. Централизованное распространение обновлений для Adobe Reader и Java RE с помощью Microsoft WSUS.
Централизованное распространение обновлений для Adobe Reader и Java RE с помощью Microsoft WSUS.

Централизованное распространение обновлений для Adobe Reader и Java RE с помощью Microsoft WSUS.

Далее будет рассмотрен подробнейшим образом процесс подготовки всех компонентов системы для централизованного распространения обновлений. Разработал и протестировал данный метод, а также написал эту инструкцию мой коллега, за что ему огромное спасибо.

1. Подготовка к установке

Подразумевается, что WSUS уже настроен и функционирует.

Внесем дополнительные изменения в настройки Windows Update, создав новый GPO или отредактировав уже существующий:

Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \

Центр обновления Windows

«Разрешить прием обновлений с подписью из службы обновления Майкрософт в интрасети

(Allow signed updates from an intranet Microsoft update service location)» ENABLED

Проверяем, что на сервере WSUS, где будет развернут Local Update Publisher, установлен компонент .NET Framework 3.5. Если не установлен, то можно быстро развернуть с помощью Powershell:

import-module servermanager

add-windowsfeature net-framework

2. Установка Local Update Publisher

Local Update Publisher — открытый инструмент, бесплатно загружаемый с сайта SourceForge по адресу sourceforge.net/projects/localupdatepubl ( http://sourceforge.net/projects/localupdatepubl ).

После установки программы на сервер WSUS выполните следующие действия:

  • Запустите инструмент Local Update Publisher из меню Start в разделе All Programs. Появится приглашение подключиться к серверу WSUS. Сервер WSUS — локальный, поэтому можно оставить поле Name пустым и нажать кнопку Connect.
  • В окне программы Local Update Publisher щелкните LOCALHOST в разделе Update Services.
  • Появится окно No WSUS Certificate found; нажмите в нем кнопку Yes.
  • В диалоговом окне Certificate Information щелкните Create Certificate. Откроется второе окно, указывающее, что самозаверяющий сертификат успешно подготовлен и должен быть установлен на всех локально обновляемых клиентах.
  • В окне подтверждения установки нажмите кнопку OK.
  • В диалоговом окне Certificate Information щелкните Export Cert, затем сохраните копию сертификата на компьютере. — Нажмите кнопку OK.

В производственной среде лучше использовать сертификат, изданный удостоверяющим центром (CA), который является частью инфраструктуры открытых ключей PKI компании.

Теперь необходимо установить самозаверяющий сертификат на сервере WSUS в «Доверенные корневые центры сертификации» (Trusted Root Certification Authorities) и «Доверенные издатели» (Trusted Publishers).

Для компьютеров, которые входят в домен, сертификат можно распространить через групповую политику, добавив его в соответствующие узлы:

Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \ Политики открытого ключа\ Доверенные корневые центры сертификации

Конфигурация компьютера \ Политики \ Конфигурация Windows \ Параметры безопасности \

Политики открытого ключа\ Доверенные издатели

Если сертификат был выпущен доменным центром сертификации, то достаточно добавить его в «Доверенные издатели». При этом сертификат выпускающего центра должен находиться в «Доверенных корневых центрах сертификации».

Для компьютеров из рабочей группы нужно установить параметр в реестре

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AcceptTrustedPublisherCerts = 1

Если все сделано правильно, то клиентские компьютеры смогут принимать сторонние обновления, в противном случае появится ошибка Windows Update 800B0109.

3. Создание пакета установки

3.1. Adobe Flash Player

В первую очередь загрузите файл Flash Player Windows Installer из: http://www.adobe.com/products/flashplayer/distribution3.html

Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:

  • В меню Tools щелкните Create Update.
  • В окне Import Update from File нажмите кнопку Затем выберите ранее загруженный msi-файл Flash Player. Все файлы упакованы в установщике Flash Player MSI.
  • Нажмите кнопку Next. На следующей странице уже содержится вся необходимая информация, за исключением сведений о поставщике и продукте.
  • В поле Vendor введите Adobe Systems, Inc.. В поле Product укажите Adobe Flash Player
  • Нажмите кнопку Next. При подготовке обновления вместе c msi-файлом применяется Local Update Publisher, поэтому правила автоматически заполняются на нескольких следующих страницах мастера установки. Впоследствии правила можно изменять или дополнять.
  • На странице Package Level — Installed Rules нажмите кнопку Next, чтобы принять правила по умолчанию.
  • Нажмите кнопку Next на следующих страницах: Package Level — Installable Rules, Installation Item Level — Superseded Rules и Installation Item Level — Rule Metadata.
  • Просмотрите XML-информацию для обновления, затем нажмите кнопку Finish.

Спустя несколько секунд на экране должно появиться извещение об успешной публикации обновления во WSUS.

Один из недостатков локальных обновлений заключается в том, что они не отображаются в административной консоли WSUS. Управлять и утверждать локальные обновления приходится с помощью инструмента Local Update Publisher:

  • В Local Update Publisher разверните LOCALHOST, Updates, Adobe Systems, Inc., Adobe Flash Player.
  • В области сведений щелкните правой кнопкой мыши на обновлении и нажмите кнопку Approve.
  • В диалоговом окне Approve Update щелкните No Approval справа от группы Local Updates, а затем Approved for Install.
  • В нижней части диалогового окна Approve Update нажмите кнопку Approve.
  • В ответ на запрос подтверждения нажмите OK.
  • Нажмите кнопку Close.

Отключение автоматических обновлений Adobe Flash Player . По умолчанию Flash Player проверяет наличие новых версий через каждые 30 дней. В корпоративной среде полезно отключить эту функцию и централизованно управлять обновлениями через WSUS. С помощью бесплатного инструмента, такого как Microsoft Orca, в базу данных MSI можно внести необходимый файл конфигурации.

В программе Local Update Publisher предусмотрены основные функции подготовки отчетов, с помощью которых можно увидеть, какие компьютеры в группе успешно получили обновления.

3.2. Adobe Reader

Загружаем Adobe Customization Wizard (для каждой версии Adobe Reader мастер свой): ftp://ftp.adobe.com/pub/adobe/acrobat/win/11.x/11.0.00/misc/

Загружаем EXE дистрибутив Adobe Reader требуемой локализации: ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/

Распаковываем EXE с помощью архиватора (например, 7-Zip или WinRAR).

Запускаем Adobe Customization Wizard и открываем в нем AcroRead.msi, получившийся в результате распаковки EXE.

Далее вносим следующие изменения:

  • в разделе Personalization Options выбрать пункт Suppress display of EULA:
  • в разделе Installation Options отметить пункты Installer will choose which product will be the default,Remove all version of Reader, Enable Optimization,Enable Caching of installer files,Silent Installation и Suppress reboot.
  • в разделе Registry перейти к HKLM\Microsoft\Windows\CurrentVersion\Run. Правым кликом по параметру вызвать контекстное меню и выбрать Modify
  • выбрать Remove Value
  • в разделе Security в параметре Protected view выбрать All files
  • в разделе Online and Adobe online services Features отключитьвсефункции
  • в разделе Direct Editor выбрать таблицу InstallExecuteSequence. Далее выбирая параметры

CreateShortcut, InstallService и StartService, нажать правым кликом и выбрать из контекстного меню Drop Rows

  • выбираем пункт File и нажимаем Save Package
  • открываем AcroRead.msi с помощью Microsoft Orca и из таблицы Property копируем значение параметра ProductCode. Оно пригодится позже.

Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:

  • В меню Tools щелкните Create Update.
  • В окне Import Update from File нажмите кнопку Затем выберите Setup.exe из ранее распакованного инсталлятора
  • С помощью кнопки Add Files добавьте остальные файлы из распакованного инсталлятора
  • Нажмите кнопку Next. На следующей странице уже содержится вся необходимая информация, за исключением сведений о поставщике и продукте.
  • В поле Vendor введите Adobe Systems, Inc.. В поле Product укажите Adobe Reader
  • На странице Package Level — Installed Rules нажмите кнопку Add Rule. В списке Rule Type выберите MSI Product Installed, в поле Product Code необходимо вписать значение параметра ProductCode, которое получили (см. выше) с помощью Microsoft Orca ( значение вписать без фигурных скобок !)
  • Нажмите кнопку Add Rule, затем Next. На странице Package Level — Installable Rules нажмите кнопку Add Rule. В списке Rule Type выберите MSI Product Installed, в поле Product Code необходимо вписать значение параметра ProductCode, которое получили (см. выше) с помощью Microsoft Orca ( значение вписать без фигурных скобок !). Поставить галочку около Negation Rule
  • Далее нажимаем несколько раз Next, затем Finish. Обновление подготовлено.
  • Дальнейшее управление и утверждение локального обновления аналогично описанному в п. 3.1.

3.3. Обновление для Adobe Reader

Затем выполните следующие шаги для создания локального обновления в Local Update Publisher:

  • В меню Tools щелкните Create Update.
  • В окне Import Update from File нажмите кнопку Browse и выберите скачанный файл MSP.
  • Нажмите кнопку Next. В поле Vendor введите Adobe Systems, Inc.. В поле Product укажите Adobe Reader (содержимое этих полей должно совпадать с ранее созданным Adobe Reader. Совпадение ВАЖНО для группировки обновлений по производителю и продукту).
  • На остальных экранах мастера публикации нажмите Next и Finish, т.к. файл MSP уже содержит свой набор правил.

Может сложиться ситуация, когда кроме самого Adobe Reader уже были опубликованы файлы MSP (более ранние по сравнению с подготовленным сейчас). В этом случае, убедившись, что подготовленное сейчас обновление включает все изменения из предыдущих файлов MSP, необходимо выполнить следующее:

  • нажать правой кнопкой на подготовленном сейчас обновлении и выбрать Revise
  • в открывшемся окне нажмите Supersedes, затем Add, далее в списке Vendor выберите производителя Adobe Systems, Inc.. После этого выделите обновления, которые будут заменяться подготовленным сейчас и нажмите Select
  • На остальных экранах мастера нажмите Next и Finish.
  • В окне списка опубликованных обновлений статус замененных обновлений изменится на Superseded
  • Дальнейшее управление и утверждение локального обновления аналогично описанному в п. 3.1.

3.4. Java

В первую очередь скачиваем автономный установщик: https://www.java.com/ru/download/manual.jsp

Чтобы добыть пакет MSI, необходимо установить Java с помощью автономного установщика.

После успешной установки MSI можно найти здесь:

<User profile, who install Java>\AppData\LocalLow\Sun\Java\jre<номер версии>\<здесь будет лежать msi> Этот MSI уже пригоден для распространения через Local Update Publisher.

Однако будет правильнее внести некоторые изменения. Например, отключить функцию проверки наличия обновления:

  • в Microsoft Orca открываем MSI
  • выбираем Transform, затем New Transform
  • выбираем таблицу Property
  • редактируем следующие свойства:

AUTOUPDATECHECK=0 (отключает добавление в автозагрузку планировщика обновлений JRE, т.е.

радикально отключает автообновление)

JAVAUPDATE=0 (отключает обновление, но не отключает предложение включить автообновление во время первого запуска, так же не отключает вкладку Update в Java Control Panel)

SYSTRAY=0 (отключает уведомление в трее о необходимости обновления)

  • Сохраняем модификацию: Transform, затем Generate Transform…

Теперь можно публиковать обновление в Local Update Publisher:

  • В поле Vendor введите Oracle. В поле Product укажите Java.
  • Поскольку MSI уже содержит все необходимые правила установки, то можно просто нажать Next в остальных окнах мастера. Однако можно добавить и свои правила, воспользовавшись, например, фильтрами WMI:

В примере выше обновление будет установлено только на ПК под управлением 64-bit ОС, в которых проинсталлирована Java 32-bit или Java 64-bit:

WMI Namespace: root\cimv2

Query: SELECT * FROM Win32_Processor WHERE AddressWidth = «64»

WMI Namespace: root\cimv2

Query: Select * From win32_Directory where name=»c:\\Program Files\\Java»

WMI Namespace: root\cimv2

Query: Select * From win32_Directory where name=»c:\\Program Files (x86)\\Java»

Замечания по распространению обновлений Java:

  1. Производитель заявляет, что:

начиная с Java 8 обновление 20 (8u20), на системах Windows инструмент удаления Java Uninstall Tool интегрируется с программой установки. Это позволяет удалять устаревшие версии Java из системы. Данное изменение применимо к 32- и 64-разрядным платформам Windows.

Однако Java Uninstall Tool отрабатывает только при установке руками и не запускается при распространении через Local Update Publisher.

В связи с чем необходимо будет выполнить отзыв предыдущего обновления во время распространения нового:

📎📎📎📎📎📎📎📎📎📎