Использование локального сервера обновлений (WSUS)

Для снижения объёма трафика, потребляемого подразделениями и уменьшения загрузки внешних каналов целесообразно использовать локальный сервер обновлений (Windows Server Update Services).

Предупреждение: после применения обновлений нелицензионная Winows XP или MS Office XP/2003 может потребовать активации или вообще отказаться работать по этой причине (Чаще всего после применения сервиспака). Такая реакция не зависит от источника обновлений (локальный WSUS или сайт Windows Update). Приобретайте лицензионное программное обеспечение или используйте свободно распространяемое!

Много полезной информации (будет) размещено в разделе, посвящённом лицензированию программного обеспечения.

Требования к клиентским компьютерам

Для использования локального сервера обновлений необходим компонент «Автоматическое обновление» («Automatic Updates»). Использование данного компонента возможно в следующих ОС:

• Microsoft Windows 2000 Professional Service Pack 3 (SP3) или Service Pack 4 (SP4), Windows 2000 Server SP3 или SP4, или Windows 2000 Advanced Server SP3 или SP4.
• Microsoft Windows XP Professional RTM (необходима установка клиента SUS) или Service Pack 1 или Service Pack 2.
• Microsoft Windows Server 2003 RTM или Service Pack 1 (Standard Edition; Enterprise Edition; Datacenter Edition; Web Edition).
• Microsoft Windows Server 2003 R2 (в различных редакциях).
• Microsoft Windows Vista (в различных редакциях).

ПО, обновляемое с помощью WSUS

С помощью WSUS обновляются следующие программное обеспечение:

1. Операционные системы:

• Windows 2000 Professional, Server и Advansed Server (SP3 или SP4);
• Windows XP Professional (SP1 или SP2 или без SP);
• Windows XP Professional x64 Edition;
• Windows XP Professional 64-bit Edition version 2003;
• Windows Server 2003 в различных редакциях (SP1 или без SP), включая x64 Edition и версии для систем с процессорами Itanium;
• Windows Server 2003 R2 в различных редакциях, включая x64 Edition и версии для систем с процессорами Itanium;
• Windows Vista R2 в различных редакциях.

2. Windows Small Business Server 2003.

• Windows Live Mail Desktop;
• Windows Live Toolbar.

4. Microsoft SQL server:

• SQL server 2000;
• SQL server Feature Pack;
• SQL server 2005.

5. Microsoft Office:

6. Windows Defender.

7. Microsoft Internet Security and Acceleration Server (ISA):

И ещё ряд программных продуктов, которые являются специфичными.

Через WSUS могут распространяться следующие типы обновлений:

• драйверы;
• критические обновления;
• обновления системы безопасности;
• обновления;
• накопительные пакеты обновлений (например, кумулятивное обновление IE6 SP1);
• пакеты обновлений (например, сервиспаки);
• обновления определений (например, обновление базы адресов нежелательной почты для MS Outlook);
• средства (например, средство диагностики сети для Windows XP).

Конфигурирование Автоматического обновления на клиентах

Штатным способом конфигурирования компонентов в Widows является использование объектов групповой политики — Group Policy object (GPO). При наличии Active Directory необходимо создать новый GPO и подключить его на доменный уровень. Замечание: компания Microsoft не рекомендует использовать для подобных целей GPO Default Domain Policy. Отдельно стоящие машины (в рабочей группе или с эмуляцией домена через Samba) можно настроить через локальный GPO. Также для таких машин возможно использовать непосредственное редактирование реестра либо импорт предварительно созданного *.reg файла.

Рассмотрим процесс конфигурирования локального GPO для отдельно стоящей машины. Создание и подключение GPO в Active Directory рассматривать не будем, предполагая, что данные операции являются тривиальными для тех администраторов, у кого Active Directory развёрнута. Процесс редактирования GPO в обоих случаях ничем не отличается.

0. Проверяем, что имя компьтера содержит DNS-суффикс, то есть имеет вид «PCName.DeptName.susu.ac.ru»:

Панель управления, апплет Система (или Свойства компьютера), страница Имя компьютера, строка Полное имя

Если имя компьтера имеет вид «PCName.» то добавляем DNS-суффикс:

в этом же окне нажимаем кнопку «Изменить», в открывшемся окне нажимем кнопку «Дополнительно» и в следующем окне вводим DNS-суффикс.

Например, имя компьютера, (смотрим выданные подразделению «Данные для настройки сети») — oti.urc.ac.ru, DNS-суффикс в данном случае будет urc.ac.ru, а NetBIOS-имя компьютера — oti. Если имя компьютера имеет не такой формат, то нужно привести к такому виду и сообщить в ОГСТ по электронной почте.

Для компьютеров, имеющих «серые»адреса, имя компьютера также должно иметь такой формат, только сообщать имя в ОГСТ не нужно.

После изменения имени компьютера необходимо выполнить его перезагрузку.

1. Открываем редактор групповой политики:

Пуск -> Выполнить, набираем gpedit.msc, нажимаем Enter.

Редактор выполнен в виде оснастки MMC

2. В редакторе групповой политики распахиваем Конфигурация компьютера, затем Административные шаблоны, затем Компоненты Windows и щёлкаем на Windows Update (соответствует английскиму варианту Computer Configuration, Administrative Templates, Windows Components, Windows Update).

Если такого шаблона нет, то необходимо его добавить.

3. Настраиваем поведение Автоматического обновления:

В области сведений дважды щелкните на параметре «Настройка автоматического обновления» («Configure Automatic Updates»). В открывшемся окне выбрать кнопку «Включен» и выбрать требуемый вариант. Возможные варианты:

1. Уведомлять о загрузке и уведомлять об установке.
2. Загружать автоматически и уведомлять об установке.
3. Загружать автоматически и устанавливать по расписанию.
4. Разрешать локальному администратору изменять настройки.

По умолчанию выбран вариант 3, которого в принципе достаточно.

4. Настраиваем клиентский компьютер на локальный сервер обновлений:

В области сведений дважды щелкните на параметре «Указать размещение службы обновлений Microsoft в интрасети» («Specify intranet Microsoft update service location»), в открывшемся окне выбрать кнопку «Включен» и в обе строки ввода впечатать «http://wsus.susu.ac.ru:8530».

Эти шаги являются достаточными для корректного конфигурирования службы Автоматического обновления клиентов на локальный сервер обновлений.

После выполнения этих действий необходимо дождаться применения групповой политики и контакта клиента с WSUS. Для случая локального GPO политики применяются сразу после его редактирования. Как принудительно примененить политики или запустить обновление — в следующем разделе.

Принудительный запуск обновления

Эти шаги выполняются в командной строке, поэтому необходимо вызвать её: Пуск -> Выполнить, набираем cmd, нажимаем Enter. Все дальнейшие действия выполняются в командной строке.

Применение политик необходимо только при их изменении (как правило). Для принудительного применения GPO команды отличаются для разных систем:

• Windows 2000: secedit /refreshpolicy machine_policy /enforce
• Windows XP и выше: gpupdate /target:computer /force

Принудительный запуск обновления:

Поиск и устранение неисправностей

Проверка состояния служб, необходимых для работы Автоматического обновления

В первую очередь необходимо убедиться, что:

• разрешена и работает служба «Автоматическое обновление»;
• разрешена служба «BITS — фоновая интеллектуальная служба передачи».

Для этого открываем оснастку «Службы» (Пуск -> Выполнить, набираем services.msc, нажимаем Enter), и проверяем:

• для службы «Автоматическое обновление» состояние — «работает», тип запуска — «Авто»;
• для службы «BITS — фоновая интеллектуальная служба передачи» тип запуска — «Авто» или «Вручную».

Если указанные параметры отличаются, то необходимо их привести в соответствие требуемым значениям.

Удаление папки загрузки

Если компьютер до настройки на локальный сервер обновлений пытался обновляться с сайта Windows Update (неважно, успешно или нет), то нужно удалить папку загрузки Автоматического обновления.

1. Запускаем командную строку: Пуск -> Выполнить, набираем cmd, нажимаем Enter.
2. Останавливаем службу «Автоматическое обновление»: net stop wuauserv
3. Переходим в папку Windows: cd %windir%
4. Переименовываем папку загрузки: ren SoftwareDistribution SDTemp
5. Запускаем службу «Автоматическое обновление»: net start wuauserv

Если обновление с WSUS заработало, то папку SDTemp можно удалить.

Настройка службы на клиентских компьютерах, подключенных через прокси-сервер

Если клиентские компьютеры подключены к ИВС ЮУрГУ через прокси-сервер, то может понадобиться явное его указание. Как правило, параметры подключения берутся из настроек системы (то, что обычно называется как «Свойства Интернета» в панели управления или «Свойства обозревателя» в Internet Explorer) либо этим занимается клиент прокси-сервера. И наоборот, если в качестве прокси-сервера указан proxcy.urc.ac.ru:3128, может понадобиться настройка клиентов напрямую.

Настройка подключния для службы обновления выполняется в командной строке:

• Запускаем командную строку: Пуск -> Выполнить, набираем cmd, нажимаем Enter.
• Для указания прокси сервера набираем: proxycfg -p
• Для подключения напрямую набираем: proxycfg -d
• Для просмотра конфигурации набираем: proxycfg

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

• Главная
• Устанавливаем и настраиваем WSUS.

Устанавливаем и настраиваем WSUS.

Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 — установка и настройка WSUS.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

• IIS 6 или выше,
• .NET Framework 2.0 или выше,
• Report Viewer Redistributable 2008 ,
• SQL Server 2005 SP2 Express или выше.

WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.

Получить все необходимые компоненты можно на сайте Microsoft:

При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.

Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите .NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:

• ASP.NET
• Windows — проверка подлинности
• Сжатие динамического содержимого
• Совместимость управления IIS6

Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.

Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.

Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.

На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.

При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.

На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.

Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.

Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.

Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить. В открывшемся окне выберите Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети. Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http:\\ИМЯ_СЕРВЕРА.

Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск — Выполнить — gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.

Вот мы и подошли к еще одной важной настройке сервера — автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры — Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал: