Настройка обновлений windows 10 через прокси

Обновлено: 06.07.2024

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

    .
  1. Настраиваем статический IP-адрес.
  2. При необходимости, добавляем компьютер в домен.
  3. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

Запуск диспетчера серверов в Windows Server

В правой части открытого окна нажимаем Управление - Добавить роли и компоненты:

Переходим к добавлению ролей Windows Server

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

Пропускаем стрницу приветствия

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Устанавливаем роли и компоненты

Далее выбираем сервер из списка, на который будем ставить WSUS:

Выбор целевого сервера для развертывания WSUS

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services - в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Выбираем для установки роль WSUS

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Никаких дополнительный компонентов устанавливать не нужно

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Предварительная настройка WSUS

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Выбор ролей службы WSUS

Прописываем путь, где WSUS будет хранить файлы обновлений:

Указываем путь, по которому WSUS должен хранить файлы обновлений

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Переходим к настройке IIS

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

Не меняем настройки ролей служб при установки IIS

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Подтверждаем намерение установить роль WSUS

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Дожидаемся окончания установки WSUS

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства - Службы Windows Server Update Services:

Среди средств управления сервером выбираем Службы Windows Server Update Services

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

Завершаем установку WSUS, подтвердив путь хранения файлов обновлений

. и ждем завершения настройки:

Дожидаемся окончания постустановки

Откроется стартовое окно мастера настройки WSUS — идем далее:

Начальное окно при настройке WSUS

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Соглашаемся или отказывается принять участие в улучшении продуктов Microsoft

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

Настройка источника обновлений для WSUS

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

Настройка прокси-сервера

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

Подключаемся к серверу обновлений для получения списка обновлений

. и дожидаемся окончания процесса:

Ждем завершения подключения WSUS к центру обновлений

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Выбор языковых версий обновлений

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

Отмечаем программы Microsoft для обноления

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

Выбор классов обновлений для загрузки WSUS

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Настройка синхронизации обновлений между WSUS и настроенным центром обновлений

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

Завершение настройки WSUS

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Переход к установке ролей и компонентов

Выбор для установки .NET Framework 3.5

Продолжаем установку и завершаем ее.

Загружаем Microsoft Report Viewer

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры - кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :

Переходим к добавлению группы компьютеров

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

Пример созданных групп компьютеров в WSUS

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры - Автоматические утверждения:

Переходим к настройкам автоматического утверждения обновлений

Кликаем по Создать правило:

Переходим к созданию правил

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

  • Для тестовой группы применять все обновления сразу после их выхода.
  • Для рабочих станций и серверов сразу устанавливать критические обновления.
  • Для рабочих станций и серверов применять обновления спустя 7 дней.
  • Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры - Компьютеры:

Переходим к параметрам компьютеров в WSUS

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Использовать на компьютерах групповую политику или параметры реестра

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

  1. Для тестовой группы.
  2. Для серверов.
  3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows. Стоит настроить следующие политики:

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

  • AUOptions, REG_DWORD — значение 2
  • AutoInstallMinorUpdates, REG_DWORD — значение 0
  • NoAutoUpdate, REG_DWORD — значение 0
  • ScheduledInstallDay, REG_DWORD — значение 0
  • ScheduledInstallTime, REG_DWORD — значение 3
  • UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры - Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Обновление если придет, оно само все обновит. Особенно винда. Даже разрешение не будет спрашивать.

Подумалось тут.

Подумалось тут.


ХедХантер и кладмены

На днях листал ХХ.
Штук 5 вакансий курьера. От найка и адидас до ксиаоми и секс-шопа . Вакансии в самом верху в топе, смотрело со мной около 150 человек. Оклад 15к в неделю и 350 за точку. Нормально так для курьера?
В итоге все эти вакансии - кладмена. Работодатель зовёт в телегу.
Мне просто интересно , ХХ настолько похуй, что у него там творится? Очевидно вакансия левая, ибо заработок нереальный для курьера. Где пожаловаться не нашёл, выливаю свой гнев сюда. Вообще подозреваю, что все все знают.

Мотивации пост

Мотивации пост Twitter, Мотивация, Скриншот

. а в пустыне она вообще бесценна.

Ответ на пост «Не прокатило»

у всех есть такие родственники.

есть у меня замечательный дядя, которого я видел последний раз лет в 10. Спустя 20 лет он приехал в гости. По дороге его уставший от жизни жигуль тройка немного рыгнул трамблером. Приехал к нему с подкатом, жигуля погрузили и поехали на место семейной сходки.

по приезду дядя очень нахваливал мою машину, а потом, уже за столом, выдал что дарит мне свой жигуль: мол хоть и ломается, но это уже почти ретро и скоро я её смогу продать за все деньги мира. Ну пьяные базары, обычное дело.

после чего уже все тёти\дяди начали хором вещать что я должен в ответ отдать ему свою машину. На резонный вопрос "а схуяле я должен отдавать машину стоимостью на два ноля больше чем его отрыга" был получен ответ "он старый, хорошей машины уже не купит, а ты молодой и ещё на такую-же заработаешь. Да и ваще он твой дядя, семейные узы нужно чтить". Предложил им обменять их трёшку на мою дачу в 75км от города, почему-то отказались. Когда начал аппелировать к семейным узам - был послан нахуй. Послал всех в ответ, свалил. Бонусом получил пожизненный отпуск от всех обязательных семейных мероприятий, ведь мало того что отказался помогать родственнику, так ещё и после посыла нахуй не остался ночевать в летней кухне чтобы по утру за свои бабки чинить отрыгу и потом развозить всю эту пиздобратию по домам (как оказалось они на это расчитывали, ведь я хорошо зарабатываю, значит могу весь день быть бесплатным таксистом)

потому радуйтесь что проебали отношения с таким замечательнейшим родственником :)


Добрый КиШ

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

Добрый КиШ Рок, Текст песни, Король и Шут, Доброта, Twitter, Длиннопост

В свете последних событий.

В свете последних событий.

Рамзан Кадыров замечен в сепаратизме?

Как все уже знают, Кадыров пригрозил силой отнять у ингушей их земли.

Как это: часть страны решила отобрать территорию у другой части этой же страны?

Интересно, почему на него не заводят дело за призывы к силовому захвату или отчуждение территории?

А ведь это сепаратизм. Развал СССР тоже начался с взаимных претензий его республик. Если какой-то регион России, собирается силой захватить другой регион, то это уже не субьект Российской Федерации. Это самостоятельная государственная единица.

Как вы считаете, можно ли расценивать действия Рамзана Кадырова как прямой отказ подчиняться действущему законодательству России и проявлением сепаратизма?

Прошу юридической помощи, напали чеченцы в метро

Здравствуйте, я очень сомневался писать пост или нет, но сил уже нет бороться в одиночку с нашей правоохранительной системой. 30 августа я ехал на работу к 14:00, на выходе из метро Юго-Восточная на меня напали 2 чеченца ( https://www.m24.ru/shows1/14/308198 сюжет на Москва 24, правда они вырезали специально тот кусок, когда я отмахивался, разрывая дистанцию, уже после нескольких минут избиения в голову и назвали это "дракой", хотя ни одного удара я не нанес), я подбежал к службе безопасности метрополитена, одна из сотрудниц сразу убежала, вторая стояла и смотрела как меня избивают, ничего не делая. В итоге мне сломали нос и нанесли множественные повреждения в области головы. Когда они меня били они орали, что они из Чечни и всех русских вы**ут и ничего им не сделают, явный состав 282 статьи УК РФ, однако в итоге им инкриминировали лишь 115. После их задержания, когда я ждал скорую, полицейская сказала, что у них был нож и они орали, что воевали против русских в чеченскую войну, а также что они находятся под действием наркотиков (в таганском отделении опер потом также сказал). После меня отвезли в ГКБ им. Пирогова, в приемное отделение к нейрохирургу, где я пробыл более 6 часов, как в последствии выяснилось, принял со скорой меня санитар, а заключение выдал медбрат. В итоге в заключении прописаны препараты, которые мне якобы ввели, но их не вводили + заключение противоречит в некоторых моментах самому себе. Госпитализировать меня отказались, хотя по словам врачей скорой должны были госпитализировать на 10-14 дней. На следующий день я пошел в травмпункт рядом с домом, чтобы снять всё-таки побои, но травматолог сказал, что поставил бы ушиб мягких тканей только в случае наличия разрыва кожи (хотя это уже должно быть рваной раной, в моём понимании).

На данном этапе мне не дали ознакомиться с материалами уголовного дела, нож по словам дознавательницы в деле не фигурирует, я просил ознакомить меня с записями с камер видеонаблюдения, мне было отказано, а также с дозоров полицейских, тоже было отказано. Дознавательница не присылает никаких повесток по следственным действиям, я посмотрел, её действия нарушают 164, 188 и 192 статьи УПК РФ, когда на очередной встрече я хотел написать заявление на отвод дознавателя. Я думаю, что дознавательница ангажирована к этим чеченцам и/или диаспоре. При первой встрече, назначенной на 10:00, она отказалась меня принять к оговоренному по телефону (повестки не было) времени, а когда из кабинета выходил другой сотрудник, я слышал, как она говорит кому-то из своих "мариную **анного терпилу".

Прошу оказать юридическую помощь, что делать с этой дознавательницей? Что делать с врачами, которые отказались меня принимать и госпитализировать? Мне назначена очная ставка на 20 ноября, но я боюсь туда идти, потому что возможен вариант, что эти чеченцы придут туда с оружием.

Подбегая к сотрудникам безопасности метро, я включил камеру, думал это их вразумит, я стал кричать, что они хотят меня убить, но люди даже не обернулись. У меня сохранился кусочек видео, до того момента, как один из нападавших выхватил телефон (когда он выхватил телефон, то прервал запись) у меня из рук и начал меня избивать.

На работе комп (win 10 corp/pro) введен в домен. Доменные настройки и обновления винды есть только для XP и win7. Соответственно win10 тоже настроился на локальный wsus, на котором для него ничего нет. Как можно (через реестр или как) указать системе обычные сервера обновлений через инет, а не локальные, не выводя из домена?
Переделать доменные настройки не предлагать :)

p.s. почему то просьба НЕ предлагать переделать настройки домена никого не волнует. я НЕ администратор данного домена, он находиться в другом городе и администрируется другими людьми (я лишь нахожусь в небольшом филиале и не имею к нему ни малейшего доступа). у нас официально не используется win 10 в работе и поэтому у нас и НЕ БУДЕТ в ближайшее время изменений в wsus. это не моя прихоть! я лишь сам интересуюсь десяткой и работаю на ней, так как сам по себе домен и большинство настроек он нормально принимает как и win 7

tsklab

Сообщите об этом администратору WSUS. Необходимо включить соответствующую категорию обновлений для синхронизации.

Или скачивать их Каталог Центра обновления Майкрософт. Поскольку для Windows 10 выпускается одно кумулятивное обновление в месяц (редко, обновление безопасности, отдельно — но входящее в следующее кумулятивное) это не доставит больших хлопот.
Журнал обновлений Windows 10

А ведь сразу даже в голову не пришло:

указать системе обычные сервера обновлений через инет, а не локальные
как вариант, качать вручную. лучше чем ничего, спасибо.
p.s. к сожалению админам wsus нет ни малейшего дела до моего интереса к новым системам :) включать обновления десятки они не будут. в работе существенного влияния от перехода на десятку не вижу, поэтому сижу сам

Параметр: UseWUServer
Значение: установите значение 1, чтобы указать службе Автоматического обновления использовать сервер, на котором запущены службы SUS, вместо веб-узла Windows Update.
Тип: Reg_DWORD

Устраняем ошибки Windows Update при работе через прокси-сервер Squid

При работе с прокси-сервером Squid вы можете столкнуться с ситуацией, когда служба Windows Update или WSUS перестанут получать обновления. Ситуация действительно неприятная и проявляется она чаще всего уже "по факту", когда клиентские машины перестают получать обновления и нужно срочно принимать меры. Однако такое поведение службы обновления давно известно и отражено в документации. Сегодня мы разберем подробно причину возникновения ошибки и покажем возможные действия по ее устранению.

Внешнее проявление неисправности сводится к тому, что служба Windows Update не может загрузить обновления и сопровождается одним из кодов ошибки:

  • 0x80244017
  • 0x80244018
  • 0x80244019
  • 0x8024401B
  • 0x80244021

Для ее возникновения требуется сочетание нескольких факторов: наличия в сети прокси-сервера с аутентификацией пользователей и службы WPAD. Неподготовленного администратора данная ошибка застает врасплох, однако существует статья KB896226, которая подробно проливает свет на проблему и способы ее решения:

Чтобы устранить эту проблему, убедитесь, что прокси-сервер или брандмауэр настроены для анонимного доступа к веб-сайту Центра обновления Windows.

Чтобы избавиться от этой ошибки следует выполнить рекомендации Microsoft и обеспечить анонимный доступ к серверам обновлений. Сделать это можно достаточно просто и несколькими способами. Рассмотрим их подробнее.

Squid

Система контроля доступа Squid дает в руки администратора мощный инструмент управления и этим следует пользоваться. Тем более что стоящая перед нами задача ничем не отличается от URL-фильтрации по спискам, о которой мы рассказывали ранее.

Создадим отдельный список для служб Windows Update:

и внесем в него следующие записи:

За его основу мы взяли список из KB896226 который актуализировали и дополнили исходя из собственного опыта и наработок коллег.

Теперь создадим элемент ACL для работы со списком:

Для того, чтобы обеспечить анонимный доступ к указанным ресурсам следует создать список доступа и разместить его раньше списков, требующих аутентификацию или производящих авторизацию, лучше всего сделать его одним из первых.

После чего перезапустите прокси-сервер и проверьте доступ к серверам обновлений, он должен восстановиться.

Для его реализации добавьте в файл wpad.dat следующие инструкции:

Изменения вступают в силу сразу, перезапускать службы не требуется.

При использовании данного метода следует принять во внимание еще один момент - если вы принимали меры по запрету обхода прокси, например, при помощи iptables, то следует явно разрешить соединения к серверам обновлений. На текущий момент указанным серверам соответствуют следующие IP-адреса:

Собственно, поэтому не рекомендуем данный способ, так как поддерживать один список доменных имен для Squid проще, чем два, тем более что соответствие доменных имен IP-адресам может меняться. В любом случае теперь вы понимаете источник проблемы и можете самостоятельно выбрать наиболее предпочтительный способ ее решения.

Читайте также: