Как установить Windows Server 2012 R2 и не получить 200 обновлений вдогонку

Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.

В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.

Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.

Делать будем по максимуму просто, используя штатные инструменты.

Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.

Готовим рабочие директории

Для работы потребуются следующие каталоги:

ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.

MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления

Скачиваем кумулятивные обновления

Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.

Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.

С ноября 2014 года нам потребуется интегрировать следующие обновления:

1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.

2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.

Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.

3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.

UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.

Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.

В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.

Скачиваем обновления безопасности

Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:

1. Скачиваем программу download.wsusoffline.net
2. Выбираем обновления для Windows Server 2012 R2

После скачивания открываем каталог wsusoffline\client\w63-x64\glb и *.cab файлы копируем в каталог C:\WS2012R2\SU

ОСТОРОЖНО: Если в список попали KB2966828 или KB2966827, удалите их, иначе после установки не получится добавить компонент Net Framework 3.5 (подробности).

Обновления готовы, приступим к интеграции.

Интеграция обновлений

Для интеграции обновлений нам потребуется:

Смонтировать содержимое одного из образов в install.wim

Интегрировать в offline установку каждое обновление

Этот процесс легко следующим автоматизировать командным файлом:

Tip: Запуская командный файл, перенаправьте вывод в журнал

В результате мы получим файл D:\WS2012R2\ISO\sources\install.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.

Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.

Для получения сжатого образа необходимо:

1. Экспортировать первый образ из оригинального wim-файла в новый файл
2. Подключить следующий образ из оригинального wim-файла в точку монтирования
3. Добавить в новый файл следующий образ методом «захвата»
4. Размонтировать образ, повторить итерацию добавления для каждого дополнительного образа

Автоматизируем скриптом:

Удалите оригинальный install.wim, а сформированный install1.wim переименуйте в install.wim

По совету D1abloRUS, если вы хотите получить инсталляционный диск минимального размера умещающийся на DVD5, можно экспортировать один (и только один) из образов в esd файл. Например, для экспорта Windows Server 2012 R2 Standard, используйте команду

Оригинальный install.wim можно удалить.

Сборка ISO-файла

Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).

Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt

boot\bcd
boot\boot.sdi
boot\bootfix.bin
boot\bootsect.exe
boot\etfsboot.com
boot\memtest.exe
boot\en-us\bootsect.exe.mui
boot\fonts\chs_boot.ttf
boot\fonts\cht_boot.ttf
boot\fonts\jpn_boot.ttf
boot\fonts\kor_boot.ttf
boot\fonts\wgl4_boot.ttf
sources\boot.wim

Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.

Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:\sources\install.wim. Error code: 0x8007000D».

Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой

Оригинальный файл install.wim можно удалить.

Tip & Trick #5. Вообще Microsoft говорит, что пить так делать нельзя.

In Windows 8.1 and Windows 8, Windows Setup does not support installing a split .wim file.

Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.

Собираем образ командой:

oscdimg -m -n -yoD:\WS2012R2\bootorder.txt -bD:\WS2012R2\ISO\BOOT\etfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso

Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:

Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).

Все получилось? Поздравляю!

Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.

PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.

Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.

Спасибо за внимание и до новых встреч, друзья.

Если есть возможность поделиться опытом — жду вас в комментариях.

Журнал обновлений Windows 8.1 и Windows Server 2012 R2

Windows 8.1, Windows Server 2012 R2, Windows Embedded 8.1 Industry Enterprise, Windows Embedded 8.1 Industry Pro

Здесь описаны все обновления (как связанные, так и не связанные с системой безопасности) для Windows 8.1 и Windows Server 2012 R2, опубликованные через Центр обновления Windows. Эти обновления предназначены для исправления ошибок в операционной системе, а также помогают повысить ее общую надежность.

Накопительные пакеты обновления для Windows 8.1 и Windows Server 2012 R2 (ежемесячные накопительные пакеты и обновления только для системы безопасности) применяются по умолчанию к следующим внедренным продуктам на основе Windows 8.1 Industry:

Windows Embedded 8.1 Industry Enterprise.

Windows Embedded 8.1 Industry Pro.

Если накопительное обновление не применимо к внедренному продукту, мы отдельно отметим, что оно не применимо.

В левой части страницы находится справочник по всем обновлениям, выпущенным для данной версии Windows. Мы рекомендуем устанавливать все обновления Windows, доступные для вашего устройства. Установка последнего обновления означает, что вы устанавливаете все предыдущие обновления, включая важные исправления системы безопасности.

Текущее состояние Windows 8.1 и Windows Server 2012 R2

Для получения самой последней информации об известных проблемах для Windows и Windows Server перейдите на панель мониторинга состояния выпуска Windows.

Примечания и сообщения

Общие

ВАЖНО! С июля 2020 г. во всех Центрах обновления Windows отключается функция RemoteFX vGPU из-за уязвимости в системе безопасности. Дополнительные сведения об этой уязвимости см. в CVE-2020-1036 и KB4570006. После установки этого обновления попытки запуска виртуальных машин (ВМ), в которых включена функция RemoteFX vGPU, будут завершаться сбоем и будут появляться следующие сообщения:

Если повторно включить функцию RemoteFX vGPU, появится следующее сообщение:

«Виртуальная машина не может быть запущена, так как все GPU с поддержкой RemoteFX отключены в диспетчере Hyper-V».

«Не удается запустить виртуальную машину, так как на сервере недостаточно ресурсов GPU».

Рекомендуемые обновления для служб удаленных рабочих стола в Windows Server 2012 R2

В этой статье описываются обновления и обновления, доступные в настоящее время для служб удаленных рабочих стола в Microsoft Windows Server 2012 R2.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 3147099

Аннотация

В этой статье описываются доступные в настоящее время исправления, настоятельно рекомендуемые для служб удаленных рабочих стола в средах Windows Server 2012 R2. Эти исправления имеют необходимыеусловия для всех ролей служб удаленных рабочих стола и применяются к следующим областям для служб удаленных рабочих стола 2012 R2:

• Брокеры подключений к удаленному рабочему столу
• Шлюз удаленного рабочего стола
• Лицензирование удаленных рабочих стола
• Hosts сеансов удаленного рабочего стола
• Ведущие приложения виртуализации удаленных рабочих стола
• Веб-доступ к удаленному рабочему столу

Представлены дополнительные сведения о клиенте удаленного рабочего стола:

• Обновления RDP 8.1 для Windows 7
• Новые функции RDP 8.1 и 8.0

Мы рекомендуем установить эти исправления, чтобы обеспечить наивысший уровень надежности.

Полный список всех доступных исправлений см. в доступных обновлениях для служб удаленных рабочих стола в Windows Server 2012 R2.

Предварительные условия

Перед установкой обновления для любой роли служб удаленных рабочих стола необходимо установить следующие обновления.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Текущие	Все оставшиеся обновления Windows	Недоступно	Несколько	Последние обновления и исправления Windows за пределами обычных обновлений для системы безопасности в дополнение к пакетам, перечисленным в этой таблице.
Декабрь 2014 г.	3013769	Свертки обновлений для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 за декабрь 2014 г.	Несколько	Пакет обновления, который устраняет проблемы и включает улучшения производительности и надежности. Доступно из Центра обновления Windows и для отдельной загрузки из Центра загрузки Майкрософт. Чтобы применить это обновление, необходимо сначала установить обновление 2919355 в Windows Server 2012 R2.
Ноябрь 2014 г.	3000850	Обновление для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2 за ноябрь 2014 г.	Несколько	Накопительное обновление, которое включает обновления для системы безопасности и другие обновления (в том числе для служб удаленных рабочих стола), выпущенные с апреля 2014 г. по ноябрь 2014 г. Доступно из Центра обновления Windows и для отдельной загрузки из Центра загрузки Майкрософт. Чтобы применить это обновление, необходимо сначала установить обновление 2919355 в Windows Server 2012 R2.

Обновления и обновления для брокеров подключений к удаленному рабочему столу

Перед установкой обновлений или уточнений для этой роли сервера см. таблицу предварительных условий.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Ноябрь 2015 г.	3091411	Если к посреднику подключений RD на основе Windows Server 2012 R2 выполнено много подключений, происходит сбой подключения пользователя	Несколько	Этот набор содержит следующие улучшения: Улучшает число успешных подключений пользователей, когда существует множество пользовательских подключений (особенно в периоды пиковой нагрузки). Снижает использование ЦП SQL Server, используемых в развертывании брокера подключений с высокой доступностью. Оптимизирует количество SQL вызовов, вызываемого брокером подключений при обработке пользовательских подключений RD. Это улучшение повышает общую производительность брокера подключений за счет масштабирования большего количество пользовательских подключений, которые обычно возникают во время пиковых периодов.
Декабрь 2014 г.	3020474	Проблемы связи возникают, когда брокер подключений к удаленному рабочему столу подключается к SQL Server в Windows Server 2012 R2	script	При использовании высокой доступности брокера подключений RD следует следить за событиями безопасности, описанными в статье базы знаний, которые указывают на проблемы связи между посредниками подключений RD и SQL Server. Необходимо включить аудит событий сбоя с помощью скрипта auditpol /set /subcategory:»Filtering Platform Connection» /success:disable /failure:enable

Этот сценарий разблокирует только UDP-порт 1434 из уровня Windows. Если у вас есть сетевое устройство, которое также блокирует этот порт, необходимо также разблокировать его на этом уровне.

Обновления и обновления для шлюза удаленного рабочего стола

Перед установкой обновлений или уточнений для этой роли сервера см. таблицу предварительных условий.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Март 2016 г.	3123913	Сбой сервера шлюза удаленных рабочих стола во время определенных сценариев отключения пользователей в Windows Server 2012 R2	aaedge.dll	Последняя версия Aaedge.dll, которая устраняет ряд проблем, в результате которых служба шлюза RD аварийно работает и приводит к отключению пользователей. Также включает 3042843.

Обновления и обновления для лицензирования удаленного рабочего стола

Перед установкой обновлений или уточнений для этой роли сервера см. таблицу предварительных условий.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Март 2016 г.	3108326	Серверы лицензирования становятся неуявными при высокой нагрузке в Windows Server 2012 R2	lserver.dll	Последняя версия Lserver.dll, которая устраняет проблему, из-за которой несколько серверов лицензирования RD сбой или перезапуск при высокой нагрузке. Любая RDSH, настроенная в режиме Per-Device, откажутся от всех запросов подключений, пока их LS находится в этом состоянии. Также включает 3092695 и 3084952.
Январь 2015 г.	3013108	Диспетчер лицензий RDS не отображает выданные лицензии на бесплатный или временный клиентский доступ в Windows Server 2012 R2	licmgr.exe	Последняя версия Licmgr.exe, которая устраняет проблему, из-за которой диспетчер лицензий RDS не отображает выданные лицензии на бесплатный или временный клиентский доступ в Windows Server 2012 R2.

Обновления и обновления для ведущих сеансов удаленного рабочего стола

Перед установкой обновлений или уточнений для этой роли сервера см. таблицу предварительных условий.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Апрель 2016 г.	3146978	Перенаправленные ресурсы RDS, показывающие ухудшенную производительность в Windows 8.1 или Windows Server 2012 R2	Несколько	Это обновление устраняет проблемы с производительностью RDP при использовании перенаправленных ресурсов (дисков, принтеров и портов).
Декабрь 2015 г.	3127673	Stop error 0x000000C2 or 0x0000003B when you’re running Remote Desktop Services in Windows Server 2012 R2	win32k.sys & dxgkrnl.sys	В этой статье описывается пакет исправлений, который устраняет проблему, которая приводит к сбою Windows Server 2012 R2 при запуске служб удаленных рабочих стола (RDS) Майкрософт.
Октябрь 2015 г.	3103000	Окна RemoteApp исчезают, а экран мерцает при переключении между окнами в Windows 8.1 или Windows Server 2012 R2	rdpshell.exe	Это обновление содержит последние серверные компоненты RemoteApp (в основном Rdpinit.exe/Rdpshell.exe), а также все другие исправления раздела RemoteApp, перечисленные в версии 2933664.

Кроме того, на стороне клиента могут быть исправления для RemoteApp. Эти исправления снова перечислены в версии 2933664 в разделе «Клиент удаленного рабочего стола». Сентябрь 2015 г. 3092688 Профили UPD повреждены при проблеме сетевого подключения в Windows Server 2012 R2 sessenv.dll Последняя версия Sessenv.dll. Это обновление устраняет проблему, из-за которой upD-обновления повреждены при проблеме сетевого подключения. Июль 2015 г. 3078676 Событие 1530 регистрируется в журнале, и ProfSvc утечек памяти пула и обрабатывает в Windows 8.1 или Windows Server 2012 R2 profsvc.dll Последняя версия Profsvc.dll. В этой статье описывается проблема, из-за которой регистрируется событие 1530, а служба профилей пользователей (ProfSvc) утечек памяти пула и обрабатывает их. Июль 2015 г. 3073630 Простая печать удаленного рабочего стола выполняется медленно в Windows Server 2012 R2 Несколько Устраняет проблему, из-за которой печать с помощью перенаправленного принтера, на котором используется простая печать удаленного рабочего стола, занимает много времени. Июль 2015 г. 3073629 Перенаправленные принтеры перенаправляются в автономный режим после перезапуска пула печати на сервере хоста сеансов RD на основе Windows Server 2012 R2 Несколько Устраняет проблему, из-за которой перенаправленные принтеры перенаправляются в автономный режим после перезапуска пула печати на сервере сервера сеансов RD на основе Windows Server 2012 R2. Также включает 3055615.

Обновления и обновления для хостов виртуализации удаленных рабочих стола

Перед установкой обновлений или уточнений для этой роли сервера см. таблицу предварительных условий.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Ноябрь 2015 г.	3092688	Профили UPD повреждены при проблеме сетевого подключения в Windows Server 2012 R2	sessenv.dll	Последняя версия Sessenv.dll. Это обновление устраняет проблему, из-за которой upD-обновления повреждены при проблеме сетевого подключения.

Если гостевых виртуальных машин VDI запущена Windows 8.1, это также необходимо установить на гостевых виртуальных машинах.

Обновления и обновления для веб-доступа к удаленному рабочему столу

Перед установкой обновлений или уточнений для этой роли сервера см. таблицу предварительных условий.

Дата, когда было добавлено обновление	Статья по связанной базе знаний	Название	Компонент	Почему мы рекомендуем это обновление
Ноябрь 2015 г.	3069129	Пустая страница отображается при попытке доступа к remoteApps на сервере веб-доступа RD на основе Windows	Несколько	Устраняет проблему, из-за которой сервер веб-доступа RD отображает пустую веб-страницу, если число опубликованных remoteApps превышает 999. Также включает обновление 2957984.

Клиенты удаленных рабочих mstsc.exe)

Обновления RDP 8.1 для Windows 7

Эти исправления обновляют серверные роли и компоненты служб удаленных рабочих стола, построенные на платформе RDP версии 8.1. Однако несмотря на то что обновления выполняются в серверной инфраструктуре, клиенты удаленных рабочих стола часто не трогаются. Это может вызвать проблемы с производительностью и надежностью. По умолчанию старые клиенты, такие как Windows 7 Пакет обновления 1 (SP1), ограничены RDP 7.1 и не предоставляют новые функции и улучшения, доступные в RDP 8.1. Таким образом, мы выпустили клиент RDP 8.1 для Windows 7, чтобы обеспечить значительные улучшения производительности и надежности, когда эти клиенты подключены к средам RDS 2012 R2. Чтобы включить RDP 8.1 в Windows 7, выполните следующие действия:

Проверьте используемую версию RDP. Для этого запустите клиентскую программу подключения к удаленному рабочему столу (mstsc.exe), щелкните небольшой значок удаленного рабочего стола в левом верхнем углу диалогового окна приложения и выберите «О программе». Убедитесь, что сообщение About указывает, что протокол удаленного рабочего стола 8.1 поддерживается.

Если сообщение About указывает, что протокол удаленного рабочего стола 7.1 поддерживается, установите следующие обновления для протокола RDP 8.1:

2574819:доступно обновление, которое добавляет поддержку DTLS в Windows 7 с sp1 и Windows Server 2008 R2 SP1

2857650: для Windows 7 доступно обновление, которое улучшает функции remoteApp и подключения к рабочему столу

2830477: функция обновления для подключений к удаленному приложениям и рабочему столу доступна для Windows

2913751:перенаправление смарт-карт в удаленных сеансах не удается в клиенте RDP 8.1 на основе Windows 7 с sp1

2923545: обновление для RDP 8.1 доступно для Windows 7 с sp1.31255

3125574: удобное обновление для Windows 7 с sp1 и Windows Server 2008 R2 SP1

Установите все невыполневшиеся обновления Windows.

Новые функции RDP 8.1 и RDP 8.0

Список функций, которые были представлены в RDP 8.1, см. в обновлении для RemoteApp и подключений к рабочему столу, доступном для Windows.

Список функций, которые были представлены в RDP 8.0, см. в клиентах удаленного рабочего стола.