Выборочная установка обновлений windows server 2016

Добрый день уважаемые читатели и гости блога, продолжаем с вами изучение серверной операционной системы от компании Microsoft и сегодня будет показана базовая настройка windows server 2016 standard, так как перед вводом в эксплуатацию, она максимально должна быть прокачана в плане оптимизации производительности и в плане безопасности, так как постоянно со временем выходит много бюллетеней безопасности, которых нет в стандартных сборках на сайте microsoft.com. Обо всем по порядку.

Настройка windows server 2016 с нуля

И так в предыдущей статье я вам дал ссылку, где можно скачать windows server 2016, залита она для вашего удобства на яндекс диск и со временем так же будет обновляться, встроенными обновлениями, раз в квартал, так, что в декабре ждите свежую версию. Так же я вам подробно рассказал, как производится установка windows server 2016 и мы рассмотрели, что нового появилось в данной операционной системе, и как я и писал выше, дальше от вас требуется в windows server 2016 настройка всевозможных параметров, перед вводом ее в продакшен.

Настройка сети в windows server 2016

С чего начинается настройка windows server 2016 с нуля, логично, что с настройки сети, а именно:

• Необходимо выделить и задать статический ip адрес
• Прописать шлюз
• Прописать ip адреса dns серверов

Для этого вы должны определиться какой ip выдать, если не знаете, то обратитесь к вашему сетевому инженеру, после чего идем на сервер и открываем Центр управления сетями и общим доступом, сделать это можно двумя методами

1. Нажать WIN+R и ввести ncpa.cpl
2. Щелкнуть правым кликом по значку сети и выбрать Центр управления сетями и общим доступом

Далее выбираете сетевой интерфейс, переходите в его свойства, я обычно отключаю использование протокола ipv6, так как он у меня на работе не используется и заходим дальше в свойства IP версии 4 (TCP/Ipv4). Задаем все пункты, вашей сети и жмем ок.

Установка обновлений безопасности

Следующим важнейшим шагом, является установка самых последних обновлений операционной системы, так как их на тот момент уже может появиться очень много. Делается это очень просто, для этого существую горячие клавиши Windows, жмем WIN+I, у вас откроется окно Параметры Windows, переходим там в пункт Обновление и безопасность, именно этот пункт позволит скачать самые свежие апдейты.

После установки выполните перезагрузку сервера.

Задать имя сервера

И так продолжается настройка Windows Server 2016 и следующим важным этапом идет, задание серверу dns имени, которое соответствует стандартам принятым в вашей организации. Для этого щелкаем правым кликом по кнопке пуск и выбираем пункт Система.

В окне Система нажмите Изменить параметры > Изменить > и задайте имя для сервера с Windows Server 2016, при желании можете ввести его в домен Active Directory.

Если вы поменяете рабочую группу, то увидите окно с приглашением

И для применения имени, вам потребуется перезагрузить сервер.

Отключаем индексирование в Windows Server 2016

Если вы часто не пользуетесь на сервере поиском файлов, то данная служба вам не нужна, и ее отключение позволит увеличить, хоть на немного скорость жесткого диска. Открываем проводник и щелкаем правым кликом по нужному локальному диску, и выбираем свойства.

И снимаем галку Разрешить индексировать содержимое файлов на этом диске в дополнение к свойствам файла.

Применяем ко всему диску и ко всем вложенным папкам и файлам.

Если выскочит окно с предупреждением жмем Продолжить.

Далее пропустить все.

Обновить драйвера в Windows и на железо

Перед тем как передавать сервер, требуется установить самые последние стабильные драйвера в Windows и по возможности обновить прошивки у всего оборудования, что есть.

• Для обновления драйверов Windows я использую сборник SamDrivers, о его работе я уже писал, читайте по ссылке слева.
• Обновить прошивку на RAID контроллере. Тут все зависит от производителя. Вот вам пример обновления firmware LSI
• Обновить прошивки с помощью специальных ISO образов от вендоров, примером может служить процедура обновления прошивок IBM или обновление прошивок HP.

Отключение не нужных служб

Да и такие, тоже присутствуют, как вы знаете, чем меньше служб запущено, тем меньше потребляется ресурсов сервера и меньше фронт сетевых атак. Нажимаем WIN+R и вводим services.msc.

Так как у нас уже настроена сеть в виде статического Ip, то смысла в использовании службы DHCP у нас нет, далее отключаем Диспетчер печати, если не собираетесь использовать Windows Server как сервер печати или терминал сервер, выключите службу Темы.

Вот такая стандартная настройка выходит у меня при установке операционной системы Windows Server 2016, если еще, что то появится я обязательно допишу это тут.

Ручная установка обновлений Windows

Сейчас я составлю себе шпаргалку как можно быстро установить все обновления на систему не задействую корпоративный вариант управления обновлениями в предприятии именуемый как WSUS. Вот у меня в обслуживании мало компьютеров и держать только ради этого целую систему, управлять конечно же всеми заведенными станциями это удобно, экономия времени. Как быть с компьютерами которые мне приносят на чистку, разбору что не так с системой. Я когда все проверил и поправил стараюсь установить обновления Windows, не установка их существенно повышает вероятность, как повторного заражения так и уменьшения безопасности. Нет 100% уверенности что с их установкой станет хуже, а вот без них хуже уже есть. Ну да ладно лирики, это весь пошаговая заметка напоминалка, в основе будет лежать утилита именуемая, как WSUS Offline Update.

Чтобы выкачать все необходимые обновления нужно , развернуть виртуальную систему в окружении VirtualBox и подключить к ней диск, к примеру размером в 100Gb на который собственно и будет произведено офлайновое складирование выкачиваемых обновлений в виде каталога и исполняемого bat файл запуск которого спровоцирует установку всех выкачанных обновлений применительно к текущей системе с учетом архитектуры.

Утилита скачивается с официального сайта — www.wsusoffline.net

Распаковав копирую каталог wsusoffline1062 На диске E: (100G) и запускаю с правами Администратора: E:\ wsusoffline\UpdateGenerator.exe

Отмечаю галочками необходимые мне пункта для которых я хотел бы иметь оффлайновую установку скачанных обновлений:

Вкладка Windows:

• Windows 7 / Server 2008 R2(ws61/ws61-64) x86 Global (multilingual updates)
• Verify downloaded updates
• Include C++ Runtime Libraries and .NET Frameworks
• Include Service Packs

А после нажимаю Start и побежали строки скачивания обновлений:

Когда процесс завершится, что все скачанные обновления будут располагаться: \wsusoffline\client => для из запуска используется исполняемый файл установки UpdateInstaller.exe. Копирую данный каталог на переносной носитель и вот сейчас у меня на руках все актуальные обновления для последующего ручного обновления систем так сказать все свое без зависимости от интернета. Хоть и обновления выходят часто, а так у меня статичная сборка это особой роли не имеет, всегда ведь эту сборку можно обновить да и качать обновления с использованием встроенных стредств Windows еще то удовольствие (медленно,не визуализированно и т. д.).

И вот процесс выкачивания обновлений успешно завершен, размер папки client составляет 1.91 Gb (на текущее число 08.06.2016), пробую установить обновления из офлайновой сборки на текущую систему (Windows 7 Professional SP1 x86). Перехожу в каталог: E:\wsusoffline\client и запускаю исполняемый файл UpdateInstaller.exe с правами Администратора, запускается мастер WSUS Offline Update 10.6.2 — Installer внутри которого можно определить галочками что необходимо установить и как потом поступить с системой: Verify installation packages (Проверить инсталлируемые пакеты)

• Automatic reboot (Автоматически перезагрузить систему)
• Shutdown on completion (Автоматически выключить систему)
• Show log file (Показать лог файл)

В своем случая я отмечаю:

• Update C++ Runtime Libraries
• Verify installation packages
• Show log file

и нажимаю Start, запустится консоль командной строки в процессом установки:

Кому интересно может наблюдать лишняя крупица знаний формируемая на основе получаемого опыта это опыт вдвойне не стоит недооценивать выводы программ, логи, отчеты, ошибки — к примеру я так делаю всегда. Тот кто ждет готово от меня если я вижу, что сам не прикладывает никаких усилий идет лесом, тратить свое время на кого-то это роскошь.

А обновления все устанавливаются:

Installing update 53 of 156 (stage size: 100)…

Verifying integrity of ..\w61\glb\windows6.1-kb2698365-x86_e64a2783ab3f4d42ccb7b

hashdeep.exe: Audit passed

Ожидаю…окончанием установки обновлений являют вот такие вот строки в запущенной консоли командной строки:

Installation successful. Please reboot your system now and recall Update afterwards.

Ending WSUS Offline Update at 9:41:54,20…

Перезагружаю систему вручную хотя это можно было сделать через установщик обновлений.

После проверяю количество обновлений установленных в системе:

C:\Windows\system32>wmic qfe list или же

C:\Windows\system32>systeminfo | findstr «Исправление(я):»

Исправление(я): Число установленных исправлений — 106.

Когда процесс завершится просто копируем каталог E:\wsusoffline\client на переносной носитель который всегда со мной. Затем когда мне понадобиться произвести установку обновлений то я воспользуюсь данным каталогом client.

Т.к. по дефолту имеется возможность скачивания обновлений ориентированных на English и немецкие версии, то чтобы поправить это дело нужно запустить консоль командной строки и выполнить следующие команды:

C:\Windows\system32>cd /d e:\wsusoffline\cmd

e:\wsusoffline\cmd>AddCustomLanguageSupport.cmd rus

Adding support for rus to .NET custom URL files…

Adding support for rus to IEx custom URL files…

Adding support for rus to MSSE custom URL files…

Adding support for rus to WLE custom URL files…

И удаляю дефолтное скачивание файлов с немецкой локалью запустив командный файл:

e:\wsusoffline\cmd>RemoveGermanLanguageSupport.cmd

Removing support for deu from static URL files…

Processing file ..\static\StaticDownloadLinks-dotnet.txt

Processing file ..\static\StaticDownloadLinks-msse-x86-glb.txt

Processing file ..\static\StaticDownloadLinks-msse-x64-glb.txt

Processing file ..\static\StaticDownloadLinks-w60-x86-glb.txt

Processing file ..\static\StaticDownloadLinks-w60-x86-5lg.txt

Processing file ..\static\StaticDownloadLinks-w60-x64-glb.txt

Processing file ..\static\StaticDownloadLinks-w60-x64-5lg.txt

Processing file ..\static\StaticDownloadLinks-w61-x86-glb.txt

Processing file ..\static\StaticDownloadLinks-w61-x64-glb.txt

Processing file ..\static\StaticDownloadLinks-wle-glb.txt

На заметку: а вообще в распакованном каталоге имеется конфигурационный файл поправив который можно определить все то что необходимо скачать: E:\wsusoffline\UpdateGenerator.ini, в моем случаем для меня имеет важность:

[Windows Server 2008 R2]

[Windows Server 2012 R2]

После запускаю E:\wsusoffline\UpdateGenerator.exe, отмечаю необходимое и нажимаю Start, полученный каталог client на данный момент этой заметки с учетом моих требований составляет: 6.31Gb

На заметку: советую раз отметить все необходимые продукты, скачать их, а если отметив необходимое после снять отметку обновления удаляться об этом говорит размер каталога client.

Вот что не удобно, когда уже в каталоге client запускаю UpdateInstaller.exe то каждый раз после установки обновлений и перезагрузки обнаруживаются еще обновления и приходится ждать когда же они установятся в систему, перезагружаться и если проверить еще раз то будут те которые еще можно поставить. И вот по прошествии довольно продолжительного периода использования мой вывод, если есть возможность использовать WSUS на серверной операционной системе, то его нужно использовать если же нет, то данная утилита хоть какая-та помощь в установке обновлений Windows по сравнению с ручным трудом.

Итого я для самого себя составил шпаргалку действий чтобы получить обновления Windows для локальной установки в отсутствии интернета или когда интернет желает лучшего в плане скорости доступа.

На этом я прощаюсь, с уважением автор блога — ekzorchik.