Bez kategorii

Wdrożenie Windows 7 ESU rok trzeci krok po kroku

14 marca, 2022 0
Podziel się:

W 2020 roku firma Microsoft zakończyła zapewniać pomoc techniczną dla komputerów z systemem Windows 7. Od tego czasu komputery nie otrzymują już aktualizacji zabezpieczeń.

W przypadku osób prywatnych najczęściej zalecana jest przesiadka na urządzenia z systemem Windows 10 lub 11. Trzeba mieć jednak na uwadze, że Windows 10 również niedługo straci wsparcie (14 października 2025 r.), dlatego najlepszym rozwiązaniem jest przejście od razu na Windows 11.

Co w przypadku dużych firm, które działają na starym systemie Windows 7? Czy jest możliwość przedłużenia wsparcia i wykonania migracji na nowszy system w odpowiednim dla siebie czasie?

Tak, na szczęście firma Microsoft zapewniła takie rozwiązanie z myślą o dużych przedsiębiorstwach – jest nim ESU.

Co to jest ESU?

ESU (Extended Security Updates/ Rozszerzone Aktualizacje Zabezpieczeń) są to aktualizacje umożliwiające klientom otrzymywanie ważnych zabezpieczeń po zakończeniu oficjalnego wsparcia dla systemów Windows 7 Professional oraz Enterprise. Okres dodatkowego wsparcia trwa przez 3 lata i kończy się ostatecznie 10 stycznia 2023 r.

Po tym czasie systemy te będą dalej działać, ale nie otrzymają już wspomnianych aktualizacji, co wiąże się z dużą podatnością na wirusy i brakiem wsparcia wielu produktów, takich jak np. Internet Explorer.

Jak zakupić ESU i gdzie znaleźć klucz produktu Windows?

W celu zakupienia Windows 7 ESU wraz z nowym kluczem produktu, należy:

  1. Zalogować się na stronie Centrum usług licencjonowania zbiorowego przy pomocy poświadczeń swojej firmy.
  2. Wybrać w kolejności pozycje Licencje\ Podsumowanie relacji\ Identyfikator licencji\ Klucze produktu\ Filtruj według produktu i wybrać MAK Windows 7 Extended Security Year (obecnie year 3).

Aktualizacje ESU kupowane są co roku na okres 12 miesięcy i nie można ich nabywać cząstkowo. Jeżeli ktoś chce zakupić ESU tylko na trzeci rok, to musi również wykupić aktualizacje z dwóch poprzednich lat.

Koszt Windows 7 ESU oraz okresy ważności

L.p. Typ ESU Termin rozpoczęcia Termin zakończenia Koszt za urządzenie dla Windows 7 Professional Koszt za urządzenie dla Windows 7 Enterprise
1 Windows 7 ESU Year 1 14 stycznia 2020 12 stycznia 2021 $50 $25
2 Windows 7 ESU Year 2 13 stycznia 2021 11 stycznia 2022 $100 $50
3 Windows 7 ESU Year 3 12 stycznia 2022 10 stycznia 2023 $200 $100

Co jest potrzebne do wdrożenia Windows 7 ESU?

Aby poprawnie móc wdrożyć Windows 7 ESU, należy na komputerach zainstalować poniższe poprawki:

  1. 2019-03 Aktualizacja stosu obsługi Windows 7 (KB4490628),
  2. 2019-09 Aktualizacja zabezpieczeń dla systemu Windows (KB4474419),
  3. 2020-06 Aktualizacja stosu obsługi Windows (KB4562030),
  4. Pakiet przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU) 2020-05
    dla systemu Windows 7 (KB4538483),
  5. Pakiet przygotowania licencji dodatkowych aktualizacji zabezpieczeń (ESU) 2020-07
    dla systemu Windows 7 (KB4575903),
  6. 2020-12 Aktualizacja stosu obsługi Windows 7 (KB4592510).

Dodatkowo, należy posiadać identyfikator aktywacji ESU przydzielony na dany rok.

L.p. Rok działania ESU Identyfikator ESU dla Windows 7
1 2020 77db037b-95c3-48d7-a3ab-a9c6d41093e0
2 2021 0e00c25d-8795-4fb7-9572-3803d91b6880
3 2022 4220f546-f522-46df-8202-4d07afd26454

Instalowanie ESU oraz jego aktywacja

Istnieje kilka metod instalacji i aktywacji klucza licencyjnego ESU. Opiszę tutaj dwie najczęściej wykonywane, na przykładzie aktywacji ostatniego roku „Year 3 – 2022”.

Metoda ręczna

Pierwsza z nich to instalacja „ręczna” z użyciem konsoli CMD, która sprawdza się w pojedynczych przypadkach oraz instalacja „zautomatyzowana” z użyciem MECM (SCCM).

  1. W celu zweryfikowania, w jakim stanie znajduje się licencja danego komputera, uruchamiamy konsolę CMD jako administrator.
  2. Wpisujemy w niej slmgr /dlv i wciskamy Enter.
    Widok okna Administratora
  3. Pojawi się okno z ważnymi dla nas informacjami:
    Widok Windows Script Host

Pozycje zaznaczone na zielono potwierdzają nam obecny stan aktywacji oraz status licencji użytego w tym przypadku Windows 7.

Identyfikatory aktywacji pokrywają się z tymi podanymi przez Microsoft, tak więc można stwierdzić, że komputer w poprzednich dwóch latach miał prawidłowo wdrożone ESU i jest obecnie przygotowany do kolejnej licencji na ostatni rok.

  1. W kolejnym kroku wpisujemy komendę instalującą nowy klucz produktu:
    slmgr /ipk <klucz ESU> i wciskamy Enter.

Po zakończeniu pojawi się poniższy komunikat:
Okno Windows Script Host

  1. Następnie wpisujemy komendę slmgr /ato <Identyfikator aktywacji ESU> i wciskamy Enter.
    Widok okna Administratora

Po chwili pojawi się okno z informacją o pomyślnym aktywowaniu produktu.
Okno Windows Script Host

  1. Do zakończenia procesu wymagany jest restart stacji. Po jego wykonaniu ponownie uruchamiamy konsolę CMD jako administrator, wpisujemy komendę sprawdzającą stan licencji: slmgr /dlv i wciskamy Enter.

Po chwili pojawi się okno z poniższymi danymi potwierdzającymi prawidłowe wdrożenie nowego ESU na trzeci rok.
Okno Windows Script Host

Metoda z użyciem MECM (SCCM)

Metoda z użyciem MECM (SCCM) dla większości osób korzystających z tej usługi może wydawać się łatwa. Patrząc na pierwszą metodę, można utworzyć krótki dwuwierszowy skrypt i rozdystrybuować go za pomocą MECM. Z doświadczenia wiem, że nie zawsze to zadziała i może sprawiać wielu osobom problemy. Dlatego opiszę dokładnie, jak wygląda cały proces wdrożenia nowego ESU.

  1. W celu zdalnego wdrożenia nowego ESU na wszystkie komputery, musimy najpierw stworzyć prosty skrypt.

Otwieramy Notatnik i wklejamy dwa poniższe wiersze, które tak jak w pierwszej metodzie:

  • instalują nowy klucz Windows 7 przydzielony na trzeci rok,
  • aktywują licencję ESU Year 3.

Prawidłowy skrypt powinien wyglądać następująco:

@echo off

cscript //B „%windir%\system32\slmgr.vbs” /ipk XXXXX- XXXXX – XXXXX – XXXXX – XXXXX

cscript //B „%windir%\system32\slmgr.vbs” /ato 4220f546-f522-46df-8202-4d07afd26454

Zapisujemy plik z własną nazwą, np.: esu_3 jako plik uruchomieniowy z rozszerzeniem .cmd.

  1. Utworzony skrypt zamieszczamy w Repozytorium MECM w celu dalszej dystrybucji.
  2. Po skopiowaniu skryptu do Repozytorium rozpoczynamy proces tworzenia paczki ze skryptem. W tym celu uruchamiamy konsolę MECM i przechodzimy do zakładki: Software Library/ Overview/ Application Management/ PackagesWidok okna Software Library - PackagesWidok okna Software Library Packages
  3. Z górnego menu Home wybieramy pozycję Create Package i wypełniamy wymagane pozycje według poniższych zdjęć.
    Widok okna Create Package

W polu Name podajemy swoją nazwę tworzonej paczki Windows 7 ESU Activation Year 3. Zaznaczamy pole z opisem This package contains source files i wskazujemy folder naszego Repozytorium. Następnie klikamy Next.
Widok okna Create Package and Program Wizard

Wybieramy pozycję Do not create a program, ponieważ naszym programem jest już wcześniej stworzony skrypt. Paczka posłuży nam tylko do rozdystrybuowania go po sieci.

Widok okna Create Package and Program WIzard (Do not create a program)

Widok okna Create Package and Program Wizard Summary

Widok okna Create Package and Pogram Wizard - the task completed successfully

  1. Kolejnym krokiem po utworzeniu paczki jest jej dystrybucja w sieci. W tym celu klikamy na paczkę prawym przyciskiem myszy i wybieramy opcję Distribute Content.
    Widok okna Distribute Content

Klikamy Next.
Widok okna Distribute Content Wizard general

Klikamy Add i wybieramy pozycję Distribution Point.

Widok okna Distribute Content WIzard - distribution point

Zatwierdzamy OK i przechodzimy przez kolejne okna.
Widok okna Add Distribution Points
Widok okna Distribute Content Wizard Content Destination

Widok okna Confirm the settings
Widok okna The task Distribute Content Wizars completed successfully

Na końcu weryfikujemy status dystrybucji.
Widok okna Windows 7 ESU Activation Year 3

  1. Tworzenie Task Sequence z instalacją ESU

W celu utworzenia tasku instalacyjnego w konsoli MECM przechodzimy do zakładki Operating Systems/ Task Sequences i z górnego menu wybieramy opcję Create Task Sequence.

Widok okna Software library - task sequences
Widok okna Create Task Sequence

Pojawi się okno, na którym wybieramy opcję Create a new custom task sequence i klikamy w Next.
Widok okna Create New Task Sequence

W kolejnym oknie wprowadzamy nazwę, np.: Activate Windows 7 ESU Year 3 i przechodzimy przez kolejne kroki.
Widok okna Create Task Sequence Wizard
Widok okna Create Task Sequence Wizard
Widok okna Create Task Sequence Wizard

Na pozycji nowego tasku klikamy prawym przyciskiem myszy i wybieramy opcję Edit.
Widok okna - edit

Nasz task będzie składać się z siedmiu kroków, które pozwolą nam w prawidłowy sposób wdrożyć i aktywować nowe ESU.

W celu utworzenia poszczególnych pozycji w oknie edycji tasku wybieramy opcje
Add/ General /Run Command Line.
Widok okna Activate Windows 7 ESU Year 3

Utworzy to pustą pozycję z krokiem, który trzeba wyedytować w następujący sposób:

  • Usuwanie konta z lokalnej grupy administracyjnej

W polu Name dodajemy krótki opis kroku, np.: Usuwanie konta z lokalnej grupy administracyjnej  i w polu Command line dodajemy odpowiednią komendę.
Zmianę zatwierdzamy przez kliknięcie Apply.

cmd /c net localgroup „Administratorzy” „Domena\Konto_serwisowe” /DELETE
Widok okna Activate Windows 7 ESU Year 3 Task Sequence Editor

Krok ten ma za zadanie odświeżyć istniejące konto serwisowe, które wymagane jest do wdrożenia kolejnych kroków. Oczywiście nazwa konta oraz jego lokalizacja w folderach grup jest uzależniona od struktury w danej firmie, tutaj dla przykładu posługuję się typowymi nazwami.

  • Dodawanie konta do lokalnej grupy administracyjnej

Dodajemy kolejny krok i edytujemy jak na zdjęciu poniżej. Krok ten dodaje poprzednio usunięte konto serwisowe przez zastosowanie komendy:  cmd /c net localgroup „Administratorzy” „Domena\Konto_serwisowe” /ADD.
Widok okna Avtivate Windows 7 ESU Year 3 Task sequence Editor

  • Ustawienia proxy

W przypadku, gdy w naszej domenie ruch sieciowy przekierowywany jest przez serwer Proxy, należy skonfigurować z użyciem poniższej komendy:
                    netsh winhttp set proxy proxy.domena.pl:numer portu

Następnie odznaczamy pole Disable 64-Bit file system redirection i zaznaczamy pole Run this step as the following account. Uaktywni się wtedy pole wyboru, w którym należy wskazać nasze konto techniczne z uprawnieniami do tego rodzaju operacji.
Widok okna Activate Windows 7 ESU Year 3 Task Sequence Edito

  • Usuwanie starej licencji ESU

Warto w kolejnym kroku usunąć poprzednio zainstalowaną licencję, tak aby w monicie licencji nie występowały zbędne pozycje. Do tego celu posłuży nam poniższa komenda, która zawiera identyfikator ESU Year 2:
cmd /c cscript //B „%windir%\system32\slmgr.vbs” /upk 0e00c25d-8795-4fb7-9572-3803d91b6880

Po wprowadzeniu komendy należy dodać nasze konto z prawidłowymi uprawnieniami.
Widok okna Activate Windows 7 ESU

  • Dodanie i aktywowanie klucza ESU

Ten krok jest najważniejszy, przy użyciu poniższej komendy uruchamia skrypt wcześniej przez nas przygotowany i rozdystrybuowany w paczce. Do jego wykonania również jest niezbędny profil z podwyższonymi uprawnieniami.

cmd /c esu_3.cmd
Widok okna Activate Windows 7 ESU Year 3 Task Sequence Editor

  • Reset Proxy

Krok ten konieczny jest do odświeżenia ustawień naszego proxy.
Widok okna Activate Windows 7 ESU Year 3

  • Usuwanie konta z lokalnej grupy administracyjnej

Krok będzie wyglądać identycznie jak nasza pierwsza pozycja. Po zakończeniu wdrażania pozostałych, warto usunąć konto techniczne z grupy administracyjnej. Możemy wyedytować go w ten sam sposób lub sprytnie skopiować i wkleić na ostatnią pozycję, postępując według poniższych instrukcji.

Klikamy na pierwszym kroku prawym przyciskiem myszy i z menu wybieramy opcję Copy.
Widok okna Usuwanie konta z lokalnej grupy administracyjnej

Następnie po kliknięciu ppm w białe pole z menu wybieramy opcję Paste.
Widok okna Usuwani ekonta z lokalnej grupy administracyjnej

Nowy krok pojawi się tuż pod pierwszym. W celu jego przesunięcia na właściwą ostatnią pozycję, należy użyć przycisku Move Down.
Widok okna Usuwanie konta z lokalnej grupy administracyjnej

Wszystkie kroki w prawidłowej kolejności powinny wyglądać jak na zdjęciu poniżej.
Zdjecie nr 41 1 - Wdrożenie Windows 7 ESU rok trzeci krok po kroku

Po zweryfikowaniu kroków zatwierdzamy Task przez wciśnięcie przycisku Apply i Ok. Nasz Task jest gotowy.
Widok okna Activate Windows 7 ESU Year 3 Task Sequence Edito

Wdrożenie Task Sequence ESU

Utworzony przez nas Task należy teraz wdrożyć na komputery z Windows 7. W tym celu należy wykonać poniższe kroki.

  1. Na pozycji tasku otwieramy Menu i wybieramy z niego pozycję Deploy.
    Widok okna Menu - Deploy
  2. Wybieramy kolekcję urządzeń, na którą chcemy wdrożyć nasz Task i klikamy Next.
    Widok okna Deploy Software Wizard General
  3. W kolejnym kroku w polu Purpose wybieramy pozycję Required i w zależności od naszej konfiguracji sieci zaznaczamy pole Allow clients on metered Internet…, następnie klikamy Next.
    Widok okna Deploy Software Wizard - Deployment Settings
  4. Z pola New wybieramy pozycję As soon as possible i klikamy Next.
    Widok okna Deploy Software Wizard Scheduling
  5. Zaznaczamy pozycje Show Task Sequence Progress w przypadku, gdy chcemy aby proces był widoczny dla użytkownika oraz Software installation, następnie Next.
    Widok okna Deloy Sotfware Wizard User Experience
  6. Wybieramy Next.
    Widok okna Deploy Software Wizard Alerts
  7. W kolejnym etapie wybieramy z pozycji Deployment options: pozycję Download content locally when needed by the running task sequence i zaznaczamy pola Allow Client to use…, które umożliwią instalację tasku w podsieciach.
    Widok okna Deploy Software Wizard Distribution Points
  8. Klikamy Next.
    Widok okna Deploy Software Wizard Summary
  9. Zatwierdzamy OK.
    Widok okna Deploy Software Wizard Completion

To wszystko. Cały proces rozpocznie się, jak tylko client SCCM zainstalowany na stacjach odbierze informację o wdrożonym tasku.

Obserwacja wdrożenia tasku

Monitoring wdrożeń

W przypadku, gdy chcemy mieć podgląd na to, co się dzieje z wdrożeniem naszego tasku, warto skorzystać z pomocy Monitoringu SCCM.

W tym celu w konsoli SCCM otwieramy zakładki Monitoring/ OverView/ Deployments i w polu wyszukiwania podajemy nazwę swojego Tasku.
Widok okna Monitoring
Widok okna Monitoring Deployments

Po wyświetleniu pozycji z taskiem, klikamy na niej i z menu wybieramy pozycję View Status.
Widok okna View Status

Otworzy się okno Deployment Status, w którym możemy zweryfikować obecny stan wdrożenia, liczbę komputerów, na których instalacja udała się oraz zakładki przeznaczone do weryfikacji błędów i analizy pozostałych procesów.
Widok okna Deployment Status

Raporty SCCM

Dodatkową opcją są raporty SCCM, które pomogą nam indywidualnie zweryfikować proces wdrożenia tasku na danym komputerze.

Dobrym przykładem są raporty o nazwie:

Status of a specific task sequence deployment for a specific computer ,

History of a task sequence deployment on a computer.

Pierwszy raport przedstawia podsumowanie stanu określonego wdrożenia sekwencji zadań na określonym komputerze.

Drugi wyświetla stan każdego kroku wdrożenia określonej sekwencji zadań na określonym komputerze docelowym.

W celu ich wygenerowania należy przejść do zakładki Monitoring/ Overview/ Reporting / Reports i w polu wyszukiwania podać ich nazwę.
Widok okna Monitoring Reports

Następnie, po wygenerowaniu każdego z nich, w odpowiednich w polach podajemy nazwę swojego tasku oraz nazwę komputera, który chcemy zweryfikować.
Widok okna Status of a task sequence deployment ona an unknown destination computer

Zawartość raportów można bez problemów wyeksportować do plików Excel lub PDF, co na pewno ułatwi ich późniejszą analizę lub edycję.

Poniżej opis kolumn zwartych w każdym z przykładowych raportów:
Widok okna Stan określonego wdrożenia sekwencji zadań na określonym komputerze

Podsumowanie

Zakończenie wsparcia dla Windows 7 zmusza firmy do posiadania przemyślanej strategii dotyczącej migracji na nowsze oprogramowanie. Cały proces nie jest łatwy i wymaga od biznesu oraz wsparcia IT w firmie przyszłościowego podejścia do sprawy.

Na szczęście firma Microsoft bardzo dokładnie przewidziała możliwe scenariusze. Udostępnione obecnie narzędzia na pewno ułatwią cały proces w szczególności, gdy firmy nie mogą sobie pozwolić na tak szybkie zmiany oprogramowania, jakie wymusza rozwój technologii.

Wiem, że poradnik może trochę przerażać ilością danych, ale uwierzcie mi, trudno znaleźć w sieci tak dokładne i sprawdzone informacje jak tutaj.

 

Źródło informacji:

Kategorie: Bez kategorii
Paweł Ciupa
Autor: Paweł Ciupa
Administrator Infrastruktury Windows w branży finansowej. Na co dzień interesuje się nowymi projektami i rozwiązaniami świata krypto.

    Imię i nazwisko (wymagane)

    Adres email (wymagane)

    Temat

    Treść wiadomości

    Zostaw komentarz