Wsus установка: Установка сервера обновлений WSUS на Windows Server 2012 R2 / 2016

Устанавливаем и настраиваем WSUS. — Записки IT специалиста

Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services) — локальный сервер обновлений в вашей сети.

Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 — установка и настройка WSUS.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

• IIS 6 или выше,
• .NET Framework 2.0 или выше,
• Report Viewer Redistributable 2008,
• SQL Server 2005 SP2 Express или выше.

WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.

Получить все необходимые компоненты можно на сайте Microsoft:

При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.

Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите .NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:

• ASP.NET
• Windows — проверка подлинности
• Сжатие динамического содержимого
• Совместимость управления IIS6

Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.

Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.

Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.

На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.

При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.

На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.

Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.

Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.

Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить. В открывшемся окне выберите Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети. Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http:\\ИМЯ_СЕРВЕРА.

Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск — Выполнить — gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.

Вот мы и подошли к еще одной важной настройке сервера — автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры — Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.

Шаг 1. Установка роли сервера WSUS

• 
  10/16/2017
• Чтение занимает 2 мин
• 
  

В этой статье

Область применения. Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Следующий шаг в развертывании сервера WSUS — это установка роли сервера WSUS.The next step in the deployment of your WSUS server is to install the WSUS server role. Далее описано, как установить роль сервера WSUS с помощью диспетчера серверов.The following procedure describes how to install the WSUS server role by using Server Manager.

Важно!

Эта процедура охватывает установку WSUS только с использованием внутренней базы данных Windows (WID).This installation procedure only covers how to install WSUS using Windows Internal Database (WID). Процедуры установки WSUS с помощью Microsoft SQL Server описаны на форуме WSUS.The procedures to install WSUS using Microsoft SQL Server are documented in the WSUS forum.

Установка роли сервера WSUSTo install the WSUS server role

1. Выполните вход на сервер, на котором планируется установка роли сервера WSUS, используя учетную запись, являющуюся членом локальной группы администраторов.Log on to the server on which you plan to install the WSUS server role by using an account that is a member of the Local Administrators group.

2. В диспетчере серверов щелкните Управление и Добавить роли и компоненты.In Server Manager, click Manage, and then click add Roles and Features.

3. На странице Перед работой нажмите кнопку Далее.On the Before you begin page, click Next.

4. На странице Выбор типа установки убедитесь, что выбрано свойство Установка ролей или компонентов и щелкните Далее.In the select installation type page, confirm that Role-based or feature-based installation option is selected and click Next.

5. На странице Выбор целевого сервера выберите расположение сервера (пул серверов или виртуальный жесткий диск).On the select destination server page, choose where the server is located (from a server pool or from a virtual hard disk). После выбора расположения укажите сервер, на котором требуется установить роль сервера WSUS, и нажмите кнопку Далее.After you select the location, choose the server on which you want to install the WSUS server role, and then click Next.

6. На странице Выбор ролей сервера щелкните Службы Windows Server Update Service.On the select server roles page, select Windows Server Update Services. Откроется диалоговое окнодобавления компонентов, необходимых для служб Windows Server Update Services .Add features that are required for Windows Server Update Services opens. Щелкните Добавить компоненты, а затем нажмите кнопку Далее.Click Add Features, and then click Next.

7. На странице Выбор компонентовOn the select featurespage. оставьте настройки по умолчанию и щелкните Далее.retain the default selections, and then click Next.

   Важно!

   Службам WSUS требуется только настройка по умолчанию роли веб-сервера.WSUS only requires the default Web Server role configuration. Если в процессе настройки служб WSUS предлагается дополнительная настройка роли веб-сервера, можно принять значения по умолчанию и продолжить настройку WSUS.If you are prompted for additional Web Server role configuration while setting up WSUS you can safely accept the default values and continue setting up WSUS.

8. На странице Службы Windows Server Update Services нажмите кнопку Далее.On the Windows Server Update Services page, click Next.

9. На странице Выбор служб ролей не изменяйте выбранные по умолчанию службы, а затем нажмите кнопку Далее.On the Select Role Services page, leave the default selections, and then click Next.

   Совет

   Вы должны выбрать один тип базы данных.You must select one Database type. Если все параметры базы данных очищены (не выбраны), произойдет сбой задач после установки.If the database options are all cleared (not selected), post installation tasks will fail.

10. На странице Выбор расположения содержимого введите правильное расположение для хранения обновлений.On the Content location selection page, type a valid location to store the updates. Например, можно создать папку с именем WSUS_database в корне диска K специально для этой цели и ввести k:\WSUS_database как правильное расположение.For example, you can create a folder named WSUS_database at the root of drive K specifically for this purpose, and type k:\WSUS_database as the valid location.

11. Нажмите кнопку Далее.Click Next. Откроется страница Роль веб-сервера (IIS) .The Web Server Role (IIS) page opens. Просмотрите сведения и нажмите кнопку Далее.Review the information, and then click Next. На странице Выбор служб ролей для установки веб-сервера (IIS) оставьте значения по умолчанию и щелкните Далее.In select the role services to install for Web Server (IIS), retain the defaults, and then click Next.

12. На странице Подтверждение выбранных элементов для установки просмотрите выбранные элементы и нажмите кнопку Установить.On the Confirm installation selections page, review the selected options, and then click Install. Запускается мастер установки служб WSUS.The WSUS installation wizard runs. Установка может занять несколько минут.This might take several minutes to complete.

13. После завершения установки служб WSUS в окне сводки на странице хода установки щелкните Запуск послеустановочных задач.Once WSUS installation is complete, in the summary window on the Installation progress page, click Launch Post-Installation tasks. Текст изменяется и появляется запрос: Подождите, пока выполняется настройка сервера.The text changes, requesting: Please wait while your server is configured. После завершения задачи текст изменяется следующим образом: Настройка успешно завершена.When the task has finished, the text changes to: Configuration successfully completed. Нажмите кнопку Закрыть.Click Close.

14. В окне Диспетчер серверапроверьте, настроено ли отображение уведомлений о необходимости перезагрузки.In Server Manager, verify if a notification appears to inform you that a restart is required. Этот параметр может меняться в зависимости от установленной роли сервера.This can vary according to the installed server role. Если необходимо выполнить перезапуск для окончания установки, убедитесь, что он был осуществлен.If it requires a restart make sure to restart the server to complete the installation.

Важно!

Процесс установки будет завершен, но чтобы обеспечить работоспособность службы WSUS, перейдите к разделу Шаг 2. Настройка WSUS.At this point the installation process is finished, however for WSUS to be functional you need to proceed to Step 2: Configure WSUS.

Этап 2. Установка сервера WSUS или консоли администрирования

• 
  10/11/2017
• Чтение занимает 3 мин

В этой статье

Убедившись, что сервер удовлетворяет минимальным требованиям для установки и что для установки имеются достаточные права доступа, можно устанавливать Windows Server Update Services 3.0 (WSUS 3.0) с пакетом обновления 2 (SP2). Начните установку WSUS 3.0 с пакетом обновления 2 (SP2) с помощью процедуры и типа установки, применимых для вашей операционной системы, (используйте диспетчер сервера или файл WUSSetup.exe).

Если используется диспетчер сервера

Начало установки WSUS 3.0 с пакетом обновления 2 (SP2) с помощью диспетчера сервера

1. На сервере, где планируется установить WSUS 3.0 с пакетом обновления 2 (SP2), необходимо войти в систему с учетной записью, входящей в локальную группу «Администраторы».

2. Нажмите кнопку Пуск, перейдите к пункту Администрирование, затем выберите пункт Диспетчер сервера.

3. На правой панели в окне диспетчера сервера, в разделе «Сводка по ролям» выберите пункт Добавить роли.

4. Если появится страница «Прежде чем начать», нажмите кнопку Далее.

5. На странице «Выбор ролей сервера» выберите роль Windows Server Update Services.

6. На странице «Windows Server Update Services» нажмите кнопку Далее.

7. На странице «Подтвердите выбранные элементы» нажмите кнопку Установить.

8. После запуска мастера настройки WSUS 3.0 с пакетом обновления 2 (SP2) пропустите следующий раздел и ознакомьтесь с процедурой «Продолжение установки WSUS 3.0 с пакетом обновления 2 (SP2)».

Если используется файл WUSSetup.exe

Начало установки сервера или консоли управления WSUS 3.0 с пакетом обновления 2 (SP2) с помощью файла WUSSetup.exe

1. На сервере, где планируется установить WSUS 3.0 с пакетом обновления 2 (SP2), необходимо войти в систему с учетной записью, входящей в локальную группу «Администраторы».

2. Дважды щелкните установочный файл WSUSSetup.exe.

3. После запуска мастера настройки Windows Server Update Services 3.0 с пакетом обновления 2 (SP2) ознакомьтесь с процедурой «Продолжение установки WSUS 3.0 с пакетом обновления 2 (SP2)».

Использование мастера настройки WSUS 3.0 с пакетом обновления 2 (SP2)

Мастер настройки WSUS можно запустить, используя диспетчер сервера или файл WUSSetup.exe.

Продолжение установки WSUS 3.0 с пакетом обновления 2 (SP2)

1. На первой странице мастера настройки Windows Server Update Services 3.0 нажмите кнопку Далее.

2. На странице «Выбор режима установки» выберите вариант Полная установка сервера, включая консоль администрирования, если необходимо установить сервер WSUS на данный компьютер, или вариант Только консоль администрирования, если нужна только эта консоль.

3. На странице «Лицензионное соглашение» прочитайте условия соглашения, выберите вариант Я принимаю условия лицензионного соглашения и нажмите кнопку Далее.

4. Источник обновлений для клиентов можно указать на странице «Выбор источника обновления». По умолчанию флажок Хранить обновления локально установлен, и обновления будут храниться на сервере WSUS в заданном месте. Если снять флажок Хранить обновления локально, клиентские компьютеры будут получать одобренные обновления, подключаясь к веб-узлу Microsoft Update. Сделайте свой выбор и нажмите кнопку Далее.

5. На странице «Параметры базы данных» выберите программное обеспечение для управления базой данных WSUS 3.0. По умолчанию, мастер установки предлагает установить внутреннюю базу данных Windows.

   Если нет необходимости использовать внутреннюю базу данных Windows, предоставьте для использования WSUS экземпляр сервера SQL Server, выбрав пункт Использовать существующий сервер баз данных на этом компьютере или Использовать существующий сервер баз данных на удаленном компьютере. Введите имя экземпляра в соответствующее поле. Имя экземпляра необходимо указывать в следующем виде: <serverName>\<instanceName>, где serverName — имя сервера, а instanceName — имя экземпляра SQL. Сделайте свой выбор и нажмите кнопку Далее.

6. Если было выбрано подключение к серверу SQL Server на странице Подключение к экземпляру сервера SQL Server, WSUS будет выполнять попытки подключения к указанному экземпляру сервера SQL Server. Когда подключение будет выполнено успешно, нажмите кнопку Далее для продолжения.

7. На странице «Выбор веб-узла» можно указать веб-узел для использования WSUS. Если необходимо использовать стандартный веб-узел на порту 80, выберите пункт Использовать существующий веб-узел IIS по умолчанию. Если на порту 80 уже имеется веб-узел, можно создать альтернативный узел на порту 8530, выбрав пункт Создать веб-узел Windows Server Update Services 3.0 с пакетом обновления 2 (SP2). Нажмите кнопку Далее.

8. На странице Все готово для установки Microsoft Windows Server Update Services 3.0 просмотрите выбранные параметры и нажмите кнопку Далее.

9. На последней странице мастера установки будет отображено, успешно ли завершил работу мастер установки WSUS. После нажатия кнопки Готово будет запущен мастер настройки.

Следующий этап

Этап 3. Настройка сетевых подключений.

Дополнительные ресурсы

Поэтапное руководство для служб Windows Server Update Services 3.0 с пакетом обновления 2 (SP2)

Как установить WSUS с SQL базой в Windows Server 2012R2

Всем привет сегодня хочу рассказать, как установить WSUS с SQL базой в Windows Server 2012R2. Ранее я уже описывал как установить WSUS на Windows Server 2012R2, и данный пост показывает лишь альтернативный метод решения для сервер обновлений, Так что выбор исключительно на ваше усмотрение, но хочу отметить, что в случае с сиквелом, у вас будет ряд преимуществ, и в скорости работы и в плане масштабируемости и отказоустойчивости, в такой реализации, вам легко будет перенести роль на другой сервер, затратив на это совсем не много времени.

Перед тем как начать развертывание вам нужно установить MS SQL 2012, с той лишь разницей что из компонентов достаточно выбрать Database Engine и средства управления. SQL может быть как на отдельной машине так и там где будет WSUS.

ак установить WSUS с SQL базой в Windows Server 2012R2

Для службы WSUS требуется одна из перечисленных ниже баз данных.

• Внутренняя база данных Windows (WID)
• Microsoft SQL Server 2012 Стандартный выпуск
• Microsoft SQL Server 2012 Выпуск Enterprise Edition
• Microsoft SQL Server 2012 Выпуск Express Edition
• Microsoft SQL Server 2008 R2 SP1 Стандартный выпуск
• Microsoft SQL Server 2008 R2 SP1 Выпуск Enterprise Edition
• Microsoft SQL Server 2008 R2 SP1 Выпуск Express Edition

После установки сиквела запускаем на сервере Управление-Добавить роли и компоненты

Как установить WSUS с SQL базой в Windows Server 2012R2-01

Оставляем Установка ролей или компонентов, жмем далее

Как установить WSUS с SQL базой в Windows Server 2012R2-02

Выбираем сервер из пула, если их там несколько

Как установить WSUS с SQL базой в Windows Server 2012R2-03

Выбираем Службы Windows Server Update, мастер покажет вам что будуд доставлены еще роли и компоненты, такие как IIS.

Как установить WSUS с SQL базой в Windows Server 2012R2-04

Далее

Как установить WSUS с SQL базой в Windows Server 2012R2-05

Далее

Как установить WSUS с SQL базой в Windows Server 2012R2-06

Далее будет вводная информация о WSUS, в которой вам расскажут, что должен быть один сервер как минимум, кто будет тянуть от MS обновления.

Как установить WSUS с SQL базой в Windows Server 2012R2-07

Ставим галку база данных, для подключения к внешней БД.

• WID (Windows Internal database)  — встроенная база Windows
• Database – будет использоваться локальная или внешняя база данных на SQL Server для WSUS

База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%\wid\data\. Эта база поддерживает только  Windows аутентификацию (но не SQL). Именем инстанса базы данных WSUS будет server_name\Microsoft##WID.

Внутреннюю базу  Windows (Windows Internal Database) рекомендуется использовать, если:

• Организация не имеет и не планирует покупать лицензии на SQL Server.
• Не планируется использовать балансировку нагрузки на WSUS (NLB WSUS).
• Если планируется развернуть множество WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.

Базу WID нельзя администрировать с помощью стандартных графических консолей или средств управления (только cli).

Отметим, что в SQL Server 2008/2012 Express  имеет ограничение на размер БД – 10 Гб. Скорее всего это ограничение достигнуто не будет (например, размер базы WSUS на 2000 клиентов – около 3 Гб). Ограничение  Windows Internal Database – 524 Гб.

Как установить WSUS с SQL базой в Windows Server 2012R2-08

Задаем место на диске где будут хранится обновления советую выделить хотя бы гигабайт 300

Как установить WSUS с SQL базой в Windows Server 2012R2-09

Далее указываем название сервера с SQL и жмем проверка подключения.

Как установить WSUS с SQL базой в Windows Server 2012R2-10

Видим подключение прошло успешно

Как установить WSUS с SQL базой в Windows Server 2012R2-11

После чего начнется установка IIS, тут все можно оставить по умолчанию

Как установить WSUS с SQL базой в Windows Server 2012R2-12

Как установить WSUS с SQL базой в Windows Server 2012R2-13

Установить.

Как установить WSUS с SQL базой в Windows Server 2012R2-14

После установки жмем закрыть

Как установить WSUS с SQL базой в Windows Server 2012R2-15

Далее в верхнем углу вы увидите знак восклицания, который означает что нужно произвести донастройку WSUS роли.

Как установить WSUS с SQL базой в Windows Server 2012R2-16

Для наглядности перейдем в пункт WSUS, и вы увидите сообщение Службы Windows Server Update Services — требуется настройка на VIRT85

Как установить WSUS с SQL базой в Windows Server 2012R2-17

Если нажать подробнее, то откроется сообщение в котором предложат нажать Запуск послеустановочных заданий.

Как установить WSUS с SQL базой в Windows Server 2012R2-18

Начнется конфигурация сервера

Как установить WSUS с SQL базой в Windows Server 2012R2-19

Видим, что все хорошо настроилось.

Как установить WSUS с SQL базой в Windows Server 2012R2-20

Теперь давайте посмотрим, какая БД у нас создалась в SQL, открываем Management Studio

Как установить WSUS с SQL базой в Windows Server 2012R2-21

Видим БД SUSDB

Как установить WSUS с SQL базой в Windows Server 2012R2-22

Теперь открываем оснастку WSUS,  Средства-Службы Windows Server Update Services

Как установить WSUS с SQL базой в Windows Server 2012R2-23

Откроется мастер настройки Windows Server Update Services

Как установить WSUS с SQL базой в Windows Server 2012R2-24

Если хотите MS улучшить WSU То ставьте галку отправлять данные

Как установить WSUS с SQL базой в Windows Server 2012R2-25

Базовый процесс развертывания службы WSUS включает в себя сервер внутри корпоративного брандмауэра, который обслуживает частную интрасеть. Для загрузки обновлений сервер WSUS подключается к центру обновления Майкрософт. Это называетсясинхронизация. В ходе синхронизации служба WSUS определяет, появились ли доступные свежие обновления с момента последней синхронизации. Если это первая синхронизация WSUS, то все обновления становятся доступными для загрузки.

Для получения обновлений от Майкрософт сервер WSUS по умолчанию использует порт 8530 для протокола HTTP и порт 8531 для протокола HTTPS. Если выход из вашей сети в Интернет защищен корпоративным брандмауэром, то необходимо будет открыть порты на сервере, который непосредственно подключается к центру обновления Майкрософт. Если вы планируете использовать настраиваемые порты для данного подключения, то необходимо открыть эти порты вместо вышеупомянутых. Вы можете настроить несколько серверов WSUS так, чтобы они синхронизировались с родительским WSUS-сервером.

На следующем рисунке представлен простой сценарий для сервера WSUS, по которому администратор может настраивать сервер под управлением WSUS, находящийся внутри корпоративного брандмауэра. Сервер выполняет синхронизацию содержимого непосредственно с Центром обновления Майкрософт, а затем распространяет обновления на клиентские компьютеры.

Как установить WSUS с SQL базой в Windows Server 2012R2-24

Администраторы могут развернуть несколько серверов под управлением WSUS, которые синхронизируют все содержимое в интрасети организации. На рисунке 2 только один сервер открыт для Интернета. В такой конфигурации это единственный сервер, который загружает обновления из Центра обновления Майкрософт. Данный сервер установлен как вышестоящий сервер — источник, с которым синхронизируются подчиненные серверы. Там, где это возможно, серверы могут располагаться на всем протяжении территориально разнесенной сети, чтобы обеспечивать наилучшее качество подключения для всех клиентских компьютеров. Следующий рисунок показывает пример нескольких серверов WSUS с внутренней синхронизацией.

Как установить WSUS с SQL базой в Windows Server 2012R2-25

Выбираем синхронизироваться с Центром обновления Microsoft

Как установить WSUS с SQL базой в Windows Server 2012R2-26

Если есть прокси, то указываем настройки

Как установить WSUS с SQL базой в Windows Server 2012R2-27

Нажимаем Начать подключение

Как установить WSUS с SQL базой в Windows Server 2012R2-28

Далее

Как установить WSUS с SQL базой в Windows Server 2012R2-29

Выбираем язык или языки обновления которых вы будите скачивать

Как установить WSUS с SQL базой в Windows Server 2012R2-30

Далее вам нужно выбрать для каких продуктов вы будите скачивать обновления

Как установить WSUS с SQL базой в Windows Server 2012R2-31

Теперь выбираем классы обновления, я советую выбрать все

Как установить WSUS с SQL базой в Windows Server 2012R2-32

На следующем шаге нужно выбрать как будет происходить синхронизация, либо вручную либо автоматическая по времени

Как установить WSUS с SQL базой в Windows Server 2012R2-33

Начнем первоначальную синхронизацию

Как установить WSUS с SQL базой в Windows Server 2012R2-34

Готово

Как установить WSUS с SQL базой в Windows Server 2012R2-35

Перед вами откроется оснастка WSUS в ней сразу увидите сводку о состоянии инфраструктуры

Как установить WSUS с SQL базой в Windows Server 2012R2-36

Видим началась синхронизация и скачивание обновлений

Как установить WSUS с SQL базой в Windows Server 2012R2-37

Обратите внимание что создались две папки для обновлений WsusContent и UpdateServicesPackages.

Как установить WSUS с SQL базой в Windows Server 2012R2-38

Вот так вот просто установить WSUS с SQL базой в Windows Server 2012R2. Далее читайте как настроить WSUS в Windows Server 2012R2.

Материал сайта pyatilistnik.org

Развертывание и использование WSUS сервера

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Автор: Денис Васильев

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения.  Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений  своих программных продуктов  в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

рис. 1

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

• Операционная система: Windows Server 2003 SP1 и выше.
• Дополнительные роли сервера: IIS 6.0 и выше
• Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
• Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.

Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить   (рис. 2).

рис. 2

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью  «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

рис. 3

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо  указать  IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

рис . 4

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно  ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

рис. 5

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

рис. 6

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7). 

рис. 7

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

рис. 8

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)

рис. 9

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов.   Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они  не будут нужны и займут дисковое пространство.

рис. 10

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск  – Администрирование – Управление групповой политикой». Выбираем  ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

рис.11

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете  адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

рис. 12

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).

рис. 13

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен»  и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров  для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

рис. 14

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были  описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).

рис. 15

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно  в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

рис. 16

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её  необходимо запускать с ключом /detectnow  (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений)  необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

Господа, удачных вам обновлений

Начало работы со службами обновления Windows Server (WSUS)

• 
  5/22/2017
• Чтение занимает 3 мин
• 
  

В этой статье

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать новейшие обновления продуктов Майкрософт.Windows Server Update Services (WSUS) enables information technology administrators to deploy the latest Microsoft product updates. Службы WSUS позволяют в полной мере управлять процессом распределения обновлений, выпущенных через Центр обновления Майкрософт, среди компьютеров в сети.You can use WSUS to fully manage the distribution of updates that are released through Microsoft Update to computers on your network. В данном разделе представлен обзор этой роли сервера и дополнительные сведения о том, как развертывать и обслуживать WSUS.This topic provides an overview of this server role and more information about how to deploy and maintain WSUS.

Описание роли сервера WSUSWSUS Server role description

Сервер WSUS предоставляет возможности для управления обновлениями и их распространения через консоль управления.A WSUS server provides features that you can use to manage and distribute updates through a management console. Сервер служб WSUS может также быть источником обновлений для других серверов WSUS в организации.A WSUS server can also be the update source for other WSUS servers within the organization. Сервер WSUS, действующий как источник обновлений, называется вышестоящим сервером.The WSUS server that acts as an update source is called an upstream server. В реализации служб WSUS хотя бы один сервер WSUS в сети должен иметь возможность подключаться к Центру обновления Майкрософт для получения информации о доступных обновлениях.In a WSUS implementation, at least one WSUS server on your network must be able to connect to Microsoft Update to get available update information. Учитывая вопросы безопасности и конфигурации сети, администратор может самостоятельно определить количество дополнительных серверов, напрямую подключенных к Центру обновления Майкрософт.As an administrator, you can determine — based on network security and configuration — how many other WSUS servers connect directly to Microsoft Update.

Практическое применениеPractical applications

Управление обновлениями — это процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в рабочей среде.Update management is the process of controlling the deployment and maintenance of interim software releases into production environments. Это помогает поддерживать производительность, преодолевать уязвимости и обеспечивать стабильность рабочей среды.It helps you maintain operational efficiency, overcome security vulnerabilities, and maintain the stability of your production environment. Если организация не может устанавливать и поддерживать известный уровень доверия в своих операционных системах и прикладном программном обеспечении, то у нее может появиться ряд уязвимостей, что в случае взлома способно привести к потере дохода и интеллектуальной собственности.If your organization cannot determine and maintain a known level of trust within its operating systems and application software, it might have a number of security vulnerabilities that, if exploited, could lead to a loss of revenue and intellectual property. Чтобы минимизировать данную угрозу, необходимо правильно настроить системы, использовать последние версии программного обеспечения и установить рекомендуемые обновления ПО.Minimizing this threat requires you to have properly configured systems, use the latest software, and install the recommended software updates.

Основными сценариями, в которых WSUS повышает эффективность вашего бизнеса, являются:The core scenarios where WSUS adds value to your business are:

• Централизованное управление обновлениямиCentralized update management

• Автоматизация управления обновлениямиUpdate management automation

Новые и измененные функцииNew and changed functionality

Примечание

Обновление с любой версии Windows Server, поддерживающей WSUS 3.2, до Windows Server 2012 R2 требует предварительного удаления WSUS 3.2.Upgrade from any version of Windows Server that supports WSUS 3.2 to Windows Server 2012 R2 requires that you first uninstall WSUS 3.2.

В Windows Server 2012 обновление с любой версии Windows Server с установленными службами WSUS 3.2 блокируется в процессе установки, если будет обнаружена служба WSUS 3.2.In Windows Server 2012, upgrading from any version of Windows Server with WSUS 3.2 installed is blocked during the installation process if WSUS 3.2 is detected. В этом случае вам будет предложено сначала удалить службы обновления Windows Server, а затем повторно обновить сервер.In that case, you will be prompted to first uninstall Windows Server Update Services prior to upgrading your server.

Но после изменений, внесенных в текущем выпуске Windows Server и Windows Server 2012 R2, установка не блокируется при обновлении с любой версии Windows Server и WSUS 3.2.However, because of changes in this release of Windows Server and Windows Server 2012 R2, when upgrading from any version of Windows Server and WSUS 3.2, the installation is not blocked. Если перед выполнением обновления Windows Server или Windows Server 2012 R2 не будут удалены службы WSUS 3.2, то задачи WSUS после установки будут завершаться ошибкой.Failure to uninstall WSUS 3.2 prior to performing a Windows Server 2012 R2 upgrade will cause the post installation tasks for WSUS in Windows Server 2012 R2 to fail. Известен только один метод решения такой проблемы — отформатировать жесткий диск и повторно установить Windows Server.In this case, the only known corrective measure is to format the hard drive and reinstall Windows Server.

Службы Windows Server Update Services представляют собой встроенную роль сервера со следующими дополнительными возможностями.Windows Server Update Services is a built-in server role that includes the following enhancements:

• Может быть добавлена и удалена с помощью диспетчера серверовCan be added and removed by using the Server Manager

• Включает командлеты Windows PowerShell для управления наиболее важными задачами администрирования в службах WSUSIncludes Windows PowerShell cmdlets to manage the most important administrative tasks in WSUS

• Добавляет возможность использования хэширования SHA256 для дополнительной безопасностиAdds SHA256 hash capability for additional security

• Обеспечивает разделение клиента и сервера, благодаря чему версии агента Центра обновления Windows (WUA) могут поставляться независимо от WSUSProvides client and server separation: versions of the Windows Update Agent (WUA) can ship independently of WSUS

Использование Windows PowerShell для управления WSUSUsing Windows PowerShell to manage WSUS

Системным администраторам для автоматизации работы необходим охват с помощью автоматизации командной строки.For system administrators to automate their operations, they need coverage through command-line automation. Основной целью является облегчение администрирования WSUS, позволяя системным администраторам автоматизировать их ежедневный труд.The main goal is to facilitate WSUS administration by allowing system administrators to automate their day-to-day operations.

Какой эффект дает это изменение?What value does this change add?

Пропуская основные операции WSUS через Windows PowerShell, системные администраторы могут увеличить продуктивность, уменьшить время на изучение новых инструментов, а также снизить количество ошибок из-за неоправданных ожиданий, ставших результатом отсутствия согласованности простых операций.By exposing core WSUS operations through Windows PowerShell, system administrators can increase productivity, reduce the learning curve for new tools, and reduce errors due to failed expectations resulting from a lack of consistency across similar operations.

Что работает иначе?What works differently?

В более ранних версиях операционной системы Windows Server отсутствовали командлеты Windows PowerShell, а автоматизация управления обновлениями была затруднительным делом.In earlier versions of the Windows Server operating system, there were no Windows PowerShell cmdlets, and update management automation was challenging. Командлеты Windows PowerShell для операций WSUS дают дополнительную гибкость и быстроту системному администратору.The Windows PowerShell cmdlets for WSUS operations add flexibility and agility for the system administrator.

Содержание коллекцииIn this collection

В эту коллекцию включены следующие руководства по планированию, развертыванию и администрированию служб WSUS.The following guides for planning, deploying, and managing WSUS are in this collection:

Как установить WSUS на Windows Server 2012R2

WSUS (Windows Server Update Services) – это сервер обновлений ОС и продуктов компании Microsoft. ПО может быть скачано бесплатно с сайтов Microsoft и инсталлировано на серверную ОС семейства Windows Server. Сервер обновлений синхронизируется с сайтом Microsoft и скачивает обновления, которые потом могут быть распространены внутри локальной сети. Такой метод экономит внешний трафик компании и ускоряет установку обновлений с целью исправления ошибок и уязвимостей в ОС. Также это позволяет централизованно управлять обновлениями рабочих стаций и серверов.

Открываем Диспетчер серверов

Как установить WSUS на Windows Server 2012R2-01

Нажимаем Управление-Добавление роли или компонента.

Как установить WSUS на Windows Server 2012R2-02

Читаем немного полезной информации от мастера 🙂 и щелкаем Далее.

Как установить WSUS на Windows Server 2012R2-03

Далее.

Как установить WSUS на Windows Server 2012R2-04

Далее.

Как установить WSUS на Windows Server 2012R2-05

Выбираем Windows Server Update Service.

Как установить WSUS на Windows Server 2012R2-06

Далее.

Как установить WSUS на Windows Server 2012R2-07

Далее

Как установить WSUS на Windows Server 2012R2-08

Немного описания, что делает служба, жмем Далее.

Как установить WSUS на Windows Server 2012R2-09

Ставим первые две птички и жмем далее.

Как установить WSUS на Windows Server 2012R2-10

Выбираем каталог, куда будут скачиваться ваши обновления. Советую для этого выделить отдельный диск, 200-300ГБ. Жмем Далее.

Как установить WSUS на Windows Server 2012R2-11

Дальше мастер покажет какие именно компоненты ставятся из роли IIS.

Как установить WSUS на Windows Server 2012R2-12

Как установить WSUS на Windows Server 2012R2-13

Жмем Установить.

Как установить WSUS на Windows Server 2012R2-14

На время установки прогресс бар можно закрыть

Как установить WSUS на Windows Server 2012R2-15

После установки, можно заметить предупреждение, что нужно запустить послеустановочные настройки.

Как установить WSUS на Windows Server 2012R2-16

Как установить WSUS на Windows Server 2012R2-17

В каталоге установки обновлений появились две папки.

Как установить WSUS на Windows Server 2012R2-18

Теперь перейдем в меню Средства и выберем там WSUS оснастку.

Как установить WSUS на Windows Server 2012R2-19

Запустится мастер настройки служб WSUS. Сразу жмем далее.

Как установить WSUS на Windows Server 2012R2-20

Можете при желании участвовать в программе по улучшению от Microsoft, для этого ставим птичку. Далее.

Как установить WSUS на Windows Server 2012R2-21

Выбираем с кем нужно выполнять синхронизацию, тут на выбор либо сайт Microsoft, либо ваш вышестоящий WSUS сервер. Выбираем Microsoft.

Как установить WSUS на Windows Server 2012R2-22

Если прокси нет, то просто жмем далее.

Как установить WSUS на Windows Server 2012R2-23

Нажимаем Начать подключение.

Как установить WSUS на Windows Server 2012R2-24

Как установить WSUS на Windows Server 2012R2-25

После подключения жмем Далее.

Как установить WSUS на Windows Server 2012R2-26

Выбираем какие языковые обновления будем скачивать

Как установить WSUS на Windows Server 2012R2-27

Выбираем нужные вам продукты.

Как установить WSUS на Windows Server 2012R2-28

Выбираем классы обновлений. Советую поставить все.

Как установить WSUS на Windows Server 2012R2-29

Выбираем расписание синхронизации.

Как установить WSUS на Windows Server 2012R2-30

Запускаем первоначальную синхронизацию

Как установить WSUS на Windows Server 2012R2-31

Как установить WSUS на Windows Server 2012R2-32

Заходим в оснастку.

Как установить WSUS на Windows Server 2012R2-33

Видим прогресс бар нашей синхронизации

Как установить WSUS на Windows Server 2012R2-34

Обратите внимание, что начали появляться подпапки категорий продуктов.

Как установить WSUS на Windows Server 2012R2-35

На этом первая часть о WSUS закончена, как настроить WSUS будет рассказано в следующей статье.

Шаг 1. Установите роль сервера WSUS

• 16.10.2017
• 2 минуты на чтение

В этой статье

Применимо к: Windows Server 2019, Windows Server (полугодовой канал), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Следующим шагом в развертывании вашего сервера WSUS является установка роли сервера WSUS.Следующая процедура описывает, как установить роль сервера WSUS с помощью диспетчера сервера.

Важно

В этой процедуре установки описывается только установка WSUS с использованием внутренней базы данных Windows (WID). Процедуры установки WSUS с использованием Microsoft SQL Server описаны на форуме WSUS.

Для установки роли сервера WSUS

1. Войдите на сервер, на котором вы планируете установить роль сервера WSUS, используя учетную запись, которая является членом группы локальных администраторов.

2. В Server Manager щелкните Manage , а затем щелкните , добавьте роли и компоненты .

3. На Перед тем, как начать страницу , щелкните Далее .

4. На странице выбора типа установки подтвердите, что Установка на основе ролей или функций выбрана, и нажмите Далее .

5. На странице выберите целевой сервер выберите, где расположен сервер (из пула серверов или с виртуального жесткого диска).После выбора расположения выберите сервер, на котором вы хотите установить роль сервера WSUS, а затем нажмите Далее .

6. На странице выбора ролей сервера выберите Службы обновления Windows Server . Добавить функции, необходимые для служб Windows Server Update Services. открывается. Щелкните Добавить компоненты , а затем щелкните Далее .

7. На выберите функции страницы. оставьте значения по умолчанию и нажмите Далее .

   Важно

   WSUS требует только конфигурации роли веб-сервера по умолчанию. Если вам будет предложено настроить дополнительную роль веб-сервера при настройке WSUS, вы можете спокойно принять значения по умолчанию и продолжить настройку WSUS.

8. На странице Службы обновления Windows Server щелкните Далее .

9. На странице Select Role Services оставьте значения по умолчанию и нажмите Next .

   Подсказка

   Вы должны выбрать один тип базы данных. Если все параметры базы данных очищены (не выбраны), выполнение задач после установки завершится ошибкой.

10. На странице Выбор местоположения содержимого введите допустимое местоположение для хранения обновлений. Например, вы можете создать папку с именем WSUS_database в корне диска K специально для этой цели и ввести k: \ WSUS_database в качестве допустимого местоположения.

11. Щелкните Далее .Откроется страница роли веб-сервера (IIS) . Просмотрите информацию и нажмите Далее . В выберите службы ролей для установки для веб-сервера (IIS) , сохраните значения по умолчанию, а затем нажмите Далее .

12. На странице Подтвердить выбор установки просмотрите выбранные параметры и нажмите Установить . Запустится мастер установки WSUS. Это может занять несколько минут.

13. После завершения установки WSUS в итоговом окне на странице Ход установки щелкните Запустить задачи после установки .Текст меняется, запрашивается: Подождите, пока ваш сервер настроен . Когда задача будет завершена, текст изменится на: Конфигурация успешно завершена . Щелкните Закрыть .

14. В Server Manager проверьте, появляется ли уведомление о необходимости перезагрузки. Это может варьироваться в зависимости от установленной роли сервера. Если требуется перезагрузка, обязательно перезапустите сервер, чтобы завершить установку.

Важно

На этом процесс установки завершен, однако для работы WSUS необходимо перейти к шагу 2: настройка WSUS.

.

Шаг 2. Настройка WSUS

• 18.09.2020
• 22 минуты на чтение

В этой статье

Применимо к: Windows Server 2019, Windows Server (полугодовой канал), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

После установки роли сервера WSUS на вашем сервере вам необходимо правильно ее настроить.В следующем контрольном списке перечислены шаги, необходимые для выполнения начальной настройки сервера WSUS.

2.1. Настроить сетевые подключения

Перед тем, как начать процесс настройки, убедитесь, что знаете ответы на следующие вопросы:

1. Настроен ли брандмауэр сервера для разрешения клиентам доступа к серверу?

2. Может ли этот компьютер подключиться к вышестоящему серверу (например, серверу, который предназначен для загрузки обновлений из Центра обновления Майкрософт)?

3. У вас есть имя прокси-сервера и учетные данные пользователя для прокси-сервера, если они вам нужны?

По умолчанию WSUS настроен на использование Центра обновления Майкрософт в качестве места для получения обновлений.если у вас есть прокси-сервер в сети, вы можете настроить WSUS на использование прокси-сервера. если между WSUS и Интернетом есть корпоративный брандмауэр, вам, возможно, придется настроить брандмауэр, чтобы WSUS мог получать обновления.

Подсказка

Хотя для загрузки обновлений из Центра обновления Майкрософт требуется подключение к Интернету, WSUS предлагает вам возможность импортировать обновления в сети, не подключенные к Интернету.

Когда у вас есть ответы на эти вопросы, вы можете приступить к настройке следующих сетевых параметров WSUS:

• Обновления Укажите способ, которым этот сервер будет получать обновления (из Центра обновления Майкрософт или с другого сервера WSUS).

• Прокси-сервер , если вы определили, что WSUS необходимо использовать прокси-сервер для доступа в Интернет, вам необходимо настроить параметры прокси на сервере WSUS.

• Межсетевой экран , если вы определили, что WSUS находится за корпоративным межсетевым экраном, необходимо выполнить некоторые дополнительные действия на граничном устройстве, чтобы правильно разрешить трафик WSUS.

2.1.1. Подключение с сервера WSUS к Интернету

Если между WSUS и Интернетом существует корпоративный брандмауэр, вам, возможно, придется настроить этот брандмауэр, чтобы WSUS мог получать обновления.Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порт 443 для протокола HTTPS. Хотя большинство корпоративных брандмауэров разрешают этот тип трафика, некоторые компании ограничивают доступ в Интернет с серверов из-за политики безопасности компании. если ваша компания ограничивает доступ, вам необходимо получить авторизацию, чтобы разрешить доступ в Интернет из WSUS по следующему списку URL-адресов:

• http://windowsupdate.microsoft.com

• http: //*.windowsupdate.microsoft.com

• https: //*.windowsupdate.microsoft.com

• http: //*.update.microsoft.com

• https: //*.update.microsoft.com

• http: //*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http: //*.download.windowsupdate.com

• http://wustat.windows.com

• http: // ntservicepack.microsoft.com

• http://go.microsoft.com

• http://dl.delivery.mp.microsoft.com

• https://dl.delivery.mp.microsoft.com

Важно

Информацию о сценарии, в котором WSUS не удается получить обновления из-за конфигурации брандмауэра, см. В статье 885819 в базе знаний Microsoft.

В следующем разделе описывается, как настроить корпоративный брандмауэр, расположенный между WSUS и Интернетом.Поскольку WSUS инициирует весь сетевой трафик, нет необходимости настраивать брандмауэр Windows на сервере WSUS. Хотя соединение между Центром обновления Майкрософт и WSUS требует открытия портов 80 и 443, вы можете настроить несколько серверов WSUS для синхронизации с настраиваемым портом.

2.1.2. Соединение между серверами WSUS

Исходящие и исходящие серверы WSUS будут синхронизироваться через порт, настроенный администратором WSUS. По умолчанию эти порты настроены следующим образом:

• На WSUS 3.2 и ранее, порт 80 для HTTP и 443 для HTTPS

• В WSUS 6.2 и более поздних версиях (как минимум Windows Server 2012) используются порт 8530 для HTTP и 8531 для HTTPS

Брандмауэр на сервере WSUS должен быть настроен для разрешения входящего трафика на эти порты.

2.1.3. Соединение между клиентами (агентом обновления Windows) и серверами WSUS

Подслушивающие интерфейсы и порты настраиваются на сайтах IIS для WSUS и в любых параметрах групповой политики, используемых для настройки клиентских компьютеров.Порты по умолчанию те же, что и указанные в предыдущем разделе Соединение между серверами WSUS , и брандмауэр на сервере WSUS также должен быть настроен для разрешения входящего трафика на этих портах.

Настроить прокси-сервер

Если в корпоративной сети используются прокси-серверы, прокси-серверы должны поддерживать протоколы HTTP и SSL и использовать базовую аутентификацию или аутентификацию Windows. Этим требованиям можно удовлетворить, используя одну из следующих конфигураций:

1. Один прокси-сервер, поддерживающий два канала протокола.В этом случае установите для одного канала использование HTTP, а для другого канала — HTTPS.

   Примечание

   Вы можете настроить один прокси-сервер, который обрабатывает оба протокола для WSUS во время установки программного обеспечения сервера WSUS.

2. Два прокси-сервера, каждый из которых поддерживает один протокол. В этом случае один прокси-сервер настроен на использование HTTP, а другой прокси-сервер настроен на использование HTTPS.

Чтобы настроить два прокси-сервера, каждый из которых будет обрабатывать один протокол для WSUS, используйте следующую процедуру:

Чтобы настроить WSUS для использования двух прокси-серверов

1. Войдите на компьютер, который должен быть сервером WSUS, используя учетную запись, которая является членом локальной группы администраторов.

2. Установите роль сервера WSUS. Во время работы мастера настройки WSUS (обсуждается в следующем разделе) не указывайте прокси-сервер.

3. Откройте командную строку (Cmd.exe) от имени администратора. Чтобы открыть командную строку от имени администратора, перейдите на Пуск . В Начать поиск введите Командная строка . в верхней части меню «Пуск» щелкните правой кнопкой мыши Командная строка , а затем щелкните Запуск от имени администратора .если появится диалоговое окно «Контроль учетных записей », введите соответствующие учетные данные (если требуется), убедитесь, что отображаемое действие соответствует вашему желанию, а затем щелкните Продолжить .

4. В окне командной строки перейдите в папку C: \ Program Files \ Update Services \ Tools. введите следующую команду:

   wsusutil ConfigureSSlproxy [] -enable , где:

   1. proxy_server — это имя прокси-сервера, поддерживающего HTTPS.

   2. proxy_port — номер порта прокси-сервера.

5. Закройте окно командной строки.

Чтобы добавить прокси-сервер, использующий протокол HTTP, в конфигурацию WSUS, используйте следующую процедуру:

Для добавления прокси-сервера, использующего протокол HTTP

1. Откройте консоль администрирования WSUS.

2. На левой панели разверните имя сервера и щелкните Параметры .

3. На панели Параметры щелкните Источник обновлений и Сервер обновлений , а затем щелкните вкладку Прокси-сервер .

4. Используйте следующие параметры для изменения существующей конфигурации прокси-сервера:

   Для изменения или добавления прокси-сервера в конфигурацию WSUS

   1. Установите флажок для Использовать прокси-сервер при синхронизации .

   2. В текстовом поле Имя прокси-сервера введите имя прокси-сервера.

   3. В текстовом поле Номер порта прокси-сервера введите номер порта прокси-сервера. Номер порта по умолчанию — 80.

   4. Если прокси-сервер требует использования определенной учетной записи пользователя, установите флажок Использовать учетные данные пользователя для подключения к прокси-серверу . введите необходимое имя пользователя, домен и пароль в соответствующие текстовые поля.

   5. Если прокси-сервер поддерживает базовую аутентификацию, установите флажок Разрешить базовую аутентификацию (пароль отправляется в виде открытого текста) .

   6. Щелкните ОК .

   Удаление прокси-сервера из конфигурации WSUS

   1. Чтобы удалить прокси-сервер из конфигурации WSUS, снимите флажок для Использовать прокси-сервер при синхронизации .

   2. Щелкните ОК .

2.2. Настройте WSUS с помощью мастера настройки WSUS

В этой процедуре предполагается, что вы используете мастер настройки WSUS, который появляется при первом запуске консоли управления WSUS.Позже в этом разделе вы узнаете, как выполнять эти конфигурации, используя страницу параметров :

Для настройки WSUS

1. На панели навигации Server Manager щелкните Dashboard , щелкните Tools , а затем щелкните Windows Server Update Services .

   Примечание

   Если появится диалоговое окно завершения установки WSUS , нажмите Выполнить . В диалоговом окне завершения установки WSUS нажмите Закройте после успешного завершения установки.

2. Откроется мастер служб Windows Server Update Services. На странице Перед началом работы просмотрите информацию и нажмите Далее .

3. Прочтите инструкции на странице Присоединяйтесь к программе обновления Microsoft Update и оцените, хотите ли вы участвовать. Если вы хотите участвовать в программе. оставьте выбор по умолчанию или снимите флажок, а затем нажмите Далее .

4. На странице Choose Upstream Server есть два варианта:

   1. Синхронизация обновлений с Microsoft Update

   2. Синхронизация с другим сервером служб Windows Server Update Services

      • , если вы выбрали синхронизацию с другим сервером WSUS, укажите имя сервера и порт, через который этот сервер будет взаимодействовать с вышестоящим сервером.

      • Чтобы использовать SSL, установите флажок Использовать SSL при синхронизации информации об обновлении . Серверы будут использовать порт 443 для синхронизации. (Убедитесь, что этот сервер и вышестоящий сервер поддерживают SSL).

      • , если это реплика сервера, установите флажок Это реплика вышестоящего сервера .

5. После выбора правильных параметров для развертывания нажмите Далее , чтобы продолжить.

6. На странице Укажите прокси-сервер установите флажок Использовать прокси-сервер при синхронизации , а затем введите имя прокси-сервера и номер порта (порт 80 по умолчанию) в соответствующие поля.

   Важно

   Этот шаг необходимо выполнить, если вы определили, что WSUS требуется прокси-сервер для доступа в Интернет.

7. , если вы хотите подключиться к прокси-серверу с использованием определенных учетных данных пользователя, установите флажок Использовать учетные данные пользователя для подключения к прокси-серверу , а затем введите имя пользователя, домен и пароль пользователя в соответствующем поле. коробки.если вы хотите включить базовую аутентификацию для пользователя, который подключается к прокси-серверу, установите флажок Разрешить базовую аутентификацию (пароль отправляется в виде открытого текста) .

8. Щелкните Далее . На странице Connect to Upstream Server нажмите start Connecting .

9. После подключения щелкните Далее , чтобы продолжить.

10. На странице Выберите языки у вас есть возможность выбрать языки, с которых WSUS будет получать обновления — все языки или подмножество языков.выбор подмножества языков позволит сэкономить дисковое пространство, но ВАЖНО выбрать все языки, которые необходимы всем клиентам этого сервера WSUS. если вы выбрали получение обновлений только для определенных языков, выберите Загружать обновления только на этих языках , а затем выберите языки, для которых вы хотите обновлять; в противном случае оставьте выбор по умолчанию.

    Предупреждение

    Если вы выбираете опцию Загружать обновления только на этих языках , и к этому серверу подключен подчиненный сервер WSUS, эта опция заставит подчиненный сервер также использовать только выбранные языки.

11. После выбора соответствующих языковых параметров для развертывания нажмите Далее , чтобы продолжить.

12. Страница Выбор продуктов позволяет указать продукты, для которых вы хотите обновить. выберите категории продуктов, например Windows, или определенные продукты, например Windows Server 2008. При выборе категории продукта выбираются все продукты в этой категории.

13. выберите соответствующие параметры продукта для вашего развертывания, а затем нажмите Далее .

14. На странице Выберите классификации выберите классификации обновлений, которые вы хотите получить. Выберите все классификации или их подмножество, а затем нажмите Далее .

15. На странице Set Sync Schedule вы можете выбрать, выполнять ли синхронизацию вручную или автоматически.

    • если вы выбрали Синхронизировать вручную , вы должны запустить процесс синхронизации из Консоли администрирования WSUS.

    • , если вы выберете Синхронизировать автоматически , сервер WSUS будет синхронизироваться через заданные интервалы.

    Задайте время для Первая синхронизация , а затем укажите количество Синхронизаций в день , которые вы хотите, чтобы этот сервер выполнял. Например, если вы укажете, что должно быть четыре синхронизации в день, начиная с 3:00 утра, синхронизации будут происходить в 3:00 утра, 9:00 утра, 15:00 и 9:00 вечера.М.

16. После выбора подходящих параметров синхронизации для вашего развертывания нажмите Далее , чтобы продолжить.

17. На странице Завершено у вас есть возможность начать синхронизацию сейчас, установив флажок Начать начальную синхронизацию . Если вы не выбрали этот параметр, вам необходимо использовать консоль управления WSUS для выполнения начальной синхронизации. Щелкните Далее , если вы хотите узнать больше о дополнительных настройках, или щелкните Завершить , чтобы завершить работу мастера и завершить начальную настройку WSUS.

18. После того, как вы нажмете Завершить , появится консоль управления WSUS.

Теперь, когда вы выполнили базовую настройку WSUS, прочтите следующие разделы для получения дополнительных сведений об изменении параметров с помощью консоли управления WSUS.

2.3. Настроить группы компьютеров WSUS

Группы компьютеров являются ВАЖНОЙ частью развертываний служб Windows Server Update Services (WSUS). Группы компьютеров позволяют тестировать и настраивать обновления для определенных компьютеров.По умолчанию существует две группы компьютеров: все компьютеры и неназначенные компьютеры. По умолчанию, когда каждый клиентский компьютер впервые обращается к серверу WSUS, сервер добавляет этот клиентский компьютер в обе эти группы.

Вы можете создать столько настраиваемых групп компьютеров, сколько вам нужно для управления обновлениями в вашей организации. Рекомендуется создать хотя бы одну группу компьютеров для тестирования обновлений, прежде чем развертывать их на других компьютерах в вашей организации.

Используйте следующую процедуру, чтобы создать новую группу и назначить компьютер в эту группу:

Для создания группы компьютеров

1. В консоли администрирования WSUS в разделе Update Services разверните сервер WSUS, разверните компьютеров , щелкните правой кнопкой мыши Все компьютеры , а затем щелкните , добавьте группу компьютеров .

2. В диалоговом окне добавить группу компьютеров в поле Имя укажите имя новой группы и щелкните затем добавить .

3. Щелкните компьютеров , а затем выберите компьютеры, которые вы хотите назначить этой новой группе.

4. Щелкните правой кнопкой мыши имена компьютеров, которые вы выбрали на предыдущем шаге, а затем щелкните , измените членство .

5. В диалоговом окне Установить членство в группе компьютеров выберите созданную вами тестовую группу и нажмите ОК .

2.4. Настроить обновления клиента

Программа установки WSUS автоматически настраивает IIS для распространения последней версии автоматического обновления на каждый клиентский компьютер, который обращается к серверу WSUS. Оптимальный способ настройки автоматического обновления зависит от сетевой среды.

• В среде, использующей службу каталогов Active Directory, можно использовать существующий объект групповой политики (GPO) на основе домена или создать новый GPO.

• В среде без активного каталога используйте редактор локальной групповой политики для настройки автоматического обновления, а затем укажите клиентские компьютеры на сервер WSUS.

Важно

В следующих процедурах предполагается, что в вашей сети работает активный каталог. Эти процедуры также предполагают, что вы знакомы с групповой политикой и используете ее для управления сетью.

Используйте следующие процедуры для настройки автоматического обновления для клиентских компьютеров:

Настроить автоматические обновления в групповой политике

Если вы настроили активный каталог в своей сети, вы можете настроить один или несколько компьютеров одновременно, включив их в объект групповой политики (GPO), а затем настроив этот GPO с параметрами WSUS.Мы рекомендуем вам создать новый объект групповой политики, содержащий только настройки WSUS.

Свяжите этот объект групповой политики WSUS с контейнером активного каталога, который подходит для вашей среды. В простой среде вы можете связать один объект групповой политики WSUS с доменом. В более сложной среде вы можете связать несколько объектов групповой политики WSUS с несколькими организационными единицами (OU), что позволит вам применять разные параметры политики WSUS к разным типам компьютеров.

Для включения WSUS через GPO домена

1. В консоли управления групповой политикой (GPMC) перейдите к объекту групповой политики, для которого вы хотите настроить WSUS, а затем щелкните , отредактируйте .

2. В консоли управления групповыми политиками разверните Конфигурация компьютера , разверните Политики , разверните Административные шаблоны , разверните Компоненты Windows , а затем щелкните Центр обновления Windows .

3. В области сведений дважды щелкните Настроить автоматическое обновление . Откроется политика Настроить автоматическое обновление .

4. Щелкните Включено , а затем выберите один из следующих параметров в разделе Настроить автоматическое обновление :

   • Уведомлять о загрузке и уведомлять об установке .Эта опция уведомляет вошедшего в систему администратора перед загрузкой и установкой обновлений.

   • Автоматическая загрузка и уведомление об установке . Эта опция автоматически начинает загрузку обновлений, а затем уведомляет вошедшего в систему администратора перед установкой обновлений. По умолчанию этот параметр выбран.

   • Автоматическая загрузка и планирование установки . Эта опция автоматически начинает загрузку обновлений, а затем устанавливает обновления в указанные вами день и время.

   • Разрешить локальному администратору выбирать настройку . Этот параметр позволяет локальным администраторам использовать автоматическое обновление на панели управления для выбора параметра конфигурации. Например, они могут выбрать время установки по расписанию. Локальные администраторы не могут отключить автоматическое обновление.

5. выберите Включить таргетинг на стороне клиента , выберите Включено , а затем введите имя группы компьютеров WSUS, в которую вы хотите добавить этот компьютер, в поле Имя целевой группы для этого компьютера .

   Примечание

   Включить таргетинг на стороне клиента позволяет клиентским компьютерам добавлять себя в группы целевых компьютеров на сервере WSUS, когда автоматические обновления перенаправляются на сервер WSUS. Если для статуса установлено значение «Включено», этот компьютер будет идентифицировать себя как член определенной группы компьютеров при отправке информации на сервер WSUS, который использует ее для определения, какие обновления развернуты на этом компьютере. Этот параметр указывает серверу WSUS, какую группу будет использовать клиентский компьютер.Вы должны создать группу на сервере WSUS и добавить в эту группу компьютеры, входящие в домен.

6. Нажмите ОК , чтобы закрыть Включить политику таргетинга на стороне клиента и вернуться на панель сведений Центра обновления Windows.

7. Нажмите ОК , чтобы закрыть политику Настроить автоматическое обновление и вернуться на панель сведений Центра обновления Windows.

8. На панели сведений Центра обновления Windows дважды щелкните Укажите расположение службы обновлений Майкрософт в интрасети .

9. Щелкните Включено , а затем сервер в Установите службу обновлений интрасети для обнаружения обновлений и Задайте текстовые поля сервера статистики интрасети , введите тот же URL-адрес сервера WSUS. Например, введите http: // servername в оба поля (где servername — это имя сервера WSUS).

   Предупреждение

   При вводе адреса в интрасети своего сервера WSUS обязательно укажите, какой порт будет использоваться.По умолчанию WSUS будет использовать порт 8530 для HTTP и 8531 для HTTPS. Например, если вы используете HTTP, вы должны ввести http: // servername: 8530 .

10. Щелкните ОК .

После настройки клиентского компьютера пройдет несколько минут, прежде чем компьютер появится на странице компьютеров в консоли администрирования WSUS. Для клиентских компьютеров, на которых настроен объект групповой политики на основе домена, групповая политика может занять около 20 минут, чтобы применить новые параметры политики к клиентскому компьютеру.По умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут со случайным смещением 0–30 минут. если вы хотите обновить групповую политику раньше, вы можете открыть окно командной строки на клиентском компьютере и ввести gpupdate / force.

для клиентских компьютеров, настроенных с помощью редактора локальной групповой политики, объект групповой политики применяется немедленно, а обновление занимает около 20 минут. если вы начинаете обнаружение вручную, вам не нужно ждать 20 минут, пока клиентский компьютер свяжется с WSUS.

Поскольку ожидание запуска обнаружения может занять много времени, вы можете использовать следующую процедуру для немедленного запуска обнаружения.

Для запуска обнаружения WSUS

1. На клиентском компьютере откройте окно командной строки с повышенными привилегиями.

2. введите wuauclt.exe / detectnow и нажмите клавишу ВВОД.

2,5. Защитите WSUS с помощью протокола Secure Sockets Layer Protocol

Вы можете использовать протокол Secure Sockets Layer (SSL) для защиты развертывания WSUS.WSUS использует SSL для проверки подлинности клиентских компьютеров и подчиненных серверов WSUS на сервере WSUS. WSUS также использует SSL для шифрования метаданных обновления.

Важно

Клиенты и нижестоящие серверы, которые настроены на использование TLS или HTTPS, также должны быть настроены на использование полного доменного имени (FQDN) для их вышестоящего сервера WSUS.

WSUS использует SSL только для метаданных, а не для файлов обновлений. Таким же образом Центр обновления Майкрософт распространяет обновления.Microsoft снижает риск отправки файлов обновлений по незашифрованному каналу, подписывая каждое обновление. Кроме того, для каждого обновления вычисляется и отправляется вместе с метаданными хэш. Когда обновление загружается, WSUS проверяет цифровую подпись и хэш. Если обновление было изменено, оно не устанавливается.

Ограничения развертываний SSL WSUS

При использовании SSL для защиты развертывания WSUS необходимо учитывать следующие ограничения:

1. Использование SSL увеличивает нагрузку на сервер.Следует ожидать 10-процентной потери производительности из-за затрат на шифрование всех метаданных, отправляемых по сети.

2. Если вы используете WSUS с удаленной базой данных SQL Server, соединение между сервером WSUS и сервером базы данных не защищено SSL. Если соединение с базой данных должно быть защищенным, примите во внимание следующие рекомендации:

• переместите базу данных WSUS на сервер WSUS.

• переместите удаленный сервер базы данных и сервер WSUS в частную сеть.

• развернуть систему безопасности Интернет-протокола (IPsec) для защиты сетевого трафика. Дополнительные сведения о IPsec см. В разделе Создание и использование политик IPsec.

Настроить SSL на сервере WSUS

WSUS требует два порта для SSL: один порт, который использует HTTPS для отправки зашифрованных метаданных, и один порт, который использует HTTP для отправки обновлений. При настройке WSUS для использования SSL учтите следующее:

• Вы не можете настроить для всего веб-сайта WSUS требование SSL, поскольку весь трафик на сайт WSUS должен быть зашифрован.WSUS шифрует только метаданные обновления. если компьютер попытается получить файлы обновлений через порт HTTPS, передача не удастся.

  Вам потребуется SSL только для следующих виртуальных корней:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • API remoting30

  • ClientWebService

  SSL не требуется для следующих виртуальных корней:

  • Содержание

  • Опись

  • ReportingWebService

  • Самостоятельное обновление

• Сертификат центра сертификации (ЦС) должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера или в хранилище доверенных корневых ЦС службы обновления Windows Server на подчиненных серверах WSUS.если сертификат импортируется только в хранилище доверенных корневых центров сертификации локального пользователя, подчиненный сервер WSUS не будет аутентифицирован на вышестоящем сервере.

  для получения дополнительных сведений об использовании сертификатов SSL в IIS, см. Требование уровня защищенных сокетов (IIS 7).

• Вы должны импортировать сертификат на все компьютеры, которые будут связываться с сервером WSUS. Сюда входят все клиентские компьютеры, подчиненные серверы и компьютеры, на которых запущена консоль администрирования WSUS.Сертификат следует импортировать в хранилище доверенных корневых ЦС локального компьютера или в хранилище доверенных корневых ЦС службы обновления Windows Server.

• Вы можете использовать любой порт для SSL. Однако порт, который вы настроили для SSL, также определяет порт, который WSUS использует для отправки чистого HTTP-трафика. Рассмотрим следующие примеры:

  • Если вы используете стандартный порт 443 для HTTPS-трафика, WSUS использует отраслевой стандартный порт 80 для чистого HTTP-трафика.

  • , если вы используете любой порт, отличный от 443 для HTTPS-трафика, WSUS будет отправлять чистый HTTP-трафик через порт, который численно предшествует порту для HTTPS. Например, если вы используете порт 8531 для HTTPS, WSUS будет использовать порт 8530 для HTTP.

• Вы должны повторно инициализировать ClientServicingProxy , если изменились имя сервера, конфигурация SSL или номер порта.

Для настройки SSL на корневом сервере WSUS

1. Войдите на сервер WSUS, используя учетную запись, которая является членом группы администраторов WSUS или локальной группы администраторов.

2. Перейдите к , начните , введите CMD , щелкните правой кнопкой мыши Командная строка , а затем щелкните Запуск от имени администратора .

3. Перейдите в папку % ProgramFiles% \ Update Services \ Tools \ .

4. В окне командной строки введите следующую команду:

   Wsusutil configuressl имя сертификата

   где:

   certificateName — это DNS-имя сервера WSUS.

Настроить SSL на клиентских компьютерах

При настройке SSL на клиентских компьютерах следует учитывать следующие проблемы:

• Необходимо включить URL-адрес безопасного порта на сервере WSUS. Поскольку вы не можете требовать SSL на сервере, единственный способ убедиться, что клиентские компьютеры могут использовать канал безопасности, — это использовать URL-адрес, который указывает HTTPS. если вы используете для SSL порт, отличный от 443, вы также должны включить этот порт в URL.

• Сертификат на клиентском компьютере должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера или в хранилище доверенных корневых ЦС службы автоматического обновления. если сертификат импортируется только в хранилище доверенных корневых центров сертификации локального пользователя, автоматическое обновление не сможет выполнить аутентификацию сервера.

• Клиентские компьютеры должны доверять сертификату, который вы привязываете к серверу WSUS. В зависимости от типа используемого сертификата может потребоваться настроить службу, чтобы клиентские компьютеры могли доверять сертификату, привязанному к серверу WSUS.

Настроить SSL для подчиненных серверов WSUS

Следующие инструкции настраивают подчиненный сервер для синхронизации с вышестоящим сервером, который использует SSL.

Для синхронизации нижестоящего сервера с вышестоящим сервером, использующим SSL

1. Войдите в систему, используя учетную запись пользователя, которая является членом локальной группы администраторов или группы администраторов WSUS.

2. Щелкните , запустите , щелкните Все программы , щелкните Администрирование , а затем щелкните Служба обновления Windows Server .

3. На правой панели разверните имя сервера.

4. Щелкните Параметры , а затем щелкните Источник обновлений и прокси-сервер .

5. На странице Источник обновлений выберите Синхронизировать с другим сервером служб обновления Windows Server .

6. введите имя вышестоящего сервера в текстовое поле Имя сервера . введите номер порта, который сервер использует для соединений SSL, в текстовое поле Номер порта .

7. установите флажок Использовать SSL при синхронизации информации об обновлении , а затем нажмите ОК .

Дополнительные ресурсы SSL

Действия, необходимые для настройки центра сертификации, привязки сертификата к веб-сайту WSUS и установления доверия между клиентскими компьютерами и сертификатом, выходят за рамки этого руководства. Дополнительные сведения и инструкции по установке сертификатов и настройке этой среды см. В следующих разделах:

2.6. Завершите настройку IIS

По умолчанию анонимный доступ для чтения включен для стандартного и всех новых веб-сайтов IIS. Некоторые приложения, особенно Windows SharePoint Services, могут блокировать анонимный доступ. если это произошло, необходимо повторно включить анонимный доступ для чтения, прежде чем вы сможете успешно установить и использовать WSUS.

Чтобы включить анонимный доступ для чтения, выполните действия для соответствующей версии IIS:

1. Включите анонимную аутентификацию (IIS 7), как описано в Руководстве по эксплуатации IIS 7.

2. Включение анонимной аутентификации (IIS 6.0), как описано в Руководстве по эксплуатации IIS 6.0.

2.7. Настроить сертификат подписи

WSUS имеет возможность публиковать настраиваемые пакеты обновлений для обновления продуктов Microsoft и сторонних производителей. WSUS может автоматически подписывать эти настраиваемые пакеты обновлений сертификатом Authenticode. Чтобы включить настраиваемую подпись обновлений, необходимо установить сертификат подписи пакета на сервере WSUS.Есть несколько соображений, связанных с настраиваемой подписью обновлений.

1. Распространение сертификатов . Закрытый ключ должен быть установлен на сервере WSUS, а открытый ключ должен быть явно установлен в хранилище доверенных сертификатов на всех клиентских компьютерах и серверах, которые должны получать обновления, подписанные пользователем.

2. Срок действия . Когда срок действия самозаверяющего сертификата истекает или приближается к истечению, WSUS регистрирует события в журнале событий.

3. Обновление / отзыв сертификата . если вы хотели обновить или отозвать сертификат (то есть после обнаружения истечения срока его действия), WSUS не предлагал никаких функций, позволяющих это сделать. Выполнение этого превратилось в ручную задачу, которую было очень сложно выполнить вручную или успешно автоматизировать.

.

Начало работы со службами обновления Windows Server (WSUS)

• 22.05.2017
• 3 минуты на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Windows Server Update Services (WSUS) позволяет администраторам информационных технологий развертывать последние обновления продуктов Microsoft.Вы можете использовать WSUS для полного управления распространением обновлений, выпускаемых через Центр обновления Майкрософт, на компьютеры в вашей сети. В этом разделе представлен обзор этой роли сервера и дополнительная информация о том, как развертывать и поддерживать WSUS.

Описание роли сервера WSUS

Сервер WSUS предоставляет функции, которые можно использовать для управления и распространения обновлений через консоль управления. Сервер WSUS также может быть источником обновлений для других серверов WSUS в организации.Сервер WSUS, который действует как источник обновлений, называется вышестоящим сервером. В реализации WSUS по крайней мере один сервер WSUS в вашей сети должен иметь возможность подключиться к Центру обновления Майкрософт для получения доступной информации об обновлениях. Как администратор, вы можете определить — в зависимости от сетевой безопасности и конфигурации — сколько других серверов WSUS подключаются непосредственно к Центру обновления Майкрософт.

Практическое применение

Управление обновлениями — это процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в производственных средах.Он помогает поддерживать эффективность работы, преодолевать уязвимости системы безопасности и поддерживать стабильность производственной среды. Если ваша организация не может определить и поддерживать известный уровень доверия к своим операционным системам и прикладному программному обеспечению, у нее может быть ряд уязвимостей безопасности, использование которых может привести к потере доходов и интеллектуальной собственности. Для минимизации этой угрозы необходимо правильно настроить системы, использовать новейшее программное обеспечение и установить рекомендуемые обновления программного обеспечения.

Основными сценариями, в которых WSUS повышает ценность вашего бизнеса, являются:

Новый и измененный функционал

Примечание

Для обновления любой версии Windows Server, поддерживающей WSUS 3.2, до Windows Server 2012 R2 необходимо сначала удалить WSUS 3.2.

В Windows Server 2012 обновление любой версии Windows Server с установленным WSUS 3.2 блокируется во время процесса установки, если обнаруживается WSUS 3.2. В этом случае вам будет предложено сначала удалить службы Windows Server Update Services перед обновлением сервера.

Однако из-за изменений в этом выпуске Windows Server и Windows Server 2012 R2 при обновлении с любой версии Windows Server и WSUS 3.2 установка не блокируется. Если не удалить WSUS 3.2 перед обновлением Windows Server 2012 R2, это приведет к сбою задач после установки WSUS в Windows Server 2012 R2. В этом случае единственная известная мера по исправлению — отформатировать жесткий диск и переустановить Windows Server.

Windows Server Update Services — это встроенная роль сервера, которая включает следующие улучшения:

• Может быть добавлено и удалено с помощью диспетчера сервера

• Включает командлеты Windows PowerShell для управления наиболее важными административными задачами в WSUS

• Добавляет возможность хеширования SHA256 для дополнительной безопасности

• Обеспечивает разделение клиента и сервера: версии агента обновления Windows (WUA) могут поставляться независимо от WSUS

Использование Windows PowerShell для управления WSUS

Чтобы системные администраторы могли автоматизировать свои операции, им необходимо покрытие с помощью автоматизации из командной строки.Основная цель — облегчить администрирование WSUS, позволяя системным администраторам автоматизировать свои повседневные операции.

Какую ценность добавляет это изменение?

Предоставляя доступ к основным операциям WSUS через Windows PowerShell, системные администраторы могут повысить производительность, сократить время обучения новым инструментам и уменьшить количество ошибок из-за несбывшихся ожиданий, возникающих из-за отсутствия согласованности в аналогичных операциях.

Что по другому работает?

В более ранних версиях операционной системы Windows Server не было командлетов Windows PowerShell, и автоматизация управления обновлениями была сложной задачей.Командлеты Windows PowerShell для операций WSUS добавляют гибкости и маневренности системному администратору.

В коллекции

В эту коллекцию входят следующие руководства по планированию, развертыванию и управлению WSUS:

.

Спланируйте развертывание WSUS | Документы Microsoft

• 24.05.2018
• 29 минут на чтение

В этой статье

Применимо к: Windows Server 2019, Windows Server (полугодовой канал), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Первым шагом в развертывании служб Windows Server Update Services (WSUS) является принятие важных решений, таких как выбор сценария развертывания WSUS, выбор топологии сети и понимание системных требований.В следующем контрольном списке перечислены этапы подготовки к развертыванию.

1.1. Обзор соображений и системных требований

Системные требования

Требования к оборудованию и программному обеспечению баз данных зависят от количества обновляемых клиентских компьютеров в вашей организации. Перед включением роли сервера WSUS убедитесь, что сервер соответствует системным требованиям, и подтвердите, что у вас есть необходимые разрешения для завершения установки, следуя следующим рекомендациям:

Примечание

В этих рекомендациях предполагается, что клиенты WSUS синхронизируются с сервером каждые восемь часов для 30 000 клиентов.Если они будут синхронизироваться чаще, будет соответствующее увеличение нагрузки на сервер.

• Требования к программному обеспечению:

• Если вы устанавливаете роли или обновления программного обеспечения, которые требуют перезапуска сервера после завершения установки, перезапустите сервер перед включением роли сервера WSUS.

• Microsoft .NET Framework 4.0 должен быть установлен на сервере, на котором будет установлена ​​роль сервера WSUS.

• Учетная запись NT Authority \ Network Service должна иметь разрешения полного доступа для следующих папок, чтобы оснастка администрирования WSUS отображалась правильно:

• Убедитесь, что учетная запись, которую вы планируете использовать для установки WSUS, является членом группы локальных администраторов.

Рекомендации по установке

В процессе установки WSUS по умолчанию установит следующее:

• .NET API и командлеты Windows PowerShell

• Внутренняя база данных Windows (WID), которая используется WSUS

• Службы, используемые WSUS, а именно:

  • Служба обновления

  • Веб-служба отчетов

  • Клиентская веб-служба

  • Веб-служба простой веб-аутентификации

  • Служба синхронизации сервера

  • Веб-служба аутентификации DSS

Возможности по запросу

Имейте в виду, что настройка клиентских компьютеров (включая серверы) для обновления с помощью WSUS приведет к следующим ограничениям:

1. Роли сервера, для которых была удалена полезная нагрузка с помощью функций по запросу, нельзя установить по запросу из Центра обновления Майкрософт.Вы должны либо предоставить источник установки при попытке установить такие роли сервера, либо настроить источник для функций по запросу в групповой политике.

2. Клиентские выпуски Windows не смогут устанавливать .NET 3.5 по запросу из Интернета. Те же соображения, что и роли сервера, применимы к .NET 3.5.

3. Корпоративные устройства под управлением Windows 10 версии 1709 или 1803 не могут устанавливать какие-либо компоненты по запросу непосредственно из WSUS. Чтобы установить компоненты по запросу, создайте файл функций (параллельное хранилище) или получите пакет функций по запросу из одного из следующих источников:

Требования к базе данных WSUS

WSUS требует одну из следующих баз данных:

WSUS поддерживает следующие выпуски SQL Server:

• Стандартный

• Предприятие

• Экспресс

Примечание

SQL Server Express 2008 R2 имеет ограничение на размер базы данных в 10 ГБ.Этого размера базы данных, вероятно, будет достаточно для WSUS, хотя использование этой базы данных вместо WID не дает заметных преимуществ. База данных WID имеет минимальные требования к оперативной памяти на 2 ГБ сверх стандартных системных требований Windows Server.

Вы можете установить роль WSUS на компьютер, отдельный от компьютера сервера базы данных. В этом случае применяются следующие дополнительные критерии:

1. Сервер базы данных нельзя настроить как контроллер домена.

2. Сервер WSUS не может запускать службы удаленных рабочих столов.

3. Сервер базы данных должен находиться в том же домене активного каталога, что и сервер WSUS, или он должен иметь доверительные отношения с доменом активного каталога сервера WSUS.

4. Сервер WSUS и сервер базы данных должны находиться в одном часовом поясе или быть синхронизированы с одним и тем же источником всемирного координированного времени (время по Гринвичу).

1.2. Выберите сценарий развертывания WSUS

.

В этом разделе описаны основные функции всех развертываний WSUS. Используйте этот раздел, чтобы ознакомиться с простым развертыванием с одним сервером WSUS в дополнение к более сложным сценариям, таким как иерархия серверов WSUS или сервер WSUS в изолированном сегменте сети.

Простое развертывание WSUS

Самое простое развертывание WSUS состоит из сервера внутри корпоративного брандмауэра, который обслуживает клиентские компьютеры в частной интрасети.Сервер WSUS подключается к Центру обновления Майкрософт для загрузки обновлений. Это известно как синхронизация . Во время синхронизации WSUS определяет, были ли доступны какие-либо новые обновления с момента последней синхронизации. Если вы синхронизируете WSUS впервые, все обновления доступны для загрузки.

Примечание

Первоначальная синхронизация может занять более часа. Все синхронизации после этого должны быть значительно быстрее.

По умолчанию сервер WSUS использует порт 80 для протокола HTTP и порт 443 для протокола HTTPS для получения обновлений от Microsoft.Если между вашей сетью и Интернетом установлен корпоративный брандмауэр, вам придется открыть эти порты на сервере, который напрямую взаимодействует с Центром обновления Майкрософт. Если вы планируете использовать настраиваемые порты для этого обмена данными, вы должны вместо этого открыть эти порты. Вы можете настроить несколько серверов WSUS для синхронизации с родительским сервером WSUS. По умолчанию сервер WSUS использует порт 8530 для протокола HTTP и порт 8531 для протокола HTTPS для предоставления обновлений клиентским рабочим станциям.

Несколько серверов WSUS

Администраторы могут развернуть несколько серверов с запущенными WSUS, которые синхронизируют весь контент в интрасети своей организации.Вы можете предоставить доступ к Интернету только одному серверу, который будет единственным сервером, загружающим обновления из Центра обновления Майкрософт. Этот сервер настроен как вышестоящий сервер, с которым синхронизируются подчиненные серверы. Когда возможно, серверы могут быть расположены по всей географически разнесенной сети, чтобы обеспечить наилучшее соединение для всех клиентских компьютеров.

Отключен сервер WSUS

Если корпоративная политика или другие условия ограничивают доступ компьютера к Интернету, администраторы могут настроить внутренний сервер для запуска WSUS.Примером этого является сервер, который подключен к интрасети, но изолирован от Интернета. После загрузки, тестирования и утверждения обновлений на этом сервере администратор экспортирует метаданные и содержимое обновления на DVD. Метаданные и контент обновления импортируются с DVD на серверы, на которых запущены WSUS в интрасети.

Иерархии серверов WSUS

Вы можете создавать сложные иерархии серверов WSUS. Поскольку вы можете синхронизировать один сервер WSUS с другим сервером WSUS, а не с Центром обновления Майкрософт, вам потребуется только один сервер WSUS, подключенный к Центру обновления Майкрософт.Когда вы связываете серверы WSUS вместе, появляется вышестоящий сервер WSUS и подчиненный сервер WSUS. Развертывание иерархии серверов WSUS дает следующие преимущества:

• Вы можете загрузить обновления один раз из Интернета, а затем распространить обновления на клиентские компьютеры с помощью подчиненных серверов. Этот метод экономит пропускную способность корпоративного Интернет-соединения.

• Вы можете загружать обновления на сервер WSUS, который физически находится ближе к клиентским компьютерам, например, в филиалах.

• Вы можете настроить отдельные серверы WSUS для обслуживания клиентских компьютеров, использующих разные языки продуктов Microsoft.

• WSUS можно масштабировать для крупной организации, у которой больше клиентских компьютеров, чем может эффективно управлять один сервер WSUS.

Примечание

Мы не рекомендуем создавать иерархию серверов WSUS более трех уровней. Каждый уровень добавляет время для распространения обновлений на подключенные серверы.Хотя теоретических ограничений для иерархии нет, Microsoft тестировала только развертывания с пятиуровневой иерархией.

Кроме того, подчиненные серверы должны иметь ту же версию или более раннюю версию WSUS, что и исходный сервер синхронизации.

Вы можете подключать серверы WSUS в автономном режиме (для обеспечения распределенного администрирования) или в режиме реплики (для достижения централизованного администрирования). Вам не нужно развертывать иерархию серверов, использующую только один режим: вы можете развернуть решение WSUS, которое использует как автономные, так и реплики серверов WSUS.

Автономный режим

Автономный режим, также называемый распределенным администрированием, является вариантом установки WSUS по умолчанию. В автономном режиме вышестоящий сервер WSUS обменивается обновлениями с подчиненными серверами во время синхронизации. Нижестоящие серверы WSUS администрируются отдельно, и они не получают информацию о состоянии утверждения обновления или группе компьютеров от вышестоящего сервера. Используя модель распределенного управления, каждый администратор сервера WSUS выбирает языки обновления, создает группы компьютеров, назначает компьютеры группам, тестирует и утверждает обновления и обеспечивает установку правильных обновлений в соответствующие группы компьютеров.

Режим реплики

Режим реплики, также называемый централизованным администрированием, работает за счет наличия вышестоящего сервера WSUS, который делится обновлениями, статусом утверждения и группами компьютеров с подчиненными серверами. Серверы-реплики наследуют утверждения обновлений и не администрируются отдельно от вышестоящего сервера WSUS.

Примечание

Если вы настроили несколько серверов-реплик для подключения к одному вышестоящему серверу WSUS, не планируйте одновременное выполнение синхронизации на каждом сервере-реплике.Такая практика позволит избежать внезапных скачков в использовании полосы пропускания.

Филиалы

Вы можете использовать функцию Branch Office в Windows для оптимизации развертывания WSUS. Этот тип развертывания дает следующие преимущества:

1. помогает снизить использование канала WAN и улучшает скорость отклика приложений. Чтобы включить ускорение BranchCache содержимого, обслуживаемого сервером WSUS, установите компонент BranchCache на сервере и клиентах и ​​убедитесь, что служба BranchCache запущена.Никаких других шагов не требуется.

2. В филиалах, которые имеют низкоскоростные соединения с центральным офисом, но высокоскоростные соединения с Интернетом, также можно использовать функцию Branch Office. В этом случае вы можете настроить подчиненные серверы WSUS для получения информации о том, какие обновления устанавливать с центрального сервера WSUS, но загрузите обновления из Центра обновления Майкрософт.

Балансировка сетевой нагрузки

Network Load Balancing (NLB) увеличивает надежность и производительность вашей сети WSUS.Вы можете настроить несколько серверов WSUS, которые совместно используют один отказоустойчивый кластер под управлением SQL Server, например SQL Server 2008 R2 SP1. В этой конфигурации вы должны использовать полную установку SQL Server, а не установку внутренней базы данных Windows, предоставляемую WSUS, а роль базы данных должна быть установлена ​​на всех интерфейсных серверах WSUS. Вы также можете сделать так, чтобы все серверы WSUS использовали распределенную файловую систему (DFS) для хранения своего содержимого.

Настройка WSUS для NLB: по сравнению с WSUS 3.2 для NLB, специальный вызов настройки и параметры больше не требуются для настройки WSUS для NLB. Вам нужно только настроить каждый сервер WSUS, учитывая следующие соображения.

• WSUS необходимо настроить с использованием параметра базы данных SQL вместо WID.

• При локальном хранении обновлений одна и та же папка содержимого должна совместно использоваться серверами WSUS, которые используют одну и ту же базу данных SQL.

• Настройка WSUS должна выполняться последовательно.Задачи после установки нельзя запускать на нескольких серверах одновременно при использовании одной и той же базы данных SQL.

Развертывание WSUS с перемещаемыми клиентскими компьютерами

Если сеть включает мобильных пользователей, которые входят в сеть из разных мест, вы можете настроить WSUS, чтобы позволить перемещаемым пользователям обновлять свои клиентские компьютеры с сервера WSUS, который находится ближе всего к ним географически. Например, вы можете развернуть по одному серверу WSUS в каждом регионе и использовать разные подсети DNS для каждого региона.Все клиентские компьютеры могут быть направлены на один и тот же сервер WSUS, который разрешает в каждой подсети ближайший физический сервер WSUS.

1,3. Выберите стратегию хранения WSUS

Windows Server Update Services (WSUS) использует два типа систем хранения: базу данных для хранения конфигурации WSUS и метаданных обновления и дополнительную локальную файловую систему для хранения файлов обновлений. Перед установкой WSUS вы должны решить, как вы хотите реализовать хранилище.

Обновления

состоят из двух частей: метаданных, описывающих обновление, и файлов, необходимых для установки обновления.Метаданные обновления обычно намного меньше, чем фактическое обновление, и хранятся в базе данных WSUS. Файлы обновлений хранятся на локальном сервере WSUS или на веб-сервере Microsoft Update.

База данных WSUS

WSUS требует базы данных для каждого сервера WSUS. WSUS поддерживает использование базы данных, которая находится на другом компьютере, чем сервер WSUS, с некоторыми ограничениями. Список поддерживаемых баз данных и ограничений удаленных баз данных см. В разделе 1.1 Обзор начальных рекомендаций и требований к системе в этом руководстве.

В базе данных WSUS хранится следующая информация:

• Информация о конфигурации сервера WSUS

• Метаданные, описывающие каждое обновление

• Информация о клиентских компьютерах, обновлениях и взаимодействиях

При установке нескольких серверов WSUS необходимо поддерживать отдельную базу данных для каждого сервера WSUS, независимо от того, является ли он автономным или сервером-репликой. Вы не можете хранить несколько баз данных WSUS на одном экземпляре SQL Server, за исключением кластеров балансировки сетевой нагрузки (NLB), которые используют отработку отказа SQL Server.

SQL Server, SQL Server Express и внутренняя база данных Windows обеспечивают одинаковые характеристики производительности для конфигурации с одним сервером, где база данных и служба WSUS расположены на одном компьютере. Конфигурация с одним сервером может поддерживать несколько тысяч клиентских компьютеров WSUS.

Примечание

Не пытайтесь управлять WSUS путем прямого доступа к базе данных. непосредственное управление базой данных может вызвать повреждение базы данных. Повреждение может быть не сразу очевидным, но оно может помешать обновлению продукта до следующей версии.Вы можете управлять WSUS с помощью консоли WSUS или интерфейсов прикладного программирования (API) WSUS.

WSUS с внутренней базой данных Windows

По умолчанию мастер установки создает и использует внутреннюю базу данных Windows с именем SUSDB.mdf. Эта база данных находится в папке% windir% \ wid \ data \, где% windir% — это локальный диск, на котором установлено программное обеспечение сервера WSUS.

Примечание

Внутренняя база данных Windows (WID) была представлена ​​в Windows Server 2008.

WSUS поддерживает проверку подлинности Windows только для базы данных. Вы не можете использовать проверку подлинности SQL Server с WSUS. Если вы используете внутреннюю базу данных Windows для базы данных WSUS, программа установки WSUS создает экземпляр SQL Server с именем server \ Microsoft ## WID, где server — это имя компьютера. При любом варианте базы данных программа установки WSUS создает базу данных с именем SUSDB. Имя этой базы данных не может быть изменено.

Мы рекомендуем использовать внутреннюю базу данных Windows в следующих случаях:

• Организация еще не приобрела и не требует продукта SQL Server для других приложений.

• Организации не требуется решение NLB WSUS.

• Вы собираетесь развернуть несколько серверов WSUS (например, в филиалах). В этом случае вам следует рассмотреть возможность использования внутренней базы данных Windows на вторичных серверах, даже если вы будете использовать SQL Server для корневого сервера WSUS. Поскольку каждому серверу WSUS требуется отдельный экземпляр SQL Server, вы быстро столкнетесь с проблемами производительности базы данных, если только один экземпляр SQL Server будет обрабатывать несколько серверов WSUS.

Внутренняя база данных Windows не предоставляет пользовательский интерфейс или какие-либо инструменты управления базами данных. Если вы выбираете эту базу данных для WSUS, вы должны использовать внешние инструменты для управления базой данных. Для получения дополнительной информации см .:

WSUS с SQL Server

Мы рекомендуем использовать SQL Server с WSUS в следующих случаях:

1. Вам требуется решение NLB WSUS.

2. У вас уже установлен хотя бы один экземпляр SQL Server.

3. Невозможно запустить службу SQL Server под локальной несистемной учетной записью или с помощью проверки подлинности SQL Server. WSUS поддерживает только проверку подлинности Windows.

Хранилище обновлений WSUS

Когда обновления синхронизируются с вашим сервером WSUS, файлы метаданных и обновлений хранятся в двух разных местах. Метаданные хранятся в базе данных WSUS. Файлы обновлений могут храниться на вашем сервере WSUS или на серверах Центра обновления Майкрософт, в зависимости от того, как вы настроили параметры синхронизации.Если вы решите хранить файлы обновлений на своем сервере WSUS, клиентские компьютеры будут загружать утвержденные обновления с локального сервера WSUS. В противном случае клиентские компьютеры будут загружать утвержденные обновления непосредственно из Центра обновления Майкрософт. Вариант, наиболее подходящий для вашей организации, будет зависеть от пропускной способности сети для доступа в Интернет, пропускной способности сети в интрасети и доступности локального хранилища.

Вы можете выбрать другое решение для хранения обновлений для каждого развертываемого сервера WSUS.

Локальное хранилище сервера WSUS

Локальное хранилище файлов обновлений — это вариант по умолчанию при установке и настройке WSUS.Этот параметр может сэкономить полосу пропускания при корпоративном подключении к Интернету, поскольку клиентские компьютеры загружают обновления непосредственно с локального сервера WSUS.

Этот вариант требует, чтобы на сервере было достаточно дискового пространства для хранения всех необходимых обновлений. как минимум, WSUS требуется 20 ГБ для локального хранения обновлений; однако мы рекомендуем 30 ГБ на основе проверенных переменных.

Удаленное хранилище на серверах Центра обновления Майкрософт

Вы можете хранить обновления удаленно на серверах Microsoft Update.Этот параметр полезен, если большинство клиентских компьютеров подключаются к серверу WSUS через медленное соединение WAN, но они подключаются к Интернету через соединение с высокой пропускной способностью.

В этом случае корневой сервер WSUS синхронизируется с Центром обновления Майкрософт и получает метаданные обновления. После утверждения обновлений клиентские компьютеры загружают утвержденные обновления с серверов Центра обновления Майкрософт.

1,4. Выберите язык обновления WSUS

При развертывании иерархии серверов WSUS вы должны определить, какие языковые обновления требуются для всей организации.Вы должны настроить корневой сервер WSUS для загрузки обновлений на всех языках, которые используются во всей организации.

Например, для главного офиса могут потребоваться обновления на английском и французском языках, но для одного филиала требуются обновления для английского, французского и немецкого языков, а для другого филиала — обновления для английского и испанского языков. В этой ситуации вы должны настроить корневой сервер WSUS для загрузки обновлений на английском, французском, немецком и испанском языках. Затем вы должны настроить WSUS-сервер первого филиала для загрузки обновлений только на английском, французском и немецком языках, а второй филиал — для загрузки обновлений только на английском и испанском языках.

Страница Выбор языков мастера настройки WSUS позволяет получать обновления со всех языков или с подмножества языков. выбор подмножества языков позволяет сэкономить дисковое пространство, но ВАЖНО выбрать все языки, которые необходимы всем подчиненным серверам и клиентским компьютерам сервера WSUS.

Ниже приведены ВАЖНЫЕ примечания о языке обновления, которые следует учитывать перед настройкой этого параметра:

• Всегда включайте английский в дополнение к любым другим языкам, которые требуются в вашей организации.Все обновления основаны на английских языковых пакетах.

• Последующие серверы и клиентские компьютеры не будут получать все необходимые обновления, если вы не выбрали все необходимые языки для вышестоящего сервера. Убедитесь, что вы выбрали все языки, которые понадобятся всем клиентским компьютерам, связанным со всеми нижестоящими серверами.

• Обычно вам следует загружать обновления на всех языках на корневой сервер WSUS, который синхронизируется с Центром обновления Майкрософт.Этот выбор гарантирует, что все последующие серверы и клиентские компьютеры будут получать обновления на требуемых языках.

Если вы храните обновления локально и настроили сервер WSUS для загрузки обновлений на ограниченном количестве языков, вы можете заметить, что есть обновления на языках, отличных от указанных вами. Многие файлы обновлений представляют собой пакеты для нескольких разных языков, которые включают по крайней мере один из языков, указанных на сервере.

Серверы восходящего потока

Примечание

Настройте вышестоящие серверы для синхронизации обновлений на всех языках, которые требуются нижестоящим серверам реплик. Вы не будете получать уведомления о необходимых обновлениях на несинхронизированных языках.

Обновления

будут отображаться как Неприменимо на клиентских компьютерах, которым требуется этот язык. Чтобы этого избежать, убедитесь, что все языки операционной системы включены в параметры синхронизации вашего сервера WSUS.Вы можете увидеть все языки операционной системы, перейдя в представление компьютеров консоли администрирования WSUS и отсортировав компьютеры по языку операционной системы. Однако вы можете захотеть включить больше языков, если есть приложения Microsoft на нескольких языках (например, если французская версия Microsoft Word установлена ​​на некоторых компьютерах, которые используют английскую версию Windows 8.

Выбор языков для вышестоящего сервера — это не то же самое, что выбор языков для подчиненного сервера.Следующие процедуры объясняют различия.

Чтобы выбрать языки обновления для сервера, синхронизируемого с Microsoft Update

1. В мастере настройки WSUS:

   • Чтобы получать обновления на всех языках, щелкните Загрузить обновления на всех языках, включая новые языки .

   • Чтобы получать обновления только для определенных языков, нажмите Загрузить обновления только на этих языках , а затем выберите языки, для которых вы хотите обновления.

Выбор языков обновления для подчиненного сервера

1. Если вышестоящий сервер был настроен для загрузки файлов обновлений на подмножестве языков: В мастере настройки WSUS щелкните Загружать обновления только на этих языках (вышестоящий сервер поддерживает только языки, отмеченные звездочкой) , и затем выберите языки, для которых вы хотите обновить.

Примечание

Вы должны сделать это, даже если хотите, чтобы нижестоящий сервер загружал те же языки, что и вышестоящий сервер.

2. Если вышестоящий сервер был настроен для загрузки файлов обновлений на всех языках: В мастере настройки WSUS щелкните Загрузить обновления на всех языках, поддерживаемых вышестоящим сервером .

Примечание

Вы должны сделать это, даже если хотите, чтобы нижестоящий сервер загружал те же языки, что и вышестоящий сервер. Этот параметр заставляет вышестоящий сервер загружать обновления на всех языках, включая языки, которые не были изначально настроены для вышестоящего сервера.Если вы добавляете языки на вышестоящий сервер, вы должны скопировать новые обновления на его серверы-реплики.

Изменение языковых опций только на вышестоящем сервере может вызвать несоответствие между количеством обновлений, утвержденных на центральном сервере, и количеством обновлений, утвержденных на серверах-репликах.

1,5. Планирование групп компьютеров WSUS

WSUS позволяет направлять обновления на группы клиентских компьютеров, поэтому вы можете гарантировать, что определенные компьютеры всегда будут получать нужные обновления в наиболее удобное время.Например, если все компьютеры в одном отделе (например, бухгалтерии) имеют определенную конфигурацию, вы можете создать группу для этой группы, решить, какие обновления нужны их компьютерам и в какое время они должны быть установлены, а затем использовать WSUS. отчеты для оценки обновлений для команды.

Примечание

Если сервер WSUS работает в режиме реплики, группы компьютеров не могут быть созданы на этом сервере. Все группы компьютеров, необходимые для клиентских компьютеров сервера-реплики, должны быть созданы на сервере WSUS, который является корнем иерархии серверов WSUS.Дополнительные сведения о режиме реплики см. В разделе Управление серверами реплик WSUS Управление серверами реплик WSUS в Руководстве по эксплуатации WSUS 3.0 с пакетом обновления 2 (SP2).

Компьютеры всегда назначаются группе Все компьютеры и остаются назначенными группе Неназначенные компьютеры , пока вы не назначите их другой группе. Компьютеры могут принадлежать более чем к одной группе.

Группы компьютеров могут быть настроены в иерархии (например, группа «Расчет заработной платы» и группа «Счета к оплате» под группой «Учет и отчетность»).Обновления, одобренные для более высокой группы, будут автоматически развернуты в более низкие группы в дополнение к более высокой группе. В этом примере, если вы утвердите Update1 для группы «Учет», обновление будет развернуто на всех компьютерах в группе «Учет», на всех компьютерах в группе «Расчет заработной платы» и на всех компьютерах в группе «Счета к оплате».

Поскольку компьютеры могут быть отнесены к нескольким группам, одно обновление может быть утверждено более одного раза для одного и того же компьютера.Однако обновление будет развернуто только один раз, и все конфликты будут разрешены сервером WSUS. Чтобы продолжить предыдущий пример, если компьютер A назначен группе «Расчет заработной платы» и группе «Счета к оплате», а Update1 утвержден для обеих групп, он будет развернут только один раз.

Вы можете назначать компьютеры в группы компьютеров, используя один из двух методов: нацеливание на стороне сервера или нацеливание на стороне клиента. Ниже приведены определения для каждого метода:

• Таргетинг на стороне сервера : вы вручную назначаете один или несколько клиентских компьютеров нескольким группам одновременно.

• Таргетинг на стороне клиента : вы используете групповую политику или редактируете параметры реестра на клиентских компьютерах, чтобы позволить этим компьютерам автоматически добавлять себя в ранее созданные группы компьютеров.

Разрешение конфликтов

Сервер применяет следующие правила для разрешения конфликтов и определения результирующих действий на клиентах:

1. Приоритет

2. Установить / удалить

3. Срок

Приоритет

Действия, связанные с группой с наивысшим приоритетом, отменяют действия других групп.Чем глубже группа находится в иерархии групп, тем выше ее приоритет. Приоритет присваивается только по глубине; все ветви имеют равный приоритет. Например, группа, находящаяся на двух уровнях ниже ветви «Рабочие столы», имеет более высокий приоритет, чем группа, находящаяся на одном уровне ниже ветви «Сервер».

В следующем примере текста панели иерархии консоли служб обновления для сервера WSUS с именем WSUS-01 группы компьютеров с именами Настольные компьютеры и Сервер были добавлены в группу по умолчанию Все компьютеры .И настольные компьютеры, и группы серверов находятся на одном иерархическом уровне.

• Службы обновления

  • WSUS-01

    • Обновления

    • компьютеров

      • Все компьютеры

        • Нераспределенные компьютеры

        • Настольные компьютеры

        • Серверы

    • Серверы нижнего уровня

    • Синхронизация

    • Отчеты

    • Опции

В этом примере группа двух уровней ниже ветви настольных компьютеров (рабочие столы L2) имеет более высокий приоритет, чем группа первого уровня ниже ветви сервера (серверы L1).Соответственно, для компьютера, который входит как в группы «Рабочие столы-L2», так и в группы «Серверы-L1», все действия для группы «Рабочие столы-L2» имеют приоритет над действиями, указанными для группы «Серверы-L1».

Приоритет установки и удаления

Действия по установке отменяют действия по удалению. Обязательные установки переопределяют необязательные установки (необязательные установки доступны только через API, а изменение утверждения обновления с помощью консоли администрирования WSUS приведет к отмене всех необязательных утверждений.)

Приоритет сроков

Действия, у которых есть крайний срок, отменяют действия без крайнего срока. Действия с более ранними сроками отменяют действия с более поздними сроками.

1,6. Планирование производительности WSUS

Есть некоторые области, которые следует тщательно спланировать перед развертыванием WSUS, чтобы можно было оптимизировать производительность. Ключевые направления:

Настройка сети

Чтобы оптимизировать производительность в сетях WSUS, примите во внимание следующие предложения:

1. Настройте сети WSUS в топологии «звездочка», а не в иерархической топологии.

2. Используйте порядок маски сети DNS для перемещаемых клиентских компьютеров и настройте перемещаемые клиентские компьютеры для получения обновлений с локального сервера WSUS.

Отложенная загрузка

Вы можете утверждать обновления и загружать метаданные обновлений перед загрузкой файлов обновлений; этот метод называется отложенными загрузками . Когда вы откладываете загрузку, обновление загружается только после его утверждения. Мы рекомендуем вам отложить загрузку, поскольку это оптимизирует пропускную способность сети и дисковое пространство.

В иерархии серверов WSUS WSUS автоматически настраивает все подчиненные серверы на использование параметра отложенной загрузки корневого сервера WSUS. Вы можете изменить эту настройку по умолчанию. Например, вы можете настроить вышестоящий сервер для выполнения полной немедленной синхронизации, а затем настроить нижестоящий сервер для отсрочки загрузки.

Если вы развертываете иерархию подключенных серверов WSUS, мы рекомендуем не размещать серверы глубоко. Если вы включаете отложенные загрузки, и нижестоящий сервер запрашивает обновление, которое не одобрено на вышестоящем сервере, запрос нижестоящего сервера вызывает загрузку на вышестоящий сервер.Затем подчиненный сервер загружает обновление при последующей синхронизации. В глубокой иерархии серверов WSUS могут возникать задержки, поскольку обновления запрашиваются, загружаются и затем проходят через иерархию серверов. По умолчанию отложенные загрузки включены при локальном хранении обновлений. Вы можете изменить этот параметр вручную.

Фильтры

WSUS позволяет фильтровать синхронизации обновлений по языку, продукту и классификации. В иерархии серверов WSUS WSUS автоматически настраивает все подчиненные серверы на использование параметров фильтрации обновлений, выбранных на корневом сервере WSUS.Вы можете перенастроить серверы загрузки, чтобы получать только часть языков.

По умолчанию обновляются продукты Windows и Office, а классификация по умолчанию — Критические обновления, Обновления безопасности и Обновления определений. Чтобы сэкономить полосу пропускания и дисковое пространство, мы рекомендуем ограничить количество языков теми, которые вы действительно используете.

Установка

Обновления обычно состоят из новых версий файлов, которые уже существуют на обновляемом компьютере.На двоичном уровне эти существующие файлы могут не сильно отличаться от обновленных версий. Функция файлов экспресс-установки определяет точное количество байтов между версиями, создает и распространяет обновления только с этими различиями, а затем объединяет существующий файл с обновленными байтами.

Иногда эту функцию называют дельта-доставкой, потому что она загружает только дельту (разницу) между двумя версиями файла. Файлы экспресс-установки больше, чем обновления, распространяемые на клиентские компьютеры, потому что файл экспресс-установки содержит все возможные версии каждого файла, который должен быть обновлен.

Вы можете использовать файлы экспресс-установки, чтобы ограничить полосу пропускания, потребляемую в локальной сети, поскольку WSUS передает только дельту, применимую к определенной версии обновленного компонента. Однако это происходит за счет дополнительной полосы пропускания между вашим сервером WSUS, любыми вышестоящими серверами WSUS и Центром обновления Майкрософт и требует дополнительного места на локальном диске. По умолчанию WSUS не использует файлы экспресс-установки.

Не все обновления подходят для распространения с помощью файлов быстрой установки.Если вы выберете этот вариант, вы получите файлы экспресс-установки для всех обновлений. Если вы не храните обновления локально, агент обновления Windows решит, загружать ли файлы экспресс-установки или полные дистрибутивы обновлений.

Развертывание большого обновления

При развертывании больших обновлений (например, пакетов обновлений) вы можете избежать перегрузки сети, используя следующие методы:

1. Используйте регулирование фоновой интеллектуальной службы передачи (BITS).Ограничения пропускной способности BITS можно контролировать по времени суток, но они применяются ко всем приложениям, использующим BITS. Чтобы узнать, как контролировать регулирование BITS, см. Групповые политики.

2. Используйте регулирование Internet Information Services (IIS), чтобы ограничить регулирование одной или несколькими веб-службами.

3. Используйте группы компьютеров для управления развертыванием. Клиентский компьютер идентифицирует себя как член определенной группы компьютеров, когда он отправляет информацию на сервер WSUS.Сервер WSUS использует эту информацию, чтобы определить, какие обновления следует развернуть на этом компьютере. Вы можете настроить несколько групп компьютеров и последовательно утверждать большие загрузки пакетов обновления для подмножества этих групп.

Фоновая интеллектуальная служба передачи

WSUS использует протокол фоновой интеллектуальной службы передачи (BITS) для всех задач передачи файлов. Это включает загрузки на клиентские компьютеры и синхронизацию сервера. BITS позволяет программам загружать файлы, используя лишнюю полосу пропускания.BITS поддерживает передачу файлов через отключение сети и перезагрузку компьютера. Для получения дополнительной информации см .: Фоновая интеллектуальная служба передачи.

1,7. Параметры планирования автоматических обновлений

Вы можете указать крайний срок для утверждения обновлений на сервере WSUS. Крайний срок приводит к тому, что клиентские компьютеры устанавливают обновление в определенное время, но существует ряд различных ситуаций, в зависимости от того, истек ли крайний срок, есть ли другие обновления в очереди для установки на компьютере и есть ли обновление ( или другое обновление в очереди) требует перезагрузки.

По умолчанию автоматическое обновление опрашивает сервер WSUS на предмет утвержденных обновлений каждые 22 часа за вычетом случайного смещения. Если необходимо установить новые обновления, они загружаются. Время между каждым циклом обнаружения можно регулировать от 1 до 22 часов.

Вы можете управлять параметрами уведомления следующим образом:

1. Если автоматические обновления настроены для уведомления пользователя об обновлениях, которые готовы к установке, уведомление отправляется в системный журнал и в область уведомлений клиентского компьютера.

2. Когда пользователь с соответствующими учетными данными щелкает значок в области уведомлений, автоматическое обновление отображает доступные для установки обновления. Пользователь должен нажать Установить , чтобы начать установку. Сообщение появляется, если для обновления требуется перезагрузка компьютера для завершения обновления. Если запрошена перезагрузка, автоматическое обновление не сможет обнаружить дополнительные обновления, пока компьютер не будет перезагружен.

Если автоматические обновления настроены на установку обновлений по заданному расписанию, соответствующие обновления загружаются и помечаются как готовые к установке.Автоматическое обновление уведомляет пользователей, у которых есть соответствующие учетные данные, с помощью значка в области уведомлений, а событие регистрируется в системном журнале.

В запланированный день и время автоматическое обновление устанавливает обновление и перезагружает компьютер (при необходимости), даже если локальный администратор не вошел в систему. Если локальный администратор вошел в систему и компьютеру требуется перезагрузка, автоматическое обновление отображает предупреждение и обратный отсчет для перезагрузки. В противном случае установка происходит в фоновом режиме.

Если компьютер должен быть перезагружен и какой-либо пользователь вошел в систему, отображается аналогичное диалоговое окно обратного отсчета, которое предупреждает пользователя о предстоящей перезагрузке. Вы можете управлять перезагрузкой компьютера с помощью групповой политики.

После загрузки новых обновлений функция автоматического обновления опрашивает сервер WSUS на предмет списка одобренных пакетов, чтобы подтвердить, что загруженные им пакеты по-прежнему действительны и утверждены. Это означает, что если администратор WSUS удаляет обновления из списка одобренных обновлений, пока функция автоматического обновления загружает обновления, фактически устанавливаются только те обновления, которые все еще утверждены.

.