Как установить Windows Server 2012 R2 и не получить 200 обновлений вдогонку

Windows Server 2012 R2 вышел 18 октября 2013 года. С тех пор на эту серверную операционную систему Microsoft выпущено несколько сотен обновлений исправляющих уязвимости и дефекты продукта, а так же улучшающие функционал.

Огромное количество обновлений — источник головной боли. Наиболее актуальный дистрибутив сервера, так называемый «Update2», в который интегрированы обновления по ноябрь 2014 года, безнадежно устарел. Установив с него операционную систему, вы получите вдогонку еще 200+ обновлений, которые будут устанавливаться 2-4 часа.

В этой короткой инструкции мы освежим ноябрьский дистрибутив, интегрировав в него все кумулятивные пакеты обновлений и обновления безопасности.

Помимо дистрибутива мы освежим и память администратора, вспомнив как обновляется носитель для установки, зачем выполняется каждый шаг, и какие нас может ожидать подвохи на разных этапах.

Делать будем по максимуму просто, используя штатные инструменты.

Все работы лучше проводить на сервере с уже развернутом Windows Server 2012 R2, чтобы не было накладок с версией утилиты DISM. Так же на нем удобно подключать ISO файлы, не распаковывая их.

Готовим рабочие директории

Для работы потребуются следующие каталоги:

ISO — в этот каталог копируются файлы дистрибутива. В скопируйте в него содержимое дистрибутива SW_DVD9_Windows_Svr_Std_and_DataCtr_2012_R2_64Bit_English_-4_MLF_X19-82891.ISO, предварительно смонтировав образ, а затем размонтировав.

MOUNT — пустой каталог, в него будут монтироваться образы из wim-файла.
CU — в этот каталог поместим кумулятивные обновления
SU — в этом каталоге будут находиться обновления безопасности и другие обновления

Скачиваем кумулятивные обновления

Tip & Trick #1. Microsoft выпускает для Windows Server 2012 R2 кумулятивные пакеты обновлений, но в них входят только обновления, исправляющие ошибки и улучшающие функционал. Обновления безопасности не включены. При этом обновления и не особо кумулятивны. Некоторые не включают в себя предыдущие обновления, и надо ставить «кумулятивное» за каждый месяц. Бардак. В октябре эта ситуация изменится к лучшему.

Со списком кумулятивных обновлений вы можете ознакомиться на этой wiki странице.

С ноября 2014 года нам потребуется интегрировать следующие обновления:

1. December 2014 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3013769, cкачать.

2. July 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3172614, скачать.

Пакеты за май и июнь поглощены этим июльским пакетом. Но перед установкой обязательно обновление April 2015 servicing stack update for Windows 8.1 and Windows Server 2012 R2. KB3021910, скачать.

3. August 2016 Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB3179574, скачать.

UPD: Я несколько преувеличил то, насколько Microsoft качественно подготовила дистрибутив. Обновления April 2014 и November 2014 действительно интегрированы. А все промежуточные — нет. Поэтому добавляем
May 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2955164, скачать
June 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2962409, скачать.
July 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2967917, скачать.
August 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2975719, скачать.
September 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2984006, скачать.
October 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2. KB2995388, скачать.

Tip & Trick #2. В разных статьях для интеграции обновлений предлагается извлечь из msu cab-файл. Делать это для offline-образа необязательно — интегрируйте msu без распаковки.

В папку CU разместите упомянутые выше msu файлы — Windows8.1-KB3013769-x64.msu, Windows8.1-KB3021910-x64.msu, Windows8.1-KB3138615-x64.msu, Windows8.1-KB3172614-x64.msu, Windows8.1-KB3179574-x64.msu.

Скачиваем обновления безопасности

Помимо кумулятивных обновлений интегрируем обновления, которые способна скачать утилита WSUS Offline Update.
Для этого:

1. Скачиваем программу download.wsusoffline.net
2. Выбираем обновления для Windows Server 2012 R2

После скачивания открываем каталог wsusoffline\client\w63-x64\glb и *.cab файлы копируем в каталог C:\WS2012R2\SU

ОСТОРОЖНО: Если в список попали KB2966828 или KB2966827, удалите их, иначе после установки не получится добавить компонент Net Framework 3.5 (подробности).

Обновления готовы, приступим к интеграции.

Интеграция обновлений

Для интеграции обновлений нам потребуется:

Смонтировать содержимое одного из образов в install.wim

Интегрировать в offline установку каждое обновление

Этот процесс легко следующим автоматизировать командным файлом:

Tip: Запуская командный файл, перенаправьте вывод в журнал

В результате мы получим файл D:\WS2012R2\ISO\sources\install.wim размером в 6.15Gb. Можем ли мы его уменьшить? Да, с помощью экспорта можно получить оптимизированный файл размером в 5.85Gb.

Экономия небольшая, кроме того после этого не очень красиво выглядит диалог выбора операционной системы при установке, поэтому следующий шаг опционален.

Для получения сжатого образа необходимо:

1. Экспортировать первый образ из оригинального wim-файла в новый файл
2. Подключить следующий образ из оригинального wim-файла в точку монтирования
3. Добавить в новый файл следующий образ методом «захвата»
4. Размонтировать образ, повторить итерацию добавления для каждого дополнительного образа

Автоматизируем скриптом:

Удалите оригинальный install.wim, а сформированный install1.wim переименуйте в install.wim

По совету D1abloRUS, если вы хотите получить инсталляционный диск минимального размера умещающийся на DVD5, можно экспортировать один (и только один) из образов в esd файл. Например, для экспорта Windows Server 2012 R2 Standard, используйте команду

Оригинальный install.wim можно удалить.

Сборка ISO-файла

Для сборки нам потребуется утилита oscdimg.exe из комплекта Windows ADK. Если у вас ее не оказалось, можно просто скачать утилиту по ссылке (не используйте из этого комплекта ничего, кроме самой утилиты).

Tip & Trick #3. Для того, чтобы не было проблем с загрузкой из образа, следует расположить загрузочные файлы в пределах первых 4 гигабайт образа. Для этого используем файл bootorder.txt

boot\bcd
boot\boot.sdi
boot\bootfix.bin
boot\bootsect.exe
boot\etfsboot.com
boot\memtest.exe
boot\en-us\bootsect.exe.mui
boot\fonts\chs_boot.ttf
boot\fonts\cht_boot.ttf
boot\fonts\jpn_boot.ttf
boot\fonts\kor_boot.ttf
boot\fonts\wgl4_boot.ttf
sources\boot.wim

Пути в этом файле указываются относительно корневой директории с образом, поэтому подстраивать пути на ваши фактические не требуется.

Tip & Trick #4. Если install.wim имеет размер больше 4700Mb, то инсталлятор вылетит с ошибкой «Windows cannot open the required file D:\sources\install.wim. Error code: 0x8007000D».

Нас учили что жизнь — это бой, поэтому разделим исходный install.wim на два командой

Оригинальный файл install.wim можно удалить.

Tip & Trick #5. Вообще Microsoft говорит, что пить так делать нельзя.

In Windows 8.1 and Windows 8, Windows Setup does not support installing a split .wim file.

Мы говорим, что будем! Инсталлятор прекрасно подхватывает swm-файл. Проблем с установкой не будет.

Собираем образ командой:

oscdimg -m -n -yoD:\WS2012R2\bootorder.txt -bD:\WS2012R2\ISO\BOOT\etfsboot.com -lIR5_SSS_X64FREV_EN-US_DV9 D:\WS2012R2\ISO en_windows_server_2012R2_August_2016.iso

Уважаемый ildarz подсказывает, что для создания образа, одинаково хорошо работающего с BIOS и EFI, следует руководствоваться KB947024 и создавать образ так:

Работоспособность проверена в ESXi с любым типом загрузки (BIOS/EFI).

Все получилось? Поздравляю!

Но решена ли проблема полностью? Для идеала необходимо интегрировать еще сотню «опциональных» и «рекомендованных» обновлений, но с этим не будем торопиться. Дадим Microsoft шанс самим разобраться в том бардаке, который они устроили с обновлениями.

PS. Зачем мы все это делали? Для того, чтобы освежить память, сделать работу чуть удобнее и получить несколько простых командных файлов, при помощи которых в дальнейшем можно практически автоматизированно интегрировать обновления в серверный дистрибутив, экономя время ввода сервера в эксплуатацию. Тем более есть надежда, что начиная с октября интегрировать обновления станет гораздо проще.

Точно так же вы сможете интегрировать Windows 7 convenience rollup и не наступить на грабли распаковки обновлений, невозможности загрузки из образа, превышения размера install.wim.

Спасибо за внимание и до новых встреч, друзья.

Если есть возможность поделиться опытом — жду вас в комментариях.

Recommended hotfixes and updates for Remote Desktop Services in Windows Server 2012 R2

This article describes the hotfixes and updates that are currently available for Remote Desktop Services in Microsoft Windows Server 2012 R2.

Original product version: В Windows Server 2012 R2
Original KB number: В 3147099

Summary

This article describes the currently available fixes that are highly recommended for Remote Desktop Services in Windows Server 2012 R2 environments. These fixes have prerequisites for all Remote Desktop Services roles, and they apply to the following areas for Remote Desktop Services 2012 R2:

• Remote Desktop Connection Brokers
• Remote Desktop Gateway
• Remote Desktop Licensing
• Remote Desktop Session Hosts
• Remote Desktop Virtualization Hosts
• Remote Desktop Web Access

Additional Remote Desktop client information is introduced:

• RDP 8.1 updates for Windows 7
• RDP 8.1 and 8.0 new features

We recommend that you install these fixes to ensure the highest level of reliability.

Prerequisites

Before you install the hotfix for any Remote Desktop Services role, you must have the following updates installed.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
Ongoing	Any remaining Windows updates	N/A	Multiple	The most recent Windows updates and fixes outside of normal security updates, in addition to the rollup packages that are listed in this table.
December 2014	3013769	December 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2	Multiple	An update rollup package that resolves issues and includes performance and reliability improvements. Available from Windows Update and for individual download from the Microsoft Download Center. To apply this update, you must first install the update 2919355 on Windows Server 2012 R2.
November 2014	3000850	November 2014 update rollup for Windows RT 8.1, Windows 8.1, and Windows Server 2012 R2	Multiple	A cumulative update that includes the security updates and non-security updates (including for Remote Desktop Services) that were released between April 2014 and November 2014. Available from Windows Update and for individual download from the Microsoft Download Center. To apply this update, you must first install the update 2919355 on Windows Server 2012 R2.

Updates and hotfixes for Remote Desktop Connection Brokers

See the prerequisites table before you install any update or hotfix for this server role.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
November 2015	3091411	User connection fails when many connections are made to Windows Server 2012 R2-based RD Connection Broker	Multiple	This rollup contains the following improvements: Improves the number of successful user connections when many user connections exist (especially during peak logon periods). Decreases CPU usage on SQL Server that’s used in a High Availability-based Connection Broker deployment. Optimizes the number of SQL calls that are invoked by Connection Broker when it processes RD user connections. This hotfix improves the overall performance of the Connection Broker by scaling more user connections that typically occur during peak logon periods.
December 2014	3020474	Communication issues occur when Remote Desktop Connection Broker connects to SQL Server in Windows Server 2012 R2	script	If you are using RD Connection Broker High Availability, make sure that you watch for the security events that are described in the Knowledge Base article that indicate communication issues between the RD Connection Brokers and SQL Server. You have to enable auditing for failure events by using the script auditpol /set /subcategory:»Filtering Platform Connection» /success:disable /failure:enable

This script unblocks only UDP port 1434 from a Windows level. If you have a network device that also blocks this port, you must unblock at this level, too.

Updates and hotfixes for Remote Desktop Gateway

See the prerequisites table before you install any update or hotfix for this server role.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
March 2016	3123913	Remote Desktop Gateway server crashes during certain user disconnect scenarios in Windows Server 2012 R2	aaedge.dll	Latest version of Aaedge.dll that resolves several issues in which the RD Gateway service crashes and causes user disconnections. Also includes 3042843.

Updates and hotfixes for Remote Desktop Licensing

See the prerequisites table before you install any update or hotfix for this server role.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
March 2016	3108326	Licensing servers become deadlocked under high load in Windows Server 2012 R2	lserver.dll	Latest version of Lserver.dll that resolves an issue in which multiple RD Licensing servers crash or restart on high load. Any RDSH that is configured in Per-Device mode would refuse all connections requests while their LS is in this state. Also includes 3092695 and 3084952.
January 2015	3013108	RDS License Manager shows no issued free or temporary client access licenses in Windows Server 2012 R2	licmgr.exe	Latest version of Licmgr.exe that fixes an issue in which the RDS License Manager shows no issued free or temporary client access licenses in Windows Server 2012 R2.

Updates and hotfixes for Remote Desktop Session Hosts

See the prerequisites table before you install any update or hotfix for this server role.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
April 2016	3146978	RDS redirected resources showing degraded performance in Windows 8.1 or Windows Server 2012 R2	Multiple	This update resolves slow RDP performance issues when you use redirected resources (drives, printers, and ports).
December 2015	3127673	Stop error 0x000000C2 or 0x0000003B when you’re running Remote Desktop Services in Windows Server 2012 R2	win32k.sys & dxgkrnl.sys	This article describes a hotfix package that fixes a problem that causes Windows Server 2012 R2 to crash when you’re running Microsoft Remote Desktop Services (RDS).
October 2015	3103000	RemoteApp windows disappear and screen flickers when you switch between windows in Windows 8.1 or Windows Server 2012 R2	rdpshell.exe	This update contains the latest RemoteApp server side components (mainly Rdpinit.exe/Rdpshell.exe) and includes all other RemoteApp section fixes that are listed in 2933664.

There may also be fixes on the client side for RemoteApp. These fixes are listed again in 2933664 in the Remote Desktop Client section. September 2015 3092688 UPD profiles corrupted when a network connectivity issue occurs in Windows Server 2012 R2 sessenv.dll Latest version of Sessenv.dll. This update resolves an issue in which UPDs become corrupted when network connectivity issue occurs. July 2015 3078676 Event 1530 is logged and ProfSvc leaks paged pool memory and handles in Windows 8.1 or Windows Server 2012 R2 profsvc.dll Latest version of Profsvc.dll. This article describes an issue in which event 1530 is logged, and the User Profile Service (ProfSvc) leaks paged pool memory and handles. July 2015 3073630 Remote Desktop Easy Print runs slowly in Windows Server 2012 R2 Multiple Resolves an issue in which it takes a long time to print through a redirected printer that uses Remote Desktop Easy Print. July 2015 3073629 Redirected printers go offline after print spooler is restarted on a Windows Server 2012 R2-based RD Session Host server Multiple Resolves an issue in which redirected printers go offline after the print spooler is restarted on a Windows Server 2012 R2-based RD Session Host server. Also includes 3055615.

Updates and hotfixes for Remote Desktop Virtualization Hosts

See the prerequisites table before you install any update or hotfix for this server role.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
November 2015	3092688	UPD profiles corrupted when a network connectivity issue occurs in Windows Server 2012 R2	sessenv.dll	Latest version of Sessenv.dll. This update resolves an issue in which UPDs become corrupted when network connectivity issue occurs.

If the VDI guest VMs are running Windows 8.1, you must also install this within the guest virtual machines.

Updates and hotfixes for Remote Desktop Web Access

See the prerequisites table before you install any update or hotfix for this server role.

Date the update was added	Related Knowledge Base article	Title	Component	Why we recommend this update
November 2015	3069129	Blank page is displayed when you try to access RemoteApps on a Windows-based RD Web Access server	Multiple	Resolves an issue in which the RD Web Access server displays a blank web page if the number of published RemoteApps is greater than 999. Also includes the update 2957984.

Remote Desktop clients (mstsc.exe)

RDP 8.1 updates for Windows 7

These fixes update the Remote Desktop Services server-side roles and components that are built around Remote Desktop Protocol (RDP) 8.1. However, although updates are performed on the server-side infrastructure, the Remote Desktop Clients are often left untouched. This can cause performance and reliability issues. By default, older clients such as Windows 7 Service Pack 1 (SP1) are restricted to RDP 7.1 and do not provide the new features and improvements that are available in RDP 8.1. Therefore, we have released the RDP 8.1 client for Windows 7 to provide significant performance and reliability improvements when these clients are connected to RDS 2012 R2 environments. To enable RDP 8.1 on Windows 7, follow these steps:

Verify which version of RDP you’re using. To do this, start the Remote Desktop Connection client program (mstsc.exe), click the small Remote Desktop icon in the top-left corner of the application dialog box, and then select About. Verify that the About message indicates Remote Desktop Protocol 8.1 supported.

If the About message indicates Remote Desktop Protocol 7.1 supported, install the following updates for RDP 8.1:

2574819: An update is available that adds support for DTLS in Windows 7 SP1 and Windows Server 2008 R2 SP1

2857650: Update that improves the RemoteApp and Desktop Connections features is available for Windows 7

2830477: Update for RemoteApp and Desktop Connections feature is available for Windows

2913751: Smart card redirection in remote sessions fails in a Windows 7 SP1-based RDP 8.1 client

2923545: Update for RDP 8.1 is available for Windows 7 SP1.31255

3125574: Convenience rollup update for Windows 7 SP1 and Windows Server 2008 R2 SP1

Install any outstanding Windows Updates.

RDP 8.1 and RDP 8.0 new features

For a list of features that were introduced in RDP 8.0, see Remote Desktop clients.