วิธีตั้งค่า GPO ให้ใช้ WSUS บน Windows Server 2022 แบบละเอียด เครื่องลูกข่ายรับ Update อัตโนมัติ
หลังจากติดตั้ง WSUS และสร้าง Computer Groups เรียบร้อยแล้ว ขั้นตอนสำคัญที่สุดคือการตั้งค่า Group Policy (GPO) เพื่อบังคับให้เครื่องลูกข่ายทุกเครื่องในองค์กรรับ Windows Update จาก WSUS Server แทนการเชื่อมต่อไปยัง Microsoft Update โดยตรง
หากไม่ตั้งค่า GPO อย่างถูกต้อง เครื่องลูกข่ายจะยังคงดาวน์โหลด Update จาก Microsoft ผ่านอินเทอร์เน็ต และ WSUS จะไม่สามารถควบคุมการอัปเดตได้
บทความนี้จะสอนการตั้งค่า GPO สำหรับ WSUS บน Windows Server 2022 แบบครบทุกขั้นตอน
🔹 ทำไมต้องใช้ GPO กับ WSUS
Group Policy ช่วยให้
✅ ตั้งค่าพร้อมกันหลายร้อยเครื่อง
✅ บังคับใช้จากศูนย์กลาง
✅ ลดงาน Manual
✅ ควบคุม Windows Update ได้ทั้งหมด
องค์กรที่มี Active Directory ควรใช้ GPO เสมอ
🔹 สิ่งที่ต้องเตรียม
ก่อนเริ่ม
ควรมี
✅ WSUS Server ทำงานปกติ
✅ Active Directory
✅ Domain Joined Client
✅ Group Policy Management
ตัวอย่าง
WSUS01
IP
192.168.1.10
🔹 ตรวจสอบ WSUS URL
โดยปกติ WSUS ใช้ Port
8530
ตัวอย่าง URL
http://wsus01:8530
หรือ
http://192.168.1.10:8530
หากใช้ SSL
จะเป็น
https://wsus01:8531
🔹 เปิด Group Policy Management
เปิด
gpmc.msc
🔹 สร้าง GPO ใหม่
คลิกขวา OU
เลือก
Create a GPO in this domain
ตั้งชื่อ
WSUS Settings
🔹 แก้ไข GPO
คลิกขวา
เลือก
Edit
ไปที่
Computer Configuration
Administrative Templates
Windows Components
Windows Update
Manage end user experience
🔹 เปิด Configure Automatic Updates
เลือก
Configure Automatic Updates
เลือก
Enabled
🔹 เลือกรูปแบบการอัปเดต
แนะนำ
4 - Auto download and schedule the install
จากนั้นกำหนดเวลา
ตัวอย่าง
03:00 AM
🔹 เปิด Specify Intranet Microsoft Update Service Location
เลือก
Specify intranet Microsoft update service location
เลือก
Enabled
🔹 กำหนด WSUS URL
ใส่
http://wsus01:8530
ทั้งสองช่อง
หรือ
http://192.168.1.10:8530
กด Apply
🔹 เปิด Client-side Targeting
เลือก
Enable client-side targeting
เลือก
Enabled
🔹 กำหนด Group Name
ตัวอย่าง
Production
หรือ
IT-Test
ตรงกับชื่อ Group ใน WSUS
🔹 เปิด Automatic Update Detection
เลือก
Automatic Updates Detection Frequency
กำหนด
6 Hours
หรือ
12 Hours
🔹 ปิดการเข้าถึง Windows Update โดยตรง
เลือก
Remove access to use all Windows Update features
Enabled
ช่วยบังคับให้ Client ใช้ WSUS เท่านั้น
🔹 Apply GPO
ที่เครื่อง Client
รัน
gpupdate /force
🔹 ตรวจสอบ GPO
ดูผลลัพธ์
gpresult /r
ควรเห็น
WSUS Settings
🔹 บังคับตรวจสอบ Update
Windows 11
UsoClient StartScan
Windows รุ่นเก่า
wuauclt /detectnow
🔹 ตรวจสอบ Registry
เปิด
regedit
ไปที่
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate
ควรพบ
WUServer
และ
WUStatusServer
🔹 ตรวจสอบจาก PowerShell
ดูค่า WSUS
Get-ItemProperty HKLM:\Software\Policies\Microsoft\Windows\WindowsUpdate
🔹 ตรวจสอบว่า Client เชื่อม WSUS หรือไม่
ใน WSUS Console
เลือก
Computers
หากเครื่องปรากฏในรายการ
แสดงว่าเชื่อมต่อสำเร็จ
🔹 ปัญหาที่พบบ่อย
❌ Client ไม่แสดงใน WSUS
ตรวจสอบ
DNS
Firewall
GPO
🔹 Client ยังไป Microsoft Update
ตรวจสอบ
Specify intranet Microsoft update service location
ว่าเปิดใช้งานแล้วหรือไม่
🔹 Group ไม่ตรง
ตรวจสอบ
Target Group Name
ใน GPO
🔹 WSUS URL ผิด
ตัวอย่างที่ผิด
http://server
ควรใช้
http://server:8530
🔹 แนวทางสำหรับองค์กรขนาดเล็ก
ใช้
Production
Group เดียว
ก็เพียงพอ
🔹 แนวทางสำหรับองค์กรขนาดใหญ่
ใช้
IT-Test
Pilot
Production
เพื่อควบคุมความเสี่ยง
องค์กรที่ทีมงาน comsiam ดูแลจะใช้ Group Policy แยกตาม OU และแยกตามแผนก เพื่อให้การบริหาร WSUS บน Windows Server 2022 มีความยืดหยุ่นมากขึ้น
🔹 Best Practices
✅ ใช้ GPO แทน Manual Setting
✅ ใช้ WSUS URL แบบ FQDN
✅ ใช้ Client-side Targeting
✅ ทดสอบ GPO ก่อนใช้งานจริง
✅ ตรวจสอบ Registry ทุกครั้ง
✅ ใช้ Group-Based Deployment
🔹 Checklist หลังตั้งค่า
✅ GPO ถูก Apply
✅ Registry ถูกสร้าง
✅ Client เห็น WSUS
✅ Client อยู่ใน Group ถูกต้อง
✅ ตรวจสอบ Update ได้
🔹 สรุป
การตั้งค่า GPO ให้ใช้ WSUS บน Windows Server 2022 เป็นขั้นตอนสำคัญที่ทำให้เครื่องลูกข่ายทั้งหมดในองค์กรรับ Windows Update จาก WSUS Server โดยอัตโนมัติ
เมื่อกำหนด WSUS URL, Automatic Updates และ Client-side Targeting อย่างถูกต้อง ผู้ดูแลระบบจะสามารถควบคุมการอัปเดตของทั้งองค์กรได้จากศูนย์กลาง ลดการใช้ Bandwidth และเพิ่มความปลอดภัยในการบริหารจัดการ Patch ซึ่งเป็นแนวทางมาตรฐานที่องค์กรและทีมงาน comsiam ใช้งานจริงบน Windows Server 2022