Установ

Установка wsus: Шаг 1. Установка роли сервера WSUS

30.07.1977

Содержание

Шаг 1. Установка роли сервера WSUS

  • Чтение занимает 2 мин

В этой статье

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Следующий шаг в развертывании сервера WSUS — это установка роли сервера WSUS. Далее описано, как установить роль сервера WSUS с помощью диспетчера серверов.

Важно!

Эта процедура охватывает установку WSUS только с использованием внутренней базы данных Windows (WID). Процедуры установки WSUS с помощью Microsoft SQL Server описаны на форуме WSUS.

Установка роли сервера WSUS

  1. Выполните вход на сервер, на котором планируется установка роли сервера WSUS, используя учетную запись, являющуюся членом локальной группы администраторов.

  2. В диспетчере серверов щелкните Управление и Добавить роли и компоненты.

  3. На странице Перед работой нажмите кнопку Далее.

  4. На странице Выбор типа установки убедитесь, что выбрано свойство Установка ролей или компонентов и щелкните Далее

    .

  5. На странице Выбор целевого сервера выберите расположение сервера (пул серверов или виртуальный жесткий диск). После выбора расположения укажите сервер, на котором требуется установить роль сервера WSUS, и нажмите кнопку Далее.

  6. На странице Выбор ролей сервера щелкните Службы Windows Server Update Service. Откроется диалоговое окно добавления компонентов, необходимых для служб Windows Server Update Services . Щелкните Добавить компоненты, а затем нажмите кнопку Далее.

  7. На странице Выбор компонентов оставьте настройки по умолчанию и щелкните Далее.

    Важно!

    Службам WSUS требуется только настройка по умолчанию роли веб-сервера. Если в процессе настройки служб WSUS предлагается дополнительная настройка роли веб-сервера, можно принять значения по умолчанию и продолжить настройку WSUS.

  8. На странице Службы Windows Server Update Services нажмите кнопку Далее.

  9. На странице Выбор служб ролей не изменяйте выбранные по умолчанию службы, а затем нажмите кнопку Далее

    .

    Совет

    Вы должны выбрать один тип базы данных. Если все параметры базы данных очищены (не выбраны), произойдет сбой задач после установки.

  10. На странице Выбор расположения содержимого введите правильное расположение для хранения обновлений. Например, можно создать папку с именем WSUS_database в корне диска K специально для этой цели и ввести k:\WSUS_database как правильное расположение.

  11. Нажмите кнопку Далее. Откроется страница Роль веб-сервера (IIS) . Просмотрите сведения и нажмите кнопку Далее

    . На странице Выбор служб ролей для установки веб-сервера (IIS) оставьте значения по умолчанию и щелкните Далее.

  12. На странице Подтверждение выбранных элементов для установки просмотрите выбранные элементы и нажмите кнопку Установить. Запускается мастер установки служб WSUS. Установка может занять несколько минут.

  13. После завершения установки служб WSUS в окне сводки на странице хода установки щелкните Запуск послеустановочных задач. Текст изменяется и появляется запрос: Подождите, пока выполняется настройка сервера. После завершения задачи текст изменяется следующим образом:

    Настройка успешно завершена. Нажмите кнопку Закрыть.

  14. В окне Диспетчер сервера проверьте, настроено ли отображение уведомлений о необходимости перезагрузки. Этот параметр может меняться в зависимости от установленной роли сервера. Если необходимо выполнить перезапуск для окончания установки, убедитесь, что он был осуществлен.

Важно!

Процесс установки будет завершен, но чтобы обеспечить работоспособность службы WSUS, перейдите к разделу Шаг 2. Настройка WSUS.

Настройка WSUS — [3] часть — UniTec

Данная статья обновлена 07 августа 2020 года

[1] часть — Установка роли WSUS на Windows Server 2016 
[2] часть — Конфигурирование WSUS
[3] часть — Настройка WSUS
[4] часть — Траблшутинг WSUS

Установка Microsoft Report Viewer

Открываем консоль Windows Server Update Services, в разделе Reports выбираем любой из пунктов и видим сообщение что необходима установка Microsoft Report Viewer

Переходим по ссылке и скачиваем

Запускаем инсталляцию ReportViever и получаем следующее сообщение.

Установка Microsoft System CLR Types for SQL Server
Скачиваем и устанавливаем

После установки SQLSysClrTypes.msi, повторим установку ReportViever

Если после установки при нажатии на репорт ошибка осталась,
закройте консоль WSUS и откройте заново.

Теперь при нажатии на любой из репортов должно открываться новое окно, для проверки открываем Update Status Summary

Настройка WSUS

Открываем раздел Options.
Здесь можно изменить те данные, которые вносились при первичной настройке WSUS, либо запустить настройку заново.

Открываем Update files and Languages и задаем скачивание обновлений после утверждения.


Тем самым с Microsoft не будут загружаться не нужные обновления и захламлять место на диске. Минус данного способа в том, что если пользователь ПК решил обновить свой Windows, а обновления еще не были утверждены и закачены на сервер, то это вызовет ошибку в обновлении на ПК пользователя.

Если галочка убрана, то все обновления нужные и не нужные после синхронизации с Microsoft будут загружаться на сервер.

Что следует понимать под не нужными обновлениями. Предположим вы не давно обновили версию Windows на Windows 10 и на всех компьютерах у вас версия 1909. Соответственно обновления для всех остальных версий вам не нужны. 

Определить  версию операционной системы Windows
В командной строке выполним systeminfo, получаем:
Windows 10 (2004) 19041.423
Windows 10 (1909) 18363.997 
Windows 10 (1903) 18362.997 
Windows 10 (1809) 10.0.17763
Windows 10 (1803) 10.0.17134
Windows 10 (1709) 10.0.16299
Windows 10 (1703) 10.0.15063
Windows 10 (1607) 10.0.14393
Windows 10 (1511) 10.0.10586
Windows 10        10.0.10240
Windows Server 2016 (Long-Term Servicing Channel) 1607 14393.0
Классификация обновлений

На этом этапе мы разделим обновления по классификации.
Выбираем Updates и правой кнопкой, выбираем

New Update View.

1. Устанавливаем галочки
2. Выбираем классификацию обновления
3. Выбираем продукт
4. Задаем имя.

В нашем примере мы создаем более мелкие классификации обновлений.

Если этот вариант Вам не нравится, Вы можете объединить в один 
Update View все обновления, например, для Windows 10 или один тип обновлений для нескольких ОС.

Для Windows Defender выбираем Definition Updates
Windows Defender проверяет наличие обновлений через клиента автоматического обновления. 

Группы компьютеров

Следующим шагом мы создаем группы компьютеров к которым мы будем применять обновления.
Во вкладке Computers создаем группу Windows 10

Данное условие не касается обновлений например для Windows Defender, которое можно установить на автоматическое обновление без утверждений, но об этом поговорим позже.

Распределение компьютеров по группам может происходить двумя разными способами. Можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Во вкладке

Options выбираем Computers и выбираем нужный способ распределения компьютеров.

Выбор через консоль.

Выбор через групповые политики.

В нашем случае установим через консоль. Все новые компьютеры будут появляться в каталоге Unassigned Computers откуда мы их будем разносить по нужным группам и применять к ним обновления.

Запуск синхронизации

Следующим шагом мы запускаем синхронизацию, для этого выбираем Synchronizations и правой кнопкой в выпадающем меню жмем Synchronize Now, ждем окончания.

За выполнением синхронизации мы можем следить

По мере прохождения синхронизации в созданных нами Update View будут появляться заголовки обновлений полученные с сервера Microsoft. Выбираем Unapproved/Any и видим списки обновлений.

В дальнейшем настраиваем автоматическую синхронизацию.

Настройка ПК на получение обновлений WSUS через GPO

Включаем принудительный запуск службы обновлений.
Для этого в разделе: 

Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services -> 
Windows Update Тип запуска - Automatic

Настраиваем групповые политики, отвечающие за работу службы обновлений Windows. Идем:

Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update 
(Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows)

Общий вид групповых политик включено\выключено для офисных ПК

Указываем состояние GPO:

Применение обновлений

После обращения клиентского компьютера к серверу WSUS, он появится в разделе Unassigned Computers

Перемещаем его в ранее созданную нами группу Windows 10

После регистрации компьютеров и подачи ими отчетов, выбираем 
Unapproved/Needed и видим доступные обновления. Нажимаем на них Appoved и выбираем группу компьютеров для установки на них обновлений. На всех остальных обновлениях нажимаем Declined.

Таким образом у нас получилось отфильтровать только нужные обновления и не захламливать сразу же после установки место на диске.

Полезный скрипт для переиндексации базы WSUS 3.0
Re-index the WSUS 3.0 Database
http://gallery.technet.microsoft.com/ScriptCenter/en-us/6f8cde49-5c52-4abd-9820-f1d270ddea61

Типы обновлений Windows
  1. Критическое обновление . Это всемирное обновление для любой конкретной проблемы, не связанной с безопасностью, предлагаемой операционной системой; такие обновления выпускаются для решения критических, но не связанных с безопасностью проблем
  2. Обновление определений . Обновление определений — это обновление Windows, которое добавляет или изменяет базу данных определений операционной системы Windows; База данных определений — это база данных, встроенная в операционную систему, которая помогает идентифицировать вредоносный код, фишинговые сайты и нежелательную почту.
  3. Обновление . Обновление устраняет некритическую ошибку, не связанную с безопасностью.
  4. Обновления драйверов влияют на работу одного или нескольких драйверов устройств.
  5. Обновления безопасности . Обновления, связанные с проблемами безопасности в операционной системе, называются обновлениями безопасности; Эти обновления Windows, как правило, выпускаются после того, как какая-либо организация по безопасности обнаруживает неисправность в любой операционной системе и уведомляет Microsoft; Microsoft создает исправление (обновление) как можно скорее или в течение определенного периода времени, чтобы исправить эти проблемы; Затем обновление выпускается по всему миру; часто пользователи также уведомляются по электронной почте для загрузки этих обновлений безопасности
  6. Обновления Feature Pack: — это обновления, которые вносят изменения в определенные функции операционной системы; такие обновления выпускаются по мере доступности для выбранного набора пользователей; если этот набор пользователей предоставит хорошие отзывы об изменениях функций операционной системы, Microsoft включит эти изменения в следующую большую версию Windows Operating Software; В настоящее время вы получаете два обновления функций каждый год, если вы используете Windows 10
  7. Ежемесячный накопительный пакет . Среди различных типов обновлений Windows вы также получаете ежемесячный накопительный пакет обновлений каждый второй вторник; Это обновление включает в себя все обновления, выпущенные в предыдущем месяце, а также дополнительные определения вредоносных программ.
  8. Пакет обновления . Это накопительный набор всех исправлений, обновлений безопасности, критических обновлений, исправлений и обновлений. Это набор обновлений Windows, выпущенных между двумя последовательными версиями операционной системы Windows. Эпоха пакетов обновлений закончилась.
  9. Обновления инструментов . Это обновления встроенных утилит и инструментов.
  10. Накопительный пакет обновлений . Накопительный набор исправлений, обновлений для системы безопасности, критических обновлений и обновлений, упакованных вместе для упрощения развертывания.
  11. Полные обновления . В них есть все необходимые компоненты и файлы, которые изменились с момента последнего обновления функции.
  12. Экспресс-обновления . Они генерируют разностные загрузки для каждого компонента в полном обновлении на основе нескольких исторических баз.
  13. Дельта-обновления . Они включают в себя только те компоненты, которые были изменены в последнем обновлении качества, и будут устанавливаться только в том случае, если на устройстве уже установлено обновление предыдущего месяца.
  14. Обновление качества безопасности . Содержит все предыдущие обновления.
  15. Ежемесячная проверка качества безопасности . Содержит только обновления за текущий месяц.
  16. Предварительный просмотр ежемесячного сведения о качестве . Это предварительный просмотр обновлений качества, которые будут выпущены в следующем месяце.
  17. Обновления стека служб . Они хранятся отдельно от обычных накопительных обновлений, поскольку эти накопительные обновления добавляют новые и более оптимизированные файлы в операционную систему.

Развертывание и использование WSUS сервера

Февраль10

WSUS (Windows Server Update Services) нужен для автоматической закачки заплаток, пакетов обновлений и других примочек с сайта Microsoft, и раздачи этого контента внутри локальной сети. Т.е. администраторам нет необходимости качать заплатки раздельно и ставить их на каждую машину. Достаточно поднять WSUS на сервере, настроить его, а также настроить рабочие машины на использование этого сервера.  Обновление скачивается 1 раз на сам сервер и с него уже устанавливается дальше по локальной сети. Так же использование WSUS существенно экономит трафик в сети интернет, используемый под закачку обновлений и системных заплаток.

WSUS является бесплатным продуктом, однако у вас должна быть корректная лицензия на серверную ОС, а также лицензии Windows Client Access (CAL) на каждую рабочую станцию, которая обновляется с сервера WSUS. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений  своих программных продуктов  в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services.

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

  • Операционная система: Windows Server 2003 SP1 и выше.
  • Дополнительные роли сервера: IIS 6.0 и выше
  • Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
  • Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить.

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью  «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт».

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо  указать  IP адрес, номер порта и параметры аутентификации на прокси-сервере.

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно  ещё добавляют «Русский». Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды.

ВАЖНО! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды.

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений.

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации. В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений».

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки». Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов.   Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они  не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск  – Администрирование – Управление групповой политикой». Выбираем  ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети ».

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете  адрес в окно «Укажите сервер статистики в интрасети». В рамках редактора групповой политики есть подсказки в окне объяснений.

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений».

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен»  и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров  для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера.

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были  описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой».

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно  в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить».

ВАЖНО! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её  необходимо запускать с ключом /detectnow  (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений)  необходимо запускать с ключом /reportnow (wuauclt. exe /reportnow).

Другие статьи

WSUS 2016 с SQL Server 2016. Развертывание и настройка::Журнал СА 12.2017

Рубрика: Администрирование /  Оптимизация

Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

 ЮРИЙ КНЯЗЕВ, ООО «Агентство Р.О.С.долгЪ», начальник отдела информационной безопасности, [email protected]

WSUS 2016 с SQL Server 2016
Развертывание и настройка

Управление обновлениями – процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в рабочей среде. Это помогает поддерживать производительность, устранять уязвимости иобеспечивать стабильность рабочей среды

Если организация не будет устанавливать и поддерживать известный уровень доверия в своих операционных системах и прикладном программном обеспечении, то у нее может появиться ряд уязвимостей, что в случае взлома способно привести к потере дохода и интеллектуальной собственности. Чтобы минимизировать данную угрозу, необходимо правильно настроить системы, использовать последние версии программного обеспечения и установить рекомендуемые обновления программного обеспечения.

Windows Server Update Services (WSUS) – сервер обновлений операционных систем и продуктов Microsoft. С помощью WSUS администраторы могут управлять обновлениями на компьютерах в сети

Начиная с версии Windows Server 2008 службы Windows Server Update Services представляют собой встроенную роль сервера.

Требования к системе

Минимальные аппаратные требования к WSUS:

  • Процессор: 1,4 ГГц на основе архитектуры x64 (рекомендуется 2 ГГц и быстрее).
  • Память: WSUS требует дополнительно 2 Гб ОЗУ, помимо ресурсов, необходимых серверу.
  • Доступное дисковое пространство: не менее 30 Гб (рекомендуется 40 Гб и выше).
  • Сетевой адаптер: 100 Мб/с и выше.

Требования к программному обеспечению:

  • Для просмотра отчетов WSUS требуется пакет Microsoft Report Viewer Redistributable 2012.

Требования к базе данных службы WSUS

Независимо от того, какие пакеты обновления связаны с каждой версией Microsoft SQL Server, службам WSUS требуется одна из следующих баз данных:

  • Внутренняя база данных Windows (WID)
  • Microsoft SQL Server 2016
  • Microsoft SQL Server 2014
  • Microsoft SQL Server 2012
  • Microsoft SQL Server 2008 R2

Службами WSUS поддерживаются следующие выпуски SQL Server:

  • Enterprise
  • Standard
  • Express

Можно установить роль службы WSUS на сервере, отдельном от сервера базы данных. В таком случае необходимо соблюдать следующие дополнительные критерии:

  • Сервер баз данных нельзя настроить так, чтобы он выполнял роль контроллера домена.
  • Сервер службы WSUS не может запускать службы удаленных рабочих столов.
  • Сервер баз данных должен находиться в том же домене Active Directory, что и сервер службы WSUS, либо он должен иметь отношение доверия с доменом Active Directory сервера WSUS.
  • Сервер службы WSUS и сервер баз данных должны находиться в одном и том же часовом поясе либо быть синхронизированными с одним и тем же источником времени в формате UTC (среднее время по гринвичскому меридиану).

Выбор сценария развертывания службы WSUS

Служба WSUS имеет несколько вариантов развертывания:

  • Простое развертывание службы WSUS
  • Несколько серверов WSUS
  • Отключенный WSUS-сервер
  • Иерархии серверов WSUS
  • Автономный режим
  • Режим реплики
  • Филиалы
  • Балансировка сетевой нагрузки

В данной статье рассмотрим простое развертывание службы WSUS (см. рис. 1) как самое распространенное в организациях, об остальных вариантах можно подробно почитать в статье Microsoft [1].

Рисунок 1. Простой (базовый) процесс развертывания WSUS

Служба WSUS использует два типа хранения:

  • Базу данных для хранения настроек WSUS, метаданных обновлений и сведения о клиентских компьютерах, обновлениях, взаимодействиях.
  • Локальную файловую систему (локальная директория), чтобы хранить файлы обновлений.

Обновления состоят из двух частей: метаданные, которые описывают обновление и файлы, необходимые для установки обновления. Размер метаданных обновлений обычно намного меньше, чем размер самого обновления, а хранятся они вбазе данных WSUS. Файлы обновлений хранятся на локальном сервере WSUS в специально указанной директории.

Статью целиком читайте в журнале «Системный администратор», №12 за 2017 г. на страницах 18-23.

PDF-версию данного номера можно приобрести в нашем магазине.

  1. Шаг 1. Подготовка к развертыванию службы WSUS – https://technet.microsoft.com/ru-ru/library/hh852344.
  2. Download SQL Server Management Studio (SSMS) – https://docs.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms.

Ключевые слова: Windows server, WSUS, безопасность, обновление.


Facebook

Twitter

Мой мир

Вконтакте

Одноклассники

Google+

Установка WSUS на сервере

Установка WSUS на сервере

Установка WSUS выполняется очень легко, т.к. она устанавливается в виде серверной роли из Server Manager. Дружественная процедура установки устанавливает как WSUS, так и все необходимые для нее компоненты.

Для выполнения начальной установки WSUS выполните перечисленные ниже действия.

  1. Запустите Server Manager.
  2. В панели Roles Summary (Список ролей) щелкните на ссылке Add Roles (Создание ролей), чтобы запустить мастер.
  3. Щелкните на кнопке Next (Далее).
  4. Отметьте пункт Windows Server Update Services и щелкните на кнопке Next.
  5. Окно Add Role Services and Features Required for Windows Server Update Services (Добавление служб и средств, необходимых для службы обновления Windows Server) предлагает установить дополнительные компоненты, если они нужны. Необходимыми компонентами являются веб-сервер IIS и средства управления: Windows Process Activation Service Process Model (Модель процессов службы акти­вации процессов Windows) и среда .NET. Щелкните на кнопке Add Required Role Services (Добавить нужные службы роли).
  6. Щелкните на кнопке Next.
  7. Прочтите введение в веб-сервер (IIS) и щелкните на кнопке Next.
  8. Щелкните на кнопке Next, чтобы выбрать стандартные службы роли для установки.
  9. Прочтите введение в службу обновления Windows Server и щелкните на кнопке Next.
  10. Просмотрите сводку по выбранным для установки компонентам и щелкните на кноп­ке Install (Установить).
  11. В процессе подключения Server Manager к сайту загрузок Microsoft и загрузки самой свежей версии WSUS выводятся сообщения «Searching for Updates» (Поиск обновле­ний) и «Downloading» (Загрузка). Кроме того, при необходимости будут установлены службы Web Services (IIS) и Windows Process Activation Service.
  12. Появится мастер установки службы обновления Windows Server (Windows Server Update Services Setup Wizard). Щелкните на кнопке Next.
  13. Прочитайте лицензионное соглашение и щелкните на кнопке Next.
  14. Если появится сообщение, что не установлено средство Report Viewer 2005, щелкните на кнопке Next (без этого загружаемого модуля некоторые отчеты будут недоступны).
  15. Установите флажок Store Updates Locally (Хранить обновления локально) и укажите, где нужно сохранять обновления. Это место должно иметь достаточный размер для хранения большого количества загружаемых исправлений. Щелкните на кнопке Next.
  16. Выберите вариант Install the Windows Internal Database on This Computer or Use an Existing Database Server on a Remote Computer (Установить на данный компьютер внутреннюю СУБД Windows или использовать существующий сервер баз данных на удаленном компьютере), если нужно использовать внешний SQL-сервер.
  17. Выберите вариант Use the Existing IIS Web Site (Использовать существующий веб­сайт IIS). Щелкните на кнопке Next.
  18. Просмотрите параметры на странице Ready to Install (Готово к установке) и щелкни­те на кнопке Next.
  19. Процесс установки в Server Manager завершается, и после щелчка на кнопке Finish (Готово) начинает работу мастер конфигурирования WSUS (WSUS Configuration Wizard). Прочтите информацию и щелкните на кнопке Next.
  20. Щелкните на кнопке Next, чтобы подключиться к программе усовершенствования обновлений Microsoft.
  21. Выберите вариант Synchronize from Microsoft Update (Синхронизация с Microsoft Update) и щелкните на кнопке Next.
  22. При необходимости измените параметры прокси-сервера и щелкните на кнопке Next.
  23. Щелкните на кнопке Start Connecting (Начать подключение), чтобы сохранить на­стройки и загрузить информацию обновления. Это может занять несколько минут. Щелкните на кнопке Next.
  24. Укажите язык (языки) обновления и щелкните на кнопке Next.
  25. Выберите продукты, для которых нужны обновления и щелкните на кнопке Next.
  26. Выберите классы обновлений, которые вы хотите загрузить, и щелкните на кнопке Next.
  27. Создайте график синхронизации WSUS с серверами Microsoft Update или укажите вариант Synchronize Manually (Синхронизация вручную). Щелкните на кнопке Next.
  28. Проверьте, что выбран вариант Begin Initial Synchronization (Выполнить начальную синхронизацию) и щелкните на кнопке Finish (Готово).
  29. Просмотрите отчет о выполнении установки, щелкните на кнопке Close (Закрыть) и закройте Server Manager. Администрирование WSUS выполняется из консоли WSUS MMC. Эта консоль пред­ставляет собой центр работы со всеми параметрами настройки WSUS и единственной консолью администрирования этой службы.

Как установить WSUS на Windows Server 2012R2

Обновлено 28.10.2014

WSUS (Windows Server Update Services) – это сервер обновлений ОС и продуктов компании Microsoft. ПО может быть скачано бесплатно с сайтов Microsoft и инсталлировано на серверную ОС семейства Windows Server. Сервер обновлений синхронизируется с сайтом Microsoft и скачивает обновления, которые потом могут быть распространены внутри локальной сети. Такой метод экономит внешний трафик компании и ускоряет установку обновлений с целью исправления ошибок и уязвимостей в ОС. Также это позволяет централизованно управлять обновлениями рабочих стаций и серверов.

Открываем Диспетчер серверов

Как установить WSUS на Windows Server 2012R2-01

Нажимаем Управление-Добавление роли или компонента.

Как установить WSUS на Windows Server 2012R2-02

Читаем немного полезной информации от мастера 🙂 и щелкаем Далее.

Как установить WSUS на Windows Server 2012R2-03

Далее.

Как установить WSUS на Windows Server 2012R2-04

Далее.

Как установить WSUS на Windows Server 2012R2-05

Выбираем Windows Server Update Service.

Как установить WSUS на Windows Server 2012R2-06

Далее.

Как установить WSUS на Windows Server 2012R2-07

Далее

Как установить WSUS на Windows Server 2012R2-08

Немного описания, что делает служба, жмем Далее.

Как установить WSUS на Windows Server 2012R2-09

Ставим первые две птички и жмем далее.

Как установить WSUS на Windows Server 2012R2-10

Выбираем каталог, куда будут скачиваться ваши обновления. Советую для этого выделить отдельный диск, 200-300ГБ. Жмем Далее.

Как установить WSUS на Windows Server 2012R2-11

Дальше мастер покажет какие именно компоненты ставятся из роли IIS.

Как установить WSUS на Windows Server 2012R2-12

Как установить WSUS на Windows Server 2012R2-13

Жмем Установить.

Как установить WSUS на Windows Server 2012R2-14

На время установки прогресс бар можно закрыть

Как установить WSUS на Windows Server 2012R2-15

После установки, можно заметить предупреждение, что нужно запустить послеустановочные настройки.

Как установить WSUS на Windows Server 2012R2-16

Как установить WSUS на Windows Server 2012R2-17

В каталоге установки обновлений появились две папки.

Как установить WSUS на Windows Server 2012R2-18

Теперь перейдем в меню Средства и выберем там WSUS оснастку.

Как установить WSUS на Windows Server 2012R2-19

Запустится мастер настройки служб WSUS. Сразу жмем далее.

Как установить WSUS на Windows Server 2012R2-20

Можете при желании участвовать в программе по улучшению от Microsoft, для этого ставим птичку. Далее.

Как установить WSUS на Windows Server 2012R2-21

Выбираем с кем нужно выполнять синхронизацию, тут на выбор либо сайт Microsoft, либо ваш вышестоящий WSUS сервер. Выбираем Microsoft.

Как установить WSUS на Windows Server 2012R2-22

Если прокси нет, то просто жмем далее.

Как установить WSUS на Windows Server 2012R2-23

Нажимаем Начать подключение.

Как установить WSUS на Windows Server 2012R2-24

Как установить WSUS на Windows Server 2012R2-25

После подключения жмем Далее.

Как установить WSUS на Windows Server 2012R2-26

Выбираем какие языковые обновления будем скачивать

Как установить WSUS на Windows Server 2012R2-27

Выбираем нужные вам продукты.

Как установить WSUS на Windows Server 2012R2-28

Выбираем классы обновлений. Советую поставить все.

Как установить WSUS на Windows Server 2012R2-29

Выбираем расписание синхронизации.

Как установить WSUS на Windows Server 2012R2-30

Запускаем первоначальную синхронизацию

Как установить WSUS на Windows Server 2012R2-31

Как установить WSUS на Windows Server 2012R2-32

Заходим в оснастку.

Как установить WSUS на Windows Server 2012R2-33

Видим прогресс бар нашей синхронизации

Как установить WSUS на Windows Server 2012R2-34

Обратите внимание, что начали появляться подпапки категорий продуктов.

Как установить WSUS на Windows Server 2012R2-35

На этом первая часть о WSUS закончена, как настроить WSUS будет рассказано в следующей статье.

FIXTEK: Установка WSUS. Part 2

Продолжаем возиться с Windows Server Update Services (WSUS).
Первая часть про установку и настройку тут.
Теперь подключаем клиентов нашей сети к серверу обновлений через реестр.


Что нам нужно? Лично мне нужно, что обновления самостоятельно скачивались в заданное время и устанавливались без непосредственного участия пользователя. Для этого я сделал два файла wsus.cmd и wsus.reg

Содержание wsus.cmd

@echo off
IF EXIST «%WINDIR%\wsus.reg» (
EXIT
) ELSE (
COPY «wsus.reg» «%WINDIR%\wsus.reg»
Net Stop «wuauserv»
Echo Importing wsus.reg
%WINDIR%\Regedit.exe /s «%WINDIR%\wsus.reg»
Echo wsus.reg imported succesfully
Net Start «wuauserv»
Echo Forcing update detection
wuauclt.exe /detectnow
)
EXIT

Что делает файл? Проверяет наличие файла wsus.reg в папке windows пользователя. Это мне нужно для того, чтобы не вносить настройки каждый раз при входе пользователя в сеть, когда выполняются скрипты загрузки, но это уже совсем другая история.

Далее, мы останавливаем службу автоматических обновлений Windows, если она была запущена. После остановки вносим в реестр значения из файла wsus.reg и снова запускаем службу. После запуска отправляем команду wuauclt.exe /detectnow которая стимулирует агента WSUS на подключение к нашему серверу обновлений.

wsus.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
«Start»=dword:00000002
«Type»=dword:00000020
«DisplayName»=»Автоматическое обновление WSUS»
«Description»=»Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Windows Update или WSUS.»

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
«ElevateNonAdmins»=dword:00000000
«TargetGroup»=»Test»
«TargetGroupEnabled»=dword:00000001
«WUServer»=»http://wsus.local»
«WUStatusServer»=»http://wsus.local»

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
«AUOptions»=dword:00000004
«AutoInstallMinorUpdates»=dword:00000001
«DetectionFrequencyEnabled»=dword:00000000
«NoAUAsDefaultShutdownOption»=dword:00000000
«NoAUShutdownOption»=dword:00000000
«NoAutoRebootWithLoggedOnUsers»=dword:00000001
«NoAutoUpdate»=dword:00000000
«RebootRelaunchTimeout»=dword:0000003c
«RebootRelaunchTimeoutEnabled»=dword:00000001
«RebootWarningTimeout»=dword:0000001e
«RebootWarningTimeoutEnabled»=dword:00000001
«RescheduleWaitTime»=dword:0000000f
«RescheduleWaitTimeEnabled»=dword:00000001
«ScheduledInstallDay»=dword:00000000
«ScheduledInstallTime»=dword:0000000a
«UseWUServer»=dword:00000001

Распишу эти ключи реестра подробнее:

 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
Самый первый раздел отвечает за автоматический запуск службы «Автоматическое обновление». Всегда и всем. + небольшое описание службы для удобства.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
Сюда вносятся параметры службы Windows Update.
Ключ ElevateNonAdmins имеет два возможных значения. Значение по умолчанию, равное 1, позволяет пользователям, не являющимися администраторами, устанавливать обновления. Если вы измените это значение на 0, то только администраторы смогут устанавливать обновления. Что нам и требуется.
Ключ TargetGroup позволяет задать имя группы для сервера wsus. Для каждой группы мы можем позже задать расписание и необходимые правила. TargetGroupEnabled равный 1 делает параметр TargetGroup активным.
Значение ключей  WUServer и WUStatusServer понять не сложно. Там мы указываем адрес нашего WSUS сервера.

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
AUOptions 4 означает, что скачивание и установка обновлений задана в автоматическом режиме по расписанию. (Работает только тогда, когда заданы ключи ScheduledInstallDay и ScheduledInstallTime.) Все загрузки и установка обновлений запланированы на 10 утра ежедневно.

NoAutoRebootWithLoggedOnUsers — отключаем автоматическую перезагрузку, только по запросу пользователя.

AutoInstallMinorUpdates позволяет установить незначительные обновления (minor updates) в фоновом режиме.

RebootRelaunchTimeoutEnabled делает активным параметр, отвечающий за напоминания о перезагрузке. А RebootRelaunchTimeout задаёт временной интервал для данного напоминания. В данном случае у меня он равен 60 минут.

RescheduleWaitTimeEnabled Если пропущено запланированное обновление, то Windows попытается установить обновление при следующем включении компьютера спустя заданное количество минут после загрузки.

RebootWarningTimeout устанавливает время через которое произойдёт автоматическая перезагрузка с момента появления предупреждения. RebootTimeoutWarningEnabled делает эту возможность активной.

Ключ NoAutoUpdate равный 0 принудительно включает автоматическое обновление.

UseWUServer говорит клиенту использовать наш сервер обновлений, который  мы указали в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate].

После того, как мы создали эти два файла, нам необходимо запустить на клиентском компьютере файл wsus.cmd под учётной записью администратора. Теперь наш клиентский компьютер знает о нашем сервере обновлений.

Шаг 1. Установите роль сервера WSUS

  • 2 минуты на чтение

В этой статье

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Следующим шагом в развертывании вашего сервера WSUS является установка роли сервера WSUS.Следующая процедура описывает, как установить роль сервера WSUS с помощью диспетчера сервера.

Важно

В этой процедуре установки описывается только установка WSUS с использованием внутренней базы данных Windows (WID). Процедуры установки WSUS с использованием Microsoft SQL Server описаны на форуме WSUS.

Для установки роли сервера WSUS

  1. Войдите на сервер, на котором вы планируете установить роль сервера WSUS, используя учетную запись, которая является членом группы локальных администраторов.

  2. В Server Manager щелкните Manage , а затем щелкните , добавьте роли и компоненты .

  3. На Перед тем, как начать работу со страницей , щелкните Далее .

  4. На странице выбора типа установки убедитесь, что Установка на основе ролей или функций выбрана, и нажмите Далее .

  5. На странице выберите целевой сервер выберите, где расположен сервер (из пула серверов или с виртуального жесткого диска).После выбора расположения выберите сервер, на котором вы хотите установить роль сервера WSUS, а затем нажмите Далее .

  6. На странице выбора ролей сервера выберите Службы обновления Windows Server . Добавить функции, необходимые для служб Windows Server Update Services. открывается. Щелкните Добавить компоненты , а затем щелкните Далее .

  7. На странице выбора функций оставьте значения по умолчанию и нажмите Далее .

    Важно

    WSUS требует только конфигурации роли веб-сервера по умолчанию. Если вам будет предложено настроить дополнительную роль веб-сервера при настройке WSUS, вы можете спокойно принять значения по умолчанию и продолжить настройку WSUS.

  8. На странице Windows Server Update Services нажмите Далее .

  9. На странице Select Role Services оставьте значения по умолчанию и нажмите Next .

    Подсказка

    Вы должны выбрать один тип базы данных. Если все параметры базы данных очищены (не выбраны), выполнение задач после установки завершится ошибкой.

  10. На странице Выбор местоположения содержимого введите допустимое местоположение для хранения обновлений. Например, вы можете создать папку с именем WSUS_database в корне диска K специально для этой цели и ввести k: \ WSUS_database в качестве допустимого местоположения.

  11. Щелкните Далее .Откроется страница роли веб-сервера (IIS) . Просмотрите информацию и нажмите Далее . В выберите службы ролей для установки для веб-сервера (IIS) , сохраните значения по умолчанию и нажмите Далее .

  12. На странице Подтверждение выбора установки просмотрите выбранные параметры и нажмите Установить . Запустится мастер установки WSUS. Это может занять несколько минут.

  13. После завершения установки WSUS в итоговом окне на странице Ход установки щелкните Запустить задачи после установки .Текст меняется, запрашивается: Подождите, пока ваш сервер настроен . Когда задача будет завершена, текст изменится на: Конфигурация успешно завершена . Щелкните Закрыть .

  14. В Server Manager проверьте, появляется ли уведомление о необходимости перезагрузки. Это может варьироваться в зависимости от установленной роли сервера. Если требуется перезагрузка, обязательно перезапустите сервер, чтобы завершить установку.

Важно

На этом процесс установки завершен, однако для работы WSUS необходимо перейти к шагу 2: настройка WSUS.

Как установить роль WSUS на сервере 2019

В этой серии из двух частей я расскажу шаг за шагом по установке и настройке роли WSUS на Windows Server 2019. Это руководство должно помочь вам, если вы решите установить и настроить WSUS с нуля. В этом посте я выбрал Windows Server 2019 для установки и настройки WSUS.

Что такое обновления Windows

Давайте поговорим о некоторых основах. Когда мы устанавливаем операционную систему, программное обеспечение или образ машины, мы всегда проверяем наличие последних обновлений.Не только операционная система, но и каждое программное обеспечение, которое мы используем, необходимо постоянно обновлять.
Обновления Windows выпускаются для исправления проблем безопасности, исправления ошибок, проблем в операционной системе и для добавления новых функций в ОС. Обновления Windows полагаются на службу Windows Update, которая по умолчанию запускается автоматически.
Служба обновления Windows автоматически загрузит и установит рекомендуемые и важные обновления. Обновления Microsoft можно разделить на следующие категории: —

  1. Критические обновления
  2. Обновления безопасности
  3. Обновления определений
  4. Драйверы
  5. Накопительные пакеты обновлений
  6. Пакеты обновления
  7. Инструменты
  8. Пакеты функций
    9. 63 Обновления 90 Введение в Службы Windows Server Update Services

    WSUS позволяет администраторам устанавливать последние обновления продуктов Microsoft.WSUS — это роль Microsoft Windows Server, и когда мы его установим, вы сможете эффективно управлять обновлениями и развертывать их.
    Одна из важнейших задач системных администраторов — постоянно обновлять клиентский компьютер и серверы с помощью последних обновлений безопасности и исправлений программного обеспечения Windows. Без WSUS было бы очень сложно управлять обновлениями Windows.
    Если у вас есть один сервер WSUS в нашей среде, обновления Windows загружаются непосредственно из Центра обновления Майкрософт. Вместо того, чтобы загружать обновления прямо из Интернета, позволяя использовать их на нескольких компьютерах.Мы можем настроить сервер WSUS и разрешить клиентам загружать все обновления с сервера WSUS. С помощью WSUS мы можем сэкономить пропускную способность Интернета, а также ускорить процесс обновления Windows.

    Лабораторная установка служб обновления Windows Server

    В первую очередь позвольте мне рассказать о лабораторной настройке WSUS. Я считаю, что лучший способ освоить WSUS — это сначала развернуть и настроить его в тестовой или лабораторной среде. Затем мы можем начать работать над этим и попробовать несколько вещей.
    Я создал 3 виртуальных машины в своей лаборатории.

    902. test.local
    Имя сервера Операционная система Роль установлена ​​
    DC2019.test.local Windows Server 2019 Standard Active Directory, DNS, DHCP
    Windows Server 2019 Standard WSUS
    Windows10.test.local Windows 10 Professional Windows 10

    Системные требования WSUS

    Когда мы решили внедрить WSUS в нашу установку , Сначала мы должны сначала изучить требования WSUS.Посетите Microsoft . Он будет охватывать всю информацию, необходимую для требований WSUS.

    Порты / исключения брандмауэра WSUS

    Важно, чтобы сервер WSUS подключался к Центру обновления Майкрософт для загрузки обновлений. Если между Интернетом и сервером WSUS существует корпоративный брандмауэр, нам, возможно, придется настроить этот брандмауэр, чтобы WSUS мог получать обновления.
    Для получения обновлений от Microsoft используется порт 443 WSUS для протокола HTTPS. Вы должны разрешить доступ в Интернет из WSUS для следующего списка URL-адресов.

    Развертывание роли WSUS на Windows Server 2019

    Войдите на свой сервер Windows 2019 , на котором вы хотите установить роль сервера WSUS, используя учетную запись с правами администратора.

    1- Запустите диспетчер сервера, щелкните панель управления, а затем щелкните добавить роли и компоненты.

    2- Щелкните Далее.

    3- Щелкните Далее.

    4- На странице выбора сервера проверьте имя сервера и нажмите кнопку «Далее».

    Роли сервера — Службы обновления Windows Server

    5- Выберите роль «Службы обновления Windows Server».

    6- Выберите «Добавить функции».

    7- Нажмите «Далее».

    8- Оставьте значение по умолчанию и нажмите «Далее».

    9- Щелкните Далее.

    Тип базы данных WSUS — службы ролей

    10- Службы ролей / тип базы данных для установки для служб Windows Server Update. Выберите WID Connectivity / WSUS Services и нажмите Next.

    Расположение содержимого WSUS

    11- Укажите расположение, в котором вы хотите хранить обновления. Я настоятельно рекомендую сохранять обновления на другом диске, а не на диске C :.Нажмите «Далее.

    12- Окно роли веб-сервера (IIS), нажмите «Далее».

    13- Настройки по умолчанию нажмите Далее.

    14- Просмотрите окончательное подтверждение перед установкой WSUS и нажмите «Установить».

    15- Установка WSUS завершена, выберите «Запустить послеустановочные задачи».

    16. Дождитесь сообщения «Конфигурация успешно завершена» и нажмите «Закрыть».

    Как настроить сервер WSUS

    Установка и настройка серверов WSUS | Автор: Hui W.Ву | Tech Jobs Academy

    Ключевой проблемой, с которой сегодня сталкиваются системные администраторы, является обновление клиентских и серверных компьютеров с помощью последних программных исправлений и обновлений безопасности. Это становится обременительной задачей, когда вам приходится иметь дело с большой средой с множеством различных конфигураций компьютеров, которые требуют множества различных обновлений безопасности и программных исправлений.

    К счастью для нас, Microsoft включила в Windows Server 2012 R2 роль сервера под названием Windows Server Update Services, или WSUS, чтобы облегчить эту задачу.С помощью WSUS мы можем загружать обновления для соответствующих клиентов и серверов Windows и управлять их распространением. Затем мы можем настроить компьютеры для получения автоматических обновлений с сервера WSUS, предварительно одобренного администратором.

    Это замечательная функция в Windows Server 2012 R2, и мы собираемся пройти процесс установки и настройки сервера WSUS в этом сообщении в блоге!

    Установите его, выполнив следующие шаги с указанными ниже параметрами:

    1. Откройте диспетчер серверов, на панели инструментов щелкните « Добавить роли и компоненты », затем щелкните Далее .
    2. Выберите « Установка на основе ролей или функций », затем щелкните Далее .
    3. Выберите сервер или виртуальный жесткий диск, на котором вы хотите установить роль WSUS, затем щелкните Далее .
    4. Выберите Службы обновления Windows Server , затем щелкните Далее .
    5. На экране « Select Features » нажмите Next .
    6. На экране « Windows Server Update Services » нажмите Далее .
    7. На экране « Выберите службы ролей » убедитесь, что выбраны « WID Database » и « WSUS Services », затем щелкните Далее .
    8. На экране « Выбор местоположения содержимого » вы можете указать путь для локального хранения обновлений, либо по локальному, либо по удаленному пути, затем нажмите «Далее»
    9. Нажмите Установить , чтобы начать процесс установки роли WSUS.

    После завершения процесса установки мы можем запустить задачи после установки, щелкнув значок уведомления на панели мониторинга диспетчера серверов, как показано ниже, для настройки сервера WSUS.

    Если «Мастер настройки служб обновления Windows Server» не появляется после нажатия кнопки «Запуск задач после установки», вы можете запустить его вручную, перейдя в «Инструменты» и нажав «Службы обновления Windows Server». Это должно запустить мастер настройки, как показано на снимке экрана ниже:

    1. На экране «Перед началом работы» запишите контрольный список и убедитесь, что у вас есть вся необходимая информация, прежде чем продолжить.

    2. В «Программе улучшения Microsoft Update» вы можете выбрать отправку информации Microsoft для повышения качества и надежности обновлений.

    3. На экране «Выбрать вышестоящий сервер» мы можем выбрать синхронизацию обновлений из обновлений Microsoft или, если у нас уже есть другой сервер WSUS, мы можем настроить его на синхронизацию с этим сервером WSUS. В этой настройке главный сервер WSUS называется «вышестоящим сервером», а серверы, которые синхронизируются с ним, называются подчиненными серверами. Мы также можем настроить его как копию вышестоящего сервера, которая отражает утверждения обновлений, настройки, компьютеры и группы от родительского сервера. Управление осуществляется только на вышестоящем сервере.Поскольку у нас не настроены другие серверы WSUS, мы установим для него «Синхронизировать из Центра обновления Майкрософт».

    4. В поле «Указать прокси-сервер» вы можете ввести информацию о прокси-сервере, если этого требует ваша среда. В нашем примере прокси-сервер не требуется, поэтому просто нажмите Далее .

    5. На этом экране мы нажмем «Начать подключение», чтобы начать загрузку информации о типах доступных обновлений, продуктах, которые можно обновить, и доступных языках.Этот процесс может занять несколько минут.

    6. На экране «Выбор языков» вы можете выбрать загрузку обновлений для определенных языков или обновлений для всех языков, в зависимости от требований вашей среды.

    7. На экране «Настроить расписание синхронизации» мы можем настроить, как мы хотим запланировать синхронизацию нашего сервера WSUS. Мы можем настроить синхронизацию вручную или запланировать автоматическую синхронизацию.

    8. На экране «Завершено» мы можем выбрать начало синхронизации, выбрав «Начать начальную синхронизацию».Нажмите «Готово», чтобы начать синхронизацию и завершить работу мастера настройки WSUS. Этот процесс может быть довольно длительным в зависимости от количества обновлений продукта, выбранных языков и вашего подключения к Интернету.

    Возможность интеллектуального и централизованного управления обновлениями имеет решающее значение для эффективности, надежности и безопасности любой крупной среды. С помощью WSUS Microsoft предоставила нам очень мощный инструмент для этого. Чтобы узнать больше о WSUS и о том, что он может сделать для вашей среды, посетите веб-сайт WSUS MSDN.

    WSUS — Установка и настройка — Служба обновления Windows Server — Страница 2 из 7

    Установка роли WSUS

    1. В диспетчере сервера щелкните «Добавить роли и компоненты» 1.

    2. При запуске мастера нажмите Далее 1.

    3. Выберите функцию «Установка на основе ролей» или «1» и нажмите «Далее» 2.

    4. Выберите сервер, на котором будет выполняться установка 1, и нажмите Далее 2.

    5. В списке ролей установите флажок 1 Службы WSUS (службы Windows Server Update Services).

    6. Подтвердите добавление зависимостей, щелкнув Добавить функции 1.

    Роли WSUS устанавливают IIS и внутреннюю базу данных Windows.

    7. Щелкните Далее 1.

    8. Подтвердите функции, нажав Далее 1.

    9. Передайте сводку ролей WSUS, нажав Далее 1.

    10. Оставьте параметры установки по умолчанию, нажмите Далее 1.

    Параметр подключения к SQL Server — это параметр, поставляемый с Windows Server 2016, который позволяет настроить базовое использование базы данных SQL Server сразу после ее установки.

    11. Укажите, где хранятся обновления на сервере 1, и нажмите Далее 2.

    В случае использования SCCM нет необходимости хранить обновления на сервере WSUS, они будут храниться на сервере распространения.

    12. Пропустите сводку ролей IIS, нажав кнопку «Далее 1».

    13. Нажмите кнопку «Далее 1», чтобы подтвердить установку служб IIS.

    14. Подтвердите установку ролей и компонентов, нажав Установить 1.

    15. Дождитесь установки различных ролей…

    16. По завершении установки выйдите из мастера, нажав кнопку «Закрыть 1».

    17. В диспетчере серверов щелкните флаг уведомления 1 и щелкните Запустить задачи после установки 2.

    18. Подождите, пока выполняется установка после развертывания…

    19. Роль теперь установлена.

    Теперь, когда роли необходимы для развертывания WSUS, перейдем к настройке.

    Как установить и настроить WSUS в Windows Server 2016

    Intune — отличный инструмент для развертывания обновлений Windows на всех конечных точках.

    Вероятно, когда у вас есть мобильные устройства, не принадлежащие Компании.

    Если вы хотите узнать больше о Intune , вы можете найти интересные статьи Damien Van Robaeys на http://www.systanddeploy.com/

    Но есть много компаний, у которых нет бюджета на использование Intune или по какой-либо другой причине.

    В этом случае мы можем использовать WSUS (службы обновления Windows Server) , которые могут развертывать обновления Windows из одного места на всех конечных точках.

    Итак, давайте начнем объяснять

    Перед установкой WSUS

    Перед началом установки WSUS вы должны решить, как вы будете планировать развертывание WSUS.

    Рекомендуется прочитать статью из Microsoft Docs Планирование развертывания WSUS

    WSUS использует порт 443 и протокол https.

    Если вы не хотите разрешать доступ в Интернет на сервере WSUS, вы должны разрешить следующий URL-адрес в вашем брандмауэре

    Как установить WSUS

    Установка WSUS Role — это просто и не сложно

    Итак, начнем

    • Открыть Server Manager
    • Нажмите Управление — добавление ролей и функций
    • Нажмите Далее

    • Оставьте настройки по умолчанию и нажмите Далее .

    • Если у вас нет добавления другого сервера в диспетчере серверов, просто оставьте значение по умолчанию и нажмите Далее . Если только не выберите локальный сервер и не нажмите Далее .

    • Проверьте Windows Server Update Services и одновременно нажмите Добавить компоненты .

    • Еще раз Далее без добавления каких-либо признаков

    • Щелкните еще раз Далее .Это всего лишь шаги, необходимые для завершения установки WSUS.

    • Ничего не меняйте для служб ролей веб-сервера и щелкните Далее .

    • Мастер служб обновления Windows Server. Просто нажмите Next

    • Нам не нужен параметр Sql Server Connectivity .

    • Вы должны выбрать, хотите ли вы хранить Windows Updates локально на вашем сервере или нет

    • Поясним разницу здесь.
      • Если вы храните обновления Windows локально, конечные точки будут быстрее загружать обновления Windows из WSUS
      • Если вы не будете хранить обновления Windows на своем сервере, вы сэкономите дисковое пространство, но конечным точкам потребуется больше времени для загрузки обновлений Windows из WSUS.
    • Если вы решили сохранить Windows Updates , рекомендуется создать отдельный раздел.
    • Примите решение и нажмите Далее .В моем сценарии я решил сохранить обновления Windows и указал путь.

    • Щелкните Установить и дождитесь завершения.

    Как настроить WSUS

    После завершения установки WSUS необходимо настроить сервер WSUS с помощью мастера настройки.

    Это мастер одноразовой настройки, который необходимо выполнить перед началом использования WSUS.

    • Откройте диспетчер сервера
    • Нажмите на флаг
    • Щелкните Launch-Post Installation Task

    Если вы пропустили его по ошибке, вы можете запустить его из консоли сервера WSUS

    • В диспетчере сервера щелкните Инструменты — Службы обновления Windows Server

    • Разверните Имя сервера .В моем сценарии WSUS
    • Выберите Опции.
    • Справа щелкните Мастер настройки сервера WSUS

    • На первом этапе нажмите Далее.

    • Оставить параметр по умолчанию Синхронизировать из обновлений Microsoft .

    • Укажите информацию о прокси, если она у вас есть. Если только не нажать Далее , ничего не меняя.

    • Щелкните Начать подключение для подключения к вышестоящему серверу.

    • Укажите язык для обновлений Windows.

    • Укажите продукты , которые вы хотите обновить. Я выбираю Windows Server 2012, Windows Server 20016 и 2019 .

    • Укажите тип обновлений Windows для загрузки.

    • Настройте, если вы хотите синхронизировать WSUS с Windows Updates .

    • Проверить Начать начальную синхронизацию . Нажмите Далее

    • Вы можете увидеть статус синхронизации из консоли

    До завершения синхронизации давайте создадим групповые политики для развертывания обновлений Windows в конечных точках, которые вы хотите.

    Как настроить групповую политику для WSUS

    Последним шагом после завершения установки и настройки WSUS является создание групповой политики для WSUS.

    В групповой политике настройте, с какого сервера будет запрашиваться обновление Windows для конечной точки.

    • Создать новую групповую политику
    • Войдите в Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Центр обновления Windows .
    • Измените Настроить автоматические обновления , используя любые параметры, соответствующие вашей среде. В этом сценарии я выбираю 3 — автоматическая загрузка и уведомление об установке и 0 — каждый день

    • Измените Укажите местонахождение службы обновлений Майкрософт в интрасети . Вы должны ввести URL-адрес сервера интрасети, который имеет тип http: : 8350

    • Теперь примените GPO в каждой организационной единице , которая включает конечные точки , которые будут получать обновления Windows от WSUS
    • После применения GPO в Endpoints вас спросят, как определить, что GPO применяется, и что конечная точка будет получать обновления Windows из WSUS?
    • Один из способов — открыть Server Manager — — Local Server
    • Убедитесь, что в обновлении Windows указано Загружать обновления Windows только с помощью службы управляемого обновления

    • Другой способ — открыть реестр
    • Войдите в HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate .

    Как настроить группы компьютеров WSUS

    Возможно, в вашем окружении будут Сервер, Рабочие станции и другие ОС.

    Чтобы нацелить обновления для различных ОС и типов конечных точек, вы можете создать группы компьютеров.

    Иерархия зависит от вашей инфраструктуры.

    Я покажу вам только, как создать группу компьютеров и добавить конечные точки в группу

    • Щелкните правой кнопкой мыши Все компьютеры и выберите Добавить группу компьютеров

    • Введите имя Computer Group .Нажмите Добавить

    • Теперь щелкните правой кнопкой мыши Updates и выберите New update View

    • Отметьте Обновления для определенного продукта
    • Щелкните любой продукт.

    • Выберите только тот продукт, который вам больше нравится. Для этого сценария я выбираю Windows 10

    • Введите имя View и щелкните OK
    • Теперь нажмите на новое окно просмотра обновлений
    • Замените фильтр на Неутверждено

    • Выберите Windows Updates , которые вы хотите развернуть на своих конечных точках Windows 10 (в моем примере)
    • Как видите, я использую поиск, чтобы найти обновление для конкретной версии Windows 10
    • Щелкните правой кнопкой мыши выберите Утвердить

    • Выберите Computer Group и выберите Approve for Install .

    Вот и все! Теперь на основе того, какой компьютер находится в группе, и параметры групповой политики будут установлены обновления Windows.

    Как видите, это очень просто, когда вы разделяете с помощью групп типы ваших конечных точек, потому что вы можете очень быстро настроить таргетинг на определенные обновления Windows для определенной группы конечных точек.

    Это не рекомендуемый вариант для всех обновлений Windows, а только для обновлений безопасности.

    Мы должны каждый раз поддерживать на всех наших серверах последние обновления безопасности, чтобы избежать каких-либо брешей в безопасности наших систем.

    Нелегко сохранить руководство по процессу, когда вам нужно обслуживать сотни серверов.

    По этой причине я покажу вам, как можно автоматически утверждать все обновления безопасности для вашей ОС Windows

    • Откройте WSUS
    • Щелкните в Options
    • С правой стороны выберите Автоматическое одобрение

    • Теперь щелкните Любая классификация

    • Выберите только обновления безопасности .Нажмите ОК

    • Выберите только тот продукт, для которого вы хотите автоматически утверждать обновления безопасности. Для сценария я выбираю Windows Server 2016 . Нажмите ОК
      • .

    • Выберите Computer Group , которая включает определенные серверы или рабочие станции с соответствующей ОС Windows. Нажмите ОК

    • Если вы уже загрузили Windows Updates , вы должны щелкнуть Run Rule , чтобы утвердить все обновления безопасности.
    • Вам не нужно щелкать Правило запуска для следующих обновлений, которые будут загружены, или если у вас еще нет начала загрузки обновлений для Windows .

    • Теперь вы можете легко создать новое представление обновлений, которое будет включать только обновления безопасности, чтобы убедиться, что все были утверждены

    Помните, что до сих пор у нас есть только Автоматическое одобрение всех обновлений безопасности.

    Если вы хотите продолжить автоматическую установку обновлений безопасности , вы должны изменить настройки групповой политики .

    Прочтите параграф Как настроить групповую политику для WSUS, чтобы понять, какие параметры необходимо изменить в групповой политике

    Честно говоря, это не очень простой процесс, потому что необходимо выделить определенное время для поиска и утверждения обновлений Windows для каждой категории.

    Но помните, что это произойдет только один раз, и создайте автоматическую процедуру, пока вы централизовали свои обновления Windows и точно знаете, какие конечные точки устарели и должны быть обновлены.

    Хороших выходных !!

    Будьте в безопасности

    Как установить сервер WSUS и клиенты WSUS и управлять ими

    WSUS означает «Службы обновления Windows Server», которые представляют собой программное обеспечение, предоставляемое Microsoft, чтобы помочь системным администраторам управлять продуктами Windows и Microsoft в корпоративной среде.

    Подумайте об обновлениях вашего компьютера с Windows 10, но для серверов Windows и о том, как вы хотели бы управлять утверждением обновлений, временем обновления и т. Д.в централизованной системе.


    Установка сервера WSUS и управление с его помощью клиентов WSUS

    Это руководство по установке WSUS Server на вашу виртуальную машину Windows Server 2019 с целью подключения к другим серверам, чтобы вы могли управлять обновлениями Windows для них.

    Цель состоит в том, чтобы вы могли подтвердить, что ваш сервер WSUS подключен к вашим клиентам WSUS.

    Так же, как в моем примере на скриншоте выше, где я подключил своих клиентов WSUS («Windows Server 2012R2» и «Windows Server 2016 Standard») к моему серверу WSUS («Windows Server 2019 Standard»).

    Отлично, с чего мне начать?

    Как установить сервер WSUS и клиенты WSUS и управлять ими

    0. Обеспечение соответствия вашего сервера WSUS минимальным требованиям

    1. Установка сервера WSUS

    2. Настройка сервера WSUS

    3. Назначение клиентов WSUS вашему серверу WSUS

    4. Начните использовать сервер WSUS для утверждения и развертывания обновлений

    Приложение — Рекомендации / поиск и устранение неисправностей

    0.Обеспечение соответствия вашего сервера WSUS минимальным требованиям

    Выберите сервер Windows, на котором вы хотите установить сервер WSUS. В этом примере я использую Windows 2019, но вы можете использовать любой Windows Server, который вам больше нравится.

    В идеале вам понадобится достаточно вычислительной мощности и хранилища на жестком диске для удовлетворения требований, поскольку в некоторых случаях вам может потребоваться загрузить много обновлений на свой сервер WSUS. (В какой-то момент я исчерпал свои 80 ГБ хранилища, поэтому я бы рекомендовал как минимум 150-200 ГБ).

    Microsoft представила хороший обзор минимальных требований и вещей, которые следует учитывать при планировании развертывания WSUS.

    Вот что они перечисляют, хотя это самый минимум, поэтому я бы посоветовал загрузить намного больше.

    • Процессор: процессор x64 1,4 ГГц (ГГц) (рекомендуется 2 ГГц или выше)
    • Память: WSUS требует на 2 ГБ ОЗУ больше, чем требуется серверу и всем другим службам или программному обеспечению.
    • Доступное дисковое пространство: рекомендуется 40 ГБ или больше
    • Сетевой адаптер: 100 мегабит в секунду (Мбит / с) или больше (рекомендуется 1 ГБ)

    1.Установите сервер WSUS на свой Windows Server

    Откройте «Диспетчер серверов» на вашем Windows Server.

    Щелкните Добавить «Роли и компоненты».

    Нажмите «Далее».

    Убедитесь, что выбран вариант «Ролевая или функциональная установка».

    Нажмите «Далее».


    Выберите расположение для целевого сервера. Это будет ваша текущая машина или еще что-нибудь. По сути, вам нужно найти и выбрать, где находится ваш текущий сервер (из пула серверов или с виртуального жесткого диска).

    Нажмите «Далее».

    Вам будет предложено множество вариантов и контрольных списков, найдите и выберите «Службы обновления Windows Server».

    Вам будет представлено всплывающее окно «Мастер добавления ролей и функций».

    Щелкните «Добавить функции». Оставьте это, вы можете спокойно принять значения по умолчанию.
    Нажмите «Далее».

    На странице «Выбор компонентов» выберите компоненты и нажмите «Далее».

    На странице служб ролей оставьте значения по умолчанию.


    Нажмите «Далее»

    На странице выбора расположения содержимого введите допустимое расположение для хранения обновлений. Например. C: \ WSUS.

    Нажмите «Далее».

    Откроется страница роли веб-сервера (IIS). Просмотрите информацию и нажмите «Далее». В выберите службы ролей для установки для веб-сервера (IIS), сохраните значения по умолчанию и нажмите «Далее».

    На странице подтверждения выбора установки просмотрите выбранные параметры и, когда будете готовы, нажмите «Установить».

    При желании вы можете выбрать «Закрыть».

    Если вы подождете, вы увидите следующий экран.

    После завершения установки WSUS нажмите «Запустить послеустановочные задачи».

    При необходимости перезапустите сервер. В диспетчере серверов может появиться уведомление о необходимости перезагрузки. Это может варьироваться в зависимости от установленного сервера. Если требуется перезагрузка, обязательно перезапустите сервер, чтобы завершить установку.

    2. Настройка сервера WSUS

    Теперь, когда у вас установлен сервер WSUS. Вам будет предложено настроить WSUS и выбрать место для хранения обновлений WSUS. То есть

    «Требуется конфигурация для служб обновлений Windows Server на »

    В моем примере мой компьютер с Windows Server называется «WINDOWS», поэтому я получил сообщение «Требуется конфигурация для служб обновлений Windows Server в WINDOWS» .

    Я создал папку на моем диске C: под названием «WSUS», но вы можете выбрать любое место по своему усмотрению.

    После того, как вы выбрали это, вы можете продолжить и дождаться его настройки.

    Он загрузит этот экран «Перед началом», когда он будет готов.

    Нажмите «Далее».

    В «Программе улучшения Microsoft Update» выберите то, что вам удобно, и нажмите «Далее».

    В разделе «Выбрать вышестоящий сервер» проверьте вариант, с которого вы хотите синхронизировать обновления, и нажмите «Далее».

    Следующие вкладки довольно просты, поэтому вам нужно решить, что лучше всего подходит для вас и что вам действительно нужно. Я бы рекомендовал выбирать только то, что вам нужно, так как вам нужно будет загрузить это на ваш сервер. Вы всегда можете изменить / добавить позже.

    На вкладке «Выбор языков» выберите нужные языки.

    На вкладке «Выбрать продукты» выберите свои продукты.

    На вкладке «Выбрать классификации» выберите нужные типы обновлений.

    Настройте «Расписание синхронизации».

    3. Назначение клиентов WSUS вашему серверу WSUS

    Здесь вы хотите проверить в меню слева, видите ли вы свои серверы Windows (клиенты WSUS) в списке на вашем сервере WSUS.

    Вам необходимо настроить другие серверы Windows (клиенты WSUS), чтобы они указывали на ваш сервер WSUS, чтобы он отображался на этой странице «Все компьютеры».

    4.Начните использовать сервер WSUS для утверждения и развертывания обновлений

    Разверните, нажмите на меню слева и откройте «Обновления».

    Убедитесь, что вы изменили фильтры «Утверждение» = не одобрено и «Статус» = Любое, чтобы вы начали видеть там обновления.

    Возможно, вам придется подождать некоторое время, пока WSUS загрузит сведения об обновлении с серверов Microsoft или установленного вами сервера.

    Приложение — Рекомендации / поиск и устранение неисправностей:

    Если вам не хватает места, рассмотрите возможность использования этого параметра в настройках служб обновления WSUS.

    WSUS Update Services> Параметры> Обновить файлы и языки> Не хранить файлы обновлений локально; компьютеры устанавливаются из Центра обновления Майкрософт.

    Если вы используете диспетчер конфигурации, например Puppet, это означает установку двоичных файлов хоста на Microsoft. То есть:

    host_binaries_on_microsoft_update => true

    Проверить на вашем WSUS-клиенте, на какой WSUS-сервер (server_url) он может указывать. В cmd или Powershell запустите эту команду:

    reg запрос HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate

    Убедитесь, что порт 8530 открыт и указан сразу после вашего имени хоста.То есть, например:

    http://windows.vulongtran.net:8530

    Вы также можете проверить связь с вашим сервером с клиента, чтобы убедиться в наличии соединения. например

    пинговать windows.vulongtran.net

    Если вы используете Puppet, вы можете настроить свой клиентский модуль WSUS так, чтобы он имел следующие настройки с портом 8530 (например, windows.vulongtran.net:8530) для тестирования и настройки того, что вам нужно (вы также можете рассмотреть возможность использования модуля WSUS Server для управления конфигурацией вашего сервера WSUS):

    Вы можете запустить следующее в cmd или Powershell на клиенте WSUS, чтобы проверить, что модуль активен на сервере клиента WSUS.

    файл классов печати конфигурации марионетки

    cat C: /ProgramData/PuppetLabs/puppet/cache/state/classes.txt

    Если вы используете образы и серверы Windows были клонированы, вам может потребоваться удалить их из консоли WSUS, а затем сбросить идентификатор на каждом сервере. То есть:

    net stop wuauserv

    УДАЛИТЬ "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate" / v AccountDomainSid / f

    REG DELETE "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate" / v PingID / f

    REG DELETE "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ WindowsUpdate" / v SusClientId / f

    чистый старт wuauserv

    wuauclt / resetauthorization

    wuauclt / detectnow

    Затем, подождав 15-20 минут, запустите на клиентах следующее, а затем обновите консоль на сервере WSUS.

    wuauclt / reportnow

    Пример управления конфигурацией:

    Если вы используете инструмент управления конфигурацией, такой как Puppet, вы можете использовать модуль WSUS_client и добавить код в файл манифеста, который вы можете вызвать «wsus_client.pp» для управления своими клиентами WSUS.

    class profile :: wsus_client {
    class {'wsus_client':
    server_url => 'http://windows.yourdomain.com:8530',
    target_group => 'production',
    auto_update_option => 'NotifyOnly',
    auto_install_minor_updates => false,
    no_auto_update => true,
    purge_values ​​=> true,
    detection_frequency =>
    Detection_frequency> _hatch_frequency_frequency '],
    }
    }

    Вы можете использовать модуль WSUS_server и добавить код в файл манифеста, который вы можете назвать «wsusserver.pp "для управления вашими серверами WSUS.

    профиль класса :: wsusserver {

    класс {'wsusserver':

    товаров => [

    «Windows Server 2012»,

    «Windows Server 2012 R2»,

    «Windows Server 2016»,

    «Windows Server 2019»,

    ],

    update_classifications => [

    «Накопительные пакеты обновления»,

    «Обновления безопасности»,

    «Критические обновления»,

    «Обновления»

    ],

    host_binaries_on_microsoft_update => true, # загружать двоичные файлы по запросу

    synchronize_automatically => true,

    synchronize_time_of_day => '02: 00: 00 ',

    number_of_synchronizations_per_day => 8,

    package_ensure => 'присутствует',

    update_languages ​​=> ['ru'],

    }

    wsusserver_computer_target_group {['production']:

    гарантировать => «присутствует»,

    }

    wsusserver :: Approvalrule {«Правило автоматического утверждения безопасности и критических обновлений»:

    гарантировать => «присутствует»,

    включено => истина,

    классификации => [

    «Накопительные пакеты обновления»,

    «Обновления безопасности»,

    «Критические обновления»,

    «Обновления»

    ],

    товаров => [

    «Windows Server 2012»,

    «Windows Server 2012 R2»,

    «Windows Server 2016»,

    «Windows Server 2019»,

    ],

    computer_groups => ['production'],

    }

    }

    # Подробнее здесь - https: // puppet.com / blog / how-automate-windows-patching-puppet /

    Артикул:

    Windows Server Update Services - установка и настройка

    КБ ID 0000592

    Проблема

    Служба обновления Windows Server или WSUS (ранее называвшаяся SUS Software Update Services) была дополнительной загрузкой, которую вы могли использовать, чтобы позволить одному или нескольким серверам в вашей организации обрабатывать обновления для ваших клиентов Windows и приложений Microsoft.

    В Server 2008 R2 он теперь включен в качестве «роли» сервера, а не для загрузки. Это отличный инструмент для централизованного управления и отчетности о статусе обновления вашей сети, и, если вы не разрешаете своим клиентам доступ в Интернет, вы можете обновлять их, не пробивая дыры в брандмауэре. Кроме того, это избавляет всех ваших клиентов, получающих обновления от Microsoft, и забивает ваше интернет-соединение.

    Решение

    Предварительные требования для WSUS

    Перед тем как начать, убедитесь, что сервер, который вы собираетесь использовать, полностью обновлен.Вам также понадобится 6 ГБ (приблизительно) для хранения обновлений.

    Шаг 1 Добавьте и настройте роль служб Windows Server Update Services

    1. На сервере WSUS запустите ServerManager (CompMgmtLauncher.exe)> Роли> Добавить роль> Если вы видите «Перед тем, как начать» нажмите Далее> Выберите «Службы обновления Windows Server»> На этом этапе, если IIS не установлен он попросит добавить требуемую роль service> Пусть это сделает> Далее.

    2. Далее> Далее> Далее> Установить> Во время установки запустится мастер установки WSUS> Далее> Принять лицензионное соглашение> Далее> Укажите место для хранения обновлений> Далее.

    3. Вы можете выбрать существующую базу данных или нажать «Далее», чтобы установить и использовать SQL Express> Выберите настройки своего веб-сайта> Далее.

    Примечание : По умолчанию веб-службы устанавливаются и настраиваются через TCP-порт 80 (http). Если у вас есть другая служба или программа, использующая этот порт, у вас возникнет проблема (например, программа, которая использует веб-сервер Apache, или программное обеспечение UPS, у которого есть консоль управления на порту 80 и т. Д.). Если вы выберете второй вариант, сайт будет настроен на TCP-порт 8530 для http и 8531 для https.

    4. Далее> Готово> Теперь откроется мастер настройки> Далее> Далее> Если вы собираетесь получать обновления с другого сервера WSUS, введите его здесь> Если нет, нажмите Далее> Если вам нужно ввести данные прокси-сервера, сделайте это> Далее> Нажмите «Начать подключение» (это может занять некоторое время> Далее.

    5. Выберите языки для загрузки> Далее> Выберите продукты, для которых вы хотите загрузить обновления> Далее.

    6.Выберите «Классификации» (типы обновлений), которые вы хотите обслуживать> Далее> Установите расписание синхронизации (я обычно делаю это один раз в день)> Далее.

    7. Далее> Готово> Закрыть.

    Шаг 2 Параметры групповой политики для клиентов WSUS.

    Помните, что это политики Компьютерные Политики НЕ Пользовательские Политики, вам необходимо связать GPO с вашими компьютерами. Если вы свяжете его с OU, содержащим пользователей, ничего не произойдет!

    1.На контроллере домена> Пуск> Администрирование> Управление групповой политикой> Найдите подразделение, содержащее ваши компьютеры> Щелкните правой кнопкой мыши и создайте новый объект групповой политики.

    2. Дайте объекту групповой политики имя> Редактировать новый объект групповой политики> Перейдите к:

    Конфигурация компьютера> Политики> Административные шаблоны> Компоненты Windows> Обновления Windows

    3. Измените настройки справа в соответствии со своими требованиями. > Закройте окно редактора групповой политики (чтобы увидеть, какие настройки я обычно устанавливаю, см. Видео выше).

    4. Ваши клиенты получат эти настройки при следующей загрузке, максимум через два часа или после того, как вы запустите на них «gpupdate / force».

    5. Если вы проверите своих клиентов, вы увидите, что их настройки Центра обновления Windows теперь выделены серым цветом.

    Шаг 3 Настройте службы Windows Server Update Services.

    1. ПОДОЖДИТЕ , прежде чем вернуться к серверу WSUS для его настройки (обычно я жду несколько дней). Предполагая, что ваши компьютеры теперь отображаются в разделе «Компьютеры», вам необходимо либо вручную утвердить обновления, либо настроить их на автоматическое обновление.

    Если ваши компьютеры не «появляются», см. Клиенты Windows, которые не «отображаются» в WSUS

    2. Если вы хотите просто «автоматически утверждать» все новые обновления, перейдите в «Параметры»> «Автоматические утверждения»> и выберите «Правило автоматического обновления по умолчанию»> щелкните гиперссылки в правиле, чтобы отредактировать их> «Применить»> «Выполнить правило»> «Выбрать». Да, чтобы сохранить и запустить.

    3. Если вы хотите создавать группы компьютеров и развертывать обновления более поэтапно, вы можете создать разные группы компьютеров и добавить свои компьютеры в эти группы.

    4. Если вы хотите утвердить обновления вручную, перейдите в раздел «Обновления»> «Все обновления»> «Выберите« Неутвержденные »обновления»> щелкните правой кнопкой мыши> «Утвердить»> выберите соответствующие группы компьютеров.

    No related posts.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *