настройка failover dhcp windows server 2019

Windows Server DHCP Failover

KB ID 0001488

Problem

Applicable to: Server 2008/2012/2016/2019

Even though we have had this functionality for a while, I’m still seeing people deploy DHCP scopes (split 80/20) across two servers?

You can deploy multiple DHCP servers to serve the SAME DHCP scopes, in either load balanced, or hot standby deployment.

Solution

I’m assuming you already have one DHCP server setup and, with a working DHCP scope. Here mine’s a 2012R2 server and Im adding a new 2016 DHCP server.

On the new server, install the DHCP server role;

You normally have to go to Server Manager and run the configuration wizard, but as were are already in PowerShell lets do that here рџ™‚ (That’s three commands if the last one wraps!)

netsh dhcp add securitygroups

Set-ItemProperty –Path registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ServerManager\Roles\12 –Name ConfigurationState –Value 2

On the original, (already working,) DHCP server, right click the scope you want to replicate > Configure Failover.

Browse to, and select the target (new DHCP server) > Next.

Select Load Balancing or Hot Standby (as required) > Enter a shared secret password > Next.

Review the Settings and click Finish.

Hopefully you should see the following.

Configure DHCP Failover via PowerShell

To do the same from PowerShell.

PowerShell DHCP Load Balancing

Note: Where DC-01 is the source DHCP server and PNL-MGMT is the new one.

PowerShell DHCP Hot Standby

Note: Where DC-01 is the source DHCP server and PNL-MGMT is the new one.

Источник

Установка и настройка DHCP сервера на Windows Server 2019/2016

Данная статья описывает процедуру установки и настройки DHCP сервера на базе Windows Server 2019. В статье описаны особенности установки и настройки DHCP роли, создания областей DHCP, настройки их параметров и резервации статических адресов. Мы рассмотрим как привычный способ настройки параметров DHCP сервера через графическую консоль, так и настройку DHCP из командной строки PowerShell.

Установка роли DHCP сервера в Windows Server 2019/2016

В этом примере мы установим DHCP сервер на хосте с Windows Server 2019 и IP адресом 192.168.13.4. Вы можете использовать как Server Core версию, так и Full GUI. В маленькой инфраструктуре допустимо устанавливать DHCP сервер на сервер с ролью контроллера домена Active Directory.

После установки роли DHCP роли нужно выполнить Post-Deployment Configuration. Для этого в консоли Server Manager щелкните по уведомлению и выберите Complete DHCP configuration.

Вам будет предложено аутентифицировать новый DHCP сервер в Active Directory (экран Authorization). Для авторизации DHCP сервера в AD учетная запись должна состоять в доменной группе Enterprise Admins.

Также вы можете установить и настроить DHCP роль в Windows Server из консоли PowerShell.

Установка роли DHCP:

Install-WindowsFeature DHCP –IncludeManagementTools

Проверьте, что роль и инструменты управления RSAT-DHCP установлены:

Авторизуйте DHCP сервер в Active Directory (укажите DNS имя сервера и IP адрес, который будет использоваться DHCP клиентами):

Создайте локальные группы безопасности DHCP сервера:

Чтобы Server Manager перестал показывать уведомление о том, что DHCP роль требует настройки, выполните команду:

Настройка DHCP областей в Windows Server

После установки роли DHCP вам нужно создать DHCP области (Scopes), которые описывают диапазоны IP адресов и другие настройки, выдающиеся сервером клиентам.

Чтобы создать новую область выберите New Scope.

Укажите название DHCP области.

Укажите диапазон IP адресов, который будет выдаваться этой областью и маску сети. В этом примере я хочу использовать эту DHCP область для обслуживания подсети 192.168.100.0/24. В рамках этой сети DHCP сервером будет назначаться динамические IP адреса из диапазона 192.168.100.50 — 192.168.100.250. В следующем окне можно добавить исключения в этот диапазон (Add Exclusions and Delay).

Далее нужно указать длительность аренды (Lease Duration) IP адреса DHCP клиентом (по умолчанию 8 дней, менять без особой необходимости не нужно).

Укажите, что вы хотите настроить дополнительный параметры DHCP области.

.

Укажите IP адрес шлюза в подсети, который должен назначаться клиентам (в нашем примере это 192.168.100.1).

Затем укажите имя домена и адреса DNS серверов, которые будут назначены клиентам DHCP.

Осталось активировать DHCP область (разрешить ей обслуживать клиентов).

DHCP сервер может выдавать клиентам различный настройки (кроме IP адреса). Для этого используются Scope Options.

В Windows Server DHCP можно настроить глобальные настройки области или Scope Options для каждой области.

Ранее мы уже настроили три опции области:

Можно добавить и другие опции (NTP сервера, PXE и т.д.).

В разделе Server Options DHCP сервера можно настроить глобальные опции, которые будут наследуются всеми областями. Но вы можете переопределить глобальные настройки в настройках каждой области (опции области имеют приоритет над опциями сервера).

Один DHCP сервер может обслуживать сотни удаленных подсетей и VLAN. Поэтому вы можете создать на нем несколько областей. Главное, чтобы в каждой из подсетей был настроен ретранслятор (DHCP relay agent), который пересылает широковещательные DHCP-запросы на указанный DHCP сервер. В терминах Cisco DHCP ретранслятор называется ip helper. Вы можете настроить DHCP Relay даже на Windows Server.

Резервация IP адресов на DHCP сервере

По умолчанию DCHP сервер выдает клиентам динамические адреса. Это означает что IP адрес у любого клиента может меняться. Если вы хотите, чтобы определенные устройства всегда получали от DHCP сервера один и тот же адрес, вы можете его зарезервировать (например, для сетевых принтеров, которые настроены у пользователей).

Для DHCP резервации выберите область и перейдите в секции Reservation. В меню выберите New Reservation.

При создании резервации нужно указать IP адрес, который нужно сохранить за клиентом и его MAC адрес (уникальное значение). MAC адрес в Windows можно получить из результатов команды ipconfig /all или с помощью PowerShell get-netadapter|select name,macaddress ). Опционально можно указать имя и описание устройства.

Также вы можете зарезервировать текущий динамический адрес за устройством, найдя его в разделе Address Leases. Щелкните по устройству и выберите Add to Reservation.

Настройка и управление DHCP сервером с помощью PowerShell

Все операции по настройке и управлению DHCP сервером на Windows Server 2019/2016 можно выполнять из консоли PowerShell. Рассмотрим основные команды управления DHCP. Для этого используется модуль DHCPServer. Импортируйте модуль в сессию:

Вывести полный список командлетов в моделе DHCP можно так:

Следующая команда выведет список авторизованных DHCP серверов в Active Directory:

Вывести список DHCP областей на указанном сервере:

Get-DhcpServerv4Scope –ComputerName msk-dhcp1

Если нужно показать все параметры области (Delay, Description, Name и т.д.):

Get-DhcpServerv4Scope –ComputerName msk-dhcp1| FL *

Если нужно отобразить данные о IPv6 областях:

Получить настройки для конкретной области:

Get-DhcpServerv4Scope –ComputerName msk-dhcp1 –ScopeID 10.10.1.0

Создадим новую (неактивную) область с диапазоном адресов с 192.168.113.50 до 192.168.113.250:

Настроить следующие параметры DHCP сервера: DNS сервер, домен и адрес шлюза по-умолчанию:

Добавить исключения в DHCP область:

Активировать DHCP область:

Для удобства можно использовать такую команду PowerShell при создании новой области:

$HashArgs = @<
‘Name’ = ‘EKB Office Scope’;
‘Description’ = ‘workstations’;
‘StartRange’ = ‘192.168.140.10’;
‘EndRange’ = ‘192.168.140.200’;
‘SubnetMask’ = ‘255.255.255.0’;
‘State’ = ‘Active’;
‘LeaseDuration’ = ‘1.00:00:00’;
>
Add-DhcpServerv4Scope @HashArgs

Опции для DHCP сервера добавляется так (к примеру, WPAD):

Вывести список настроенных опций DHCP сервера можно так:

Выведем список настроенных параметров зоны:

Показать текущий список арендованных адресов для области 10.10.1.0:

Создать DHCP резервацию для клиента, которому назначен динамический IP адрес 10.10.1.88 (конвертировать выданный адрес в зарезервированный):

Можно массово зарезервировать IP адреса для компьютеров по списку из csv файла. Для этого создайте текстовый файл в формате:

Сохраните файл с именем c:\dhcp\DHCPReservations.csv и запустите следующую команду, которая импортирует данные из csv файла и создаст DHCP резервации для клиентов:

Отключить область на DHCP сервере:

Удалить область с DHCP сервера:

Возможно получить статистику DHCP сервера (количество областей, резерваций, процент использования адресов и пр.).

Аналогичная информация для конкретной области может быть получена с помощью командлета Get-DhcpServerv4ScopeStatistics.

Конфигурацию DHCP сервера можно экспортировать в указанный XML файл с помощью команды:

В дальнейшем эти настройки DHCP сервера можно импортировать (перенести) на другой DHCP сервер:

Источник

Установка и настройка DHCP на Windows Server 2019

Для установки и настройки роли DHCP-сервера имеем подготовленный сервер с операционной системой Windows Server 2019.

Установка роли DHCP-сервер

Шаг 1. На первом этапе установим роль DHCP-сервера, для этого в окне “Диспетчер серверов” выбираем «Добавить роли и компоненты».

Шаг 2. Обращаем внимание перед установкой роли на предупреждение, затем нажимаем «Далее».

Шаг 3. Устанавливаем чекбокс «Установка ролей или компонентов», затем нажимаем «Далее».

Шаг 5. Выбираем роль сервера, в нашем случае DHCP-сервер. Нажимаем «Далее».

Шаг 6. Выбрав роль DHCP” появится “Мастер добавления ролей и компонентов” для выбранных ролей сервера. Нажимаем «Добавить компоненты».

Шаг 7. Требуемая роль и компоненты были выбраны ранее, Нажимаем «Далее».

Шаг 8. Обращаем внимание на предупреждение DHCP-сервера, затем «Далее».

Шаг 9. Ставим «чекбокс» напротив «Автоматический перезапуск конечного сервера, если требуется», нажимаем «Установить». В результате произойдет установка выбранных ролей сервера.

Шаг 10. Далее после установки компонента наживаем «Завершение настройки DHCP».

Шаг 11. Обращаем внимание на требования после завершения настройки DHCP-сервера, жмем «Далее».

Шаг 12. На данном этапе нажимаем «Закрыть».Установка роли завершена.

Настройка DHCP-сервера

На этом этапе приступим непосредственно к настройке роли DHCP.

Шаг 2. Правой клавишей мыши нажимаем на сервер, в появившемся окне выбираем «Добавить или удалить привязки. «.

Шаг 3. Выбираем сетевой интерфейс, который будет использовать DHCP-сервер. Далее «ОК».

Шаг 4. Далее правой клавишей нажимаем на IPv4 и выбираем «Создать область. «.

Шаг 5. Откроется окно для создания области IP-адресов. Нажимаем «Далее».

Шаг 6. Вводим имя области и если требуется описание, затем «Далее».

Шаг 7. Теперь введем диапазон адресов, который которые будет отдавать DHCP-сервер, а также маску подсети. Нажимаем «Далее».

Шаг 8. Затем вводим один адрес или диапазон IP-адресов, необходимые исключить из области. Нажимаем «Добавить», после нажимаем «Далее».

Шаг 9. Выбираем срок действия аренды адресов области. Снова «Далее».

Шаг 10. Для настройки других параметров DHCP выбираем «Да, настроить эти параметры сейчас», мы же выполняем базовую настройку, следовательно выбираем “Нет, настроить эти параметры позже” затем «Далее».

Шаг 11. В окне появится «Вы успешно завершили работу с мастером создания области», нажимаем «Готово».

Шаг 12. Правой кнопкой нажимаем на “Область” и выбираем «Активировать».

Шаг 13. Открываем «Пул адресов» и видим наш диапазон адресов для аренды.На этом настройка DHCP сервера окончена.

Источник

ITСooky

IT-рецепты съедобные и не очень!

[не]Развертываем офисную сеть на Windows Server 2019

Вот тут качаю Windows Server 2019 в нем 180 дней на попробовать, и не важно что напишешь в полях твое имя и название твоей фирмы
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-server-2019

А тут качаю Wibdows 10 Enterprise, именно Интерпрайз только у него есть 90 дней на попробовать
https://www.microsoft.com/en-us/evalcenter/evaluate-windows-10-enterprise
Одно из сомнительных преимуществ Интерпрайз над Про… обновления сначала поступают на Про, а если криков ужаса не поднимается то идет потом на Интерпрайз! И их там можно отключить, совсем, по честному, чтобы никогда, но для этого нужно особую версию покупать!

ОСТОРОЖНО: Эта статья примечательно тем что, то что у меня работало на Windows Server 2012 с Windows 8.1 не заработало на Windows 2019 с Windows 10

Ставим Windows Server 2019
Ставлю себе VirtualBox и там делаю пустую виртуалку с настройками «прочие Windows 64», остальные настройки такие, в сети два адаптера один внешний в реальную сеть, другой в вирутальную

Вставляем в виртуальный оптический привод ISO и понеслась, выбираем сервер с Десктопом

И дальше как обычно… а ну только с паролем смешно получилось! Я сначала установил версию без Десктопа и там надо было вводить пароль. Смени пароль пжаста, выбираю ОК нажимаю энтер, ввожу пароль нажимаю энтер, энтер, ЭНТЕР неее надо нажать стрелочка вниз. Оно хоть и без Десктопа, и как бы консоль, но ввод пароля работает как на Десктопе, чтобы ввести пароль второй раз нужно нажать стрелочку… по-моему очень смешно! Консольный юмор! Пароль кстати должен быть сложным поэтому традиционно будет QWErty123

Установилось и ААААААААААААААА! «Спокойно, Маша, это» Сервер, хоть и выглядит как десятка!

Ставим контролер домена

Устанавливает совершенно банально выбираем роль Active Directory Domain Services в Add roles and features в Server Manager Dashboard

вот тут иногда местами будет красненько, это потому что это окошко раньше сервисов иногда(всегда) стартует!

Все стандартно ставится Next > Next, после чтобы уже начать настраивать DC надо вот сюда в оповещательные сообщения нажать

Здесь вводим имя домена и выбираем новый лес

Тут узнаем что Windows server 2019 нифига не 2019 а все еще 2016

Перезагрузился и запустил, ну и забуду пока про него! Пропишу айпишники на двух интерфейсах, казалосьбы можно это сделать там где видны подключения, но нет надо искать тоже самое место но в старом дизайне только там можно

Первый будет внешний 192.168.1.99 смотрит в реальную сеть, второй будет внутренний 10.20.30.1 смотрит в виртуальную!

Навастриваем DNS
А он установился вместе с AD DC. Идем в него с окна Server Manager > tools > DNS нажимаю на имя свервера и в Properties и делаю чтобы слушал DNS только на внутреннем интерфейсе.

Там же зайду в Forwarders тут нажму Edit и увижу кто реально из DNS работает

Удаляю неработающие и добавляю dns google 8.8.8.8 и 8.8.4.4. Пока всё, с зонами потом будем хулиганить!

Настраиваю DHCP и Routing
Надо установить две роли DHCP иииии Remote access под этим именем прячется то что нужно, жмем Next и когда дойжет до Role servers(под Remote access) ставим галочку на Routing, он не установится без VPN, а VPN не установится без майкрасофтского вебсервера — нашли все таки как впарить свой никем не используемый вебсервер.

Дозакончить установку DHCP надо опять через выплывающие предупреждение, там тоже next

В Tools выбираем DHCP. На IPv4 жмем правой мышью и выбираем добавить область New scope

Тут только задаю диапазон

Далее нажимаем на нашу область правой мышью и выбираем Activate

в разделе Scope Options прописываю в Router и DNS Servers 10.20.30.1 их и будет выдавать

незабываем нажимать Add

Настраиваю Routing
В Tools и выбираем Remote Access тут ничего не настроено, предлагает настроить, на странице выбираем последнее Custom configuration на следующей NAT. Пока всё

Устанавливаю Windows 10
На вируталке все по умолчанию, только в Network будет один адаптер Internal network под темже имянем что и у сервера intnet — это значит что они оба на виртуальном свиче intnet

Десятка получает IP и интернет сайты тоже открываются, но только удивительно медленно… хотя почему удивительно…

Блокируем нежелательные сайты в DNS
Да можно технически, но это неудобно, так что это должен быть ну очень нежелательный сайт, например vk.com! Прежде всего убираем из DHCP из основного интервала для раздачи гуглевские DNS! Потом добавляем на нашем DNS сервер Forward lookup zone > Add new zone все по умолчанию до Zone name тут пишем домен второго уровня блокируемого сайт (имя.ком).

Добавляем в эту новую зону новую A запись New Host вот так, правой мышкой на vk.com и там есть добавить A или AAAAAA. Если этого не сделать будет просто ошибка соединения, а если сделать то хотя бы по http вместо vk будет открываться сайт IIS (не знаете что это? Да никто не знает — это вебсервер майкрасофт)

Но что делать если после отключения vk.com завхоз перестал с нами делиться неучтенкой и бизнес критическими слухами. Выход есть. В DHCP в нашем первом интервале создаем Reservations

Тут прописывам IP который сейчас свободен и MAC адресс завхоза!

Потом кликаем на эту запись и редактируем DNS который выдает, делать это надо нажав правой мышкой на запись слева, если тыкать на запсиь DNS справа ничего не даст отредактировать!

Оставляем только ДНС гуггля!

Проверяем на завхозе

Ну вот, коммуникация с завхозом налажена, это будет способствовать увеличению продуктивности решения бизнес задач ням!… с локальными хостами, только надо будет что-то решать, можно их на его компе в hosts прописать если вдруг понадабятся!

Устанавливаем второй Windows Server 2019
Просто устанавливаем, прописываем статический IP, и вводим в домен! Перезагружаемся и на первом сервере добавляем его в Server Manager через Manage > Add Servers

Это позвалит с первого сервера ставить роли на второй! Вот так его выбираем на установке ролей

Отказоустойчивый DHCP
Ставим на первом сервере, для второго DHCP роль, и на сообщение о конфигурирование DHCP на втором сервере тоже жмем на первом… круто!

На первом сервере идем в настройки DHCP и правой мышкой нажимаем на диапазоне и там Configure Failover

Далее, выбираем второй сервер вот так

Настройки, как на картинке, внизу ввожу кодовое слово(при таких настройках оно как бы не нужно, а при других нужно для управления другими серверами). Диапазон поделится на 50% и каждый сервер будет отдавать свою часть.

ОСТРОЖНО: Я думал что теперь достаточно Scope Options отредактировать на одном сервере и он поменяется на втором — НЕТ не поменяется!

Интересный факт, если отключить Failover то диапазон останется на том сервере на котором отключил Failover, а с другого удалится… я просто ожидал обратного!

Вводим компьютеры в домен и GPO
Сначала GPO, в Server Manager > Tools > Group Policy Management правой мышкой на Group Policy Objects>New придумываем свое имя, у меня ITCAllUsers

Затем жмем на имя своего сервера и выбираем Link an existing GPO указываем тут свое новое GPO. Это важно потому что GPO будет применятся с приоритетом, еще раз нажмем на имя своего сервера и справа увидим какие политики примянется, поднимем свою новую выше

Потом уже на этом имяни правой мышкой Edit

И тут можно чего-нибудь…

Добавляю пользователя
В Server Manager > Tools > Active Directory Users and Computers жмем как на картинке

Добавляю там же группу Office Users
Добавляю в него этого пользователя
А так же добавляю в эту группу компьютер(важно, он появится в компьютерах после ввода оного в домен)… GPO состоит из двух частей, одна применяет к ПК другая к Юзеру, и уменя получилось так что если Юзер в группе на которую действует GPO, а ПК нет, то GPO вообще не срабатывает… сам понимаю что так не должно быть, но вот так оно!
Все ухожу отсюда

В Server Manager > Tools > Group Policy Management оставляю только Office Users а Authenticated Users убираю

На сервере делаю
gpupdate /force

На клиенте тоже можно так сделать, но ниразу не помогло, лучше ребут, или релогин!

Добавляю через GPO сетевой диск
У меня уже есть шара на сервере которая поделена с группой Office Users
Поэтому залезаю в свой GPO под имяни ITCAllUsers и делаю как на картинках, в тех же самых местах

Даже можно сказать что сразу заработало, после перезагрузки клиента, после пары часов угробленных на расследование почему вообще новое GPO не срабатывало!

Добавляю через GPO сетевое обнаружение
Не работает! Вот есть долгая и мутерная инструкция www.technig.com/enable-network-discovery-via-group-policy/ а все равно не работает! Двигаю дальше, дальше будет понятно в каком месте не сработало, но непонятно как заставить работать!

Добавляю всем через GPO сетевой принтер
Сначала скачиваю на другом компьюетер драйверы, и кладу его на шару на севрере. Устанавливаю сетевой принтер на серевере. Через новое меню неработает

Через старое место работает — принтер сетевой из другой сети, ройтинг работает нормально! Сразу расшарю его, при установки

В свойствах принтера, во вкладке Share > Additional drivers добавляю какие есть, чтобы клиентам было удобнее ставится

Тут же в Security добавляем группу Office Users чтобы эта группа печатала

Идем свое GPO и там в GPO User Configuration > Preference > Control Panel… > жмем правой мышь на Printer и New > Заполняем — тут важно везде писать ХОСТ сервера а не доменное имя, а то совсем работать не будет

Так же надо разрешить юзерам подключатся к серверу идем в User Configuration > Policies > Administrative Templates > Control Panel > Printers и доводим Point and Print Restrictions до вида

Сделал обновление GPO и на сервере и клиенте. И смотрю на клиенте в Event viewer принтер пытается накатиться с GPO но какаято неадекватная ошибка с драйверами, говорит не те… хотя они под windows 10 одни других нет

У меня этот принтер с Winndows Server 2019 и Windows 10 не заработал, работал отлично на Windows Server 2012 и Windows 8.1 — но инструкция правильная!

Не ставлю DFS
На самом деле поставил, даже процесс описал, а потом стало понятная что нафиг оно не нужно. Distributed File System — красивое название, я даже подумал что это типа одна сетевая шара которая живет на нескольких серверах в сети по типу RAID — нет вообще не так. DFS просто реплицируют одну папку на Windows Servere вдругую, и делает это фигово (по отзывам), сетевыми возможностями для шаринга не обладает, в качестве бекапа тоже не пригодна… за чем она, не понятно! Вообще то я взялся за эту фичу, потому что думал она как то связана с хранением всех папок пользователей на сервере, чтобы он садился за любой комп и получал все свое… и она как-то связана, но совсем не очевидно…

Ставлю WSUS
Вот это полезный сервис. Будет выкачивать апдейты и отдавать компам в локальной сети на которых по GPO будет прописано брать их только у этого сервера — плюс в экономии трафика, и надежда побороть всегда не вовремя вылезающие обновления. Ставить буду на второй сервер(который в домене, важно потому что DNS), через Add roles and features в Server Manager Dashboard добавляю роль Windows Server Update Services

Далее поумолчанию. Если есть старые Windows 7 или 8 надо еще поставить Net framework 3.5. На странице где спрашивают куда качать вводим путь существующий папки, вручную, браузить нельзя!

После установки, в уведомлениях надо нажать на новое сообщене о настройки нового сервиса, и он сам что-то еще донастраивает. Долго.

Чтобы все было по модному, надо наш WSUS пользовать через https, для этого сделаем SSL сетификат. Для этого запустим Server Manager > Tools > Internet Information Services (IIS) Manager там выберем Server Certificates и с правого бока Create Self-Signed Certificate — имя свое, тип Web Hosting

Теперь там же в Internet Information Services (IIS) Manager нажимаем слева на Sites > WSUS Administrations и с права на Bindings

Выбираем https и жмем edit, тут снизу выбираем наш новый сертификат, его можно посмотреть тут же View и перепечатать от туда хост нейм

Там же Sites > WSUS Administrations жму на SSL Settings и ставлю галочку чтобы всегда

Все теперь полное SSL

Идем теперь в Server Manager > Tools > Windows Server Updates Service коннектимся к нашему WSUS серверу

При первом запуске начинается настройка — далее поумолчанию и по желанию. После того как удаться подконектится(долго, очень долго) к севрверу Майкрософт можно выбрать язык и для чего качать апдейты и какого типа аптдейты. Выбираю все где есть Windows 10 а это моного пунктов, и только важные апдейты вот эти

В конце соглашаюсь на первую синхронизацию… это еще более долгий процесс!

Тут же основном окне слева, добавляю групуп в Computers > All Computers правой мышкой

Теперь иду на первый сервер и редактирую GPO в Server Manager > Tools > Group Policy Management которая у меня называется ITCAllUsers. В Computer Configuration > Administrative Templates > Windows Components > Windows Update довожу следующие записи до вида

Configure Automatic Updates

Обновления будут ставиться каждый четверг в 10:00

Specify intranet Microsoft update service location

Тут указываем наш WSUS сервер

Do not connect to any Windows UPdate Internet locations
Это просто включаем, говорят это даже отключает магазин Майкрософт

Enable client-side targeting

Тут прописывает в какую группу апдейта будут попадать эта группа, ранее во WSUS делал группу Windows10

Ииии… должно бы было уже работать, но нет — дальше будет полезная информация по диагностики проблемы, но не по её решению!

Сначала ядумал что проблема в SSL сертификете, и действительно захожу на
https://winserver2019-2.itcooky.server:8531
И edge ругается что не доверяет! Но это лечится!

На втором сервере на котором делале сертификат экспортируем его

И закидываем на первом серевре в основое новое GPO в место Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities и после этого доменные виндовс компы перестают ругаться на недоверие к сайту…

и это странно, потому что часть этого GPO в разделе Computer Configuration вообще не срабатывает.

В прошлом Windows Servere была команда посмотреть что там с WSUS, но майкрософт её выпилила, но теперь понятно что проблема то в GPO так что буду смотреть в него!

На Windows 10 в консоле исполняем
gpresult /h gptest.html
В папке юзера появляется это файл, открываем его и в поле Computers Details пусто, а вполе Users Details все правила которые прописывались ранее.

можно еще проще посмотреть
gpresult /r
Если есть в вводе Computer Settings то они применились, если нет то нет

Оказалось это широко известная проблема, лечится фразой «You need to link the GPO to the OU that contains the workstations» пихал в одно OU, потом в другое OU, не, не помогает.

Однако прописал WSUS правила в Local Computer Policy на Windows 10 компе. WSUS — работает! Комп хоть и не появляется в группу Windows 10, как должен был бы, ну хоть просто появился!

До кучи всего WSUS накачал, если одобрить апдейты должен в четверг ставить

Источник