Настройка обновлений windows server 2008

Обновлено: 03.07.2024

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).


В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

создание новой группы на сервере WSUS

настройка опций сервера WSUS

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

редактор локальной групповой политики

Нам надо настроить следующие политики:

указываем размещение сервера WSUS

задаем клиенту группу на сервере WSUS

настройка автоматического обновления

настройка частоты поиска обновлений

перенос запланированных автоматических установок обновлений

настройка опций перезагрузки

Реестр

Теперь те же настройки произведем с помощью правки реестра.

настройка параметров обновления в реестре

Далее в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU создаем ключи:

настройка параметров автоматического обновления в реестре

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

Настройка автоматических обновлений

Управляя автоматическим обновлением при помощи групповой политики, вы выбираете одну из следующих конфигураций:

• Автоматическая загрузка и установка по расписанию (Auto Download And Schedule The Install) Обновления загружаются автоматически и устанавливаются согласно заданному вами расписанию. Когда обновление загружено, ОС уведомляет пользователя о том, какие обновления будут установлены по расписанию. При этом пользователь может установить обновления немедленно или дождаться назначенного времени.

• Локальный администратор может менять параметры (Allow Local Admin То Choose Setting) Параметры автоматического обновления настраиваются на каждом компьютере в отдельности локальным администратором. При любом другом параметре у локальных пользователей и администраторов нет нрава изменять параметры автоматического обновления.

Чтобы настроить автоматические обновления при помощи групповой политики, выполните следующие действия:

1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).

2. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновления Windows (Computer Configuration\Administrative Templates\Windows Components\Windows Update).

3. Щелкните дважды политику Настройка автоматического обновления (Configure Automatic Updates). Чтобы включить управление автоматическим обновлением при помощи групповой политики, установите переключатель Включен (Enabled). Чтобы отключить его, установите переключатель Выключен (Disabled), щелкните ОК и пропустите остальные шаги.

4. Выберите нужный способ обновления в списке Настройка автоматического обновления (Configure Automatic Update).

5. Если вы выбрали вариант Автоматическая загрузка и установка по расписанию (Auto Download And Schedule The Install), здесь же задайте расписание. Щелкните ОК, чтобы сохранить изменения.

Оптимизация автоматических обновлений

Как правило, большинство автоматических обновлений устанавливается при перезапуске компьютера. Некоторые обновления можно устанавливать немедленно, не прерывая работу системных служб и не требуя перезагрузки системы. Чтобы разрешить немедленную установку некоторых обновлений, выполните следующие действия:

1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).

2. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Центр обновления Windows (Computer Configuration\Administrative Templates\Windows Components\Windows Update).

3. Щелкните дважды политику Разрешить немедленную установку автоматических обновлений (Allow Automatic Updates Immediate Installation). В диалоговом окне свойств политики установите переключатель Включен (Enabled) и щелкните ОК.

По умолчанию уведомления об обновлениях посылаются только пользователям с административными полномочиями. Чтобы рассылать их всем пользователям, зарегистрировавшимся на компьютере, выполните следующие действия:

1. В GPMC щелкните правой кнопкой нужный GPO и выберите Изменить (Edit).

2. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновления Windows (Computer Configuration\Administrative Templates\Windows Components\Windows Update).

3. Щелкните дважды политику Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях (Allow Non-Administrators То Receive Update Notifications). В диалоговом окне свойств политики установите переключатель Включен (Enabled) и щелкните ОК.

При настройке автоматических обновлений полезны также следующие политики:

• Автоматическое обновление Windows (Windows Automatic Updates) При каждом подключении пользователя к Интернету Windows производит поиск доступных обновлений. Чтобы отказаться от поиска, включите эту политику. Она расположена в узле Конфигурация пользователя\Административные шаблоны\Система (User Configuration\Administrative Templates\System).

• Отключить автоматическое обновление ADM-файлов (Turn Off Automatic Update Of ADM Files) В процессе автоматического обновления может произойти изменение групповой политики. Как правило, это выражается в установке новых политик, доступ к которым открывается при очередном запуске редактора политик. Если вы не хотите, чтобы групповая политика обновлялась в процессе автоматического обновления, включите эту политику. Она расположена в узле Конфигурация пользователя\Административные шаблоны\Система\Групповая политика (User Configuration\Administrative Templates\System\Group Policy). Параметры этой политики игнорируются, если вы включили политику Всегда использовать локальные файлы ADM для редактора объектов групповой политики (Always Use Local ADM Files For The Group Policy Object Editor).

• Запретить использование любых средств Центра обновления Windows (Remove Access То Use АН Windows Update Features) Закрывает доступ ко всем функциям системы обновления Windows. Если эта политика включена, все эти функции удаляются, и настроить их нельзя. В их число входят команды Центр обновления Windows (Windows Update) из меню Пуск (Start) и меню Internet Explorer Сервис (Tools), а также функция обновления драйверов в Диспетчере устройств (Device Manager). Эта политика расположена в узле Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Обновления Windows (User Configuretion\Administrative Templates\Windows Components\Windows Update).

Обновление в интрасети

В сетях с сотнями и тысячами компьютеров автоматическое обновление может занимать существенную долю полосы пропускания, и, разумеется, нет никакого смысла проверять обновления и загружать их индивидуально на каждом компьютере. Помочь вам призвана политика Указать размещение службы обновлений Майкрософт в интрасети (Specify Intranet Microsoft Update Service Location), которая указывает отдельным компьютерам проверять наличие обновлений на заданном внутреннем сервере.

К серверу обновлений предъявляются следующие требования: на нем должны быть запущены службы WSUS (Windows Server Update Services), он должен быть настроен как веб-сервер, работающий под управлением Microsoft Internet Information Services (IIS), и ему необходима мощность, достаточная для обработки дополнительной нагрузки, которая в больших сетях при пиковой загруженности может быть весьма значительной. Кроме того, серверу обновлений необходим доступ к внешней сети по порту 80. Проследите, чтобы ни брандмауэр, ни прокси-сервер не препятствовали работе по этому порту.

В процессе обновления отслеживается информация о конфигурации и статистике по каждому компьютеру. Эта информация необходима для нормального обновления. Она может храниться как на специальном сервере статистики (внутреннем IIS-сервере) , так и на самом сервере обновлений.

Чтобы настроить использование внутреннего сервера обновлений, выполните следующие действия:

1. Установив и настроив сервер обновлений, откройте для редактирования GPO, с которым будете работать. В редакторе политики раскройте узел Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Обновления Windows (Computer Configuration\ Administrative Templates\Windows Components\Windows Update).

2. Щелкните дважды политику Указать размещение службы обновлений Майкрософт в интрасети (Specify Intranet Microsoft Update Service Location). В диалоговом окне свойств установите переключатель Включен (Enabled).

4. Введите URL сервера статистики в поле Укажите сервер статистики в интрасети (Set The Intranet Statistics Server). Здесь можно указать тот же самый адрес.

5. Щелкните ОК. После обновления соответствующего GPO системы, работающие под управлением ОС Windows 2000 Service Pack 3 или более поздней версии, Windows ХР Service Pack 1 или более поздней версии, Windows Server 2003, Windows Vista и Windows Server 2008 будут в поисках обновлений связываться с внутренним сервером обновлений. Несколько первых дней или даже недель особенно внимательно следите за серверами обновлений и статистики, чтобы убедиться в их корректной работе.

Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 - установка и настройка WSUS.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.

Получить все необходимые компоненты можно на сайте Microsoft:

При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.

Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.

Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.

WSUS-01.jpg

Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.

WSUS-02.jpg

На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.

При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.

WSUS-03.jpg

На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.

WSUS-04.jpg

Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.

Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.

Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск - Выполнить - gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

WSUS-09.jpg

Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.

WSUS-07.jpg

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Вот мы и подошли к еще одной важной настройке сервера - автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры - Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

WSUS-10.jpg

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

WSUS-11.jpg

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

WSUS-12.jpg

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

Следует заметить, что пакет установки WSUS все-таки может понадобиться, но только если вы пожелаете установить отдельную консоль администрирования на одну из рабочих станций. В этом случае его можно загрузить отсюда .

Настройка сервера WSUS

Итак, начнем установку. Будем считать, что вы уже установили операционную систему Windows 2008 R2 и вошли в систему от имени учетной записи, имеющей права локального администратора. Перед установкой следует убедиться, что сервер подключен к сети и с него доступен Internet (это важно).

1. Открываем оснастку «Диспетчер сервера». Затем в левой панели открываем ветку «Роли», а в правой, запускаем мастер «Добавить роли» (см. рис. ниже):

WSUS-01

2. После выбора строки списка «Службы Windows Server Update Services» появится окно мастера, предлагающее добавить службу Веб сервера, а так же необходимые компоненты. Соглашаемся с этим предложением и трижды нажимаем «Далее».

WSUS-02

3. Следующий шаг, собственно, установка службы WSUS. Жмем «Далее» и, следом, «Установить». На этом этапе сервер начнет загрузку с Internet и установку службы. В процессе установки потребуется принять условия лицензионного соглашения:

WSUS-04

4. Далее, мастер сообщит о том, что в системе отсутствует «Распространяемый пакет средства Microsoft Report Viewer 2008»:

WSUS-05

Этот пакет мы установим позже.

5. Следующий этап – указание места расположения папки, где будут храниться обновления. Можно принять предложенный вариант или указать другую папку. Эта папка д.б. на диске с файловой системой NTFS. Позаботьтесь, что б там было достаточно места. В качестве примера для оценки сообщу, что обновления Windows для серверов и рабочих станций на двух языках (русский, английский) потребуют примерно 40 – 60 Гб. Экономить не советую…

6. Для работы WSUS 3.0 используется БД MS SQL. Можно использовать внутреннюю БД или использовать существующую у вас в сети:

WSUS-06

7. Далее, следует выбор Веб-узла службы WSUS:

WSUS-07

Здесь так же указан адрес службы WSUS, который потребуется при настройке клиентов службы.

8. Далее, мы увидим процесс установки внутренней БД (если эта опция была выбрана ранее).

9. Все… на этом, собственно, сам процесс установки можно считать завершенным.

10. Но работа мастера будет продолжена. Следующий этап – непосредственная настройка службы обновлений:

WSUS-09

11. Следующие шаги мастера помогут вам сделать начальные настройки службы WSUS. Необходимо будет указать, с какого сервера этот сервер WSUS будет выполнять синхронизацию. Возможные варианты: сервер Microsoft или вышестоящий сервер WSUS

12. Необходимо указать настройки прокси сервера при синхронизации:

WSUS-10

13. На следующем этапе мы выполним подключение к серверу Microsoft (или вышестоящему серверу). Это может занять несколько минут:

WSUS-11

14. Далее, следует выбор языков, для которых сервер будет загружать обновления.

15. На следующем шаге Вам предложат выбрать продукты компании Microsoft, для которых будут загружаться обновления

16. Также, необходимо выбрать классы обновлений:

WSUS-12

17. Далее, будет предложено установить расписание загрузки и запустить первоначальную загрузку обновлений.

Процесс загрузки обновлений будет длительным. Первоначальная загрузка будет длиться несколько часов и может составить несколько десятков гигабайт. Для того, чтобы сократить объем трафика, серверу WSUS можно «скормить» каталог обновлений с другого сервера. Это особенно актуально в тех случаях, когда сервер WSUS разворачивается в ЛВС, имеющей доступ к Internet по медленному каналу связи.

На этом можно считать процесс установки сервера WSUS законченным.

WSUS-13

WSUS-14

Дальнейшие действия заключаются в настройке компьютеров вашей ЛВС на работу с этим сервисом.

Читайте также: