Доля компьютеров с установленными или неприменимыми обновлениями wsus

Обновлено: 04.07.2024

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

    .
  1. Настраиваем статический IP-адрес.
  2. При необходимости, добавляем компьютер в домен.
  3. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

Запуск диспетчера серверов в Windows Server

В правой части открытого окна нажимаем Управление - Добавить роли и компоненты:

Переходим к добавлению ролей Windows Server

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

Пропускаем стрницу приветствия

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Устанавливаем роли и компоненты

Далее выбираем сервер из списка, на который будем ставить WSUS:

Выбор целевого сервера для развертывания WSUS

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services - в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Выбираем для установки роль WSUS

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Никаких дополнительный компонентов устанавливать не нужно

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Предварительная настройка WSUS

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Выбор ролей службы WSUS

Прописываем путь, где WSUS будет хранить файлы обновлений:

Указываем путь, по которому WSUS должен хранить файлы обновлений

* в нашем примере был прописан путь C:\WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Переходим к настройке IIS

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

Не меняем настройки ролей служб при установки IIS

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Подтверждаем намерение установить роль WSUS

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Дожидаемся окончания установки WSUS

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства - Службы Windows Server Update Services:

Среди средств управления сервером выбираем Службы Windows Server Update Services

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

Завершаем установку WSUS, подтвердив путь хранения файлов обновлений

. и ждем завершения настройки:

Дожидаемся окончания постустановки

Откроется стартовое окно мастера настройки WSUS — идем далее:

Начальное окно при настройке WSUS

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Соглашаемся или отказывается принять участие в улучшении продуктов Microsoft

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

Настройка источника обновлений для WSUS

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

Настройка прокси-сервера

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

Подключаемся к серверу обновлений для получения списка обновлений

. и дожидаемся окончания процесса:

Ждем завершения подключения WSUS к центру обновлений

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Выбор языковых версий обновлений

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

Отмечаем программы Microsoft для обноления

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

Выбор классов обновлений для загрузки WSUS

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Настройка синхронизации обновлений между WSUS и настроенным центром обновлений

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

Завершение настройки WSUS

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Переход к установке ролей и компонентов

Выбор для установки .NET Framework 3.5

Продолжаем установку и завершаем ее.

Загружаем Microsoft Report Viewer

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры - кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров. :

Переходим к добавлению группы компьютеров

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

Пример созданных групп компьютеров в WSUS

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры - Автоматические утверждения:

Переходим к настройкам автоматического утверждения обновлений

Кликаем по Создать правило:

Переходим к созданию правил

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

  • Для тестовой группы применять все обновления сразу после их выхода.
  • Для рабочих станций и серверов сразу устанавливать критические обновления.
  • Для рабочих станций и серверов применять обновления спустя 7 дней.
  • Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры - Компьютеры:

Переходим к параметрам компьютеров в WSUS

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Использовать на компьютерах групповую политику или параметры реестра

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

  1. Для тестовой группы.
  2. Для серверов.
  3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера - Политики - Административные шаблоны - Компоненты Windows - Центр обновления Windows. Стоит настроить следующие политики:

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate. Нам необходимо создать следующие ключи:

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Polices\Microsoft\Windows\WindowsUpdate\AU. Если он отсутствует, создаем вручную. После нужно создать ключи:

  • AUOptions, REG_DWORD — значение 2
  • AutoInstallMinorUpdates, REG_DWORD — значение 0
  • NoAutoUpdate, REG_DWORD — значение 0
  • ScheduledInstallDay, REG_DWORD — значение 0
  • ScheduledInstallTime, REG_DWORD — значение 3
  • UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры - Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Для просмотра обновлений и управления ими можно использовать консоль WSUS.

Просмотр обновлений

На странице обновления можно выполнить следующие действия.

Просмотр обновлений. В обзоре обновления отображаются обновления, которые были синхронизированы с источника обновлений на сервер WSUS и доступны для утверждения.

Фильтровать обновления. В представлении по умолчанию можно фильтровать обновления по состоянию утверждения и состоянию установки. Значение по умолчанию — для неутвержденных обновлений, необходимых некоторым клиентам или для которых произошел сбой установки на некоторых клиентах. Вы можете изменить это представление, изменив фильтры состояния утверждения и состояния установки, а затем нажав кнопку Обновить.

Создание новых представлений обновления. На панели действия выберите пункт новое представление обновлений. Можно отфильтровать обновления по классификации, продукту, группе, для которой они были утверждены, и дате синхронизации. Список можно отсортировать, щелкнув соответствующий заголовок столбца в заголовке окна.

Выполните поиск обновлений. Можно выполнить поиск отдельного обновления или набора обновлений по названию, описанию, статье базы знаний или номеру центра Microsoft Security Response Center для обновления.

Просмотр сведений, состояния и журнала редакций для каждого обновления.

Утвердите и отклоните обновления.

Просмотр обновлений

В консоли администрирования WSUS разверните узел обновления, а затем щелкните все обновления.

По умолчанию обновления отображаются с заголовком, классификацией, установленным/неприменимым процентом и состоянием утверждения. Если вы хотите отобразить другие или другие свойства обновления, щелкните правой кнопкой мыши заголовок столбца и выберите соответствующие столбцы.

Чтобы выполнить сортировку по различным критериям, таким как состояние загрузки, заголовок, классификация, Дата выпуска или состояние утверждения, щелкните соответствующий заголовок столбца.

Фильтрация списка обновлений, отображаемых на странице «обновления»

В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.

Создание нового представления обновлений на WSUS

В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.

На панели действия выберите пункт новое представление обновлений.

В окне Добавление представления обновлений в разделе Шаг 1. Выбор свойстввыберите свойства, необходимые для фильтрации представления обновлений.

Выберите обновления для определенной классификации, чтобы отфильтровать обновления, относящиеся к одной или нескольким классификациям обновлений.

Выберите обновления для конкретного продукта, чтобы отфильтровать обновления для одного или нескольких продуктов или семейств продуктов.

Выберите обновления утверждены для определенной группы, чтобы отфильтровать обновления, утвержденные для одной или нескольких групп компьютеров.

Выберите обновления, которые были синхронизированы в течение определенного периода времени для фильтрации обновлений, синхронизируемых в определенное время.

Выберите обновления обновления WSUS, чтобы отфильтровать обновления WSUS.

В разделе Шаг 2. изменение свойствщелкните подчеркнутые слова, чтобы выбрать нужные значения.

В разделе Шаг 3. Укажите имя, присвойте новому представлению имя.

Новое представление появится на панели древовидного представления в разделе обновления. Он будет отображаться, как стандартные представления, в центральной области при выборе.

Поиск обновления

Выберите узел обновления (или любой узел под ним).

На панели действия нажмите кнопку Поиск.

В окне поиска на вкладке обновления введите условия поиска. Можно использовать текст из полей номер статьи заголовок, Описаниеи База знаний Майкрософт (KB) . Каждый из этих элементов является свойством, указанным на вкладке сведения в свойствах обновления.

Просмотр свойств обновления

В консоли администрирования WSUS разверните узел обновленияи выберите пункт все обновления.

В списке обновлений щелкните обновление, которое требуется просмотреть.

В нижней области отобразятся различные разделы свойств:

В строке заголовка отображается заголовок обновления. например, обновление безопасности для проигрыватель Windows Media 9 (KB911565).

В разделе Состояние отображается состояние установки обновления (компьютеры, на которых он должен быть установлен, компьютеры, на которых он был установлен, а также компьютеры, на которых он был установлен или неприменим), и сведения об общей информации (KB и номер версии MSRC, Дата выпуска). и т. д.).

В разделе Описание приводится краткое описание обновления.

В разделе Дополнительные сведения отображаются следующие сведения.

Режим установки обновления (независимо от того, является ли он съемным, запрашивает перезагрузку, требует ввода данных пользователем или должен быть установлен исключительно).

Содержит ли обновление условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт

Продукты, к которым применяется обновление

Обновления, заменяющие это обновление

Обновления, заменяемые этим обновлением

Языки, поддерживаемые обновлением

Обратите внимание, что эту процедуру можно выполнить только для одного обновления за раз. Если выбрано несколько обновлений, на панели « Свойства » будет отображаться только первое обновление в списке.

Управление обновлениями с помощью WSUS

Обновления используются для обновления или предоставления полной замены файла для программного обеспечения, установленного на компьютере. Каждое обновление, доступное на Центр обновления Майкрософт, состоит из двух компонентов:

Метаданные: предоставляет сведения об обновлении. Например, метаданные предоставляют информацию о свойствах обновления, что позволяет узнать, для чего это обновление полезно. Метаданные также содержат условия лицензионного соглашения на использование программного обеспечения корпорации Майкрософт. Пакет метаданных, который скачивается для обновления, обычно значительно меньше пакета файла обновления.

Файлы обновления. фактические файлы, необходимые для установки обновления на компьютере.

Когда обновления синхронизируются на сервере WSUS, файлы метаданных и файлы обновлений хранятся в двух разных расположениях. Метаданные хранятся в базе данных WSUS. Файлы обновления могут храниться либо на сервере WSUS, либо на Центр обновления Майкрософт серверах в зависимости от того, как настроены параметры синхронизации. Если вы решили хранить файлы обновления на Центр обновления Майкрософт серверах, то во время синхронизации будут скачаны только метаданные. Вы утверждаете обновления с помощью консоли WSUS, а затем клиентские компьютеры получают файлы обновления непосредственно из Центр обновления Майкрософт во время установки. Дополнительные сведения о параметрах хранения обновлений см. в разделе 1,3. Выберите стратегию хранилища WSUS из шага 1. Подготовка к развертыванию WSUS в разделе Руководство по развертыванию WSUS.

Вы будете настраивать и выполнять синхронизацию, добавлять компьютеры и группы компьютеров, а также регулярно развертывать обновления. В следующем списке приведены примеры общих задач, которые можно предпринять при обновлении компьютеров с помощью WSUS.

Определите общий план управления обновлениями на основе топологии сети и пропускной способности, потребностей компании и организационной структуры.

Следует ли настраивать иерархию серверов WSUS и как должна быть структурирована иерархия.

Какие группы компьютеров следует создать и как назначать им компьютеры (на стороне сервера или на стороне клиента).

база данных, используемая для метаданных обновления (например, внутренняя база данных Windows, SQL Server).

Должны ли обновления синхронизироваться автоматически и в какое время.

Задайте параметры синхронизации, такие как источник обновления, классификация продукта и обновления, язык, параметры подключения, место хранения и расписание синхронизации.

Получайте обновления и связанные метаданные на сервере WSUS с помощью синхронизации из Центр обновления Майкрософт или вышестоящего сервера WSUS.

Утвердите или отклоните обновления. Имеется возможность разрешить пользователям устанавливать обновления (если они являются локальными администраторами на клиентских компьютерах).

Настройка автоматических утверждений. Вы также можете указать, следует ли включить автоматическое утверждение редакций для существующих обновлений или утвердить редакции вручную. Если вы решите утвердить редакции вручную, сервер WSUS продолжит использовать старую версию до тех пор, пока новая редакция не будет утверждена вручную.

Проверьте состояние обновлений. Вы можете просмотреть состояние обновления, напечатать отчет о состоянии или настроить электронную почту для обычных отчетов о состоянии.

Обновление продуктов и классификаций

Обновления, доступные на Центр обновления Майкрософт, отличаются по продуктам (или семейству продуктов) и классификации.

Продукт — это конкретный выпуск операционной системы или приложения, например Windows Server 2012. Семейство продуктов представляет собой базовую операционную систему или приложение, от которых происходят отдельные продукты. примером семейства продуктов является Microsoft Windows, из которого Windows Server 2012 является членом. Можно выбрать продукты или семейства продуктов, для которых сервер должен синхронизировать обновления. Можно указать семейство продуктов или отдельные продукты в семействе. При выборе любого продукта или семейства продуктов будут обновлены текущие и будущие версии продукта.

Классификации обновлений представляют тип обновления. для любого конкретного продукта или семейства продуктов обновления могут быть доступны в нескольких классификациях обновлений (например, Windows 7 критические обновления и обновления для системы безопасности). В следующей таблице перечислены классификации обновлений.

Классы обновлений Описание
Критические обновления Широко выпущенные исправления для конкретных проблем, устраняющих критические ошибки, не связанные с безопасностью.
Обновления определений Обновления для определений вирусов или других файлов определений.
Драйверы Программные компоненты, разработанные для поддержки нового оборудования.
пакеты дополнительных компонентов; Новые выпуски функций, которые обычно сводятся в продукты в следующем выпуске.
Обновление системы безопасности Широко выпускают исправления для конкретных продуктов, устраняя проблемы безопасности.
пакеты обновления; Совокупные наборы всех исправлений, обновлений для системы безопасности, критических обновлений и обновлений, созданных с момента выпуска продукта. Пакеты обновления могут также содержать ограниченное количество изменений или функций проекта, запрошенных клиентом.
Инструменты Служебные программы и функции, помогающие выполнить задачу или набор задач.
накопительные пакеты обновления; Накопительный набор исправлений, обновлений для системы безопасности, критических обновлений и других обновлений, Объединенных в пакет для простоты развертывания. сводный показатель обычно предназначен для определенной области, например безопасности, или конкретного компонента, например службы IIS (IIS).
Обновления Широко выпущенные исправления для конкретных проблем, устраняющих некритические ошибки, связанные с безопасностью.

Значки, используемые для обновлений в Windows Server Update Services

Обновления в службах WSUS представлены одним из следующих значков. Для просмотра этих значков необходимо включить столбец замены в консоли Update Services.

Нет значка

Обновление не имеет отношения замены с другим обновлением.

Рабочие проблемы:

Рабочие проблемы отсутствуют.

Значок замены


Это обновление заменяет другие обновления.

Рабочие проблемы:

Рабочие проблемы отсутствуют.

Значок замененного & замещающего значка


Это обновление заменено другим обновлением и заменяет другие обновления.

Рабочие проблемы:

При возможности замените эти обновления заменяемыми обновлениями.

Значок «Заменено»


Это обновление заменено другим обновлением.

date

12.02.2019

directory

Windows Server 2012 R2, Windows Server 2016

comments

комментариев 18

Довольно долго статья об методиках и особенностях утверждения (одобрения) обновлений на сервере Windows Server Update Services (WSUS) у меня лежала в черновиках, и по настойчивым просьбам одного из постоянных подписчиках я решил ее закончить и опубликовать.

Одна из основных задач администратора WSUS является управление обновлениями, одобренными для установки на компьютерах и сервера Windows. Сервер WSUS после установки и настройки начинает регулярно скачивать обновления для выбранных продуктов с серверов Microsoft Update.

Целевые группы компьютеров WSUS

После того, как обновления попали в базу данных WSUS, они могут быть установлены на компьютеры. Но, прежде чем компьютеры начнут качать и ставить новые обновления, их должен одобрить (или отклонить) администратор WSUS. Важно иметь в виду, что в большинстве случаев перед установкой обновлений на продуктивные системы их нужно обязательно тестировать на нескольких типовых рабочих станциях и серверах.

Для организации процесса тестирования и установки обновления на компьютерах и серверах домена администратор WSUS должен создать группы компьютеров. В зависимости от задач бизнеса, типов рабочих мест пользователей и категорий серверов можно создавать различные группы компьютеров. В общем случае в консоли WSUS в разделе Computers -> All computers имеет смысл создать следующие группы на WSUS:

  1. Test_Srv_WSUS — группа с тестовыми серверами (некритичные для бизнеса сервера и выделенные сервера с тестовой средой, идентичной продуктивной);
  2. Test_Wks_WSUS — тестовые рабочие станции;
  3. Prod_Srv_WSUS — продуктивные сервера Windows;
  4. Prod_Wks_WSUS — все рабочие станции пользователей.

группы компьютеров в консоли обновления WSUS

Данные группы компьютеров можно наполнить серверами вручную (обычно это имеет смысл для тестовых групп) либо вы можете привязать компьютеры и сервера к группам WSUS с помощью групповой политики Enable client-side targeting (Разрешить клиенту присоединение к целевой группе).

После того, как группы созданы, вы можете одобрить для них обновления. Есть два способа утверждения обновлений для установки на компьютерах: ручное и автоматическое обновление.

Ручное одобрение и установка обновлений через WSUS

Откройте консоль управления WSUS (Update Services) и выберите секцию Updates. В ней отображается результирующий отчет о доступных обновлениях. В этом разделе по-умолчанию присутствую 4 подраздела: All Updates, Critical Updates, Security Updates и WSUS Updates. Вы можете одобрить конкретное обновление к установке, найдя его в одном из этих разделов (вы можете воспользоваться поиском по имени KB в консоли поиска обновлений или номеру бюллетеня безопасности Microsoft), или же можно отсортировать обновления по дате выпуска, или номерам.

поиск обновления на wsus сервере

одобрения обнволения wsus к установке

В появившемся окне выберите группу компьютеров WSUS, для которых нужно одобрить установку данного обновления (например, Test_Srv_WSUS). Выберите пункт Approve for Install. Можно одобрить обновление сразу для всех групп компьютеров, выбрав пункт All Computers, либо для каждой группы индивидуально. Например, сначала вы можете одобрить установку обновлений на группе тестовых компьютеров, а через 4-7 дней, если проблем не выявлено, одобрите установку обновления на все компьютеры.

Approve for Install - одобрить обновление wsus для группы

Появится окошко с результатами процесса утверждения обновления. Если обновление успешно одобрено, появится надпись Success. Закройте это окно.

approving security update

Как вы поняли, это ручная схема одобрения конкретных обновлений. Она достаточно трудоемка, т.к. каждое обновление нужно одобрять индивидуально. Если вы не хотите одобрять обновления вручную, вы можете создать правила автоматического одобрения обновлений (auto-approval).

Настройка правил автоматического одобрения обновлений на WSUS

Автоматическое одобрение позволяет сразу, без вмешательства администратора, одобрить новые обновления, которые появились на сервере WSUS и назначить их для установки на клиентов. Автоматическое одобрение обновлений WSUS основано на правилах одобрения.

В консоли управления WSUS откройте раздел Options и выберите Automatic Approvals.

В появившемся окне на вкладке Update Rules указано только одно правило с именем Default Automatic Approval Rule (по умолчанию оно отключено).

Чтобы создать новое правило, нажмите на кнопку New Rule.

правила автоматического одобрения обновлений wsus

Правило состоит из 3 шагов. Вам нужно выбрать необходимые свойства обновления, выбрать на какие группы компьютеров WSUS нужно одобрить обновление и имя правила.

автоматическое одобрение обновлений на тестовых компьютерах

Щелкая на каждую синюю ссылку, откроется соответствующее окно свойств.

одобрение обновлений безопасности Critical Updates, Security Updates, Definition Updates

Например, вы можете включить автоматическое одобрение обновлении безопасности для тестовых серверов. Для этого в секции Choose Update Classifications выберите пункт Critical Updates, Security Updates, Definition Updates (остальные галки снимите). Затем в диалоге Approve the update for выберите группу WSUS с именем Test_Srv_WSUS.

новое правило автообновления

На вкладке Advanced вы можете выбрать, нужно ли автоматически одобрять обновления для самой службы WSUS и нужно ли дополнительно одобрять обновления, которые были изменены Microsoft. Обычно все галки на этой вкладке включены.

одобрение обновлений для службы wsus

Теперь, когда в очередной второй вторник месяца ваш сервер WSUS закачает новые обновления (или при ручном импорте обновлений), они будут одобрены для автоматической установки на тестовой группе. Клиенты Windows по умолчанию выполняют сканирование новых обновлений на сервере WSUS каждые 22 часа. Чтобы критичные компьютеры получали новые обновления как можно скорее, вы можете изменить частоту таких синхронизаций с помощью политики Automatic Update detection frequency до нескольких часов (также вы можете выполнить сканирование обновлений вручную с помощью модуля PSWindowsUpdate). При большом количестве клиентов на сервере WSUS (более 2000 компьютеров), производительность сервера обновлений со стандартными настройками может оказаться недостаточной, поэтому ее необходимо оптимизировать (см. статью).

Отзыв установленных обновлений на WSUS

Если одно из одобренных обновлений оказалось проблемным и вызывает ошибки на компьютерах или серверах, администратор WSUS может его отозвать. Для этого нужно найти обновление в консоли WSUS и выбрать Decline. Затем укажите

Decline - отзыв обновления wsus

Теперь выберите группу WSUS, для которой нужно отменить установку и выбрать Approved for Removal. Через некоторое время обновление будет удалено на клиенте (подробнее процесс описан в статье Способы удаления обновлений Windows.

Методика одобрения обновлений WSUS для продуктивных сред

После того, как вы установили и протестировали обновления на тестовых группах и убедились, что пробам нет (обычно на тестирование достаточно 3-6 дней), вы можете одобрить новые обновления для установки на продуктивные системы. Также нельзя автоматически утвердить обновления с некоторой задержкой (например, через 7 дней) на продуктивные системы.

К сожалению, консоль WSUS не представляет возможности скопировать все одобренные обновления из одной группы компьютеров WSUS в другую. Вы можете по одному искать новые обновления и вручную утверждать их для установки на продуктивнее группы серверов и компьютеров. Это довольно долго и утомительно.

Для себя я сделал небольшой PowerShell скрипт, который собирает список обновлений, одобренных для тестовой группы и автоматически одобряет все обнаруженные обновления на продуктивную группу (см. статью Копирование одобренных обновлений между группами WSUS). Теперь я запускаю этот скрипт через 7 дней после установки обновлений и тестирования обновлений на тестовых группах. Если среди патчей обнаружились проблемные, их необходимо отклонить на тестовой группе.

У всех бывали ситуации, когда что-нибудь переставало работать. В данной статье речь пойдет о WSUS (более подробную информации о WSUS можно получить здесь и здесь). А точнее о том, как заставить клиентов WSUS (т.е. наши с вами компьютеры) заново получать обновления после переноса или восстановления существующего сервера обновлений.

Итак, ситуация следующая

Сдох сервер WSUS. Точнее RAID-контроллер аж 2000 года выпуска. Но радости этот факт не прибавил. После непродолжительной возни (с попытками восстановить RAID, загубленный помирающим контроллером), было принято решение послать все развернуть новый WSUS-сервер.

В итоге мы получили работающий WSUS, на который почему-то не коннектились клиенты.
Моменты: WSUS привязан с FQDN через внутренний DNS-сервер, WSUS-сервер прописан в групповых политиках и распространяется на клиентов через AD, настройки для сервера по-умолчанию, перед началом всех действий обновите сам WSUS и выполните синхронизацию обновлений.

После анализа ситуации, было выявлено несколько ключевым моментов

  1. Клинч клиента (речь о wuauclt) при попытке соединиться с SID старого сервера WSUS.
  2. Проблема с неустановленными обновлениями, скачанными со старого WSUS-сервера.
  3. Парковка служб влияющих на работу wuauclt (речь о wuauserv, bits и cryptsvc). Парковка произошла по разным причинам, которые детально не анализировались.

Паркуем службу сервера обновлений, чистим дескриптор безопасности службы связи с WSUS, удаляем имеющиеся обновления от предыдущего WSUS, чистим реестр от упоминаний о предыдущем WSUS, стартуем службы автоматического обновления (wuauserv), фоновую интеллектуальную службу передачи (bits) и службу криптографии (cryptsvc), в самом конце принудительно стукаемся в WSUS с обнулением авторизации, обнаружением нового WSUS и генерацией отчета на сервер.

И как всегда: все действия описанные выше и ниже вы выполняете на свой страх и риск. Пожалуйста, удостоверьтесь в том что все необходимые данные сохранены до выполнения скрипта.

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).


В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

создание новой группы на сервере WSUS

настройка опций сервера WSUS

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

редактор локальной групповой политики

Нам надо настроить следующие политики:

указываем размещение сервера WSUS

задаем клиенту группу на сервере WSUS

настройка автоматического обновления

настройка частоты поиска обновлений

перенос запланированных автоматических установок обновлений

настройка опций перезагрузки

Реестр

Теперь те же настройки произведем с помощью правки реестра.

настройка параметров обновления в реестре

Далее в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU создаем ключи:

настройка параметров автоматического обновления в реестре

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

Читайте также: