question

Windows server 2012 r2 — offline updates

Hi,
I need to know how to install updates offline to Windows server 2012 r2 (totally isolated environment)
Is it possible to install offline patches at all without using additional programs?

4 Answers

Yes, you would use 2 WSUS servers — 1 online to grab the updates, and export/copy them to media. Then you would have 1 disconnected WSUS server for importing the updates from the export/copy and actually distributing them to your client systems based on need.
https://docs.microsoft.com/de-de/security-updates/windowsupdateservices/18127442

If you don’t have the option for the WSUS route, I would start here:

If your installation media was a gold or RTM version then you’ll need to install this set as a prerequisite. When 2012 R2 RTM’d the updates were called rollups and were not cumulative and they also had to be installed sequentially in correct order.
https://www.microsoft.com/en-us/download/details.aspx?id=42153
https://www.microsoft.com/en-us/download/details.aspx?id=42334
then SSU
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4566425
then at this point or if you installed Windows Server 2012 R2 with Update then you can start using the cumulative updates here. The latest always contains new fixes plus the previous monthly update.
https://support.microsoft.com/en-us/help/4009470/windows-8-1-windows-server-2012-r2-update-history

—please don’t forget to Accept as answer if the reply is helpful—

Besides the link provided, here is the screenshot we could refer to:

1)After approving the update required from the online updates, the file could be in this location:

2)Using the cmd by following screenshot to export the metadata, and copy the metadata from online WSUS to the offline WSUS:

3)then copy the binary from the online WSUS to the offline WSUS,

4)Using the cmd by following screenshot to import the metadata.

If the response is helpful, please click «Accept Answer» and upvote it.
Note: Please follow the steps in our documentation to enable e-mail notifications if you want to receive the related email notification for this thread.

WSUS Offline Update: об обновлениях замолвите слово

И снова здравствуйте!

Речь пойдет об автономном установщике обновлений.

Адепты натурального WSUS: похоже лишь название — это совершенно разные решения для разных задач. В данном случае решение сугубо переносное, карманное.

Противники обновлений: не обновляйтесь дальше, но не уподобляйтесь антипрививочникам — не надо агитировать народ за собой. Ведь WannaCry был нацелен именно на устаревшие системы.

Давайте не разводить неконструктивный срач в комментариях!

В 2011 году компания, где я работал, активно открывала мигазины. Меня привлекали на помощь сисадмину, отвечающему за розничную сеть. В такие моменты, требовалось в короткие сроки собрать компьютеры, установить систему, обновить и настроить их. Большинство техники шло уже с предустановленной Windows и требовалось только обновить её. Вспоминаю те времена и понимаю, как мне не хватало инструмента, о котором пойдет речь ниже.

Программа WSUS Offline Update доступна для бесплатного скачивания.

Программа предназначена для упреждающего скачивания обновлений Windows / Office на носитель для последующей автономной установки.

На момент написания заметки, существует две версии:

Текущая версия ( 11.5 от 28.09.2018)

— Windows Server 2008 (x86/x64)

— Windows Server 2008R2 (x86/x64)+ Windows 7 (x86/x64)

— Windows Server 2012 x64

— Windows Server 2012 R2 (x64) + Windows 8.1(x86/x64)

— Windows Server 2016 (x64) + Windows 10 (x86/x64)

Опционально можно включить с пакет C++ Runtime Libraries, .NET Framework, Microsoft Security Essentials, определения WIndows Defender, сервиспаки

ESR версия (9.2.4 от 23.03.2018)

— Windows Server 2003 (x86)

— Windows Server 2003 (x64) + Windows XP (x64)

— Windows Vista (x86/x64)

— Windows 8 (x64/x64)

Как всегда, опционально можно включить с пакет C++ Runtime Libraries, .NET Framework, Microsoft Security Essentials, определения WIndows Defender, сервиспаки.

Для простоты использования, я рекомендую делать отдельный пакет обновлений для каждого продукта.

Собрать пакет просто: выбираете требуемое, запускаете скачивание — программа сделает всё сама. По итогам работы, получите каталог (или ISO), в котором лежит инсталлятор обновлений. командный файл трогать не нужно.

Вот пример запуска на почти обновленной системе:

При необходимости, можно включить автоустановку обновлений с автоперезапуском. Это реализовано очень хитро. Пусть это останется секретом.

How can I do an offline update of a new Windows 2012 R2 server?

I’m installing a new Windows 2012 R2 server, and I want to bring it up to date before putting it on the network, but neither the August 2019 cumulative update nor the latest servicing stack update will install.

What sequence of updates do you need to install to bring Windows 2012 R2 from the base install to the latest cumulative update?

1 Answer 1

Then you need to install KB2919355, the April 2014 update, which is a package made up of six separate updates plus an update tool. These must be installed in the following order:

• clearcompressionflag.exe
• KB2919355
• KB2932046
• KB2959977
• KB2937592
• KB2938439
• KB2934018

You can then install the latest servicing stack update, as shown in ADV990001.

Finally, install the latest monthly rollup, as shown in KB4009470 — look at the update list in the left-hand margin; the latest rollup should be near the top of this list.

Unfortunately, the monthly rollup updates for Windows Server 2012 R2 are not comprehensive. If you want to bring the new server completely up to date before putting it on the network, there are a number of older security updates that should also be applied.

On my system, these security updates were detected as needed: KB3185319, KB2973201, KB2976897, KB3010788, KB3011780, KB3019978, KB3021674, KB3023266, KB3035126, KB3042058, KB3045685, KB3045755, KB3045999, KB3046017, KB3055642, KB3059317, KB3061512, KB3071756, KB3082089, KB3084135, KB3086255, KB3109103, KB3110329, KB3126434, KB3126587, KB3133043, KB3139398, KB3139914, KB3146723, KB3155784, KB3156059, KB3159398, KB3161949, KB3172729, KB3175024, KB3178539.

Non-security updates: KB2967917, KB3000850, KB3008242, KB3034348, KB3042085, KB3044374, KB3077715, KB4486459, KB4490128, KB4501226, KB4339284, KB4462901, KB4468323, KB4033428. (Plus another 66 optional updates.)

Also new versions of Microsoft .NET Framework (and associated updates) and the Windows Malicious Software Removal Tool.

Как установить Windows Server 2012 R2 и не получить 200 обновлений вдогонку

Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.

В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.

Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.

Делать будем по максимуму просто, используя штатные инструменты.

Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.

Готовим рабочие директории

Для работы потребуются следующие каталоги:

ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.

MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления

Скачиваем кумулятивные обновления

Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.

Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.

С ноября 2014 года нам потребуется интегрировать следующие обновления:

1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.

2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.

Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.

3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.

UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.

Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.

В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.

Скачиваем обновления безопасности

Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:

1. Скачиваем программу download.wsusoffline.net
2. Выбираем обновления для Windows Server 2012 R2

После скачивания открываем каталог wsusoffline\client\w63-x64\glb и *.cab файлы копируем в каталог C:\WS2012R2\SU

ОСТОРОЖНО: Если в список попали KB2966828 или KB2966827, удалите их, иначе после установки не получится добавить компонент Net Framework 3.5 (подробности).

Обновления готовы, приступим к интеграции.

Интеграция обновлений

Для интеграции обновлений нам потребуется:

Смонтировать содержимое одного из образов в install.wim

Интегрировать в offline установку каждое обновление

Этот процесс легко следующим автоматизировать командным файлом:

Tip: Запуская командный файл, перенаправьте вывод в журнал

В результате мы получим файл D:\WS2012R2\ISO\sources\install.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.

Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.

Для получения сжатого образа необходимо:

1. Экспортировать первый образ из оригинального wim-файла в новый файл
2. Подключить следующий образ из оригинального wim-файла в точку монтирования
3. Добавить в новый файл следующий образ методом «захвата»
4. Размонтировать образ, повторить итерацию добавления для каждого дополнительного образа

Автоматизируем скриптом:

Удалите оригинальный install.wim, а сформированный install1.wim переименуйте в install.wim

По совету D1abloRUS, если вы хотите получить инсталляционный диск минимального размера умещающийся на DVD5, можно экспортировать один (и только один) из образов в esd файл. Например, для экспорта Windows Server 2012 R2 Standard, используйте команду

Оригинальный install.wim можно удалить.

Сборка ISO-файла

Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).

Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt

boot\bcd
boot\boot.sdi
boot\bootfix.bin
boot\bootsect.exe
boot\etfsboot.com
boot\memtest.exe
boot\en-us\bootsect.exe.mui
boot\fonts\chs_boot.ttf
boot\fonts\cht_boot.ttf
boot\fonts\jpn_boot.ttf
boot\fonts\kor_boot.ttf
boot\fonts\wgl4_boot.ttf
sources\boot.wim

Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.

Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:\sources\install.wim. Error code: 0x8007000D».

Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой

Оригинальный файл install.wim можно удалить.

Tip & Trick #5. Вообще Microsoft говорит, что пить так делать нельзя.

In Windows 8.1 and Windows 8, Windows Setup does not support installing a split .wim file.

Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.

Собираем образ командой:

oscdimg -m -n -yoD:\WS2012R2\bootorder.txt -bD:\WS2012R2\ISO\BOOT\etfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso

Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:

Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).

Все получилось? Поздравляю!

Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.

PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.

Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.

Спасибо за внимание и до новых встреч, друзья.

Если есть возможность поделиться опытом — жду вас в комментариях.