Wsus для windows 2003

Сегодня я подробно опишу установку Windows Server Update Services на Windows Server 2003 R2 (подробнее), с настроенным IIS (подробнее).

Для инсталляции использовалась виртуальная операционная система (на основе VMware GSX Server 3.2.0) c 350Mb памяти и двумя хард-дисками 4Gb (системный) и 10Gb (пустой). В требованиях необходимо не менее 6Gb свободного места для скачивания апдейтов. В рабочем состоянии WSUS запущен у меня более 3 месяцев и занимает 1,6Gb. Памяти он использует прилично — приблизительно 200Mb, но обновление всех компьютеров в домене занимает лишь несколько минут: оценка важности обновления и вынесения приговора (установить или нет).

Итак, в первую очередь идем сюда и качаем WSUS 2.0. После запуска программы инсталяции и распаковки во временную папку появится окно приглашения инсталяции.

Уверенно жмем Next, если соглашаемся с условиями использования продукта подтверждаем лицензионное соглашение и идем далее.

В принципе обновление можно и не хранить локально на сервере, а скачивать и устанавливать всем кому положено, после чего файл инсталляции удалится. Но этот вариант не очень удобен: при переинсталяции (или покупки) одного компьютера требуемые апдейты будут снова закачиваться на сервер. А как я говорил пару гигабайт места которые занимают апдейты не слишком большая цена при удобстве использования и экономии трафика. Тогда оставляем галочку «Хранить обновления локально» и выбираем путь где можно разместить обновления.

Возможно в Вашей организации уже используется MS Sql тогда можно выбрать локальную базу данных для хранения данных о WSUS. Если же нет (да и стоит SQL немало) можно использовать бесплатный SQL Server Desktop engine который поставляется вместе с WSUS. Просто показываем путь для инсталяции базы данных учитывая то, что в будущем база данных может разрастись до невероятных размеров.

Так как администрирование Windows Server Update Services и доступ клиенских компьютеров производится через IIS, в следующем окне необходмо указать по какому порту обращаться к серверу. Рекомендовано Microsoft использовать только 80 порт, что в общем-то правильно. При работе на нестандартном порту 8530 бывают некоторые сложности, но если у Вас уже есть рабочий сайт на 80 порту (как в моем случае на работе) придется использовать 8530 порт. Но повторюсь это только в крайних случаях, в любых других выбирайте стандартый — меньше проблем в будущем. Так как на моем тестовом сервере нет других служб или сайтов использующих 80 порт, я делаю выбор на нем.

Если у Вас есть к примеру более близкий сервер WSUS чем Microsoft Update (к примеру в своем городе, тогда трафик будет использоваться не зарубежный) или один из серверов в доменной структуре Вашей организации — можете прописать доступ к нему на этой странице. Но так как у меня такого нет (не будем портить чистоту эксперимента своим рабочим сервером 🙂 оставляем поле незаполненым.

После нажатия кнопки Next Вы сможете прочитать окончательный отчет о предстоящей инсталяции и если все корректно начать инсталляцию.

Странно, что последняя версия Windows Server 2003 R2 потребовала инсталлировать ASP.NET 1.1 (поставляется вместе с дистрибутивом WSUS)

После нескольких минут инсталляции появится окно с поздравлениями успешной инсталляции и галочкой «Открыть окно администрирования». После нажатия Finish откроется окно броузера с адресом http://test/WSUSAdmin/ и предложением ввести пароль. К сожалению пароль Администратора принять система отказалась. Оказывается пользователю нужно делегировать права на управление. Открываем «Управление компьютером» (Пр. кл. по «Мой компьютер» — > Manage), там Local Users and Groups, в Users находим свой логин и вызываем свойства (Пр. кл. по имени — > Properties) переходим на вкладку «Member Of». Нажимаем ADD -> Advanced -> Find Now. Выбираем WSUS Administrators -> Ok -> Ok. Все теперь вы допущенны к администрированию WSUS сервера.

Учитывая то, что я не настраивал сервер, мне выдалось сообщение о требовании понизить уровень безопасности броузера. Tools — > Internet Options — > Security -> Custom Level. Выбираем Reset to: Medium и Ok.

Теперь все ок, окно администрирования открывается во всей красе, но на английском. Русский язык включен в поставку, но работает очень оригинально.

Снова лезем в настройки броузера: Tools -> Internet Options. На первой же странице жмем Languages. Жмем Add. В списке находим родной язык, выделяем — после жмем Ок. Он добавиться в список вместе с английским, но англ. стоит на более высоком месте — изменяем это выделяя «Русский» и нажимая Move Up. После всех операций Ok -> Ok. И обновляем страницу кнопкой Reload или F5.

Теперь все по нашему. На этом инсталляция окончена. Научится работать и настраивать сервер и клиенские компьютеры опишу в следующей статье.

Этап 2. Установка WSUS на сервере

После ознакомления с требованиями по установке можно приступать к установке WSUS. Необходимо подключиться к серверу, на котором планируется установить WSUS, используя учетную запись члена группы администраторов. Установку WSUS могут выполнять только члены локальной группы «Администраторы».

В следующей процедуре используются параметры установки WSUS, заданные по умолчанию для Windows Server 2003, включая установку Windows SQL Server 2000 Desktop Engine (WMSDE) для программного обеспечения баз данных WSUS, локальное хранение обновлений и использование стандартного веб-узла IIS по 80-му порту. Инструкции по настраиваемым вариантам установки, таким как использование другой операционной системы, другого программного обеспечения баз данных или использование веб-узла по другому порту, можно найти в информационном документе «Deploying Microsoft Windows Server Update Services» (Развертывание служб Microsoft Windows Server Update Services).

Чтобы установить WSUS на сервер Windows Server 2003

Дважды щелкните файл установки WSUSSetup.exe.

Примечание
Последняя версия WSUSSetup.exe доступна на веб-узле корпорации Майкрософт, посвященном службам Windows Server Update Services, по адресу http://go.microsoft.com/fwlink/?LinkId=47374.

На первой странице мастера нажмите кнопку Далее.

Прочитайте лицензионное соглашение, выберите Я принимаю условия лицензионного соглашения и нажмите кнопку Далее.

На странице Выбор источника обновления можно указать источник обновлений для клиентов. Если установить флажок Локальное хранение обновлений, обновления будут храниться на сервере WSUS, следует выбрать место в файловой системе для хранения обновлений. Если обновления не будут храниться локально, клиентские компьютеры будут подключаться к Microsoft Update для получения утвержденных обновлений.

Оставьте параметры, заданные по умолчанию, и нажмите кнопку Далее.

На странице Параметры баз данных выберите программное обеспечение для управления базой данных WSUS. По умолчанию программа установки WSUS предлагает установить WMSDE, если компьютер, на который устанавливается программное обеспечение, работает под управлением Windows Server 2003.

Если использование WMSDE не представляется возможным, необходимо указать сервер SQL для WSUS, выбрав Использовать существующий сервер баз данных на этом компьютере и введя имя экземпляра в поле Имя экземпляра SQL. Дополнительные сведения о настройке программного обеспечения баз данных кроме WMSDE см. в информационном документе «Deploying Microsoft Windows Server Update Services» (Развертывание служб Microsoft Windows Server Update Services).

Оставьте параметры, заданные по умолчанию, и нажмите кнопку Далее.

На странице Выбор веб-узла можно выбрать веб-узел, который будет использоваться WSUS. На этой странице указаны два важных URL-адреса: URL-адрес, к которому будут подключаться клиентские компьютеры для загрузки обновлений, и URL-адрес консоли WSUS, с помощью которой вы будете настраивать WSUS.

Если уже имеется какой-либо веб-узел по 80-му порту, потребуется создать веб-узел WSUS, работающий по настраиваемому порту. Дополнительные сведения о работе WSUS по настраиваемому порту см. в информационном документе «Deploying Microsoft Windows Server Update Services» (Развертывание служб Microsoft Windows Server Update Services).

Оставьте параметры, заданные по умолчанию, и нажмите кнопку Далее.

На странице Параметры зеркального обновления можно указать управляющую роль этого сервера WSUS. Пропустите эту страницу, если это первый сервер WSUS в сети или если требуется использовать распределенную топологию управления.

Если необходимо использовать централизованную топологию управления и если это не первый сервер WSUS в сети, установите флажок и введите имя дополнительного сервера WSUS в поле Имя сервера. Дополнительные сведения о ролях управления см. в информационном документе «Deploying Microsoft Windows Server Update Services» (Развертывание служб Microsoft Windows Server Update Services).

Оставьте параметры, заданные по умолчанию, и нажмите кнопку Далее.

На странице Все готово к установке Windows Server Update Services просмотрите выбранные параметры и нажмите кнопку Далее.

Если на заключительной странице мастера установки сообщается об успешной установке WSUS, нажмите кнопку Готово.

Установка и настройка сервера обновлений WSUS

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

. и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

. и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

. и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/en-us/download/details.aspx?id=3841 и скачиваем установочный пакет:

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

• Для тестовой группы применять все обновления сразу после их выхода.
• Для рабочих станций и серверов сразу устанавливать критические обновления.
• Для рабочих станций и серверов применять обновления спустя 7 дней.
• Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры — Компьютеры:

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

1. Для тестовой группы.
2. Для серверов.
3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

• WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• TargetGroupEnabled, REG_DWORD — значение 1
• TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

• AUOptions, REG_DWORD — значение 2
• AutoInstallMinorUpdates, REG_DWORD — значение 0
• NoAutoUpdate, REG_DWORD — значение 0
• ScheduledInstallDay, REG_DWORD — значение 0
• ScheduledInstallTime, REG_DWORD — значение 3
• UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.