Использование локального сервера обновлений (WSUS)

Подключаем WSUS сервер через GPO

Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.

После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.

Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).

Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins

Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:

Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS

Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:

• Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».

Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows

• Указать размещение службы обновления Майкрософт в интрасети: Включено
• Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
• Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530

и нажимаю Применить и OK.

• Настройка автоматического обновления: Включено
• Настройка автоматического обновления: 4 — авт. Загрузка и устан.По расписанию

Установка по расписанию — день: 0 — ежедневно

Установка по расписанию — время: 20.00

и нажимаю Применить и OK.

• Разрешить клиенту присоединение к целевой группе: Включено
• Имя целевой группы для данного компьютера: office2010

и нажимаю Применить и OK.

• Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
• Включить рекомендуемые обновления через автоматическое обновление: Включено
• Разрешить немедленную установку автоматических обновлений: Включено
• Частота поиска автоматических обновлений: Включено (6часов)

На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.

После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html

• Связи: Размещение: OU=WSUS
• Фильтры безопасности: Имя компьютера в домене
• Фильтр WMI: опционально.

Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force , а после отправить систему в перезагрузку ( shutdown /r /t 3 ) или дождаться покуда рабочая станция перезагрузится.

На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv

На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:WindowsWindowsUpdate.txt дабы разъяснить данную ситуацию.

Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.

На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.

У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.

Требования к клиентским компьютерам

Для использования локального сервера обновлений необходим компонент «Автоматическое обновление» («Automatic Updates»). Использование данного компонента возможно в следующих ОС:

• Microsoft Windows 2000 Professional Service Pack 3 (SP3) или Service Pack 4 (SP4), Windows 2000 Server SP3 или SP4, или Windows 2000 Advanced Server SP3 или SP4.
• Microsoft Windows XP Professional RTM (необходима установка клиента SUS) или Service Pack 1 или Service Pack 2.
• Microsoft Windows Server 2003 RTM или Service Pack 1 (Standard Edition; Enterprise Edition; Datacenter Edition; Web Edition).
• Microsoft Windows Server 2003 R2 (в различных редакциях).
• Microsoft Windows Vista (в различных редакциях).

Wsus не видит компьютер

Всем привет сегодня хочу поделиться своим опытом решения ошибки последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2. Для начала давайте вспомним что это такое, Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft. Программа бесплатно может быть скачана с сайта Microsoft и установлена на серверную ОС семейства Windows Server.

Все началось с того, что на клиентских машинах я перестал получать обновления и выпадала ошибка. Зайдя на вой сервер WSUS в логах Просмотра событий я увидел две ошибки. Первая это последняя попытка синхронизации каталогов оказалась не удачной, Код 10022.

Ошибка последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2-01

Вторая ошибка это Многие клиентские компьютеры не сообщали информацию на сервер за последние 30 дней.

Ошибка последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2-01-1

Погуглив ошибку я нашел решение, оно заключалось в том, что нужно было установить обновления KB2734608 , мне они к сожалению не подошли так как они рассчитаны на WSUS 3, а в Windows Server 2012 R2 идет уже WSUS 6. Но поискать в инете обновления я не поленился. В итоге получил аж 82, устанавливаем их.

Ошибка последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2-02

После перезагрузки я обнаружил еще ошибку Консоли администрирования WSUS не удается подключиться к базе данных сервера WSUS, причин этому несколько идет режим обновления скриптов. При установке WSUS я использовал встроенную базу данных, WID (Windows Internal database) — встроенная база Windows. База WID по умолчанию называется SUSDB.mdf, расположена в каталоге windir%widdata. Поддерживается только Windows аутентификация (не SQL). Именем инстанса базы данных WSUS: server_nameMicrosoft##WID. Логи WSUS смотрим в каталоге windir%wid

Ошибка последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2-03

После того как закончится обновление перезапускаем службу Внутренняя база данных Windows

Ошибка последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2-04

После чего консоль уже отображает данные и WSUS работает.

Ошибка последняя попытка синхронизации каталогов оказалась не удачной в WSUS Windows Server 2012R2-05

В завершении стоит отметить, что для повышения быстродействия рекомендуется исключить следующие папки из области проверки антивируса:

Windows Server 2016 — отключаем обновление через WSUS

Иногда требуется отключить WSUS и обновить Windows напрямую с сайта Microsoft. Рассмотрим как это сделать на примере Windows Server 2016. Потребуется перезагрузка.

Итак, имеем Windows Server 2016 в домене, который обновляется через WSUS. Вернее, он пытается обновиться, но не может. Попытка обновления завершается ошибкой.

Например, Error 0x80244011, или ещё что-нибудь подобное.

Ясно, что WSUS не содержит нужного обновления, или доступов не хватает, или WSUS не работает нормально. А нам нужно обновиться, причём срочно.

Очистка базы данных WSUS

Почистить базу данных WSUS можно двумя способами:

• Server Cleanup Wizard
• Powershell скриптом

Отмена замененных обновлений

Первым делом рекомендую отменить все утвержденные для установки обновления, которые были заменены более новыми обновлениями. Таким образом Вы освободите больше всего места.

Если во Wsus просматривать такие обновления, то в информации о нем будете видеть сообщение:

This update is superseded by another update we recommend that you verify it is no longer needed by any other computer To do so first approve the superseding Update

Это обновление заменяется другим. Прежде чем заменять отклоняемые обновления, мы рекомендуем убедиться, что они больше не нужны ни для одного компьютера.

Хорошей практикой считается такой порядок действий при отмене замещенного обновления:

• разрешить более новое (замещающее) обновление
• убедиться, что все системы его установили (где требуется)
• убедиться, что все системы сообщают о замещаемом обновлении, как неприменимом
• теперь можно безопасно удалить замещенное обновление

Для того, чтобы отфильтровать обновления по замещению:

• нужно перейти в WSUS во «Обновления» — «Все обновления»
• в выпадающем списке «утверждение» выбрать «утверждено»
• в выпадающем списке «состояние» выбрать «любой»
• кликнуть правой кнопкой мышки по заголовку таблицы и поставить галочку напротив «замена» (supersedence). Также рекомендую сразу же добавить столбец «Число необходимых установок», чтобы видеть что это обновление нужно на 0 компьютерах и значит можно его отменять.
• далее сортируйте по столбцу «замена» и отменяйте не нужные замененные обновления
• после всех этих действий нужно очистить wsus одним из двух способов описанных ниже.

Чистка базы WSUS через Server Cleanup Wizard

• Запускаем оснастку «Windows Server Update Services»
• Переходим в «Имя WSUS Сервера» — «Computers» — «Options» — «Server Cleanup Wizard»
• Выставляем галочки возле тех вариантов очистки которые подходят и жмем «Next»
• Ждем 1-12, а может и больше часов, зависит от размера Вашей базы обновлений

Чистка базы WSUS через Powershell скрипт

Плюс скрипта в том, что можно настроить его периодический запуск — то есть автоматизируем очистку базы данных. Скрипт можно найти на сайте microsoft:

Расшифруем значение параметров:

• DeclineSupersededUpdates — отклонить обновления, которые заменены более новыми версиями или же включены в пакеты обновлений. Также, отклоняются обновления, которые не были подтверждены в течение 30 и более дней, и не востребованы ни одним клиентом.
• DeclineExpiredUpdates — отклонить просроченные обновления. Как правило, Microsoft выпускает новые обновления взамен просроченным, а просроченные — удаляет со своих потоковых серверов загрузки.
• CleanupObsoleteUpdates — удаляем неиспользуемые и устаревшие обновления, включая все их ревизии. Удаляются те обновления и ревизии, которые не были подтверждены в течение 30 и более дней.
• CompressUpdates — удаляем устаревшие ревизии обновлений.
• CleanupObsoleteComputers — удаляет устаревшие компьютеры, которые не контактировали с сервером 30 и более дней.
• CleanupUnneededContentFiles — удаляем ненужные файлы обновлений. Включение этой опции позволяет освободить максимальный объем места на диске.

Напоследок дам ссылку на еще один более мудреный скрипт: expressit.ru/?p=709