Windows Server Update Services Overview

Applies To: Windows Server 2012 R2, Windows Server 2012

The Windows Server Update Service (WSUS) enables information technology administrators to deploy the latest Microsoft product updates. By using WSUS, administrators can fully manage the distribution of updates that are released through Microsoft Update to computers in their network. This topic provides an overview of this server role and more information about how to deploy and maintain WSUS.

Did you mean…

WSUS server role description

The WSUS server provides the features that administrators need to manage and distribute updates through a management console. In addition, a WSUS server can be the update source for other WSUS servers within the organization. The WSUS server that acts as an update source is called an upstream server. In a WSUS implementation, at least one WSUS server in the network must connect to Microsoft Update to get available update information. The administrator can determine, based on network security and configuration, how many other servers connect directly to Microsoft Update.

Practical applications

Update management is the process of controlling the deployment and maintenance of interim software releases into production environments. It helps you maintain operational efficiency, overcome security vulnerabilities, and maintain the stability of your production environment. If your organization cannot determine and maintain a known level of trust within its operating systems and application software, it might have a number of security vulnerabilities that, if exploited, could lead to a loss of revenue and intellectual property. Minimizing this threat requires you to have properly configured systems, use the latest software, and install the recommended software updates.

The core scenarios where WSUS adds value to your business are:

Centralized update management

Update management automation

New and changed functionality

Upgrade from any version of Windows Server that supports WSUS 3.2 to Windows ServerВ® 2012 R2 requires that you first uninstall WSUS 3.2. In Windows Server 2012, upgrading from any version of Windows Server with WSUS 3.2 installed is blocked during the installation process if WSUS 3.2 is detected, and you are prompted to first uninstall Windows Server Update Services prior to upgrading Windows Server 2012. However, because of changes in Windows Server 2012 R2, when upgrading from any version of Windows Server and WSUS 3.2 to Windows Server 2012 R2, the installation is not blocked. Failure to uninstall WSUS 3.2 prior to performing a Windows Server 2012 R2 upgrade will cause the post installation tasks for WSUS in Windows Server 2012 R2 to fail. In this case, the only known corrective measure is to format the hard drive and reinstall Windows Server 2012 R2.

Windows Server Update Services is a built-in server role that includes the following enhancements:

Can be added and removed by using the Server Manager

Includes Windows PowerShell cmdlets to manage the ten most important administrative tasks in WSUS

Adds SHA256 hash capability for additional security

Provides client and server separation: Versions of the Windows Update Agent (WUA) can ship independently of WSUS

Feature and functionality

Windows ServerВ 2008В R2

Windows Server 2012 and Windows Server 2012 R2

Inclusion of Windows PowerShell cmdlets to manage the ten most important administrative tasks in WSUS

Security enhancements with SHA256 hash capability

Client and server separation: Versions of the Windows Update Agent (WUA) can ship independently of WSUS

Using Windows PowerShell to manage WSUS

For system administrators to automate their operations, they need coverage through command-line automation. The main goal is to facilitate WSUS administration by allowing system administrators to automate their day-to-day operations.

What value does this change add?

By exposing core WSUS operations through Windows PowerShell, system administrators can increase productivity, reduce the learning curve for new tools, and reduce errors due to failed expectations resulting from a lack of consistency across similar operations.

What works differently?

In earlier versions of the Windows Server operating system, there were no Windows PowerShell cmdlets, and update management automation was challenging. The Windows PowerShell cmdlets for WSUS operations add flexibility and agility for the system administrator.

Removed or deprecated functionality

In this release of WSUS, the API is updated to the .NET FrameworkВ 4.5.

System requirements

The minimum hardware requirements for WSUS are:

Processor: 1.4В gigahertz (GHz) x64В processor (2В Ghz or faster is recommended)

Memory: WSUS requires an additional 2 GB of RAM more than what is required by the server.

Available disk space: 10В GB (40В GB or greater is recommended)

Network adapter: 100В megabits per second (Mbps) or greater

See also

The following table lists references for more information about WSUS:

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Windows Server 2012 — установка и настройка WSUS.

Windows Server 2012 — установка и настройка WSUS.

Тема настройки локального сервера обновлений (WSUS) уже поднималась на нашем сайте, но так как с тех пор прошло довольно много времени и произошли довольно серьезные изменения, то назрела необходимость обновить статью. Сегодня мы расскажем о настройке роли WSUS на платформе Windows Server 2012, данный процесс во многом стал проще и легче, а службы WSUS теперь полноценно интегрированы в систему.

Наш предыдущий материал рассматривал установку WSUS на платформе Windows Server 2008, тогда это была довольно непростая задача для неподготовленного администратора. Требовалось установить дополнительные пакеты, специальным образом настроить веб-сервер, да и сами службы WSUS устанавливались как отдельное приложение.

Начиная с Windows Server 2008 R2, WSUS был включен в состав ОС в качестве одной из ролей, поэтому, несмотря на то, что мы будем рассматривать платформу Windows Server 2012 R2, все сказанное, за незначительными поправками, будет справедливо и для Server 2008 R2.

Из сторонних пакетов потребуется установить только Microsoft Report Viewer 2008 SP1 Redistributable, однако он не является обязательным и на работу службы не влияет, а требуется только для формирования отчетов. Поэтому даже если вы забудете его установить — ничего страшного не произойдет, при первом обращении к отчетам система сообщит вам об этом и даст ссылку на скачивание.

Важно! Существует ряд ограничений на установку служб ролей WSUS. Сервер БД WSUS не может быть контроллером домена, Сервер WSUS не может быть одновременно сервером терминалов Remote Desktop Services.

Для установки WSUS откроем Диспетчер серверов и перейдем в Управление — Добавить роли и компоненты. В открывшемся мастере добавляем роль Службы Windows Server Update Services.

Следующим шагом будут добавлены все необходимые роли и компоненты, таким образом больше ничего настраивать отдельно не придется.

В качестве хранилища по умолчанию WSUS предлагает использовать внутреннюю базу данных Windows (Windows Internal Database, WID). Для небольших внедрений мы не видим смысла в установке отдельного SQL-сервера, никаких существенных преимуществ это не даст.

Следующим шагом переходим к базовым настройкам служб роли. В нашем случае потребуется выбрать опции WID Database и WSUS Services, если вы собираетесь использовать SQL-сервер, то вместо WID Database следует выбрать опцию База данных. Сам сервер баз данных к этому моменту уже должен быть развернут в вашей сети.

Следующим шагом укажите размещение хранилища обновлений, рекомендуем выделить для этих целей отдельный жесткий диск или раздел диска.

Также возможен вариант, когда на сервере WSUS будет храниться только информация об обновлениях, сами пакеты обновлений будут, после их одобрения и назначения администратором, скачиваться с серверов Microsoft. На наш взгляд такая схема будет удобна небольшим компаниям с хорошим интернет каналом, действительно, ради десятка машин организовывать локальное хранилище большого смысла не имеет, особенно если WSUS не единственная роль данного сервера.

Для приблизительной оценки требуемого места приведем данные с одной реальной инсталляции, произведенной летом 2012 года. На текущий момент выбраны следующие продукты: все клиентские ОС от Windows XP до Windows 8.1, кроме Vista, все серверные ОС от Server 2003 до Server 2012 R2, Office 2010, Exchange 2010, SQL Server 2008 — 2012, а также ряд дополнительных продуктов из разряда Распространяемых пакетов Visual C++ и т.п.

Размер обновлений в хранилище на текущий момент (два года после установки) — 173 ГБ, размер SQL базы данных — около 10 ГБ.

Если вы выбрали внешнюю базу данных, то также потребуется указать параметры подключения к SQL серверу. После чего можно переходить к установке роли, перезагрузка не требуется. После установки нажмите на флажок с желтым восклицательным знаком в Диспетчере серверов и щелкните Запуск послеустановочных задач, дождитесь окончания процедуры (восклицательный знак исчезнет).

На этом установку роли можно считать законченной и переходит к настройке службы WSUS, мы подробно освещали этот процесс в предыдущей статье и не видим смысла заострять на этом внимание.

Если коротко, то сначала нужно выбрать источник синхронизации: сервера Microsoft или вышестоящий WSUS сервер.

Затем выбрать языки и продукты.

Указать классы обновлений.

И задать параметры автоматической синхронизации.

Процесс первоначальной синхронизации может занять продолжительное время, зависящее от выбранного набора продуктов и классов, а также скорости вашего интернет канала.

Не забудьте указать правила автоматического одобрения и одобрить уже скачанные обновления.

После чего потребуется сообщить клиентам расположение вашего WSUS сервера, это можно сделать через групповые политики: Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows — Указать размещение службы обновлений Microsoft в интрасети.

Или в локальных политиках: Пуск — Выполнить — gpedit.msc, затем Конфигурация компьютера — Административные шаблоны — Центр обновления Windows (Windows Update)- Указать размещение службы обновлений Microsoft в интрасети.

Путь к серверу следует прописывать как http://SERVER_NAME:8530, при этом рекомендуем явно указывать порт службы. Через некоторое время компьютеры начнут получать обновления и появятся в консоли сервера, где можно получить детальную информацию по уже установленным и требующимся обновлениям.

Кстати, если вы забыли установить Microsoft Report Viewer 2008 SP1 Redistributable, то при попытке вызвать отчет получите следующее сообщение, которое содержит ссылку на скачивание необходимого пакета. :

Как видим, Microsoft проделало большую работу по совершенствованию службы WSUS, теперь это одна из ролей системы и ее установка и настройка не должна вызывать затруднений даже у новичков.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

WSUS: от установки, через оптимизацию — к чистке и диагностике

Установка WSUS

До того, как производить оптимизацию WSUS, рекомендуем еще в процессе установки принять решение о некоторых параметрах установки. Итак, наши рекомендации:

MS SQL база данных вместо Windows Internal Database

Определитесь, в какой базе данных будет храниться WSUS. Рекомендации таковы:

1. Устанавливаем MS SQL Server. Мало того, что эта СУБД рассчитана на большие объемы данных (чего здесь не требуется), так она еще позволяет легко и удобно обслуживать базу данных (что требуется регулярно).
2. Установить MS SQL базу данных можно также на отдельном сервере (типа SQL сервера для IT служб), что в случае использования виртуальных машин позволяет сэкономить ресурсы, в первую очередь оперативную память: SQL нужен для WSUS, Kaspersky Security Center, службы мониторинга сети и т.д.

Оптимизация WSUS

Настройка Internet Information Server

В конфигурации «по-умолчанию» пул приложений «WsusPool» настроен неоптимально. Давайте донастроим его. Для этого запустите оснастку IIS, откройте «Application pools», выберите WsusPool и откройте «Advanced settings»:

По умолчанию процессу w3wp.exe выделяется мало памяти. Давайте уберем лимиты:

В поле «Private Memory Limit (KB)» установите в качестве лимита 0

При большом количестве клиентов WSUS, особенно получающих обновления впервые, рекомендуем увеличить следующие параметры:

1. В поле «Queue Length» установите значение 25 000 или даже 50 000 (по умолчанию там всего 1000).
2. Если у Вас используется NUMA, в поле «Maximum Worker Processes» поставьте значение 0 (по умолчанию 1). Если Вы не знаете, поддерживает ли сервер NUMA, оставьте значение по умолчанию.
3. В поле «»Service Unavailable» Response Type» поставьте значение TcpLevel (по умолчанию — HttpLevel).
4. В поле «‘Failure Interval (minutes)» поставьте значение 30 (по умолчанию 5).
5. В поле «Maximum Failures» поставьте значение 60 (по умолчанию 5)

После изменения настроек перезагрузите сервер или только IIS. Для перезагрузки IIS выполните в командной строке от имени администратора:
iisreset

Настройка TempDB

Настройте базу TempDB: укажите количество файлов базы данных равным количеству [логических] процессоров на SQL сервере. Если количество процессоров больше 8, используйте 8 файлов в базе данных TempDB.
Microsoft рекомендует:
As a general rule, if the number of logical processors is less than or equal to 8, use the same number of data files as logical processors. If the number of logical processors is greater than 8, use 8 data files and then if contention continues, increase the number of data files by multiples of 4 (up to the number of logical processors) until the contention is reduced to acceptable levels or make changes to the workload/code.

Очистка WSUS

Для того, чтобы почистить WSUS (чтобы он начал работать или заработал быстрее), есть несколько средств:

1. Штатные средства консоли Windows Server Update Services.
2. Дефрагментация / реиндексация базы данных WSUS.
3. Ускорение работы WSUS с помощью чистки/оптимизации базы данных.
4. Удаление устаревших / ненужных обновлений из командной строки.
5. Проверка и исправление испорченных файлов обновлений WSUS.

Применять все эти средства рекомендуем по порядку: они перечислены в порядке от более слабых к более сильным средствам.

Штатные средства очистки в консоли Windows Server Update Services

Для чистки WSUS стандартными средствами:

1. Откройте консоль Windows Server Update Services
2. Выберите «Options» => «Server Cleanup Wizard»
3. Отметьте все пункты для очистки:
   1. Unused updates and update revisions
   2. Computers not contacting the server
   3. Unneeded update files
   4. Expired updates
   5. Superseded updates
4. Нажмите Next и выполните очистку всех указанных пунктов

Главный секрет состоит в том, что запускать Server Cleanup Wizard со всеми пунктами необходимо регулярно, не реже одного раза в месяц (или при одобрении большой пачки обновлений). Одобрили свежую пачку обновлений — очистите сервер. Если этого не делать, мастер прекращает нормально работать. После запуска он висит несколько часов, после чего консоль «падает» с ошибкой.

Для решения проблемы можно попробовать запускать каждый из перечисленных пунктов в Server Cleanup Wizard по отдельности. Если же и это не помогает, нужно переходить к другим средствам оптимизации WSUS.

Дефрагментация / реиндексация базы данных WSUS.

Название базы данных WSUS по умолчанию — SUSDB. Для выполнения запросов к этой базе данных (независимо от того, является эта база MS SQL или Windows Internal Database) рекомендуем установить SQL Management Studio (SMSS). Это ПО теперь является отдельным (и бесплатным) продуктом от Microsoft.

Подключение к Windows Internal Database

В случае, если формат базы данных WSUS — Windows Internal Database, для работы с базой необходимо установить SQL Management Studio на сервер WSUS и для подключения к базе данных использовать строку:

Ускорение работы WSUS с помощью чистки/оптимизации базы данных

Несколько советов, которые могут во многих случаях значительно ускорить сервер.

1. Очистка базы
2. Переиндексация
3. Настройка TempDB

Очистка базы

Для очистки базы выполните 4 волшебные команды:

Отклонение «просроченных» обновлений:

Отклонение «устаревших» обновлений (взамен которых вышли другие обновления):

«Сжатие» обновлений (для команды spCompressUpdate используется «обертка»):

Удаление отклоненных обновлений (для команды spDeleteUpdate используется такая же «обертка»):

Во время работы «обёрток» клиенты прекращают получать обновления. Вы можете в любой момент прервать выполнение скрипта без потери прогресса. Для того, чтобы продолжить процесс, не забудьте удалить временную таблицу:

В мастере очистки WSUS 5 команд, мы вполнили 4 из них. Команду «Delete computers not contacting server» следует выполнить из мастера.

Переиндексация базы

Для переиндексации базы используйте следующий скрипт:

«Ручная» переиндексация базы данных:

Удаление неиспользуемых патчей

Есть несколько команд, призванных решить проблему с удалением неиспользуемых патчей:

• WSUSDebug PurgeUnneededFiles
• WSUSUTIL.exe Deleteunneededrevisions
• WSUSUTIL.exe Reset
• WSUSUTIL.exe Removeinactiveapprovals (optional)

WSUSDebug PurgeUnneededFiles

WsusDebugTool.exe /Tool:PurgeUnneededFiles
wsusdebugtool отдельная утилита и скачивается отдельно (под ОС с архитектурой х64 не работает). Как следует из описания, удаляются файлы, которые не нужны серверу WSUS.
WSUS Debug Tool: Run PurgeUnneededFiles command to Purge unneeded content. This command deletes all files not needed on the WSUS server.

WSUSUTIL Deleteunneededrevisions

WSUSUTIL.exe Deleteunneededrevisions
Команда чистки метаданных устаревших / ненужных обновлений из СУБД. Обратите внимание: эта команда должна выполняться после остановки сайта WSUS в консоли IIS.
Purges the metadata for unnecessary update revisions from the database. This is useful for managing WSUS with an MSDE database. (NOTE: this command should only be run after stopping the Windows Server Update Services website in Internet Information Services MMC.)

wsusutil reset

Как выполнить процедуру WSUS Reset
WSUS Reset — это безопасная процедура, которая проводит проверку имеющихся файлов метаданных с информацией о них в БД WSUS, и при выявлении расхождений – исправляет проблему.
На сервере с ролью WSUS:

1. Закройте консоль WSUS;
2. Остановите службу Update Services;
3. Скопируйте содержимое папки WSUSContent в безопасное место, после чего удалите все содержимое;
4. Запустите службу Update Services;
5. В elevated командной строке перейдите в каталог «C:\Program Files\Update Services\Tools»
6. Запустите команду
   WSUSUtil.exe RESET

Как проверить факт завершения процесса?
Вам нужно открыть лог SoftwareDistribution.log (по умолчанию расположен в каталоге «C:\Program Files\Update Services\LogFiles»), в нем должны появиться строки вида:
ExecutionContext.runTryCode State Machine Reset Agent Starting ExecutionContext.runTryCode State Machine Reset Agent Finished WSUSUTIL.exe reset
***(NOTE: WSUSUTIL.exe is installed C:\Program Files\Update Services\Tools)
MOST IMPORTANT
The option «Download update files to this server only when updates are approved» must be checked / selected or else, it will re-download those «not needed» updates,during the next sychronization schedule.
Open WSUSAdmin Console – Click on «Options» – Click on «Synchronization Options» – Scroll down to «Update Files and Languages» Section – Click on «Advanced» – Click «OK» – Select «Download update files to this server only when updates are approved» – Click «OK» and save settings.

Диагностика WSUS

Ошибка 80244022 при обновлении windows

Причина ошибки 80244022 — в том, что не запущен сервис обновлений, точнее служба обновлений при подключении к ней выдает ошибку. При попытке открытия сайта (wsus = имя сервера WSUS):
http://wsus:8530/
Выдается сообщение:
Service Unavailable HTTP Error 503. The service is unavailable.

При этом не удается запустить консоль управления WSUS. Перезагрузка службы «WSUS service» не помогает, помогает только перезагрузка IIS и/или всего сервера (это помогает ненадолго).

Причиной зависания службы являются события в логах на сервере WSUS:

Event ID: 5117
Level: Information
Source: Microsoft-Windows-WAS
Description: A worker process serving application pool ‘WsusPool’ has requested a recycle because it reached its private bytes memory limit.

Event ID: 5002
Level: Error
Source: Microsoft-Windows-WAS
Description: Application pool ‘WsusPool’ is being automatically disabled due to a series of failures in the process(es) serving that application pool.

Более подробно — см. по этим ошибкам (event ID) — см. ниже по тексту.

Здесь приводятся неверные решения данной проблемы:

Правильное решение описано здесь:

Ошибка 80244023 при обновлении windows

Эта проблема связана прежде всего со следующей проблемой: не открывается (или открывается через раз) сайт (wsus = имя сервера WSUS):
http://wsus:8530/

Если при открытии главной web-страницы WSUS отображается ошибка 403:

1. зайдите на сервер WSUS
2. откройте IIS => Application pools => WSuspool
3. проверьте, что версия .NET указана 4.0:
   wsuspool => basic settings => .NET CLR version = 4.0.xxxx

Service Unavailable

При попытке открытия сайта (wsus = имя сервера WSUS):
http://wsus:8530/
Выдается сообщение:
Service Unavailable HTTP Error 503. The service is unavailable.

При этом на клиентах при попытке обновления Windows появляются следующие сообщения об ошибках:
ошибка обновления 80244021
ошибка обновления 80244022.

И при попытке открытия консоли WSUS выдается ошибка с предложением «Reset server node».

Причиной являются следующие сообщения в логах Windows на WSUS сервере:

Event ID: 5117
Level: Information
Source: Microsoft-Windows-WAS
Description: A worker process serving application pool ‘WsusPool’ has requested a recycle because it reached its private bytes memory limit.

Event ID: 5002
Level: Error
Source: Microsoft-Windows-WAS
Description: Application pool ‘WsusPool’ is being automatically disabled due to a series of failures in the process(es) serving that application pool.

Решение этой проблемы описано в статье «Windows Server 2012 R2 WSUS Issue: Clients cause the WSUS App Pool to become unresponsive with HTTP 503». Для решения проблем, отображаемых в данных сообщениях об ошибках, необходимо произвести изменение (оптимизацию) настроек IIS, в т.ч. таких параметров как private memory, Queue Length, Maximum Failures, Maximum Failures и «Service Unavailable» Response Type. Оптимальные значения этих настроек см. в разделе «настройка Internet Information Services».

Если не открывается консоль WSUS

Если не открывается консоль WSUS, предлагает сделать reset server node — сначала можно сделать этот reset node, после чего:

1. почистить настройки консоли: удалить файл в папке %appdata%\Microsoft\MMC\
2. перезагрузить службу WSUS Service
3. перезагрузить IIS
4. перезагрузить SQL

Часто задаваемые вопросы

Вопрос: Как немедленно начать обновление?
Ответ:

• Немедленное обновление:
  Wuauclt.exe /detectnow
• Перерегистрация на сервере WSUS с немедленным обновлением:
  Wuauclt.exe /resetauthorization /detectnow

Вопрос: Как проверить, работает ли клиент обновлений?
Ответ: Смотрим файл %WINDIR%\\WindowsUpdate.log . Также можно заглянуть в системный журнал.

Вопрос: Как проверить, работает ли сервер обновлений?
Ответ 1: При помощи команды:
wsusutil checkhealth
Сама утилита «wsusutil» находится в подпапке «Tools» папки, куда установлен сам WSUS (обычно — «%ProgramFiles%\Update Services\Tools».
После окончания выполнения команды, смотрим результат в журнале событий «Приложения» («Applications») от источника «Windows Server Update Services».
При отсутствии ошибок, код сообщения будет «10000», категория — «Core» с описанием «WSUS is working correctly».
Ответ 2: При помощи браузера нужно зайти на страничку WSUS: http://wsus_server_address.local:XXXX/ClientWebService/client.asmx, где «wsus_server_address.local» — адрес WSUS сервера, а «XXXX» — его порт.
Если сервер работает нормально, получим ответ от WSUS сервера в виде «Ошибка сервера в приложении ‘/ClientWebService'».
Иначе, будет какое-либо сообщение от IIS сервера (ошибки HTTP), типа не удается отобразить эту страницу или не хватает прав для… или неверно сконфигурирован… или у вас отсутствуют разрешения на просмотр этой страницы и т.п.

Вопрос: Как вернуть рабочие станции, удаленные с сервера?
Ответ: Решение простое: при следующей синхронизации клиентов с сервером они снова появятся (хотя, вроде в справке написано, что от таких клиентов запросы будут игнорироваться).

Вопрос: Где хранятся настройки оснастки «Windows Server Update Services»?
Ответ: %appdata%\Microsoft\MMC\wsus

Вопрос: Где находится база WSUS?
Ответ: Информация об этом — в реестре:
HKLM\SOFTWARE\Microsoft\UpdateServices\Server\Setup
SqlServerName — Имя SQL сервера