Службы Windows Server Update Services (WSUS) Windows Server Update Services (WSUS)

Область применения. Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Службы Windows Server Update Services (WSUS) позволяют ИТ-администраторам развертывать новейшие обновления продуктов Майкрософт. Windows Server Update Services (WSUS) enables information technology administrators to deploy the latest Microsoft product updates. Службы WSUS позволяют в полной мере управлять процессом распределения обновлений, выпущенных через Центр обновления Майкрософт, среди компьютеров в сети. You can use WSUS to fully manage the distribution of updates that are released through Microsoft Update to computers on your network. В данном разделе представлен обзор этой роли сервера и дополнительные сведения о том, как развертывать и обслуживать WSUS. This topic provides an overview of this server role and more information about how to deploy and maintain WSUS.

Описание роли сервера WSUS WSUS Server role description

Сервер WSUS предоставляет возможности для управления обновлениями и их распространения через консоль управления. A WSUS server provides features that you can use to manage and distribute updates through a management console. Сервер служб WSUS может также быть источником обновлений для других серверов WSUS в организации. A WSUS server can also be the update source for other WSUS servers within the organization. Сервер WSUS, действующий как источник обновлений, называется вышестоящим сервером. The WSUS server that acts as an update source is called an upstream server. В реализации служб WSUS хотя бы один сервер WSUS в сети должен иметь возможность подключаться к Центру обновления Майкрософт для получения информации о доступных обновлениях. In a WSUS implementation, at least one WSUS server on your network must be able to connect to Microsoft Update to get available update information. Учитывая вопросы безопасности и конфигурации сети, администратор может самостоятельно определить количество дополнительных серверов, напрямую подключенных к Центру обновления Майкрософт. As an administrator, you can determine — based on network security and configuration — how many other WSUS servers connect directly to Microsoft Update.

Практическое применение Practical applications

Управление обновлениями — это процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в рабочей среде. Update management is the process of controlling the deployment and maintenance of interim software releases into production environments. Это помогает поддерживать производительность, преодолевать уязвимости и обеспечивать стабильность рабочей среды. It helps you maintain operational efficiency, overcome security vulnerabilities, and maintain the stability of your production environment. Если организация не может устанавливать и поддерживать известный уровень доверия в своих операционных системах и прикладном программном обеспечении, то у нее может появиться ряд уязвимостей, что в случае взлома способно привести к потере дохода и интеллектуальной собственности. If your organization cannot determine and maintain a known level of trust within its operating systems and application software, it might have a number of security vulnerabilities that, if exploited, could lead to a loss of revenue and intellectual property. Чтобы минимизировать данную угрозу, необходимо правильно настроить системы, использовать последние версии программного обеспечения и установить рекомендуемые обновления ПО. Minimizing this threat requires you to have properly configured systems, use the latest software, and install the recommended software updates.

Основными сценариями, в которых WSUS повышает эффективность вашего бизнеса, являются: The core scenarios where WSUS adds value to your business are:

Централизованное управление обновлениями Centralized update management

Автоматизация управления обновлениями Update management automation

Новые и измененные функции New and changed functionality

Обновление с любой версии Windows Server, поддерживающей WSUS 3.2, до Windows Server 2012 R2 требует предварительного удаления WSUS 3.2. Upgrade from any version of Windows Server that supports WSUS 3.2 to Windows Server 2012 R2 requires that you first uninstall WSUS 3.2.

В Windows Server 2012 обновление с любой версии Windows Server с установленными службами WSUS 3.2 блокируется в процессе установки, если будет обнаружена служба WSUS 3.2. In Windows Server 2012, upgrading from any version of Windows Server with WSUS 3.2 installed is blocked during the installation process if WSUS 3.2 is detected. В этом случае вам будет предложено сначала удалить службы обновления Windows Server, а затем повторно обновить сервер. In that case, you will be prompted to first uninstall Windows Server Update Services prior to upgrading your server.

Но после изменений, внесенных в текущем выпуске Windows Server и Windows Server 2012 R2, установка не блокируется при обновлении с любой версии Windows Server и WSUS 3.2. However, because of changes in this release of Windows Server and Windows Server 2012 R2, when upgrading from any version of Windows Server and WSUS 3.2, the installation is not blocked. Если перед выполнением обновления Windows Server или Windows Server 2012 R2 не будут удалены службы WSUS 3.2, то задачи WSUS после установки будут завершаться ошибкой. Failure to uninstall WSUS 3.2 prior to performing a Windows Server 2012 R2 upgrade will cause the post installation tasks for WSUS in Windows Server 2012 R2 to fail. Известен только один метод решения такой проблемы — отформатировать жесткий диск и повторно установить Windows Server. In this case, the only known corrective measure is to format the hard drive and reinstall Windows Server.

Службы Windows Server Update Services представляют собой встроенную роль сервера со следующими дополнительными возможностями. Windows Server Update Services is a built-in server role that includes the following enhancements:

Может быть добавлена и удалена с помощью диспетчера серверов Can be added and removed by using the Server Manager

Включает командлеты Windows PowerShell для управления наиболее важными задачами администрирования в службах WSUS Includes Windows PowerShell cmdlets to manage the most important administrative tasks in WSUS

Добавляет возможность использования хэширования SHA256 для дополнительной безопасности Adds SHA256 hash capability for additional security

Обеспечивает разделение клиента и сервера, благодаря чему версии агента Центра обновления Windows (WUA) могут поставляться независимо от WSUS Provides client and server separation: versions of the Windows Update Agent (WUA) can ship independently of WSUS

Использование Windows PowerShell для управления WSUS Using Windows PowerShell to manage WSUS

Системным администраторам для автоматизации работы необходим охват с помощью автоматизации командной строки. For system administrators to automate their operations, they need coverage through command-line automation. Основной целью является облегчение администрирования WSUS, позволяя системным администраторам автоматизировать их ежедневный труд. The main goal is to facilitate WSUS administration by allowing system administrators to automate their day-to-day operations.

Какой эффект дает это изменение? What value does this change add?

Пропуская основные операции WSUS через Windows PowerShell, системные администраторы могут увеличить продуктивность, уменьшить время на изучение новых инструментов, а также снизить количество ошибок из-за неоправданных ожиданий, ставших результатом отсутствия согласованности простых операций. By exposing core WSUS operations through Windows PowerShell, system administrators can increase productivity, reduce the learning curve for new tools, and reduce errors due to failed expectations resulting from a lack of consistency across similar operations.

Что работает иначе? What works differently?

В более ранних версиях операционной системы Windows Server отсутствовали командлеты Windows PowerShell, а автоматизация управления обновлениями была затруднительным делом. In earlier versions of the Windows Server operating system, there were no Windows PowerShell cmdlets, and update management automation was challenging. Командлеты Windows PowerShell для операций WSUS дают дополнительную гибкость и быстроту системному администратору. The Windows PowerShell cmdlets for WSUS operations add flexibility and agility for the system administrator.

Содержание коллекции In this collection

В эту коллекцию включены следующие руководства по планированию, развертыванию и администрированию служб WSUS. The following guides for planning, deploying, and managing WSUS are in this collection:

blog.eaglenn.ru | Заметки IT инженера

Microsoft, Linux, Lync и etc……

Настройка Windows Server Update Services (WSUS)

Весь процесс настройки Windows Server Update Services (WSUS) основан на работе мастера настройки служб Windows Server Update Services и заключается в пошаговом ответе на необходимые вопросы. Рассмотрим процесс настройки Windows Server Update Services (WSUS) в картинках.

После установки роли Windows Server Update Services (WSUS), перед началом работы будет запущен мастер настройки, где на первом экране будет задан ряд вопросов на которые необходимо будет ответить, исходя из вашего сценария развертывания. После чего нажать Далее.

На втором экране вам будет предложено принять участие в программе улучшения качества Центра обновлений Microsdoft. Это ни к чему не обязывает, поэтому вы можете смело ответить: да, я хочу и продолжить Далее.

Если это ваш первый сервер обновлений или вы хотите получать обновления непосредственно от центра обновлений Microsoft выберете синхронизировать с центром обновлений MIcrosoft.

Следующим этапом нам необходимо указать параметры proxy сервера, если в вашей компании доступ в интернет организован без proxy сервера не ставьте галочку напротив использовать прокси-сервер при синхронизации, в противном случае необходимо указать адрес proxy сервера и порт.

Нажмите начать подключение, для проверки доступности центра обновления Microsoft, имеющихся обновлений, продуктов и языковых пакетов. Этот процесс может занять приличное время. Дождитесь его завершения, после чего вам будет доступна кнопка Далее,

После завершения проверки соединения, вы можете выбрать языки для которых сервер будет загружать обновления.

Из предлагаемого списка необходимо выбрать продукты для которых необходимо получать обновления.

На следующем экране выберем классы.

Необходимо настроить расписание синхронизации. Отметьте автоматическая синхронизация, укажите сколько раз за день производить синхронизацию.

Запустим первоначальную синхронизацию.

Для завершения работы мастера нажмем Готово.

Мастер настройки windows server update services

WSUS (Windows Server Update Services) — служба обновлений для серверов компании Microsoft. Позволяет централизованно обновлять компьютеры и сервера, управлять параметрами обновления. Позволяет не только значительно экономить использованный трафик из-за централизованного обновления в сети, но и гибко управлять пакетами обновлений, которые будут применяться. Установка и настройка службы Windows Server Update Services на Windows server 2019 не сильно отличается от развертывания WSUS в операционной системе Windows server 2012, 2016.

Требования к установке WSUS

Процессор: 1,4 ГГц x64;

Память: WSUS требует дополнительно 2 ГБ ОЗУ, более того, что требуется сервер и все другие службы, или программного обеспечения;

Доступное дисковое пространство: 10 ГБ (40 ГБ или больше, в зависимости от выбранных продуктов, для которых нужно получать обновления);

Сетевой адаптер: 100 Мбит/с или более.

Ввод сервера WSUS в домен

1. В строке поиска выполняем команду ncpa.cpl. В открывшемся окне выбираем сетевой интерфейс, правой клавишей мыши — «Свойства«.

2. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем. Далее выбираем «IP версии 4 (TCP/IPv4)» — «Свойства«.

3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.

4. Далее задаём имя серверу, для этого нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, в новом окне в поле «Имя компьютера» вписываем имя сервера, далее «ОК«. Далее необходимо перезагрузить компьютер.

5. После перезагрузки компьютера нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, выбираем «Является членом домена«, вписываем имя домена. Далее «ОК«.

6. Вводим имя и пароль учетной записи с правами на присоединение к домену.

7. При успешном вводе в домен сервера, появится сообщение «Добро пожаловать в домен. «. Далее необходимо перезагрузить компьютер.

Установка роли сервера WSUS

1. Нажимаем «Пуск«, далее «Диспетчер серверов«.

2. Далее нажимаем «Добавить роли и компоненты«.

3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем «Далее«.

4. Выбираем «Установка ролей или компонентов«, затем «Далее«.

5. Выбираем сервер из пула серверов, нажимаем «Далее«.

6. Ставим чекбокс напротив «Службы Windows Server Update Services«.

7. В открывшемся окне нажимаем «Добавить компоненты«, затем «Далее«.

8. В следующем окне «Далее«, дополнительных компонентов в данном случае не требуется.

9. Читаем на что обратить внимание, затем «Далее«.

.

10. Оставляем настройки по умолчанию, нажимаем «Далее«.

11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:\wsus), нажимаем «Далее«.

13. Читаем сообщение «Роль веб-сервера (IIS)«, нажимаем «Далее«.

14. В следующем окне оставляем настройки по умолчанию, нажимаем «Далее«.

15. Подтверждаем установку выбранных компонентов — «Установить«.

16. После установки «Службы Windows Server Update Services«, нажимаем «Закрыть«.

17. После установки WSUS, нажимаем на желтый треугольник в «Диспетчер серверов» и нажимаем «Запуск послеустановочных задач«. На этом установка WSUS закончена.

1. Открываем «Диспетчер серверов» — «Средства» — «Службы Windows Server Update Services«.

2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем «Далее«.

3. Снимаем чекбокс «Yes, I would like to join the Microsoft Update Improvement Program» (чекбокс можно оставить), затем «Далее«.

4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем «Далее«.

5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем «Далее«.

6. Нажимаем «Начать подключение«. При этом будет скачана следующая информация:

• Имеющиеся типы обновлений;
• Продукты, которые можно обновить;
• Доступные языки.

После получения необходимой информации, нажимаем «Далее«.

7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем «Далее«.

8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем «Далее«.

9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:

• Upgrades;
• Критические обновления;
• Накопительные пакеты обновления;
• Обновления определений;
• Обновления системы безопасности.

Нажимаем «Далее«.

10 Оставляем чекбокс «Синхронизацию вручную«, после окончания всех настроек и проверки работы WSUS, устанавливаем «Автоматическая синхронизация» и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем «Далее«.

.

11. Устанавливаем чекбокс «Запустить первоначальную синхронизацию«, нажимаем «Далее«.

12. После того, как первоначальная синхронизация будет закончена, нажимаем «Готово«. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.

Установка дополнительных компонентов, необходимых для работы отчетов WSUS

13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:

• Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
• Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).

Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты.

14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.

15. Следующим шагом открываем в оснастке Windows Server Update Services «Параметры«, устанавливаем чекбокс «Использовать на компьютерах групповую политику или параметры реестра«. Нажимаем «ОК«.

16. Затем добавляем группы компьютеров, которые будут обновляться. Для этого нажимаем правой клавишей на «Все компьютеры» — «Добавить группу компьютеров«.

17. В новом окне задаём имя для новой группы, нажимаем «Добавить«.

18. В данном случае добавляем группы компьютеров:

Создание и настройка групповых политик для WSUS

1. Открываем «Диспетчер серверов» — «Средства» — «Управление групповой политикой«.

2. Создаем групповую политику, для этого нажимаем правой клавишей мыши на «Объекты групповой политики» — «Создать«.

3. Задаём имя нового объекта групповой политики, нажимаем «ОК«. В данном случае создадим две групповые политики:

4. Далее изменяем вновь созданную политику, для чего нажимаем правой клавишей мыши на созданную политику — «Изменить«. Для WSUS-servers:

Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:

Настройка автоматического обновления:

Включено

Настройка автоматического обновления — 3 — авт. загрузка и уведом. об устан

Установка по расписанию — время: 01:00

Указать размещение службы обновлений Майкрософт в интрасети

Включено

Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530

Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530

Всегда автоматически перезагружаться в запланированное время

Отключено

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

Включено

Разрешить клиенту присоединение к целевой группе

Включено

Имя целевой группы для данного компьютера: Servers

Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы

Изменяем:

Центр обновления Windows

автоматически

5. Для групповой политики WSUS-computers:

Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:

Настройка автоматического обновления:

Включено

Настройка автоматического обновления — 4 — авт. загрузка и устан. по расписанию

Установка по расписанию — день: 3 — каждый вторник

Установка по расписанию — время: 12:00

Указать размещение службы обновлений Майкрософт в интрасети

Включено

Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530

Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530

Всегда автоматически перезагружаться в запланированное время

Отключено

Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях

Включено

Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи

Включено

Разрешить клиенту присоединение к целевой группе

Включено

Имя целевой группы для данного компьютера: Сomputers

Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы

Изменяем:

Центр обновления Windows

автоматически

6. Далее привязываем вновь созданные политики к соответствующим объектам домена. Для этого выбираем объект домена, правой клавишей мыши — «Связать существующий объект групповой политики«. Выбираем соответствующую групповую политику. Для немедленного применения групповых политик, открываем командную строку, выполняем команду: gpupdate / force.

1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне «Результирующая политика» применение политики.

Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь: