Как распространить программу при помощи WSUS и Local Update Publisher

Вводим имя и хостнейм, подключаемся по SSL, если у нас SSL настроен для WSUS'а, иначе без него. В первую очередь необходимо создать самоподписанный сертификат в меню Инструменты -> Информация о сертификате.

Тут, к сожалению, есть особенность, что данный сертификат нельзя потом заменить. Сертификат будет использоваться для подписывания всех опубликованных обновлений, а потому его необходимо распространить на все компьютеры, включая сам сервер WSUS. Для этого надо его экспортировать через Инструменты -> Информация о сертификате -> Экспорт.

Экспортированный сертификат можно распространить на все компьютеры групповыми политиками. Сертификат должен быть включен в два хранилища — Доверенные корневые центры сертификации и Доверенные издатели.

Также, необходимо в групповой политике, указывающей клиентам на WSUS-сервер, выставить в Конфигурация компьютера -> Политики -> Административные шаблоны -> Центр обновлений Windows параметр Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети в Включено.

Когда сертификат распространился, приступим непосредственно к созданию пакета обновления. Для примера будем распространять сам LUP. Выбираем в меню Инструменты -> Создать обновление. В появившемся окне нажимаем на обзор и выбираем Local Update Publisher.msi.

На следующем шаге выбираем тип обновления — Application, пишем название пакета и описание. Обязательно записываем вендора и название продукта, новые версии продукта будут складываться туда же. Остальное опционально. Тут же можно задать зависимости от других пакетов (нам это не нужно в данном случае) и какие пакеты это обновление заменяет (понадобится при разворачивании новой версии).

На следующем шаге надо задать правила, по которым будет понятно, что пакет уже установился и больше его ставить не надо. Для MSI-пакетов LUP всегда создаёт правило, основанное на версии установленного MSI-пакета. В данном случае этого достаточно.

На этом шаге необходимо задать правила, по которым будет понятно, необходим ли данный неустановленный пакет, можно ли его вообще установить на данной системе. Для MSI-пакетов LUP всегда создаёт правило с отрицанием, основанное на версии установленного MSI-пакета. Т.е. установить можно, если не было уже установлено. Нам этого достаточно.

На следующих шагах позволяется вручную отредактировать различные xml-файлы, но это не требуется и можно жать «далее» до самого конца и получения окошка с сообщением, что пакет удалось создать. В дереве пакетов должен появиться вендор и продукт, заданные в пакете. Если нажать на продукт, то будет видно созданный пакет. Т.к. созданные пакеты не отображаются в обычной консоли управления WSUS, то их нужно одобрить в LUP. Для этого надо жмакнуть правой кнопкой на пакете и выбрать «Одобрить».

В появившемся окне видны группы компьютеров WSUS. Одобрим пакет для опциональной установки для тестовой группы компьютеров.

Если всё сделано правильно, то в течении минуты на клиентском компьютере можно поискать обновления. Если пакет ещё не был установлен, то он появится в рекомендуемых обновлениях. Кстати, при определённых настройках, устанавливаются обновления, не требуя от пользователя повышенных привилегий.

Если клиентский компьютер был только что перемещен в эту группу, то он может долго кешировать принадлежность к группам и не находить обновлений. Форсировать можно при помощи команды wuauclt /resetauthorization /detectnow на клиенте.

С некоторым запозданием, как и с обычными обновлениями, клиенты сообщают статус установки пакетов в WSUS и их можно посмотреть на вкладке «Статус».

Вот и всё. Теперь в вашем распоряжении мощный инструмент, который часто уместнее разворачивания программ традиционными способами вроде групповых политик. Кстати, не только разворачивания, но и удаления 😉

Вот так вот просто распространить программу при помощи WSUS и Local Update Publisher.

Материал сайта pyatilistnik.org