Установка и настройка сервера обновлений WSUS

Использование локального сервера обновлений (WSUS)

Для снижения объёма трафика, потребляемого подразделениями и уменьшения загрузки внешних каналов целесообразно использовать локальный сервер обновлений (Windows Server Update Services).

Предупреждение: после применения обновлений нелицензионная Winows XP или MS Office XP/2003 может потребовать активации или вообще отказаться работать по этой причине (Чаще всего после применения сервиспака). Такая реакция не зависит от источника обновлений (локальный WSUS или сайт Windows Update). Приобретайте лицензионное программное обеспечение или используйте свободно распространяемое!

Много полезной информации (будет) размещено в разделе, посвящённом лицензированию программного обеспечения.

Если машина не регистрируется на сервисе WSUS

Открываем командную строку с правами администратора и вводим команды

Если вы используете различные инструменты деплоя ОС из образов, то замечали что далеко не все ОС отправляют отчет на сервер WSUS или вообще пропадают с сервера.
Тут и кроется корень проблемы, после клонирования у машин остается один и тот же SusClientId.
Посмотреть его можно в реестре, по следующему пути:

Значения которые нам нужны называются — SusClientId и SusClientIdValidation.
Данные значения должны быть уникальными на каждой машине, если это не так, то машины будут перерегистрироваться на WSUS затирая таким образом соседей с таким же SusClientId. Чтобы это исправить нужно выполнить следующие команды:

После этого машина сбросит авторизацию на WSUS и зарегистрируется с новым, уникальным SusClientId.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

1. Для тестовой группы.
2. Для серверов.
3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка компьютера на обновление через WSUS.

Windows Server Update Services (WSUS) — сервер обновлений ОС и продуктов Microsoft. Программа бесплатно может быть скачана с сайта Microsoft и установлена на серверную ОС семейства Windows Server. Сервер обновлений синхронизируется с сайтом Microsoft, скачивая обновления, которые могут быть распространены внутри локальной сети. Это экономит внешний трафик компании и позволяет быстрее устанавливать исправления ошибок и уязвимостей в операционных системах Windows на рабочих местах, а также позволяет централизованно управлять обновлениями серверов и рабочих станций.

Для настройки компьютера на обновление через WSUS: нажать WIN+R ввести gpedit.msc, откроется консоль управления групповыми политиками.

Перейти: Computer Configuration (Конфигурация компьютера) — Administrative Templates (Административные шаблоны) — Windows Update (Обновления Windows) — Specify intranet Microsoft update services location (Специфическое месторасположение сервисов обновления Microsoft).
Переставляем шар на Enable (Включено) и вписываем ip адрес вашего wsus сервера или его доменное имя, такое как указано в файле «c:WINDOWSsystem32driversetchosts» либо назначено в DNS.
Альтернативным способом является правка ключей в реестре, например можно использовать готовый файл реестра с содержимым и расширением .reg

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
«WUServer»=»http://*.*.*.*»
«WUStatusServer»=»http://*.*.*.*»

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
«NoAutoUpdate»=dword:00000000
«AUOptions»=dword:00000004
«ScheduledInstallDay»=dword:00000000
«ScheduledInstallTime»=dword:0000000c
«UseWUServer»=dword:00000001
«RescheduleWaitTime»=dword:0000000a

Для скорейшего отображения нового добавленного клиента в оснастке wsus необходимо запустить команду на данном клиенте:

Подключаем WSUS сервер через GPO

Задача: Разобрать настройки посредством которых будет осуществлять прописывание сервера WSUS на рабочие станции под управлением Windows дабы рабочие системы получали последние обновления не из интернета, а из локальной сети одобренные системным администратором.

После того, как установили роль WSUS на систему Windows Server 2012 R2 Std нужно в оснастке Update Services перейти в Options — Computers где изменить дефолтную настройку с «Use the Update Services console» на «Use Group Policy or registry settings on computers» после нажать Apply — Ok, т. е. Только через управление групповыми политиками назначение сервиса WSUS производить регистрацию на сервере WSUS.

Затем предопределяю (Approve) какие пакеты обновлений нужно устанавливать и нацеливаю их на группу или если удалить/отменить то (Decline).

Авторизуюсь на домен контроллере с правами пользователя входящим в группу Domain Admins

Запускаю оснастку Group Policy Management и создаю политику направленную на рабочие станции или группу рабочих станций:

Win +X → Control Panels — Administrative Tools (Администрирование) — Управление групповой политикой и в текущем домене создаю: GPO_WSUS

Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы:

• Центр обновления Windows → ставлю галочку у «Определить следующий параметр политики» и «Выберите режим запуска службы» на «Автоматически» после чего нажимаю «Применить» и «ОК».

Конфигурация компьютера → Политики → Административные шаблоны → Компоненты Windows → Центр обновления Windows

• Указать размещение службы обновления Майкрософт в интрасети: Включено
• Укажите службу обновлений в интрасети для поиска обновлений: http://srv-wsus.polygon.local:8530
• Укажите сервер статистики в интрасети: http://srv-wsus.polygon.local:8530

и нажимаю Применить и OK.

• Настройка автоматического обновления: Включено
• Настройка автоматического обновления: 4 — авт. Загрузка и устан.По расписанию

Установка по расписанию — день: 0 — ежедневно

Установка по расписанию — время: 20.00

и нажимаю Применить и OK.

• Разрешить клиенту присоединение к целевой группе: Включено
• Имя целевой группы для данного компьютера: office2010

и нажимаю Применить и OK.

• Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи: Включено
• Включить рекомендуемые обновления через автоматическое обновление: Включено
• Разрешить немедленную установку автоматических обновлений: Включено
• Частота поиска автоматических обновлений: Включено (6часов)

На сервере с ролью WSUS я отметил для пакета Office 2010, что устанавливать мне необходимо (Products and Classifications): Critical Updates, Definition Updates, Feature Packs, Security Updates, Service Packs, Update Rollups.

После нужно добавить в политику вкладка «Делегирование» права для группу «Прошедшие проверку»: чтение, дабы рабочие станции не получали сообщение при формировании результирующей: «Отказано в доступе (фильтрация ограничений безопасности») через gpresult /f /h gp.html

• Связи: Размещение: OU=WSUS
• Фильтры безопасности: Имя компьютера в домене
• Фильтр WMI: опционально.

Теперь переключаюсь к рабочей станции на которую назначена данная групповая политика, у меня это W7X64 с установленным пакетом Microsoft Office 2010 Pro Rus и дабы система вот прям сейчас получила данную политику в консоли командной строки хоть из под пользователя или администратора домена запускаю команду: gpupdate /force , а после отправить систему в перезагрузку ( shutdown /r /t 3 ) или дождаться покуда рабочая станция перезагрузится.

На заметку: и вот что еще служба Windows Updates на рабочих станциях должна быть включена: sc config wuauserv start= auto, net start wuauserv

На заметку: Если политика не применяется, то следует обратиться к лог файлу: C:WindowsWindowsUpdate.txt дабы разъяснить данную ситуацию.

Когда политика будет применена к рабочей станции, то открыв оснастку Update Services: Computer — All Computers — группа office2010, выставив фильтр: Status: any и нажав Refresh искомый компьютер(ы) отобразятся здесь и % отношение к установленным пакетам назначенных политикой.

На заметку: многие обновления могут не устанавливать на ПК, т. к. они зависят от установки предшествующих обновлений и покуда WSUS сервер не синхронизируется с сервером обновлений Майкрософта, а после обновления не будут назначены на группу, они не смогут установиться на ПК.

У меня все получилось, заметка полностью работоспособна. На этом всё, с уважением автор блога Олло Александр aka ekzorchik.

Блог did5.ru

Вторая часть скрипта из статьи Сравнение списка ПК во WSUS и в AD, который позволяет удаленно выполняет рекомендации из Delete Duplicate WSUS Client IDs и перезапускает службу обновлений. До этого я использовал Group Policy с Logon скриптом, но это занимает больше времени, т.к. нужно ждать пока пользователь перезагрузит ПК. Этот скрипт на Power Shell позволяет сразу выполнить все действия незаметно для пользователей, которые работают на компьютерах.

Список ПК берется из файла NoWSUS.txt, который создает скрипт из статьи: Сравнение списка ПК во WSUS и в AD.

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!

Добавить компьютер на wsus

Windows Server Update Services (WSUS) — сервер обновлений операционных систем и продуктов Microsoft . Очень полезная консоль при наличии в офисе более 10 компьютеров. Полезен тем, что позволяет с ОДНОГО сервера «раскидывать» обновления на все компьютеры в сети, т. е. не каждый отдельный компьютер должен загружать интернет-канал, а один сервер скачивает обновления и «раздает» по сети всем рабочим станциям и серверам.

Изначально в Windows 2003 необходимо было скачивать с сайта Microsoft дистрибутив WSUS , с появление Ms Windows 2008 и Ms и Windows 2008 R 2 это необходимость исчезла, т.к. появилась роль WSUS , хотя можно и по старинке скачать с сайта Microsoft дистрибутив.

Для установки необходимо выполнить минимальные требования, а именно:
• Операционная система: Windows Server 2003 SP1 и выше.
• Дополнительные роли сервера: IIS 6.0 и выше (для Windows Server 2008 при добавлении роли сам предложит установиться)
• Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
• Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).
• Необходимо учесть место на жестком диске я рекомендовал бы минимум 100 Гб, зависит от того какие у вас настройки выставлены в WSUS.
Итак, неважно каким способом вы устанавливаете (с помощью дистрибутива или добавлением роли) шаги будут одинаковы.

После запуска установки необходимо нажать несколько раз Далее. Остановлюсь на основных шагах:
Указываем где будут хранится обновления (диск объемом не менее 100 Гб свободного места)

Указываем папку где будут храниться база данных обновлений (2-4 Гб свободного места).

Очень важный шаг выбора порта по которому будут осуществляться распространения обновлении, по умолчанию используется 80 порт, но его использовать я не рекомендую, т.к. этот порт часто используется другими приложениями. Лучше создать веб-сайт службы WSUS и использовать порт 8530.

После установки службы Wsus необходимо ее правильно настроить, опять же рассмотрим основные шаги:
Выбираем откуда будем брать обновления, если это первый сервер с Wsus то выбираем синхронизацию с центра обновлений Майкрософт.

Выбирать языки следует Английский (обязятельно) + те языки которые встречаются в вашей сети.

Выбираем продукты которые будут обновляться (следует указывать только те которые вы используете, иначе бесмысленные обновления будут занимать место на жеском диске).

Выбираем классы продуктов котрые будут обновляться.

Далее указываете время когда будут скачиваться обновления.

Основные настройки выполнены, переходим к дополнительным, настройке непосредственно консоли WSUS, для удобства я бы рекомендовал создать 2 группы компьютеров, в одной группе будут сервера, в другой рабочие станции (делается для того что бы можно было ограничить установку обновлений для серверов).

Изначально все компьютеры будут находится в Неназначенных компьютерах, затем вручную необходимо переместить компьютеры в необходимые группы. Для рабочих станций рекомендую устанавливать все обновления, для это заходим в «Параметры- Автоматические одобрения» и делаем следующее правило.

А для серверов делаем правило для одобрения только критических обновлений (Для серверов крайне не рекомендуется ставить все обновления, т.к. это может вызвать сбои в их работе, сталкивался с этим неоднократно).

Теперь необходимо внести изменения во все компьютеры сети, что бы они знали откуда «брать» обновления. Делается это с помощью групповых политик. Заходим на контролер домена «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy) или создаем новую. Кликаем правой кнопкой и выбираем «Изменить». В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Внизу готовые и проверенные настройки. Там где красная линия впишите имя или IP адрес своего сервера на котором установлен WSUS.

на русском языке:

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».
В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.
Спустя несколько минут после всех процедур в консоле Wsus в группе Неназаченные компьютеры начнут появляться компьютеры сети. Согласно их операционной системы вы перемещаете их в нужную группу (Server или Workgroup). Напомню, согласно нашим настройкам на компьютеры которые находятся в группе Workgroup будут устанавливаться все обновления, для серверов только критические.