Wsus что это: Устанавливаем и настраиваем WSUS. — Записки IT специалиста

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск — Выполнить — gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.

Вот мы и подошли к еще одной важной настройке сервера — автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры — Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.

Начало работы со службами обновления Windows Server (WSUS)

• 5/22/2017
• Чтение занимает 3 мин

В этой статье

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать новейшие обновления продуктов Майкрософт.Windows Server Update Services (WSUS) enables information technology administrators to deploy the latest Microsoft product updates. Службы WSUS позволяют в полной мере управлять процессом распределения обновлений, выпущенных через Центр обновления Майкрософт, среди компьютеров в сети.You can use WSUS to fully manage the distribution of updates that are released through Microsoft Update to computers on your network. В данном разделе представлен обзор этой роли сервера и дополнительные сведения о том, как развертывать и обслуживать WSUS.This topic provides an overview of this server role and more information about how to deploy and maintain WSUS.

Описание роли сервера WSUSWSUS Server role description

Сервер WSUS предоставляет возможности для управления обновлениями и их распространения через консоль управления.A WSUS server provides features that you can use to manage and distribute updates through a management console. Сервер служб WSUS может также быть источником обновлений для других серверов WSUS в организации.A WSUS server can also be the update source for other WSUS servers within the organization. Сервер WSUS, действующий как источник обновлений, называется вышестоящим сервером.The WSUS server that acts as an update source is called an upstream server. В реализации служб WSUS хотя бы один сервер WSUS в сети должен иметь возможность подключаться к Центру обновления Майкрософт для получения информации о доступных обновлениях.In a WSUS implementation, at least one WSUS server on your network must be able to connect to Microsoft Update to get available update information. Учитывая вопросы безопасности и конфигурации сети, администратор может самостоятельно определить количество дополнительных серверов, напрямую подключенных к Центру обновления Майкрософт.As an administrator, you can determine — based on network security and configuration — how many other WSUS servers connect directly to Microsoft Update.

Практическое применениеPractical applications

Управление обновлениями — это процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в рабочей среде.Update management is the process of controlling the deployment and maintenance of interim software releases into production environments. Это помогает поддерживать производительность, преодолевать уязвимости и обеспечивать стабильность рабочей среды.It helps you maintain operational efficiency, overcome security vulnerabilities, and maintain the stability of your production environment. Если организация не может устанавливать и поддерживать известный уровень доверия в своих операционных системах и прикладном программном обеспечении, то у нее может появиться ряд уязвимостей, что в случае взлома способно привести к потере дохода и интеллектуальной собственности.If your organization cannot determine and maintain a known level of trust within its operating systems and application software, it might have a number of security vulnerabilities that, if exploited, could lead to a loss of revenue and intellectual property. Чтобы минимизировать данную угрозу, необходимо правильно настроить системы, использовать последние версии программного обеспечения и установить рекомендуемые обновления ПО.Minimizing this threat requires you to have properly configured systems, use the latest software, and install the recommended software updates.

Основными сценариями, в которых WSUS повышает эффективность вашего бизнеса, являются:The core scenarios where WSUS adds value to your business are:

• Централизованное управление обновлениямиCentralized update management

• Автоматизация управления обновлениямиUpdate management automation

Новые и измененные функцииNew and changed functionality

Примечание

Обновление с любой версии Windows Server, поддерживающей WSUS 3.2, до Windows Server 2012 R2 требует предварительного удаления WSUS 3.2.Upgrade from any version of Windows Server that supports WSUS 3.2 to Windows Server 2012 R2 requires that you first uninstall WSUS 3.2.

В Windows Server 2012 обновление с любой версии Windows Server с установленными службами WSUS 3.2 блокируется в процессе установки, если будет обнаружена служба WSUS 3.2.In Windows Server 2012, upgrading from any version of Windows Server with WSUS 3.2 installed is blocked during the installation process if WSUS 3.2 is detected. В этом случае вам будет предложено сначала удалить службы обновления Windows Server, а затем повторно обновить сервер.In that case, you will be prompted to first uninstall Windows Server Update Services prior to upgrading your server.

Но после изменений, внесенных в текущем выпуске Windows Server и Windows Server 2012 R2, установка не блокируется при обновлении с любой версии Windows Server и WSUS 3.2.However, because of changes in this release of Windows Server and Windows Server 2012 R2, when upgrading from any version of Windows Server and WSUS 3.2, the installation is not blocked. Если перед выполнением обновления Windows Server или Windows Server 2012 R2 не будут удалены службы WSUS 3.2, то задачи WSUS после установки будут завершаться ошибкой.Failure to uninstall WSUS 3.2 prior to performing a Windows Server 2012 R2 upgrade will cause the post installation tasks for WSUS in Windows Server 2012 R2 to fail. Известен только один метод решения такой проблемы — отформатировать жесткий диск и повторно установить Windows Server.In this case, the only known corrective measure is to format the hard drive and reinstall Windows Server.

Службы Windows Server Update Services представляют собой встроенную роль сервера со следующими дополнительными возможностями.Windows Server Update Services is a built-in server role that includes the following enhancements:

• Может быть добавлена и удалена с помощью диспетчера серверовCan be added and removed by using the Server Manager

• Включает командлеты Windows PowerShell для управления наиболее важными задачами администрирования в службах WSUSIncludes Windows PowerShell cmdlets to manage the most important administrative tasks in WSUS

• Добавляет возможность использования хэширования SHA256 для дополнительной безопасностиAdds SHA256 hash capability for additional security

• Обеспечивает разделение клиента и сервера, благодаря чему версии агента Центра обновления Windows (WUA) могут поставляться независимо от WSUSProvides client and server separation: versions of the Windows Update Agent (WUA) can ship independently of WSUS

Использование Windows PowerShell для управления WSUSUsing Windows PowerShell to manage WSUS

Системным администраторам для автоматизации работы необходим охват с помощью автоматизации командной строки.For system administrators to automate their operations, they need coverage through command-line automation. Основной целью является облегчение администрирования WSUS, позволяя системным администраторам автоматизировать их ежедневный труд.The main goal is to facilitate WSUS administration by allowing system administrators to automate their day-to-day operations.

Какой эффект дает это изменение?What value does this change add?

Пропуская основные операции WSUS через Windows PowerShell, системные администраторы могут увеличить продуктивность, уменьшить время на изучение новых инструментов, а также снизить количество ошибок из-за неоправданных ожиданий, ставших результатом отсутствия согласованности простых операций.By exposing core WSUS operations through Windows PowerShell, system administrators can increase productivity, reduce the learning curve for new tools, and reduce errors due to failed expectations resulting from a lack of consistency across similar operations.

Что работает иначе?What works differently?

В более ранних версиях операционной системы Windows Server отсутствовали командлеты Windows PowerShell, а автоматизация управления обновлениями была затруднительным делом.In earlier versions of the Windows Server operating system, there were no Windows PowerShell cmdlets, and update management automation was challenging. Командлеты Windows PowerShell для операций WSUS дают дополнительную гибкость и быстроту системному администратору.The Windows PowerShell cmdlets for WSUS operations add flexibility and agility for the system administrator.

Содержание коллекцииIn this collection

В эту коллекцию включены следующие руководства по планированию, развертыванию и администрированию служб WSUS.The following guides for planning, deploying, and managing WSUS are in this collection:

Приручаем WSUS при помощи Ansible и не только / Блог компании Сервер Молл / Хабр

Ну что ж, вот и настала пора подружить Windows-обновления с миром Open Source. В этой статье разнообразим быт интеграцией Ansible со всеми возможными источниками обновлений Windows-машин. Хотя возможности системы значительно шире простой раскатки обновлений на серверы и рабочие станции, но ведь надо с чего-то начинать.

Заодно избавимся от досадных неудобств WSUS, если вы предпочитаете «старую школу».

Про настройку Windows Server Update Services рассказывать я не буду, благо она тривиальна. Сосредоточусь на минусах.

Интерфейс WSUS почти не менялся на протяжении всей истории.

Невозможность установки по требованию. Действительно, для штатной работы WSUS подходит неплохо — обновления спокойно себе настраиваются и ставятся по локальной сети при выключении компьютеров. Но если нужно срочно установить патчи безопасности, то придется выкручиваться скриптами и решениями для запуска этих самых скриптов. В этом может помочь наш материал «1000++ способ запуска команд на удаленном компьютере».

Отсутствие штатного способа установки обновлений стороннего ПО. Если есть сервер обновлений, то выглядит разумным использовать его не только для обновлений программ MS, но для других решений. Например, в не к ночи упомянутом Adobe Flash Player уязвимости находятся с завидной регулярностью, да и радовать пользователей новыми возможностями FireFox тоже хотелось бы. Для того чтобы наладить установку обновлений через WSUS, приходится использовать сторонние решения вроде WSUS Package Publisher. Посмотреть примеры настройки можно в статье «Установка любого программного обеспечения средствами WSUS — 2».

Использование встроенной БД Windows. При стандартной установке WSUS использует WID — Windows Internal Database. По сути это маленький встроенный SQL Server с базой данных. В случае каких-то неполадок или конфликтов — к примеру, если у вас на одном сервере живет Remote Desktop Connection Broker и WSUS, — приходится чинить эту базу, настраивать права доступа и всячески развлекаться. Да и резервное копирование бы не помешало. По счастью, WSUS может использовать и классический SQL. Для переноса БД WSUS можно воспользоваться инструкцией Migrating the WSUS Database from WID to SQL от Microsoft.

Необходимость обслуживания и неочевидная настройка сбойных клиентов. Как это бывает с продуктами от Microsoft, рано или поздно WSUS начинает тормозить: клиенты долго не могут к нему подцепиться и скачать обновления. Сборник советов и оптимизаций есть в статье «Ускоряем работу WSUS» и в комментариях к ней.

Конечно, с этими минусами можно жить, но можно и облегчить себе жизнь другими инструментами, используя их как в паре с WSUS, так и без него.

Практически любая система управления конфигурациями может облегчить работу с обновлениями. Разберем пример на базе Ansible для установки обновлений по требованию.

Устраивать холивар, что лучше из бесплатных систем — Ansible, Chef, Puppet или вовсе Salt, нет ни малейшего желания. Система Ansible выбрана за отсутствие необходимости использования агентов и за простоту настройки. И, конечно, из-за Python: ведь этот язык намного проще освоить начинающим автоматизаторам, в отличие от Ruby.

Стоит отметить, что помимо решения задачи, это будет неплохое подспорье для ознакомления с принципами работы подобных систем. Если, конечно, вы еще не развлекались установкой Streisand, особенно, когда что-то в процессе идет не так. А если вы уже используете Ansible или другие модные решения, то запросто сможете и обновления устанавливать. С азами Ansible я рекомендую ознакомиться в статье «Пособие по Ansible», а ниже — пошаговая инструкция по работе с обновлениями.

Для начала подготовим сервер Ansible. Подойдет практически любой GNU\Linux дистрибутив, но примеры команд я буду приводить для Ubuntu Server (так исторически сложилось).

Для начала установим пакетный менеджер для приложений на Python:

apt-get install python-pip
pip install --upgrade pip
pip install --upgrade virtualenv

Затем нам понадобится установить пакет pywinrm для подключения к системам Windows и непосредственно систему Ansible:

sudo pip install pywinrm
sudo pip install ansible

Проверить установку можно командой ansible —version.

Проверка установки.

Вместо пакета в теории pywinrm можно использовать любое другое средство для управления Windows с машины на Linux. Часть из них разобрана в статье «Перекрестное опыление: управляем Linux из-под Windows, и наоборот».

Теперь нужно разрешить подключение к Windows по WinRM. Для этого есть уже готовый скрипт ConfigureRemotingForAnsible.ps1, доступный на GitHub. Ну, а как запускать скрипты на удаленных машинах вы уже знаете.

Проверить подключение к Windows можно командой:

ansible windows -m win_ping

Проверка подключения успешна.

Теперь можно заняться созданием playbook. Нам облегчит жизнь тот факт, что разработчики Ansible уже подумали за нас и сделали модуль win_updates, как раз для решения таких задач.

Playbook — это «инструкция», которая говорит системе управления конфигурациями, что же ей делать. Разумеется, пошаговая.

Любой playbook является файлом в формате yml и представляет из себя набор директив — у каждого модуля они свои. Модуль winupdate позволяет использовать следующие директивы (жирным выделены значения по умолчанию):

Таким образом, для установки определенных обновлений подойдет следующий playbook:

- name: Install specific updates based on the KBs for those updates
  win_updates:
    category_name:
    - SecurityUpdates

    whitelist:
    - KB4073819
    - KB4074228

А если надо просто посчитать, сколько обновлений не хватает, playbook будет таким:

  – name: Check for missing updates
          win_updates: state=searched
          register: update_count

Для установки всех доступных обновлений с последующей перезагрузкой будет подобный playbook:

- name: Install all critical and security updates
  win_updates:
    category_names:
    - CriticalUpdates
    - SecurityUpdates
    - UpdateRollups
    state: installed
  register: update_result

        - name: reboot host if required
          win_reboot:
          when: update_result.reboot_required

Напомню, что для работы со списком серверов понадобится файл инвентаризации. Например, такой:

[DCs]
dc1.mydomain.local
dc2.mydomain.local

[AppServers]
app1.mydomain.local
app2.mydomain.local

[DBServers]
db1.mydomain.local
db2.mydomain.local

И теперь для установки обновлений только на контроллеры домена можно использовать playbook:

- hosts: DCs
  tasks:
  - name: Choose which Windows updates to install
  win_updates:
    category_names:
      - SecurityUpdates
      - CriticalUpdates
      - UpdateRollups

Команда, которая проделает все эти операции, будет такой:

ansible-playbook -i inventory.yml -s windowsupdates.yml

Внимательный читатель может спросить про источник скачиваемых обновлений. Источник будет тот, что настроен на компьютере: будь то Windows Update в интернете или локальный WSUS. Даже если до настройки WSUS руки не дошли, можно дать команду на установку нужных срочных апдейтов, особенно если детальки Lego под ноги уже высыпались.

Остается добавить, что не обязательно использовать именно Ansible. Например, для системы управления конфигурациями Chef можно использовать Cookbook Wsus Client или более навороченный boxstarter. Аналогичные модули существуют и для Puppet. В общем-то практически любая система управления конфигурациями может что-то подобное, в том числе и MS SCCM.

Напоследок приведу еще несколько заинтересовавших меня инструментов.

WSUS offline. Программа, позволяющая скачать необходимые обновления одним пакетом, при необходимости можно запаковать в ISO. Также можно положить пакет в сетевую папку и устанавливать обновления скриптами, без развертывания полноценного WSUS.

Patch Management от Comodo. Система установки обновлений для Windows и другого ПО. В отличие от других решений — бесплатна.

Интерфейс Comodo Patch Management.

Opsi. Бесплатная, интересная система, поддерживающая установку не только обновлений, но и операционных систем, заодно с инвентаризацией.

BatchPatch. Единственная из платных систем, попавшая в список. Позволяет устанавливать ПО, обновлять его, как и Windows, и многое другое. Отличается олдскульным дизайном, а также стоимостью не за количество обслуживаемых хостов, а за пользователей программы, т.е администраторов. Пожалуй, это одно из немногочисленных решений, позиционирующих себя как аналог WSUS. Цена начинается от $400.

Интерфейс BatchPatch.

В комментариях добавляйте свои любимые инструменты для работы с обновлениями и не только.

Развертывание и использование WSUS сервера

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Автор: Денис Васильев

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения.  Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений  своих программных продуктов  в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

рис. 1

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

• Операционная система: Windows Server 2003 SP1 и выше.
• Дополнительные роли сервера: IIS 6.0 и выше
• Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
• Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить   (рис. 2).

рис. 2

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью  «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

рис. 3

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо  указать  IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

рис . 4

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно  ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

рис. 5

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

рис. 6

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7). 

рис. 7

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

рис. 8

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)

рис. 9

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов.   Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они  не будут нужны и займут дисковое пространство.

рис. 10

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск  – Администрирование – Управление групповой политикой». Выбираем  ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

рис.11

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете  адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

рис. 12

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).

рис. 13

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен»  и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров  для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

рис. 14

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были  описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).

рис. 15

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно  в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

рис. 16

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её  необходимо запускать с ключом /detectnow  (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений)  необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

Господа, удачных вам обновлений

Просмотр обновлений и управление ими

• 10/16/2017
• Чтение занимает 7 мин

В этой статье

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Для просмотра обновлений и управления ими можно использовать консоль WSUS.You can use the WSUS console to view and manage updates.

Просмотр обновленийViewing Updates

На странице обновления можно выполнить следующие действия.On the Updates page, you can do the following:

• Просмотр обновлений.View updates. В обзоре обновления отображаются обновления, которые были синхронизированы с источника обновлений на сервер WSUS и доступны для утверждения.The update overview displays updates that have been synchronized from the update source to your WSUS server and are available for approval.

• Фильтровать обновления.Filter updates. В представлении по умолчанию можно фильтровать обновления по состоянию утверждения и состоянию установки.In the default view you can filter updates by approval status and installation status. Значение по умолчанию — для неутвержденных обновлений, необходимых некоторым клиентам или для которых произошел сбой установки на некоторых клиентах.The default setting is for unapproved updates that are needed by some clients or that have had installation failures on some clients. Вы можете изменить это представление, изменив фильтры состояния утверждения и состояния установки, а затем нажав кнопку Обновить.You can change this view by changing the approval status and installation status filters, and then clicking Refresh.

• Создание новых представлений обновления.Create new update views. На панели действия выберите пункт новое представление обновлений.In the Actions pane, click New Update View. Можно отфильтровать обновления по классификации, продукту, группе, для которой они были утверждены, и дате синхронизации.You can filter updates by classification, product, the group for which they have been approved, and synchronization date. Список можно отсортировать, щелкнув соответствующий заголовок столбца в заголовке окна.You can sort the list by clicking the appropriate column heading in the title bar.

• Выполните поиск обновлений.Search for updates. Можно выполнить поиск отдельного обновления или набора обновлений по названию, описанию, статье базы знаний или номеру центра Microsoft Security Response Center для обновления.You can search for an individual update or set of updates by title, description, Knowledge Base article, or the Microsoft Security Response Center number for the update.

• Просмотр сведений, состояния и журнала редакций для каждого обновления.View details, status, and revision history for each update.

• Утвердите и отклоните обновления.Approve and Decline updates.

Просмотр обновленийTo view updates

1. В консоли администрирования WSUS разверните узел обновления, а затем щелкните все обновления.In the WSUS administration console, expand the Updates node, and then click All Updates.

2. По умолчанию обновления отображаются с заголовком, классификацией, установленным/неприменимым процентом и состоянием утверждения.By default, updates are displayed with their title, classification, installed/not applicable percentage, and approval status. Если вы хотите отобразить другие или другие свойства обновления, щелкните правой кнопкой мыши заголовок столбца и выберите соответствующие столбцы.If you wish to display more or different update properties, right-click the column heading bar and select the appropriate columns.

3. Чтобы выполнить сортировку по различным критериям, таким как состояние загрузки, заголовок, классификация, Дата выпуска или состояние утверждения, щелкните соответствующий заголовок столбца.To sort by different criteria, such as download status, title, classification, release date, or approval status, click the appropriate column heading.

Фильтрация списка обновлений, отображаемых на странице «обновления»To filter the list of updates displayed on the Updates page

1. В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.In the WSUS administration console, expand Updates, and then click All Updates.

2. В центральной области рядом с полем утверждениевыберите состояние нужного утверждения, а затем рядом с полем состояние выберите нужное состояние установки.In the center pane next to Approval, select the desired approval status, and next to Status select the desired installation status. Нажмите кнопку Обновить.Click Refresh.

Создание нового представления обновлений на WSUSTo create a new update view on WSUS

1. В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.In the WSUS administration console, expand Updates, and then click All Updates.

2. На панели действия выберите пункт новое представление обновлений.In the Actions pane, click New Update View.

3. В окне Добавление представления обновлений в разделе Шаг 1. Выбор свойстввыберите свойства, необходимые для фильтрации представления обновлений.In the Add Update View window, under Step 1: select properties, select the properties you need to filter the update view:

   • Выберите обновления для определенной классификации, чтобы отфильтровать обновления, относящиеся к одной или нескольким классификациям обновлений.Select Updates are in a specific classification to filter on updates belonging to one or more update classifications.

   • Выберите обновления для конкретного продукта, чтобы отфильтровать обновления для одного или нескольких продуктов или семейств продуктов.Select Updates are for a specific product to filter on updates for one or more products or product families.

   • Выберите обновления утверждены для определенной группы, чтобы отфильтровать обновления, утвержденные для одной или нескольких групп компьютеров.Select Updates are approved for a specific group to filter on updates approved for one or more computer groups.

   • Выберите обновления, которые были синхронизированы в течение определенного периода времени для фильтрации обновлений, синхронизируемых в определенное время.Select Updates were synchronized within a specific time period to filter on updates synchronized at a specific time.

   • Выберите обновления обновления WSUS, чтобы отфильтровать обновления WSUS.Select Updates are WSUS updates to filter on WSUS updates.

4. В разделе Шаг 2. изменение свойствщелкните подчеркнутые слова, чтобы выбрать нужные значения.Under Step 2: edit the properties, click the underlined words to pick the values you want.

5. В разделе Шаг 3. Укажите имя, присвойте новому представлению имя.Under Step 3: Specify a name, give your new view a name.

6. Нажмите кнопку ОК.Click OK.

Новое представление появится на панели древовидного представления в разделе обновления.Your new view will appear in the tree view pane under Updates. Он будет отображаться, как стандартные представления, в центральной области при выборе.It will be displayed, like the standard views, in the center pane when you select it.

Поиск обновленияTo search for an update

1. Выберите узел обновления (или любой узел под ним).Select the Updates node (or any node under it).

2. На панели действия нажмите кнопку Поиск.In the Actions pane, click Search.

3. В окне поиска на вкладке обновления введите условия поиска.In the Search window, on the Updates tab, enter your search criteria. Можно использовать текст из полей номер статьи заголовок, Описаниеи База знаний Майкрософт (KB) .You can use text from the Title, Description, and Microsoft Knowledge Base (KB) article number fields. Каждый из этих элементов является свойством, указанным на вкладке сведения в свойствах обновления.Each of these items is a property listed on the details tab in the update properties.

Просмотр свойств обновленияTo view the properties for an update

1. В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.In the WSUS administration console, expand Updates, and then click All Updates.

2. В списке обновлений щелкните обновление, которое требуется просмотреть.In the list of updates, click the update you want to view.

3. В нижней области отобразятся различные разделы свойств:In the lower pane, you will see the different property sections:

   • В строке заголовка отображается заголовок обновления. Например, обновление безопасности для проигрывателя Windows Media 9 (KB911565).The title bar displays the title of the update; for example, Security Update for Windows Media Player 9 (KB911565).

