیرقابل استفاده را پاک کنید.
🔹 دستگاه‌های قدیمی و غیرفعال را از دیتابیس حذف کنید.
🔹 فضای اشغال‌شده توسط به‌روزرسانی‌های دانلود شده را کاهش دهید.

مراحل اجرا:

1. کنسول WSUS را باز کنید (wsus.msc).
2. به مسیر Options > Server Cleanup Wizard بروید.
3. گزینه‌های زیر را انتخاب کنید:
   • Unused updates and update revisions
   • Computers not contacting the server
   • Unneeded update files
   • Expired updates
4. روی Next کلیک کنید و منتظر بمانید تا فرآیند پاکسازی تکمیل شود.

---

۴. پاکسازی WSUS با WsusUtil.exe (روش کامندی)

ابزار WsusUtil.exe که در مسیر WSUS Tools قرار دارد، برای مدیریت و پاکسازی WSUS استفاده می‌شود.

حذف فایل‌های غیرضروری:

"C:\Program Files\Update Services\Tools\WsusUtil.exe" deleteunneededrevisions

پاکسازی و کاهش حجم فایل‌های دانلود شده:

"C:\Program Files\Update Services\Tools\WsusUtil.exe" reset

---

۵. بهینه‌سازی پایگاه داده WSUS با SSMS (روش SQL Server)

در صورت کند شدن WSUS، باید دیتابیس WSUS را بهینه‌سازی کنید. این کار با SQL Server Management Studio (SSMS) انجام می‌شود.

پاکسازی و بهینه‌سازی دیتابیس:

1. SSMS را باز کنید و به پایگاه داده SUSDB متصل شوید.
2. کوئری زیر را اجرا کنید:

USE SUSDB;
GO
EXEC sp_CleanupObsoleteUpdates;
EXEC sp_GetObsoleteUpdatesToCleanup;
EXEC sp_DeleteUpdate;
GO

3. Rebuild Index را برای بهینه‌سازی جدول‌ها اجرا کنید:

USE SUSDB;
GO
EXEC sp_MSforeachtable 'DBCC DBREINDEX (''?'')';
GO

---

۶. اجرای پاکسازی خودکار WSUS با PowerShell

برای اجرای پاکسازی خودکار WSUS، می‌توان از اسکریپت PowerShell استفاده کرد. این اسکریپت WSUS را به‌صورت دوره‌ای پاکسازی کرده و عملکرد آن را بهبود می‌بخشد.

$wsus = Get-WSUSServer
$cleanupManager = $wsus.GetCleanupManager()
$cleanupManager.PerformCleanup([Microsoft.UpdateServices.Administration.CleanupScope]::All)
Write-Output "WSUS Cleanup Completed!"

---

۷. زمان‌بندی خودکار پاکسازی WSUS

برای اجرای خودکار فرآیند پاکسازی، می‌توان از Task Scheduler استفاده کرد.

مراحل تنظیم Task Scheduler:

1. Task Scheduler را باز کنید (taskschd.msc).
2. روی Create Basic Task کلیک کنید.
3. یک نام برای Task وارد کنید، مانند WSUS Cleanup Task.
4. زمان اجرای Task را تنظیم کنید (مثلاً هر هفته یک‌بار).
5. در قسمت Action گزینه Start a Program را انتخاب کنید.
6. در قسمت Program/Script مسیر زیر را وارد کنید:

   powershell.exe
   

7. در قسمت Add Arguments مقدار زیر را وارد کنید:

   -ExecutionPolicy Bypass -File "C:\Scripts\WSUS_Cleanup.ps1"
   

با این کار، پاکسازی WSUS به‌صورت خودکار در زمان مشخص اجرا خواهد شد.

---

جمع‌بندی

۱. پاکسازی WSUS یک ضرورت است، زیرا باعث بهبود عملکرد و کاهش فضای اشغالی دیسک می‌شود.
2. می‌توان از WSUS Cleanup Wizard برای حذف داده‌های غیرضروری به‌صورت گرافیکی استفاده کرد.
3. ابزار WsusUtil.exe امکان پاکسازی سریع از طریق دستورات کامندی را فراهم می‌کند.
4. برای بهینه‌سازی دیتابیس WSUS می‌توان از SQL Server Management Studio (SSMS) استفاده کرد.
5. اجرای اسکریپت PowerShell به شما اجازه می‌دهد تا فرآیند پاکسازی را خودکار کنید.
6. زمان‌بندی خودکار در Task Scheduler باعث می‌شود که WSUS همیشه بهینه و بدون مشکل باقی بماند.

در بخش بعدی، به بررسی بهینه‌سازی پیشرفته WSUS و فشرده‌سازی دیتابیس برای عملکرد بهتر خواهیم پرداخت.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”حذف به‌روزرسانی‌های قدیمی و غیرضروری” subtitle=”توضیحات کامل”]یکی از مشکلات رایج در WSUS، انباشت به‌روزرسانی‌های قدیمی و غیرضروری است که باعث اشغال فضای ذخیره‌سازی و کاهش عملکرد سرور می‌شود. برای بهینه‌سازی WSUS و بهبود کارایی، باید به‌روزرسانی‌هایی که دیگر نیازی به آن‌ها نیست را حذف کرد. این کار می‌تواند به دو روش گرافیکی (با استفاده از WSUS Console) و کامندی (با استفاده از PowerShell) انجام شود.

۱. حذف به‌روزرسانی‌های قدیمی از طریق WSUS Console

WSUS دارای ابزار داخلی Cleanup Wizard است که به شما کمک می‌کند به‌روزرسانی‌های قدیمی و غیرضروری را حذف کنید.

مراحل انجام کار:

1. کنسول WSUS را باز کنید.
2. در بخش Options، گزینه Server Cleanup Wizard را انتخاب کنید.
3. گزینه‌های زیر را فعال کنید:
   • Unused updates and update revisions (حذف به‌روزرسانی‌هایی که دیگر استفاده نمی‌شوند)
   • Computers not contacting the server (حذف کلاینت‌هایی که مدت زیادی است به سرور متصل نشده‌اند)
   • Unneeded update files (حذف فایل‌های به‌روزرسانی غیرضروری)
   • Expired updates (حذف به‌روزرسانی‌های منقضی‌شده)
   • Superseded updates (حذف به‌روزرسانی‌هایی که نسخه‌های جدیدتری جایگزین آن‌ها شده‌اند)
4. روی Next کلیک کنید و منتظر بمانید تا فرآیند پاکسازی تکمیل شود.

---

۲. حذف به‌روزرسانی‌های قدیمی با PowerShell

برای انجام عملیات Cleanup به‌صورت خودکار و زمان‌بندی‌شده، می‌توان از PowerShell استفاده کرد.

الف) اجرای Cleanup Wizard با PowerShell

برای اجرای Cleanup Wizard از طریق PowerShell، دستور زیر را اجرا کنید:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$cleanupScope.DeclineSupersededUpdates = $true
$cleanupScope.DeclineExpiredUpdates = $true
$cleanupScope.CleanupObsoleteComputers = $true
$cleanupScope.CleanupObsoleteUpdates = $true
$cleanupScope.CleanupUnneededContentFiles = $true
$wsus.PerformCleanup($cleanupScope)

توضیح دستورات:

• DeclineSupersededUpdates = $true → رد کردن به‌روزرسانی‌هایی که جایگزین شده‌اند.
• DeclineExpiredUpdates = $true → رد کردن به‌روزرسانی‌های منقضی‌شده.
• CleanupObsoleteComputers = $true → حذف کلاینت‌های قدیمی که دیگر به سرور متصل نمی‌شوند.
• CleanupObsoleteUpdates = $true → حذف به‌روزرسانی‌های قدیمی که دیگر لازم نیستند.
• CleanupUnneededContentFiles = $true → حذف فایل‌های به‌روزرسانی غیرضروری.

---

ب) حذف به‌روزرسانی‌های قدیمی با استفاده از WSUS API

در برخی موارد، حذف به‌روزرسانی‌ها از طریق API مفیدتر است. برای حذف به‌روزرسانی‌هایی که بیش از یک سال از انتشار آن‌ها گذشته است، می‌توان از اسکریپت زیر استفاده کرد:

$wsus = Get-WsusServer -Name "WSUS-Server" -PortNumber 8530
$updates = $wsus.GetUpdates() | Where-Object { $_.CreationDate -lt (Get-Date).AddMonths(-12) }
foreach ($update in $updates) {
    $update.Decline()
    Write-Output "Declined Update: $($update.Title)"
}

توضیح دستورات:

• دریافت لیست به‌روزرسانی‌هایی که بیش از ۱۲ ماه از انتشار آن‌ها گذشته است.
• رد کردن این به‌روزرسانی‌ها به‌صورت خودکار.

---

۳. زمان‌بندی خودکار حذف به‌روزرسانی‌های قدیمی

برای اجرای خودکار فرآیند Cleanup، می‌توان از Task Scheduler در ویندوز استفاده کرد.

مراحل تنظیم Task Scheduler:

1. Task Scheduler را باز کنید.
2. روی Create Basic Task کلیک کنید.
3. یک نام برای Task انتخاب کرده و Next را بزنید.
4. گزینه Weekly یا Monthly را انتخاب کنید.
5. در قسمت Action گزینه Start a Program را انتخاب کنید.
6. مسیر powershell.exe را به عنوان برنامه قرار دهید.
7. در قسمت Arguments، مسیر اسکریپت PowerShell را وارد کنید:

   -File "C:\Scripts\WSUS_Cleanup.ps1"
   

8. Finish را بزنید تا Task ایجاد شود.

---

جمع‌بندی

1. حذف به‌روزرسانی‌های قدیمی و غیرضروری باعث کاهش حجم پایگاه داده و بهبود عملکرد WSUS می‌شود.
2. Cleanup Wizard به‌صورت گرافیکی این کار را انجام می‌دهد.
3. PowerShell امکان حذف دقیق‌تر و زمان‌بندی‌شده را فراهم می‌کند.
4. می‌توان با استفاده از Task Scheduler عملیات پاکسازی را به‌صورت خودکار اجرا کرد.

این روش‌ها باعث بهبود کارایی WSUS و افزایش بهره‌وری سیستم می‌شوند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اجرای Cleanup Wizard برای بهینه‌سازی پایگاه داده WSUS” subtitle=”توضیحات کامل”]پایگاه داده WSUS به مرور زمان با انباشت به‌روزرسانی‌های غیرضروری، اطلاعات کلاینت‌های قدیمی و داده‌های زائد، دچار افت عملکرد می‌شود. برای حفظ کارایی WSUS، باید Cleanup Wizard را به‌صورت دوره‌ای اجرا کرد. این ابزار به شما کمک می‌کند که داده‌های غیرضروری را حذف کرده و از اشغال بی‌مورد فضای ذخیره‌سازی جلوگیری کنید.

---

۱. اجرای Cleanup Wizard از طریق WSUS Console

WSUS Console دارای ابزار داخلی Server Cleanup Wizard است که این کار را به‌صورت گرافیکی انجام می‌دهد.

مراحل انجام کار:

1. کنسول WSUS را باز کنید.
2. در بخش Options، روی Server Cleanup Wizard کلیک کنید.
3. گزینه‌های زیر را فعال کنید:
   • Unused updates and update revisions → حذف به‌روزرسانی‌هایی که دیگر استفاده نمی‌شوند.
   • Computers not contacting the server → حذف کلاینت‌هایی که مدت زیادی است به سرور متصل نشده‌اند.
   • Unneeded update files → حذف فایل‌های به‌روزرسانی غیرضروری.
   • Expired updates → حذف به‌روزرسانی‌های منقضی‌شده.
   • Superseded updates → حذف به‌روزرسانی‌هایی که نسخه‌های جدیدتری جایگزین آن‌ها شده‌اند.
4. روی Next کلیک کنید و منتظر بمانید تا فرآیند پاک‌سازی تکمیل شود.
5. پس از پایان عملیات، روی Finish کلیک کنید.

---

۲. اجرای Cleanup Wizard با استفاده از PowerShell

برای انجام این عملیات به‌صورت خودکار، می‌توان از PowerShell استفاده کرد.

اجرای Cleanup Wizard با PowerShell:

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()
$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$cleanupScope.DeclineSupersededUpdates = $true
$cleanupScope.DeclineExpiredUpdates = $true
$cleanupScope.CleanupObsoleteComputers = $true
$cleanupScope.CleanupObsoleteUpdates = $true
$cleanupScope.CleanupUnneededContentFiles = $true
$wsus.PerformCleanup($cleanupScope)

توضیح دستورات:

• DeclineSupersededUpdates = $true → رد کردن به‌روزرسانی‌هایی که نسخه جدیدتر جایگزین آن‌ها شده است.
• DeclineExpiredUpdates = $true → رد کردن به‌روزرسانی‌های منقضی‌شده.
• CleanupObsoleteComputers = $true → حذف کلاینت‌هایی که دیگر به سرور متصل نمی‌شوند.
• CleanupObsoleteUpdates = $true → حذف به‌روزرسانی‌های قدیمی که دیگر لازم نیستند.
• CleanupUnneededContentFiles = $true → حذف فایل‌های به‌روزرسانی غیرضروری از هارد دیسک.

---

۳. زمان‌بندی خودکار اجرای Cleanup Wizard

برای اجرای خودکار Cleanup Wizard، می‌توان از Task Scheduler در ویندوز استفاده کرد.

ایجاد یک Task برای اجرای Cleanup Wizard:

1. Task Scheduler را باز کنید.
2. روی Create Basic Task کلیک کنید.
3. یک نام برای Task انتخاب کرده و Next را بزنید.
4. گزینه Weekly یا Monthly را انتخاب کنید.
5. در قسمت Action گزینه Start a Program را انتخاب کنید.
6. در قسمت Program/Script مقدار powershell.exe را وارد کنید.
7. در قسمت Arguments مسیر اسکریپت PowerShell را وارد کنید:

   -File "C:\Scripts\WSUS_Cleanup.ps1"
   

8. روی Finish کلیک کنید تا Task ایجاد شود.

---

جمع‌بندی

1. Cleanup Wizard ابزار داخلی WSUS است که پایگاه داده را بهینه‌سازی کرده و داده‌های غیرضروری را حذف می‌کند.
2. این ابزار را می‌توان از طریق WSUS Console یا PowerShell اجرا کرد.
3. برای اتوماتیک کردن Cleanup Wizard می‌توان از Task Scheduler استفاده کرد.
4. اجرای منظم Cleanup Wizard باعث افزایش کارایی WSUS و کاهش حجم پایگاه داده می‌شود.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”خودکارسازی فرآیند پاکسازی WSUS با استفاده از اسکریپت‌های PowerShell” subtitle=”توضیحات کامل”]به‌مرور زمان، WSUS حجم زیادی از به‌روزرسانی‌های قدیمی، کلاینت‌های منسوخ و داده‌های زائد را ذخیره می‌کند که باعث کاهش کارایی سرور می‌شود. برای جلوگیری از این مشکل، می‌توان فرآیند پاکسازی WSUS را با استفاده از اسکریپت‌های PowerShell خودکار کرد.

---

۱. اسکریپت PowerShell برای اجرای Cleanup Wizard

اسکریپت زیر به‌صورت خودکار عملیات پاکسازی را اجرا می‌کند:

محتوای اسکریپت PowerShell

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$cleanupScope.DeclineSupersededUpdates = $true
$cleanupScope.DeclineExpiredUpdates = $true
$cleanupScope.CleanupObsoleteComputers = $true
$cleanupScope.CleanupObsoleteUpdates = $true
$cleanupScope.CleanupUnneededContentFiles = $true

Write-Output "Starting WSUS Cleanup Process..."
$wsus.PerformCleanup($cleanupScope)
Write-Output "WSUS Cleanup Completed Successfully."

توضیح دستورات:

• DeclineSupersededUpdates = $true → رد کردن به‌روزرسانی‌هایی که نسخه جدیدتر جایگزین آن‌ها شده است.
• DeclineExpiredUpdates = $true → رد کردن به‌روزرسانی‌های منقضی‌شده.
• CleanupObsoleteComputers = $true → حذف کلاینت‌هایی که دیگر به سرور متصل نمی‌شوند.
• CleanupObsoleteUpdates = $true → حذف به‌روزرسانی‌های قدیمی که دیگر لازم نیستند.
• CleanupUnneededContentFiles = $true → حذف فایل‌های به‌روزرسانی غیرضروری از هارد دیسک.

---

۲. ذخیره و اجرای اسکریپت

ذخیره اسکریپت:

1. Notepad را باز کنید و کد بالا را در آن قرار دهید.
2. فایل را با نام WSUS_Cleanup.ps1 در مسیر C:\Scripts\ ذخیره کنید.

اجرای دستی اسکریپت:

برای اجرای دستی اسکریپت، از PowerShell با دسترسی ادمین استفاده کنید:

PowerShell -ExecutionPolicy Bypass -File "C:\Scripts\WSUS_Cleanup.ps1"

---

۳. زمان‌بندی اجرای خودکار اسکریپت با Task Scheduler

برای اجرای خودکار اسکریپت، می‌توان از Task Scheduler استفاده کرد.

ایجاد یک Task برای اجرای Cleanup Script به‌صورت زمان‌بندی‌شده:

1. Task Scheduler را باز کنید.
2. روی Create Basic Task کلیک کنید.
3. یک نام برای Task انتخاب کرده و Next را بزنید.
4. گزینه Weekly یا Monthly را انتخاب کنید.
5. زمان اجرای Task را تنظیم کرده و Next را بزنید.
6. در قسمت Action گزینه Start a Program را انتخاب کنید.
7. در قسمت Program/Script مقدار powershell.exe را وارد کنید.
8. در قسمت Arguments مقدار زیر را وارد کنید:

   -ExecutionPolicy Bypass -File "C:\Scripts\WSUS_Cleanup.ps1"
   

9. روی Finish کلیک کنید تا Task ایجاد شود.

---

۴. ارسال گزارش اجرای اسکریپت به ایمیل (اختیاری)

می‌توان نتیجه اجرای اسکریپت را به ایمیل ارسال کرد. برای این کار، اسکریپت زیر را ویرایش کنید:

اسکریپت PowerShell با قابلیت ارسال ایمیل:

$logFile = "C:\Scripts\WSUS_Cleanup.log"

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration")
$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::GetUpdateServer()

$cleanupScope = New-Object Microsoft.UpdateServices.Administration.CleanupScope
$cleanupScope.DeclineSupersededUpdates = $true
$cleanupScope.DeclineExpiredUpdates = $true
$cleanupScope.CleanupObsoleteComputers = $true
$cleanupScope.CleanupObsoleteUpdates = $true
$cleanupScope.CleanupUnneededContentFiles = $true

Write-Output "Starting WSUS Cleanup Process..." | Out-File -Append $logFile
$wsus.PerformCleanup($cleanupScope)
Write-Output "WSUS Cleanup Completed Successfully." | Out-File -Append $logFile

# ارسال گزارش به ایمیل
$SMTPServer = "smtp.yourmail.com"
$SMTPFrom = "wsus-admin@yourdomain.com"
$SMTPTo = "admin@yourdomain.com"
$Subject = "WSUS Cleanup Report"
$Body = Get-Content $logFile | Out-String

Send-MailMessage -To $SMTPTo -From $SMTPFrom -Subject $Subject -Body $Body -SmtpServer $SMTPServer

توضیحات:

• C:\Scripts\WSUS_Cleanup.log → مسیر لاگ فایل ذخیره اجرای اسکریپت.
• smtp.yourmail.com → تنظیمات سرور SMTP.
• wsus-admin@yourdomain.com → آدرس ایمیل فرستنده.
• admin@yourdomain.com → آدرس ایمیل دریافت‌کننده گزارش.

---

جمع‌بندی

1. پاکسازی WSUS باعث افزایش عملکرد و بهینه‌سازی فضای ذخیره‌سازی سرور می‌شود.
2. می‌توان با PowerShell Cleanup Script فرآیند پاکسازی را خودکار کرد.
3. اجرای خودکار اسکریپت از طریق Task Scheduler انجام می‌شود.
4. امکان ارسال گزارش اجرای اسکریپت به ایمیل نیز وجود دارد.

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۵. بهینه‌سازی دیتابیس WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”معرفی ساختار دیتابیس WSUS (WID و SQL Server)” subtitle=”توضیحات کامل”]WSUS برای ذخیره‌سازی اطلاعات خود از یک دیتابیس استفاده می‌کند. این دیتابیس شامل داده‌های مرتبط با به‌روزرسانی‌ها، وضعیت کلاینت‌ها، تنظیمات گروه‌ها و گزارش‌های مدیریتی است. WSUS می‌تواند از دو نوع دیتابیس استفاده کند:

1. Windows Internal Database (WID)
2. Microsoft SQL Server

---

۱. Windows Internal Database (WID)

Windows Internal Database (WID) یک نسخه‌ی محدود و داخلی از SQL Server Express است که نیازی به مدیریت مستقل ندارد و به‌طور پیش‌فرض همراه با WSUS نصب می‌شود.

ویژگی‌های WID:

• به‌طور پیش‌فرض در WSUS روی ویندوز سرور نصب می‌شود.
• نیازی به لایسنس جداگانه ندارد.
• امکان اتصال مستقیم از طریق SQL Management Studio وجود ندارد (مگر با ابزارهای خاص).
• به‌صورت داخلی مدیریت می‌شود و نیازی به تنظیمات اضافی ندارد.
• مناسب برای محیط‌های کوچک تا متوسط با تعداد کلاینت محدود (کمتر از ۱۵۰۰۰ کلاینت).

مسیر فیزیکی دیتابیس WID در ویندوز سرور

در صورت استفاده از WID، فایل‌های دیتابیس در مسیر زیر قرار دارند:

C:\Windows\WID\Data

فایل‌های اصلی:

• SUSDB.mdf → فایل اصلی دیتابیس
• SUSDB_log.ldf → فایل لاگ دیتابیس

اتصال به دیتابیس WID با SQL Management Studio (SSMS)

اگرچه WID به‌طور پیش‌فرض امکان اتصال مستقیم ندارد، اما می‌توان با استفاده از SQL Server Management Studio (SSMS) به آن متصل شد. برای این کار:

1. SSMS را روی سرور اجرا کنید.
2. در قسمت Server Name مقدار زیر را وارد کنید:

   \\.\pipe\MICROSOFT##WID\tsql\query
   

3. Authentication را روی Windows Authentication قرار دهید و Connect را بزنید.
4. دیتابیس SUSDB را در لیست دیتابیس‌ها مشاهده خواهید کرد.

---

۲. Microsoft SQL Server

WSUS می‌تواند از Microsoft SQL Server نیز به‌عنوان دیتابیس اصلی خود استفاده کند. این گزینه برای محیط‌های بزرگ که شامل هزاران کلاینت است، توصیه می‌شود.

ویژگی‌های SQL Server در WSUS:

• عملکرد بالاتر نسبت به WID
• امکان مدیریت حرفه‌ای از طریق SQL Server Management Studio (SSMS)
• پشتیبانی از ویژگی‌های پیشرفته مانند AlwaysOn و Clustering
• نیاز به لایسنس Microsoft SQL Server دارد (مگر از SQL Express استفاده شود)
• مناسب برای سازمان‌های بزرگ (بیش از ۱۵۰۰۰ کلاینت)

اتصال به WSUS با SQL Server

اگر از SQL Server استفاده می‌کنید، مراحل زیر را برای اتصال انجام دهید:

1. SQL Server Management Studio (SSMS) را اجرا کنید.
2. در قسمت Server Name مقدار نام SQL Server را وارد کنید، مانند:

   WSUS-SQLSERVER\INSTANCE_NAME
   

3. Authentication را انتخاب کنید:
   • Windows Authentication (در صورت ورود با اکانت ادمین)
   • SQL Server Authentication (در صورت تنظیم حساب کاربری)
4. روی Connect کلیک کنید.
5. در Databases، دیتابیس SUSDB را پیدا کنید.

---

۳. مقایسه WID و SQL Server در WSUS

ویژگی	WID	SQL Server
نیاز به نصب جداگانه	خیر (نصب خودکار با WSUS)	بله (SQL Server باید نصب شود)
نیاز به لایسنس	خیر	بله (بجز SQL Express)
حداکثر تعداد کلاینت	حدود ۱۵۰۰۰	بیش از ۱۵۰۰۰
قابلیت اتصال از راه دور	خیر (مگر با SSMS و Pipe)	بله
پشتیبانی از Clustering / AlwaysOn	خیر	بله
پشتیبانی از گزارش‌گیری پیشرفته	محدود	بله
عملکرد	مناسب برای محیط‌های کوچک	بهتر برای محیط‌های بزرگ

---

۴. تغییر دیتابیس از WID به SQL Server

اگر WSUS روی WID تنظیم شده باشد و بخواهید به SQL Server مهاجرت کنید، مراحل زیر را انجام دهید:

۱. توقف سرویس WSUS

net stop WsusService

۲. پشتیبان‌گیری از دیتابیس WID

BACKUP DATABASE SUSDB 
TO DISK = 'C:\Backup\SUSDB.bak'
WITH FORMAT, COMPRESSION, INIT

۳. بازیابی دیتابیس روی SQL Server

RESTORE DATABASE SUSDB 
FROM DISK = 'C:\Backup\SUSDB.bak'
WITH MOVE 'SUSDB' TO 'D:\MSSQL\DATA\SUSDB.mdf',
MOVE 'SUSDB_log' TO 'D:\MSSQL\DATA\SUSDB_log.ldf'

۴. تنظیم WSUS برای استفاده از SQL Server

1. باز کردن رجیستری (regedit.exe)
2. رفتن به مسیر:

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup
   

3. مقدار SQLServerName را به مقدار WSUS-SQLSERVER\INSTANCE_NAME تغییر دهید.

۵. راه‌اندازی مجدد سرویس WSUS

net start WsusService

---

جمع‌بندی

1. WSUS می‌تواند از WID یا SQL Server برای ذخیره‌سازی داده‌ها استفاده کند.
2. WID برای سازمان‌های کوچک و متوسط مناسب است و به تنظیمات خاصی نیاز ندارد.
3. SQL Server برای سازمان‌های بزرگ مناسب است و عملکرد و قابلیت‌های بیشتری دارد.
4. می‌توان WSUS را از WID به SQL Server مهاجرت داد تا کارایی و مدیریت بهتری داشته باشد.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”شناسایی مشکلات رایج در پایگاه داده WSUS” subtitle=”توضیحات کامل”]پایگاه داده WSUS یکی از اجزای کلیدی این سرویس است که تمامی اطلاعات مربوط به به‌روزرسانی‌ها، کلاینت‌ها و وضعیت دانلودها را ذخیره می‌کند. مشکلات مرتبط با این پایگاه داده می‌توانند منجر به کاهش کارایی، افزایش زمان پاسخ‌دهی و حتی عدم کارکرد صحیح WSUS شوند. در این بخش، مهم‌ترین مشکلات مربوط به پایگاه داده WSUS و روش‌های شناسایی آن‌ها بررسی می‌شوند.

---

۱. افزایش حجم دیتابیس و تأثیر آن بر عملکرد WSUS

یکی از مشکلات رایج در WSUS، رشد بیش‌ازحد پایگاه داده SUSDB است که می‌تواند باعث کندی عملکرد سرور شود.

علائم این مشکل:

• کند شدن بارگذاری کنسول WSUS
• طولانی شدن زمان دریافت و پردازش به‌روزرسانی‌ها
• خطای Timeout در اجرای WSUS Cleanup Wizard

روش بررسی و شناسایی حجم پایگاه داده در WID یا SQL Server:

برای بررسی حجم دیتابیس، می‌توان از دستورات زیر در SQL Server Management Studio (SSMS) یا PowerShell استفاده کرد.

بررسی حجم دیتابیس در SQL Server

USE SUSDB
GO
EXEC sp_spaceused

بررسی حجم دیتابیس در WID با PowerShell

$widDbPath = "C:\Windows\WID\Data\SUSDB.mdf"
$sizeInMB = (Get-Item $widDbPath).length / 1MB
Write-Output "Database Size: $sizeInMB MB"

---

۲. افزایش حجم بیش از حد جدول tbEventInstance

جدول tbEventInstance یکی از بزرگ‌ترین جداول در دیتابیس WSUS است و در صورت پر شدن بیش‌ازحد، باعث کاهش سرعت پردازش‌ها می‌شود.

علائم این مشکل:

• افزایش مصرف حافظه و پردازنده در SQL Server
• کند شدن اجرای گزارش‌های WSUS
• طولانی شدن پردازش به‌روزرسانی‌ها

روش بررسی حجم جدول tbEventInstance در SQL Server

USE SUSDB
GO
SELECT OBJECT_NAME(i.object_id) AS TableName,
       SUM(a.total_pages) * 8 AS TotalSizeKB
FROM sys.dm_db_partition_stats a
JOIN sys.indexes i ON a.object_id = i.object_id
WHERE OBJECT_NAME(i.object_id) = 'tbEventInstance'
GROUP BY OBJECT_NAME(i.object_id)

راهکار کاهش حجم این جدول

اگر حجم این جدول بسیار زیاد باشد، می‌توان آن را پاکسازی کرد:

USE SUSDB
GO
DELETE FROM tbEventInstance WHERE EventTime < DATEADD(MONTH, -3, GETDATE())

نکته: قبل از اجرای این دستور، از دیتابیس پشتیبان تهیه کنید.

---

۳. خطای SUSDB Full یا عدم پاسخگویی دیتابیس

این خطا زمانی رخ می‌دهد که فضای ذخیره‌سازی به پایان برسد یا دیتابیس دچار مشکلات ساختاری شود.

علائم این مشکل:

• خطای WSUS database is full در Event Viewer
• ناتوانی در اجرای WSUS Cleanup
• کند شدن بارگذاری کنسول WSUS

بررسی فضای ذخیره‌سازی و وضعیت دیتابیس در SQL Server

USE SUSDB
GO
SELECT name, size * 8 / 1024 AS SizeMB FROM sys.master_files
WHERE database_id = DB_ID('SUSDB')

رفع مشکل افزایش حجم دیتابیس در SQL Server

USE master
GO
ALTER DATABASE SUSDB MODIFY FILE (NAME = 'SUSDB', SIZE = 20GB, MAXSIZE = 50GB, FILEGROWTH = 512MB)

در WID، مسیر دیتابیس را بررسی کنید:

C:\Windows\WID\Data\SUSDB.mdf

اگر فضای ذخیره‌سازی پر شده باشد، باید داده‌های قدیمی را پاک کنید یا فضای بیشتری اختصاص دهید.

---

۴. عدم امکان اتصال به دیتابیس WSUS (خطای Cannot connect to SUSDB)

گاهی ممکن است WSUS نتواند به دیتابیس SUSDB متصل شود.

علائم این مشکل:

• خطای Cannot connect to database SUSDB
• خطای Login failed for user NT AUTHORITY\NETWORK SERVICE
• عدم نمایش اطلاعات در کنسول WSUS

بررسی وضعیت سرویس WID یا SQL Server

در صورتی که از WID استفاده می‌کنید، مطمئن شوید که سرویس آن در حال اجرا است:

Get-Service | Where-Object {$_.Name -like "*WID*" -or $_.Name -like "*MSSQL*"}

اگر سرویس غیرفعال است، آن را مجدداً راه‌اندازی کنید:

Restart-Service WID -Force

در صورتی که از SQL Server استفاده می‌کنید:

Restart-Service MSSQLSERVER -Force

بررسی سطح دسترسی WSUS به دیتابیس

اگر خطای Login failed مشاهده شد، سطح دسترسی حساب کاربری WSUS را بررسی کنید:

USE SUSDB
GO
EXEC sp_change_users_login 'Auto_Fix', 'NT AUTHORITY\NETWORK SERVICE'

---

۵. خرابی ایندکس‌های دیتابیس و کاهش سرعت WSUS

ایندکس‌ها در دیتابیس SUSDB باعث افزایش سرعت جستجوها و پردازش اطلاعات می‌شوند. با گذشت زمان، این ایندکس‌ها ممکن است بهینه نباشند و باعث کاهش عملکرد WSUS شوند.

بررسی وضعیت ایندکس‌ها

USE SUSDB
GO
SELECT OBJECT_NAME(i.object_id) AS TableName, 
       i.name AS IndexName, 
       ps.avg_fragmentation_in_percent
FROM sys.dm_db_index_physical_stats(DB_ID(), NULL, NULL, NULL, 'LIMITED') ps
JOIN sys.indexes i ON ps.object_id = i.object_id AND ps.index_id = i.index_id
WHERE ps.avg_fragmentation_in_percent > 30
ORDER BY ps.avg_fragmentation_in_percent DESC

بازسازی ایندکس‌های دیتابیس SUSDB

USE SUSDB
GO
ALTER INDEX ALL ON tbEventInstance REBUILD

---

جمع‌بندی

1. افزایش حجم دیتابیس WSUS می‌تواند منجر به کاهش عملکرد سرور شود. بررسی حجم پایگاه داده با دستورات SQL و PowerShell ضروری است.
2. جدول tbEventInstance در دیتابیس SUSDB معمولاً بیش‌ازحد رشد می‌کند و باید به‌صورت دوره‌ای پاکسازی شود.
3. خطای SUSDB Full معمولاً به دلیل پر شدن فضای ذخیره‌سازی یا محدودیت در حجم دیتابیس رخ می‌دهد و باید افزایش یابد.
4. عدم امکان اتصال به دیتابیس WSUS ممکن است به دلیل مشکلات سرویس SQL Server/WID یا عدم سطح دسترسی مناسب باشد.
5. خرابی ایندکس‌های دیتابیس می‌تواند عملکرد WSUS را کند کند و نیاز به بازسازی ایندکس‌ها دارد.

با اجرای این راهکارها، می‌توان بسیاری از مشکلات رایج دیتابیس WSUS را شناسایی و برطرف کرد.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”فشرده‌سازی و ایندکس‌گذاری مجدد دیتابیس برای افزایش کارایی” subtitle=”توضیحات کامل”]پایگاه داده WSUS با گذر زمان و افزایش حجم داده‌های مربوط به به‌روزرسانی‌ها، کلاینت‌ها و گزارشات، ممکن است دچار افت کارایی شود. فشرده‌سازی و بازسازی ایندکس‌های پایگاه داده SUSDB یکی از مهم‌ترین اقدامات برای افزایش کارایی WSUS و کاهش تأخیر در پردازش درخواست‌ها است. در این بخش، نحوه فشرده‌سازی و بازسازی ایندکس‌های دیتابیس را به روش‌های SQL Server Management Studio (SSMS) و PowerShell بررسی می‌کنیم.

---

۱. بررسی وضعیت فضای دیتابیس و ایندکس‌ها

قبل از انجام هر گونه بهینه‌سازی، باید وضعیت حجم دیتابیس و ایندکس‌ها را بررسی کنیم.

بررسی حجم دیتابیس WSUS در SQL Server

USE SUSDB
GO
EXEC sp_spaceused

این دستور میزان فضای اختصاص‌یافته و فضای استفاده‌شده را نمایش می‌دهد.

بررسی وضعیت ایندکس‌های SUSDB

برای مشاهده میزان تکه‌تکه شدن (Fragmentation) ایندکس‌ها از دستور زیر استفاده کنید:

USE SUSDB
GO
SELECT OBJECT_NAME(i.object_id) AS TableName, 
       i.name AS IndexName, 
       ps.avg_fragmentation_in_percent
FROM sys.dm_db_index_physical_stats(DB_ID(), NULL, NULL, NULL, 'LIMITED') ps
JOIN sys.indexes i ON ps.object_id = i.object_id AND ps.index_id = i.index_id
WHERE ps.avg_fragmentation_in_percent > 30
ORDER BY ps.avg_fragmentation_in_percent DESC

مقدار avg_fragmentation_in_percent بالاتر از ۳۰٪ نشان‌دهنده نیاز به بازسازی ایندکس‌ها است.

---

۲. بازسازی و بازسازی مجدد ایندکس‌ها در SUSDB

ایندکس‌ها با گذر زمان کارایی خود را از دست می‌دهند. برای بهینه‌سازی می‌توان از دو روش بازسازی (Rebuild) یا بازسازی مجدد (Reorganize) استفاده کرد:

• اگر Fragmentation بین ۱۰٪ تا ۳۰٪ باشد، Reorganize پیشنهاد می‌شود، زیرا بار کمتری به سرور وارد می‌کند.
• اگر Fragmentation بالای ۳۰٪ باشد، Rebuild مناسب‌تر است، اما ممکن است به فضای بیشتری نیاز داشته باشد.

بازسازی ایندکس‌ها در SUSDB

USE SUSDB
GO
ALTER INDEX ALL ON tbEventInstance REBUILD

بازسازی مجدد ایندکس‌ها در SUSDB

USE SUSDB
GO
ALTER INDEX ALL ON tbEventInstance REORGANIZE

بازسازی ایندکس‌های کل دیتابیس WSUS

USE SUSDB
GO
EXEC sp_MSforeachtable "ALTER INDEX ALL ON ? REBUILD"

بازسازی ایندکس‌ها با حذف اطلاعات قدیمی (حذف ایندکس و ایجاد مجدد)

USE SUSDB
GO
DROP INDEX IX_tbEventInstance ON tbEventInstance
CREATE INDEX IX_tbEventInstance ON tbEventInstance (EventTime)

نکته: اجرای این دستور باعث از بین رفتن ایندکس فعلی و ساخت مجدد آن می‌شود. اگر حجم ایندکس بسیار زیاد است، این روش می‌تواند سرعت را بهبود ببخشد.

---

۳. فشرده‌سازی پایگاه داده SUSDB برای بهینه‌سازی فضای ذخیره‌سازی

پس از حذف داده‌های قدیمی و بازسازی ایندکس‌ها، می‌توان فضای اختصاص‌یافته را کاهش داد.

بررسی فضای تخصیص‌یافته و آزاد در SUSDB

USE SUSDB
GO
SELECT name, size * 8 / 1024 AS SizeMB FROM sys.master_files
WHERE database_id = DB_ID('SUSDB')

فشرده‌سازی دیتابیس برای کاهش فضای اشغال‌شده

USE SUSDB
GO
DBCC SHRINKDATABASE (SUSDB)

این دستور فضای بلااستفاده را آزاد کرده و باعث کاهش حجم فایل دیتابیس می‌شود.

فشرده‌سازی یک جدول خاص در SUSDB

USE SUSDB
GO
DBCC SHRINKFILE (N'SUSDB', 5000) -- تنظیم حجم دیتابیس به 5000MB

نکته: مقدار ۵۰۰۰MB را می‌توان بر اساس نیاز تغییر داد.

---

۴. اجرای فرآیند فشرده‌سازی و بازسازی ایندکس‌ها با PowerShell

برای خودکارسازی این فرآیند، می‌توان از PowerShell استفاده کرد.

اسکریپت PowerShell برای بازسازی ایندکس‌های SUSDB

$SQLInstance = "localhost"  # نام سرور SQL یا WID
$Database = "SUSDB"

Invoke-Sqlcmd -ServerInstance $SQLInstance -Database $Database -Query "
USE SUSDB
EXEC sp_MSforeachtable 'ALTER INDEX ALL ON ? REBUILD'
"
Write-Output "Index Rebuild Completed"

اسکریپت PowerShell برای فشرده‌سازی دیتابیس

Invoke-Sqlcmd -ServerInstance $SQLInstance -Database $Database -Query "
USE SUSDB
DBCC SHRINKDATABASE (SUSDB)
"
Write-Output "Database Shrink Completed"

نکته: این اسکریپت‌ها می‌توانند در Task Scheduler زمان‌بندی شوند تا به‌صورت خودکار اجرا شوند.

---

۵. بهینه‌سازی خودکار دیتابیس با ایجاد یک Job در SQL Server

در SQL Server Agent می‌توان یک Job تعریف کرد که فرآیند فشرده‌سازی و بازسازی ایندکس‌ها را به‌صورت خودکار اجرا کند.

ایجاد Job برای فشرده‌سازی و بازسازی ایندکس‌ها

1. در SQL Server Management Studio (SSMS) وارد بخش SQL Server Agent شوید.
2. روی Jobs راست‌کلیک کرده و گزینه New Job را انتخاب کنید.
3. در تب Steps یک مرحله جدید اضافه کنید و دستورات زیر را وارد کنید:

USE SUSDB
GO
EXEC sp_MSforeachtable 'ALTER INDEX ALL ON ? REBUILD'
DBCC SHRINKDATABASE (SUSDB)

4. در تب Schedules یک زمان‌بندی مشخص (مثلاً ماهانه) برای اجرای این Job تعیین کنید.
5. Job را ذخیره و فعال کنید.

---

جمع‌بندی

1. بررسی وضعیت دیتابیس و ایندکس‌ها با استفاده از SQL یا PowerShell برای شناسایی مشکلات احتمالی ضروری است.
2. بازسازی ایندکس‌ها باعث بهبود سرعت پردازش درخواست‌ها در WSUS شده و به دو روش Reorganize (برای Fragmentation بین ۱۰٪ تا ۳۰٪) و Rebuild (برای بالای ۳۰٪) انجام می‌شود.
3. فشرده‌سازی دیتابیس باعث کاهش حجم اشغال‌شده و بهینه‌سازی فضای ذخیره‌سازی می‌شود.
4. خودکارسازی فرآیند فشرده‌سازی و بازسازی ایندکس‌ها با PowerShell یا ایجاد SQL Server Job باعث کاهش نیاز به مداخله دستی و بهبود عملکرد WSUS در طولانی‌مدت خواهد شد.

اجرای این فرآیندها به‌صورت دوره‌ای (مثلاً ماهانه) توصیه می‌شود تا کارایی WSUS در سطح مطلوب باقی بماند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اجرای دستورات SQL و PowerShell برای بهینه‌سازی عملکرد” subtitle=”توضیحات کامل”]بهینه‌سازی عملکرد WSUS با اجرای دستورات SQL و PowerShell می‌تواند تأثیر قابل‌توجهی در سرعت پاسخگویی، کاهش فضای اشغال‌شده و بهبود تجربه کاربری داشته باشد. در این بخش، روش‌های مختلفی برای بهینه‌سازی SUSDB از طریق دستورات SQL و اسکریپت‌های PowerShell ارائه می‌شود.

---

۱. بررسی وضعیت دیتابیس و شناسایی مشکلات عملکردی

بررسی فضای اشغال‌شده توسط SUSDB

USE SUSDB
GO
EXEC sp_spaceused

این دستور میزان فضای اختصاص‌یافته و استفاده‌شده را نمایش می‌دهد.

بررسی میزان Fragmentation ایندکس‌های SUSDB

USE SUSDB
GO
SELECT OBJECT_NAME(i.object_id) AS TableName, 
       i.name AS IndexName, 
       ps.avg_fragmentation_in_percent
FROM sys.dm_db_index_physical_stats(DB_ID(), NULL, NULL, NULL, 'LIMITED') ps
JOIN sys.indexes i ON ps.object_id = i.object_id AND ps.index_id = i.index_id
WHERE ps.avg_fragmentation_in_percent > 10
ORDER BY ps.avg_fragmentation_in_percent DESC

مقدار avg_fragmentation_in_percent بالاتر از ۳۰٪ نشان‌دهنده نیاز به بازسازی ایندکس‌ها است.

---

۲. بازسازی و فشرده‌سازی ایندکس‌های دیتابیس WSUS

بازسازی ایندکس‌ها برای بهبود سرعت پردازش

USE SUSDB
GO
ALTER INDEX ALL ON tbEventInstance REBUILD

بازسازی ایندکس‌ها در کل SUSDB

USE SUSDB
GO
EXEC sp_MSforeachtable "ALTER INDEX ALL ON ? REBUILD"

بازسازی مجدد ایندکس‌ها (در صورت Fragmentation کمتر از ۳۰٪)

USE SUSDB
GO
ALTER INDEX ALL ON tbEventInstance REORGANIZE

حذف ایندکس قدیمی و ایجاد مجدد آن برای بهبود کارایی

USE SUSDB
GO
DROP INDEX IX_tbEventInstance ON tbEventInstance
CREATE INDEX IX_tbEventInstance ON tbEventInstance (EventTime)

---

۳. فشرده‌سازی SUSDB برای کاهش فضای اشغال‌شده

بررسی فضای تخصیص‌یافته و استفاده‌شده توسط SUSDB

USE SUSDB
GO
SELECT name, size * 8 / 1024 AS SizeMB FROM sys.master_files
WHERE database_id = DB_ID('SUSDB')

فشرده‌سازی کل دیتابیس

USE SUSDB
GO
DBCC SHRINKDATABASE (SUSDB)

فشرده‌سازی یک فایل خاص در دیتابیس

USE SUSDB
GO
DBCC SHRINKFILE (N'SUSDB', 5000) -- تنظیم حجم به 5000MB

---

۴. اجرای فرآیند بهینه‌سازی با استفاده از PowerShell

اسکریپت PowerShell برای بازسازی ایندکس‌های SUSDB

$SQLInstance = "localhost"  # نام سرور SQL یا WID
$Database = "SUSDB"

Invoke-Sqlcmd -ServerInstance $SQLInstance -Database $Database -Query "
USE SUSDB
EXEC sp_MSforeachtable 'ALTER INDEX ALL ON ? REBUILD'
"
Write-Output "Index Rebuild Completed"

اسکریپت PowerShell برای فشرده‌سازی دیتابیس

Invoke-Sqlcmd -ServerInstance $SQLInstance -Database $Database -Query "
USE SUSDB
DBCC SHRINKDATABASE (SUSDB)
"
Write-Output "Database Shrink Completed"

ترکیب بهینه‌سازی ایندکس‌ها و فشرده‌سازی در یک اسکریپت PowerShell

$SQLInstance = "localhost"
$Database = "SUSDB"

$Query = @"
USE SUSDB
EXEC sp_MSforeachtable 'ALTER INDEX ALL ON ? REBUILD'
DBCC SHRINKDATABASE (SUSDB)
"@

Invoke-Sqlcmd -ServerInstance $SQLInstance -Database $Database -Query $Query
Write-Output "Database Optimization Completed"

نکته: این اسکریپت‌ها را می‌توان در Task Scheduler زمان‌بندی کرد تا به‌صورت خودکار اجرا شوند.

---

۵. ایجاد Job در SQL Server برای خودکارسازی فرآیند بهینه‌سازی

ایجاد Job برای بازسازی ایندکس‌ها و فشرده‌سازی SUSDB

1. در SQL Server Management Studio (SSMS) وارد SQL Server Agent شوید.
2. روی Jobs راست‌کلیک کرده و گزینه New Job را انتخاب کنید.
3. در تب Steps یک مرحله جدید اضافه کنید و دستورات زیر را وارد کنید:

USE SUSDB
GO
EXEC sp_MSforeachtable 'ALTER INDEX ALL ON ? REBUILD'
DBCC SHRINKDATABASE (SUSDB)

4. در تب Schedules یک زمان‌بندی مشخص (مثلاً ماهانه) برای اجرای این Job تعیین کنید.
5. Job را ذخیره و فعال کنید.

---

جمع‌بندی

1. بررسی وضعیت دیتابیس و ایندکس‌ها با استفاده از SQL Server Management Studio (SSMS) یا PowerShell برای شناسایی مشکلات عملکردی ضروری است.
2. بازسازی و بهینه‌سازی ایندکس‌ها باعث بهبود سرعت پردازش WSUS شده و می‌توان از روش‌های Rebuild یا Reorganize استفاده کرد.
3. فشرده‌سازی SUSDB برای کاهش فضای اشغال‌شده به‌خصوص پس از حذف داده‌های قدیمی ضروری است.
4. استفاده از PowerShell برای خودکارسازی فرآیند بهینه‌سازی، بار کاری مدیران شبکه را کاهش می‌دهد.
5. ایجاد SQL Server Job برای اجرای خودکار عملیات بهینه‌سازی، تضمین‌کننده پایداری عملکرد WSUS در بلندمدت خواهد بود.

اجرای این فرآیندها به‌صورت دوره‌ای (مثلاً ماهانه) پیشنهاد می‌شود تا کارایی WSUS در سطح مطلوب باقی بماند.[/cdb_course_lesson][cdb_course_lesson title=”فصل ۶. استفاده از Group Policy برای WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تنظیمات Group Policy برای کلاینت‌ها و سرور WSUS” subtitle=”توضیحات کامل”]استفاده از Group Policy برای پیکربندی کلاینت‌ها و سرور WSUS باعث یکپارچه‌سازی فرآیند به‌روزرسانی و کاهش نیاز به مدیریت دستی می‌شود. در این بخش، نحوه پیکربندی GPO برای اتصال کلاینت‌ها به WSUS، اعمال سیاست‌های به‌روزرسانی و تنظیمات مرتبط بررسی خواهد شد.

---

۱. ایجاد و پیکربندی Group Policy برای کلاینت‌ها

۱.۱. ایجاد یک GPO جدید در Group Policy Management

1. در Domain Controller، ابزار Group Policy Management را باز کنید.
2. روی Domain یا یک OU مشخص راست‌کلیک کرده و Create a GPO in this domain, and Link it here… را انتخاب کنید.
3. نام GPO را به‌عنوان مثال WSUS Client Configuration تنظیم کنید.

۱.۲. ویرایش GPO برای تنظیم کلاینت‌ها به استفاده از WSUS

1. روی GPO ایجاد شده راست‌کلیک کرده و گزینه Edit را انتخاب کنید.
2. مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

3. تنظیمات زیر را پیکربندی کنید:

۱.۳. مشخص کردن آدرس سرور WSUS برای کلاینت‌ها

• تنظیم Specify intranet Microsoft update service location را فعال کنید و مقدار را به آدرس WSUS خود تغییر دهید:

  http://WSUS-Server:8530
  

  نکته: اگر از HTTPS استفاده می‌کنید، مقدار را https://WSUS-Server:8531 قرار دهید.

۱.۴. تعیین نحوه دریافت به‌روزرسانی‌ها توسط کلاینت‌ها

• تنظیم Configure Automatic Updates را فعال کنید و مقدار زیر را انتخاب کنید:
  • Option 3 – Auto download and notify for install (دریافت خودکار اما نصب دستی)
  • Option 4 – Auto download and schedule the install (دریافت و نصب خودکار)
  • Option 5 – Allow local admin to choose settings (اختیار به مدیر محلی)

۱.۵. تنظیم زمان‌بندی برای نصب به‌روزرسانی‌ها

• Specify deadline before auto-restart for update installation را فعال کنید و مقدار ۷ روز پیشنهاد می‌شود.

۱.۶. فعال کردن دریافت به‌روزرسانی برای سایر محصولات Microsoft

• Enable Windows Update for other Microsoft products را فعال کنید.

۱.۷. اعمال GPO روی کلاینت‌ها

1. در Group Policy Management، روی OU مربوط به کلاینت‌ها راست‌کلیک کرده و گزینه Link an existing GPO… را انتخاب کنید.
2. GPO ایجاد شده را انتخاب کنید.

۱.۸. اعمال GPO روی کلاینت‌ها به‌صورت دستی

در کلاینت ویندوز، می‌توانید با اجرای دستور زیر Group Policy را فوراً اعمال کنید:

gpupdate /force

---

۲. پیکربندی Group Policy برای سرور WSUS

۲.۱. تعیین محدودیت Bandwidth برای WSUS

1. در Group Policy Management، یک GPO جدید ایجاد کرده و مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Network → Background Intelligent Transfer Service (BITS)
   

2. Limit the maximum network bandwidth for BITS background transfers را فعال کنید و مقدار دلخواه (مثلاً ۵۰٪) را تنظیم کنید.

۲.۲. تعیین رفتار WSUS هنگام دریافت به‌روزرسانی‌ها

1. مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

2. تنظیم Do not connect to any Windows Update Internet locations را فعال کنید.

۲.۳. اعمال GPO روی سرور WSUS

• مانند کلاینت‌ها، GPO را به OU مربوط به سرور WSUS لینک کنید.
• برای اجرای فوری سیاست‌ها از دستور زیر استفاده کنید:

gpupdate /force

---

۳. بررسی وضعیت کلاینت‌ها و GPO

۳.۱. بررسی وضعیت اتصال کلاینت به WSUS

روی یک کلاینت، دستور زیر را اجرا کنید تا از اتصال به WSUS اطمینان حاصل شود:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

اگر مقدار WUServer نمایش داده شد، یعنی کلاینت به درستی به WSUS متصل شده است.

۳.۲. بررسی وضعیت دریافت به‌روزرسانی‌ها در کلاینت‌ها

دستور زیر را اجرا کنید:

Get-WindowsUpdateLog

یا برای اجرای فوری جستجو و دریافت به‌روزرسانی‌ها:

wuauclt /detectnow
wuauclt /reportnow

---

جمع‌بندی

1. استفاده از Group Policy برای کلاینت‌ها و سرور WSUS مدیریت به‌روزرسانی‌ها را تسهیل می‌کند.
2. با استفاده از GPO، می‌توان کلاینت‌ها را مجبور به دریافت به‌روزرسانی از WSUS و تنظیم روش نصب خودکار کرد.
3. پیکربندی GPO برای سرور WSUS باعث بهینه‌سازی عملکرد و مدیریت بهتر پهنای باند می‌شود.
4. برای اعمال فوری سیاست‌ها، از gpupdate /force در کلاینت‌ها و سرورها استفاده کنید.
5. اجرای wuauclt /detectnow و بررسی مقدار WUServer در رجیستری به تأیید صحت پیکربندی کمک می‌کند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”اعمال سیاست‌های به‌روزرسانی خودکار از طریق GPO” subtitle=”توضیحات کامل”]استفاده از Group Policy برای اعمال سیاست‌های به‌روزرسانی خودکار در محیط WSUS به مدیران این امکان را می‌دهد که نحوه دریافت و نصب به‌روزرسانی‌ها را در سطح کلاینت‌ها و سرورها کنترل کنند. در این بخش، نحوه پیکربندی سیاست‌های به‌روزرسانی خودکار از طریق GPO برای کلاینت‌ها و سرورهای WSUS به‌صورت گرافیکی و از طریق دستورالعمل‌های کامندی بررسی خواهد شد.

---

۱. ایجاد GPO جدید برای سیاست‌های به‌روزرسانی خودکار

۱.۱. ایجاد یک GPO جدید در Group Policy Management

1. در Domain Controller، ابزار Group Policy Management را باز کنید.
2. در بخش Group Policy Objects (GPOs)، روی دایرکتوری یا OU موردنظر راست‌کلیک کرده و Create a GPO in this domain, and Link it here… را انتخاب کنید.
3. نام GPO را به‌عنوان مثال “Automatic Update Policy” تعیین کنید.

۱.۲. ویرایش GPO برای تنظیم سیاست‌های به‌روزرسانی خودکار

1. روی GPO ایجاد شده راست‌کلیک کرده و گزینه Edit را انتخاب کنید.
2. در ویرایشگر GPO، مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

---

۲. پیکربندی سیاست‌های به‌روزرسانی خودکار

**۲.۱. تنظیم Configure Automatic Updates

• گزینه Configure Automatic Updates را فعال کنید.
• سپس یکی از گزینه‌های زیر را انتخاب کنید:
  • Option 2 – Notify for download and notify for install (اطلاع‌رسانی برای دانلود و نصب)
  • Option 3 – Auto download and notify for install (دانلود خودکار و اطلاع‌رسانی برای نصب)
  • Option 4 – Auto download and schedule the install (دانلود خودکار و زمان‌بندی برای نصب)
  • Option 5 – Allow local admin to choose settings (اختیار به مدیر محلی برای تنظیمات)

  برای بیشتر سازمان‌ها، گزینه Option 4 توصیه می‌شود زیرا به مدیران اجازه می‌دهد تا زمان‌بندی نصب به‌روزرسانی‌ها را مشخص کنند.

۲.۲. تنظیم زمان‌بندی نصب به‌روزرسانی‌ها

• گزینه Specify deadline before auto-restart for update installation را فعال کنید و یک تاریخ و زمان معین (مثلاً ۷ روز) وارد کنید تا کلاینت‌ها قبل از انجام راه‌اندازی مجدد خودکار برای نصب به‌روزرسانی‌ها منتظر بمانند.

۲.۳. انتخاب تنظیمات به‌روزرسانی برای محصولات مایکروسافت دیگر

• گزینه Enable Windows Update for other Microsoft products را فعال کنید تا به‌روزرسانی‌ها برای سایر محصولات مایکروسافت نیز شامل شود (مثلاً Microsoft Office).

۲.۴. انتخاب آدرس سرور WSUS

• تنظیم Specify intranet Microsoft update service location را فعال کنید و آدرس سرور WSUS خود را به‌صورت زیر وارد کنید:

  http://WSUS-Server:8530
  

۲.۵. اعمال GPO روی کلاینت‌ها

• پس از تنظیمات، GPO را ذخیره کرده و آن را به OU مربوطه لینک کنید.
• برای اعمال سریع تنظیمات، در یک کلاینت دستور زیر را اجرا کنید:

  gpupdate /force
  

---

۳. اعمال GPO برای سرور WSUS

۳.۱. پیکربندی سیاست‌های به‌روزرسانی در سرور WSUS

• روی سرور WSUS، GPO مشابهی را ایجاد کنید، اما گزینه‌های مختلفی برای مدیریت به‌روزرسانی‌ها و اتصال به WSUS تنظیم کنید. این تنظیمات در سرور WSUS برای مدیریت دریافت و توزیع به‌روزرسانی‌ها استفاده می‌شوند.

۳.۲. تنظیم سیاست‌های Bandwidth و پهنای باند

• در GPO جدید، مسیر زیر را دنبال کرده و حداکثر پهنای باند BITS را برای به‌روزرسانی‌ها تنظیم کنید:

  Computer Configuration → Policies → Administrative Templates → Network → Background Intelligent Transfer Service (BITS)
  

  • گزینه Limit the maximum network bandwidth for BITS background transfers را فعال کرده و مقدار مناسب (مثلاً ۵۰٪) وارد کنید.

۳.۳. اعمال GPO روی سرور WSUS

• GPO ایجاد شده را به OU سرور WSUS لینک کنید. برای اعمال تنظیمات جدید روی سرور، دستور زیر را اجرا کنید:

  gpupdate /force
  

---

۴. بررسی وضعیت سیاست‌های به‌روزرسانی خودکار

۴.۱. بررسی وضعیت کلاینت‌ها

برای بررسی اینکه کلاینت‌ها به درستی به WSUS متصل شده‌اند و سیاست‌های به‌روزرسانی خودکار در حال اعمال است، از دستور زیر استفاده کنید:

reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate

اگر مقدار WUServer در رجیستری وجود داشت، به این معنی است که کلاینت به درستی به WSUS متصل شده است.

۴.۲. بررسی وضعیت دریافت به‌روزرسانی‌ها

برای بررسی وضعیت دریافت به‌روزرسانی‌ها در یک کلاینت، از دستور زیر استفاده کنید:

wuauclt /detectnow

این دستور باعث می‌شود که کلاینت به‌طور فوری به‌روزرسانی‌ها را شناسایی کند.

---

جمع‌بندی

1. استفاده از Group Policy برای تنظیم سیاست‌های به‌روزرسانی خودکار در WSUS به مدیران این امکان را می‌دهد که کنترل کاملی بر نحوه دریافت و نصب به‌روزرسانی‌ها داشته باشند.
2. تنظیمات مانند Configure Automatic Updates و Specify intranet Microsoft update service location باید به‌درستی پیکربندی شوند تا کلاینت‌ها به درستی به WSUS متصل شوند و به‌روزرسانی‌ها را از آن دریافت کنند.
3. استفاده از دستور gpupdate /force برای اعمال سریع سیاست‌ها ضروری است.
4. بررسی وضعیت به‌روزرسانی‌ها و تنظیمات GPO در کلاینت‌ها از طریق دستورات reg query و wuauclt امکان‌پذیر است.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”مدیریت سیاست‌های تأخیر در دریافت به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]یکی از ویژگی‌های مهم در مدیریت به‌روزرسانی‌ها از طریق WSUS و Group Policy، امکان تأخیر در دریافت به‌روزرسانی‌ها است. این سیاست‌ها به مدیران سیستم این امکان را می‌دهند که به‌طور کنترل‌شده به‌روزرسانی‌ها را به دستگاه‌ها ارسال کنند و از مشکلات احتمالی ناشی از به‌روزرسانی‌های سریع جلوگیری کنند. در این بخش، نحوه پیکربندی و اعمال سیاست‌های تأخیر در دریافت به‌روزرسانی‌ها بررسی خواهد شد.

---

۱. استفاده از Group Policy برای مدیریت تأخیر در دریافت به‌روزرسانی‌ها

۱.۱. ایجاد GPO برای سیاست‌های تأخیر در دریافت به‌روزرسانی‌ها

1. در Group Policy Management، ابتدا یک GPO جدید برای تنظیم تأخیر در به‌روزرسانی‌ها ایجاد کنید.
2. راست‌کلیک بر روی Group Policy Objects و انتخاب Create a GPO in this domain, and Link it here.
3. نام GPO را مانند “Update Delay Policy” انتخاب کنید.

۱.۲. ویرایش GPO برای تأخیر در دریافت به‌روزرسانی‌ها

1. روی GPO ایجاد شده راست‌کلیک کرده و گزینه Edit را انتخاب کنید.
2. در ویرایشگر GPO، مسیر زیر را دنبال کنید:

   Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
   

---

۲. تنظیم سیاست تأخیر در دریافت به‌روزرسانی‌ها

**۲.۱. تنظیم Defer Upgrades and Updates

• گزینه Defer upgrades and updates را فعال کنید.
• این گزینه به شما اجازه می‌دهد تا به‌روزرسانی‌ها را برای مدت زمانی خاص به تأخیر بیندازید. به طور پیش‌فرض، Windows 10 به‌روزرسانی‌ها را به مدت ۳۲ روز به تأخیر می‌اندازد، اما می‌توانید آن را تنظیم کنید.

۲.۲. انتخاب مدت زمان تأخیر در به‌روزرسانی‌ها

• گزینه Select when Feature Updates are received را انتخاب کنید و یک مدت زمان مناسب برای تأخیر در دریافت به‌روزرسانی‌ها وارد کنید. به عنوان مثال، می‌توانید زمان تأخیر را به ۳۰ روز تنظیم کنید تا از دریافت به‌روزرسانی‌های جدید و ویژگی‌ها تا زمانی مشخص جلوگیری کنید.

۲.۳. اعمال سیاست تأخیر برای به‌روزرسانی‌های ویژگی

• تنظیم Select when Quality Updates are received را فعال کرده و زمان تأخیر برای به‌روزرسانی‌های کیفیت (Quality Updates) را نیز تنظیم کنید. این به‌روزرسانی‌ها شامل به‌روزرسانی‌های امنیتی و بهبودهای پایداری هستند.

---

۳. پیکربندی سیاست‌های تأخیر در WSUS

۳.۱. تنظیم سیاست‌های تأخیر در WSUS

• در سرور WSUS، می‌توانید تنظیمات تأخیر را به‌طور مشابه پیکربندی کنید تا از ارسال به‌روزرسانی‌ها به دستگاه‌ها و سرورهای خاص جلوگیری شود.
• ابتدا باید اطمینان حاصل کنید که WSUS به درستی پیکربندی شده است تا از سیاست‌های تأخیر در سطح کلاینت‌ها پیروی کند.

۳.۲. پیکربندی کلاینت‌ها برای استفاده از تأخیر در به‌روزرسانی‌ها

• در صورت استفاده از Group Policy، پس از تنظیمات، gpupdate /force را در کلاینت‌ها اجرا کنید تا تغییرات بلافاصله اعمال شود.
• همچنین، تنظیمات را در Server WSUS از طریق GPO به سرورهای WSUS هم لینک کنید تا سیاست‌های تأخیر به درستی بر روی سرورهای مربوطه اعمال شوند.

---

۴. بررسی تأخیر در دریافت به‌روزرسانی‌ها در کلاینت‌ها

۴.۱. بررسی وضعیت تأخیر به‌روزرسانی‌ها

برای بررسی اینکه تأخیر در به‌روزرسانی‌ها به درستی اعمال شده است، می‌توانید از دستور زیر استفاده کنید:

Get-WindowsUpdateLog

این دستور گزارشی از به‌روزرسانی‌های ویندوز و دلایل عدم دریافت به‌روزرسانی‌ها را ارائه می‌دهد، از جمله اطلاعاتی در مورد تأخیرهای اعمال‌شده.

۴.۲. بررسی وضعیت GPO در کلاینت‌ها

برای اطمینان از اعمال صحیح GPO در کلاینت‌ها، دستور زیر را در Command Prompt یا PowerShell اجرا کنید:

gpresult /r

این دستور گزارش وضعیت GPO را در دستگاه کلاینت نشان می‌دهد و نشان می‌دهد که آیا سیاست تأخیر در دریافت به‌روزرسانی‌ها به درستی اعمال شده است یا خیر.

---

جمع‌بندی

1. استفاده از Group Policy برای تنظیم سیاست‌های تأخیر در دریافت به‌روزرسانی‌ها به مدیران سیستم این امکان را می‌دهد که به‌طور کنترل‌شده به‌روزرسانی‌ها را در محیط خود مدیریت کنند.
2. تنظیمات Defer Upgrades and Updates و Select when Feature and Quality Updates are received امکان تأخیر در دریافت به‌روزرسانی‌های ویژگی و کیفیت را فراهم می‌آورد.
3. در WSUS، سیاست‌های تأخیر باید برای کلاینت‌ها و سرورها پیکربندی شوند تا از ارسال به‌روزرسانی‌ها به‌طور ناخواسته جلوگیری شود.
4. دستورات مانند Get-WindowsUpdateLog و gpresult /r برای بررسی وضعیت تأخیر و اطمینان از اجرای صحیح سیاست‌ها به کار می‌روند.

[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”بررسی و رفع مشکلات مربوط به GPO در WSUS” subtitle=”توضیحات کامل”]مدیریت به‌روزرسانی‌ها از طریق Group Policy Objects (GPO) در WSUS ابزاری قدرتمند برای کنترل نحوه دریافت و نصب به‌روزرسانی‌ها در شبکه است. با این حال، در برخی مواقع ممکن است مشکلاتی در پیکربندی و عملکرد GPOها در WSUS پیش بیاید که باعث اختلال در فرایند به‌روزرسانی‌ها شود. در این بخش، نحوه شناسایی، بررسی و رفع مشکلات مربوط به GPO در WSUS بررسی خواهد شد.

---

۱. مشکلات رایج مربوط به GPO در WSUS

۱.۱. GPO به درستی اعمال نمی‌شود

یکی از مشکلات رایج، عدم اعمال GPO در کلاینت‌ها است. این مشکل می‌تواند به دلیل پیکربندی نادرست GPO، مشکلات شبکه یا عدم بروزرسانی صحیح تنظیمات باشد.

۱.۲. عدم دریافت به‌روزرسانی‌ها توسط کلاینت‌ها

گاهی اوقات کلاینت‌ها نمی‌توانند به‌روزرسانی‌ها را از WSUS دریافت کنند. این مشکل ممکن است به دلیل تنظیمات نادرست GPO برای تنظیمات به‌روزرسانی یا مشکلات در ارتباطات شبکه باشد.

۱.۳. به‌روزرسانی‌ها به موقع اعمال نمی‌شوند

در برخی مواقع، GPO به درستی اعمال می‌شود اما به‌روزرسانی‌ها با تأخیر دریافت می‌شوند. این مشکل می‌تواند ناشی از تنظیمات نادرست تأخیر در دریافت به‌روزرسانی‌ها یا مشکلات در WSUS باشد.

---

۲. نحوه بررسی مشکلات مربوط به GPO در WSUS

۲.۱. بررسی وضعیت GPO

برای اطمینان از اینکه GPO به درستی بر روی کلاینت‌ها اعمال شده است، می‌توان از دستور زیر برای بررسی وضعیت GPO در دستگاه‌های کلاینت استفاده کرد:

gpresult /r

این دستور گزارشی از سیاست‌های اعمال‌شده روی سیستم را به نمایش می‌گذارد و نشان می‌دهد که آیا تنظیمات WSUS در GPO به درستی اعمال شده است یا خیر.

۲.۲. بررسی صحت پیکربندی GPO

• ابتدا باید بررسی کنید که GPO مربوطه به درستی پیکربندی شده است. مسیر پیکربندی WSUS در GPO به شرح زیر است:

  Computer Configuration → Policies → Administrative Templates → Windows Components → Windows Update
  

• تنظیمات مربوط به WSUS Server و استفاده از سرورهای داخلی در این بخش باید به درستی پیکربندی شوند.

۲.۳. استفاده از Event Viewer برای شناسایی مشکلات

• در Event Viewer می‌توانید اطلاعات دقیق‌تری در مورد مشکلات به‌روزرسانی و تنظیمات GPO پیدا کنید. مسیر زیر را برای بررسی مشکلات مربوط به GPO در کلاینت‌ها دنبال کنید:

  Event Viewer → Applications and Services Logs → Microsoft → Windows → GroupPolicy → Operational
  

• این لاگ‌ها می‌توانند خطاها و مشکلات در هنگام اعمال یا اعمال نشدن GPOها را نشان دهند.

۲.۴. بررسی GPO و مشکلات شبکه

در صورتی که GPO به درستی پیکربندی شده باشد اما همچنان مشکلاتی در اعمال آن وجود داشته باشد، ممکن است مشکل از ارتباطات شبکه باشد. برای بررسی اتصال به WSUS، می‌توانید از دستورات ping و telnet استفاده کنید تا مطمئن شوید که پورت‌ها و ارتباطات شبکه صحیح است.

---

۳. رفع مشکلات مربوط به GPO در WSUS

۳.۱. بررسی و اعمال مجدد GPO

• اگر GPO به درستی اعمال نشده باشد، ابتدا باید از Group Policy Management بررسی کنید که آیا GPO به درستی به OU یا گروه‌های کاربری مورد نظر لینک شده است یا خیر.
• در صورت لزوم، GPO را مجدداً لینک کنید و با دستور gpupdate /force تنظیمات را به‌روز کنید.

۳.۲. بررسی دسترسی به سرور WSUS

• مطمئن شوید که دستگاه‌های کلاینت به سرور WSUS متصل هستند و مشکلی در ارتباط شبکه وجود ندارد. از دستورات ping و telnet برای بررسی ارتباطات شبکه استفاده کنید.

۳.۳. استفاده از PowerShell برای شبیه‌سازی و بررسی GPO

در PowerShell می‌توانید از دستور زیر برای شبیه‌سازی اعمال GPO استفاده کنید:

gpupdate /target:computer /force

این دستور باعث به‌روزرسانی فوری GPOها در دستگاه مورد نظر می‌شود.

۳.۴. رفع مشکلات مربوط به اتصال به WSUS

• اطمینان حاصل کنید که دستگاه‌های کلاینت به پورت‌های صحیح برای ارتباط با WSUS دسترسی دارند. پورت‌های استاندارد WSUS شامل پورت‌های 80 و 443 هستند. در صورت استفاده از HTTPS، پورت 443 باید باز باشد.

**۳.۵. بررسی و رفع مشکلات مربوط به Windows Update Service

گاهی اوقات، مشکلات مربوط به Windows Update Service (wuauserv) می‌تواند موجب عدم دریافت به‌روزرسانی‌ها شود. برای رفع این مشکل، سرویس Windows Update را ریستارت کنید:

Restart-Service wuauserv

این دستور باعث راه‌اندازی مجدد سرویس به‌روزرسانی ویندوز و بررسی مشکلات مرتبط با آن می‌شود.

---

جمع‌بندی

1. مشکلات مرتبط با GPO در WSUS می‌تواند به دلیل پیکربندی نادرست، عدم اعمال صحیح یا مشکلات شبکه باشد.
2. استفاده از ابزارهایی مانند gpresult /r، Event Viewer، و ping برای بررسی وضعیت و رفع مشکلات GPO مفید است.
3. برای رفع مشکلات، GPO باید به درستی پیکربندی و به دستگاه‌ها اعمال شود، و همچنین اطمینان حاصل شود که ارتباطات شبکه و پورت‌های مورد نیاز برای ارتباط با WSUS برقرار است.
4. دستورات gpupdate /force و Restart-Service wuauserv به‌طور مؤثر مشکلات مربوط به GPO و به‌روزرسانی‌ها را برطرف می‌کند.

[/cdb_course_lesson][cdb_course_lesson title=”فصل ۷. مانیتورینگ و گزارش‌گیری در WSUS”][/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”معرفی ابزارهای داخلی WSUS برای نظارت بر وضعیت به‌روزرسانی‌ها” subtitle=”توضیحات کامل”]در WSUS (Windows Server Update Services)، نظارت بر وضعیت به‌روزرسانی‌ها نقش مهمی در اطمینان از اینکه سیستم‌ها و سرورها همیشه به‌روز هستند و از آسیب‌پذیری‌های امنیتی محافظت می‌شوند، ایفا می‌کند. WSUS مجموعه‌ای از ابزارهای داخلی دارد که به مدیران سیستم امکان می‌دهد وضعیت به‌روزرسانی‌ها را نظارت و مدیریت کنند. این ابزارها اطلاعات مهمی در مورد به‌روزرسانی‌ها، دستگاه‌ها و مشکلات بالقوه ارائه می‌دهند.

---

۱. WSUS Administration Console

WSUS Administration Console یکی از ابزارهای اصلی برای نظارت و مدیریت به‌روزرسانی‌ها است. این کنسول به مدیران اجازه می‌دهد تا وضعیت به‌روزرسانی‌ها را در سطح کلیه سیستم‌ها و دستگاه‌ها مشاهده کنند. از طریق این کنسول می‌توان:

• گزارش‌های کلی وضعیت به‌روزرسانی‌ها را بررسی کرد.
• گروه‌های به‌روزرسانی ایجاد کرده و وضعیت هر یک از آن‌ها را مشاهده کرد.
• به‌روزرسانی‌های موفق یا ناموفق را پیگیری کرد.
• دستگاه‌هایی که نیاز به به‌روزرسانی دارند را شناسایی کرد.

در کنسول WSUS، می‌توان به بخش‌هایی همچون Update Services و Synchronization Status دسترسی داشت تا به راحتی اطلاعات به‌روزرسانی‌ها را مشاهده کنید.

---

۲. Windows Update Log (WindowsUpdate.log)

WindowsUpdate.log یک فایل لاگ است که به طور خودکار توسط سیستم عامل ویندوز ایجاد می‌شود و اطلاعات دقیقی در مورد فرآیند به‌روزرسانی‌ها و مشکلات مربوط به آن‌ها ارائه می‌دهد. این لاگ به ویژه برای شناسایی مشکلات مربوط به کلاینت‌ها و ارتباطات WSUS با سیستم‌ها مفید است.

• مسیر فایل لاگ در ویندوز:

  C:\Windows\WindowsUpdate.log
  

این فایل حاوی جزئیات دقیقی از به‌روزرسانی‌ها، از جمله تاریخ و زمان نصب، خطاها، و وضعیت هر به‌روزرسانی است. همچنین برای عیب‌یابی مشکلات به‌روزرسانی و رفع خطاهای مربوط به WSUS بسیار مفید است.

---

۳. Reporting and Status Monitoring

WSUS ابزارهای پیشرفته‌ای برای تولید گزارش‌های مختلف از وضعیت به‌روزرسانی‌ها دارد. این ابزار به مدیران سیستم کمک می‌کند تا وضعیت به‌روزرسانی‌ها را در سطح سازمان به‌دقت پیگیری کنند. از جمله این ابزارها می‌توان به موارد زیر اشاره کرد:

• Reports: در کنسول WSUS، مدیران می‌توانند گزارش‌های از پیش ساخته‌شده‌ای را مشاهده کنند که شامل اطلاعات مربوط به به‌روزرسانی‌ها، وضعیت نصب، تعداد سیستم‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند و غیره است.
• Update Status Reports: این گزارش شامل وضعیت نصب هر به‌روزرسانی روی دستگاه‌های مختلف است. شما می‌توانید گزارشی از به‌روزرسانی‌های موفق، ناموفق و در حال انتظار برای نصب مشاهده کنید.
• Computer Status Reports: این گزارش نشان می‌دهد که هر دستگاه در چه وضعیت به‌روزرسانی است و آیا به‌روزرسانی‌ها به درستی نصب شده‌اند یا خیر.

برای دسترسی به گزارش‌ها در WSUS:

• وارد WSUS Administration Console شوید.
• به بخش Reporting بروید.
• گزارشی را که نیاز دارید انتخاب کنید.

---

۴. PowerShell for WSUS

PowerShell ابزار قدرتمندی است که به مدیران اجازه می‌دهد وضعیت به‌روزرسانی‌ها و WSUS را به طور خودکار و از راه دور نظارت کنند. با استفاده از PowerShell Cmdlets می‌توان عملیات مختلفی مانند گزارش‌گیری، مدیریت به‌روزرسانی‌ها و بررسی وضعیت سیستم‌ها را انجام داد.

• دستوراتی مانند Get-WsusComputer, Get-WsusUpdate, و Get-WsusApproval می‌توانند به شما کمک کنند تا وضعیت سیستم‌ها، به‌روزرسانی‌ها و تاییدات را به راحتی بررسی کنید.

به عنوان مثال، برای دریافت لیستی از به‌روزرسانی‌های تایید شده و وضعیت نصب آن‌ها، می‌توانید از دستور زیر استفاده کنید:

Get-WsusUpdate | Where-Object {$_.IsApproved -eq $true} | Select Title, Status

این دستور، اطلاعات به‌روزرسانی‌هایی که تایید شده‌اند و وضعیت نصب آن‌ها را نمایش می‌دهد.

---

۵. Event Viewer (ویندوز)

Event Viewer یک ابزار داخلی ویندوز است که اطلاعات مربوط به سیستم و فرآیندهای مختلف آن را ثبت می‌کند. در WSUS، از این ابزار می‌توان برای نظارت بر مشکلات به‌روزرسانی و بررسی رخدادهای مرتبط با سرویس Windows Update استفاده کرد.

• برای مشاهده گزارش‌های مربوط به به‌روزرسانی‌ها در Event Viewer، از مسیر زیر استفاده کنید:

  Event Viewer → Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational
  

• این لاگ‌ها شامل اطلاعاتی در مورد وضعیت به‌روزرسانی‌ها، خطاهای مربوط به ارتباطات WSUS، و مشکلات نصب به‌روزرسانی‌ها هستند.

---

۶. WSUS Reporting with SQL Server Reporting Services (SSRS)

برای شبکه‌های بزرگ که نیاز به گزارش‌های پیشرفته دارند، SQL Server Reporting Services (SSRS) می‌تواند به عنوان یک ابزار گزارش‌گیری قدرتمند برای WSUS مورد استفاده قرار گیرد. با استفاده از SSRS، می‌توان گزارش‌های سفارشی، دقیق و قابل تنظیم از WSUS را ایجاد کرد.

برای استفاده از SSRS، ابتدا باید WSUS را با SQL Server متصل کرده و تنظیمات مربوط به آن را پیکربندی کنید. سپس می‌توانید از قابلیت‌های پیشرفته SSRS برای تجزیه و تحلیل داده‌ها و ایجاد گزارش‌های دقیق استفاده کنید.

---

جمع‌بندی

1. WSUS Administration Console یکی از ابزارهای اصلی نظارت بر وضعیت به‌روزرسانی‌ها است که مدیران می‌توانند از آن برای پیگیری به‌روزرسانی‌ها و دستگاه‌های مختلف استفاده کنند.
2. Windows Update Log، به عنوان یک فایل لاگ مهم، اطلاعات دقیق‌تری از مشکلات به‌روزرسانی‌ها و اتصال به WSUS را ارائه می‌دهد.
3. استفاده از PowerShell برای خودکارسازی گزارش‌گیری و نظارت بر وضعیت به‌روزرسانی‌ها ابزار قدرتمند و کارآمدی است.
4. Event Viewer و SQL Server Reporting Services ابزارهایی هستند که می‌توانند به بررسی دقیق‌تر مشکلات و گزارش‌گیری‌های سفارشی کمک کنند.

این ابزارها به مدیران سیستم کمک می‌کنند تا به راحتی وضعیت به‌روزرسانی‌ها را نظارت کرده و مشکلات مربوط به آن‌ها را شناسایی و حل کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”تجزیه و تحلیل گزارش‌های به‌روزرسانی و شناسایی مشکلات” subtitle=”توضیحات کامل”]تجزیه و تحلیل گزارش‌های به‌روزرسانی در WSUS برای شناسایی مشکلات و اطمینان از نصب صحیح به‌روزرسانی‌ها یکی از مهم‌ترین وظایف مدیران سیستم است. هنگامی که به‌روزرسانی‌ها به‌درستی نصب نمی‌شوند یا سیستم‌ها به‌روزرسانی‌های مورد نیاز را دریافت نمی‌کنند، تجزیه و تحلیل دقیق گزارش‌ها می‌تواند به شناسایی دلایل اصلی این مشکلات کمک کند.

در این بخش، به بررسی نحوه تجزیه و تحلیل گزارش‌های به‌روزرسانی و شناسایی مشکلات مختلف پرداخته می‌شود.

---

۱. بررسی گزارش‌های WSUS از طریق WSUS Administration Console

WSUS Administration Console یکی از ابزارهای اصلی برای تجزیه و تحلیل گزارش‌های به‌روزرسانی است. با استفاده از این کنسول، مدیران سیستم می‌توانند وضعیت نصب به‌روزرسانی‌ها، مشکلات مربوط به دستگاه‌ها و علت عدم نصب به‌روزرسانی‌ها را شناسایی کنند.

در کنسول، مدیران می‌توانند از گزارش‌های مختلف برای تجزیه و تحلیل استفاده کنند. مهم‌ترین گزارش‌ها به شرح زیر هستند:

• Update Status Reports: این گزارش شامل اطلاعات مربوط به وضعیت نصب به‌روزرسانی‌ها در دستگاه‌های مختلف است. گزارش به تفکیک به‌روزرسانی‌های موفق، ناموفق و در حال انتظار برای نصب دسته‌بندی می‌شود. این گزارش به مدیران کمک می‌کند تا دستگاه‌هایی که با مشکل مواجه شده‌اند را شناسایی کنند.
• Computer Status Reports: این گزارش وضعیت به‌روزرسانی‌ها را در سطح کامپیوترهای مختلف نشان می‌دهد. دستگاه‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند یا در نصب به‌روزرسانی‌ها مشکلی دارند، در این گزارش مشخص می‌شوند.

برای دسترسی به این گزارش‌ها، مراحل زیر را دنبال کنید:

1. وارد WSUS Administration Console شوید.
2. به قسمت Reporting بروید.
3. گزارش‌های مورد نظر خود را انتخاب کرده و بررسی کنید.

---

۲. بررسی گزارش‌های موجود در WindowsUpdate.log

فایل WindowsUpdate.log اطلاعات دقیقی از فرآیندهای به‌روزرسانی و مشکلات مرتبط با آن‌ها فراهم می‌کند. این فایل لاگ می‌تواند به شناسایی دلایل اصلی عدم موفقیت به‌روزرسانی‌ها کمک کند. معمولاً این لاگ شامل خطاهایی است که در زمان ارتباط با WSUS یا نصب به‌روزرسانی‌ها ایجاد می‌شود.

برای تجزیه و تحلیل گزارش‌ها:

1. به مسیر زیر بروید تا فایل لاگ را پیدا کنید:

   C:\Windows\WindowsUpdate.log
   

2. این فایل حاوی اطلاعاتی در مورد موفقیت‌ها، خطاها، دلایل مشکلات ارتباطی، و وضعیت نصب به‌روزرسانی‌ها است.

اگر دستگاهی در نصب به‌روزرسانی‌ها دچار مشکل شده باشد، در این فایل لاگ پیام‌هایی از قبیل Error Code یا Failure Reason مشاهده خواهید کرد که می‌تواند در شناسایی مشکل کمک کند.

---

۳. استفاده از PowerShell برای تجزیه و تحلیل وضعیت به‌روزرسانی‌ها

PowerShell ابزاری است که می‌تواند برای تجزیه و تحلیل وضعیت به‌روزرسانی‌ها به صورت خودکار و از راه دور استفاده شود. با استفاده از دستورات PowerShell، می‌توان گزارش‌های مفصلی از وضعیت به‌روزرسانی‌ها دریافت کرده و مشکلات مربوط به نصب یا تایید به‌روزرسانی‌ها را شناسایی کرد.

برای مثال، برای دریافت وضعیت نصب به‌روزرسانی‌ها بر روی سیستم‌های مختلف، از دستور زیر می‌توانید استفاده کنید:

Get-WsusUpdate | Select Title, Status, LastUpdated

این دستور به شما اجازه می‌دهد تا عنوان، وضعیت و تاریخ آخرین به‌روزرسانی‌ها را مشاهده کنید.

برای بررسی سیستم‌هایی که به‌روزرسانی‌ها را دریافت نکرده‌اند، از دستور زیر استفاده کنید:

Get-WsusComputer | Where-Object {$_.IsNeedsUpdate -eq $true} | Select ComputerName, LastSyncTime

این دستور سیستم‌هایی را که به‌روزرسانی‌ها را نیاز دارند، همراه با زمان آخرین همگام‌سازی نمایش می‌دهد.

---

۴. بررسی خطاها در Event Viewer

Event Viewer یک ابزار مهم دیگر است که می‌تواند برای تجزیه و تحلیل مشکلات به‌روزرسانی استفاده شود. این ابزار به شما این امکان را می‌دهد که رخدادهای مختلف سیستم را بررسی کنید و مشکلات مربوط به به‌روزرسانی‌ها را شناسایی کنید.

برای بررسی گزارش‌های مربوط به WSUS و Windows Update، به مسیر زیر بروید:

Event Viewer → Applications and Services Logs → Microsoft → Windows → WindowsUpdateClient → Operational

این لاگ‌ها شامل اطلاعاتی مانند خطاهای مربوط به ارتباط با WSUS، مشکلات نصب به‌روزرسانی‌ها و دلایل احتمالی عدم موفقیت در فرآیند به‌روزرسانی هستند.

---

۵. استفاده از گزارش‌های SSRS برای تحلیل دقیق‌تر

اگر از SQL Server Reporting Services (SSRS) برای گزارش‌گیری از WSUS استفاده می‌کنید، می‌توانید گزارش‌های سفارشی و دقیقی برای تحلیل وضعیت به‌روزرسانی‌ها ایجاد کنید. با استفاده از SSRS، مدیران سیستم می‌توانند اطلاعات دقیق‌تر از مشکلات و روند به‌روزرسانی‌ها در سطح سازمان بدست آورند.

گزارش‌های SSRS می‌توانند شامل جزئیات دقیقی از وضعیت سیستم‌ها و به‌روزرسانی‌ها باشند و به مدیران امکان تجزیه و تحلیل پیشرفته‌تری را بدهند.

---

جمع‌بندی

1. WSUS Administration Console به عنوان ابزار اصلی، گزارش‌های مختلفی از وضعیت به‌روزرسانی‌ها و دستگاه‌ها فراهم می‌کند که می‌تواند به شناسایی مشکلات کمک کند.
2. WindowsUpdate.log اطلاعات دقیقی از خطاها و مشکلات به‌روزرسانی فراهم می‌آورد و می‌تواند به رفع مشکلات ارتباطی و نصب کمک کند.
3. با استفاده از PowerShell، مدیران می‌توانند به صورت خودکار وضعیت به‌روزرسانی‌ها را تجزیه و تحلیل کنند.
4. Event Viewer می‌تواند رخدادهای مهم مربوط به به‌روزرسانی‌ها را ثبت کند و به شناسایی مشکلات کمک کند.
5. SSRS برای تجزیه و تحلیل دقیق‌تر و ایجاد گزارش‌های سفارشی از وضعیت به‌روزرسانی‌ها می‌تواند استفاده شود.

تجزیه و تحلیل دقیق گزارش‌ها و لاگ‌ها به مدیران کمک می‌کند تا مشکلات به‌روزرسانی را شناسایی کرده و فرآیند به‌روزرسانی‌ها را بهینه‌سازی کنند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”استفاده از PowerShell برای جمع‌آوری داده‌های آماری” subtitle=”توضیحات کامل”]استفاده از PowerShell برای جمع‌آوری داده‌های آماری در محیط WSUS یک روش مؤثر برای نظارت و تحلیل وضعیت به‌روزرسانی‌ها و سیستم‌های مختلف است. PowerShell به مدیران این امکان را می‌دهد تا اطلاعات دقیقی از وضعیت به‌روزرسانی‌ها، عملکرد سیستم‌ها، و دیگر جنبه‌های WSUS جمع‌آوری کنند و فرآیندهای مدیریتی را خودکارسازی کنند.

در این بخش، نحوه استفاده از PowerShell برای جمع‌آوری داده‌های آماری از WSUS بررسی خواهد شد.

---

۱. جمع‌آوری اطلاعات وضعیت به‌روزرسانی‌ها

با استفاده از PowerShell، می‌توان وضعیت به‌روزرسانی‌های نصب‌شده را در WSUS برای سیستم‌های مختلف بررسی کرد. این اطلاعات شامل تعداد به‌روزرسانی‌های موفق، ناموفق، و در حال انتظار است.

برای جمع‌آوری این داده‌ها، از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$updates = $wsus.GetUpdates()

$updates | Select Title, Status, LastUpdated | Format-Table -AutoSize

این دستور لیستی از به‌روزرسانی‌ها را با اطلاعاتی مانند عنوان، وضعیت، و تاریخ آخرین به‌روزرسانی به شما نمایش می‌دهد.

---

۲. جمع‌آوری اطلاعات سیستم‌های نیازمند به‌روزرسانی

اگر می‌خواهید سیستم‌هایی که نیاز به دریافت به‌روزرسانی دارند را شناسایی کنید، از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$computers = $wsus.GetComputers()

$computers | Where-Object {$_.IsNeedsUpdate -eq $true} | Select ComputerName, LastSyncTime | Format-Table -AutoSize

این دستور فهرستی از کامپیوترهایی که به‌روزرسانی‌ها را دریافت نکرده‌اند را همراه با زمان آخرین همگام‌سازی نشان می‌دهد.

---

۳. جمع‌آوری داده‌های آماری در مورد گروه‌های کامپیوتر

در WSUS، کامپیوترها به گروه‌های مختلف تقسیم می‌شوند. می‌توانید از PowerShell برای جمع‌آوری داده‌های آماری در مورد هر گروه از کامپیوترها استفاده کنید.

برای مشاهده تعداد کامپیوترها در هر گروه، از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$computerGroups = $wsus.GetComputerGroups()

$computerGroups | ForEach-Object {
    $group = $_
    $group.Computers.Count
} | Format-Table -AutoSize

این دستور تعداد کامپیوترهای موجود در هر گروه را نمایش می‌دهد.

---

۴. گزارش‌دهی از خطاها و وضعیت‌های ناموفق

برای جمع‌آوری اطلاعات در مورد به‌روزرسانی‌هایی که به درستی نصب نشده‌اند، می‌توان از PowerShell استفاده کرد. این اطلاعات می‌تواند شامل خطاهای نصب یا مشکلات ارتباطی با سرور WSUS باشد.

برای مشاهده به‌روزرسانی‌های ناموفق، دستور زیر را اجرا کنید:

$wsus = Get-WsusServer
$failedUpdates = $wsus.GetUpdates() | Where-Object {$_.Status -eq 'Failed'}

$failedUpdates | Select Title, FailureCode, FailureCount | Format-Table -AutoSize

این دستور به شما اطلاعاتی در مورد به‌روزرسانی‌های ناموفق، کدهای خطا و تعداد دفعاتی که خطا رخ داده است، نمایش می‌دهد.

---

۵. جمع‌آوری اطلاعات از زمان آخرین همگام‌سازی

یکی از اطلاعات مهمی که می‌توان جمع‌آوری کرد، زمان آخرین همگام‌سازی با سرور WSUS است. این داده می‌تواند نشان دهد که کدام کامپیوترها نیاز به همگام‌سازی مجدد دارند.

برای جمع‌آوری این اطلاعات، از دستور زیر استفاده کنید:

$wsus = Get-WsusServer
$computers = $wsus.GetComputers()

$computers | Select ComputerName, LastSyncTime | Format-Table -AutoSize

این دستور لیستی از کامپیوترها به همراه زمان آخرین همگام‌سازی آن‌ها را نمایش می‌دهد.

---

۶. استخراج گزارش به‌روزرسانی‌ها و ذخیره آن‌ها در فایل CSV

برای ذخیره داده‌های جمع‌آوری‌شده در قالب فایل CSV به منظور تجزیه و تحلیل بیشتر، می‌توانید از دستور PowerShell زیر استفاده کنید:

$wsus = Get-WsusServer
$updates = $wsus.GetUpdates()

$updates | Select Title, Status, LastUpdated | Export-Csv -Path "C:\WSUS_Reports\UpdatesReport.csv" -NoTypeInformation

این دستور داده‌های به‌روزرسانی‌ها را به فایل CSV با مسیر مشخص‌شده ذخیره می‌کند که سپس می‌توان آن را در نرم‌افزارهایی مانند Excel برای تجزیه و تحلیل بیشتر باز کرد.

---

جمع‌بندی

1. با استفاده از PowerShell می‌توانید داده‌های آماری دقیق از وضعیت به‌روزرسانی‌ها در WSUS جمع‌آوری کنید.
2. با دستورات مناسب، می‌توان وضعیت به‌روزرسانی‌ها، سیستم‌های نیازمند به‌روزرسانی، گروه‌های کامپیوتر، خطاها و مشکلات نصب را تجزیه و تحلیل کرد.
3. اطلاعات جمع‌آوری‌شده را می‌توان در فایل‌های CSV ذخیره کرد تا برای تجزیه و تحلیل بیشتر استفاده شود.
4. PowerShell ابزاری قدرتمند برای خودکارسازی گزارش‌دهی و نظارت بر وضعیت به‌روزرسانی‌ها است.

استفاده از این دستورات به مدیران سیستم کمک می‌کند تا به راحتی مشکلات به‌روزرسانی را شناسایی کرده و اقدامات لازم را برای بهبود عملکرد و سازگاری سیستم‌ها انجام دهند.[/cdb_course_lesson][cdb_course_lesson icon=”fas fa-arrow-alt-circle-down” badge=”lecture” private_lesson=”true” title=”ادغام WSUS با ابزارهای نظارتی مانند System Center و Windows Admin Center” subtitle=”توضیحات کامل”]ادغام WSUS با ابزارهای نظارتی مانند System Center Configuration Manager (SCCM) و Windows Admin Center (WAC) به مدیران شبکه این امکان را می‌دهد تا فرآیند به‌روزرسانی سیستم‌ها را بهینه‌سازی کرده و نظارت دقیقی بر وضعیت به‌روزرسانی‌ها داشته باشند. این ادغام باعث افزایش کارایی، بهبود مدیریت به‌روزرسانی‌ها و کاهش مشکلات ناشی از ناسازگاری یا عدم دریافت به‌روزرسانی‌ها می‌شود.

در این بخش، نحوه ادغام WSUS با SCCM و Windows Admin Center بررسی خواهد شد.

---

۱. ادغام WSUS با System Center Configuration Manager (SCCM)

SCCM یکی از قدرتمندترین ابزارهای مدیریت متمرکز برای سرورها و کلاینت‌های شبکه است که امکانات جامعی برای مدیریت به‌روزرسانی‌های Windows از طریق WSUS فراهم می‌کند.

۱.۱ پیش‌نیازهای ادغام WSUS با SCCM

• نصب و پیکربندی WSUS روی سرور Windows Server
• نصب System Center Configuration Manager (SCCM)
• اطمینان از همگام‌سازی صحیح WSUS با Microsoft Update
• دسترسی Administrator به سرورهای WSUS و SCCM

۱.۲ پیکربندی WSUS برای استفاده در SCCM

۱. نصب ویژگی WSUS روی سرور SCCM
اگر WSUS از قبل نصب نشده است، از طریق PowerShell می‌توان آن را نصب کرد:

Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

۲. اتصال WSUS به پایگاه داده SQL Server (مورد نیاز برای SCCM)

& 'C:\Program Files\Update Services\Tools\WsusUtil.exe' postinstall SQL_INSTANCE_NAME="Your_SQL_Server_Instance"

۳. غیرفعال کردن پردازش خودکار WSUS
پس از نصب، WSUS را باز کرده و گزینه Do not store updates locally را فعال کنید. همچنین، سرویس WSUS Update Services را متوقف کنید:

Stop-Service WsusService

۴. پیکربندی SCCM برای استفاده از WSUS

• در کنسول SCCM به Administration > Site Configuration > Sites بروید.
• در بخش Software Update Point, گزینه WSUS Server را اضافه کنید.
• آدرس WSUS Server را مشخص کرده و گزینه Use a Windows Internal Database را انتخاب کنید.
• در بخش Synchronization Schedule، برنامه‌ریزی مناسب برای همگام‌سازی را انجام دهید.
• WSUS Synchronization Manager را اجرا کنید تا اطلاعات به‌روزرسانی‌ها از مایکروسافت دریافت شود.

۱.۳ مزایای استفاده از SCCM برای مدیریت WSUS

• مدیریت متمرکز: امکان مدیریت به‌روزرسانی‌ها برای چندین سرور و کلاینت از یک کنسول واحد
• اعمال سیاست‌های دقیق‌تر: کنترل پیشرفته‌تر روی فرآیند دانلود و نصب به‌روزرسانی‌ها
• گزارش‌دهی پیشرفته: ارائه گزارش‌های دقیق در مورد وضعیت به‌روزرسانی‌ها
• امکان خودکارسازی فرآیندها: تنظیم زمان‌بندی دقیق برای دریافت و نصب به‌روزرسانی‌ها

---

۲. ادغام WSUS با Windows Admin Center (WAC)

Windows Admin Center (WAC) یک ابزار مدرن و تحت وب است که به مدیران شبکه اجازه می‌دهد تا به‌صورت گرافیکی، سرورها و کلاینت‌های خود را مدیریت کنند. از طریق WAC می‌توان به‌روزرسانی‌های WSUS را بررسی و مدیریت کرد.

۲.۱ نصب Windows Admin Center

برای نصب WAC بر روی سرور، از PowerShell استفاده کنید:

Invoke-WebRequest -Uri "https://aka.ms/WACDownload" -OutFile "C:\WAC.msi"
Start-Process msiexec.exe -ArgumentList "/i C:\WAC.msi /quiet /norestart" -Wait

پس از نصب، می‌توانید Windows Admin Center را از طریق مرورگر در آدرس:

https://<Server-IP>:443

باز کنید.

۲.۲ افزودن سرور WSUS به WAC

۱. وارد Windows Admin Center شوید.
2. روی Add a server کلیک کرده و WSUS Server را اضافه کنید.
3. نام یا IP Address سرور WSUS را وارد کرده و Connect را انتخاب کنید.
4. در پنل Updates, گزینه WSUS Configuration را انتخاب کنید.

۲.۳ مزایای استفاده از WAC برای مدیریت WSUS

• مدیریت گرافیکی تحت وب: امکان مدیریت WSUS بدون نیاز به MMC Console
• دسترسی از راه دور: امکان مشاهده و مدیریت به‌روزرسانی‌ها از طریق مرورگر
• ادغام با Azure: قابلیت مدیریت سرورها و کلاینت‌ها در محیط‌های On-Premises و Cloud
• مانیتورینگ و گزارش‌دهی لحظه‌ای: امکان مشاهده وضعیت به‌روزرسانی‌های سرورها و کلاینت‌ها

---

۳. مقایسه SCCM و Windows Admin Center برای مدیریت WSUS

ویژگی	SCCM	Windows Admin Center
مدیریت متمرکز WSUS	بله	خیر (محدود به سرورهای مشخص)
امکان زمان‌بندی به‌روزرسانی‌ها	بله	خیر
پشتیبانی از چندین سرور WSUS	بله	خیر
امکان نظارت بر وضعیت کلاینت‌ها	بله	بله
ادغام با Azure	بله	بله
دسترسی تحت وب	خیر	بله

---

جمع‌بندی

1. SCCM گزینه‌ای پیشرفته برای مدیریت WSUS در سازمان‌های بزرگ است که کنترل کاملی بر سیاست‌های به‌روزرسانی ارائه می‌دهد.
2. Windows Admin Center یک راهکار ساده‌تر و تحت وب برای مدیریت سرورهای WSUS است و بیشتر برای سازمان‌های کوچک تا متوسط مناسب است.
3. ادغام WSUS با این ابزارها باعث افزایش بهره‌وری، کاهش خطاها و بهبود امنیت سیستم‌ها می‌شود.
4. بسته به نیاز سازمان، می‌توان از SCCM برای مدیریت پیشرفته یا Windows Admin Center برای یکپارچه‌سازی سریع و ساده استفاده کرد.

با این ادغام‌ها، مدیران سیستم قادر خواهند بود فرآیندهای به‌روزرسانی را بهینه‌سازی کرده و کنترل کاملی بر وضعیت WSUS و کلاینت‌های متصل داشته باشند.

 [/cdb_course_lesson][/cdb_course_lessons]