Wsus настройка: Шаг 2. Настройка WSUS | Microsoft Docs

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск — Выполнить — gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.

Вот мы и подошли к еще одной важной настройке сервера — автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры — Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.

Настройка SSL для WSUS

Можно настроить использование протокола SSL (Secure Sockets Layer) для защиты развертывания WSUS. Использование SSL позволяет клиентским компьютерам и подчиненным WSUS-серверам производить проверку подлинности сервера WSUS. Использование SSL также позволяет шифровать метаданные, передаваемые между клиентскими компьютерами и подчиненными WSUS-серверами. Следует иметь в виду, что шифрование SSL используется WSUS-сервером только для метаданных, а не для содержимого. Таким же образом осуществляется распределение обновлений с центра обновления Майкрософт.

Обновления состоят из двух частей:

• метаданных, в которых описано обновление;
• файлов для установки обновления на компьютер.

Для снижения риска, связанного с отправкой файлов обновлений по незашифрованному каналу, корпорация Майкрософт добавляет подпись для каждого обновления. Кроме того, вычисляется хэш-код и отправляется вместе с метаданными для каждого обновления. При загрузке обновления WSUS проверяет цифровую подпись и хэш-код. Если обновление было изменено, то оно не устанавливается.

Администраторы, планирующие выполнение SSL-развертываний WSUS, должны обратить внимание на следующие две проблемы.

1. Защита развертывания WSUS с использованием шифрования SSL увеличивает нагрузку на сервер. Необходимо учитывать потерю производительности примерно на 10 процентов, связанную с шифрованием всех метаданных, передаваемых по сети.
2. Если используется удаленный SQL-сервер, то соединение между WSUS-сервером и сервером, на котором хранится база данных, не защищается с помощью шифрования SSL. Если требуется защитить подключение к базе данных, необходимо учитывать следующие рекомендации:
   • Перенесите базу данных на WSUS-сервер (конфигурация WSUS по умолчанию).
   • Поместите удаленный сервер, на котором запущен SQL-сервер, и WSUS-сервер в частную сеть.
   • Установите в сети защиту IPsec (Internet Protocol security) для защиты сетевого трафика. Для получения указаний по развертыванию защиты IPsec в вашей среде см. раздел «Обзор IPsec» в руководстве по развертыванию сервера Windows Server (http://go.microsoft.com/fwlink/?LinkId=45154).

Самое важное, что необходимо помнить при настройке использования SSL на WSUS-сервере, это то, что в этой конфигурации для сервера WSUS требуется два порта: один порт для шифрованных метаданных, использующих протокол HTTPS и один порт для данных, передаваемых по протоколу HTTP. При настройке использования SSL службами IIS необходимо учитывать следующие моменты.

• Невозможно настроить обязательное использование SSL на всем веб-узле WSUS. Это означало бы, что весь трафик веб-узла WSUS будет зашифрован, однако WSUS шифрует только метаданные обновления. Если клиентский компьютер или другой WSUS-сервер попытается получить от WSUS файлы обновления через порт HTTPS, передача будет невозможной.

  Чтобы обеспечить максимально возможную защищенность веб-узла WSUS, рекомендуется настроить обязательное использование SSL только для следующих виртуальных корней:

  • SimpleAuthWebService
  • DSSAuthWebService
  • ServerSyncWebService
  • APIRemoting30
  • ClientWebService
  Чтобы обеспечить работу WSUS, необходимо отключить обязательное использование SSL для следующих виртуальных корней:
  • Содержимое
  • Данные
  • ReportingWebService
  • SelfUpdate
• Необходимо настроить имя сервера сертификатов. Для этого выполните следующую команду на WSUS-сервере:

  wsusutil configuressl certificateName,

  где certificateName соответствует имени DNS WSUS-сервера. Например, если клиентские компьютеры будут подключаться к серверу https://myWSUSServer, то вместо certificateName необходимо указать myWSUSServer. Если клиентские компьютеры подключаются к узлу https://myWSUSServer.myDomain.com, то вместо certificateName следует указать myWSUSServer.myDomain.com.

• Сертификат из центра сертификатов необходимо импортировать либо в хранилище «Доверенные корневые центры сертификации» локального компьютера, либо в хранилище «Доверенные корневые центры сертификации» WSUS на подчиненных WSUS-серверах. Если сертификат импортирован только в хранилище «Доверенные корневые центры сертификации» локального пользователя, то проверка подчиненного WSUS-сервера не будет выполняться на вышестоящем сервере. Для получения дополнительных сведений о сертификатах SSL см. статью 299875 в базе знаний Майкрософт (http://go.microsoft.com/fwlink/?LinkId=86176).
• Сертификат необходимо импортировать на все компьютеры, обменивающиеся данными с сервером, включая все клиентские компьютеры, подчиненные серверы, а также компьютеры, на которых удаленно запущена консоль администрирования WSUS. Сертификат также необходимо импортировать в хранилище «Доверенные корневые центры сертификации» локального компьютера или в хранилище «Доверенные корневые центры сертификации» WSUS.
• При настройке использования SSL службами IIS можно указать любой порт. Однако порт, который указан при настройке SSL, определяет порт, который WSUS используется для открытого трафика HTTP. Рассмотрим следующие примеры.
  • Если используется стандартный порт 443 для трафика HTTPS, WSUS использует порт 80 для открытого трафика HTTP, который обычно используется для трафика HTTP.
  • Если используется любой другой порт для трафика HTTPS, WSUS предполагает, что открытый трафик HTTP должен передаваться через порт с предыдущим номером по отношению к порту для трафика HTTPS. Например, если используется порт 8531 для трафика HTTPS, WSUS используется порт 8530 для трафика HTTP.

При настройке клиентских компьютеров необходимо обратить внимание на следующие три важных предупреждения.

• Необходимо включить URL-адрес для защищенного порта, прослушиваемого сервером WSUS. Поскольку нельзя требовать использования SSL на сервере, единственный способ обеспечить использование клиентскими компьютерами защищенного канала заключается в использовании URL-адреса с указанием протокола HTTPS. Если для SSL используется порт, отличный от 443, необходимо также включить этот порт в URL-адрес.

  Например, https://<ssl-servername> указывает, что WSUS-сервер использует порт 443 для трафика HTTPS, а https://<ssl-servername>:3051 указывает WSUS-сервер, который использует для SSL нестандартный порт 3051.

  Для получения дополнительных сведений о том, как указать адрес WSUS-сервера на клиентских компьютерах, см. раздел «Настройка расположения службы Windows Update в интрасети» в главе «Настройка клиентов с помощью групповой политики» руководства по развертыванию WSUS (http://go.microsoft.com/fwlink/?LinkId=102460).

• Сертификат на клиентских компьютерах необходимо импортировать либо в хранилище «Доверенные корневые центры сертификации» локального компьютера, либо в хранилище «Доверенные корневые центры сертификации» службы автоматического обновления. Если сертификат импортирован только в хранилище «Доверенные корневые центры сертификации» локального пользователя, проверка подлинности сервера службой автоматического обновления выполнена не будет.
• Клиентские компьютеры должны доверять сертификату для привязки к WSUS-серверу в службах IIS. В зависимости от типа используемого сертификата, возможно, придется разрешить клиентам доверять сертификатам, привязанным к WSUS-серверу. Для получения дополнительных сведений см. раздел «Дополнительные ссылки» далее.

Можно настроить синхронизацию подчиненного сервера с вышестоящим сервером, использующим SSL.

1. В оснастке «Администрирование WSUS» выберите Параметры, а затем выберите Обновление источника и прокси-сервера.

2. В поле Источник обновления установите флажок Синхронизовать с сервером Windows Server Update Services, введите имя вышестоящего сервера и номер порта, используемого для соединений SSL, а затем установите флажок Использовать SSL при синхронизации данных об обновлениях.

3. Нажмите кнопку ОК, чтобы сохранить параметры.

Дополнительные ссылки

• Настройка центра сертификатов, привязка сертификата к веб-узлу WSUS и последующая самонастройка клиентских компьютеров для установки доверия сертификату на веб-узле WSUS являются сложными задачами администрирования. Пошаговые инструкции по выполнению каждой задачи выходят за рамки настоящего руководства.

  Однако имеются несколько статей по этому вопросу. Для получения дополнительных сведений и указаний по установке сертификатов и настройке среды см. следующие ресурсы:

  • Руководство по сопровождению инфраструктуры открытого ключа Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=83159) содержит указания для администраторов по настройке и использованию центра сертификации Windows.
  • В статье 299875 базы знаний Майкрософт (http://go.microsoft.com/fwlink/?LinkId=86176) приведены пошаговые инструкции по развертыванию SSL в службах IIS.
  • В руководстве по автоматическому развертыванию сертификатов в Windows Server 2003 (http://go.microsoft.com/fwlink/?LinkId=17801) содержатся указания по автоматическому развертыванию клиентских компьютеров с системой Windows XP в корпоративных средах Windows Server 2003, интегрированных с Active Directory.
  • В руководстве по расширенному управлению и заявкам на сертификат (http://go.microsoft.com/fwlink/?LinkId=83160) содержатся указания по автоматическому развертыванию клиентских компьютеров в других средах.
• Windows Server Update Services

Вкладка ‘Сервер WSUS’

Вкладка Сервер WSUS используется для конфигурации взаимодействия плагина с вашим сервером WSUS. Она также используется для указания сертификата, который будет применяться для создания цифровой подписи данных, публикуемых на сервере WSUS.

Информация сервера WSUS

•Имя: Подтвердите имя или IP-адрес вашего сервера WSUS. Обычно эта информация определяется и заполняется автоматически.

•Порт: Подтвердите номер порта, используемого при установке подключения к вашему серверу WSUS. Значение по умолчанию для незащищенных подключений равно 80 или 8530. Для безопасных подключений обычно используется значение 443 или 8531.

•Тест подключения: Если вы хотите проверить возможность подключения к серверу WSUS, нажмите Тест подключения.

•Использовать безопасное подключение к этому серверу: Установите этот параметр, если ваш сервер WSUS сконфигурирован для использования безопасного подключения. Безопасное подключение является обязательным, если вам необходимо импортировать подписывающий сертификат. См. раздел Импорт сертификата для получения дополнительной информации.

Информация подписывающего сертификата

Сертификат для подписи кода необходим для публикации обновлений на сервере WSUS. Если у вас уже есть подписывающий сертификат в нужном месте, он будет показан в области Текущий сертификат.

Вы можете выполнять для сертификатов следующие задачи:

•Экспорт: Экспорт текущего сертификата внутри ПО Исправление для MEM. Для обеспечения безопасности сертификат экспортируется без закрытого ключа. После экспорта сертификата вы должны будете распространить его на клиентские компьютеры и компьютеры инфраструктуры (например, другие компьютеры, на которых работает плагин Исправление для MEM, последующие серверы WSUS и клиенты ПО обновления Windows). Это необходимо для того, чтобы компьютеры могли получать локально опубликованные обновления.

•Импорт: Используется для импорта сертификата для подписания кода, который был создан Центром сертификации. Для импорта сертификата требуется безопасное подключение.

•Создание самоподписывающего сертификата: Используется для создания сертификата для подписания кода внутри вашего предприятия. Этот процесс использует службы WSUS для создания сертификата.

Для получения дополнительной информации об экспорте, импорте, создании и обновлении сертификатов см. раздел Обзор сертификата и другие темы по вопросам использования сертификатов.

•Используйте сервер штампов времени во время подписи пакетов WSUS: Указывает, если вы хотите применить штамп времени для ваших пакетов WSUS во время процесса публикации. Используйте поле Сервер для указания URI-адреса пути предпочитаемого сервера штампов времени.

Одним из преимуществ использования штампов времени является то, что вам не требуется повторного подписания пакетов обновления после завершения действия подписывающего сертификата сервера WSUS. Это происходит потому, штамп времени допускает проверку подписи даже после завершения действия подписывающего сертификата. Процесс повторного подписания обновлений и их повторного распространения в нужные места может быть сложной и трудоемкой задачей, поэтому использование штампов времени поможет вам избежать проблем.

Для проверки должной работы процесса штампов времени нажмите Тест. Если вы опытный пользователь и хотите отобразить сам штамп времени после его применения, выполните следующие действия:

a) Перейдите на ваш сервер WSUS.

b) Найдите файл .cab, связанный с опубликованным обновлением.

Местоположение файла .cab можно найти в рабочей зоне Опубликованные обновления сторонних компаний. Выберите нужное опубликованное обновление, а затем на нижней панели см. метку Местоположение данных.

c) Нажмите правой кнопкой мыши файл .cab, выберите Свойства, а найдите штамп времени на вкладке Цифровые подписи.

Автоматическая подписка на категории

Обычный процесс — это автоматическая подписка на категорию WSUS после публикации обновления, если обновление находится в группе обновлений ПО и требует синхронизации. Если вам всегда нужно выполнять подписку на опубликованные пакеты независимо от того, входит ли обновление в группу обновлений ПО и/или требует синхронизации, установите параметр Автоматическая подписка на категории после синхронизации публикаций..

Настройка веб-сайта WSUS на использование протокола SSL

Если сервер сайта Configuration Manager 2007 находится в основном режиме или активная точка обновления программного обеспечения настроена для использования протокола SSL, имеется пять виртуальных корней, которые необходимо настроить для использования защищенного канала на сервере активной точки обновления программного обеспечения и сервере активной интернет-точки обновления программного обеспечения, если они настроены. Виртуальные корни расположены под веб-сайтом, используемым сервером служб Windows Server Update Services (WSUS), и их можно изменить с помощью диспетчера служб IIS. После того как виртуальные корни настроены, необходимо запустить средство WSUSUtil, чтобы сообщить компоненту мониторинга работоспособности из служб WSUS о необходимости использования SSL.

Чтобы настроить SSL на сервере WSUS, используйте одну из следующих процедур.

1. На сервере WSUS откройте диспетчер служб IIS.

2. Разверните Веб-сайты, затем веб-сайт сервера WSUS. Рекомендуется использовать пользовательский веб-сайт администрирования WSUS, однако при установке WSUS мог быть выбран веб-сайт по умолчанию.

3. Выполните следующие шаги относительно виртуальных каталогов APIRemoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService и SimpleAuthWebService, расположенных ниже веб-сайта WSUS:

   1. Щелкните правой кнопкой мыши веб-сайт или виртуальный каталог и выберите пункт Свойства.
   2. Откройте вкладку Безопасность каталога, затем в разделе Безопасные подключения нажмите кнопку Изменить.
   3. Выберите параметр Требовать безопасный канал (протокол SSL) и нажмите кнопку OК.
   4. Нажмите кнопку ОК, чтобы закрыть свойства для этого виртуального корня.

4. Закройте службы IIS.

5. Выполните следующую команду из папки <папка установки WSUS>\Tools: WSUSUtil.exe configuressl <полное доменное имя системы сайта точки обновления программного обеспечения в интрасети>.

   Важно!

   Для интернет-точки обновления программного обеспечения в основном режиме требуется сертификат веб-сервера, в котором должно быть указано как полное доменное имя в Интернете, так и полное доменное имя в интрасети, даже если клиенты из интрасети не будут к ней подключаться. Если с помощью команды WSUSUtil указать полное доменное имя в интрасети, но не добавить его в сертификат веб-сервера, интернет-точка обновления программного обеспечения не сможет подключиться к активной точке обновления программного обеспечения в интрасети и произойдет сбой синхронизации обновлений. Дополнительные сведения см. в разделе Требования к сертификатам для работы в основном режиме.

1. На сервере WSUS откройте диспетчер служб IIS.

2. Разверните Сайты, а затем разверните веб-сайт для сервера WSUS. Рекомендуется использовать пользовательский веб-сайт администрирования WSUS, однако при установке WSUS мог быть выбран веб-сайт по умолчанию.

3. Выполните следующие шаги относительно виртуальных каталогов APIRemoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService и SimpleAuthWebService, расположенных ниже веб-сайта WSUS:

   1. В Просмотр возможностей дважды щелкните компонент Параметры SSL.
   2. На странице Параметры SSL выберите Требовать SSL.
   3. В области Действия нажмите кнопку Применить.

4. Закройте диспетчер IIS.

5. Выполните следующую команду из папки <папка установки WSUS>\Tools: WSUSUtil.exe configuressl <полное доменное имя системы сайта точки обновления программного обеспечения в интрасети>.

См. также

Настройка протокола SSL для служб WSUS

Для повышения безопасности развертывания служб Windows Server® Update Services (WSUS) можно использовать протокол SSL. Службы WSUS используют протокол SSL, чтобы позволить клиентским компьютерам и нижестоящим серверам WSUS выполнить проверку подлинности сервера WSUS. Службы WSUS также используют протокол SSL для шифрования метаданных, передаваемых между клиентскими компьютерами и нижестоящими серверами WSUS. Будьте внимательны, службы WSUS используют протокол SSL только для метаданных, но не для содержимого. Этот способ используется для распространения обновлений и Центром обновления Майкрософт.

Обновления состоят из двух частей:

• метаданные, описывающие обновление;
• файлы, устанавливаемые на компьютер.

Корпорация Майкрософт уменьшает опасность передачи файлов обновлений по нешифрованным каналам, подписывая каждое обновление. Кроме того, для каждого обновления вычисляется хэш-значение, отправляемое вместе с метаданными. После загрузки обновления служба WSUS проверяет цифровую подпись и хэш-значение. Если обновление было изменено, оно не устанавливается.

Подробные действия по настройке SSL на сервере WSUS и на клиенте WSUS см. в руководстве по развертыванию WSUS на странице https://go.microsoft.com/fwlink/?LinkId=139832.

Ограничения SSL-развертываний WSUS

При планировании SSL-развертываний WSUS администраторам следует учитывать два ограничения:

1. Защита развертывания WSUS с помощью SSL повышает нагрузку на сервер. Следует планировать примерную потерю 10 процентов быстродействия из-за дополнительных действий по шифрованию всех метаданных, передаваемых по сети.
2. При использовании удаленного сервера SQL Server соединение между сервером WSUS и сервером базы данных не защищается с помощью протокола SSL. Если необходимо защищенное подключение к базе данных, можно воспользоваться следующими рекомендациями:
   • Поместите базу данных на сервер WSUS (конфигурация WSUS по умолчанию).
   • Поместите удаленный сервер, на котором работает SQL Server, и сервер WSUS в частную сеть.
   • Разверните в своей сети решения IPsec, чтобы защитить трафик по сети. Инструкции по развертыванию IPsec в используемой среде см. в руководстве по серверу развертывания Windows (https://go.microsoft.com/fwlink/?LinkId=45154).

Дополнительные источники информации

Установка Центра сертификатов (ЦС), привязка сертификата к веб-сайту WSUS и последующая начальная загрузка клиентских компьютеров для подтверждения сертификата на веб-сайте WSUS являются сложными задачами администрирования. Пошаговые процедуры для выполнения каждой из этих задач в данном разделе не описываются. Но доступен ряд статей по соответствующим темам. Дополнительные сведения и инструкции об установке сертификатов и настройке используемой среды см. в следующих ресурсах:

• Руководство по эксплуатации Windows Server 2003 PKI (https://go.microsoft.com/fwlink/?LinkId=83159) содержит руководство для администраторов по настройке и эксплуатации Центра сертификации Windows.
• Статья 299875 базы знаний Майкрософт (https://go.microsoft.com/fwlink/?LinkId=86176) предоставляет пошаговые инструкции по реализации протокола SSL в IIS.
• Технический справочник по автоматической регистрации сертификатов в Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkId=17801) содержит инструкции по автоматическому развертыванию клиентских компьютеров с операционными системами Windows XP в корпоративных средах Windows Server 2003, интегрированных со службами Active Directory.
• Статья «Дополнительные возможности при регистрации сертификатов и управлении ими» (https://go.microsoft.com/fwlink/?LinkId=83160) предоставляет инструкции по автоматическому запрашиванию сертификатов клиентских компьютеров в других средах.

См. также

Шаг 2. Настройка WSUS

• 18.09.2020
• 22 минуты на чтение

В этой статье

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

После установки роли сервера WSUS на вашем сервере необходимо правильно ее настроить.В следующем контрольном списке перечислены этапы выполнения начальной настройки сервера WSUS.

2.1. Настроить сетевые подключения

Перед тем, как начать процесс настройки, убедитесь, что знаете ответы на следующие вопросы:

1. Настроен ли брандмауэр сервера, чтобы разрешить клиентам доступ к серверу?

2. Может ли этот компьютер подключиться к вышестоящему серверу (например, серверу, предназначенному для загрузки обновлений из Центра обновления Майкрософт)?

3. У вас есть имя прокси-сервера и учетные данные пользователя для прокси-сервера, если они вам нужны?

По умолчанию WSUS настроен на использование Центра обновления Майкрософт в качестве места для получения обновлений.Если у вас есть прокси-сервер в сети, вы можете настроить WSUS на использование прокси-сервера. Если между WSUS и Интернетом есть корпоративный брандмауэр, вам, возможно, придется настроить брандмауэр, чтобы WSUS мог получать обновления.

Подсказка

Хотя для загрузки обновлений из Центра обновления Майкрософт требуется подключение к Интернету, WSUS предлагает вам возможность импортировать обновления в сети, не подключенные к Интернету.

Когда у вас есть ответы на эти вопросы, вы можете приступить к настройке следующих сетевых параметров WSUS:

• Обновления Укажите способ, которым этот сервер будет получать обновления (из Центра обновления Майкрософт или с другого сервера WSUS).

• Прокси-сервер Если вы определили, что WSUS необходимо использовать прокси-сервер для доступа в Интернет, вам необходимо настроить параметры прокси на сервере WSUS.

• Межсетевой экран Если вы определили, что WSUS находится за корпоративным межсетевым экраном, необходимо выполнить некоторые дополнительные действия на граничном устройстве, чтобы правильно разрешить трафик WSUS.

2.1.1. Подключение с сервера WSUS к Интернету

Если между WSUS и Интернетом есть корпоративный брандмауэр, вам, возможно, придется настроить этот брандмауэр, чтобы WSUS мог получать обновления.Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порт 443 для протокола HTTPS. Хотя большинство корпоративных брандмауэров разрешают этот тип трафика, некоторые компании ограничивают доступ в Интернет с серверов из-за политики безопасности компании. Если ваша компания ограничивает доступ, вам необходимо получить авторизацию, чтобы разрешить доступ в Интернет из WSUS по следующему списку URL-адресов:

• http://windowsupdate.microsoft.com

• http: //*.windowsupdate.microsoft.com

• https: //*.windowsupdate.microsoft.com

• http: //*.update.microsoft.com

• https: //*.update.microsoft.com

• http: //*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http: //*.download.windowsupdate.com

• http://wustat.windows.com

• http: // ntservicepack.microsoft.com

• http://go.microsoft.com

• http://dl.delivery.mp.microsoft.com

• https://dl.delivery.mp.microsoft.com

Важно

Информацию о сценарии, в котором WSUS не удается получить обновления из-за настроек брандмауэра, см. В статье 885819 в базе знаний Microsoft.

В следующем разделе описывается, как настроить корпоративный брандмауэр, расположенный между WSUS и Интернетом.Поскольку WSUS инициирует весь сетевой трафик, нет необходимости настраивать брандмауэр Windows на сервере WSUS. Хотя соединение между Центром обновления Майкрософт и WSUS требует, чтобы были открыты порты 80 и 443, вы можете настроить несколько серверов WSUS для синхронизации с настраиваемым портом.

2.1.2. Соединение между серверами WSUS

Исходящие и исходящие серверы WSUS будут синхронизироваться через порт, настроенный администратором WSUS. По умолчанию эти порты настроены следующим образом:

• На WSUS 3.2 и ранее, порт 80 для HTTP и 443 для HTTPS

• В WSUS 6.2 и более поздних версиях (как минимум Windows Server 2012) используется порт 8530 для HTTP и 8531 для HTTPS

Брандмауэр на сервере WSUS должен быть настроен для разрешения входящего трафика на эти порты.

2.1.3. Соединение между клиентами (агентом обновления Windows) и серверами WSUS

Подслушивающие интерфейсы и порты настраиваются на сайтах IIS для WSUS и в любых параметрах групповой политики, используемых для настройки клиентских компьютеров.Порты по умолчанию такие же, как те, что указаны в предыдущем разделе Соединение между серверами WSUS , и брандмауэр на сервере WSUS также должен быть настроен для разрешения входящего трафика на этих портах.

Настроить прокси-сервер

Если в корпоративной сети используются прокси-серверы, прокси-серверы должны поддерживать протоколы HTTP и SSL и использовать базовую проверку подлинности или проверку подлинности Windows. Этим требованиям можно удовлетворить, используя одну из следующих конфигураций:

1. Один прокси-сервер, поддерживающий два канала протокола.В этом случае установите для одного канала использование HTTP, а для другого канала — HTTPS.

   Примечание

   Вы можете настроить один прокси-сервер, который обрабатывает оба протокола для WSUS во время установки программного обеспечения сервера WSUS.

2. Два прокси-сервера, каждый из которых поддерживает один протокол. В этом случае один прокси-сервер настроен на использование HTTP, а другой прокси-сервер настроен на использование HTTPS.

Чтобы настроить два прокси-сервера, каждый из которых будет обрабатывать один протокол для WSUS, используйте следующую процедуру:

Настройка WSUS для использования двух прокси-серверов

1. Войдите на компьютер, который будет сервером WSUS, используя учетную запись, которая является членом локальной группы администраторов.

2. Установите роль сервера WSUS. Во время работы мастера настройки WSUS (обсуждается в следующем разделе) не указывайте прокси-сервер.

3. Откройте командную строку (Cmd.exe) от имени администратора. Чтобы открыть командную строку от имени администратора, перейдите на Пуск . В Начать поиск введите Командная строка . В верхней части меню «Пуск» щелкните правой кнопкой мыши Командная строка , а затем щелкните Запуск от имени администратора .Если появится диалоговое окно «Контроль учетных записей », введите соответствующие учетные данные (если требуется), убедитесь, что отображаемое действие соответствует вашему желанию, а затем щелкните «Продолжить ».

4. В окне командной строки перейдите в папку C: \ Program Files \ Update Services \ Tools. Введите следующую команду:

   wsusutil ConfigureSSLproxy [] -enable , где:

   1. proxy_server — это имя прокси-сервера, поддерживающего HTTPS.

   2. proxy_port — номер порта прокси-сервера.

5. Закройте окно командной строки.

Чтобы добавить прокси-сервер, использующий протокол HTTP, в конфигурацию WSUS, используйте следующую процедуру:

Для добавления прокси-сервера, использующего протокол HTTP

1. Откройте консоль администрирования WSUS.

2. На левой панели разверните имя сервера и щелкните Параметры .

3. На панели «Параметры » щелкните «Источник обновлений » и «Сервер обновлений », а затем щелкните вкладку «Прокси-сервер » .

4. Используйте следующие параметры для изменения существующей конфигурации прокси-сервера:

   Для изменения или добавления прокси-сервера в конфигурацию WSUS

   1. Установите флажок для Использовать прокси-сервер при синхронизации .

   2. В текстовом поле Имя прокси-сервера введите имя прокси-сервера.

   3. В текстовом поле Номер порта прокси-сервера введите номер порта прокси-сервера. Номер порта по умолчанию — 80.

   4. Если прокси-сервер требует использования определенной учетной записи пользователя, установите флажок Использовать учетные данные пользователя для подключения к прокси-серверу . Введите необходимое имя пользователя, домен и пароль в соответствующие текстовые поля.

   5. Если прокси-сервер поддерживает базовую аутентификацию, установите флажок Разрешить базовую аутентификацию (пароль отправляется в виде открытого текста) .

   6. Щелкните ОК .

   Удаление прокси-сервера из конфигурации WSUS

   1. Чтобы удалить прокси-сервер из конфигурации WSUS, снимите флажок для Использовать прокси-сервер при синхронизации .

   2. Щелкните ОК .

2.2. Настройте WSUS с помощью мастера настройки WSUS

В этой процедуре предполагается, что вы используете мастер настройки WSUS, который появляется при первом запуске консоли управления WSUS.Позже в этом разделе вы узнаете, как выполнять эти конфигурации, используя страницу параметров :

Для настройки WSUS

1. На панели навигации Диспетчера серверов щелкните Панель мониторинга , щелкните Инструменты , а затем щелкните Службы обновления Windows Server .

   Примечание

   Если появится диалоговое окно Complete WSUS Installation , нажмите Run . В диалоговом окне завершения установки WSUS нажмите Закройте после успешного завершения установки.

2. Откроется мастер служб Windows Server Update Services. На странице Перед началом работы просмотрите информацию и нажмите Далее .

3. Прочтите инструкции на странице Присоединяйтесь к программе обновления Microsoft Update и оцените, хотите ли вы участвовать. Если вы хотите участвовать в программе. Сохраните выбор по умолчанию или снимите флажок, а затем нажмите Далее .

4. На странице Выберите вышестоящий сервер есть два варианта:

   1. Синхронизация обновлений с Microsoft Update

   2. Синхронизация с другим сервером служб Windows Server Update Services

      • , если вы выбрали синхронизацию с другим сервером WSUS, укажите имя сервера и порт, через который этот сервер будет связываться с вышестоящим сервером.

      • Чтобы использовать SSL, установите флажок Использовать SSL при синхронизации информации об обновлении . Серверы будут использовать порт 443 для синхронизации. (Убедитесь, что этот сервер и вышестоящий сервер поддерживают SSL.)

      • , если это реплика сервера, установите флажок Это реплика вышестоящего сервера .

5. После выбора правильных параметров для развертывания нажмите Далее , чтобы продолжить.

6. На странице Укажите прокси-сервер установите флажок Использовать прокси-сервер при синхронизации , а затем введите имя прокси-сервера и номер порта (порт 80 по умолчанию) в соответствующие поля.

   Важно

   Вы должны выполнить этот шаг, если вы определили, что WSUS требуется прокси-сервер для доступа в Интернет.

7. Если вы хотите подключиться к прокси-серверу с использованием определенных учетных данных пользователя, установите флажок Использовать учетные данные пользователя для подключения к прокси-серверу , а затем введите имя пользователя, домен и пароль пользователя в соответствующем поле. коробки.Если вы хотите включить базовую аутентификацию для пользователя, который подключается к прокси-серверу, установите флажок Разрешить базовую аутентификацию (пароль отправляется в виде открытого текста) .

8. Щелкните Далее . На странице Connect to Upstream Server нажмите start Connecting .

9. После подключения нажмите Далее , чтобы продолжить.

10. На странице Выберите языки у вас есть возможность выбрать языки, с которых WSUS будет получать обновления — все языки или подмножество языков.Выбор подмножества языков позволит сэкономить место на диске, но ВАЖНО выбрать все языки, которые необходимы всем клиентам этого сервера WSUS. Если вы выбрали получение обновлений только для определенных языков, выберите Загрузить обновления только на этих языках , а затем выберите языки, для которых вы хотите обновлять; в противном случае оставьте выбор по умолчанию.

    Предупреждение

    Если вы выберете опцию Загружать обновления только на этих языках , и к этому серверу подключен подчиненный сервер WSUS, эта опция заставит подчиненный сервер также использовать только выбранные языки.

11. После выбора соответствующих языковых параметров для развертывания нажмите Далее , чтобы продолжить.

12. Страница Выбор продуктов позволяет указать продукты, для которых вы хотите обновить. Выберите категории продуктов, например Windows, или определенные продукты, например Windows Server 2012. При выборе категории продукта выбираются все продукты в этой категории.

13. Выберите подходящие параметры продукта для своего развертывания и нажмите Далее .

14. На странице Выберите классификации выберите классификации обновлений, которые вы хотите получить. Выберите все классификации или их подмножество, а затем нажмите Далее .

15. Страница Set Sync Schedule позволяет вам выбрать, выполнять ли синхронизацию вручную или автоматически.

    • , если вы выбрали Синхронизировать вручную , вы должны запустить процесс синхронизации из Консоли администрирования WSUS.

    • , если вы выберете Синхронизировать автоматически , сервер WSUS будет синхронизироваться через заданные интервалы.

    Задайте время для Первой синхронизации , а затем укажите количество Синхронизаций в день , которые вы хотите, чтобы этот сервер выполнял. Например, если вы укажете, что должно быть четыре синхронизации в день, начиная с 3:00 утра, синхронизации будут выполняться в 3:00, 9:00, 15:00 и 21:00.М.

16. После выбора подходящих параметров синхронизации для вашего развертывания нажмите Далее , чтобы продолжить.

17. На странице Завершено у вас есть возможность начать синхронизацию сейчас, установив флажок Начать начальную синхронизацию . Если вы не выберете этот параметр, вам необходимо использовать консоль управления WSUS для выполнения начальной синхронизации. Щелкните Далее , если вы хотите узнать больше о дополнительных настройках, или щелкните Завершить , чтобы завершить работу мастера и завершить начальную настройку WSUS.

18. После того, как вы нажмете Завершить , появится консоль управления WSUS.

Теперь, когда вы выполнили базовую настройку WSUS, прочтите следующие разделы для получения дополнительных сведений об изменении параметров с помощью консоли управления WSUS.

2.3. Настроить группы компьютеров WSUS

Группы компьютеров являются ВАЖНОЙ частью развертываний служб Windows Server Update Services (WSUS). Группы компьютеров позволяют тестировать и настраивать обновления на определенных компьютерах.По умолчанию существует две группы компьютеров: все компьютеры и неназначенные компьютеры. По умолчанию, когда каждый клиентский компьютер впервые обращается к серверу WSUS, сервер добавляет этот клиентский компьютер в обе эти группы.

Вы можете создать столько настраиваемых групп компьютеров, сколько вам нужно для управления обновлениями в вашей организации. Рекомендуется создать хотя бы одну группу компьютеров для тестирования обновлений, прежде чем развертывать их на других компьютерах в вашей организации.

Используйте следующую процедуру, чтобы создать новую группу и назначить компьютер в эту группу:

Для создания группы компьютеров

1. В консоли администрирования WSUS в разделе Update Services разверните сервер WSUS, разверните компьютеров , щелкните правой кнопкой мыши Все компьютеры , а затем щелкните Добавить группу компьютеров .

2. В диалоговом окне добавить группу компьютеров в поле Имя укажите имя новой группы и щелкните затем добавить .

3. Щелкните компьютеров , а затем выберите компьютеры, которые вы хотите назначить этой новой группе.

4. Щелкните правой кнопкой мыши имена компьютеров, которые вы выбрали на предыдущем шаге, а затем щелкните , измените членство .

5. В диалоговом окне Установить членство в группе компьютеров выберите созданную вами тестовую группу и нажмите ОК .

2.4. Настроить обновления клиента

Программа установки WSUS автоматически настраивает IIS для распространения последней версии автоматического обновления на каждый клиентский компьютер, который обращается к серверу WSUS. Наилучший способ настройки автоматического обновления зависит от сетевой среды.

• В среде, которая использует службу каталогов Active Directory, вы можете использовать существующий объект групповой политики (GPO) на основе домена или создать новый GPO.

• В среде без активного каталога используйте редактор локальной групповой политики для настройки автоматического обновления, а затем укажите клиентские компьютеры на сервер WSUS.

Важно

Следующие процедуры предполагают, что в вашей сети работает активный каталог. Эти процедуры также предполагают, что вы знакомы с групповой политикой и используете ее для управления сетью.

Используйте следующие процедуры для настройки автоматического обновления для клиентских компьютеров:

Настроить автоматические обновления в групповой политике

Если вы настроили активный каталог в своей сети, вы можете настроить один или несколько компьютеров одновременно, включив их в объект групповой политики (GPO), а затем настроив этот GPO с параметрами WSUS.Мы рекомендуем вам создать новый объект групповой политики, содержащий только настройки WSUS.

Свяжите этот объект групповой политики WSUS с контейнером активного каталога, который подходит для вашей среды. В простой среде вы можете связать один объект групповой политики WSUS с доменом. В более сложной среде вы можете связать несколько объектов групповой политики WSUS с несколькими организационными единицами (OU), что позволит вам применять разные параметры политики WSUS к разным типам компьютеров.

Для включения WSUS через GPO домена

1. В консоли управления групповой политикой (GPMC) перейдите к объекту групповой политики, для которого вы хотите настроить WSUS, а затем щелкните , измените .

2. В консоли управления групповыми политиками разверните Конфигурация компьютера , разверните Политики , разверните Административные шаблоны , разверните Компоненты Windows , а затем щелкните Центр обновления Windows .

3. В области сведений дважды щелкните Настроить автоматическое обновление . Откроется политика Настроить автоматическое обновление .

4. Щелкните Включено , а затем выберите один из следующих параметров в разделе Настроить автоматическое обновление :

   • Уведомлять о загрузке и уведомлять об установке .Этот параметр уведомляет вошедшего в систему пользователя с правами администратора перед загрузкой и установкой обновлений.

   • Автоматическая загрузка и уведомление об установке . Эта опция автоматически начинает загрузку обновлений, а затем уведомляет вошедшего в систему администратора перед установкой обновлений. По умолчанию этот параметр выбран.

   • Автоматическая загрузка и планирование установки . Эта опция автоматически начинает загрузку обновлений, а затем устанавливает обновления в указанный вами день и время.

   • Разрешить локальному администратору выбирать настройку . Этот параметр позволяет локальным администраторам использовать автоматическое обновление в панели управления для выбора параметра конфигурации. Например, они могут выбрать время установки по расписанию. Локальные администраторы не могут отключить автоматическое обновление.

5. Выберите Включить таргетинг на стороне клиента , выберите Включено , а затем введите имя группы компьютеров WSUS, в которую вы хотите добавить этот компьютер, в поле Имя целевой группы для этого компьютера .

   Примечание

   Включить таргетинг на стороне клиента позволяет клиентским компьютерам добавлять себя в группы целевых компьютеров на сервере WSUS, когда автоматические обновления перенаправляются на сервер WSUS. Если для статуса установлено значение «Включено», этот компьютер будет идентифицировать себя как член определенной группы компьютеров при отправке информации на сервер WSUS, который использует ее для определения обновлений, развернутых на этом компьютере. Этот параметр указывает серверу WSUS, какую группу будет использовать клиентский компьютер.Вы должны создать группу на сервере WSUS и добавить в эту группу компьютеры, входящие в домен.

6. Нажмите ОК , чтобы закрыть Включить политику таргетинга на стороне клиента и вернуться на панель сведений Центра обновления Windows.

7. Нажмите ОК , чтобы закрыть политику Настроить автоматическое обновление и вернуться на панель сведений Центра обновления Windows.

8. На панели сведений Центра обновления Windows дважды щелкните Укажите местонахождение службы обновлений Майкрософт в интрасети .

9. Щелкните Включено , а затем сервер в Установите службу обновлений интрасети для обнаружения обновлений и Задайте текстовые поля сервера статистики интрасети , введите тот же URL-адрес сервера WSUS. Например, введите http: // servername в оба поля (где servername — это имя сервера WSUS).

   Предупреждение

   При вводе адреса в интрасети своего сервера WSUS обязательно укажите, какой порт будет использоваться.По умолчанию WSUS будет использовать порт 8530 для HTTP и 8531 для HTTPS. Например, если вы используете HTTP, вы должны ввести http: // servername: 8530 .

10. Щелкните ОК .

После настройки клиентского компьютера пройдет несколько минут, прежде чем компьютер появится на странице компьютеров в консоли администрирования WSUS. Для клиентских компьютеров, на которых настроен объект групповой политики на основе домена, групповая политика может занять около 20 минут, чтобы применить новые параметры политики к клиентскому компьютеру.По умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут со случайным смещением 0–30 минут. Если вы хотите обновить групповую политику раньше, вы можете открыть окно командной строки на клиентском компьютере и ввести gpupdate / force.

Для клиентских компьютеров, настроенных с помощью редактора локальной групповой политики, объект групповой политики применяется немедленно, а обновление занимает около 20 минут. Если вы начинаете обнаружение вручную, вам не нужно ждать 20 минут, пока клиентский компьютер свяжется с WSUS.

Поскольку ожидание запуска обнаружения может занять много времени, вы можете использовать следующую процедуру, чтобы немедленно инициировать обнаружение.

Для запуска обнаружения WSUS

1. На клиентском компьютере откройте окно командной строки с повышенными привилегиями.

2. Введите wuauclt.exe / detectnow и нажмите клавишу ВВОД.

2,5. Защитите WSUS с помощью протокола Secure Sockets Layer Protocol

Вы можете использовать протокол Secure Sockets Layer (SSL) для защиты развертывания WSUS.WSUS использует SSL для аутентификации клиентских компьютеров и подчиненных серверов WSUS на сервере WSUS. WSUS также использует SSL для шифрования метаданных обновлений.

Важно

Клиенты и нижестоящие серверы, настроенные для использования TLS или HTTPS, также должны быть настроены для использования полного доменного имени (FQDN) для их вышестоящего сервера WSUS.

WSUS использует SSL только для метаданных, а не для файлов обновлений. Таким же образом Центр обновления Майкрософт распространяет обновления.Microsoft снижает риск отправки файлов обновлений по незашифрованному каналу, подписывая каждое обновление. Кроме того, для каждого обновления вычисляется хэш и отправляется вместе с метаданными. При загрузке обновления WSUS проверяет цифровую подпись и хэш. Если обновление было изменено, оно не устанавливается.

Ограничения развертываний SSL WSUS

При использовании SSL для защиты развертывания WSUS необходимо учитывать следующие ограничения:

1. Использование SSL увеличивает нагрузку на сервер.Следует ожидать 10-процентной потери производительности из-за затрат на шифрование всех метаданных, отправляемых по сети.

2. Если вы используете WSUS с удаленной базой данных SQL Server, соединение между сервером WSUS и сервером базы данных не защищено SSL. Если соединение с базой данных должно быть защищенным, примите во внимание следующие рекомендации:

   • Переместите базу данных WSUS на сервер WSUS.

   • Переместите удаленный сервер базы данных и сервер WSUS в частную сеть.

   • Разверните систему безопасности Интернет-протокола (IPsec) для защиты сетевого трафика. Дополнительные сведения о IPsec см. В разделе «Создание и использование политик IPsec».

Настроить SSL на сервере WSUS

WSUS требует два порта для SSL: один порт, который использует HTTPS для отправки зашифрованных метаданных, и один порт, который использует HTTP для отправки обновлений. Когда вы настраиваете WSUS для использования SSL, примите во внимание следующее:

• Вы не можете настроить для всего веб-сайта WSUS требование SSL, поскольку весь трафик на сайт WSUS должен быть зашифрован.WSUS шифрует только метаданные обновления. Если компьютер попытается получить файлы обновлений через порт HTTPS, передача не удастся.

  Вам потребуется SSL только для следующих виртуальных корней:

  • SimpleAuthWebService

  • DSSAuthWebService

  • ServerSyncWebService

  • API remoting30

  • ClientWebService

  SSL для следующих виртуальных корней не требуется:

  • Содержание

  • Опись

  • ReportingWebService

  • Самостоятельное обновление

• Сертификат центра сертификации (ЦС) должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера или в хранилище доверенных корневых ЦС службы обновления Windows Server на подчиненных серверах WSUS.Если сертификат импортируется только в хранилище доверенных корневых центров сертификации локального пользователя, нижестоящий сервер WSUS не будет аутентифицирован на вышестоящем сервере.

  Дополнительные сведения об использовании сертификатов SSL в IIS см. В разделе Требование уровня защищенных сокетов (IIS 7).

• Вы должны импортировать сертификат на все компьютеры, которые будут связываться с сервером WSUS. Сюда входят все клиентские компьютеры, подчиненные серверы и компьютеры, на которых запущена консоль администрирования WSUS.Сертификат должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера или в хранилище доверенных корневых ЦС службы обновления Windows Server.

• Вы можете использовать любой порт для SSL. Однако порт, который вы настроили для SSL, также определяет порт, который WSUS использует для отправки чистого HTTP-трафика. Рассмотрим следующие примеры:

  • Если вы используете промышленный стандартный порт 443 для HTTPS-трафика, WSUS использует отраслевой стандартный порт 80 для чистого HTTP-трафика.

  • Если вы используете любой порт, отличный от 443, для HTTPS-трафика, WSUS будет отправлять чистый HTTP-трафик через порт, который численно идет перед портом для HTTPS. Например, если вы используете порт 8531 для HTTPS, WSUS будет использовать порт 8530 для HTTP.

• Необходимо повторно инициализировать ClientServicingProxy , если имя сервера, конфигурация SSL или номер порта изменились.

Для настройки SSL на корневом сервере WSUS

1. Войдите на сервер WSUS, используя учетную запись, которая является членом группы администраторов WSUS или локальной группы администраторов.

2. Перейдите к , запустите , введите CMD , щелкните правой кнопкой мыши Командная строка , а затем щелкните Запуск от имени администратора .

3. Перейдите в папку % ProgramFiles% \ Update Services \ Tools \ .

4. В окне командной строки введите следующую команду:

   Wsusutil configuressl имя сертификата

   где:

   certificateName — это DNS-имя сервера WSUS.

Настроить SSL на клиентских компьютерах

При настройке SSL на клиентских компьютерах следует учитывать следующие проблемы:

• Необходимо включить URL-адрес безопасного порта на сервере WSUS. Поскольку вы не можете требовать SSL на сервере, единственный способ убедиться, что клиентские компьютеры могут использовать канал безопасности, — это использовать URL-адрес, указывающий HTTPS. Если вы используете для SSL любой порт, кроме 443, вы также должны включить этот порт в URL-адрес.

• Сертификат на клиентском компьютере должен быть импортирован в хранилище доверенных корневых ЦС локального компьютера или в хранилище доверенных корневых ЦС службы автоматического обновления. Если сертификат импортируется только в хранилище доверенных корневых центров сертификации локального пользователя, автоматическое обновление не сможет выполнить аутентификацию сервера.

• Клиентские компьютеры должны доверять сертификату, который вы привязываете к серверу WSUS. В зависимости от типа используемого сертификата может потребоваться настроить службу, чтобы клиентские компьютеры могли доверять сертификату, привязанному к серверу WSUS.

Настроить SSL для подчиненных серверов WSUS

Следующие инструкции настраивают подчиненный сервер для синхронизации с вышестоящим сервером, который использует SSL.

Для синхронизации нижестоящего сервера с вышестоящим сервером, использующим SSL

1. Войдите в систему, используя учетную запись пользователя, которая является членом локальной группы администраторов или группы администраторов WSUS.

2. Щелкните , запустите , щелкните Все программы , щелкните Администрирование , а затем щелкните Служба обновления Windows Server .

3. На правой панели разверните имя сервера.

4. Щелкните Параметры , а затем щелкните Источник обновлений и прокси-сервер .

5. На странице Источник обновлений выберите Синхронизировать с другим сервером служб обновления Windows Server .

6. Введите имя вышестоящего сервера в текстовое поле Имя сервера . Введите номер порта, который сервер использует для соединений SSL, в текстовое поле Номер порта .

7. Установите флажок Использовать SSL при синхронизации информации об обновлении , а затем нажмите ОК .

Дополнительные ресурсы SSL

Действия, необходимые для настройки центра сертификации, привязки сертификата к веб-сайту WSUS и установления доверия между клиентскими компьютерами и сертификатом, выходят за рамки этого руководства. Дополнительные сведения и инструкции по установке сертификатов и настройке этой среды см. В следующих разделах:

2.6. Завершите настройку IIS

По умолчанию анонимный доступ для чтения включен для стандартного и всех новых веб-сайтов IIS. Некоторые приложения, особенно Windows SharePoint Services, могут блокировать анонимный доступ. Если это произошло, необходимо повторно включить анонимный доступ для чтения, прежде чем вы сможете успешно установить и использовать WSUS.

Чтобы включить анонимный доступ для чтения, выполните действия для соответствующей версии IIS:

1. Включите анонимную аутентификацию (IIS 7), как описано в Руководстве по эксплуатации IIS 7.

2. Включение анонимной аутентификации (IIS 6.0), как описано в Руководстве по эксплуатации IIS 6.0.

2.7. Настроить сертификат подписи

WSUS может публиковать пользовательские пакеты обновлений для обновления продуктов Microsoft и сторонних производителей. WSUS может автоматически подписывать эти настраиваемые пакеты обновлений сертификатом Authenticode. Чтобы включить настраиваемую подпись обновлений, необходимо установить сертификат подписи пакета на сервере WSUS.Есть несколько соображений, связанных с настраиваемой подписью обновлений.

1. Распространение сертификатов . Закрытый ключ должен быть установлен на сервере WSUS, а открытый ключ должен быть явно установлен в надежном хранилище сертификатов на всех клиентских компьютерах и серверах, которые должны получать обновления, подписанные пользователем.

2. Срок действия . Когда срок действия самозаверяющего сертификата истекает или приближается к истечению, WSUS будет регистрировать события в журнале событий.

3. Обновление / отзыв сертификата . Если вы хотели обновить или отозвать сертификат (т. Е. После обнаружения истечения срока его действия), WSUS не предлагал никаких функций, позволяющих это сделать. Выполнение этого превратилось в ручную задачу, которую было очень сложно выполнить вручную или успешно автоматизировать.

Полное руководство по установке и настройке WSUS на Windows Server 2019

В этом посте я расскажу, как установить и настроить WSUS (службы обновления Windows Server) на Windows Server 2019.Это руководство должно помочь вам, если вы решите установить и настроить WSUS с нуля.

В прошлом я публиковал несколько сообщений на WSUS. Это включает в себя установку WSUS и настройку WSUS. В дополнение к этому я также опубликовал сообщение об устранении неполадок WSUS. С тех пор я использую Configuration Manager и никогда не удосужился сосредоточиться на WSUS.

Несколько дней назад мой коллега связался со мной и спросил, могу ли я опубликовать сообщение о настройке WSUS на Windows Server 2019. Компания, в которой он работает, использует только WSUS для развертывания обновлений на компьютерах.Поэтому он искал руководство, которое могло бы помочь ему установить и настроить WSUS с нуля.

Итак, я решил опубликовать это руководство, предназначенное исключительно для администраторов, которые хотят установить и настроить WSUS для управления обновлениями в своих настройках. Я также расскажу о некоторых основах WSUS, которые ответят на основные вопросы и о важности WSUS.

Я довольно давно что-то настраивал в WSUS. Это потому, что в тот момент, когда вы начинаете использовать SCCM для развертывания обновлений, вы забываете о консоли WSUS.

Я выбрал Windows Server 2019 для установки и настройки WSUS. Я считаю, что после Server 2012 R2 Server 2019 станет стабильным выпуском. Я ненавижу Windows Server 2016, потому что я потратил много времени на устранение проблем с обновлением Windows. Для меня самая важная жалоба заключается в том, что обновления просто не устанавливаются должным образом на Server 2016.

Что такое обновления Windows

Начнем с основ. Когда вы устанавливаете операционную систему или образ машины, вы всегда проверяете наличие последних обновлений.Не только операционная система, но и почти каждое программное обеспечение, которое мы используем, необходимо постоянно обновлять.

выпускаются для исправления ошибок, устранения проблем безопасности в ОС и добавления новых функций в операционную систему. Обновления Windows полагаются на службу Центра обновления Windows , которая по умолчанию запускается автоматически.

Служба обновления Windows автоматически загружает и устанавливает рекомендуемые и важные обновления.

Обновления Microsoft можно разделить на следующие категории: —

1. Критические обновления
2. Обновления безопасности
3. Обновления определений
4. Драйверы
5. Накопительные пакеты обновления
6. Пакеты обновлений
7. Инструменты
8. Пакеты функций
9. Обновления

Если вы перешли с Windows 7 на Windows 10, вы заметите множество новых опций в Центре обновления Windows.Вы получаете несколько интересных опций, таких как приостановка обновлений на 7 дней, изменение активных часов для установки обновлений. В дополнение к этому есть много полезных опций в разделе «Дополнительные параметры». Когда у вас будет время, исследуйте их все.

Введение в службы обновления Windows Server

Windows Server Update Services (WSUS) позволяет администраторам развертывать последние обновления продуктов Microsoft. WSUS — это роль сервера Windows Server, и после его установки вы можете эффективно управлять обновлениями и развертывать их.

Одной из важнейших задач системных администраторов является обновление клиентских и серверных компьютеров с помощью последних программных исправлений и обновлений безопасности. Без WSUS было бы очень сложно управлять развертыванием обновлений.

Если у вас есть один сервер WSUS, обновления загружаются непосредственно из Центра обновления Майкрософт. Однако, если вы устанавливаете несколько серверов WSUS, вы можете настроить сервер WSUS для работы в качестве источника обновлений, который также известен как вышестоящий сервер.

Вместо того, чтобы позволять нескольким компьютерам загружать обновления непосредственно из Интернета, вы можете настроить сервер WSUS и указать клиентам, чтобы они загружали все обновления с сервера WSUS. Таким образом вы экономите пропускную способность Интернета, а также ускоряете процесс обновления Windows.

Я могу много говорить о WSUS, но давайте начнем с установки WSUS.

Установка лаборатории WSUS

Прежде всего, позвольте мне рассказать о настройке лаборатории WSUS. Я считаю, что лучший способ освоить WSUS — это сначала установить и настроить его в тестовой или лабораторной среде.Затем вы можете начать работать над этим и попробовать несколько вещей.

Я создал несколько виртуальных машин в своей лаборатории. Позвольте мне дать вам список машин и информацию об ОС.

И если бы мне пришлось показать свою установку в виде сетевой диаграммы, она бы выглядела вот так.

Системные требования WSUS

Когда вы решили внедрить WSUS в свою установку, вы должны сначала изучить требования WSUS. Чтобы спланировать развертывание WSUS, я рекомендую прочитать эту статью от Microsoft.Он охватывает всю информацию, необходимую для требований WSUS, сценариев развертывания, соображений производительности и т. Д.

В этом посте описана процедура установки служб Windows Server Update Services с использованием внутренней базы данных Windows (WID).

Порты / исключения брандмауэра WSUS

При настройке сервера WSUS важно, чтобы сервер подключался к центру обновления Microsoft для загрузки обновлений. Если между WSUS и Интернетом есть корпоративный брандмауэр, вам, возможно, придется настроить этот брандмауэр, чтобы WSUS мог получать обновления.

Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порт 443 для протокола HTTPS. Вы должны разрешить доступ в Интернет из WSUS по следующему списку URL-адресов: —

• http://windowsupdate.microsoft.com
• http: //*.windowsupdate.microsoft.com
• https: //*.windowsupdate.microsoft.com
• http: //*.update.microsoft.com
• https: //*.update.microsoft.com
• http: //*.windowsupdate.com
• http: //download.windowsupdate.com
• https://download.microsoft.com
• http: //*.download.windowsupdate.com
• http://wustat.windows.com
• http://ntservicepack.microsoft.com
• http://go.microsoft.com
• http://dl.delivery.mp.microsoft.com
• https://dl.delivery.mp.microsoft.com

Установить роль WSUS на Windows Server 2019

Шаги по установке роли Windows Server Update Services (WSUS) на Windows Server 2019 включают: —

• Войдите на сервер Windows 2019, на котором вы планируете установить роль сервера WSUS, используя учетную запись, которая является членом Группа локальных администраторов.
• В диспетчере сервера щелкните Управление и щелкните добавить Роли и компоненты .
• На странице «Перед началом работы» щелкните Далее .
• На странице выбора типа установки выберите Установка на основе ролей или функций . Щелкните Далее .

На странице Выбор сервера проверьте имя сервера и нажмите Далее .

— Windows Server Update Services

На странице «Роли сервера» выберите роль « Windows Server Update Services ».Вы должны увидеть поле Добавить компоненты, необходимые для служб Windows Server Update Services. Щелкните Добавить компоненты , а затем щелкните Далее .

На странице Выбор компонентов оставьте параметры по умолчанию и нажмите Далее .

На странице служб Windows Server Update Services щелкните Далее .

Тип базы данных WSUS — службы ролей

Необходимо выбрать службы ролей / тип базы данных для установки служб Windows Server Update.Выберите WID Connectivity и WSUS Services . Щелкните Далее .

Расположение содержимого WSUS

Укажите расположение содержимого для хранения обновлений. Я бы рекомендовал хранить обновления на другом диске, а не на диске C :. Размер этой папки со временем может увеличиться, и вы не хотите, чтобы она располагалась на диске C :. Следовательно, выберите либо отдельный диск, либо сохраните обновления на удаленном сервере.

Щелкните Далее .

На странице роли веб-сервера (IIS) щелкните Далее .

Ролевые службы для установки веб-сервера (IIS) выбираются автоматически. Здесь ничего не меняйте и нажмите Далее .

Последнее подтверждение перед установкой WSUS. Просмотрите настройки и нажмите Установить .

После завершения установки WSUS щелкните Запустить задачи после установки .

Дождитесь сообщения «Конфигурация успешно завершена». Щелкните Закрыть .

Настройка служб Windows Server Update Services (WSUS)

После установки WSUS можно настроить сервер WSUS с помощью мастера настройки сервера WSUS. Это однократная конфигурация, в которой вы настраиваете некоторые важные параметры WSUS.

Если вы не видите мастер настройки сервера WSUS или пропустили его по ошибке, не беспокойтесь.Вы можете запустить его, открыв консоль WSUS > Параметры > Мастер настройки сервера WSUS .

Примечание — Прежде чем вы начнете настраивать WSUS, несколько важных моментов.

• Убедитесь, что брандмауэр сервера разрешает клиентам доступ к серверу WSUS. Если у клиентов возникают проблемы с подключением к серверу WSUS, обновления не будут загружаться с сервера.
• WSUS загружает обновления с вышестоящего сервера, который в нашем случае является обновлением Microsoft.Поэтому убедитесь, что брандмауэр позволяет серверу WSUS подключаться к Центру обновления Майкрософт.
• Если в вашей настройке есть прокси-сервер, вы должны ввести учетные данные для прокси-сервера при настройке WSUS. Держите их под рукой по мере необходимости.

На странице «Прежде чем начать» щелкните Далее .

Нажмите Далее .

Выберите вышестоящий сервер WSUS

Это важный раздел, в котором вы выбираете вышестоящий сервер.У вас есть два варианта.

• Синхронизировать из Центра обновления Майкрософт — при выборе этого параметра будут загружены обновления из Центра обновления Майкрософт.
• Синхронизировать с другим сервером служб обновления Windows Server — выберите этот параметр, если вы хотите, чтобы этот сервер WSUS загружал обновления с уже существующего сервера WSUS. По умолчанию необходимо указать имя сервера и номер порта (8530). Если вы выбираете вариант использования SSL во время синхронизации обновлений, убедитесь, что вышестоящий сервер WSUS также настроен для поддержки SSL.

Поскольку это будет мой единственный сервер WSUS, я выберу Synchronize из Microsoft Update . Щелкните Далее .

Прокси-сервер

Укажите информацию о прокси-сервере, если он у вас есть. Если выбран этот параметр, убедитесь, что вы указали имя прокси-сервера и номер порта. В дополнение к этому укажите учетные данные для подключения к прокси-серверу. Если вы хотите включить базовую аутентификацию для пользователя, подключающегося к прокси-серверу, щелкните Разрешить базовую аутентификацию (пароль в открытом виде) .

Щелкните Далее .

На странице «Подключение к вышестоящему серверу» нажмите кнопку « Начать подключение ».

По завершении нажмите Далее .

Выберите языки для обновлений

На странице «Выбор языков» у вас есть возможность выбрать языки из обновлений. Если вы выберете загрузку обновлений на всех языках, вы найдете обновления на всех языках в консоли WSUS.

Однако, если вы решите получать обновления только для определенных языков, выберите Загружать обновления только на этих языках . Выберите языки, для которых вы хотите обновить.

Щелкните Далее .

Выберите продукты

Это страница, на которой вы выбираете продукты, для которых хотите обновить. Продукт — это конкретная версия операционной системы или приложения.

Из списка продуктов вы можете выбрать отдельные продукты или семейства продуктов, для которых ваш сервер должен синхронизировать обновления.В этом случае я собираюсь выбрать Windows Server 2019 и Windows 10 1903 в качестве продуктов.

Щелкните Далее .

Выберите классификацию обновлений

В начале поста я перечислил типы обновлений. На странице «Выбрать классификации» выберите необходимые классификации. Я выбрал критические обновления , обновления безопасности и накопительные пакеты обновлений .

Щелкните Далее .

Настройка расписания синхронизации WSUS

Вы должны решить, как вы хотите выполнять синхронизацию WSUS. На странице Set Sync Schedule вы можете выбрать, выполнять ли синхронизацию вручную или автоматически.

Если вы выбрали Синхронизировать вручную , вы должны вручную запустить процесс синхронизации из Консоли администрирования WSUS. Если этот параметр выбран, вам придется каждый раз выполнять синхронизацию вручную.Поэтому не выбирайте этот параметр, если вы настраиваете WSUS в производственной среде.

Если вы выберете Синхронизировать автоматически , сервер WSUS будет синхронизироваться через заданные интервалы. Вы можете установить время Первой синхронизации. Затем установите количество синхронизаций в день. В раскрывающемся списке вы можете выбрать значение от 1-24.

Щелкните Далее .

Щелкните Начать начальную синхронизацию n. Щелкните Далее .

Наконец, на последней странице нажмите Готово . На этом шаги по настройке WSUS завершены.

Настройка параметров групповой политики для WSUS

После установки и настройки WSUS следующей важной задачей является настройка параметров групповой политики для автоматических обновлений. Новые клиенты все еще не знают о новом сервере WSUS, который вы только что настроили. Используя групповую политику, вы можете направить свои клиентские машины на новый сервер WSUS.

В среде активного каталога вы можете использовать групповую политику, указав сервер WSUS. Параметры групповой политики будут использоваться для получения автоматических обновлений из служб Windows Server Update Services (WSUS).

Вы можете создать групповую политику и применить ее на уровне домена. Или вы можете создать и применить GPO к определенному OU (содержащему ваши компьютеры).

Хотя существует множество параметров политики Центра обновления Windows, я собираюсь настроить некоторые из них. Чтобы получить список всех параметров политики обновления Windows, прочтите эту статью от Microsoft.

Настроить автоматическое обновление WSUS

Чтобы настроить параметры групповой политики автоматического обновления для WSUS

• Откройте консоль управления групповой политикой и откройте существующий объект групповой политики или создайте новый.
• Перейдите к Конфигурация компьютера > Политики > Административные шаблоны > Компоненты Windows > Центр обновления Windows .
• Дважды щелкните Настроить автоматическое обновление и установите для него значение Включено .

В разделе «Настроить автоматическое обновление» выберите нужный вариант. В разделе Запланировать день установки выберите день, когда вы хотите установить обновления. Установите время установки по расписанию.

Если вы выберете Автозагрузку и запланируете установку обновлений, вы получите несколько вариантов ограничения частоты обновления. Если вы настроили параметры, нажмите Применить и ОК .

Указать расположение службы обновления Майкрософт в интрасети

Следующий параметр, который необходимо настроить, — это указать расположение службы обновлений Microsoft в интрасети.Идея заключается в том, чтобы клиентские компьютеры связывались с указанным сервером интрасети, а не загружали обновления из Интернета. Если вы не настроите этот параметр политики, клиентские компьютеры не будут знать о сервере интрасети.

Чтобы включить политику, щелкните Включено . Укажите службу обновления интрасети и сервер статистики интрасети. Нажмите Применить и ОК .

На клиентском компьютере проверьте полученный набор политик, чтобы убедиться, что объект групповой политики WSUS применен.

Вы также можете проверить расположение службы обновлений в интрасети на клиентских компьютерах с помощью реестра. На клиентском компьютере откройте редактор реестра и перейдите по адресу HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate .

Проверьте значения WUServer и WUStatusServer и убедитесь, совпадают ли значения с тем, что вы указали в WSUS GPO.

Настроить группы компьютеров WSUS

Создавая группы компьютеров, вы можете сначала тестировать и настраивать обновления для определенных компьютеров.Когда вы откроете консоль WSUS, вы найдете две группы компьютеров по умолчанию — Все компьютеры и Неназначенные компьютеры .

Вы можете создавать собственные группы компьютеров для управления обновлениями в вашей организации. Согласно Microsoft, вы должны создать хотя бы одну группу компьютеров в консоли WSUS. Проверяйте обновления, прежде чем развертывать их на других компьютерах в вашей организации.

Чтобы создать новую группу компьютеров в консоли WSUS

В консоли администрирования WSUS в разделе «Службы обновления» разверните сервер WSUS.Разверните компьютеры, щелкните правой кнопкой мыши Все компьютеры, а затем щелкните Добавить группу компьютеров .

В диалоговом окне добавления группы компьютеров укажите имя новой группы и нажмите Добавить .

Щелкните Все компьютеры , и вы должны увидеть список компьютеров. Выберите компьютеры, щелкните правой кнопкой мыши и выберите Изменить членство .

В поле Установить членство в группе компьютеров выберите новую группу, которую вы только что создали.Щелкните ОК .

Щелкните новую группу, и вы должны найти эти компьютеры.

Утверждение и развертывание обновлений в WSUS

После создания группы тестовых компьютеров ваша следующая задача — развернуть обновления в тестовой группе. Для этого сначала необходимо утвердить и развернуть обновления WSUS.

Утвердить обновления в WSUS

• Запустите консоль администрирования WSUS, щелкните Обновления > Все обновления .
• В разделе Все обновления выберите обновления, которые вы хотите утвердить для установки в группе тестовых компьютеров.
• Щелкните обновления правой кнопкой мыши и выберите Утвердить .

Прежде всего, в диалоговом окне Утвердить обновления выберите свою тестовую группу и затем щелкните стрелку вниз. Щелкните Утверждено для установки . Вы также устанавливаете крайний срок для установки обновлений. Щелкните ОК .

Появится окно «Ход утверждения», в котором отображается ход выполнения задач, влияющих на утверждение обновления.Когда процесс утверждения будет завершен, нажмите Закрыть .

Настройка правил автоматического утверждения в WSUS

Если вы не хотите утверждать обновления вручную, вы можете настроить правило автоматического утверждения в Windows Server Update Services.

Для настройки автоматического утверждения в WSUS

• Запустите консоль администрирования WSUS, разверните сервер WSUS и щелкните Параметры .
• В разделе «Параметры» щелкните Автоматическое утверждение .
• Вы должны найти правило автоматического утверждения по умолчанию и, если хотите, можете отредактировать его и использовать.
• Чтобы создать новое правило утверждения, щелкните Новое правило .

Установите флажок, когда обновление относится к определенной классификации. Выберите классификации. Вы также можете утвердить обновление для групп компьютеров. Я собираюсь выбрать Windows 10 , поскольку это моя группа тестовых компьютеров. Наконец, вы можете установить крайний срок для утверждения обновления и указать имя правила автоматического утверждения.

После настройки правила нажмите ОК .

В окне автоматического утверждения вы можете найти правило, которое вы только что создали. Если вы хотите запустить это правило, щелкните Run Rule .

Отчеты WSUS

Последний раздел, который я хочу затронуть, — это отчеты WSUS. При нажатии Reports в консоли WSUS отображается список отчетов. WSUS поставляется с несколькими отчетами, которые помогут вам найти статус развертывания обновлений, отчеты о синхронизации и отчеты о компьютерах.

• Отчеты об обновлениях — Включает сводку состояния обновлений, подробное и табличное состояние, табличное состояние для утвержденных обновлений.
• Компьютерные отчеты — Сводка состояния компьютера, подробный статус, табличное состояние и табличное состояние компьютера для утвержденных обновлений.
• Отчеты о синхронизации — Показывает результаты последней синхронизации.

На этом шаги по установке и настройке WSUS завершены. Я уверен, что это руководство поможет вам настроить WSUS в лабораторных условиях.Если у вас есть какие-либо вопросы, связанные с WSUS, дайте мне знать в разделе комментариев.

Как настроить службы обновления Windows Server (WSUS)

После установки WSUS мы можем настроить сервер WSUS служб Windows Server Update Services с помощью мастера настройки сервера WSUS. Это одноразовая конфигурация, в которой мы настроим некоторые важные параметры WSUS.

Настройка служб Windows Server Update Services

1- Выберите «Инструменты», а затем выберите Мастер настройки сервера WSUS.

Примечание. Прежде чем вы начнете настройку WSUS, несколько важных моментов.

Убедитесь, что брандмауэр сервера разрешает клиентам доступ к серверу WSUS. Если у клиентов возникают проблемы с подключением к серверу WSUS, обновления не будут загружаться с сервера.
WSUS загружает обновления с вышестоящего сервера, который в нашем случае является обновлением Microsoft. Поэтому убедитесь, что брандмауэр позволяет серверу WSUS подключаться к Центру обновления Майкрософт.
В случае, если в вашей организации есть прокси-сервер, вы должны ввести учетные данные для прокси-сервера при настройке WSUS.

2- Щелкните Далее.

3- Щелкните Далее.

Выберите вышестоящий сервер WSUS

Это важный раздел, в котором мы выбираем вышестоящий сервер. У вас есть два варианта.

Синхронизировать из Центра обновления Майкрософт — после выбора этого параметра будут загружены обновления из Центра обновления Майкрософт.
Синхронизировать с другим сервером служб обновления Windows Server — выберите этот параметр, если вы хотите, чтобы этот сервер WSUS загружал обновления с уже существующего сервера WSUS.Мы должны указать имя сервера и номер порта (8530) по умолчанию. Если вы хотите выбрать вариант использования SSL во время синхронизации обновлений, убедитесь, что вышестоящий сервер WSUS также настроен для поддержки SSL.

4- Это единственный сервер WSUS; Я выберу «Синхронизировать из Центра обновления Майкрософт», а затем нажмите «Далее».

Прокси-сервер

5- Укажите информацию о прокси-сервере, если она у вас есть, и нажмите Далее.

6- Нажмите кнопку «Начать подключение».

7- По завершении нажмите «Далее».

Выберите языки для обновлений

8- Выберите «Загружать обновления только для этих языков». Выберите языки, для которых вы хотите обновить, и нажмите «Далее».

Выбор продуктов

9- Это окно, в котором мы можем выбрать продукты, для которых мы хотим обновить. Из списка продуктов мы можем выбрать отдельные продукты или семейства продуктов, для которых мы хотим, чтобы наш сервер синхронизировал обновления. В моем случае я выберу Windows Server 2019 и Windows 10 1903.Нажмите кнопку «Далее.

Выберите Обновить классификации.

10- Выберите требуемые классификации. Я собираюсь выбрать критические обновления, обновления безопасности и накопительные пакеты обновлений. Нажмите кнопку «Далее.

Настроить расписание синхронизации WSUS

11. Мы должны решить, как выполнять синхронизацию WSUS. Выберите, следует ли выполнять синхронизацию вручную или автоматически. Нажмите кнопку «Далее.

12- Установите флажок «Начать начальную синхронизацию» и нажмите «Далее».

13- Нажмите «Готово», на этом шаги по настройке WSUS завершены.

14- Здесь вы можете увидеть статус синхронизации.

КОНСОЛЬ WSUS

15 — Сводка обновлений.

16. Мы еще не одобрили какие-либо обновления. Выберите все обновления.

17- В разделе «Источник» выберите любой и нажмите «Обновить».

18- После нажатия кнопки «Обновить» мы сможем увидеть все обновления.

19. Здесь, в этом списке всех обновлений, у меня нет возможности выбрать обновление и сказать, развернуть прямо сейчас на машинах, на которых не работает WSUS.Что нам нужно сделать, так это утвердить обновление, щелкнув его правой кнопкой мыши и выбрав «Утвердить».

20 — Здесь нет компьютеров / серверов.

Создание групп WSUS

По умолчанию существует 2 группы WSUS.

Все компьютеры: эта группа регистрирует учетные записи компьютеров, когда они связываются с сервером WSUS, и эту группу не следует заполнять вручную
Неназначенные компьютеры: эта группа не назначена другим группам администратором WSUS.

1- Выберите параметры, а затем выберите «Компьютеры».

2 — Я выберу второй параметр «Использовать групповую политику или параметры реестра на компьютерах».

3- Чтобы создать новую группу, щелкните правой кнопкой мыши «Все компьютеры» и выберите «Добавить группу компьютеров».

4- Я собираюсь создать только одну группу Windows10, потому что у меня есть только одна Windows для тестирования WSUS. Вы можете создавать группы в соответствии с вашими требованиями. Вы можете ввести любое имя и нажать «Добавить».

5- Здесь вы можете увидеть группу (Windows10)

Управление групповой политикой WSUS

Это даст мне возможность использовать групповую политику для назначения правильных машин в эту группу.Я собираюсь открыть консоль управления групповой политикой GPO в контроллере домена и взглянуть на различные подразделения. Я переместил одну клиентскую машину с Windows 10 в подразделение Windows10.

1- Выберите «Инструменты», а затем «Управление групповой политикой».

2- Теперь нам нужно создать новый объект групповой политики, а затем связать его с подразделением Windows10. Щелкните правой кнопкой мыши подразделение Windows10 и выберите «Создать объект групповой политики в этом домене… ..

3- Введите имя объекта групповой политики и нажмите« ОК ».

Вот объект групповой политики. После того, как он настроен и подключен, нам нужно отредактировать объект групповой политики, чтобы мы могли посмотреть, в первую очередь, конкретный параметр групповой политики, который мы будем настраивать здесь для настройки таргетинга на стороне клиента для WSUS.

4- Щелкните правой кнопкой мыши имя объекта групповой политики и выберите «Изменить».

5- Выберите Конфигурация компьютера> Политики> Политика административных шаблонов> Компоненты Windows.

6- Выберите Центр обновления Windows. С правой стороны дважды щелкните «Указать политику расположения службы обновлений Майкрософт в интрасети».

7- Выберите «Включить». Здесь мы введем имя сервера WSUS и номер порта (8530), который используется для подключения клиентов. Нажмите ОК

8- Дважды щелкните, чтобы открыть политику «Настроить автоматическое обновление».

9- Выберите «Включить», настройте автоматическое обновление, запланируйте день установки и прокрутите вниз, чтобы просмотреть дополнительные настройки.

10- Настройте параметры расписания и нажмите ОК.

11- Дважды щелкните Включить политику таргетинга на стороне клиента.

12- Выберите «Включить», введите имя группы и нажмите «ОК».

13- Нам нужно запустить эти 3 команды на клиентских машинах для обновления групповой политики.

gpupdate / force

14. Мы также можем проверить расположение службы обновления интрасети на клиентских компьютерах с помощью реестра Windows.На клиентском компьютере откройте редактор реестра и откройте «HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate».
Здесь вы можете подтвердить значения WSUS (WUServer и WUStatusServer).

15 — Теперь вернитесь в консоль сервера WSUS и нажмите кнопку обновления. Я смогу увидеть машины, подключенные к моему серверу WSUS (Windows10).

16- Выберите «Все обновления», в разделе «Состояние» выберите «Не удалось или необходимо», а затем щелкните правой кнопкой мыши обновление, которое хотите установить, и выберите «Утвердить».

17- В группе компьютеров щелкните правой кнопкой мыши свой Windows / сервер и выберите одобрено для установки.

18- Нажмите ОК.

19 — Обновления теперь будут доступны, а затем в следующий раз, когда клиент достигнет того интервала обслуживания, который мы настроили в групповой политике, он перейдет к загрузке, установке и, возможно, перезагрузке ПК для поддержки установки этого обновления Windows.

Настройка правил автоматического утверждения в WSUS

Если вы не хотите утверждать обновления вручную, мы можем настроить правило автоматического утверждения в службах Windows Server Update Services.

Чтобы настроить автоматическое одобрение в WSUS

1- Консоль администрирования WSUS, выберите «Параметры», а затем выберите «Автоматическое одобрение».

2- Здесь вы можете найти правило автоматического утверждения по умолчанию, и при желании вы можете его отредактировать и использовать. Выберите Новое правило, чтобы создать новое правило утверждения.

3- Выберите, когда обновление находится в определенном флажке классификации. Выберите классификации. Вы также можете разрешить обновление для групп компьютеров. Я собираюсь выбрать Windows 10, так как это моя группа тестовых компьютеров. Наконец, вы можете установить крайний срок для утверждения обновления и указать имя правила автоматического утверждения.
После настройки правила щелкните OK.

4- Вы можете найти правило, которое вы только что создали. Выберите Run Rule, если вы хотите запустить это правило.

Пользовательское представление WSUS, создание отчетов и устранение неполадок

Создать пользовательское представление

1- Чтобы создать новое представление обновлений, щелкните обновления правой кнопкой мыши и выберите «Новое представление обновлений».

2- Здесь вы можете выбрать, что вы хотите включить в представление. Я выбираю обновления для определенного продукта. Шаг 2 Выберите любой продукт.

3- На шаге 2 мы можем щелкнуть ссылку на любой продукт и выбрать, какой продукт нам нужно включить.Я выберу Windows 10, нажмите ОК.

4- Укажите имя и выберите ОК.

5- Новое представление доступно в списке в разделе «Обновления». Выберите его и измените статус на любой, вы сможете видеть только обновления для Windows 10.

Мастер очистки сервера

1- Выберите параметры и выберите Мастер очистки сервера.

2- Здесь мы можем выбрать, что удалить. Я выберу все, нажмите «Далее».

3- Начните процесс.

4- Нажмите «Готово».

Настройка служб Windows Server Update Services ОТЧЕТНОСТЬ

1 — Дважды щелкните любое обновление.

2- Нам нужно установить Microsoft Report Viewer, здесь вы можете найти ссылку для загрузки и установки Microsoft Report Viewer.

Microsoft SQLSysCLRTypes

Microsoft SQL Server 2012 CLR Типы

3- Дважды щелкните файл exe fine, чтобы начать установку. Нажмите кнопку «Далее.

4- Примите лицензию и нажмите «Далее».

5- Нажмите «Установить».

6- Нажмите «Готово».

7- Дважды щелкните любое обновление, чтобы создать специальный отчет.

8- Вы можете увидеть описание обновления, сводку утверждения, сводку статуса.

УЗЕЛ ОТЧЕТОВ

9- Выберите отчеты, а затем выберите Подробное состояние компьютера.

10- Щелкните «Выполнить отчет»

11- На первой странице показан компьютер, а затем на 2-й странице будут показаны обновления для этого компьютера.

Как установить и настроить WSUS на Windows Server 2019 — Лучшие практики

Сегодня мы поговорим о том, как установить и настроить роль WSUS на Windows Server 2019, этот процесс стал намного проще и проще, а WSUS теперь полностью интегрирован в систему.

Windows Server Update Services (WSUS) — это служба обновлений, которая позволяет администраторам централизованно управлять распространением исправлений и обновлений безопасности.

для продуктов Microsoft
Начиная с Windows Server 2008 R2, WSUS был включен в ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2019, все вышеперечисленное с небольшими поправками будет справедливо и для Server 2008 R2.

Из сторонних пакетов необходимо установить только Microsoft Report Viewer 2012 Runtime, но это не обязательно и не влияет на работу службы, а требуется только для создания отчетов.Поэтому, даже если вы забудете его установить, ничего страшного не произойдет, при первом обращении к отчетам система уведомит вас об этом и предоставит ссылку для скачивания.

Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер базы данных WSUS не может быть контроллером домена; сервер WSUS не может быть одновременно сервером терминалов служб удаленных рабочих столов.

Всего 13 шагов

Шаг 1. Добавьте роль WSUS

Чтобы установить WSUS, откройте Диспетчер серверов и перейдите в Управление — Добавить роли и компоненты.В открывшемся мастере добавьте роль Windows Server Update Services.

Шаг 2: Добавьте все необходимые роли и компоненты

На следующем шаге будут добавлены все необходимые роли и компоненты, поэтому вам не придется настраивать что-либо отдельно.

Шаг 3. Используйте внутреннюю базу данных Windows

WSUS предлагает использовать внутреннюю базу данных Windows (WID) в качестве хранилища по умолчанию.Для небольших реализаций мы не видим причин в установке отдельного SQL-сервера; никаких существенных преимуществ это не даст.

Шаг 4: Выберите ролевые услуги

На следующем шаге мы переходим к основным настройкам ролевых служб. В нашем случае вам нужно будет выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database вы должны выбрать опцию Database. К этому моменту сам сервер базы данных уже должен быть развернут в вашей сети.

Шаг 5: Укажите расположение репозитория обновлений

Следующим шагом является указание местоположения репозитория обновлений, мы рекомендуем вам выделить для этих целей отдельный жесткий диск или дисковый раздел.

Шаг 6: Выполнить после установки задачи

Также возможно, что на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений после их утверждения и назначения администратором будут загружены с серверов Microsoft.На наш взгляд, такая схема будет удобна небольшим компаниям с хорошим интернет-каналом; действительно, ради дюжины машин организация локального хранилища не имеет большого смысла, особенно если WSUS — не единственная роль этого сервера.

Если вы выбрали внешнюю базу данных, вам также необходимо указать параметры для подключения к серверу SQL. После чего можно приступать к установке роли, перезагрузка не требуется. После установки щелкните по флажку с желтым восклицательным знаком в Диспетчере серверов и нажмите Выполнить после задач установки, дождитесь завершения процедуры (восклицательный знак исчезнет).

Шаг 7: Выберите источник синхронизации

На этом установку роли можно считать завершенной и перейти к настройке WSUS.

Короче говоря, сначала нужно выбрать источник синхронизации: сервер Microsoft или вышестоящий сервер WSUS.

Шаг 8: Выберите языки и продукты.

Затем выберите языки и продукты.

Шаг 9: Выберите классификации

Шаг 10: Установите параметры автоматической синхронизации

И выставить параметры автоматической синхронизации.

Шаг 11: Задайте правила для автоматического утверждения

Первоначальный процесс синхронизации может занять много времени в зависимости от выбранного набора продуктов и классов, а также скорости вашего интернет-канала.

Не забудьте указать правила автоматического утверждения и одобрить уже скачанные обновления.

Шаг 12. Укажите расположение службы обновлений Майкрософт в интрасети

После этого вам нужно будет сообщить клиентам расположение вашего сервера WSUS, это можно сделать с помощью групповых политик: Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows — Укажите расположение службы обновления Microsoft в интрасети.

Шаг 13: Используйте редактор локальной групповой политики

Или в локальных политиках: Пуск — Выполнить — gpedit.msc, затем Конфигурация компьютера — Административные шаблоны — Центр обновления Windows (Центр обновления Windows) — Укажите расположение службы обновлений Майкрософт в интрасети

Путь к серверу должен быть записан как http: // SERVER_NAME: 8530, в то время как мы рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где вы сможете получить подробную информацию об уже установленных и требуемых обновлениях.

Microsoft проделала огромную работу по улучшению WSUS, теперь это одна из ролей системы и ее установка и настройка не должны вызывать затруднений даже у новичков.

Настройка WSUS на клиентских компьютерах

После настройки клиентского компьютера может пройти несколько минут, прежде чем он появится на странице «Компьютеры» в консоли WSUS (эта консоль доступна для администраторов, использующих собственный сервер WSUS, но не для администраторов, которые указывают своим клиентам на CITES. Сервер WSUS).Для клиентских компьютеров, на которых настроен объект групповой политики на основе Active Directory, может пройти около 20 минут после обновления групповой политики (то есть применения любых новых параметров к клиентскому компьютеру). По умолчанию групповая политика обновляется в фоновом режиме каждые 90 минут со случайным смещением от 0 до 30 минут. Если вы хотите обновить групповую политику раньше, вы можете перейти в командную строку на клиентском компьютере и ввести консоль с правами администратора: gpupdate / force.

ПРИМЕЧАНИЕ. Если вы используете собственный домен, при настройке параметров групповой политики в Active Directory для WSUS используйте объект групповой политики (GPO), связанный с контейнером Active Directory, подходящим для вашей среды.Microsoft не рекомендует редактировать GPO домена по умолчанию или контроллера домена по умолчанию для добавления параметров WSUS.

Использование ТЕХНОЛОГИЧЕСКИХ УСЛУГ GPO с обеспечением безопасности

TECHNOLOGY SERVICES Security поддерживает относительно обширный список GPO, которые вы можете использовать в своих OU, чтобы упростить процесс использования сервера TECHNOLOGY SERVICES WSUS.

Чтобы связать одну из этих политик и установить продукты на компьютерах в подразделении, которое вы контролируете:

1. Откройте консоль управления групповой политикой
2. Щелкните правой кнопкой мыши подразделение, с которым вы хотите связать этот GPO с
.
3. Щелкните ссылку существующего объекта групповой политики
4. Найдите требуемые объекты групповой политики, перечисленные ниже.

Текущие объекты групповой политики, предоставляемые службой безопасности CITES (как в доменах UIUC, так и в UOFI):
DEPT_UseCITESWSUSServer_3AMUpdate_Security
DEPT_UseCITESWSUSServer_9AMUpdate_Security
DEPTESWSUSServer_9AMUpdate_Security
DEPTEST_SUseCurity

DEPT_SetWSUSGroup-Upgrades_Security
DEPT_SetWSUSGroup-AllServicePacks_Security
DEPT_SetWSUSGroup-AllUpdates_Security
DEPT_SetWSUSGroupBase-AppServicePacks1082SEPCurity_Group_AppServicePacks1082SEPCurity_Group_SECS_WS_9

Клиентские группы таргетинга (или «Выбор обновлений, которые будут получать ваши машины»)

Следующие группы обновлений настроены на сервере CITES WSUS.Полужирным шрифтом называются те, которые вы можете задать сами (остальные — это группы по умолчанию, которые вы не хотите использовать).

• Все компьютеры: Эта группа является общей и стандартной группой Microsoft WSUS, а также родительской группой для всех перечисленных ниже. CITES настроит все критические обновления, определения и обновления безопасности для автоматического утверждения и установки во ВСЕХ системах, подключенных к серверу CITES WSUS. Однако никакие компьютеры не должны быть явно нацелены на эту группу.
• Неназначенные компьютеры: эта группа является еще одной группой по умолчанию для систем, которые подключаются к серверу WSUS и не используют ни одну из клиентских групп таргетинга, перечисленных ниже.По умолчанию компьютеры в этой группе будут получать все обновления.
• Все обновления : эта группа будет получать все обновления от Microsoft, включая все критические обновления, определения и обновления безопасности, за исключением обновлений драйверов.
• Пакеты обновления приложений : эта группа будет получать все критические обновления, определения и обновления безопасности в дополнение к пакетам обновления для приложений.
• Пакеты обновления ОС : Эта группа будет получать все критические обновления, определения и обновления безопасности в дополнение к пакетам обновления для операционной системы.Кроме того, эта группа будет получать обновления для Internet Explorer, а также для платформы .NET в связи с их полной интеграцией в операционную систему на многих компьютерах. Эта группа не получает обновлений Lync.
• Обновления: Эта группа получает обновления для функций и функций Windows 10 (включая обновления Windows 7 и 8.1).
• Обновляет только Windows 10: Эта группа получает ТОЛЬКО функции и возможности Windows 10 (БЕЗ Widows 7 или 8.1 обновления).
• Все пакеты обновления : эта группа будет получать все критические обновления, определения и обновления безопасности в дополнение к обновлениям из пакетов обновления приложений и групп пакетов обновления ОС.
• Baseline : эта группа будет получать только все критические обновления, определения и обновления безопасности. Сюда не входят пакеты обновления для приложений или ОС, включая обновления Lync.

Настройка собственных объектов групповой политики

Загрузите административный шаблон WSUS на старых машинах

Прежде чем вы сможете установить какие-либо параметры групповой политики для WSUS, вы должны убедиться, что последний административный шаблон загружен на компьютер, используемый для администрирования групповой политики.Административный шаблон с настройками WSUS называется Wuau.adm. Хотя существуют дополнительные параметры групповой политики, связанные с веб-сайтом Центра обновления Windows, все новые параметры групповой политики для WSUS содержатся в файле Wuau.adm.

Если на компьютере, который вы используете для настройки групповой политики, установлена ​​последняя версия Wuau.adm, вам не нужно загружать файл для настройки параметров. Новая версия Wuau.adm доступна в Windows XP с пакетом обновления 2. Файлы административных шаблонов по умолчанию хранятся в каталоге% windir% \ Inf.

Если на компьютере, который вы используете для настройки групповой политики, не установлена ​​последняя версия Wuau.adm, вы должны сначала загрузить его, используя следующую процедуру.
Чтобы добавить административный шаблон WSUS:

1. В редакторе объектов групповой политики щелкните любой из узлов административных шаблонов.
2. В меню «Действие» выберите «Добавить / удалить шаблоны».
3. Щелкните Добавить.
4. В диалоговом окне «Шаблоны политики» выберите Wuau.adm и нажмите «Открыть».
5. В диалоговом окне «Добавить / удалить шаблоны» нажмите «Закрыть».

Загрузите файл Wuau.ADM шаблон

Настроить автоматические обновления

Параметры этой политики позволяют настроить работу автоматического обновления. Вы должны указать, что автоматические обновления должны загружать обновления с сервера WSUS, а не из Центра обновления Windows.

Чтобы настроить поведение автоматических обновлений:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Настроить автоматические обновления».
3. Нажмите «Включено» и выберите один из следующих вариантов:

• Уведомлять о загрузке и уведомлять об установке. Этот параметр уведомляет вошедшего в систему администратора перед загрузкой и перед установкой обновлений.
• Автоматическая загрузка и уведомление об установке. Эта опция автоматически начинает загрузку обновлений, а затем уведомляет вошедшего в систему администратора перед установкой обновлений.
• Автоматическая загрузка и установка по расписанию. Если автоматические обновления настроены на выполнение установки по расписанию, необходимо также указать день и время для повторяющейся установки по расписанию.
• Разрешить локальному администратору выбирать настройку. С помощью этого параметра локальные администраторы могут использовать автоматические обновления в панели управления, чтобы выбрать вариант конфигурации по своему выбору. Например, они могут выбрать собственное запланированное время установки. Локальным администраторам не разрешается отключать автоматические обновления.

1. Нажмите ОК.

Укажите расположение службы Центра обновления Майкрософт в интрасети

Параметры этой политики позволяют настроить сервер WSUS, с которым служба автоматического обновления будет связываться для получения обновлений. Вы должны включить эту политику, чтобы автоматические обновления загружали обновления с сервера WSUS.

Дважды введите URL-адрес HTTP (S) сервера WSUS, чтобы сервер, указанный для обновлений, также использовался для отчетов о клиентских событиях. Например, введите https: // wsus.cites.illinois.edu (или ваш вторичный сервер WSUS) в обоих полях. Оба URL-адреса обязательны.

Для перенаправления автоматических обновлений на сервер WSUS:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Указать расположение службы обновлений Microsoft в интрасети». Введите https://wsus.cites.illinois.edu (или ваш дополнительный сервер WSUS).
3. Щелкните «Включено» и введите URL-адрес HTTP (S) того же сервера WSUS как в поле «Установить службу обновлений интрасети для обнаружения обновлений», так и в поле «Установить сервер статистики интрасети».Например, введите https://wsus.cites.illinois.edu (или ваш дополнительный сервер WSUS) в оба поля.
4. Щелкните ОК.

Включить таргетинг на стороне клиента

Эта политика позволяет клиентским компьютерам самостоятельно заполнять группы компьютеров, существующие на сервере WSUS.

Если установлено состояние «Включено», информация о указанной группе компьютеров отправляется в WSUS, который использует их для определения, какие обновления следует развернуть на этом компьютере. Этот параметр может только указать серверу WSUS, какую группу должен использовать клиентский компьютер.Фактически вы должны создать группу на сервере WSUS.

Если установлен статус «Отключен» или «Не настроен», информация о группе компьютеров не будет отправляться в WSUS, и компьютер будет помещен в категорию «Неназначенные компьютеры», описанную выше.

Для включения таргетинга на стороне клиента:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Включить таргетинг на стороне клиента».
3. Щелкните «Включено» и введите имя группы компьютеров в поле. (Допустимые названия групп перечислены в разделе SECPUB: Client-Side Targeting Groups выше.)

   Важно точно указать название целевой группы. Если имя группы не существует, машины будут помещены в группу «Неназначенные компьютеры» (которая будет получать все обновления).

4. Щелкните ОК.

Перенести автоматическое обновление Установки по расписанию

Эта политика определяет время ожидания автоматических обновлений после запуска системы перед продолжением запланированной установки, которая была пропущена ранее.

Если для статуса установлено значение «Включено», запланированная установка, которая не выполнялась ранее, произойдет через указанное количество минут после следующего запуска компьютера.

Если установлен статус «Отключено», при следующей запланированной установке произойдет пропущенная запланированная установка.
Если установлено состояние «Не настроено», пропущенная установка по расписанию произойдет через одну минуту после следующего запуска компьютера.

Эта политика применяется только в том случае, если автоматическое обновление настроено на выполнение плановой установки обновлений. Если политика «Настроить автоматическое обновление» отключена, эта политика не действует.

Чтобы перенести автоматическое обновление по расписанию:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Перенести запланированные установки автоматического обновления», щелкните «Включить» и введите значение в минутах.
3. Щелкните ОК.

Нет автоматического перезапуска для параметров установки автоматического обновления по расписанию

Эта политика указывает, что для завершения запланированной установки автоматическое обновление будет ожидать перезагрузки компьютера любым пользователем, вошедшим в систему, вместо того, чтобы вызывать автоматическую перезагрузку компьютера.

Если установлен статус «Включено», автоматическое обновление не будет автоматически перезагружать компьютер во время запланированной установки, если пользователь вошел в систему.Вместо этого автоматическое обновление уведомит пользователя о необходимости перезагрузить компьютер для завершения установки.

Имейте в виду, что автоматические обновления не смогут обнаружить будущие обновления, пока не произойдет перезапуск. Кроме того, для некоторых обновлений (например, для уязвимости MS05-039 Plug-n-Play) требуется перезагрузка до завершения установки исправления. Некоторые машины в кампусе, на которых был доставлен патч, все еще были уязвимы, потому что не перезагружались.

Если установлено состояние «Отключено» или «Не настроено», автоматическое обновление уведомит пользователя о том, что компьютер автоматически перезагрузится через 5 минут для завершения установки.

Эта политика применяется только в том случае, если автоматическое обновление настроено на выполнение плановой установки обновлений. Если политика «Настроить автоматическое обновление» отключена, эта политика не действует.

Чтобы запретить автоматический перезапуск для параметров установки автоматического обновления по расписанию:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений дважды щелкните параметр «Без автоматического перезапуска для запланированных автоматических установок обновления» и установите этот параметр.
3. Щелкните ОК.

Частота обнаружения автоматического обновления

Эта политика определяет часы, которые Windows будет использовать для определения времени ожидания перед проверкой доступных обновлений. Точное время ожидания определяется с использованием указанных здесь часов минус от 0 до 20 процентов указанных часов. Например, если эта политика используется для указания 20-часовой частоты обнаружения, то все клиенты WSUS, к которым применяется эта политика, будут проверять наличие обновлений в любом месте от 16 до 20 часов.

Если установлен статус «Включено», автоматическое обновление будет проверять наличие доступных обновлений через указанный интервал.

Если установлено состояние «Отключено» или «Не настроено», автоматическое обновление будет проверять наличие доступных обновлений с интервалом по умолчанию в 22 часа.

Для установки частоты обнаружения автоматического обновления:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Частота обнаружения автоматического обновления» и установите параметр.
3. Щелкните ОК.

Разрешить автоматическое обновление при немедленной установке

Эта политика указывает, должны ли автоматические обновления автоматически устанавливать определенные обновления, которые не прерывают работу служб Windows и не перезапускают Windows.

Если статус установлен на «Включено», автоматическое обновление немедленно установит эти обновления после того, как они были загружены и готовы к установке.

Если установлен статус «Отключено», такие обновления не будут устанавливаться немедленно.

Чтобы разрешить немедленную установку автоматического обновления:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Разрешить немедленную установку автоматического обновления» и установите параметр.
3. Щелкните ОК.

Задержка перезапуска для запланированных установок

Эта политика определяет время ожидания автоматических обновлений перед продолжением запланированного перезапуска.

Если состояние установлено на «Включено», перезапуск по расписанию произойдет через указанное количество минут после завершения установки.

Если установлено состояние «Отключено» или «Не настроено», время ожидания по умолчанию составляет пять минут.

Чтобы отложить перезапуск для запланированных установок:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Отложить перезапуск для запланированных установок» и установите параметр.
3. Щелкните ОК.

Повторный запрос на перезапуск с запланированными установками

Эта политика определяет время ожидания автоматических обновлений перед повторным запросом у пользователя перезапуска по расписанию.

Если статус установлен на «Включено», запланированный перезапуск будет происходить через указанное количество минут после того, как предыдущий запрос на перезапуск был отложен.

Если установлено состояние «Отключено» или «Не настроено», интервал по умолчанию составляет 10 минут.

Чтобы повторно запросить перезапуск при запланированных установках:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Повторно запрашивать перезапуск с установкой по расписанию» и установите параметр.
3. Щелкните ОК.

Разрешить пользователям без прав администратора получать уведомления об обновлениях

Эта политика указывает, будут ли вошедшие в систему пользователи без прав администратора получать уведомления об обновлениях на основе параметров конфигурации для автоматического обновления.Если автоматические обновления настроены политикой или локально для уведомления пользователя либо перед загрузкой, либо только перед установкой, эти уведомления будут предлагаться любому пользователю, не являющемуся администратором, который входит в систему.

Если установлен статус «Включено», автоматические обновления будут включать неадминистраторов при определении, какой вошедший в систему пользователь должен получать уведомление.

Если установлено состояние «Отключено» или «Не настроено», автоматическое обновление будет уведомлять только зарегистрированных администраторов.

Чтобы разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях:

1. В редакторе объектов групповой политики разверните «Конфигурация компьютера», разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Центр обновления Windows».
2. В области сведений щелкните «Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях», и установите параметр.
3. Щелкните ОК.

Удаление ссылок и доступ к Центру обновления Windows

Если этот параметр включен, автоматическое обновление получает обновления с сервера WSUS. Пользователи, у которых установлена ​​эта политика, не могут получать обновления с веб-сайта Windows Update, который вы не одобрили. Если эта политика не включена, значок Центра обновления Windows остается в меню «Пуск», чтобы локальные администраторы могли посетить веб-сайт Центра обновления Windows.Местные административные пользователи могут использовать его для установки неутвержденного программного обеспечения с общедоступного веб-сайта Windows Update. Это происходит, даже если вы указали, что автоматические обновления должны получать утвержденные обновления с вашего сервера WSUS.

Для удаления ссылок и доступа к Центру обновления Windows:

1. В редакторе объектов групповой политики разверните «Конфигурация пользователя», разверните «Административные шаблоны», а затем нажмите «Пуск» и «Панель задач».
2. В области сведений щелкните «Удалить ссылки и доступ к Центру обновления Windows» и установите параметр.
3. Щелкните ОК.

Установка и настройка WSUS на сервере 2019

Введение

В этом руководстве показано, как установить и настроить WSUS на сервере 2019.

Шаги по установке и настройке WSUS на сервере 2019

Вот общие шаги по настройке WSUS в Server 2019

1. Выполнение задач перед установкой
2. Установить роль служб обновления Windows Server (WSUS)
3. Настроить WSUS на сервере 2019
4. Настроить групповую политику для WSUS

Для установки и настройки WSUS на сервере 2019 вам потребуется следующее:

1. Членский сервер Active Directory Windows Server 2019 с доступом к Интернету
2. База данных (внутренняя база данных Windows или база данных SQL Server)
3. Администраторы домена как члены локальной группы администраторов на рядовом сервере
4. Microsoft.NET Framework 4.7, установленный на сервере, на котором вы хотите установить WSUS
5. Локальная или удаленная папка для хранения обновлений (необязательно)

Выполнение задач перед установкой

Перед установкой WSUS выполните следующие задачи на сервере, на котором вы хотите установить WSUS:

• Подтвердите, что сервер присоединен к домену
• Добавьте группу администраторов домена в локальную группу администраторов на сервере
• Подтвердите, что Microsoft.NET Framework 4.7 установлен на сервере
• Создайте папку, WSUSUpdates для хранения обновлений (необязательно)

Диск, который вы создаете для этой папки, должен иметь не менее 6 ГБ свободного дискового пространства и отформатирован как NTFS. Хранить обновления локально необязательно, но в этом случае обновления загружаются быстрее.

Установить роль служб обновления Windows Server (WSUS)

Вот шаги для установки WSUS в Server 2019:

• Войдите на рядовой сервер и откройте диспетчер сервера.
• В диспетчере серверов щелкните Управление . Затем выберите Добавить роли и компоненты .

• На экране Перед началом работы с экраном нажмите Далее.

• Затем выберите Установка на основе ролей или функций и нажмите Далее.

• На экране Выбор целевого сервера выберите сервер. Затем нажмите «Далее».

• На экране Выбор ролей сервера установите флажок рядом с Службы обновления Windows Server .

• Во всплывающем окне Добавить компоненты, необходимые для служб Windows Server Update Services , щелкните Добавить компоненты .

• Вернуться в Экран выбора ролей сервера подтвердите, что установлен флажок Службы обновления Windows Server . Затем нажмите «Далее».

• В Выберите функции экран, разверните .Net framework 4.7 Функции . Затем убедитесь, что установлен .Net framework 4.7 .Если нет, установите флажок рядом с ним. Чтобы продолжить, нажмите «Далее».

• Обратите внимание на важную информацию о передовых методах настройки WSUS. Затем нажмите «Далее».

• Затем на экране Выбор служб ролей нажмите Далее.

Служба роли WID Connectivity устанавливает базу данных, используемую WSUS, во внутреннюю базу данных Windows (WID).

• Экран Выбор местоположения содержимого предлагает вам возможность хранить обновления локально.Если у вас есть диск объемом не менее 6 ГБ, вы можете указать папку, созданную на этом диске. Установите флажки для обновлений Store в следующем месте в поле . Затем введите путь к папке в соответствующем поле и нажмите «Далее».

• На экране роли веб-сервера (IIS) прочтите предоставленную информацию и нажмите Далее.

• Затем на экране служб ролей IIS нажмите Далее.

• Наконец, просмотрите свой выбор и нажмите Установить , затем дождитесь завершения установки.

• Когда установка будет завершена, нажмите Закрыть .

Настроить WSUS на сервере 2019

После завершения установки настройте WSUS в Server 2019, выполнив следующие действия:

• Щелкните уведомление о желтом треугольнике в верхней части диспетчера сервера. Затем щелкните Запустить задачи после установки . Чтобы подтвердить, что настройка после установки началась, еще раз щелкните желтое уведомление (см. Второе изображение ниже).

• Когда задача после установки будет завершена, перейдите к следующему шагу…

• Щелкните Tools и выберите Windows Server Update Services .

• На экране Перед началом работы нажмите Далее.

• Затем в программе Microsoft Updates Improvement Program нажмите «Далее».

Если вы НЕ хотите участвовать, снимите флажок Да, я хочу присоединиться к Программе улучшения обновлений Microsoft .

Если это ваш первый сервер WSUS, вы ДОЛЖНЫ настроить его как восходящий сервер. Восходящий сервер WSUS — это сервер, который загружает обновления из служб обновлений Microsoft и распространяет их на другие подчиненные серверы или обновляет клиентов напрямую.

• Чтобы настроить этот сервер WSUS для загрузки обновлений непосредственно от Microsoft, примите вариант по умолчанию, указанный ниже — Синхронизировать с Microsoft Update . Затем нажмите «Далее».

• Если вашему серверу требуется прокси-сервер для подключения к Интернету, отметьте Использовать прокси-сервер при синхронизации .Затем введите данные прокси-сервера и нажмите Далее. Но если сервер подключается к Интернету напрямую, примите значение по умолчанию ( Использовать прокси-сервер при синхронизации не отмечено), нажмите Далее.

• Затем на экране Загрузить информацию об обновлении с экрана Microsoft щелкните Начать подключение . Подождите, пока сервер успешно подключится…

Синхронизация займет некоторое время. Это может занять до 30 минут или даже больше в зависимости от скорости вашего интернет-соединения и других факторов.

• Когда задача синхронизации будет завершена, нажмите Далее.

• Затем на экране Выбор языков щелкните Загрузить обновления только на этих языках . Отметьте Английский и любой другой дополнительный язык, на котором вы хотите загружать обновления. Когда вы закончите делать свой выбор, нажмите Далее.

• На экране Выбрать продукты отметьте все продукты, которые вы хотите обновить. Прокрутите вниз до раздела Windows и снимите флажок.Затем проверьте только те версии Windows, которые установлены в вашей среде. Когда вы закончите делать свой выбор, нажмите «Далее».

• Экран Выберите пояснения предлагает возможность определить классификации обновлений Windows, которые вы хотите загрузить. По умолчанию отмечены важные пояснения. Если вы хотите установить обновления компонентов Windows, также отметьте Обновления и Обновления . Чтобы продолжить, нажмите «Далее».

• На экране Set Sync Schedule настройте синхронизацию вручную или автоматически.Затем нажмите «Далее».

• Наконец, отметьте Начать начальную синхронизацию и нажмите Завершить .

• Консоль WSUS откроется автоматически.

Настроить групповую политику для WSUS

Последний шаг по настройке WSUS в Server 2019 — настройка групповой политики.

Инструкции по выполнению этой задачи см. В этом руководстве — Как настроить групповую политику для WSUS в Windows Server 2016.

Заключение

С помощью шагов, описанных в этом руководстве, вы можете установить и настроить WSUS в Server 2019.Я надеюсь, что вы сочли полезным.

Если у вас есть вопрос, отзыв или комментарий, используйте форму «Оставить ответ» в конце этой страницы.

Для получения дополнительных руководств по Windows Server посетите нашу страницу с инструкциями по Windows Server.

Как настроить, управлять и поддерживать WSUS: Часть 1 — Выбор ОС сервера

В этой серии из 8 частей мы рассмотрим хорошую стратегию по настройке служб Windows Server Update Services (WSUS) и управлению ими с помощью обработки утверждения групп тестирования и многого другого.Иногда WSUS также может называться сервером обновлений Windows (WUS) или точкой обновления программного обеспечения (SUP), а в System Center Configuration Manager — точкой распространения программного обеспечения. Мы коснемся групповой политики, используя разрешения на наследование и область видимости, чтобы создать очень гибкий, но простой дизайн для любой архитектуры AD. Мы также рассмотрим, какие изменения она вносит в стандартную консоль WSUS, чтобы сделать ваши представления более значимыми и дать вам больше информации о вашей среде. Наконец, мы расскажем о необходимом обслуживании WSUS и о том, как вы можете использовать автоматическое обслуживание WSUS, чтобы помочь автоматизировать то, что вам нужно делать.Вы можете использовать меню слева, чтобы перейти к определенной части и перемещаться по серии. Давайте начнем!

Выбор ОС сервера

Server 2008 и Server 2008 R2

• Server 2008 и Server 2008 R2 больше не поддерживаются Microsoft с 2020.01.14, и НЕ следует рассматривать при развертывании.
• Server 2008 и Server 2008 R2 НЕ МОГУТ обрабатывать обновления до Windows 10 с Windows 7 или 8 и не могут выполнять обновления до Windows 10 с Windows 10 (например, с 1511 до 1607 или 1703 или 1709), которая также известна как Windows как услуга ( WaaS).
• Server 2008+ может поставлять обновления (не обновления) для устройств Windows 10, чтобы поддерживать их в актуальном состоянии с помощью текущих накопительных обновлений.

Server 2012 и Server 2012R2

• Server 2012 или более поздней версии требуется для выполнения обновления до Windows 10 Devices
• Server 2012 не имеет готовых вариантов обслуживания для Windows 10; они были добавлены позже. В последней версии CU ЕСТЬ варианты обслуживания «из коробки».
• Если Server 2012 содержит KB3159706, который был установлен ПЕРЕД последней версией CU, вам нужно будет выполнить действия вручную, чтобы разрешить обслуживание и обновления Windows 10.
• Server 2012 и Server 2012R2 будут поддерживаться до 2023.10.10.

Сервер 2016

• Поддержка «из коробки» для обслуживания Windows 10
• Server 2016 следует рассматривать как вариант SECOND для развертывания сервера WSUS.

Сервер 2019

• Поддержка «из коробки» для обслуживания Windows 10
• Если возможно, Server 2019 следует рассматривать как вариант FIRST для развертывания сервера WSUS.

Развертывание обновлений (система рассылки) и обработка обновлений (система вытягивания)

WSUS — это хранилище обновлений и связанных файлов. Это не настоящий инструмент развертывания. Агент Центра обновления Windows на каждой из клиентских систем отвечает за выполнение всей работы, включая проверку на сервере WSUS и запрос, есть ли какие-либо обновления, применимые к ним, и, если они есть, загрузите их, установите их, инициируйте перезапуска, обратитесь к WSUS и сообщите, что обновления были установлены.Агент обновления Windows управляется политиками, установленными через GPO (наиболее часто), локальную групповую политику или изменения реестра.

Диспетчер конфигурации Microsoft Endpoint Manager (MEMCM / SCCM / ConfigMgr) — это настоящий инструмент развертывания с агентом в каждой системе. MEMCM использует WSUS в фоновом режиме для заполнения обновлений, доступных для MEMCM, для отправки клиентам и установки. Поскольку MEMCM использует WSUS в фоновом режиме, вы также должны убедиться, что выполняете необходимое обслуживание WSUS, а не просто выполняете обслуживание MEMCM.

Обратите внимание на все свои клиентские системы, но планируйте использование Windows 10.

Какие бы клиентские системы у вас ни были, вы должны это запомнить, но планируйте свои WSUS вокруг Windows 10. Хотя, по словам Microsoft, это последняя версия Windows, которую они построят, это просто маркетинговый трюк, поскольку они только что изменили название «Windows» на «Windows 10». Одна вещь, которая очень хороша, — это их переход на WaaS, где вы получаете бесплатные обновления до последней версии Windows 10 на весь срок службы вашего устройства.Что означает «срок службы вашего устройства»? Как всегда, это действительно означает вашу материнскую плату, поэтому, если у вас катастрофический сбой и вам нужно заменить материнскую плату, вам придется купить новую лицензию Windows 10. А теперь еще один способ взглянуть на фразу «жизнь». вашего устройства »- это его аппаратные возможности. Например, если вы используете Windows 10 на 32-битном нетбуке поколения 1 с 1 ГБ оперативной памяти, вы, возможно, осознали, что срок службы подошел к концу из-за минимальных требований, увеличивающихся до 2 ГБ.

WSUS на Server 2012 и выше

Настройка WSUS на Server 2012 или более поздней версии относительно такая же, если не такая же. Сначала вам нужно будет добавить роль на сервер через диспетчер серверов. Вы можете выбрать использование внутренней базы данных Windows (подходит для малых и крупных развертываний) или решить использовать удаленный SQL-сервер (Express, Standard или Enterprise), если вы собираетесь запустить службу балансировки нагрузки или высокой доступности. Большинству крупных организаций следует использовать распределенную модель для WSUS с одним главным вышестоящим сервером и несколькими репликами нижестоящих серверов в зависимости от местоположения, пропускной способности или рабочих границ.

Внутренняя база данных Windows против SQL Express Edition

Внутренняя база данных Windows (WID) — это версия SQL Express, которая просто встроена в операционную систему в качестве функции, а не требует отдельной установки. Нет никаких преимуществ в установке экземпляра SQL Express локально в системе вместо использования WID. На самом деле установка SQL Express вместо использования WID вредна; для экземпляра SQL Express будет жестко ограничено пространство в базе данных, а для WID — нет.Компромисс при использовании WID заключается в том, что к нему можно получить доступ только с самого сервера (только через именованные каналы, а не с удаленного сервера через TCP / IP)

Давайте запустим мастер настройки WSUS, чтобы начать работу.

1. Программа улучшения обновлений Microsoft — решать вам, хотите ли вы участвовать в ней или нет.
2. Выберите вышестоящий сервер — синхронизация из Центра обновления Майкрософт (если это подчиненный сервер, вы можете выбрать его здесь, но чаще всего вам потребуется из Центра обновления Майкрософт)
3. Укажите прокси-сервер — если он вам нужен, настройте его.Чаще всего это остается не настроенным.
   1. Нажмите Начать подключение
4. Выберите языки — выберите ТОЛЬКО ЯЗЫКИ для операционных систем, которые вы используете.
5. Выбор продуктов — ВЫБЕРИТЕ ТОЛЬКО те продукты, которые у вас есть в настоящее время и которые вы хотите обновить через WSUS. Я рекомендую все в разделе «Инструменты разработчика, среды выполнения и распространяемые компоненты» (это удовлетворяет требованиям обновлений таких элементов, как библиотеки среды выполнения Visual C ++ и т. Д.), «Обновления словаря Windows» в подкатегории «Windows» и «Диспетчер сервера Windows — Windows. По крайней мере, динамический установщик служб обновления сервера (WSUS) ».
6. Выберите классификации — я бы посоветовал выбрать все из них, ВКЛЮЧАЯ драйверы (в большинстве сайтов в Интернете предлагается исключить драйверы. Причина в том, что они не обладают возможностями автоматического обслуживания WSUS (WAM)). На данный момент в категории «Драйверы» на вашем сервере доступно более 40 000 обновлений. Поскольку это новая установка, после того, как вы WAM ваш сервер ™, этот список будет значительно сокращен, и им можно будет управлять.
7. Настроить расписание синхронизации — я бы рекомендовал синхронизировать автоматически, 4 раза в день, в любое время начала, которое вы хотите.WSUS автоматически настроит время, когда вы нажмете кнопку «Готово», и установит случайное смещение относительно выбранного вами времени.
8. Завершен

Теперь, когда сервер WSUS настроен и запускает первую синхронизацию, проверьте наличие обновлений от Microsoft с помощью Центра обновления Майкрософт на сервере и установите все обновления, которые он находит, при необходимости перезагружая и повторно проверяя наличие обновлений, чтобы убедиться, что вы ‘ повторно полностью обновлен.

Примечание: если вы используете Server 2012 или Server 2012 R2, по пути к обновлению вы можете слышать или не слышать об ужасном KB3159706 (https: // support.microsoft.com/en-us/kb/3159706). Хотя Microsoft официально не заменила это обновление, судя по отзывам, которые я видел в сообществах, исправления и исправления, которые поставляется с этим KB, были включены в последнее накопительное обновление для Server 2012 и Server 2012 R2. Согласно статье базы знаний, теперь вам нужно выполнить только одну команду ( «C: \ Program Files \ Update Services \ Tools \ wsusutil.exe» после установки / обслуживания ). Если обновление KB3159706 по-прежнему применимо к вам и установлено, вам придется выполнить действия вручную, описанные далее в этой серии.

Откройте консоль WSUS и перейдите в Параметры. Щелкните Уведомления по электронной почте и настройте получателей с ежедневными отчетами о состоянии, а также настройте вкладку почтового сервера с информацией о вашем почтовом сервере. Щелкните ОК.

Для средней установки щелкните «Обновить файлы и языки» и убедитесь, что НЕ установлен флажок «Загрузить файлы быстрой установки». Эта «опция» занимает много места и неправильно используется в описании. Это не загрузка «заглушки против полной», когда для установки заглушки потребуется подключение к Интернету и загрузка всего необходимого.По сути, это система контроля версий для каждого файла. Лучшее описание того, что он делает:

https://technet.microsoft.com/en-us/library/cc708456(v=ws.10).aspx#Anchor_2

«Когда вы распространяете обновления с помощью этого метода, это требует первоначальных вложений в пропускную способность. Файлы экспресс-установки больше, чем обновления, которые они предназначены для распространения. Это связано с тем, что файл экспресс-установки должен содержать все возможные варианты каждого файла, который он предназначен для обновления.”

есть свое место — когда у вас есть сотни серверов, на которые нужно доставлять обновления, устанавливать и перезагружать их за короткий промежуток времени, файлы экспресс-установки работают хорошо, поскольку они отправляют дельты только запрашивающему серверу. Однако для этого потребуется в 3-5 раз больше места на вашем сервере.

Щелкните OK, чтобы закрыть это окно.