   • В разделе Состояние отображается состояние установки обновления (компьютеры, на которых он должен быть установлен, компьютеры, на которых он был установлен, а также компьютеры, на которых оно было установлено или неприменимо, и на компьютерах, которые не сообщили о состоянии обновления), и об общих сведениях (KB и MSRC Numbers Release и т. д.).The Status section displays the installation status of the update (the computers on which it needs to be installed, computers on which it was installed with errors, computers on which it has been installed or is not applicable, and computers that have not reported status for the update), as well as general information (KB and MSRC numbers release date, etc.).

   • В разделе Описание приводится краткое описание обновления.The Description section displays a brief description of the update.

   • В разделе Дополнительные сведения отображаются следующие сведения.The additional details section displays the following information:

     • Режим установки обновления (независимо от того, является ли он съемным, запрашивает перезагрузку, требует ввода данных пользователем или должен быть установлен исключительно).The installation behavior of the update (whether or not it is removable, requests a restart, requires user input, or must be installed exclusively).

     • Содержит ли обновление условия лицензионного соглашения на использование программного обеспечения корпорации МайкрософтWhether or not the update has Microsoft Software License Terms

     • Продукты, к которым применяется обновлениеThe products to which the update applies

     • Обновления, заменяющие это обновлениеThe updates that supersede this update

     • Обновления, заменяемые этим обновлениемThe updates that are superseded by this update

     • Языки, поддерживаемые обновлениемThe languages supported by the update

     • ИДЕНТИФИКАТОР обновленияThe update ID

Обратите внимание, что эту процедуру можно выполнить только для одного обновления за раз.Note that you can perform this procedure on only one update at a time. Если выбрано несколько обновлений, на панели « Свойства » будет отображаться только первое обновление в списке.If you select multiple updates, only the first update in the list will be displayed in the Properties pane.

Управление обновлениями с помощью WSUSManaging Updates with WSUS

Обновления используются для обновления или предоставления полной замены файла для программного обеспечения, установленного на компьютере.Updates are used for updating or providing a full file replacement for software that is installed on a computer. Каждое обновление, доступное на Центр обновления Майкрософт, состоит из двух компонентов:Every update that is available on Microsoft Update is made up of two components:

• Метаданные: предоставляет сведения об обновлении.Metadata: Provides information about the update. Например, метаданные предоставляют информацию о свойствах обновления, что позволяет узнать, для чего это обновление полезно.For example, metadata supplies information for the properties of an update, thus enabling you to find out for what the update is useful. Метаданные также содержат условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт.Metadata also includes Microsoft Software License Terms. Пакет метаданных, который скачивается для обновления, обычно значительно меньше пакета файла обновления.The metadata package downloaded for an update is typically much smaller than the actual update file package.

• Файлы обновления. фактические файлы, необходимые для установки обновления на компьютере.Update files: The actual files required to install an update on a computer.

Когда обновления синхронизируются на сервере WSUS, файлы метаданных и файлы обновлений хранятся в двух разных расположениях.When updates are synchronized to your WSUS server, the metadata and update files are stored in two separate locations. Метаданные хранятся в базе данных WSUS.Metadata is stored in the WSUS database. Файлы обновления могут храниться либо на сервере WSUS, либо на Центр обновления Майкрософт серверах в зависимости от того, как настроены параметры синхронизации.Update files can be stored either on your WSUS server or on Microsoft Update servers, depending on how you have configured your synchronization options. Если вы решили хранить файлы обновления на Центр обновления Майкрософт серверах, то во время синхронизации будут скачаны только метаданные. Вы утверждаете обновления с помощью консоли WSUS, а затем клиентские компьютеры получают файлы обновления непосредственно из Центр обновления Майкрософт во время установки.If you choose to store update files on Microsoft Update servers, only metadata is downloaded at the time of synchronization; you approve the updates through the WSUS console, and then client computers get the update files directly from Microsoft Update at the time of installation. Дополнительные сведения о параметрах хранения обновлений см. в разделе 1,3. Выберите стратегию хранилища WSUS из шага 1. Подготовка к развертыванию WSUS в разделе Руководство по развертыванию WSUS.For more information about options for storing updates, see section 1.3. Choose a WSUS storage strategy of Step 1: Prepare for Your WSUS Deployment, in the WSUS deployment guide.

Вы будете настраивать и выполнять синхронизацию, добавлять компьютеры и группы компьютеров, а также регулярно развертывать обновления.You will be setting up and running synchronizations, adding computers and computer groups, and deploying updates on a regular basis. В следующем списке приведены примеры общих задач, которые можно предпринять при обновлении компьютеров с помощью WSUS.The following list gives examples of general tasks you might undertake in updating computers with WSUS.

• Определите общий план управления обновлениями на основе топологии сети и пропускной способности, потребностей компании и организационной структуры.Determine an overall update management plan based on your network topology and bandwidth, company needs, and organizational structure.

  • Следует ли настраивать иерархию серверов WSUS и как должна быть структурирована иерархия.Whether to set up a hierarchy of WSUS servers and how the hierarchy should be structured.

  • Какие группы компьютеров следует создать и как назначать им компьютеры (на стороне сервера или на стороне клиента).What computer groups to create, and how to assign computers to them (server-side or client-side targeting).

  • База данных, используемая для метаданных обновления (например, внутренняя база данных Windows SQL Server).Which database to use for update metadata (for example, Windows Internal Database, SQL Server).

  • Должны ли обновления синхронизироваться автоматически и в какое время.Whether updates should be synchronized automatically, and at what time.

• Задайте параметры синхронизации, такие как источник обновления, классификация продукта и обновления, язык, параметры подключения, место хранения и расписание синхронизации.Set synchronization options, such as update source, product and update classification, language, connection settings, storage location, and synchronization schedule.

• Получайте обновления и связанные метаданные на сервере WSUS с помощью синхронизации из Центр обновления Майкрософт или вышестоящего сервера WSUS.Get the updates and associated metadata on your WSUS server through synchronization from either Microsoft Update or an upstream WSUS server.

• Утвердите или отклоните обновления.Approve or decline updates. Имеется возможность разрешить пользователям устанавливать обновления (если они являются локальными администраторами на клиентских компьютерах).You have the option of allowing users to install the updates themselves (if they are local administrators on their client computers).

• Настройка автоматических утверждений.Configure automatic approvals. Вы также можете указать, следует ли включить автоматическое утверждение редакций для существующих обновлений или утвердить редакции вручную.You can also configure whether you want to enable automatic approval of revisions to existing updates or approve revisions manually. Если вы решите утвердить редакции вручную, сервер WSUS продолжит использовать старую версию до тех пор, пока новая редакция не будет утверждена вручную.If you choose to approve revisions manually, then your WSUS server will continue using the older version until you manually approve the new revision.

• Проверьте состояние обновлений.Check the status of updates. Вы можете просмотреть состояние обновления, напечатать отчет о состоянии или настроить электронную почту для обычных отчетов о состоянии.You can view update status, print a status report, or configure e-mail for regular status reports.

Обновление продуктов и классификацийUpdate Products and Classifications

Обновления, доступные на Центр обновления Майкрософт, отличаются по продуктам (или семейству продуктов) и классификации.Updates available on Microsoft Update are differentiated by product (or product family) and classification.

Продукт — это конкретный выпуск операционной системы или приложения, например Windows Server 2012.A product is a specific edition of an operating system or application, for example, Windows Server 2012. Семейство продуктов представляет собой базовую операционную систему или приложение, от которых происходят отдельные продукты.A product family is the base operating system or application from which the individual products are derived. Примером семейства продуктов является Microsoft Windows, членом которого является Windows Server 2012.An example of a product family is Microsoft Windows, of which Windows Server 2012 is a member. Можно выбрать продукты или семейства продуктов, для которых сервер должен синхронизировать обновления.You can select the products or product families for which you want your server to synchronize updates. Можно указать семейство продуктов или отдельные продукты в семействе.You can specify a product family or individual products within the family. При выборе любого продукта или семейства продуктов будут обновлены текущие и будущие версии продукта.Selecting any product or product family will get updates for current and future versions of the product.

Классификации обновлений представляют тип обновления.Update classifications represent the type of update. Для любого продукта или семейства продуктов обновления могут быть доступны для нескольких классификаций обновлений (например, для семейства Windows 7 критические обновления и обновления для системы безопасности).For any given product or product family, updates could be available among multiple update classifications (for example, Windows 7 family Critical Updates and Security Updates). В следующей таблице перечислены классификации обновлений.The following table lists update classifications.

Значки, используемые для обновлений в Windows Server Update ServicesIcons used for updates in Windows Server Update Services

Обновления в службах WSUS представлены одним из следующих значков.Updates in WSUS are represented by one of the following icons. Для просмотра этих значков необходимо включить столбец замены в консоли Update Services.To view these icons, you have to enable the Supersedence column in the Update Services console.

Нет значкаNo Icon

Обновление не имеет отношения замены с другим обновлением.The update has no supersedence relationship with any other update.

Рабочие проблемы:Operational Concerns:

Рабочие проблемы отсутствуют.There are no operational concerns.

Значок заменыSuperseding Icon

Это обновление заменяет другие обновления.This update supersedes other updates.

Рабочие проблемы:Operational Concerns:

Рабочие проблемы отсутствуют.There are no operational concerns.

Значок заменяемого &Superseded & Superseding Icon

Это обновление заменено другим обновлением и заменяет другие обновления.This update is superseded by another update, and supersedes other updates.

Рабочие проблемы:Operational Concerns:

При возможности замените эти обновления заменяемыми обновлениями.Replace these updates with the superseding updates when possible.

Значок «Заменено»Superseded Icon

Это обновление заменено другим обновлением.This update is superseded by another update.

Рабочие проблемы:Operational Concerns:

При возможности замените эти обновления заменяемыми обновлениями.Replace these updates with the superseding updates when possible.

WSUS — это… Что такое WSUS?

Шаг 1. Установка роли сервера WSUS

• 10/16/2017
• Чтение занимает 2 мин

В этой статье

Область применения. Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Следующий шаг в развертывании сервера WSUS — это установка роли сервера WSUS.The next step in the deployment of your WSUS server is to install the WSUS server role. Далее описано, как установить роль сервера WSUS с помощью диспетчера серверов.The following procedure describes how to install the WSUS server role by using Server Manager.

Важно!

Эта процедура охватывает установку WSUS только с использованием внутренней базы данных Windows (WID).This installation procedure only covers how to install WSUS using Windows Internal Database (WID). Процедуры установки WSUS с помощью Microsoft SQL Server описаны на форуме WSUS.The procedures to install WSUS using Microsoft SQL Server are documented in the WSUS forum.

Установка роли сервера WSUSTo install the WSUS server role

1. Выполните вход на сервер, на котором планируется установка роли сервера WSUS, используя учетную запись, являющуюся членом локальной группы администраторов.Log on to the server on which you plan to install the WSUS server role by using an account that is a member of the Local Administrators group.

2. В диспетчере серверов щелкните Управление и Добавить роли и компоненты.In Server Manager, click Manage, and then click add Roles and Features.

3. На странице Перед работой нажмите кнопку Далее.On the Before you begin page, click Next.

4. На странице Выбор типа установки убедитесь, что выбрано свойство Установка ролей или компонентов и щелкните Далее.In the select installation type page, confirm that Role-based or feature-based installation option is selected and click Next.

5. На странице Выбор целевого сервера выберите расположение сервера (пул серверов или виртуальный жесткий диск).On the select destination server page, choose where the server is located (from a server pool or from a virtual hard disk). После выбора расположения укажите сервер, на котором требуется установить роль сервера WSUS, и нажмите кнопку Далее.After you select the location, choose the server on which you want to install the WSUS server role, and then click Next.

6. На странице Выбор ролей сервера щелкните Службы Windows Server Update Service.On the select server roles page, select Windows Server Update Services. Откроется диалоговое окнодобавления компонентов, необходимых для служб Windows Server Update Services .Add features that are required for Windows Server Update Services opens. Щелкните Добавить компоненты, а затем нажмите кнопку Далее.Click Add Features, and then click Next.

7. На странице Выбор компонентовOn the select featurespage. оставьте настройки по умолчанию и щелкните Далее.retain the default selections, and then click Next.

   Важно!

   Службам WSUS требуется только настройка по умолчанию роли веб-сервера.WSUS only requires the default Web Server role configuration. Если в процессе настройки служб WSUS предлагается дополнительная настройка роли веб-сервера, можно принять значения по умолчанию и продолжить настройку WSUS.If you are prompted for additional Web Server role configuration while setting up WSUS you can safely accept the default values and continue setting up WSUS.

8. На странице Службы Windows Server Update Services нажмите кнопку Далее.On the Windows Server Update Services page, click Next.

9. На странице Выбор служб ролей не изменяйте выбранные по умолчанию службы, а затем нажмите кнопку Далее.On the Select Role Services page, leave the default selections, and then click Next.

   Совет

   Вы должны выбрать один тип базы данных.You must select one Database type. Если все параметры базы данных очищены (не выбраны), произойдет сбой задач после установки.If the database options are all cleared (not selected), post installation tasks will fail.

10. На странице Выбор расположения содержимого введите правильное расположение для хранения обновлений.On the Content location selection page, type a valid location to store the updates. Например, можно создать папку с именем WSUS_database в корне диска K специально для этой цели и ввести k:\WSUS_database как правильное расположение.For example, you can create a folder named WSUS_database at the root of drive K specifically for this purpose, and type k:\WSUS_database as the valid location.

11. Нажмите кнопку Далее.Click Next. Откроется страница Роль веб-сервера (IIS) .The Web Server Role (IIS) page opens. Просмотрите сведения и нажмите кнопку Далее.Review the information, and then click Next. На странице Выбор служб ролей для установки веб-сервера (IIS) оставьте значения по умолчанию и щелкните Далее.In select the role services to install for Web Server (IIS), retain the defaults, and then click Next.

12. На странице Подтверждение выбранных элементов для установки просмотрите выбранные элементы и нажмите кнопку Установить.On the Confirm installation selections page, review the selected options, and then click Install. Запускается мастер установки служб WSUS.The WSUS installation wizard runs. Установка может занять несколько минут.This might take several minutes to complete.

13. После завершения установки служб WSUS в окне сводки на странице хода установки щелкните Запуск послеустановочных задач.Once WSUS installation is complete, in the summary window on the Installation progress page, click Launch Post-Installation tasks. Текст изменяется и появляется запрос: Подождите, пока выполняется настройка сервера.The text changes, requesting: Please wait while your server is configured. После завершения задачи текст изменяется следующим образом: Настройка успешно завершена.When the task has finished, the text changes to: Configuration successfully completed. Нажмите кнопку Закрыть.Click Close.

14. В окне Диспетчер серверапроверьте, настроено ли отображение уведомлений о необходимости перезагрузки.In Server Manager, verify if a notification appears to inform you that a restart is required. Этот параметр может меняться в зависимости от установленной роли сервера.This can vary according to the installed server role. Если необходимо выполнить перезапуск для окончания установки, убедитесь, что он был осуществлен.If it requires a restart make sure to restart the server to complete the installation.

Важно!

Процесс установки будет завершен, но чтобы обеспечить работоспособность службы WSUS, перейдите к разделу Шаг 2. Настройка WSUS.At this point the installation process is finished, however for WSUS to be functional you need to proceed to Step 2: Configure WSUS.

Управление клиентскими компьютерами WSUS и группами компьютеров WSUS

• 16.10.2017
• 4 минуты на чтение

В этой статье

Применимо к: Windows Server 2019, Windows Server (полугодовой канал), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Узел компьютеров является центральной точкой доступа в административной консоли WSUS для управления клиентскими компьютерами и устройствами WSUS.В этом узле вы можете найти различные группы, которые вы настроили (плюс группа по умолчанию, Неназначенные компьютеры).

Управление клиентскими компьютерами

Выбор одной из групп компьютеров в узле компьютеры в разделе Опции приводит к тому, что компьютеры в этой группе отображаются на панели сведений. Если компьютер включен в несколько групп, он появится в списках обеих групп. Если вы выберете компьютер в списке, вы увидите его свойства, которые включают общие сведения о компьютере и статусе обновлений для него, например статус установки или обнаружения обновления для конкретного компьютера.Вы можете фильтровать список компьютеров в данной группе компьютеров по статусу. По умолчанию отображаются только компьютеры, для которых необходимы обновления или на которых произошли ошибки при установке; однако вы можете фильтровать отображение по любому статусу. Нажмите Обновить после изменения фильтра состояния.

Вы также можете управлять группами компьютеров на странице компьютеров, что включает создание групп и назначение им компьютеров. Дополнительные сведения об управлении группами компьютеров см. В разделах «Управление группами компьютеров» в следующем разделе этого руководства и в разделе 1.5. Спланируйте группы компьютеров WSUS в Шаге 1. Подготовка к развертыванию WSUS руководства по развертыванию WSUS.

Примечание

Вы должны сначала настроить клиентские компьютеры для связи с сервером WSUS, прежде чем вы сможете управлять ими с этого сервера. Пока вы не выполните эту задачу, ваш сервер WSUS не будет распознавать ваши клиентские компьютеры, и они не будут отображаться в списке на странице компьютеров. Дополнительные сведения о настройке клиентских компьютеров см. В разделе 1.5. Спланируйте группы компьютеров WSUS из Шага 1: Подготовка к развертыванию WSUS и Шага 3: Настройка WSUS в руководстве по развертыванию WSUS.

Контроль, когда клиентские компьютеры WSUS устанавливают обновления

Существует два метода управления установкой обновлений на клиентских компьютерах WSUS:

Управление компьютерными группами

WSUS позволяет направлять обновления на группы клиентских компьютеров, поэтому вы можете гарантировать, что определенные компьютеры всегда будут получать нужные обновления в наиболее удобное время. Например, если все компьютеры в одном отделе (например, бухгалтерии) имеют определенную конфигурацию, вы можете создать группу для этой группы, решить, какие обновления нужны их компьютерам и в какое время они должны быть установлены, а затем использовать WSUS. отчеты для оценки обновлений для команды.

Компьютеры всегда назначаются группе Все компьютеры и остаются назначенными группе Неназначенные компьютеры , пока вы не назначите их другой группе. Компьютеры могут принадлежать более чем к одной группе.

Группы компьютеров могут быть настроены в иерархии (например, группа «Расчет» и группа «Счета к оплате» под группой «Учет и отчетность»). Обновления, одобренные для более высокой группы, будут автоматически развернуты для более низких групп, а также для самой более высокой группы.Таким образом, если вы утвердите Update1 для группы «Учет», обновление будет развернуто на всех компьютерах в группе «Учет», на всех компьютерах в группе «Расчет заработной платы» и на всех компьютерах в группе «Счета к оплате».

Поскольку компьютеры могут быть отнесены к нескольким группам, одно обновление может быть утверждено более одного раза для одного и того же компьютера. Однако обновление будет развернуто только один раз, и все конфликты будут разрешены сервером WSUS. Чтобы продолжить приведенный выше пример, если компьютер A назначен как для группы «Расчет заработной платы», так и для группы «Счета к оплате», а Update1 утвержден для обеих групп, он будет развернут только один раз.

Вы можете назначать компьютеры в группы компьютеров, используя один из двух методов: нацеливание на стороне сервера или нацеливание на стороне клиента. При нацеливании на сторону сервера вы вручную перемещаете один или несколько клиентских компьютеров в одну группу компьютеров за раз. При нацеливании на сторону клиента вы используете групповую политику или редактируете параметры реестра на клиентских компьютерах, чтобы позволить этим компьютерам автоматически добавлять себя в ранее созданные группы компьютеров. Этот процесс можно создать по сценарию и развернуть на многих компьютерах одновременно.Вы должны указать метод таргетинга, который вы будете использовать на сервере WSUS, выбрав один из двух вариантов в разделе компьютеров страницы Параметры .

Примечание

Если сервер WSUS работает в режиме реплики, группы компьютеров не могут быть созданы на этом сервере. Все группы компьютеров, необходимые для клиентов сервера-реплики, должны быть созданы на сервере WSUS, который является корнем иерархии серверов WSUS. Дополнительные сведения о режиме реплики см. В разделе Запуск режима реплики WSUS, а дополнительные сведения о таргетинге на стороне сервера и клиента см. В разделе 1.5. Спланируйте группы компьютеров WSUS из Шага 1. Подготовка к развертыванию WSUS в руководстве по развертыванию WSUS.

WSUS — на что следует ориентироваться?

Официальные системные требования Microsoft — хорошая отправная точка, однако они не дают вам полной картины. Давайте посмотрим на это по очереди.

Процессор : процессор x64 1,4 гигагерца (ГГц) (рекомендуется 2 ГГц или выше)

Итак, 1,4–2,0 ГГц уже используется практически каждым процессором в любой системе, созданной за последние 10–15 лет. Вам будет сложно найти систему, которая меньше единицы.4 ГГц. То, что Microsoft не сделала в этом листе спецификаций, — это фактор использования многоядерных процессоров, гиперпоточности и виртуализации, и для них были созданы рекомендуемые спецификации. WSUS — это служба, интенсивно использующая ЦП по сравнению с ОЗУ. Находясь в виртуальной среде (мы все должны думать о виртуальной как о стандарте, а о физической только тогда, когда это необходимо для бизнеса — и мы никогда не видели необходимости в том, чтобы службы WSUS были на физическом уровне), мы в AJ Tek рекомендуем вам использовать по крайней мере столько же виртуальных ЦП, сколько у процессора ядер, и максимум столько же виртуальных ЦП, сколько процессор имеет в потоках, но будьте осторожны, чтобы не перекрестно ЦП в многопроцессорных системах.Итак, если взять пример, который показывает, что мы имеем в виду, Intel Xeon E5-2690 имеет 10 ядер и 20 потоков, которые он может использовать. В этом случае вам нужно назначить 10-20 виртуальных ЦП для виртуальной машины, содержащей WSUS, и если система будет многопроцессорной системой с 4 процессорами, вы все равно захотите назначить максимум 20 виртуальных ЦП, чтобы вы не переходите к использованию других процессоров. Это руководство для физических систем, а не для облачных, таких как Azure или AWS, где вы должны платить за виртуальные процессоры.

Память : WSUS требует дополнительных 2 ГБ ОЗУ больше, чем требуется для сервера и всех других служб или программного обеспечения.

На 2 ГБ больше, чем используется ОС, это очень мало оперативной памяти, однако, как упоминалось выше, WSUS более интенсивно использует ЦП по сравнению с ОЗУ, поэтому, если вы следуете приведенным выше рекомендациям с ЦП, ваша система может обрабатывать более быстрое освобождение увеличить оперативную память быстрее. Мы рекомендуем для небольшого предприятия выделить 4 ГБ статической ОЗУ для выделенного сервера WSUS. Статический режим по отношению к виртуальным машинам предпочтительнее, если у вас небольшое оборудование, поскольку виртуальной машине не нужно выделять ресурсы для увеличения и уменьшения ОЗУ.Если у вас есть другой набор служб на сервере, соответственно увеличьте оперативную память. Если это более крупная реализация, достаточно динамической ОЗУ с объемом ОЗУ не менее 8 ГБ.

Доступное дисковое пространство : 10 ГБ (рекомендуется 40 ГБ или больше)

Давайте будем реальными. Эти цифры просто смешны. Смешно, потому что большинство людей, использующих WSUS , будут хранить обновления локально. Минимум 10 ГБ — отличная отправная точка для серверов WSUS, которые НЕ хранят обновления локально, поскольку они просто хранят базу данных, содержащую метаданные WSUS.Фактически, 40 ГБ или больше распространяется на Microsoft с оговоркой «или больше». При использовании одной клиентской ОС и одной серверной ОС и ничего, кроме безопасности и критических обновлений, можно получить менее 40 ГБ — при условии, что ваша система чистая, оптимизированная и обслуживается. На самом деле хранилище данных объемом 85–150 ГБ является средним для бизнеса, если оно поддерживается со всеми классификациями, проверенными только с проверенными продуктами, которые есть в вашей сети. Если он не обслуживается, мы видели, что он вырастает до более чем терабайта — терабайта, который можно легко восстановить, если вы WAM свой сервер.™

Сетевой адаптер : 100 мегабит в секунду (Мбит / с) или больше

1 Гбит / с или больше действительно следует использовать (на порте коммутатора 1 Гбит или больше), поскольку в наши дни 100 Мбит в большинстве мест относительно дешево для перехода на гигабитные скорости.

Настройки пула приложений : По умолчанию Microsoft устанавливает значение 1,8 ГБ.

Microsoft никогда не указывала это в своем руководстве и вместо этого установила значение по умолчанию 1,8 ГБ. Когда был создан WSUS, и на протяжении многих лет 1.Примерно до 2013 года было достаточно 8 ГБ. Это примерно то время, когда он начал оказывать серьезное влияние на большие установки и становился проблематичным. Это значение по умолчанию слишком низкое и приведет к постоянному сбою WSUS MMC. Мы рекомендуем пошаговую настройку. Изначально установил 4Гб. Если проблемы по-прежнему возникают, установите значение 8 ГБ. Если проблемы по-прежнему возникают, установите значение 0, которое не ограничено. Если у вас установлен WSUS Automated Maintenance (WAM) ©, тогда легко увидеть и настроить память пула приложений.Используйте оболочку WAM (Меню Windows> Программы> AJ Tek> Автоматическое обслуживание WSUS> Оболочка WAM), чтобы проверить текущий уровень памяти, запустив:

 . \ Clean-WSUS.ps1 -DisplayApplicationPoolMemory  

Если он меньше 4 ГБ, установите значение 4 ГБ:

 . \ Clean-WSUS.ps1-SetApplicationPoolMemory 4096  

Если это 4 ГБ или больше, но меньше 8 ГБ, установите 8 ГБ:

 . \ Чистый WSUS.ps1 -SetApplicationPoolMemory 8192  

Если это уже 8 ГБ или больше, установите неограниченное значение:

 . \ Clean-WSUS.ps1 -SetApplicationPoolMemory 0  

Как настроить, управлять и поддерживать WSUS: Часть 8 — Обслуживание сервера WSUS

Обслуживание сервера WSUS

Неудивительно, что сам сервер WSUS требует обслуживания. Он имеет базу данных SQL (по умолчанию с использованием внутренней базы данных Windows — WID), он управляет файлами в файловой системе для своих обновлений, у него есть обновления, которые выпускаются, а затем иногда повторно выпускаются, заменяя предыдущую версию, в базе данных, которую он несет список компьютеров, отправляющих отчеты и запрашивающих обновления, включая целый набор динамически изменяющихся данных, таких как номера версий ОС, номера версий BIOS, необходимые обновления, установленные обновления и т. д.

Периодически (обычно раз в квартал) вы должны просматривать продукты и классификации, которые включены, отключены и доступны для выбора. Если у вас есть новый продукт, представленный в вашей сети, вы должны выбрать его. Если вы уже удалили ранее выбранный продукт из своей сети, снимите флажок рядом с ним. Снимая флажок и выполняя синхронизацию с Microsoft (вручную или автоматически в следующем интервале), вы указываете серверам Microsoft, что этот продукт больше не будет использоваться, и синхронизация с Microsoft истечет для всех обновлений в пределах тот набор продуктов, который вы удалили.По истечении срока действия обновлений при следующем запуске мастера очистки сервера (SCW) он удалит файлы с сервера.

А как насчет новых серверов WSUS? Что может стать неожиданностью для большинства людей, так это то, что даже если вы ПРОСТО установите сервер WSUS (перестроенный или новый), его необходимо сразу же провести надлежащее обслуживание. Во время процесса установки он выполняет синхронизацию с Microsoft, загружает несколько обновлений в базу данных (утвержденных или нет с помощью автоутверждения), и, как сообщают несколько компьютеров, он уже фрагментирует базу данных SQL.Конечно, WSUS будет работать без какого-либо обслуживания на этом этапе, но он тоже не будет работать, и у администратора есть БОЛЬШЕ вещей, которые нужно сделать. Большинство из этих синхронизированных обновлений не применимы к вашим системам или заменяются другими обновлениями. Я хочу здесь кое-что подчеркнуть:

Тот факт, что вы установили новый сервер WSUS, не означает, что он чистый или оптимизированный; это просто означает, что это НОВИНКА!

WSUS делает ужасную работу по поддержанию своей чистоты — у него нет автоматических процессов, у него нет внутренней идентификации проблем и последующего запуска исправления, и все, что вам осталось от Microsoft, — это Мастер очистки сервера (SCW), который очень ограничен по объему и не может работать сам по себе.Он не выполняет никакого обслуживания SQL в базе данных, у него очень жесткие ограничения на то, что он отклоняет, в нем жестко запрограммировано 30-дневное удаление компьютерных объектов, и он не удаляет обновления из базы данных, а только отклоняет их. Это только начало проблем с SCW. Вплоть до недавнего времени (2016 г.) у WSUS не было руководства администратора по поддержке WSUS, написанного Microsoft (обновлено в марте 2019 г.). Это руководство, как видите, очень трудоемкое, в зависимости от вашего технического уровня, сложное в настройке и в целом не охватывает ничего, кроме основ.

WSUS Automated Maintenance (WAM) заполняет пробел между ручным запуском и выяснением того, как найти и реализовать случайные сценарии SQL для исправления определенных вещей, выяснением способа их планирования с помощью планировщика задач, вручную или с помощью планировщика задач, запускающего SCW, и возможность видеть вывод этих команд для выявления возможных проблем. Помогая другим людям с их проблемами WSUS, я заметил, что есть ряд областей, которые помогают уменьшить размер папки с содержимым и предотвратить распространенные проблемы, которые руководство Microsoft даже не затрагивает.Они были созданы как функции WAM.

WSUS Automated Maintenance оценивается как модель ценообразования на основе уровней. Чем больше серверов WSUS вы используете, тем больше вы заплатите. Автоматическое обслуживание WSUS ДЕШЕВО И ДОСТУПНО для любого бизнеса, которому требуется WSUS, включая тех, кто использует System Center Configuration Manager (SCCM), который использует WSUS в качестве точек распространения. Если у вас есть 1 сервер, обслуживающий 15 клиентов или 5000 клиентов, цена лицензирования WAM такая же. Если у вас более распределенная сеть с 5 подчиненными серверами и 1 вышестоящим сервером, обслуживающая 200 клиентов или 20 000 клиентов, цена лицензирования WAM одинакова (1 восходящий и 5 нисходящих).Ознакомьтесь с функциями WAM и решите для себя, стоит ли экономия времени потраченных средств, затем приобретите подписку на WAM для каждого сервера WSUS в вашей сети, а затем WAM для вашего сервера! ™

Введение в службы обновления Windows Server (WSUS)

• 22.05.2017
• Время лекций: 3 минуты

En este artículo

Применяется к: Windows Server (полуавтоматический канал), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Применимо к: Windows Server (полугодовой канал), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

(WSUS) позволяют администраторам технологических технологий реализовать последние актуальные продукты Microsoft.Службы Windows Server Update Services (WSUS) позволяют администраторам информационных технологий развертывать последние обновления продуктов Microsoft. Используйте WSUS для администратора по полному распространению актуальных обновлений, которые публикуются в рамках обновления Microsoft Update, и вы можете использовать WSUS для полного управления распространением обновлений, которые выпускаются через Microsoft Update, на компьютеры в вашей сети. En este tema se proporciona información general sobre este rol de servidor y más información sobre cómo implementationar y mantener WSUS.В этом разделе представлен обзор этой роли сервера и дополнительная информация о том, как развертывать и поддерживать WSUS.

Описание роли сервера WSUSWSUS Описание роли сервера

Сервер WSUS, поддерживающий все характеристики, использует очередь для администрирования и распределения, актуализирующего среднюю консоль администрирования. Сервер WSUS предоставляет функции, которые можно использовать для управления и распространения обновлений через консоль управления. Сервер WSUS работает с исходным действующим сервером для других серверов WSUS в организации.Сервер WSUS также может быть источником обновлений для других серверов WSUS в организации. Сервер WSUS, который действует как исходный объект актуализации, является сервером WSUS, который действует как источник обновлений, называется вышестоящим сервером. При реализации WSUS, все меню и сервера WSUS для Red Debe Tener la Capacidad de Conectarse обновляются Microsoft Update, чтобы получить доступную информацию для актуализации. В реализации WSUS по крайней мере один сервер WSUS в вашей сети должен иметь возможность подключаться к Центр обновления Майкрософт, чтобы получить доступную информацию об обновлениях.Como administrator puedesterminar, en función de la configuración y seguridad de red, la cantidad de servidores WSUS, quieres que se conecten directamente a Microsoft Update. Как администратор, вы можете определить — на основе сетевой безопасности и конфигурации — сколько других серверов WSUS подключиться напрямую к Центру обновления Майкрософт.

Aplicaciones prácticas Практическое применение

La administración de actualizaciones es el processso por el cual se controla la имплементация и управление версиями временных версий программного обеспечения и энторносов производственного процесса.Управление обновлениями — это процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в производственных средах. Le permite preservar la eficiencia operativa, superar weakrabilidades de seguridad y mantener la creatilidad del entorno de producción.Это помогает вам поддерживать эффективность работы, преодолевать уязвимости безопасности и поддерживать стабильность вашей производственной среды. Si su organizationación no puedeterminar y mantener un nivel conocido de confianza en sus sistemas operativos y software de aplicación, podría tener una serie de weakrabilidades de seguridad que, si se explotan, afectarían ingresos y la propiedad intelectual.Если ваша организация не может определить и поддерживать известный уровень доверия к своим операционным системам и прикладному программному обеспечению, у нее может быть ряд уязвимостей, использование которых может привести к потере доходов и интеллектуальной собственности. Минимизируйте требование, чтобы все системы были правильно сконфигурированы, чтобы использовать новое программное обеспечение и установить последние обновления рекомендуемых программ. Для минимизации этой угрозы необходимо правильно сконфигурировать системы, использовать новейшее программное обеспечение и установить рекомендуемые обновления программного обеспечения.

Los escenarios Principalales en los que WSUS favorece a su negocio son los siguientes: Основные сценарии, в которых WSUS повышает ценность вашего бизнеса:

Funcionalidad nueva y modificada Новые и измененные функции

Nota

Для процедуры обновления текущей версии Windows Server, которая полностью совместима с WSUS 3.2 и Windows Server 2012 R2, прежде всего, WSUS 3.2. Обновите любую версию Windows Server, поддерживающую WSUS 3.2 для Windows Server 2012 R2 требует, чтобы вы сначала удалили WSUS 3.2.

En Windows Server 2012, необходимо обновить версию Windows Server с WSUS 3.2, чтобы установить WSUS 3.2. В Windows Server 2012 обновление любой версии Windows Server с установленным WSUS 3.2 заблокировано во время процесс установки, если обнаружен WSUS 3.2. В этом случае вы можете установить основные службы Windows Server Update Services и обновить их сервер.В этом случае вам будет предложено сначала удалить службы Windows Server Update Services перед обновлением вашего сервера.

Sin embargo, debido a los cambios en esta versión de Windows Server y Windows Server 2012 R2, al process a la actualización de cualquier version de Windows Server y WSUS 3.2, la instalación no se bloquea. Однако из-за изменений в этом выпуске Windows Server и Windows Server 2012 R2, при обновлении с любой версии Windows Server и WSUS 3.2 установка не блокируется.Если вы не удалите WSUS 3.2, это может вызвать актуализацию Windows Server 2012 R2, вызвав ошибку и последующую установку WSUS в Windows Server 2012 R2. Если не удалить WSUS 3.2 перед обновлением Windows Server 2012 R2, это приведет к выполнить задачи после установки WSUS в Windows Server 2012 R2. En ese caso, la única solución conocida consiste en formatear el disco duro y restalar Windows Server. В этом случае единственная известная мера по исправлению — отформатировать жесткий диск и переустановить Windows Server.

Windows Server Update Services — это интегрированный серверный сервер, который включает в себя важные ключевые слова: Windows Server Update Services — это встроенная роль сервера, которая включает следующие усовершенствования:

• Добавить или удалить с администратором сервера. Может быть добавлено и удалено с помощью диспетчера сервера.

• Включает командлеты Windows PowerShell для администрирования последних административных областей, важных для WSUS. Включает командлеты Windows PowerShell для управления наиболее важными административными задачами в WSUS

• Добавить хэш-код SHA256 для мэра безопасности.Добавляет возможность хеширования SHA256 для дополнительной безопасности

• Разделение между клиентом и сервером: последние версии агента обновления Windows (WUA), независимые от WSUS. Обеспечивает разделение клиента и сервера: версии агента обновления Windows (WUA) могут поставляться независимо от WSUS

Использование Windows PowerShell для администратора WSUS Использование Windows PowerShell для управления WSUS

Para administrar sus operaciones, los administradores necesitan cobertura en la automatización de línea de comandos.Чтобы системные администраторы могли автоматизировать свои операции, им необходимо покрытие с помощью автоматизации из командной строки. Основная цель — облегчить администрирование WSUS и разрешить автоматические административные системы для всех операций. Основная цель — облегчить администрирование WSUS, позволяя системным администраторам автоматизировать свои повседневные операции.

¿Qué valor aporta este cambio? Какое значение добавляет это изменение?

Все основные операторы WSUS в среде Windows PowerShell, администраторы системы, добавленные на продуктивную работу, сокращают текущую производительность и устраняют ошибки, а также ожидают, что они не накапливают время для облегчения работы.Предоставляя доступ к основным операциям WSUS через Windows PowerShell, системные администраторы могут повысить производительность, сократить время обучения новым инструментам и уменьшить количество ошибок из-за несбывшихся ожиданий, возникающих из-за отсутствия согласованности в аналогичных операциях.

¿Qué funciona de manera Diferente? Что по-другому работает?

В предыдущих версиях операционной системы Windows Server отсутствуют командлеты Windows PowerShell и автоматизация администрирования в эпоху дезактивации.В более ранних версиях операционной системы Windows Server не было командлетов Windows PowerShell, и автоматизация управления обновлениями была сложной задачей. Командлеты Windows PowerShell для работы с WSUS могут быть гибкими и гибкими для администратора системы. Командлеты Windows PowerShell для операций WSUS добавляют гибкости и маневренности системному администратору.

En esta colecciónВ этой коллекции

Las siguientes guías para planear, Implementar y administrator WSUS se encuentran en esta colección: В этой коллекции находятся следующие руководства по планированию, развертыванию и управлению WSUS: