Настройка wsus windows server 2016

Обновлено: 01.07.2024

В рамках непрерывного управления в Windows Server 2016 в наших организациях мы проверяем огромные преимущества и преимущества, которые предлагает нам Microsoft, посредством различных ролей и характеристик, которые позволяют нам выполнять задачу управления и контроля гораздо более простым и централизованным способом, который Это отражено в административных и вспомогательных улучшениях.

Одной из этих ролей, которая очень важна на административном уровне, являются службы обновления WSUS или Windows Server, и сегодня мы собираемся подробно проанализировать, какую роль играет эта роль и как мы можем реализовать ее в Windows Server 2016.

WSUS (службы обновления Windows Server) - это роль, которая дает нам, как администраторам, возможность внедрять критические и наиболее важные обновления на клиентских компьютерах с операционными системами Windows.

Мы автоматизируем процесс управления обновлениями.

Мы централизованно управляем обновлениями, определяя, какие обновления загружать и на какие компьютеры их устанавливать.

Включает командлеты Windows PowerShell для управления и контроля.

Его можно добавить или удалить с помощью администратора сервера.

Он включает в себя возможность хеширования SHA256 для повышения уровня безопасности.

Это позволяет разделить клиента и сервер.

Требования для установки WSUS на Windows Server 2016

Место на жестком диске не менее 10 ГБ.

Сетевой адаптер не менее 100 Мбит / с.

Что касается памяти, рекомендуется иметь на 2 ГБ больше, чем требуется серверу.

Процессор x64 1, 4 ГГц или выше.

С помощью следующего видеоруководства вы сможете более внимательно ознакомиться с каждой из глав, необходимых для установки WSUS в Windows Server 2016.

1. Установите WSUS на Windows Server 2016

Там мы должны активировать окно «Windows Server Update Services», и появится следующее окно, где мы выбираем опцию «Добавить функции»:

Шаг 2
Мы увидим, что указанная роль была выбрана. Нажмите Next, и в следующем окне мы не будем добавлять ничего, для чего мы нажимаем Next снова.

Шаг 3
В следующем окне мы видим краткое описание роли, которую WSUS играет в Windows Server 2016.

Этот сервис отвечает за установку базы данных WID.

Он отвечает за управление всеми службами WSUS.

Шаг 5
Нажмите Next еще раз, и в следующем окне мы определим, где будут храниться обновления для последующего распространения.

Шаг 6
Как только это значение будет определено, нажмите Далее, и мы увидим сводную информацию о задаче, которая должна быть выполнена. Нажмите «Установить», чтобы начать процесс установки роли WSUS в Windows Server 2016.

$config[ads_text5] not found

Шаг 8
Нажмите «Выполнить», чтобы завершить установку.

2. Настройте WSUS для синхронизации с Центром обновления Windows

Следующим шагом является настройка WSUS с Центром обновления Windows для всего процесса обновления на клиентских компьютерах.

$config[ads_text6] not found

Шаг 1
Для этого мы обращаемся к «средствам диспетчера серверов / служб обновления Windows Server», и будет отображаться следующий мастер:

Шаг 2
Это окно приветствия, нажмите Далее, и в следующем окне мы можем участвовать в программе улучшения Windows Update.

Шаг 3
Нажмите Далее, и в появившемся окне мы укажем сервер, с которого будут загружаться обновления, мы оставляем параметр по умолчанию «Синхронизировать из Центра обновления Microsoft».

Шаг 4
Нажмите Next и в следующем окне мы не выполняем никаких действий.

$config[ads_text6] not found

Шаг 5
Снова нажмите кнопку Далее и в появившемся окне нажмите кнопку «Начать подключение», чтобы все обновления, доступные в Центре обновления Windows, были загружены на сервер WSUS.

Шаг 6
Этот процесс требует времени в зависимости от типа соединения, которое у нас есть на данный момент. После того, как обновления были загружены, нажмите Next и в появившемся окне мы должны определить язык, на котором будут загружаться обновления.

$config[ads_text5] not found

Шаг 7
После того, как языки были определены, нажмите Далее, и теперь мы должны определить, для каких типов продуктов Microsoft должны быть получены обновления.

Шаг 8
После определения продуктов нажмите «Далее», и теперь мы должны определить тип загружаемых обновлений (Критика, безопасность, драйверы и т. Д.).

Шаг 9
Как только мы определим, какой тип обновлений будет загружен, нажмите «Далее», и вам необходимо будет определить, как выполнить синхронизацию, ручную или запланированную.

$config[ads_text6] not found

Шаг 10
Когда мы определили тип синхронизации, нажмите Далее, и мы увидим, что процесс настройки WSUS с Центром обновления Windows завершен.

Шаг 11
Мы должны помнить, чтобы активировать начальный блок «Начать синхронизацию», чтобы, как только мы покинем мастер, будут загружены соответствующие обновления, доступные для выбранных продуктов. Нажмите Next, и мы увидим, каков будет следующий шаг в WSUS.

Шаг 12
Чтобы выйти из мастера, нажмите кнопку Готово. Мы видим в консоли WSUS доступные обновления в соответствии с заданной конфигурацией.

3. Назначьте компьютеры в WSUS Windows Server 2016

Шаг 1
Как только эти параметры определены, мы идем в консоль WSUS и выбираем строку параметров, а в центральной панели выбираем вариант «Оборудование».

Шаг 2
Будет отображен следующий мастер, в котором мы должны выбрать опцию «Использовать групповую политику или конфигурацию реестра оборудования». Нажмите на Принять.

Шаг 3
Теперь идем в меню слева и правой кнопкой мыши нажимаем «Все команды» и там выбираем опцию «Добавить группу команд».

Шаг 4
Появится следующее окно, в котором мы определим название новой группы. Нажмите OK, чтобы сохранить изменения.

4. Создайте групповую политику для WSUS в домене Windows Server 2016

После создания группы команд мы создадим объект групповой политики или групповую политику, которые будут применяться ко всем командам в организации, и WSUS сможет выполнять свою роль автоматически.

Шаг 1
Для этого мы получаем доступ к «диспетчеру групповой политики» и переходим в подразделение, в котором размещаются команды организации. Там мы будем щелкнуть правой кнопкой мыши и выбрать опцию «Создать объект групповой политики в этом домене и связать его здесь».

Шаг 2
Далее появится следующее окно, в котором мы назначим имя групповой политике. Нажмите Принять.

Шаг 3
Далее мы переходим к новой созданной политике, щелкаем правой кнопкой мыши и выбираем опцию Edit.

$config[ads_text5] not found

Конфигурация оборудования

Директивы

Административные шаблоны

Компоненты Windows

Центр обновления Windows

Шаг 5
В этом окне мы должны отредактировать три политики в частности. С левой стороны мы выбираем политику «Настроить автоматические обновления» и дважды щелкаем по ней. В открывшемся окне мы активируем поле «Включено», а в поле «Настроить автоматическое обновление», расположенном внизу, выбираем опцию «3 - Автоматически загружать и уведомлять об установке». Нажмите «Применить», затем нажмите «ОК», чтобы сохранить изменения.

$config[ads_text5] not found

Шаг 6
Следующая политика, которая должна быть отредактирована: «Укажите расположение службы Центра обновления Windows в интрасети», по которой мы будем указывать путь в политике, где будут получены обновления. Мы дважды щелкаем по этой политике, и в отображаемом окне мы активируем поле Включено, и в полях «Установить службу обновлений в интрасети для обнаружения обновлений» мы должны ввести следующий синтаксис. Нажмите «Применить», а затем «ОК», чтобы сохранить изменения.

$config[ads_text6] not found

Шаг 7
Наконец, мы должны активировать политику «Включить получателей на стороне клиента», для этого мы активируем поле «Включено» и в поле «Имя группы адресатов для этого оборудования» указываем имя группы, которую мы создали в WSUS. Аналогичным образом примените и затем OK, чтобы сохранить изменения.

5. Настройте клиентский компьютер в Windows Server 2016

Следующий шаг - перейти на клиентский компьютер и из командной строки или cmd убедиться, что группа получает созданную политику.

$config[ads_text5] not found

Шаг 1
Для этого мы обращаемся к клиентскому компьютеру как администраторы домена, открываем командную строку и выполняем следующую команду в терминале:

Шаг 2
Там мы должны проверить, что созданная политика находится под строкой «Прикладные объекты групповой политики». Далее мы введем следующую команду для инициализации Центра обновления Windows:

6. Как утвердить и внедрить обновление для клиента в Windows Server 2016

Шаг 1
Для выполнения этой задачи мы должны вернуться к консоли WSUS и отобразить строку «Обновления» и выбрать одно из доступных обновлений, щелкнуть по нему правой кнопкой мыши и выбрать «Утвердить».

Шаг 2
Будет отображен следующий мастер, в котором мы должны развернуть группу оборудования, которую мы создали, и выбрать опцию «Одобрено для установки».

Шаг 3
Нажмите на Принять, и мы увидим, что он был одобрен правильно.

Шаг 4
Затем мы можем вернуться к клиентской команде и снова искать обновления, и появятся одобренные нами обновления.

$config[ads_text6] not found

Мы смогли проанализировать, как WSUS является отличным союзником для автоматизации процесса обновления, позволяя нам определить, каким конкретным пользователям необходимо загружать последние обновления, доступные в Центре обновления Windows, и, таким образом, отслеживать ресурсы организации, контролируя, какое оборудование они используют. обновленный, а какой нет, или просто определяющий, какому пользователю будет назначено определенное обновление на основе используемой программы Microsoft.

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

Настраиваем статический IP-адрес.
При необходимости, добавляем компьютер в домен.
Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

В правой части открытого окна нажимаем Управление - Добавить роли и компоненты:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services - в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства - Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

. и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

. и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Продолжаем установку и завершаем ее.

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры - кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры - Автоматические утверждения:

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

Для тестовой группы применять все обновления сразу после их выхода.
Для рабочих станций и серверов сразу устанавливать критические обновления.
Для рабочих станций и серверов применять обновления спустя 7 дней.
Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры - Компьютеры:

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

Для тестовой группы.
Для серверов.
Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows. Стоит настроить следующие политики:

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

AUOptions, REG_DWORD — значение 2
AutoInstallMinorUpdates, REG_DWORD — значение 0
NoAutoUpdate, REG_DWORD — значение 0
ScheduledInstallDay, REG_DWORD — значение 0
ScheduledInstallTime, REG_DWORD — значение 3
UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры - Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Эта роль отвечает за получение обновлений и их распространение на компьютеры с установленными продуктами Microsoft, такие как SQL или Office. Благодаря WSUS мы решаем две основные задачи:

Мы автоматизируем процесс управления обновлениями.

Мы централизованно управляем обновлениями, определяя, какие обновления загружать и на какие компьютеры их устанавливать.

В новостях WSUS мы имеем:

Включает командлеты Windows PowerShell для управления и контроля.

Его можно добавить или удалить с помощью администратора сервера.

Он включает в себя возможность хеширования SHA256 для повышения уровня безопасности.

Это позволяет разделить клиента и сервер.

Требования для установки WSUS на Windows Server 2016

Минимальные требования для установки этой роли и ее правильного функционирования:

Место на жестком диске не менее 10 ГБ.

Сетевой адаптер не менее 100 Мбит / с.

Что касается памяти, рекомендуется иметь на 2 ГБ больше, чем требуется серверу.

Процессор x64 1, 4 ГГц или выше.

1. Установите WSUS на Windows Server 2016

Там мы должны активировать окно «Windows Server Up Services», и появится следующее окно, где мы выбираем опцию «Добавить функции»:

Мы увидим, что указанная роль была выбрана. Нажмите Next, и в следующем окне мы не будем добавлять ничего, для чего мы нажимаем Next снова.

В следующем окне мы видим краткое описание роли, которую WSUS играет в Windows Server 2016.

Этот сервис отвечает за установку базы данных WID.

Он отвечает за управление всеми службами WSUS.

Нажмите Next еще раз, и в следующем окне мы определим, где будут храниться обновления для последующего распространения.

Как только это значение будет определено, нажмите Далее, и мы увидим сводную информацию о задаче, которая должна быть выполнена. Нажмите «Установить», чтобы начать процесс установки роли WSUS в Windows Server 2016.

$config[ads_text5] not found

Нажмите «Выполнить», чтобы завершить установку.

2. Настройте WSUS для синхронизации с Центром обновления Windows

Следующим шагом является настройка WSUS с Центром обновления Windows для всего процесса обновления на клиентских компьютерах.$config[ads_text6] not found

Для этого мы обращаемся к «средствам диспетчера серверов / служб обновления Windows Server», и будет отображаться следующий мастер:

Это окно приветствия, нажмите Далее, и в следующем окне мы можем участвовать в программе улучшения Windows Up.

Нажмите Далее, и в появившемся окне мы укажем сервер, с которого будут загружаться обновления, мы оставляем параметр по умолчанию «Синхронизировать из Центра обновления Microsoft».

Нажмите Next и в следующем окне мы не выполняем никаких действий.

$config[ads_text6] not found

Снова нажмите кнопку Далее и в появившемся окне нажмите кнопку «Начать подключение», чтобы все обновления, доступные в Центре обновления Windows, были загружены на сервер WSUS.

Этот процесс требует времени в зависимости от типа соединения, которое у нас есть на данный момент. После того, как обновления были загружены, нажмите Next и в появившемся окне мы должны определить язык, на котором будут загружаться обновления.

$config[ads_text5] not found

После того, как языки были определены, нажмите Далее, и теперь мы должны определить, для каких типов продуктов Microsoft должны быть получены обновления.

После определения продуктов нажмите «Далее», и теперь мы должны определить тип загружаемых обновлений (Критика, безопасность, драйверы и т. Д.).

Как только мы определим, какой тип обновлений будет загружен, нажмите «Далее», и вам необходимо будет определить, как выполнить синхронизацию, ручную или запланированную.

$config[ads_text6] not found

Когда мы определили тип синхронизации, нажмите Далее, и мы увидим, что процесс настройки WSUS с Центром обновления Windows завершен.

Мы должны помнить, чтобы активировать начальный блок «Начать синхронизацию», чтобы, как только мы покинем мастер, будут загружены соответствующие обновления, доступные для выбранных продуктов. Нажмите Next, и мы увидим, каков будет следующий шаг в WSUS.

Чтобы выйти из мастера, нажмите кнопку Готово. Мы видим в консоли WSUS доступные обновления в соответствии с заданной конфигурацией.

3. Назначьте компьютеры в WSUS Windows Server 2016

Как только эти параметры определены, мы идем в консоль WSUS и выбираем строку параметров, а в центральной панели выбираем вариант «Оборудование».

Будет отображен следующий мастер, в котором мы должны выбрать опцию «Использовать групповую политику или конфигурацию реестра оборудования». Нажмите на Принять.

Теперь идем в меню слева и правой кнопкой мыши нажимаем «Все команды» и там выбираем опцию «Добавить группу команд».

Появится следующее окно, в котором мы определим название новой группы. Нажмите OK, чтобы сохранить изменения.

4. Создайте групповую политику для WSUS в домене Windows Server 2016

Для этого мы получаем доступ к «диспетчеру групповой политики» и переходим в подразделение, в котором размещаются команды организации. Там мы будем щелкнуть правой кнопкой мыши и выбрать опцию «Создать объект групповой политики в этом домене и связать его здесь».

Далее появится следующее окно, в котором мы назначим имя групповой политике. Нажмите Принять.

Далее мы переходим к новой созданной политике, щелкаем правой кнопкой мыши и выбираем опцию Edit.

$config[ads_text5] not found

В отображаемом окне мы идем по следующему маршруту:

Конфигурация оборудования

Директивы

Административные шаблоны

Компоненты Windows

Центр обновления Windows

$config[ads_text5] not found

Следующая политика, которая должна быть отредактирована: «Укажите расположение службы Центра обновления Windows в интрасети», по которой мы будем указывать путь в политике, где будут получены обновления. Мы дважды щелкаем по этой политике, и в отображаемом окне мы активируем поле Включено, и в полях «Установить службу обновлений в интрасети для обнаружения обновлений» мы должны ввести следующий синтаксис. Нажмите «Применить», а затем «ОК», чтобы сохранить изменения.

$config[ads_text6] not found

Наконец, мы должны активировать политику «Включить получателей на стороне клиента», для этого мы активируем поле «Включено» и в поле «Имя группы адресатов для этого оборудования» указываем имя группы, которую мы создали в WSUS. Аналогичным образом примените и затем OK, чтобы сохранить изменения.

5. Настройте клиентский компьютер в Windows Server 2016

Для этого мы обращаемся к клиентскому компьютеру как администраторы домена, открываем командную строку и выполняем следующую команду в терминале:

Там мы должны проверить, что созданная политика находится под строкой «Прикладные объекты групповой политики». Далее мы введем следующую команду для инициализации Центра обновления Windows:

Wuauclt.exe / reportnow / detectnow

6. Как утвердить и внедрить обновление для клиента в Windows Server 2016

Для выполнения этой задачи мы должны вернуться к консоли WSUS и отобразить строку «Обновления» и выбрать одно из доступных обновлений, щелкнуть по нему правой кнопкой мыши и выбрать «Утвердить».

Будет отображен следующий мастер, в котором мы должны развернуть группу оборудования, которую мы создали, и выбрать опцию «Одобрено для установки».

Нажмите на Принять, и мы увидим, что он был одобрен правильно.

Затем мы можем вернуться к клиентской команде и снова искать обновления, и появятся одобренные нами обновления.

$config[ads_text6] not found

WSUS 2016 с SQL Server 2016. Развертывание и настройка

WSUS 2016 с SQL Server 2016

Развертывание и настройка

Если организация не будет устанавливать и поддерживать известный уровень доверия в своих операционных системах и прикладном программном обеспечении, то у нее может появиться ряд уязвимостей, что в случае взлома способно привести к потере дохода и интеллектуальной собственности. Чтобы минимизировать данную угрозу, необходимо правильно настроить системы, использовать последние версии программного обеспечения и установить рекомендуемые обновления программного обеспечения.

Начиная с версии Windows Server 2008 службы Windows Server Up Services представляют собой встроенную роль сервера.

Требования к системе

Минимальные аппаратные требования к WSUS:

Процессор: 1,4 ГГц на основе архитектуры x64 (рекомендуется 2 ГГц и быстрее).
Память: WSUS требует дополнительно 2 Гб ОЗУ, помимо ресурсов, необходимых серверу.
Доступное дисковое пространство: не менее 30 Гб (рекомендуется 40 Гб и выше).
Сетевой адаптер: 100 Мб/с и выше.

Требования к программному обеспечению:

Для просмотра отчетов WSUS требуется пакет Microsoft Report Viewer Redistributable 2012.

Требования к базе данных службы WSUS

Независимо от того, какие пакеты обновления связаны с каждой версией Microsoft SQL Server, службам WSUS требуется одна из следующих баз данных:

Внутренняя база данных Windows (WID)
Microsoft SQL Server 2016
Microsoft SQL Server 2014
Microsoft SQL Server 2012
Microsoft SQL Server 2008 R2

Службами WSUS поддерживаются следующие выпуски SQL Server:

Можно установить роль службы WSUS на сервере, отдельном от сервера базы данных. В таком случае необходимо соблюдать следующие дополнительные критерии:

Сервер баз данных нельзя настроить так, чтобы он выполнял роль контроллера домена.
Сервер службы WSUS не может запускать службы удаленных рабочих столов.
Сервер баз данных должен находиться в том же домене Active Directory, что и сервер службы WSUS, либо он должен иметь отношение доверия с доменом Active Directory сервера WSUS.
Сервер службы WSUS и сервер баз данных должны находиться в одном и том же часовом поясе либо быть синхронизированными с одним и тем же источником времени в формате UTC (среднее время по гринвичскому меридиану).

Выбор сценария развертывания службы WSUS

Служба WSUS имеет несколько вариантов развертывания:

Простое развертывание службы WSUS
Несколько серверов WSUS
Отключенный WSUS-сервер
Иерархии серверов WSUS
Автономный режим
Режим реплики
Филиалы
Балансировка сетевой нагрузки

В данной статье рассмотрим простое развертывание службы WSUS (см. рис. 1) как самое распространенное в организациях, об остальных вариантах можно подробно почитать в статье Microsoft [1].

Рисунок 1. Простой (базовый) процесс развертывания WSUS

Служба WSUS использует два типа хранения:

Базу данных для хранения настроек WSUS, метаданных обновлений и сведения о клиентских компьютерах, обновлениях, взаимодействиях.
Локальную файловую систему (локальная директория), чтобы хранить файлы обновлений.

Обновления состоят из двух частей: метаданные, которые описывают обновление и файлы, необходимые для установки обновления. Размер метаданных обновлений обычно намного меньше, чем размер самого обновления, а хранятся они вбазе данных WSUS. Файлы обновлений хранятся на локальном сервере WSUS в специально указанной директории.

Управление обновлениями – процесс управления развертыванием и обслуживанием промежуточных выпусков программного обеспечения в рабочей среде. Это помогает поддерживать производительность, устранять уязвимости иобеспечивать стабильность рабочей среды

Windows Server Update Services (WSUS) – сервер обновлений операционных систем и продуктов Microsoft. С помощью WSUS администраторы могут управлять обновлениями на компьютерах в сети

Начиная с версии Windows Server 2008 службы Windows Server Update Services представляют собой встроенную роль сервера.

Требования к системе

Минимальные аппаратные требования к WSUS:

Процессор: 1,4 ГГц на основе архитектуры x64 (рекомендуется 2 ГГц и быстрее).
Память: WSUS требует дополнительно 2 Гб ОЗУ, помимо ресурсов, необходимых серверу.
Доступное дисковое пространство: не менее 30 Гб (рекомендуется 40 Гб и выше).
Сетевой адаптер: 100 Мб/с и выше.

Требования к программному обеспечению:

Для просмотра отчетов WSUS требуется пакет Microsoft Report Viewer Redistributable 2012.

Требования к базе данных службы WSUS

Внутренняя база данных Windows (WID)
Microsoft SQL Server 2016
Microsoft SQL Server 2014
Microsoft SQL Server 2012
Microsoft SQL Server 2008 R2

Службами WSUS поддерживаются следующие выпуски SQL Server:

Сервер баз данных нельзя настроить так, чтобы он выполнял роль контроллера домена.
Сервер службы WSUS не может запускать службы удаленных рабочих столов.
Сервер баз данных должен находиться в том же домене Active Directory, что и сервер службы WSUS, либо он должен иметь отношение доверия с доменом Active Directory сервера WSUS.
Сервер службы WSUS и сервер баз данных должны находиться в одном и том же часовом поясе либо быть синхронизированными с одним и тем же источником времени в формате UTC (среднее время по гринвичскому меридиану).

Выбор сценария развертывания службы WSUS

Служба WSUS имеет несколько вариантов развертывания:

Простое развертывание службы WSUS
Несколько серверов WSUS
Отключенный WSUS-сервер
Иерархии серверов WSUS
Автономный режим
Режим реплики
Филиалы
Балансировка сетевой нагрузки

Рисунок 1. Простой (базовый) процесс развертывания WSUS

Служба WSUS использует два типа хранения:

Базу данных для хранения настроек WSUS, метаданных обновлений и сведения о клиентских компьютерах, обновлениях, взаимодействиях.
Локальную файловую систему (локальная директория), чтобы хранить файлы обновлений.

PDF-версию данного номера можно приобрести в нашем магазине.

Ключевые слова: Windows server, WSUS, безопасность, обновление.

Читайте также: