Embed Size (px)
Citation preview
Local Update Publisher
Оглавление 1. Подготовка к установке .......................................................................................................................... 2
2. Установка Local Update Publisher ........................................................................................................... 2
3. Создание пакета установки .................................................................................................................... 3
3.1. Adobe Flash Player ........................................................................................................................... 3
3.2. Adobe Reader ................................................................................................................................... 6
3.3. Обновление для Adobe Reader .................................................................................................... 16
3.4. Java ................................................................................................................................................. 18
1. Подготовка к установке Подразумевается, что WSUS уже настроен и функционирует.
Внесем дополнительные изменения в настройки Windows Update, создав новый GPO или
отредактировав уже существующий:
Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \
Центр обновления Windows
"Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети
(Allow signed updates from an intranet Microsoft update service location)" – ENABLED
Проверяем, что на сервере WSUS, где будет развернут Local Update Publisher, установлен компонент
.NET Framework 3.5. Если не установлен, то можно быстро развернуть с помощью Powershell:
import-module servermanager
add-windowsfeature net-framework
2. Установка Local Update Publisher Local Update Publisher — открытый инструмент, бесплатно загружаемый с сайта SourceForge
по адресу sourceforge.net/projects/localupdatepubl ( http://sourceforge.net/projects/localupdatepubl ).
После установки программы на сервер WSUS выполните следующие действия:
- Запустите инструмент Local Update Publisher из меню Start в разделе All Programs. Появится
приглашение подключиться к серверу WSUS. Сервер WSUS — локальный, поэтому можно оставить
поле Name пустым и нажать кнопку Connect.
- В окне программы Local Update Publisher щелкните LOCALHOST в разделе Update Services.
- Появится окно No WSUS Certificate found; нажмите в нем кнопку Yes.
- В диалоговом окне Certificate Information щелкните Create Certificate. Откроется второе окно,
указывающее, что самозаверяющий сертификат успешно подготовлен и должен быть установлен на
всех локально обновляемых клиентах.
- В окне подтверждения установки нажмите кнопку OK.
- В диалоговом окне Certificate Information щелкните Export Cert, затем сохраните копию сертификата
на компьютере.
- Нажмите кнопку OK.
В производственной среде лучше использовать сертификат, изданный удостоверяющим центром
(CA), который является частью инфраструктуры открытых ключей PKI компании.
Теперь необходимо установить самозаверяющий сертификат на сервере WSUS в "Доверенные
корневые центры сертификации" (Trusted Root Certification Authorities) и "Доверенные издатели" (Trusted
Publishers).
Для компьютеров, которые входят в домен, сертификат можно распространить через групповую
политику, добавив его в соответствующие узлы:
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \
Политики открытого ключа\ Доверенные корневые центры сертификации
Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \
Политики открытого ключа\ Доверенные издатели
Если сертификат был выпущен доменным центром сертификации, то достаточно добавить его в
«Доверенные издатели». При этом сертификат выпускающего центра должен находиться в «Доверенных
корневых центрах сертификации».
Для компьютеров из рабочей группы нужно установить параметр в реестре
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AcceptTrustedPublisherCerts = 1
Если все сделано правильно, то клиентские компьютеры смогут принимать сторонние обновления,
в противном случае появится ошибка Windows Update 800B0109.
3. Создание пакета установки
3.1. Adobe Flash Player В первую очередь загрузите файл Flash Player Windows Installer из:
http://www.adobe.com/products/flashplayer/distribution3.html
Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:
- В меню Tools щелкните Create Update.
- В окне Import Update from File нажмите кнопку Browse. Затем выберите ранее загруженный msi-файл Flash
Player. Все файлы упакованы в установщике Flash Player MSI.
- Нажмите кнопку Next. На следующей странице уже содержится вся необходимая информация, за
исключением сведений о поставщике и продукте.
- В поле Vendor введите Adobe Systems, Inc.. В поле Product укажите Adobe Flash Player
- Нажмите кнопку Next. При подготовке обновления вместе c msi-файлом применяется Local Update
Publisher, поэтому правила автоматически заполняются на нескольких следующих страницах мастера
установки. Впоследствии правила можно изменять или дополнять.
- На странице Package Level — Installed Rules нажмите кнопку Next, чтобы принять правила по умолчанию.
- Нажмите кнопку Next на следующих страницах: Package Level — Installable Rules, Installation Item Level —
Superseded Rules и Installation Item Level — Rule Metadata.
- Просмотрите XML-информацию для обновления, затем нажмите кнопку Finish.
Спустя несколько секунд на экране должно появиться извещение об успешной публикации
обновления во WSUS.
Один из недостатков локальных обновлений заключается в том, что они не отображаются в
административной консоли WSUS. Управлять и утверждать локальные обновления приходится с помощью
инструмента Local Update Publisher:
- В Local Update Publisher разверните LOCALHOST, Updates, Adobe Systems, Inc., Adobe Flash Player.
- В области сведений щелкните правой кнопкой мыши на обновлении и нажмите кнопку Approve.
- В диалоговом окне Approve Update щелкните No Approval справа от группы Local Updates, а затем
Approved for Install.
- В нижней части диалогового окна Approve Update нажмите кнопку Approve.
- В ответ на запрос подтверждения нажмите OK.
- Нажмите кнопку Close.
Отключение автоматических обновлений Adobe Flash Player. По умолчанию Flash Player проверяет
наличие новых версий через каждые 30 дней. В корпоративной среде полезно отключить эту функцию и
централизованно управлять обновлениями через WSUS. С помощью бесплатного инструмента, такого как
Microsoft Orca, в базу данных MSI можно внести необходимый файл конфигурации.
В программе Local Update Publisher предусмотрены основные функции подготовки отчетов, с
помощью которых можно увидеть, какие компьютеры в группе успешно получили обновления.
3.2. Adobe Reader Загружаем Adobe Customization Wizard (для каждой версии Adobe Reader мастер свой):
ftp://ftp.adobe.com/pub/adobe/acrobat/win/11.x/11.0.00/misc/
Загружаем EXE дистрибутив Adobe Reader требуемой локализации:
ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/
Распаковываем EXE с помощью архиватора (например, 7-Zip или WinRAR).
Запускаем Adobe Customization Wizard и открываем в нем AcroRead.msi, получившийся в результате
распаковки EXE.
Далее вносим следующие изменения:
- в разделе Personalization Options выбрать пункт Suppress display of EULA:
- в разделе Installation Options отметить пункты Installer will choose which product will be the default,
Remove all version of Reader, Enable Optimization, Enable Caching of installer files, Silent Installation и
Suppress reboot.
- в разделе Registry перейти к HKLM\Microsoft\Windows\CurrentVersion\Run. Правым кликом по
параметру вызвать контекстное меню и выбрать Modify
- выбрать Remove Value
- в разделе Security в параметре Protected view выбрать All files
- в разделе Online and Adobe online services Features отключить все функции
- в разделе Direct Editor выбрать таблицу InstallExecuteSequence. Далее выбирая параметры
CreateShortcut, InstallService и StartService, нажать правым кликом и выбрать из контекстного меню Drop
Rows
- выбираем пункт File и нажимаем Save Package
- открываем AcroRead.msi с помощью Microsoft Orca и из таблицы Property копируем значение параметра
ProductCode. Оно пригодится позже.
Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:
- В меню Tools щелкните Create Update.
- В окне Import Update from File нажмите кнопку Browse. Затем выберите Setup.exe из ранее
распакованного инсталлятора
- С помощью кнопки Add Files добавьте остальные файлы из распакованного инсталлятора
- Нажмите кнопку Next. На следующей странице уже содержится вся необходимая информация, за
исключением сведений о поставщике и продукте.
- В поле Vendor введите Adobe Systems, Inc.. В поле Product укажите Adobe Reader
- На странице Package Level — Installed Rules нажмите кнопку Add Rule. В списке Rule Type выберите MSI
Product Installed, в поле Product Code необходимо вписать значение параметра ProductCode, которое
получили (см. выше) с помощью Microsoft Orca (значение вписать без фигурных скобок!)
- Нажмите кнопку Add Rule, затем Next. На странице Package Level — Installable Rules нажмите кнопку Add
Rule. В списке Rule Type выберите MSI Product Installed, в поле Product Code необходимо вписать значение
параметра ProductCode, которое получили (см. выше) с помощью Microsoft Orca (значение вписать без
фигурных скобок!). Поставить галочку около Negation Rule
- Далее нажимаем несколько раз Next, затем Finish. Обновление подготовлено.
- Дальнейшее управление и утверждение локального обновления аналогично описанному в п. 3.1.
3.3. Обновление для Adobe Reader Скачайте файл MSP:
ftp://ftp.adobe.com/pub/adobe/reader/win/
Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:
- В меню Tools щелкните Create Update.
- В окне Import Update from File нажмите кнопку Browse и выберите скачанный файл MSP.
- Нажмите кнопку Next. В поле Vendor введите Adobe Systems, Inc.. В поле Product укажите Adobe Reader
(содержимое этих полей должно совпадать с ранее созданным Adobe Reader. Совпадение ВАЖНО для
группировки обновлений по производителю и продукту).
- На остальных экранах мастера публикации нажмите Next и Finish, т.к. файл MSP уже содержит свой набор
правил.
Может сложиться ситуация, когда кроме самого Adobe Reader уже были опубликованы файлы MSP
(более ранние по сравнению с подготовленным сейчас). В этом случае, убедившись, что подготовленное
сейчас обновление включает все изменения из предыдущих файлов MSP, необходимо выполнить
следующее:
- нажать правой кнопкой на подготовленном сейчас обновлении и выбрать Revise
- в открывшемся окне нажмите Supersedes, затем Add, далее в списке Vendor выберите производителя
Adobe Systems, Inc.. После этого выделите обновления, которые будут заменяться подготовленным сейчас
и нажмите Select
- На остальных экранах мастера нажмите Next и Finish.
- В окне списка опубликованных обновлений статус замененных обновлений изменится на Superseded
- Дальнейшее управление и утверждение локального обновления аналогично описанному в п. 3.1.
3.4. Java В первую очередь скачиваем автономный установщик:
https://www.java.com/ru/download/manual.jsp
Чтобы добыть пакет MSI, необходимо установить Java с помощью автономного установщика.
После успешной установки MSI можно найти здесь:
<User profile, who install Java>\AppData\LocalLow\Sun\Java\jre<номер версии>\<здесь будет лежать msi>
Этот MSI уже пригоден для распространения через Local Update Publisher.
Однако будет правильнее внести некоторые изменения. Например, отключить функцию проверки
наличия обновления:
- в Microsoft Orca открываем MSI
- выбираем Transform, затем New Transform
- выбираем таблицу Property
- редактируем следующие свойства:
AUTOUPDATECHECK=0 (отключает добавление в автозагрузку планировщика обновлений JRE, т.е.
радикально отключает автообновление)
JAVAUPDATE=0 (отключает обновление, но не отключает предложение включить автообновление во время
первого запуска, так же не отключает вкладку Update в Java Control Panel)
SYSTRAY=0 (отключает уведомление в трее о необходимости обновления)
- Сохраняем модификацию: Transform, затем Generate Transform…
Теперь можно публиковать обновление в Local Update Publisher:
- В поле Vendor введите Oracle. В поле Product укажите Java.
- Поскольку MSI уже содержит все необходимые правила установки, то можно просто нажать Next в
остальных окнах мастера. Однако можно добавить и свои правила, воспользовавшись, например,
фильтрами WMI:
В примере выше обновление будет установлено только на ПК под управлением 64-bit ОС, в которых
проинсталлирована Java 32-bit или Java 64-bit:
WMI Namespace: root\cimv2
Query: SELECT * FROM Win32_Processor WHERE AddressWidth = "64"
WMI Namespace: root\cimv2
Query: Select * From win32_Directory where name="c:\\Program Files\\Java"
WMI Namespace: root\cimv2
Query: Select * From win32_Directory where name="c:\\Program Files (x86)\\Java"
Замечания по распространению обновлений Java:
1. Производитель заявляет, что:
начиная с Java 8 обновление 20 (8u20), на системах Windows инструмент удаления Java Uninstall Tool
интегрируется с программой установки. Это позволяет удалять устаревшие версии Java из системы.
Данное изменение применимо к 32- и 64-разрядным платформам Windows.
Однако Java Uninstall Tool отрабатывает только при установке руками и не запускается при
распространении через Local Update Publisher.
В связи с чем необходимо будет выполнить отзыв предыдущего обновления во время распространения
нового:
- нажать правой кнопкой на отзываемом обновлении и выбрать Approve
- в открывшемся окне напротив целевой группы WSUS в столбце Approval щелкнуть левой кнопкой мыши и
выбрать Approve for Removal
- данная процедура позволит произвести деинсталляцию пакета обновления средствами WSUS.
