У цій статті ми розглянемо приклад інтеграції оновлень безпеки з WSUS Offline Updater в завдання установки Windows 10 по мережі за допомогою Microsoft Deployment Toolkit (MDT) 2013. Таким чином, можна налаштувати автоматичне розгортання повністю пропатченний образу Windows 10. Хоча існують і інші способи інтеграції оновлень в образ Windows, наприклад, безпосередньо в wim файл образу системи або за допомогою вбудованих засобів MDT, ми розглянемо використання WSUS Offline Updater, як досить зручного та функціонального інструменту, і його можливості інтеграції з MDT.
зміст:
- WSUS Offline Updater
- Інтеграція WSUS Offline Updater з MDT 2013
- Установка оновлень при розгортанні ПК з Windows 10 по мережі
WSUS Offline Updater
В першу чергу нам потрібно завантажити останню версію WSUS Offline Updater (Http://download.wsusoffline.net/). На момент написання статті була доступна версія WSUS Offline Updater 10.7.
WSUS Offline Updater - це безкоштовна утиліта, розроблена для автоматичного отримання всіх оновлень безпеки для певного продукту Microsoft з сайту Microsoft Update або локального WSUS сервера. Оновлення зберігаються в локальну папку і адміністратор в подальшому може встановити ці оновлення офлайн на ізольованих комп'ютерах, без необхідності підключати їх до інтернету або локальної мережі. Утиліта дозволяє завантажити оновлення для всіх підтримуваних версій Windows (Vista, 7, 8,10 / Windows Server 2008, 2008 R2, 2012 2012 R2), пакету Office 2010, 2013 і 2016, .Net Frameworks, C ++ Runtime libraries, бази оновлень Windows Defender, Microsoft Security Essentials і т.д.
Скачайте і розпакуйте вміст архіву wsusoffline107.zip в будь-який каталог. У моєму випадку це C: \ Distr \ wsusoffline.
Запустіть виконуваний файл UpdateGenerator.exe (WSUS Offline Update Generator)
Виберіть версію Windows, для якої потрібно отримати список обов'язкових оновлень безпеки. Наприклад, для Windows 10, потрібно вибрати в секції Windows 10 / Server 2016 (w100 / w100-x64) потрібну розрядність (x64 Global (multilingual updates) і натиснути Start. 
Утиліта отримає список доступних оновлень і почне закачувати файли, які ще не були отримані. Це означає, що програму можна періодично запускати, щоб завантажити тільки останні відсутні поновлення, які не перезакачівая все пакети заново. Залежно від швидкості доступу в інтернет, на скачування всіх оновлень продукту може зайняти досить тривалий час.
Поради.
- У налаштуваннях програми можна вказати, щоб отримувати останні оновлення безпеки н з інтернету (сайтів Microsoft Update site), а з локального WSUS сервера.
- При підключенні до інтернету через проксі, настройки проксі сервера можна задати, натиснувши кнопку Proxy
Все закачані поновлення зберігаються в каталог Client.
Для установки оновлень на клієнті використовується програма з графічним інтерфейсом UpdateInstaller.exe. У нашому випадку GUI не потрібно, адже поновлення повинні встановлюватися автоматом без взаємодії з користувачем. В цьому випадку краще використовувати файл сценарію Update.cmd (Він в свою чергу запускає скрипт \ cmd \ DoUpdate.cmd). Таким чином, MDT 2013 повинен запускати файл update.cmd при розгортанні Windows 10 на клієнті.
- У каталозі wsus зберігається остання версія агента оновлень Windows (Windows Update Agent)
- У каталозі w100-x64 \ glb зберігаються самі файли оновлень для Windows 10 в форматі * .cab
Інтеграція WSUS Offline Updater з MDT 2013
Після того, як всі оновлення будуть завантажені на локальний диск, закрийте вікно WSUS Offline Updater і скопіювати вміст папки Client на ваш північ MDT. Я помістив її в папку C: \ DeploymentShare \ Scripts.
Залишилося додати в завдання установки Windows 10 задачу запуску установки оновлень.
Відкрийте консоль Deployment Workbench (MDT), і в розділі Task Sequences знайдіть потрібне завдання, в яке ви хочете додати етап установки оновлень. У нашому прикладі це Deploy Win 10 x64 Pro. Відкрийте його властивості і перейдіть на вкладку Task Sequence.
Створимо нове завдання MDT, яке монтує мережеву папку з оновленнями (Client) В окремий диск (файл update.cmd не працює з UNC шляхами) і запустить файл update.cmd для старту установки оновлень.
У групі завдань State Restore -> Custom Task після створимо два нових заданія6
- Монтує мережевий диск з каталогом Client по UNC шляху
- Запускає скрипт update.cmd.
Створимо нове завдання (Add-> General-> Run Command Line) з ім'ям Mount Network Folder
В рядку Command line вкажемо наступну команду:
cscript.exe "% SCRIPTROOT% \ ZTIConnect.wsf" /uncpath:\\10.10.0.70\DeploymentShare\Scripts\client
Друге завдання з ім'ям Install Windows Updates Offline має містити наступну рядок запуску:
Cmd.exe / c "Y: \ DeploymentShare \ Scripts \ client \ update.bat"
Залишилося оновлювати каталог поширення, клацнувши ПКМ по кореню MDT кулі і вибравши пункт "Update Deployment Share".
Установка оновлень при розгортанні ПК з Windows 10 по мережі
Залишилося протестувати роботу завдання розгортання Windows 10 на клієнті (це може бути віртуальна або фізична машина). Включимо тестову машину і запустимо завантаження по мережі за допомогою PXE.
Виберіть потрібний Task Sequence і дочекайтеся закінчення установки Windows 10. Після закінчення установки, має з'явитися вікно з заголовком "Administrator DoUpdate", в якій буде відображатися процес установки оновлень безпеки Windows.
Після завершення встановлення та перезавантажте комп'ютер.
Отже, ми налаштували автоматичну установку оновлень безпеки Windows в процесі розгортання Windows 10 на клієнтах за допомогою Microsoft Deployment Toolkit і WSUS Offline Updater.
