wwwoldi.ru

About Me

Dashy

Hello word I am dashy Guy

Установка

Переустановка wsus: Как полностью стереть WSUS и начать заново

alexxlab
No Comments

Содержание

Переустановка WSUS с сохранением базы данных

Переустановка WSUS с сохранением базы данных

 

Если вы столкнулись с непоправимыми сбоями в работе Windows Update Services, то самое простое — это его переустановка. Для этого выполните следующие действия:

1) Делаем бэкап текущей базы SUSDB.

2) Устанавливаем SQL 2008 Express на сервер с Windows Server Update Services.

3) Создаем новую базу в инстансе SQL 2008 путем восстановления её из сделанного ранее бэкапа, при этом называем прежним именем SUSDB.

4) Удаляем WSUS. Если удаление завершается ошибкой, то меняем в реестре значение переменной HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup\wYukonInstalled с «1» на «0» и пробуем запустить удаление еще раз.

5) Удаляем старый SQL Embedded 2005. Для этого необходимо выключить службу Windows Internal Database (MICROSOFT##SSEE), после чего удалить следующие ключи из реестра:

— удаляем из переменной  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\InstalledInstances значение «MICROSOFT##SSEE»

— удаляем ключ «MICROSOFT##SSEE» из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server

— удаляем ключ «MSSQL. 2005» из HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server

— перезагружаем сервер, после чего удаляем папку \%Windir%\SYSMSI\SSEE

6) Устанавливаем WSUS заново. Во время установки указываем инстанс SQL 2008 Express. Во время установки будет использована уже имеющаяся база SUSDB, все её данные будут сохранены.

По окончании процесса установки можем запустить консоль Update Services и убедиться, что все настройки сохранены, после чего провести обновление WSUS.

Если после этого появляется ошибка при попытке синхронизировать обновления с Microsoft вида

WebException: The request failed with the error message…

то, скорее всего, необходимо проделать следующее:

“C:\Program Files\Update Services\Tools\wsusutil.exe” configuressl wsusservername.domain.local
net stop wsusservice

net start wsusservice
net stop bits

net start bits
iisreset

Если же и это не устранит проблему, то скачайте и установите обновление KB2734608 (имейте ввиду, что обновление KB2720211 уже должно быть установлено на сервере).

 

Добавить комментарий

Fido — RU.WINDOWS — WSUS переустановка

От Maxim Gribanov (2:5064/56) к All

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)

Привет, All!



Была необходимость полностью переустановить WSUS на Windows Server 2012 R2. С этим проблемы возникли. Подскажите что Я делаю не так?



Мои действия:



1. Удаляю роль WSUS

2. Удалаю папку где лежали все обновления.

3. Удаляю в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services

5. Удаляю C:\Program Files\Update Services

6. Удаляю фьючу WID через PowerShell: Remove-WindowsFeature windows-internal-database

7. Перезагружаю сервер

8. Удаляю папку c локальной базой данных c:\Windows\WID

===========

9. Доставляю нужные фьючи и WSUS : Доставил Install-WindowsFeature windows-internal-database и Install-WindowsFeature -Name UpdateServices -IncludeManagementTools

10. Перезагружаю сервер



В ролях указано что роль WSUS нуждается в донастройке, нажимаю на это уведомления и вываливается ошибка. Примечательно что в Program Files\Update Service нет каталога tools и соответственно wsusutil.exe понятно что postinstall запуститься не может.



Все действия делал под "Администратор"



Далее запускаю sfc /scannow в надежде что он поможет вернуть мне wsusutil.exe



Действительно после проверки и перезагрузки Program Files\Update Services\Tools\wsusutil.exe появился, но при попытке запустить запуск постустановочной задачи через деспетчер серверов выдает ошибку.



Запускаю wsusutils checkhealth на что получаю: Hеустранимая ошибка: не удается связаться со службой WSUS. Убедитесь что службы WSUS установлены и запущены на локальном компьютере.



При запуске WsusUtils postinstall CONTENT DIR=C:\WSUS получаю: Hе устранимая ошибка: не удается найти указанный файл.



Подскажите как мне решить проблему.



С наилучшими пожеланиями, Maxim.



--- -Пиши, старик, пиши! Мы тебя не покинем.

* Origin: Hеужели опять: яйца всмятку, котлеты, цыплята? (2:5064/56)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

Переустановка Software Update Point и WSUSна SCCM

written by admin
15.08.2017











В некоторых случая при наличии проблем с установкой обновлений Windows на клиентах сети с помощью SCCM из-за ошибок на стороне сервера, довольно эффективное средство решения проблем — полная переустановка роли WSUS на SCCM сервере. Мне это процедура несколько раз помогала восстановить работоспособность системы установки обновлений на дочерних сайтах SCCM.

Процедура переустановки следующая

  1. Удаление роли SUP (Software Update Point). При этом объекты SUP (списки обновлений, шаблоны и т.п. не удаляются). Контролировать процесс удаления роли SUP можно с помощью журнала SUPSetup.log
  2. Установка роли WSUS через Add/Remove programs или из консоли Server Manager. При запуске мастера удаления нужно указать, что нужно удалить базу данных, файлы и файлы журналов. Все это не приведет к нарушению работы сервера SCCM. После удаления роли проверьте что файл базы и каталог WSUS удалились с диска.
  3. Перезагрузка сервера
  4. Установка роль WSUS (не настраивая ее!!!), а затем в консоли SCCM сервера запустите установку роли SUP на сайт-сервер. Контролировать установку можно также с помощью лога SUPSetup.log.

На этом все!






previous post

Создаем виртуальную машину в Microsoft Azure Portal


next post

Поддержка SLAT теперь требуется для Windows Server 2016 Hyper V

Полезные статьи



Чиним клиентов WSUS / Хабр

Клиенты WSUS не хотят обновляться после смены сервера?

Тогда мы идем к вам. (С)

У всех бывали ситуации, когда что-нибудь переставало работать. В данной статье речь пойдет о WSUS (более подробную информации о WSUS можно получить здесь и здесь). А точнее о том, как заставить клиентов WSUS (т.е. наши с вами компьютеры) заново получать обновления после переноса или восстановления существующего сервера обновлений.

Итак, ситуация следующая

Сдох сервер WSUS. Точнее RAID-контроллер аж 2000 года выпуска. Но радости этот факт не прибавил. После непродолжительной возни (с попытками восстановить RAID, загубленный помирающим контроллером), было принято решение послать все развернуть новый WSUS-сервер.

В итоге мы получили работающий WSUS, на который почему-то не коннектились клиенты.

Моменты: WSUS привязан с FQDN через внутренний DNS-сервер, WSUS-сервер прописан в групповых политиках и распространяется на клиентов через AD, настройки для сервера по-умолчанию, перед началом всех действий обновите сам WSUS и выполните синхронизацию обновлений.

После анализа ситуации, было выявлено несколько ключевым моментов

  1. Клинч клиента (речь о wuauclt) при попытке соединиться с SID старого сервера WSUS.

  2. Проблема с неустановленными обновлениями, скачанными со старого WSUS-сервера.

  3. Парковка служб влияющих на работу wuauclt (речь о wuauserv, bits и cryptsvc). Парковка произошла по разным причинам, которые детально не анализировались.

В итоге все решение вылилось в маленький скрипт, который распространяется групповыми политиками через AD или собственными руками (и ногами). Скрипт использует наиболее безопасный вариант починки и не приносил ни одного негативного результата уже на протяжении полугода использования.

Опишу, что делается (для особо любопытных)

Паркуем службу сервера обновлений, чистим дескриптор безопасности службы связи с WSUS, удаляем имеющиеся обновления от предыдущего WSUS, чистим реестр от упоминаний о предыдущем WSUS, стартуем службы автоматического обновления (wuauserv), фоновую интеллектуальную службу передачи (bits) и службу криптографии (cryptsvc), в самом конце принудительно стукаемся в WSUS с обнулением авторизации, обнаружением нового WSUS и генерацией отчета на сервер.

И как всегда: все действия описанные выше и ниже вы выполняете на свой страх и риск. Пожалуйста, удостоверьтесь в том что все необходимые данные сохранены до выполнения скрипта.

Скрипт

net stop wuauserv
sc sdset wuauserv D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)
del /f /s /q %windir%\SoftwareDistribution\download\*.*
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v AccountDomainSid /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v PingID /f
REG DELETE "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" /v SusClientId /f 
net start wuauserv && net start bits && net start cryptsvc
wuauclt /resetauthorization /detectnow /reportnow

Консоль администрирования WSUS не смогла подключиться к серверу WSUS через удаленный API

522

Hunter Robertson

Я пытаюсь реализовать WSUS на школьном сервере, чтобы снизить нагрузку на наше исходящее интернет-соединение. После его установки и запуска в проблему (никакие клиенты не будут регистрироваться) и перезагрузки системы, я получаю сообщение об ошибке, «советуя перезапустить IIS, SQL и службу обновлений», поскольку консоль администрирования WSUS не смогла подключиться к серверу WSUS через удаленный API. Полный журнал ниже. Я пробовал различные решения на других форумах, такие как увеличение выделенной оперативной памяти, увеличение времени ожидания и ошибок и полная переустановка WSUS.

The WSUS administration console was unable to connect to the WSUS Server via the remote API.   Verify that the Update Services service, IIS and SQL are running on the  server. If the problem persists, try restarting IIS, SQL, and the Update Services Service.  The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists,   Try removing the persisted preferences for the console by deleting the wsus file under %appdata%\Microsoft\MMC\.    System.IO.IOException -- The handshake failed due to an unexpected packet format.  Source System  Stack Trace: at System.Net.Security.SslState.StartReadFrame(Byte[] buffer, Int32 readBytes, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.StartReceiveBlob(Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.CheckCompletionBeforeNextReceive(ProtocolToken message, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ForceAuthentication(Boolean receiveFirst, Byte[] buffer, AsyncProtocolRequest asyncRequest) at System.Net.Security.SslState.ProcessAuthentication(LazyAsyncResult lazyResult) at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx) at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx) at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state) at System. Net.TlsStream.ProcessAuthentication(LazyAsyncResult result) at System.Net.TlsStream.Write(Byte[] buffer, Int32 offset, Int32 size) at System.Net.ConnectStream.WriteHeaders(Boolean async) ** this exception was nested inside of the following exception **   System.Net.WebException -- The underlying connection was closed: An unexpected error occurred on a send.  Source Microsoft.UpdateServices.Administration  Stack Trace: at Microsoft.UpdateServices.Administration.AdminProxy.CreateUpdateServer(Object[] args) at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.GetUpdateServer(PersistedServerSettings settings) at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.ConnectToServer() at Microsoft.UpdateServices.UI.SnapIn.Scope.ServerSummaryScopeNode.get_ServerTools()'

Резюме IT-инженер, Москва, 90 000 руб. в месяц

Поддержка офиса около 500 сотрудников.
> Решение оперативных вопросов по поддержке пользователей;
> Работа по стандарту ITIL на базе конфигурации 1С Itilium.
> Организация закупки необходимых комплектующих для комплексной поддержки ИТ-инфраструктуры;
> Установка, настройка и сопровождение программного обеспечения, компьютерного оборудования и оргтехники;
> Опыт работы с системами CryptoPro (СКБ-Контур, установка доступа к множеству тендерных площадок при помощи системы CryptoKey — Token, Etoken, Rutoken и т. д.)
> Работа с IP телефонией Cisco Unified Communications Manager (CallManager).

> Переход/Обновление электронного документооборота для ЕСКД SolidWorks Enterprise PDM 2011-2016. Создание и настройка резервных копий, восстановление электронного документооборота из Backup.
> Занимался внедрением интеграции (объединение) САПР системы Altium с SolidWorks и SolidWorks Enterprise PDM.

> Установка/переустановка клиент банков: «Сбербанк», «Первобанк», «АльфаБанк», «Банк Клиентский», «ГазПромБанк», «ВТБ», «ВТБ24», «ВТБ Бизнес Онлайн», «ПромСвязьБанк», «Банк Открытие», «Банк Россия», «Финтрансбанк», «ОТП банк», «МТС Банк», Банк «Акцент», Федеральное казначейство России, МинФин РФ.
> Установка/переустановка: Контур-Экстерн, Баланс-2W, Личный кабинет Федеральной налоговой службы.

> Установка и настройка серверов линейки HP ProLiant: ML350p, ML310e, M150G6, и т. д.
> Настройка HP ProLiant iLO.
> Настройка дисковой системы Promise VTrak.
> Настройка NAS Synology, создание LUN.
> Установка Windows Server 2008 R2/2012 R2/2016.
> Установка 2 Контроллера домена,2 DNS,2 DHCP.
> Установка FileServer, настройка квот, настройка фильтров блокировки файлов.
> Создание резервных копий файловой составляющей штатными средствами Windows, перенос на другой сервер и дисковую стойку для отказоустойчивости.
> Установка и настройка почтового сервера Exchange 2010/2013.
> Установка и настройка WSUS.
> Установка и настройка FTP/FTPS
> Установка и настройка Kaspersky Security Center.
> Установка/Обновление MSSQL 2008 R2 — 2016 для сервера 1C и электронного документооборота SolidWorks Enterprise PDM, настройка плана работ по обслуживанию БД.
> Установка/Настройка PostgreSQL; FirebirdSQL.
> Установка и настройка сервера терминального доступа (работа с тонким клиентом), Thin Client — HP.
> Установка и настройка сервера удаленных приложений RemoteApp.
> Перенос баз 1С с файловой составляющей, на MSSQL.
> Создание/перенос резервных копий на другой сервер, автоматическое удаление старых версий штатными средствами (xcopy, robocopy, forfiles и т. д.)
> Установка TMG 2010/Kerio Control в качестве шлюза и Firewall.
> Установка ESXI 5. Х/6. Х
> Установка/настройка SharePoint Server 2010/2013.
> Внедрение/Базовые знания Электронного документооборота TFLEX DOCs 15.

Установка WSUS 3.0 на Windows 2008 R2

Установка сервера обновлений Windows Server Update Services
на платформу Windows 2008 R2 – задача тривиальная и несложная, но почему то у всех вызывает затруднения и постоянно приходится подсказывать как поставить и настроить. Не далее как в эти выходные помогал настраивать данное творение Microsoft.

Этот сервис
устанавливается так же, как и большинство других сервисов Windows Server 2008
R2 — через установку роли сервера.

Следует заметить, что пакет установки WSUS все-таки
может понадобиться.

Настройка сервера WSUS.

Итак, начнем установку. Перед установкой
следует убедиться, что сервер подключен к сети и с него доступен Internet (это
важно).

1. «Диспетчер сервера — «Роли — «Добавить роли» :

2. После выбора строки «Службы Windows Server Update Services» появится окно мастера, предлагающее добавить необходимые компоненты. Соглашаемся (куда же деваться)с этим предложением и трижды нажимаем «Далее».

3. Следующий шаг — установка службы WSUS. «Далее» —  «Установить». На этом этапе сервер начнет загрузку с Internet и установку службы. В процессе установки потребуется принять условия лицензионного соглашения:

4. Мастер сообщит о том, что в системе отсутствует «Распространяемый пакет средства Microsoft Report Viewer 2008»:

Этот пакет установится позже.

5. Следующий шаг – указание места расположения папки, где будут храниться обновления. Можно принять предложенный вариант или указать другую папку. Эта папка должна быть обязательно на диске с файловой системой NTFS. Экономить тут нельзя…

6. Для работы WSUS 3.0 используется БД MS SQL или внутренняя. Я ставил внутреннюю – не хочу нагружать еще одной базой скульный сервер:

7. Выбор Веб-узла службы WSUS:

Здесь так же указан адрес службы WSUS, который потребуется при настройке клиентов.

8. Ставится внутренняя БД 

9. Все – поставили сервис.

10. Следующий шаг –настройка службы обновлений:

11. Следующие шаги помогут первоначально настроить сервис WSUS. Указать, с какого сервера этот сервер WSUS будет выполнять синхронизацию. Я выбрал —  сервер Microsoft (потому что другого нет и синхронизироваться не с кем).

12. Указал параметры прокси сервера:

13. Подключаемся к серверу Microsoft. Это может занять определенное время:

14. Выбираем языки, для которых сервер будет загружать обновления.

15. Выбираем продукты компании Microsoft, для которых будут загружаться обновления

16. Выбираем классы обновлений:

17. Предлагается установить расписание загрузки и запустить первоначальную
загрузку обновлений.

Первоначальный
процесс загрузки обновлений будет длительным и может составить несколько
десятков гигабайт, так что свободного места должно быть достаточно много.
На этом можно считать процесс установки сервера WSUS
законченным.

Если в процессе настройки сервера сделано что-нибудь неверно, необходимо открыть консоль Windows Server Update Services и в левой
панели выбрать «Параметры». В центральной панели можно вручную
изменить отдельные настройки или повторно запустить мастер настройки сервера
WSUS.

«Распространяемый пакет Microsoft Report Viewer
2008» – скачать с сайта Microsoft . Он предназначен для создания отчетов.

Дальнейшие телодвижения заключаются в настройке
компьютеров сети на работу с этим сервисом. Но это тема для другой заметки.

Как переустановить WSUS с нуля

Может возникнуть ситуация, когда вы захотите полностью переустановить WSUS с нуля. Это может происходить по ряду причин, но чаще всего из-за повреждения базы данных или проблем с производительностью из-за того, что база данных WSUS не обслуживается должным образом при обычном обслуживании.

Обычно, когда в базе данных WSUS не проводилось регулярное обслуживание, когда администратор, наконец, выполняет его, на повторное индексирование базы данных, очистку базы данных и запуск мастеров очистки могут потребоваться дни и недели.

Кроме того, из-за тайм-аутов в IIS мастер очистки может выйти из строя, что в конечном итоге может привести к повреждению базы данных.

Администраторы часто хотят или предпочитают отказаться от установки WSUS и полностью начать с нуля. Я делал это много раз в своей собственной среде, а также в среде многочисленных клиентов.

В этом руководстве мы предполагаем, что вы запускаете WSUS на Windows Server, выделенном для WSUS и использующем WID (внутреннюю базу данных Windows), которая по сути является встроенной версией SQL Express.

ОБРАТИТЕ ВНИМАНИЕ: если вы используете Microsoft SQL, эти инструкции к вам не относятся и потребуют изменения. Используйте эти инструкции только в том случае, если вышеуказанное относится к вам.

Что происходит

WSUS (Windows Server Update Services) полагается на многочисленные роли и функции Windows для работы. В рамках инструкций нам потребуется полностью очистить:

  • Роль, конфигурация и папки / файлы WSUS
  • Роль, конфигурация и папки / файлы IIS
  • Файлы функций, конфигурации и базы данных WID

Поскольку мы полностью удаляем IIS (роль, конфигурация и папки / Files), продолжайте, только если сервер выделен для WSUS. Если вы используете IIS для чего-либо еще, это полностью очистит конфигурацию и файлы.

Поехали!

Инструкции

  1. Откройте «Диспетчер серверов» на хосте или удаленно и подключитесь к хосту, на котором вы хотите переустановить.
  2. Откройте мастер «Удаление ролей и компонентов».
  3. Нажмите «Далее», выберите сервер и снова нажмите «Далее».
  4. На экране «Удалить роли сервера» в разделе «Роли» мы хотим отменить выбор следующих элементов: «Веб-сервер (IIS)» и «Службы обновления Windows Server», как показано ниже.
  5. Нажмите «Далее».
  6. На экране «Удалить компоненты» в разделе «Функции» мы хотим отменить выбор следующих элементов: «Внутренняя база данных Windows» и «Служба активации процессов Windows», как показано ниже.
  7. Нажмите «Далее» и следуйте указаниям мастера до завершения и удаления ролей и функций.
  8. Перезагрузите сервер.
  9. Откройте административную командную строку на сервере и выполните команду «powershell» или откройте powershell напрямую.
  10. Выполните следующую команду в PowerShell, чтобы удалить все фрагменты:
     Remove-WindowsFeature -Name UpdateServices, UpdateServices-DB, UpdateServices-RSAT, UpdateServices-API
  11. Перезагрузите сервер.
  12. Теперь мы должны удалить папки и файлы WSUS. Удалите следующие папки:
     C: \ WSUS
C: \ Program Files \ Update Services

    Примечание. Возможно, вы сохранили каталог содержимого WSUS где-то еще, удалите и его.

  13. Теперь мы должны удалить папки и файлы IIS (и конфигурацию, включая пул приложений WsusPool, привязки и т. Д.). Удалите следующие папки:
     C: \ inetpub
C: \ Windows \ System32 \ inetsrv

    Примечание. При удалении каталога «inetsrv» могут возникнуть проблемы.В этом случае просто переименуйте его в «inetsrv.bad».

  14. Теперь мы должны удалить папки и файлы WID (внутренняя база данных Windows) (включая базу данных WSUS SQL Express). Удалите следующую папку:
     C: \ Windows \ WID
  15. Пока мы удаляли папки и файлы IIS, мы удалили необходимый системный файл. Выполните следующую команду, чтобы восстановить файл:
     sfc / scannow
  16. Перезагрузите сервер.

WSUS, IIS и WID к этому моменту полностью удалены. Теперь мы перейдем к установке, применению исправления памяти и настройке WSUS.

Чтобы получить инструкции по установке WSUS на Server Core, щелкните здесь: https://www.stephenwagner.com/2019/05/15/guide-using-installing-wsus-windows-server-core-2019/

  1. Откройте «powershell» (набрав powershell) и установите роль WSUS с помощью следующей команды:
     Install-WindowsFeature UpdateServices -Restart
  2. (необязательно) Если вы хотите установить оснастку / графический интерфейс WSUS MMC, запустите в окне PowerShell выполните следующую команду:
     Install-WindowsFeature UpdateServices-RSAT, UpdateServices-UI
  3. Запустите команду задачи после установки для настройки WSUS:
     "C: \ Program Files \ Update Services \ Tools \ wsusutil.exe "postinstall CONTENT_DIR = C: \ WSUS
  4. НА ЭТОМ МОМЕНТУ НЕ ПРОДОЛЖАЙТЕ НАСТРОЙКУ WSUS, ТАК КАК ВЫ ДОЛЖНЫ ПРИМЕНИТЬ ИСПРАВЛЕНИЕ ПАМЯТИ К IIS.
  5. Примените исправление« Ограничение частной памяти (КБ) », как указано здесь: https: / /www. stephenwagner.com/2019/05/14/wsus-iis-memory-issue-error-connection-error/
  6. Перезапустите сервер.
  7. Откройте WSUS MMC на сервере или удаленно с рабочей станции в сети и подключите его к экземпляру WSUS в установке Server Core
  8. Выполните мастер, как обычно, и выполните синхронизацию.
  9. WSUS был переустановлен.

И все. Вы полностью переустановили WSUS на свой Windows Server.

Удаление и повторная установка Microsoft WSUS

КБ ID 0001679

Проблема

Мне не нравится WSUS, продукт в порядке (иш) проблема с ним, каждый раз, когда он развертывается, обычно человек, для которого он был развернут, никогда не заботится о нем и не управляет им должным образом, и через несколько месяцев / лет он становится массивный «мешок гаечных ключей», который никогда не является ошибкой клиента, это всегда бедняга, который построил его, или вина службы поддержки.

Если вы используете WSUS, входите в систему не реже одного раза в неделю, решайте проблемы с отчетами, одобряйте обновления соответственно. Если я посмотрю на ваш WSUS и увижу «Эта машина не отправляла отчеты в течение 12 месяцев». Тогда я буду заботиться не меньше тебя!

Решение

Итак, допустим, вы добросовестный техник, и вы переняли WSUS у кого-то другого, который позволил ему перейти в состояние! Наступает момент, когда проще стереть его и начать заново, может быть проще создать новый сервер / виртуальную машину и переустановить с нуля, если это так, сделает это вместо этого! (помните, что любой клиент GPO, указывающий на WSUS, будет нуждаться в обновлении, если только новый сервер не имеет то же полное доменное имя, что и старый!)

Здесь я удаляю WSUS и повторно устанавливаю его на том же сервере. У меня уже есть несколько настроек GPO, указывающих моим клиентам на сервер WSUS, поэтому мне не нужно делать это.

Предупреждение : Если у вас есть настройка «Группы компьютеров» в ваших объектах групповой политики , сообщающая клиентским машинам, что они должны находиться в другом объекте группы компьютеров в вашем развертывании WSUS, затем сделайте снимок экрана со всеми именами групп перед началом, чтобы вы могли вручную добавьте их обратно после восстановления. Обратите внимание, если у вас есть компьютерные группы, но не ссылается на них с вашими объектами групповой политики , вам не нужно этого делать.

Процедура удаления WSUS

Mine — это небольшое типичное развертывание с использованием WID (внутренняя база данных Windows), чтобы доказать это, перейдите в C: \ Windows \ WID и найдите SUSDB.Если вы используете SQL, вам нужно будет удалить его самостоятельно (при условии, что SQL выполняет только WSUS!)

Удалить WID и WSUS из административного окна Powershell ;

 Unistall-WindowsFeature-Имя UpdateServices, Windows-Intern-Database -Restart

ДЕРЖАТЬ ЭТО ОКНО ОТКРЫТОМ!

Теперь найдите папку, содержащую все ваши обновления, обычно называемую WSUS (если она не названа чем-то странным!), А затем удалите ее.

Теперь удалите каталог C: \ Windows \ WID.

Теперь удалим пул приложений IIS для WSUS,

 Import-Module WebAdministration
IIS:
cd AppPools
del WsusPool

Находясь в веб-администрировании, перейдите в каталог и перейдите на сайты, затем удалите веб-сайт администрирования WSUS;

 кд ..
компакт-диск. \ Сайты \
del ". \ Администрирование WSUS \"

Переустановите компоненты WSUS;

я

 nstall-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI

Теперь запустите WSUS и завершите настройку.Воссоздайте каталог WSUS (убедитесь, что есть достаточно места для обновлений!) В процессе производства я бы хотел, чтобы , а не , располагались на диске C: \!

Выберите новую папку.

Далее> Снять галочку (если не требуется)> Далее.

Далее (если у вас нет вышестоящего сервера WSUS)> Далее (если у вас нет прокси-сервера).

Начать подключение> Подождите, пока это позволит вам продолжить.

Выберите нужные языки> Далее> выберите продукты, которые хотите обновить> Далее.

Выберите требуемые обновления « type » (обычно я никогда не выбираю пакеты обновления, накопительные пакеты обновлений или драйверы (но это мое предпочтение))> Далее> Выбирать автоматически и настраивать на раннее утро> Далее .

Пусть начнется синхронизация> Далее> Готово.

Вы можете просмотреть ход синхронизации из главного окна WSUS

На этом этапе вы можете настроить любые «тестовые» группы компьютеров / серверов, которые вам нужны, и начать авторизацию обновлений для этих групп или настроить автоматическую авторизацию, если это ваш предпочтительный вариант.

Компьютеры не отправляют отчеты в WSUS или выдают ошибки

По большей части посещение «проблемного клиента» и запуск вручную процедуры обновления и несколько перезагрузок решат проблему (при условии, что объект групповой политики, сообщающий ему о получении обновлений из WSUS, верен!)

Но иногда клиенты категорически отказываются регистрироваться вообще, поскольку они запускают на них следующие команды Powershell;

 $ updateSession = новый-объект -com "Microsoft.Update.Session "; $ updates = $ updateSession.CreateupdateSearcher (). Search ($ критериям) .Updates

wuauclt / reportnow

Статьи по теме, ссылки, источники или внешние ссылки

Windows Server Update Services — установка и настройка

Клиенты Windows не «отображаются» в WSUS

Как удалить роль точки обновления программного обеспечения в SCCM

В этом коротком сообщении я расскажу, как удалить или удалить роль системы сайта точки обновления программного обеспечения из консоли Configuration Manager. Однако я предлагаю вам прочитать этот пост полностью, прежде чем вы решите удалить роль точки обновления программного обеспечения из своей установки SCCM.

Одним из шагов перед развертыванием обновлений программного обеспечения является установка роли точки обновления программного обеспечения. На сайте можно установить несколько точек обновления программного обеспечения. В дополнение к этому вы можете добавить роль системы сайта точки обновления программного обеспечения к существующему серверу системы сайта или создать новый.

Если вы ищете журналы обновлений программного обеспечения SCCM, обратитесь к этому сообщению.

Итак, когда вы удаляете роль точки обновления программного обеспечения? Я верю в основном, когда вы найдете статью, в которой предлагается восстановить роль точки обновления. В такой ситуации вам потребуется удалить и снова установить роль SUP.

Совет. При удалении роли сайта точки обновления программного обеспечения из системы сайта подождите не менее 15 минут, прежде чем переустанавливать роль сайта точки обновления программного обеспечения.

Компоненты роли точки обновления программного обеспечения

Когда вы работаете с точкой обновления программного обеспечения, есть три важных компонента.

  • Диспетчер управления WSUS — этот компонент проверяет работоспособность сервера WSUS. Файл журнала, связанный с этим компонентом, — это файл WSUSctrl.log. Этот файл находится на сервере WSUS.
  • Диспетчер конфигурации WSUS — если вы только что установили роль точки обновления программного обеспечения, этот компонент изначально настраивает параметры WSUS. Однако вы можете изменить эти настройки в любое время в свойствах компонента точки обновления программного обеспечения. Файл журнала, связанный с этим компонентом, называется WCM.журнальный файл.
  • Диспетчер синхронизации WSUS — этот компонент обрабатывает процесс синхронизации между Центром обновления Microsoft Windows и сервером WSUS. После завершения синхронизации диспетчер синхронизации синхронизирует метаданные обновлений программного обеспечения из базы данных WSUS с SCCM. Файл журнала, связанный с этим компонентом, — это файл wsyncmgr.log.

Некоторые важные моменты, которые следует учитывать перед удалением точки обновления программного обеспечения

  • Рассмотрим установку, в которой на первичном сайте имеется более одной точки обновления программного обеспечения.Итак, вы решили удалить роль SUP, которая настроена как источник синхронизации. В этом случае вы должны выбрать другую точку обновления программного обеспечения на сайте в качестве нового источника синхронизации.
  • Перед тем, как удалить последнюю точку обновления программного обеспечения на сайте, примите во внимание, что список точек обновления программного обеспечения не будет содержать точек обновления программного обеспечения. Следовательно, обновления программного обеспечения на сайте практически отключены.

Как удалить или удалить роль точки обновления программного обеспечения в SCCM

Удаление или удаление роли точки обновления программного обеспечения в SCCM

  • В консоли SCCM щелкните Администрирование .
  • Разверните Конфигурация сайта, а затем щелкните Серверы и роли системы сайта .
  • Выберите сервер системы сайта с точкой обновления программного обеспечения . В разделе «Роли системы сайта» выберите Точка обновления программного обеспечения .
  • Щелкните правой кнопкой мыши Точка обновления программного обеспечения и щелкните Удалить роль .

Подтвердите, что вы хотите удалить точку обновления программного обеспечения, нажав Да .

Переустановка WSUS 3.0 SP2 — «Существующая база данных несовместима …»

Короче говоря, я столкнулся с необходимостью переустановить Windows Server Update Services 3.0 SP2. Когда я удалил WSUS, я убедился, что сохранил файлы обновлений и базу данных SQL Express, чтобы использовать их повторно… потому что я такой умный. Это означает, что я не установил ни одного из трех флажков, которые были доступны мне при удалении.

Перейти к переустановке. Когда я переустановил WSUS, я выбрал существующий экземпляр SQL Express, и он отлично подключился к базе данных.Однако, когда я нажал «Далее», я получил следующую ошибку:

 Существующая база данных несовместима с этой версией Windows Server Update Services 3.0 SP2. Выберите другой экземпляр базы данных или создайте новую базу данных ».

ЯРРРГ! После долгих поисков ничего не нашел. СНИАРРРФФФ! Я искал еще немного, но безуспешно, поэтому попытался удалить базу данных и начать заново. Однако моя учетная запись не могла даже получить доступ к базе данных для ее удаления. И тут меня осенило.

РЕШЕНИЕ
Учетная запись, которую я использовал для переустановки, была учетной записью домена. Это был администратор на сервере, однако, похоже, у него не было надлежащей защиты базы данных.

Первоначально я установил WSUS, используя учетную запись локального администратора на сервере. Итак, я попытался запустить установку, используя эту учетную запись, и она сработала! Итак, я считаю, что мораль этой истории заключается в том, чтобы переустановить WSUS с учетной записью, которая была изначально установлена ​​с .

Я предполагаю, что причина, по которой мы получаем это «полезное» сообщение об ошибке, заключается в том, что, когда установщик пытается запросить базу данных и он терпит неудачу, он недостаточно умен, чтобы сообщить нам о проблеме с безопасностью. Вместо этого логика установщика видит, что запрос не выполняется, и предполагает, что у нас есть безопасность, поэтому ОНА ДОЛЖНА БЫТЬ неправильной версией базы данных! 🙂 Еще одно бесполезное сообщение об ошибке!

Как сделать резервную копию базы данных WSUS? — TheITBros

Роль Windows Server Update Services (WSUS), которая впервые появилась в Windows Server 2008 (ранее WSUS был установлен как отдельное приложение, Software Update Services), позволяет системным администраторам управлять установкой обновлений и исправлений безопасности для Microsoft. продукты на компьютерах в корпоративной сети.База данных WSUS может использовать внутреннюю базу данных Windows (WID) или отдельный экземпляр SQL Server. Это выбирает администратора при установке роли WSUS.

В этой статье мы покажем вам, как сделать резервную копию этой базы данных в среде Windows Server 2012 R2 / 2016.

WSUS не имеет встроенных утилит для резервного копирования и восстановления. Вы можете использовать ntbackup (wbadmin) или сторонние продукты для резервного копирования WSUS.

Архитектура ролей WSUS состоит из базы данных (в ней хранится информация о настройках WSUS, метаданных обновлений, клиентах, утверждениях и других данных) и каталога WsusContent с файлами обновления (он содержит сами файлы обновлений cab).

При использовании встроенного WID в качестве базы данных WSUS (используемой в большинстве установок WSUS) его файлы хранятся в каталоге C: WindowsWIDData. Файлы базы данных называются SUSDB.mdf и SUSDB_log.ldf . Вы не можете удаленно подключиться к базе данных WSID WID через SQL Server Management Studio. Следовательно, для резервного копирования базы данных WID вам придется использовать служебную программу командной строки sqlcmd. exe, которая должна запускать определенный сценарий SQL.

Чтобы создать резервную копию базы данных WSUS , вам просто нужно выполнить 4 простых шага:

  1. Загрузите и установите SQL Server 2012 SP1 Feature Pack.Это даст вам возможность использовать командную строку SQL;
  2. Загрузите и установите драйвер ODBC для SQL Server 11;
  3. Создать и запустить сценарий резервного копирования WSUSdb;
  4. Создайте задачу в планировщике задач Windows для запуска сценария SQL.

Мы пропустим первые 2 шага, потому что они очень простые. Итак, начнем с третьего шага.

Сначала нам нужно создать файл BackupWSUSdb.sql , содержащий две строки:

BACKUP DATABASE [SUSDB] TO DISK = N’f: wsus_db_backupWSUS_DB.BAK ‘WITH NOFORMAT, INIT, NAME = N’WSUSDB — полное резервное копирование базы данных’, SKIP, NOREWIND, NOUNLOAD, STATS = 10

GO

F: wsus_db_backupWSUS_DB.BAK — это путь к файлу резервной копии, который вы хотите create (вы можете изменить путь и имя файла, выбор за вами).

Запуск сценария SQL

Для запуска сценария необходимо использовать sqlcmd.exe утилита:

 sqlcmd.exe -S np: .pipeMICROSOFT ## WIDtsqlquery -if: WSUS_DB_BackupbackupWSUSdb.sql

Действие для запуска скрипта

Это довольно тривиально, просто сделайте все, как на следующем скриншоте. Запустите планировщик задач и создайте новое задание для выполнения указанной выше команды по расписанию.

Вот и все. Резервная копия базы данных WSUS создана.

Если вы хотите создать резервную копию файлов обновления и не загружать их повторно при переустановке или перемещении WSUS на другой сервер, вам необходимо остановить IIS и службу WSUS и скопировать содержимое в каталог E: wsusWsusContent.

При использовании полнофункционального экземпляра SQL Server можно настроить резервное копирование базы данных WSUS с помощью встроенных задач планировщика SQL Server из графического интерфейса консоли SQL Server Management Studio.

Вы можете использовать специальный модуль PowerShell для SQL (SqlServer) для создания резервной копии базы данных, вы можете вручную загрузить модуль из галереи PowerShell (https://www.powershellgallery.com/packages/SqlServer/21.0. 17224) или установите его с помощью команды PoSh:

 Install-Module -Name SqlServer

Чтобы создать резервную копию базы данных SQL из PowerShell, запустите консоль PoSh от имени администратора и выполните команду:

 Backup-SqlDatabase -ServerInstance ".pipeMICROSOFT ## WIDtsqlquery "-Database" SUSDB "-BackupFile e: backupSUSDB.bak

Если вы хотите переустановить WSUS, используя файл резервной копии базы данных WSUS, вы можете установить SQL Server Express, восстановить базу данных из резервной копии с тем же именем SUSDB . А во время установки WSUS достаточно указать, что будет использоваться существующая база данных.

В этом случае все настройки WSUS будут сохранены.

Мне нравятся технологии и разработка веб-сайтов. С 2012 года я использую несколько моих собственных веб-сайтов и делюсь полезным контентом о гаджетах, администрировании ПК и продвижении веб-сайтов.

Последние сообщения Кирилла Кардашевского (посмотреть все)

Переустановить WSUS на SBS 2011

Переустановка WSUS может быть необходима по разным причинам, одна из которых — освободить место на загрузочном разделе из-за очень большой базы данных WSUS.

Это можно сделать в качестве альтернативы борьбе с мастером очистки для удаления неиспользуемых / ненужных / замененных обновлений и последующему сжатию базы данных постфактум, что может быть неприятным занятием, особенно если вы никогда раньше не запускали мастер и вы иметь большую базу данных.

Если вы не против перенастроить настройки WSUS и утверждения с нуля, вы можете просто удалить существующую установку WSUS, удалить базу данных и начать с нуля.

WSUS устанавливается с SBS 2011 в автоматическом режиме, когда установлена ​​ОС, и я рекомендую использовать тот же метод. Статья Microsoft TechNet «Ремонт Windows Server Update Services» (для SBS 2011) включает раздел для восстановления вашей установки, который мы можем использовать в качестве справочного материала для переустановки.

Чтобы переустановить WSUS на SBS 2011, выполните следующие действия:

Примечание. Для повторной установки у вас должен быть оригинальный DVD SBS 2011. Если у вас нет DVD, загрузите установщик WSUS 2.0 SP2 от Microsoft.

Задокументируйте конфигурацию WSUS, прежде чем продолжить.
Этот процесс не сохраняет настройки WSUS!

  1. Удалите Windows Server Update Services 3.0 SP2 через панель управления
  2. Удалите существующую базу данных WSUS (SUSDB.mdf) и файлы журнала (SUSDB_log.ldf), которые будут расположены в C: \ WSUS \ UpdateServicesDbFiles \ (при условии установки по умолчанию)
  3. Установите WSUS, используя один из следующих вариантов, используя командную строку с повышенными привилегиями:
    1. При использовании SBS 2011 DVD:

      : \ CMPNENTS \ wsus \ wsussetup. exe / q DEFAULT_WEBSITE = 0 CREATE_DATABASE = 1 CONTENT_LOCAL = 1 CONTENT_DIR =?: \ WSUS WYUKON_DATA_DIR 9: 000:

    2. При использовании загруженного установщика WSUS 2.0 SP2:

      WSUS30-KB972455-x64.exe / q DEFAULT_WEBSITE = 0 CREATE_DATABASE = 1 CONTENT_LOCAL = 1 CONTENT_DIR =?: \ WSUS WYUKON_DATA_DIR =?: \ WSUS

Вам нужно будет указать правильную букву диска для исходной папки \ WSUS, где параметр CONTENT_DIR используется для указания расположения базы данных, а WYUKON_DATA_DIR используется для указания расположения файлов обновления при использовании локального содержимого.

Если вы не хотите, чтобы ваш сервер WSUS загружал копии утвержденных установочных пакетов, измените CONTENT_LOCAL на 0.При этом WSUS по умолчанию будет инструктировать клиентов загружать утвержденные обновления от Microsoft.

После завершения установки вам нужно будет настроить WSUS.

Если исходная установка использовала локально кэшированное содержимое, вы можете удалить эти файлы вручную, и по умолчанию они будут расположены в C: \ WSUS \ WsusContent \.

См. Статью TechNet «Установка серверного программного обеспечения WSUS 3.0 SP2 в автоматическом режиме», чтобы узнать больше о вышеуказанных флагах командной строки.

WSUS в реальном мире — Достойная безопасность

Я управляю WSUS около десяти лет.Это не всегда были счастливые отношения. Но я, наконец, нашел установку, я доволен , и я хотел бы поделиться с вами . Эта статья задумана как свалка по множеству тем в WSUS. Я пишу его, чтобы научить своего преемника всему, чему я научился.

В этой статье подробно описывается, как настроить внутренний сервер WSUS , на котором размещены одобренные обновления, и внешнюю реплику WSUS сервер , который синхронизирует утверждения с внутренним сервером, но сообщает клиентам о необходимости загрузки файлов обновлений из Microsoft .Затем внешний сервер передает все статусы клиента внутреннему серверу. Это отлично подходит для мобильных сотрудников без постоянного доступа к VPN.

Эта конфигурация используется в компании, имеющей более 60 офисов в нескольких доменах AD. Однако все машины указывали на одну и ту же инфраструктуру WSUS. WSUS не использует Active Directory или Kerberos и работает только через HTTP и HTTPS.

Обычно это не работает полностью надежно из-за известной проблемы, когда WSUS не реплицирует файлы cookie идентификатора WSUS между главным и репликами.Однако, если у ваших клиентов есть запланированная задача, вы можете просто запустить их, чтобы обновить cookie, если это необходимо. Это будет подробно описано в разделе конфигурации клиента.

Раздражающий голос: Вам следует последовать моему совету и перестроить WSUS.

WSUS печально известен тем, что со временем деградирует и увеличивает расходы на хранение без чрезмерного административного вмешательства. Кроме того, это одноразовая инфраструктура, поскольку она не содержит бизнес-данных или исторических данных. В этом руководстве вы должны подготовиться к полному уничтожению всей вашей конфигурации и данных WSUS, и я вам помогу.Я делал это несколько раз за свою карьеру, и это не должно иметь большого значения. Однако это руководство может быть адаптировано к существующей установке, если вы не видите в этом абсолютно никакой необходимости.

Разберите сервер WSUS для переустановки

Предполагается, что у вас есть выделенный компьютер для WSUS , на котором уже могут быть установлены компоненты. Если на машине установлено другое оборудование, некоторые инструкции безвозвратно удаляют приложения и веб-сайты.

Некоторые из этих шагов кажутся излишними или бессмысленными, но каждый из них предотвращает / решает проблему, с которой я столкнулся.

1. Очистка с функциями и удалением ролей

  1. Диспетчер сервера> Управление > Удаление ролей и компонентов
  2. В разделе Роли слева снимите флажок Веб-сервер (IIS) и Службы обновления Windows Server .
  3. В разделе «Компоненты» слева снимите отметку со следующего, чтобы установить его позже:
    1. Инструменты удаленного администрирования сервера> Роль> Инструменты службы обновления сервера Windows
      (~~ Не пропускайте снятие флажка вручную! Он сохраняет файлы в месте, которое мы будем очищать.~~)
    2. Внутренняя база данных Windows
    3. Служба активации процессов Windows
  4. Перезагрузка по завершении

2. Гигиена сервера и очистка бесхозной конфигурации

Эти шаги предназначены для обеспечения длительного стабильного срока службы вашего сервера и удалите все прошлые потерянные конфигурации. Удаление некоторых ролей не приводит к удалению их параметров конфигурации. Вам придется вручную очистить некоторые конфигурации ролей, если они повреждены, и этот факт сбивает с толку многих администраторов, пытающихся исправить проблемы.

  1. Сначала полностью обновите сервер напрямую с помощью Центра обновления Майкрософт и перезагрузитесь. Рекомендую подождать, пока это не закончится. Эти обновления содержат критические исправления совместимости, позволяющие WSUS обновлять новые версии Windows, и должны быть резидентными до начала настройки WSUS. Перезагрузитесь, когда закончите обновление.
  2. Команда базового уровня Windows SxS для экономии места на диске:
    dism.exe / online / Cleanup-Image / StartComponentCleanup / ResetBase
  3. Windows Server не поставляется с cleanmgr.exe, если у вас не установлен Desktop Experience, но есть хаки для его установки, поэтому запустите его сейчас, если он у вас есть.
  4. Удалите / переименуйте содержимое папки внутренней базы данных Windows, в которой WSUS хранит настройки обновления, не удаляйте саму папку:
    C: \ Windows \ WID
  5. Удалите / переименуйте оставшиеся папки настроек веб-сервера:
    1. C: \ inetpub
    2. C: \ Program Files \ Update Services
  6. Если существует, удалите содержимое вашего старого каталога хранения обновлений WSUS. Не удаляйте саму папку.
  7. Перезагрузка, это может занять некоторое время.

Создание сервера WSUS с чистого листа

Это подготовит либо главный, либо реплику сервера, индивидуальная конфигурация которого отличается позже. К сожалению, настройки WSUS по умолчанию — не лучший способ сделать это. , пожалуйста, очень внимательно следуйте этим инструкциям, потому что есть некоторые уловки.

1. Папка хранилища

  1. Решите, где вы хотите хранить файлы WSUS, и при необходимости создайте папку.Это требуется как для главного сервера, так и для сервера-реплики.
    Моя папка находится в корне накопителя, поэтому это E: \ WSUS .
  2. В папке содержимого WSUS предоставьте субъекту безопасности « NETWORK SERVICE » права « FULL CONTROL » на корневую папку, применительно ко всем файлам и подпапкам.
    Обычно такие общие инструкции по предоставлению разрешений не имеют смысла, но это буквально в руководстве Microsoft. Просто сделай это. Это не угроза безопасности.

2. Установка ролей

  1. Диспетчер сервера> Управление > Добавить роли и компоненты .
  2. В разделе «Роли» слева выберите Службы обновления Windows Server .
  3. Ничего не добавляйте под ролями. Он автоматически добавит то, что ему нужно.
  4. В рамках WSUS > Role Services используйте по умолчанию WID Database и WSUS Services . WID — это на самом деле код SQL Server. Использование полной версии SQL Server значительно усложняет настройку и обслуживание.Только очень крупным компаниям в определенных сценариях потребуется запускать полный экземпляр SQL Server. Я пробовал, но не рекомендую.
  5. В соответствии с WSUS > Содержимое введите путь к вашей папке хранилища.
  6. Для роли веб-сервера просто используйте значения по умолчанию.
  7. В разделе «Подтверждение » выберите « Перезагрузить целевой сервер » и нажмите Установить .
  8. Дождитесь завершения
  9. Выполните следующую команду из командной строки администратора:
    sfc.exe / scannow
    Это необходимо для устранения известной проблемы с переустановкой компонентов WSUS после их удаления. DISM исправляет SxS, SFC исправляет ОС.
  10. Диспетчер сервера> щелкните флаг> Выполните задачи после установки . Подождите, пока это закончится.

Главный внутренний сервер — специализация

Вам нужен Windows-сервер 2012R2, желательно 2016 года. Вы можете попробовать 2008R2 / 2012, и он вроде как работает с хаками, которые вы можете найти в Google. Я использую 2012R2, но если у вас есть выбор, используйте Server 2016, потому что я не доверяю Microsoft резервное копирование всех будущих исправлений WSUS.

Для WSUS я использую диск ОС на 60 ГБ и диск для хранения 150 ГБ. Ваши требования будут сильно различаться в зависимости от масштаба программного обеспечения в вашей организации. Лучше всего выделить как можно больше хранилища, чтобы освободить себе свободное место, поскольку WSUS естественным образом расширяется и сжимается на десятки гигабайт при нормальном использовании.

Что касается ОЗУ, я не знаю реалистичного минимума, но я бы сказал 4 ГБ ОЗУ +. Помните, что Windows кэширует часто используемые файлы в ОЗУ, поэтому чем больше у вас ОЗУ, тем лучше вы сможете обслуживать клиентов со скоростью передачи данных.Что касается ЦП, я знаю, каково это запускать WSUS на двухъядерной виртуальной машине и сервере E5-2403 1,8 ГГц, и это болезненно. Но все равно работает.

1. Мастер настройки служб Windows Server Updates Services — Master

  1. Запустите консоль Windows Server Update Services .
  2. Выберите Синхронизировать из Центра обновления Майкрософт.
  3. Нажмите « Начать подключение »
  4. По завершении нажмите « Далее ».
  5. Загружайте обновления только на этих языках : [требуемые языки].
  6. Менее Выбранные продукты , отмените выбор всего , затем выберите только эти продукты в дополнение к другому случайному программному обеспечению, которое необходимо обновить.
    1. Динамическое обновление Windows 10
    2. Windows 10
    3. Windows 7
    4. Windows 8.1
    5. Защитник Windows
    6. Обновления словаря Windows
    7. [ Выбранные необходимые версии сервера ]
    8. [ Выберите необходимые версии Office ]
  7. Меньше Выберите классификации , выберите все «ЗА ИСКЛЮЧЕНИЕМ» ДРАЙВЕРОВ. НЕ ВЫБИРАЙТЕ ДРАЙВЕРОВ. КОГДА-ЛИБО.
  8. В разделе Настроить расписание синхронизации выберите Синхронизировать автоматически , 24 раза в день. Эта периодичность обновления необходима для максимально быстрого распространения обновлений описаний вирусов. Минуты имеют значение. Это вам ничего не стоит.
  9. Меньше Завершено , не начинать начальную синхронизацию .
  10. Нажмите « Finish »

2. Конфигурация консоли служб обновления — Master

  1. Слева: Update Services > [ Server name ]> Options > « Update Files and Languages ​​»
  2. Выбрать Загрузить файлы экспресс-установки .
  3. На вкладке «Обновить языки» еще раз убедитесь, что вы синхронизируете только необходимые языки.
  4. Слева: Update Services > [ Server name ]
  5. Щелкните Synchronize Now .
  6. Этот процесс может занять часов .

3. Настройте IIS — Master

Теперь нам нужно, чтобы наш главный сервер отвечал на WSUS.EXAMPLE.COM.

  • Откройте Internet Information Services (IIS) Manager и перейдите к Sites .
  • Сначала вы увидите « веб-сайт по умолчанию ». Не удаляйте веб-сайт по умолчанию на сервере WSUS. Некоторые процессы WSUS используют его при проверке работоспособности. Это безобидно и ничего не повредит.
  • Щелкните правой кнопкой мыши « Default Web Site »> Bindings
  • Отредактируйте следующую привязку, чтобы позже мы могли сделать WSUS HTTP-сервером по умолчанию на порту 80. Это будет важно для внешней реплики, работающей вслепую позже.
    • [РЕДАКТИРОВАТЬ]
      Тип: http — Порт: 80
      измените это на:
      Тип: http — Порт 8080
  • Во-вторых, вы увидите «Администрирование WSUS» сайт. Несмотря на название, это все веб-приложение WSUS.
  • Щелкните правой кнопкой мыши « Администрирование WSUS »> Привязки
  • Добавьте следующие привязки. Не редактируйте существующие привязки.
    • [ДОБАВИТЬ]
      Тип: http — IP-адрес: Все неназначенные — Порт 80
      Имя хоста: [ blank ]
      Это важно для сервера реплики, чтобы иметь возможность слепо подключаться к IP-адрес порта 80 через межсетевой экран DMZ без указания имени хоста назначения.
    • [ДОБАВИТЬ]
      Тип: https — IP-адрес: Все неназначенные — Порт 443
      Имя хоста: WSUS.EXAMPLE.COM
      Сертификат SSL: WSUS. EXAMPLE.COM
  • Щелкните [ OK ].

Подготовка к перемещению ваших клиентов с помощью DNS, DMZ, TLS и IIS

Если вы хотите разрешить перемещаемым клиентам безопасно использовать WSUS, может показаться, что у вас есть только два варианта. Вы можете:

  • Поместить сервер в демилитаризованную зону, разместить на нем обновления локально и позволить всем клиентам разговаривать с ним.К сожалению, это сократит вашу исходящую пропускную способность от домашних ноутбуков, загружающих массивные обновления Windows 10 из вашего офисного интернет-соединения.
  • Поместите сервер в DMZ, запретите ему хранить обновления локально и попросите всех клиентов загружать обновления от Microsoft. К сожалению, это сокрушит вашу входящую пропускную способность с настольных компьютеров в офисе, загружающих массивные обновления Windows 10 через офисное Интернет-соединение.

Тебе не выиграть! Или можно? На самом деле есть еще один вариант. Вы можете комбинировать особенности раздельных серверов DNS и реплик WSUS, чтобы предоставлять то, что нужно вашим клиентам, наиболее подходящим способом из любой точки мира, и все это сводится к единой центральной консоли.

Это возможно, потому что клиентам, запрашивающим IP-адрес WSUS.EXAMPLE.COM внутри вашей сети, может быть предоставлен ваш внутренний сервер WSUS, а внешним клиентам, запрашивающим IP-адрес WSUS.EXAMPLE.COM, будет предоставлен ваш публичный- доступный сервер в DMZ. Оба сервера будут иметь сертификат TLS для WSUS.ПРИМЕР.COM. Нет причин, по которым сертификат TLS может находиться только на одном сервере.

Сервер-реплика клонирует все утверждения исправлений на вашем главном сервере, а затем отправляет отчет на ваш главный сервер обо всем, что он делает с внешними клиентами. О том, как настроить сами серверы, будет позже в руководстве.

1. Внутренняя конфигурация DNS

  • Создайте запись CNAME для WSUS.EXAMPLE.COM и укажите ее на сетевое имя вашего внутреннего DNS-сервера.

2.Конфигурация внешнего DNS

  • Создайте запись A и укажите ее на свой внешний IP-адрес.

3. Конфигурация сети DMZ

Для внешнего сервера в DMZ на сетевом уровне разрешить входящий порт 80 и 443 от внешнего. Разрешите серверу неограниченный исходящий доступ в Интернет или ограничьте его только адресами, указанными в этой статье.

4. Сертификат TLS

Обмен данными с вашим сервером WSUS по ненадежным сетям должен быть защищен с помощью HTTPS, поэтому для WSUS вам понадобится сертификат TLS (ранее SSL).ПРИМЕР.COM. Вам нужно будет приобрести его и установить самостоятельно для внутреннего сервера, но мы можем получить автоматический сертификат для внешнего сервера.

Внешний сервер-реплика — специализация

Конфигурация сервера-реплики имеет несколько принципиальных отличий, пожалуйста, внимательно следуйте инструкциям.

1. Мастер настройки служб обновления Windows Server — реплика

  1. Запустите консоль Службы обновления Windows Server .
  2. Выберите Синхронизировать с другим сервером Windows Server Update Services
  3. Имя сервера: [ IP-адрес главного сервера]
    Номер порта: 80
    (Вы не можете использовать SSL для подключения, потому что шифрование основано на имени хоста , который, если ваш сервер находится в DMZ, не будет указывать в нужное место.Здесь можно использовать порт 80. Вы можете использовать файл HOSTS, чтобы обойти это, но лучше избегать недокументированных изменений разрешения DNS для каждого сервера. WSUS устойчив к HTTP MitM и не будет устанавливать файлы сторонних разработчиков, если вы не включите это на клиенте. Однако TLS обеспечивает критическую гарантию целостности и устойчивость к манипуляциям и улучшает его работу, поэтому мы используем его для взаимодействия с клиентами.)
    Проверка: Это копия вышестоящего сервера .
  4. Нажмите « Далее »
  5. Нажмите « Начать подключение »
  6. Нажмите « Далее » по завершении.
  7. Загружайте обновления только на этих языках : [требуемые языки].
  8. В разделе Настроить расписание синхронизации выберите Синхронизировать автоматически , 24 раза в день.
  9. Меньше Завершено , не начинать начальную синхронизацию .
  10. Нажмите « Finish »

2. Конфигурация консоли служб обновления — Реплика

  1. Слева: Update Services > [ Имя сервера ]> Параметры > « Обновить файлы и языки »
  2. Выберите Не хранить файлы обновлений локально; установка на компьютер из Центра обновления Майкрософт
  3. Щелкните [ Ok ]
  4. Слева: Update Services > [ Имя сервера ]
  5. Щелкните Synchronize Now .
  6. Этот процесс может занять часов .

3. Настройте IIS для HTTP — Реплика

Сначала нам нужна реплика для ответа на WSUS. EXAMPLE.COM по HTTP.

  • Откройте Internet Information Services (IIS) Manager и перейдите к Sites .
  • Вы увидите сайт «Администрирование WSUS». Несмотря на название, это все веб-приложение WSUS.
  • Щелкните правой кнопкой мыши « Администрирование WSUS »> Привязки
  • Добавьте следующие привязки.Не редактируйте существующие привязки. HTTPS будет на следующем этапе.
    • [ДОБАВИТЬ]
      Тип: http — IP-адрес: Все неназначенные — Порт 80
      Имя хоста: WSUS.EXAMPLE.COM
  • Щелкните [ OK ].

4. Получите самообновляющийся сертификат TLS с помощью Let’sEncrypt

Настройка IIS

Конфигурация клиента

todo

Конфигурация клиента — Запланированные задачи

todo

Ссылки

https: // omgdebugging.com / 2017/10/09 / командная строка-эквивалент-из-wuauclt-в-окнах-10-окна-сервер-2016/

.

No related posts.

Share :

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *