У меня есть сеть с 10 000 рабочих станций, которые в настоящее время все пытаются загрузить SP3 и наводняют сеть (это произошло из-за ошибочного изменения политики AD). Как лучше всего блокировать этот трафик на сетевом уровне с помощью брандмауэров, фильтрации веб-содержимого или встроенной IPS? Есть ли актуальный список IP-адресов для серверов обновлений Microsoft?
Хитрость в том, что мы должны делать это быстро, поскольку сеть затоплена. Мы не можем дождаться изменения политики ...
Похоже, вы сначала не тестируете изменения своей групповой политики в лабораторных условиях, а?
Создайте объект групповой политики с настройками «Настроить автоматические обновления» в узле «Центр обновления Windows» узла «Компоненты Windows» в «Административных шаблонах», для которых установлено значение «Отключено». Пока вы не сделали что-то для отключения периодического обновления политики, которое происходит каждые 90–120 минут, по умолчанию клиенты будут принимать изменения без перезагрузки.
Если вы отключили фоновое обновление политики или не можете ждать, вырежьте копию «psexec» и запустите «gpupdate / force» на клиентах после внесения вышеуказанного изменения. (Блокировка обновления фоновой политики кажется действительно плохой идеей ...)
Блокировать это на уровне 3 будет сложно, потому что служба Windows Update поддерживает балансировку нагрузки DNS. Я не знаю, можно ли легко получить список IP-адресов.
Вы можете обойтись созданием зон DNS «windowsupdate.com» и «update.microsoft.com» на DNS-серверах, которые используют ваши клиенты, без каких-либо записей в них. Клиенты с кешированными результатами поиска DNS не пострадают.
Или же выделите копию «psexec» и выполните небольшой сценарий на каждом клиенте, чтобы остановить службу «wuauserv» и пометить ее как «Отключено». Это тоже остановит.
Кстати, вам действительно стоит использовать WSUS.
Предположим, что список имен компьютеров находится в файле "computers.txt" (который можно получить, экспортировав результаты операции "Найти ..." из Active Directory Users and Computers в файл и очистив его с помощью Блокнота):
@echo off
for /f %%i in (computers.txt) do (
start sc \\%%i stop wuauserv
start sc \\%%i config wuauserv start= disabled
)
Это постоянное изменение для ПК, но вы можете отменить его с помощью настроек «Службы» в GPO позже.
При таком количестве компьютеров можно предположить, что они разбиты на многие географические области. Вероятно, вам следует распространить запуск такого сценария по серверам, расположенным в географических областях, ближайших к группам компьютеров.
Если вы хотите пофантазировать, вы можете использовать dsquery или Джо Ричардс (http://www.joeware.net) adfind экспортировать списки компьютеров из AD. (Вы также можете экспортировать списки компьютеров с DHCP-серверов с помощью инструмента поддержки dhcpcmd, если бы это был лучший способ получить географические списки ...)
Имейте пользователей в сети VLAN, которая не направляет напрямую в Интернет, и используйте ISA или другой кэширующий сервер с открытым исходным кодом.
Более быстрые и менее навязчивые варианты:
От самого быстрого к самому медленному
Лично мне нравится повседневная работа среды 4, где 3 обрабатывает обновления, но получает их все из чего-то вроде WSUS. 2 и 1 - это исправления, предназначенные не больше, чем для устранения причины сбоя, пока она не будет исправлена должным образом.
Возможные домены для попытки заблокировать
Этот список, вероятно, не полный, я бы порекомендовал вам сделать зеркало порта магистрали или пользовательского vlan на портативном компьютере, на котором запущен WireShark, и вы отфильтруете запросы DNS или имя файла.
Получите IP-адреса, связанные с записями DNS, и заблокируйте их брандмауэром. Это, вероятно, вызовет проблемы с работой некоторых людей, но позволит снова использовать соединение WAN / Inet для многих, которым эти сайты не нужны. Если у вас есть брандмауэр, который поддерживает блокировку по DNS вместо IP, тем лучше. Ваша IPS может поддерживать ответы на запросы файлов для каждого домена, если это так, это также будет работать.
Это определенно НЕ то, что я когда-либо предлагал бы кому-то делать, когда не требуется сортировка по сети.
Если политики AD по-прежнему работают, вы можете указать рабочие станции на WSUS или блокировать окна или автоматические обновления через GPO.
Также у MS есть Набор средств блокировки пакетов обновления Windows который может блокировать загрузку SP.
Если это не вариант - начните с блокировки * .windowsupdate.microsoft.com на брандмауэре. Не запомнил все адреса, не слишком много - 3 или 5.
выше сценарий настроен при использовании
чистый вид> c: \ temp \ comps.txt
for / f "skip = 3 tokens = 1 delims =" %% i in (c: \ temp \ comps.txt) do (start sc %% i stop wuauserv start sc %% i config wuauserv start = disabled)
вы даже можете использовать .... %% i in ('net view') (...
и это будет работать. (я использую метод файловой трубы, так как обычно редактирую несколько станций)
мы использовали это, чтобы временно остановить подключения к серверу WSUS во время устранения неполадок.
работал здесь в сети с 250 станциями, и это заняло около 30 секунд.
удачи
пс. Теперь, если бы Adobe перешла на сервисный процесс обновления, я бы умер счастливым ... взлом реестра, чтобы остановить обновление Adobe, - это глупо.
Измените параметр групповой политики, чтобы ничего не делать для автоматического обновления.