Wsus это: Одобрение обновлений на WSUS в Windows Server 2012 R2/2016

Разворачиваем сервер обновлений WSUS в большой компании | blog.eaglenn.ru

Для снижения трафика в территориально распределенных сетях больших компаний рекомендуется использовать сценарий установки сервера обновлений wsus с поддержкой первичного и нескольких подчиненных серверов. Данный сценарий позволяет значительно снизить нагрузку на каналы передачи данных, использовать централизованную точку управления обновлениями и отчетами.

Архитектура решения

Имеется центральный офис и несколько территориально распределенных площадок связанных между собой виртуальными частными каналами (VPN). Site A является центральным сайтом, который осуществляет загрузку обновлений и раздачу подчиненным сайтам (Site B, Site C). Подчиненные сервера отправляют на центральный сайт всю информацию о состоянии своих клиентов. В качестве сервера базы данных будем использовать выделенный сервер MS SQL сервер.

Реализация

На территории центрального офиса развернем Windows Server 2012 R2 с ролью служба Windows Server Update Service (WSUS), для этого в диспетчере серверов необходимо выбрать установку роли и компоненты.

Тип установки: установка ролей или компонентов.

Выберем локальный сервер, на котором разворачиваем роль WSUS сервера.

Установим галку напротив службы Windows Server Update Service.

Добавим необходимые компоненты.

Нажимаем Далее.

На этапе выбор компонентов необходимо отказаться от установки внутренней базы данных Windows.

Удалим компоненты.

На скриншоте ниже, мы видим, что компонент внутренняя база данных Windows не будет установлена. Нажимаем Далее.

На экране службы ролей предлагается на выбор две базы данных. Одна из них WID Database и База данных. WID Database не что иное, как Windows Internal Database — один из вариантов SQL Server Express 2005, входящий в состав Windows Server 2008, а также поставляемый с некоторыми другими бесплатными продуктами Microsoft. Так как мы, согласно нашей архитектуре, планируем использовать внешнюю базу выберем База данных.

Укажем путь к папке в которой будем хранить скаченные обновления и патчи.

На этапе экземпляр БД укажем адрес SQL сервера и нажмем клавишу проверка подключения.

Если проверка завершится удачно, о чем будет свидетельствовать сообщение Подключение к серверу успешно выполнено, вы сможете продолжить Далее.

Дополнительных настроек или установки компонентов служба ролей Веб-сервер не требует, поэтому просто нажмем Далее.

Насладимся процессом установки……

После чего нажмем кнопку Закрыть.

И перейдем к настройке первичного сервера обновлений.  Для этого откроем средства, и из выпадающего списка выберем служба Windows Server Update Service.

Для завершения установки необходимо указать экземпляр базы данных и путь к каталогу обновлений.

После завершения послеустановочных задач откроется мастер настройки Windows Server Update Services. Подробный процесс настройки описан в статье, нас же интересует настройка подчиненных серверов.

Настройка подчиненного сервера

Для подключения подчиненного сервера wsus к первичному серверу, необходимо запустить мастер настройки сервера и в мастере, в разделе выбор вышестоящего сервера указать имя главного сервера. Согласно рекомендации Microsoft указать использовать SSL при синхронизации и отметить что данный сервер является репликой.

В результате этих настроек, дополнительные параметры мастера станут неактивными и все управление обновлениями, группами компьютеров перейдет на вышестоящий сервер. Проделаем аналогичную процедуру для остальных подчиненных серверов.

Запустите синхронизацию данных, по окончании которой на подчиненный сервер будут загружены все одобренные на вышестоящем сервер обновления, а так же группы компьютеров.

Итог

В сценарии, когда вы используете вышестоящий сервер и несколько подчиненных серверов, все действия по одобрению обновлений, их отзыву, созданию групп компьютеров осуществляются на вышестоящем сервере, что в значительной мере сокращается затрачиваемое время на обслуживание WSUS серверов. Так же вы получаете централизованное управление обновлениями и отчетами, так как подчиненные сервера отправляют все данные на вышестоящий сервер.

Вывести все заменяемые обновления на сервере WSUS | blog.eaglenn.ru

Описание

В процессе эксплуатации сервера обновлений Microsoft WSUS, возникает потребность в получении списка обновлений, которые заменяются другими, с целью их отклонения и последующего удаления. Дело в том что как таковой группировки обновлений такого типа нет, однако есть скрытая возможность о которой не все знают. Для отображения этой информации необходимо в консоли управления WSUS, в разделе «All Updates» сделать видимой колонку «Supersedence» (замена), отображение которой по умолчанию выключено.

Решение

Для добавления дополнительной колонки необходимо щелкнуть правой кнопкой мыши по верхней строке и добавить новую колонку замена.

В верхнее поле будет добавлена новая колонка.

Далее необходимо отсортировать список всех обновлений wsus сервера по данному полую и выбрать необходимые воспользовавшись описанием ниже.

Значение колонки замена

Существует четыре варианта графического отображения, сообщающий о статусе замещения:

• Значок отсутствует: обновление не заменяет никакое другое обновление.

•  выделенный квадрат сверху: это обновление заменяет другое (устаревшее) обновление, такие обновления необходимо оставить!!!

•  выделенный квадрат в центре: это обновление ранее заменило другое (устаревшее) обновление, и в свою очередь было заменено другим (более новым) обновлением. Такое обновление может быть удалено из базы (decline).

•  выделенный квадрат в правом нижнем углу: это обновление было заменено другим (более новым) обновлением и может быть отклонено (decline) и вычищено из базы.

Внимание: Следует убедитесь что все замещающие обновления, которые вы хотите удалить, были одобрены ранее и уже не требуются для установки или одобрите более новые заменяющие обновления!

Иными словами, иногда выстраивается некая цепочка обновлений, где каждое последующее зависит от предыдущего. Исходя из этого, отвергнув промежуточное обновление, вы можете нарушить логическую последовательность, и в конечном итоге не получить требуемого состояния системы.

Обновление продуктов Microsoft оффлайн с помощью WSUS Offline Update

Обновление продуктов Microsoft оффлайн с помощью WSUS Offline Update

WSUS Offline Update — это утилита, скачивающая обновления безопасности с серверов Microsoft для их дальнейшей оффлайн установки на компьютеры без подключения к сети интернет.

Следует отметить, что скачиваются только критические обновления безопасности, исключая обычные обновления, например улучшающие совместимость или стабильность работы системы. Так же при скачивании и установке таких приложений, как Windows Media Player или MSE требуется наличие лицензионной операционной системы.

Перейдем к обзору. Для начала скачаем утилиту с сайта http://download.wsusoffline.net/ и распакуем в любую удобную нам папку. Для запуска конфигуратора обновлений щелкаем два раза по файлу UpdateGenerator.exe. Появится окно конфигуратора с большим количеством чекбоксов:

Где можно выбрать тип и локализацию операционной системы, разрядность, а так же дополнительные опции такие как:

Очистка директории, куда будут скачиваться обновления.
Включать или нет сервис-паки
Загружать MSE
Проверять контрольные суммы скачанных обновлений
Скачивать пакеты C++ Runtime Libaries и NET Framework
Скачивать обновления Windows Defender

Чуть ниже находятся чекбоксы для создания образов дисков по языку и продукту или кроссплатформенные обновления только по языку — то есть для обновлений операционных систем с разными языками будут создаваться отдельные образы дисков, которые затем можно записать на DVD-диск для переноса на машины с отсутствием доступа к сети интернет.

Еще ниже находятся чекбоксы и панель выбора куда необходимо скопировать скаченные обновления.

И в самом низу:
Кнопка «Старт» — запускает скачку
Чекбокс «Пропустить закачку» — если Вы уже раньше скачивали обновления и хотите, например, только создать образ диска
Чекбокс «Выключить компьютер» по завершении операции
Кнопка «Настройки прокси»
Кнопка «Настройки сервера с обновлениями в локальной сети»
Кнопка «Оплаты» автору за его труды
И кнопка «Выход»

Так же перемещаясь по вкаладкам, можно изменять тип продукта будь то Windows, Office или лицензионный Office.

Итак, сконфигурируем генератор обновлений на скачку обновлений для Windows 10 русской версии и включим туда пакеты C++ и NET:

И нажмем кнопку «Старт». Следует отметить, что WSUS Offline Update, активно использует системные утилиты Windows для проверки верификации, и, для успешной скачки обновлений, необходимо разрешать этим утилитам доступ в интернет с помощью брандмауэра.

После нажатия кнопки «Старт» и вплоть до окончания закачки обновлений появится окно командной строки — закрывать его не следует.

И вот, спустя некторое время примерно час, в зависимости от скорости интернета, загрузки серверов Microsoft и назойловости антивируса, мы получаем такое уведомление что процес завершен и предлагает посмотреть лог загрузки на предмет каких-либо проблем.
Согласившись на показ лога увидим такой огромный текстовый документ:

Для переноса обновлений (если не выбирались функции создания образа или копирования обновлений в определенную папку) перейдем в подкаталог с распакованной WSUS: \wsusoffline\client, где и увидим подготовленные обновления с файлом запуска их установки UpdateInstaller.exe:

Данный каталог необходимо скопировать на флешку или записать на диск и перенести на обновляемую систему.
При запуске программы на целевой системе мы увидим такое окно:

Где можно выбрать устанавливаемые обновления, а так же желательно снять галочку «Verifity installation packages» (иначе, при отсутствии интернета на целевой машине, обновления не установятся из-за невозможности верификации) и установить галочку «Automatic reboot and recall» (иначе после необходимых перезагрузок придется заново вручную запускать UpdateInstaller.exe).

Следует отметить, что при выходе новых обновлений необязательно качать все заново, достаточно снова запустить загрузку обновлений и WSUS Offline Update автоматически догрузит недостающие обновления и пересоздаст клиентский модуль.

Еще приятным сюрпризом будет то, что программа не скачивает обновление WGA (Windows Genuine Advantage) и лишает тем самым пользователя известных проблем, связанных с установкой этого обновления.

Ссылка на курс «Эксперт по Windows 10» — 50 % скидка — https://www.udemy.com/windows-10-r/?couponCode=F5X009

Настройка рабочей станции на использование сервера WSUS

Сервер обновлений WSUS хорошо известен как гибкое и удобное средство организации централизованного обновления систем и продуктов от Microsoft. С его помощью можно не только контролировать процесс распространения заплаток и собирать сведения о безопасности всей сети, но и существенно экономить внешний трафик.

Сервер SUS/WSUS, установленный на одном из компьютеров в локальной сети, подменяет Microsoft Update и периодически синхронизируется с сайтом Microsoft, скачивая одобренные администратором обновления. Клиентские системы с установленной и соответствующим образом настроенной службой Automatic Updates загружают патчи, драйвера и сервис-паки не напрямую с Microsoft Update, а с внутреннего сервера. Такой подход имеет несколько преимуществ, главные из которых: тотальный контроль за обновлениями и экономия трафика. Последнее достигается за счет того, что обновления с сайта Microsoft скачиваются только один раз. Так как все файлы находятся в локальной сети, то и установка обновлений происходит заметно быстрее (немаловажно, когда дело касается исправления критических ошибок и уязвимостей в корпоративной среде).

Чтобы задать сервер WSUS для клиентских компьютеров необходимо:

Все настройки должны производиться с правами администратора!

1. Выполните следующие шаги Пуск/Выполнить…/в поле открыть введите gpedit.msc

2. В редакторе объектов групповой политики разверните узлы Конфигурация компьютера, Административные шаблоны, Компоненты Windows и выберите Windows Update.

3. В области сведений дважды щелкните значок Указать размещение службы обновлений Майкрософт в интрасети.

4. Установите режим Включено и введите URL-адрес сервера WSUS в оба поля Укажите службу обновлений в интрасети для поиска обновлений и Укажите сервер статистики в интрасети, для этого введите в оба текстовых поля http://wsus.ispu.ru и нажмите кнопку ОК.

5. Если есть необходимость настройки остальных параметров, измените их по своему усмотрению (к каждому параметру на вкладке объяснение есть подробное описание)

6. Далее в  командной строке введите команду: gpupdate /force и нажмите Ок.

7. Далее в  командной строке введите команду: wuauclt.exe /detectnow и нажмите Ок. Эта команда заставляет службу автоматического обновления немедленно соединиться с сервером WSUS.

Траблшутинг WSUS — [4] часть — UniTec

[1] часть — Установка роли WSUS на Windows Server 2016 
[2] часть — Конфигурирование WSUS
[3] часть — Настройка WSUS
[4] часть — Траблшутинг WSUS

Если машина не регистрируется на сервисе WSUS

Открываем командную строку с правами администратора и вводим команды

net stop wuauserv
net stop bits
Удаляем содержимое папки C:\Windows\SoftwareDistribution, сделав заранее копию или 
rename c:\windows\SoftwareDistribution SoftwareDistribution.bak
net start wuauserv
net start bits
wuauclt.exe /detectnow

Если вы используете различные инструменты деплоя ОС из образов, то замечали что далеко не все ОС отправляют отчет на сервер WSUS или вообще пропадают с сервера.
Тут и кроется корень проблемы, после клонирования у машин остается один и тот же SusClientId. 
Посмотреть его можно в реестре, по следующему пути:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate

Значения которые нам нужны называются — SusClientId и SusClientIdValidation. 
Данные значения должны быть уникальными на каждой машине, если это не так, то машины будут перерегистрироваться на WSUS затирая таким образом соседей с таким же SusClientId. Чтобы это исправить нужно выполнить следующие команды:

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientId"
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /f /v "SusClientIdValidation"
wuauclt /resetauthorization /detectnow

После этого машина сбросит авторизацию на WSUS и зарегистрируется с новым, уникальным SusClientId.

Принудительный запуск обновлений

Управление обновлением Windows из командной строки. Очень полезная штука если параметры обновлений выставляются через домен, но есть необходимость в данный момент проверить обновления, или принудительно запустить обновления windows.

wuauclt /detectnow — Запустить немедленный опрос сервера WSUS на наличие обновлений
wuauclt /reportnow - Сбросить на сервер список уже установленных обновлений
wuauclt /resetAuthorization - Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений
wuauclt /UpdateNow - Запускает процесс установки найденных обновлений

Инструмент для диагностики на стороне клиента WSUS:

http://downloads.solarwinds.com/solarwinds/Release/FreeTool/SolarWinds-Agent-Diagnostic-Tool-WSUS.zip

Проверка доступности порта WSUS через PowerShell

Test-NetConnection -ComputerName wsus -Port 8530

Отключить двойное получение обновлений

Включить групповую политику System/Internet Communication Management/Internet Communication settings/Turn off access to all Windows Update features

Посмотреть применение групповых политик 

gpresult /r

Обновить групповые политики

gpupdate /force

Полезные ссылки по теме:

https://www.rootusers.com/configure-automatic-updates-for-windows-server-2016/
https://community.spiceworks.com/how_to/133316-how-to-control-windows-10-and-server-2016-updates-with-wsus
http://winitpro.ru/index.php/2018/05/23/perenos-odobrennyx-obnovlenij-mezhdu-gruppami-wsus/
https://docs.microsoft.com/ru-ru/windows/deployment/update/waas-manage-updates-wsus
https://blog.eaglenn.ru/vyvesti-vse-zamenyaemye-obnovleniya-na-servere-wsus/
https://community.spiceworks.com/topic/1846887-wsus-different-group-policy-for-wsus-pc-group-and-wsus-test-pc

Установка и настройка WSUS на платформе Windows Server 2012 / 2012R2

Как бы странно это ни было, но эта статья уверенно входит в пятерку лидеров по просмотрам. Ну а раз так, то я решил немного расширить свою статью — добавил рекомендации, подробнее описал настройку и клиентскую часть. 1. Что, как, когда и зачем нужно обновлять? Ставить все подряд обновления на все подряд ПК это плохая идея. Правильнее будет, если Вы сгруппируете ПК по определенным признакам (например департаменты или ПО которое используется на ПК) и в каждой группе создадите хотя бы одну тестовую машину. Если обновления на нее легли «ровно» — все ПО работает, можно устанавливать обновления на рабочие станции в этой группе. Это не дает 100% уверенности, но и достаточно просто. С серверами дело несколько сложнее — воссоздать в тестовой среде реальный продуктивный сервер задача сомнительная, да и полноценно проверить работу сервиса после установки обновлений не так уж просто. С другой стороны, серверов не так много как рабочих станций, и обновлять их в «ручном режиме» сделав предварительно резервную копию вполне нормальный вариант. Рекомендую заиметь регламент, где эти процедуры будут описаны. Приведу реальный пример — CU для Exchange и SharePoint распространяются через Mircosoft Download Center, а через Windows Update — нет. Это очень правильное решение, т.к. их установка должна быть плановой и обдуманной. 2. Подготовка и установка Подготовку начнем с установки виртуальной машины, ОС (в моем случае это готовый шаблон WS 2012 R2 Datacenter) и ввода ее в домен. Организовывать отказоустойчивость для WSUS я считаю лишним, т.к. время восстановления сервиса более суток впринципе допустимо. Что касается архитектуры — я буду использовать единственный сервер. Если у Вас филиалы, то разумно разместить по отдельному WSUS серверу в каждом филиале, в котором более 10 сотрудников. Управлять этими серверами можно централизованно, но также возможно делегировать права местным администраторам. Если Вы обновляете WSUS, полезной будет эта информация. Обратите внимание, один клиент может работать только с одним WSUS. Что касается системных требований, то обычно говорят о требованиях, аналогичных требованиям ОС, но на практике, WSUS который использует WID и обслуживает несколько десятков клиентов, потребляет ~2Gb+ оперативной памяти. Нагрузка на процессор и дисковую с-му минимальная. Тем не менее, WSUS и WID бывают «особо опасны», например при синхронизации нового продукта или класса: Проблема решается тем, что WSUS активен по ночам, и запросто может «отжирать» память и процессоры у виртуалок, которые практически неактивны, например ExchangeLyncSharePoint. Размещать роль WSUS на серверах с другими ролями не слишком хорошо, но в ряде сценариев это необходимый шаг (работает нормально). Я не стану тратить свое и ваше время на описание добавления роли и прохождение Мастера, процесс достаточно интуитивен и комментировать там особо нечего. Единственное что я там указал — это для каких продуктов будем использовать обновления. 3. Настройка сервера Т.к. среда у меня тестовая и используется всего две ОС (2012 и 2012R2) я включу автоматическое одобрение для всех обновлений. Еще раз хочу подчеркнуть, что в продуктивное среде делать подобное строго не рекомендуется.

Компьютеры будут настроены на использование WSUS с помощью групповой политики, укажем это в настройках:

Одобрим предложенные обновления:

Теперь настроим электронную почту:

После этого, будем автоматически получать отчеты такого вида: 4. Настройка клиентов Для настройки клиентов напишем и применим такую групповую политику (Computer Configuration — Policies — Administrative Templates — Windows Components — Windows Update): При настройке политики советую внимательно ознакомиться с содержимым каждой опции и выбрать подходящие для Вашего случая. В документации, расположение сервера рекомендуется указывать как http://server . Я всегда указывал здесь FQDN, т.к. использовал SSL. Сегодня, готовя материал для статьи в лабе, я столкнулся с тем, что если указать http://server или http://server.domain.name на клиентах сервис не работал и в логах были ошибки 0x80072ee2 и т.п. Решить получилось указанием порта 8530. Примите к сведению, и можете в комментариях писать как работает в вашем случае. Обновим политику на клиенте с помощью gpupdate /force и посмотрим результат с помощью rsop.msc и Панели управления (скриншот от моей прошлой статьи): Чтобы принудительно запустить синхронизацию можем воспользоваться командой wuauclt , ее основные ключи, описание которых я давно нашел в интернетах: /DetectNow — Запустить немедленный опрос сервера WSUS на наличие обновлений /resetAuthorization — Сбросить авторизацию на сервере и клиенте. Фактически это новая регистрация на сервере WSUS. Полезна когда клиент подглюкивает, удаляем его на сервере и командой wuauclt /detectnow /resetAuthorization заново регистрируем на сервере с одновременным запросом списка обновлений /reportnow Сбросить статистику на сервер /ShowSettingsDialog — Показывает диалог настройки расписания установки обновлений /ResetEulas — сбросить соглашение EULA для обновлений /ShowWU — переход на сайт обновлений MS /ShowWindowsUpdate — переход на сайт обновлений MS /UpdateNow — Немедленно запускает процесс обновления, аналогичен клику кнопки в окне уведомлений о наличии обновлений /DemoUI — Показывает значок в трее — диалог настройки расписания установки обновлений или установки в зависимости от статуса На клиенте, есть весьма информативный лог C:WindowsWindowsUpdate.log Обновления на клиенте качаются в папку  C:WindowsSoftwareDistributionDownload , имена — это значения хэшей, если что. Выглядит это дело примерно так: Если так получилось что Ваш старый WSUS помер, и Вы подняли новый, то исправить работу клиентов поможет вот эта инфа. 5. Использование SSL: Возможно использование SSL с WSUS, для этого в IIS и нужно подписать сайт WSUS правильным сертификатом (скриншот от моей прошлой статьи): Для подсайтов:

ApiRemoting30

ClientWebService

DSSAuthWebService

ServerSyncWebService

SimpleAuthWebService

.. нам нужно включить использование SSL и «игнорирование сертификата клиента»:

Затем применим изменения, перезапустим IIS. Используем WsusUtil.exe configuressl :

Теперь можно открыть консоль WSUS на другом ПК и убедиться что соединение работает по защищенному порту 8531 (при подключении указываем FQDN, если у сертификата нет альтернативного SAN): В групповой политике поправим http на https и 8530 на 8531 а также пропишем в качестве имени FQDN: На этом, настройку WSUS можно считать законченной. Полезная информация: http://technet.microsoft.com/ru-ru/windowsserver/bb332157.aspx

Руководство по обслуживанию WSUS для Configuration Manager — Configuration Manager

• 11.09.2020
• 25 минут на чтение

В этой статье

В службу поддержки мы задаем много вопросов об обслуживании служб Windows Server Update Services (WSUS) для сред Configuration Manager, поэтому мы пишем для решения некоторых из них в этой статье.

Исходная версия продукта: Windows Servers, Windows Server Update Services, Configuration Manager
Исходный номер базы знаний: 44

Введение

Часто задаются вопросы типа Как правильно запускать это в среде Configuration Manager или Как часто мне следует выполнять это обслуживание . Добросовестные администраторы Configuration Manager нередко не знают, что обслуживание WSUS вообще нужно запускать.Большинство из нас просто настраивают серверы WSUS, потому что это предварительное условие для точки обновления программного обеспечения (SUP). После настройки SUP мы закрываем консоль WSUS и делаем вид, что ее не существует. К сожалению, это может быть проблематично для клиентов Configuration Manager и общей производительности сервера WSUS / SUP.

Понимая, что это обслуживание должно быть выполнено, вы задаетесь вопросом, какое обслуживание вам нужно делать и как часто вам нужно это делать. Ответ заключается в том, что вы должны ежемесячно выполнять техническое обслуживание.Обслуживание серверов WSUS, которые с самого начала были в хорошем состоянии, простое и не требует много времени. Однако если с момента обслуживания WSUS прошло некоторое время, очистка может оказаться более сложной или трудоемкой в ​​первый раз. В последующие месяцы это будет намного проще или быстрее.

Поддержка WSUS при поддержке текущей версии Configuration Manager 1906 и более поздних версий

Если вы используете Configuration Manager текущей ветви версии 1906 или более поздних версий, рекомендуется включить параметры WSUS Maintenance в конфигурации точки обновления программного обеспечения на сайте верхнего уровня для автоматизации процедур очистки после каждой синхронизации.Это позволит эффективно обрабатывать все операции очистки, описанные в этой статье, за исключением резервного копирования и переиндексации базы данных WSUS. Вы все равно должны автоматизировать резервное копирование базы данных WSUS вместе с переиндексацией базы данных WSUS по расписанию.

Дополнительные сведения об обслуживании обновлений программного обеспечения в Configuration Manager см. В разделе Обслуживание обновлений программного обеспечения.

Важные соображения

1. Перед тем, как начать процесс обслуживания, прочтите всю информацию и инструкции в этой статье.

2. При использовании WSUS вместе с подчиненными серверами серверы WSUS добавляются сверху вниз, но должны удаляться снизу вверх. При синхронизации или добавлении обновлений они сначала отправляются на вышестоящий сервер WSUS, а затем реплицируются на подчиненные серверы. Выполняя очистку и удаляя элементы с серверов WSUS, вы должны начинать с нижней части иерархии.

3. Обслуживание WSUS может выполняться одновременно на нескольких серверах одного уровня.При этом убедитесь, что один уровень готов, прежде чем переходить к следующему. Описанные ниже шаги очистки и переиндексации должны выполняться на всех серверах WSUS, независимо от того, являются ли они репликой сервера WSUS или нет (информацию об определении того, является ли сервер WSUS репликой, см. В разделе Отклонение замененных обновлений).

4. Убедитесь, что SUP не синхронизируются во время процесса обслуживания, так как это может привести к потере некоторой уже выполненной работы. Проверьте расписание синхронизации SUP и временно установите его в ручной режим во время этого процесса.

5. Если у вас есть несколько SUP-серверов первичного сайта или центра администрирования (CAS), которые не совместно используют SUSDB, считайте сервер WSUS, который синхронизируется с первым SUP на сайте, находящимся на уровне ниже сайта. Например, на моем сайте CAS есть два SUP. Тот, что называется New , синхронизируется с Microsoft Update. Это мой высший уровень (Tier1). Сервер с именем 2012 синхронизируется с New , и он будет рассматриваться на втором уровне и может быть очищен одновременно со всеми моими другими серверами Tier2, такими как единственный SUP моего основного сайта.

Выполнение обслуживания WSUS

Основные шаги, необходимые для правильного обслуживания WSUS, включают следующее:

1. Резервное копирование базы данных WSUS
2. Создание собственных индексов
3. Повторно проиндексируйте базу данных WSUS
4. Отклонить замененные обновления
5. Запустите мастер очистки сервера WSUS

Резервное копирование базы данных WSUS

Создайте резервную копию базы данных WSUS (SUSDB), используя нужный метод. Дополнительную информацию см. В разделе Создание полной резервной копии базы данных.

Создание собственных индексов

Этот процесс не является обязательным, но рекомендуется, поскольку создание настраиваемых индексов значительно повышает производительность при последующих операциях очистки.

Если вы используете Configuration Manager текущей ветви версии 1906 или более поздней версии, рекомендуется использовать Configuration Manager для создания индексов путем настройки параметра Добавить некластеризованные индексы в базу данных WSUS в конфигурации точки обновления программного обеспечения для самый верхний сайт.

Если вы используете старую версию Configuration Manager или автономные серверы WSUS, выполните следующие действия для создания настраиваемых индексов в базе данных SUSDB. для каждой SUSDB это однократный процесс.

1. Убедитесь, что у вас есть резервная копия базы данных SUSDB.

2. Используйте SQL Management Studio для подключения к базе данных SUSDB таким же образом, как описано в разделе «Повторное индексирование базы данных WSUS».

3. Запустите следующий сценарий для SUSDB, чтобы создать два настраиваемых индекса:

     - Создать собственный индекс в tbLocalizedPropertyForRevision
   ИСПОЛЬЗУЙТЕ [SUSDB]
   
   СОЗДАТЬ НЕКЛАСТЕРНЫЙ ИНДЕКС [nclLocalizedPropertyID] НА [dbo].[tbLocalizedPropertyForRevision]
   (
        [LocalizedPropertyID] ASC
   ) WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, SORT_IN_TEMPDB = OFF, DROP_EXISTING = OFF, ONLINE = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
   
   - Создать собственный индекс в tbRevisionSupersedesUpdate
   СОЗДАТЬ НЕКЛАСТЕРНЫЙ ИНДЕКС [nclSupercededUpdateID] НА [dbo]. [TbRevisionSupersedesUpdate]
   (
        [SupersededUpdateID] ASC
   ) WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, SORT_IN_TEMPDB = OFF, DROP_EXISTING = OFF, ONLINE = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]
     

   Если пользовательские индексы были созданы ранее, повторный запуск сценария приведет к ошибке, подобной следующей:

   Сообщение 1913, уровень 16, состояние 1, строка 4
   Операция завершилась неудачно, поскольку индекс или статистика с именем nclLocalizedPropertyID уже существует в таблице dbo.tbLocalizedPropertyForRevision ‘.

Повторно проиндексируйте базу данных WSUS

Чтобы переиндексировать базу данных WSUS (SUSDB), используйте сценарий T-SQL для повторной индексации базы данных WSUS.

Действия по подключению к SUSDB и выполнению переиндексации различаются в зависимости от того, работает ли SUSDB в SQL Server или во внутренней базе данных Windows (WID). Чтобы определить, где работает SUSDB, проверьте значение записи реестра SQLServerName на сервере WSUS, расположенном в подразделе HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Update Services \ Server \ Setup .

Если значение содержит только имя сервера или сервер \ экземпляр, SUSDB работает на SQL Server. Если значение включает в себя строку ## SSEE или ## WID , SUSDB работает в WID, как показано:

Если SUSDB был установлен на WID

Если SUSDB был установлен на WID, SQL Server Management Studio Express необходимо установить локально, чтобы запустить сценарий переиндексации. Вот простой способ определить, какую версию SQL Server Management Studio Express следует установить:

WSUS-

Перенос WSUS с одного сервера на другой

WSUS работает в вашей инфраструктуре в течение многих лет и неплохо справляется с исправлением ваших клиентов и серверов, но теперь подошел к моменту, когда вам необходимо перенести его на новый сервер. Обычно это происходит, когда ОС находится в конце срока поддержки (EOL) или когда оборудование достигает гарантийного лимита. Еще одна причина, почему выполнить миграцию и не начинать с новой установки, заключается в том, что вам не нужно загружать из Microsoft необходимые обновления и снова их утверждать.Не знаю, как вы, но утверждать сотни обновлений — это не то, что я буду делать во второй раз. В любом случае миграция службы требует минимального времени простоя и без особых проблем.

Чтобы смоделировать это, я установил одну службу WSUS на сервере 2003 года, и это служба WSUS, которая с самого начала исправляет инфраструктуру. Я назвал его WSUS-OLD ради примера и для того, чтобы вы лучше следовали процедуре миграции. Если ваш WSUS не запущен на сервере 2003, нет проблем, это работает с любой версией вашей ОС.Второй сервер WSUS будет работать на сервере 2012 R2, и он заменит старый WSUS. Я собираюсь назвать новый сервер WSUS-NEW , опять же, для примера. Оба они устанавливаются с локальной базой данных, но если ваша настроена с удаленным SQL, не беспокойтесь, в любом случае он работает одинаково. У вас может быть старый WSUS с локальной базой данных и новый WSUS с удаленным SQL-сервером или наоборот.

Теперь на новом сервере установите WSUS, и когда вы дойдете до мастера настройки, установите его как нисходящий сервер реплики; укажите его на свой рабочий WSUS.

[примечание] Если между двумя серверами WSUS установлен брандмауэр, вам необходимо открыть соответствующий порт (80, 8530 или 443), чтобы они могли взаимодействовать. [/ notice]

Начните соединение, чтобы сохранить и загрузить информацию о вышестоящем сервере.

В конце мастера настройки выберите начало начальной синхронизации, затем нажмите Готово . Наберитесь терпения, это займет некоторое время.

После завершения синхронизации ваши два сервера WSUS должны выглядеть почти одинаково.У них должны быть одинаковые группы компьютеров, утвержденные обновления, загруженные обновления и т. Д.

Одна вещь, которую они не синхронизируют, — это параметры конфигурации, и, к сожалению, эти конфигурации придется выполнять вручную. Не волнуйтесь, это двухминутная работа, но прежде чем вы сможете это сделать, новый сервер WSUS необходимо установить в автономный режим. Перейдите в Параметры > Источник обновлений и прокси-сервер и снимите флажок Этот сервер является копией вышестоящего сервера , затем щелкните радиокнопку Синхронизировать с Microsoft Update .

Теперь вы можете пойти дальше и сопоставить остальные параметры со старым сервером WSUS, например Продукты и классификации , Файлы обновления и языки , назначение компьютеров , Уведомления по электронной почте .

Как только параметры между двумя серверами совпадают, последним шагом является изменение вашей групповой политики, чтобы направить ваших клиентов на новый сервер WSUS. Откройте свой объект групповой политики или объекты групповой политики и измените имя сервера из политики Указать местоположение службы обновлений Майкрософт в интрасети .

Через несколько часов клиенты должны появиться в консоли WSUS на том же уровне исправлений, что и на старом сервере WSUS. Если вы хотите принудительно запустить процесс на одном или двух клиентах, чтобы посмотреть, действительно ли он работает, выполните команду gpupdate / force , чтобы получить новую политику, затем введите wuauclt / detectnow и wuauclt / reportnow , чтобы принудительно проверить наличие обновления и сообщить в WSUS. Подождите несколько дней, и если все работает нормально, вы можете списать старый ящик.Вот и все !

Перенос WSUS на новый сервер — не сложный процесс, и его можно выполнить с минимальным временем простоя. Сложнее всего дождаться, пока все клиенты получат новую политику и зарегистрируются на новом сервере WSUS. После этого все будет таким же, как и раньше, одобряйте / отклоняйте обновления и исправляйте системы в вашей среде.

Хотите, чтобы подобное содержимое доставлялось прямо на ваш

почтовый ящик?

Windows Server Update Services — Установка и настройка

КБ ID 0000592

Проблема

Windows Server Update Service или WSUS (ранее называвшаяся SUS Software Update Services) была дополнительной загрузкой, которую вы могли использовать, чтобы позволить одному или нескольким серверам в вашей организации обрабатывать обновления для ваших клиентов Windows и приложений Microsoft.

В Server 2008 R2 он теперь включен в качестве «роли» сервера, а не для загрузки. Это отличный инструмент для централизованного управления и отчетности о состоянии обновления вашей сети, и, если вы не разрешаете своим клиентам доступ в Интернет, позволяет обновлять их, не пробивая бреши в брандмауэре. Также он избавляет всех ваших клиентов, получающих обновления от Microsoft, и забивает ваше интернет-соединение.

Решение

Предварительные требования WSUS

Перед тем, как начать, убедитесь, что сервер, который вы собираетесь использовать, полностью обновлен.Вам также понадобится 6 ГБ (приблизительно) для хранения обновлений.

Шаг 1 Добавьте и настройте роль служб Windows Server Update Services

1. На сервере WSUS запустите ServerManager (CompMgmtLauncher.exe)> Роли> Добавить роль> Если вы видите «Перед тем, как начать» нажмите Далее> Выберите «Службы обновления Windows Server»> На этом этапе, если IIS не установлен он попросит добавить требуемую роль service> Пусть это сделает> Далее.

2. Далее> Далее> Далее> Установить> Во время установки запустится мастер установки WSUS> Далее> Принять лицензионное соглашение> Далее> Укажите место для хранения обновлений> Далее.

3. Вы можете выбрать существующую базу данных или нажать «Далее», чтобы установить и использовать SQL Express> Выберите настройки своего веб-сайта> Далее.

Примечание : По умолчанию веб-службы устанавливаются и настраиваются через TCP-порт 80 (http). Если у вас есть другая служба или программа, использующая этот порт, у вас возникнет проблема (например, программа, использующая веб-сервер Apache, или программное обеспечение UPS, у которого есть консоль управления на порту 80 и т. Д.). Если вы выберете второй вариант, сайт будет настроен на TCP-порт 8530 для http и 8531 для https.

4. Далее> Готово> Теперь откроется мастер настройки> Далее> Далее> Если вы собираетесь получать обновления с другого сервера WSUS, введите его здесь> Если нет, нажмите Далее> Если вам нужно ввести данные прокси-сервера, сделайте это> Далее> Нажмите «Начать подключение» (это может занять некоторое время> Далее.

5. Выберите языки, которые вы хотите загрузить> Далее> Выберите продукты, для которых вы хотите загрузить обновления> Далее.

6.Выберите «Классификации» (типы обновлений), которые вы хотите обслуживать> Далее> Установите расписание синхронизации (я обычно делаю это один раз в день)> Далее.

7. Далее> Готово> Закрыть.

Шаг 2 Параметры групповой политики для клиентов WSUS.

Помните, что это политики Компьютер Политики НЕ Пользовательские политики , вам необходимо связать GPO со своими компьютерами. Если вы свяжете его с OU, содержащим пользователей, ничего не произойдет!

1.На контроллере домена> Пуск> Администрирование> Управление групповой политикой> Найдите подразделение, содержащее ваши компьютеры> Щелкните правой кнопкой мыши и создайте новый объект групповой политики.

2. Дайте объекту групповой политики имя> Редактировать новый объект групповой политики> Перейдите к:

Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Обновления Windows

3. Измените настройки справа в соответствии со своими требованиями. > Закройте окно редактора групповой политики (чтобы увидеть, какие настройки я обычно устанавливаю, см. Видео выше).

4. Ваши клиенты получат эти настройки при следующей загрузке, максимум через два часа или после того, как вы запустите на них «gpupdate / force».

5. Если вы проверите своих клиентов, вы увидите, что их настройки Центра обновления Windows теперь выделены серым цветом.

Шаг 3 Настройте службы Windows Server Update Services.

1. ПОДОЖДИТЕ , прежде чем вернуться на сервер WSUS для его настройки (обычно я жду несколько дней). Предполагая, что ваши компьютеры теперь отображаются в разделе «Компьютеры», вам необходимо либо вручную утвердить обновления, либо настроить их на автоматическое обновление.

Если ваши компьютеры не «появляются», см. Клиенты Windows, не «отображаются» в WSUS

2. Если вы хотите просто «автоматически утверждать» все новые обновления, перейдите в «Параметры»> «Автоматические утверждения»> и выберите «Правило автоматического обновления по умолчанию»> щелкните гиперссылки в правиле, чтобы отредактировать их> «Применить»> «Выполнить правило> Выбрать». Да, чтобы сохранить и запустить.

3. Если вы хотите создавать группы компьютеров и развертывать обновления более поэтапно, вы можете создать разные группы компьютеров и добавить свои компьютеры в эти группы.

4. Если вы хотите утвердить обновления вручную, перейдите в раздел «Обновления»> «Все обновления»> «Выберите« Неутвержденные »обновления»> щелкните правой кнопкой мыши> «Утвердить»> «Выберите группы компьютеров».