Где в реестре прописан сервер обновлений windows

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления.  Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS  размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

Далее в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU создаем ключи:

″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS.  Если задано нулевое значение, то обновление производится с Microsoft Update;
″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена;
″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов;
″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений;
″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера;
″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

• выполнить в консоли cmd команду net stop wuauserv, чтобы остановить службу автоматического обновления;
• запустить regedit и перейти в ветку реестра HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate;
• удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть);
• удалить всё содержимое папки %WinDir%SoftwareDistribution (неофициальная рекомендация);
• в консоли выполнить команду net start wuauserv, чтобы запустить службу автоматического обновления;
• в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут);
• если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow. Обычно одного повтора достаточно, но может потребоваться и больше;
• зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.

В одной из предыдущих статей мы подробно описали процедуру установки сервера WSUS на базе Windows Server 2012 R2 / 2016. После того, как вы настроили сервер, нужно настроить Windows-клиентов (сервера и рабочие станции) на использование сервера WSUS для получения обновлений, чтобы клиенты получали обновления с внутреннего сервера обновлений, а не с серверов Microsoft Update через Интернет. В этой статье мы рассмотрим процедуру настройки клиентов на использование сервера WSUS с помощью групповых политик домена Active Directory.

Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers) и для рабочих станций (Workstations). Эти две группы нужно создать в консоли WSUS в секции All Computers.

Совет. Политика использования сервера обновлений WSUS клиентами во многом зависит от организационной структуры OU в Active Directory и правил установки обновлении в организации. В этой статье мы рассмотрим всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy.

Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows).

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью модуля PSWindowsUpdate) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

• Configure Automatic Updates (Настройка автоматического обновления): Enable. 3 – Auto download and notify for install (Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их появлении;
• Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable. Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений): http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server (Укажите сервер статистики в интрасети): http://srv-wsus.winitpro.ru:8530 – здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
• No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя): Enable – запретить автоматическую перезагрузку при наличии сессии пользователя;
• Enable client-side targeting (Разрешить клиенту присоединение к целевой группе): Enable. Target group name for this computer (Имя целевой группу для данного компьютера): Servers – в консоли WSUS отнести клиенты к группе Servers.

Примечание. При настройке политики обновления советуем внимательно познакомиться со всеми настройками, доступными в каждой из опций раздела GPO Windows Update и задать подходящие для вашей инфраструктуры и организации параметры.

Политика установки обновлений WSUS для рабочих станций

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

• Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled — запрет на немедленную установку обновлений при их получении;
• Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
• Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
• Target group name for this computer: Workstations – в консоли WSUS отнести клиента к группе Workstations;
• No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений;
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://srv-wsus.winitpro.ru:8530, Set the intranet statistics server: http://srv-wsus.winitpro.ru:8530 –адрес корпоративного WSUS сервера.

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update (ссылка).

Совет. Чтобы улучшить «уровень пропатченности» компьютеров в организации, в обоих политиках можно настроить принудительный запуск службы обновлений (wuauserv) на клиентах. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU в домене AD максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Совет. Мы рассматриваем лишь один довольно простой вариант привязки политик WSUS к клиентам. В реальных организациях возможно привязать одну политику WSUS на все компьютеры домена (GPO с настройками WSUS вешается на корень домена), разнести различные виды клиентов по разным OU (как в нашем примере – мы создали разные политики WSUS для серверов и рабочих станций), в больших распределенных доменах можно привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные способы.

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Совет. Не забудьте про отдельную OU с контроллерами домена (Domain Controllers), в большинстве случаев на этот контейнер следует привязать «серверную» политику WSUS.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD WKS, в котором находятся рабочие станции Windows.

Осталось обновить групповые политики на клиентах для привязки клиента к серверу WSUS:

gpupdate /force

Все настройки системы обновлений Windows, которые мы задали групповыми политиками должны появится в реестре клиента в ветке HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate.

Данный reg файл можно использовать для переноса настроек WSUS на другие компьютеры, на которых не удается настроить параметры обновлений с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
"WUServer"="http://srv-wsus.winitpro.ru:8530"
"WUStatusServer"="http://srv-wsus.winitpro.ru:8530"
"UpdateServiceUrlAlternate"=""
"TargetGroupEnabled"=dword:00000001
"TargetGroup"="Servers"
"ElevateNonAdmins"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
"NoAutoUpdate"=dword:00000000 –


"AUOptions"=dword:00000003
"ScheduledInstallDay"=dword:00000000
"ScheduledInstallTime"=dword:00000003
"ScheduledInstallEveryWeek"=dword:00000001
"UseWUServer"=dword:00000001
"NoAutoRebootWithLoggedOnUsers"=dword:00000001


Также удобно контролировать применённые настройки WSUS на клиентах с помощью rsop.msc.

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) нужно проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса). Т.к. мы политиками привязали компьютеры и серверы к различным группам WSUS, они будут получать только обновления, одобренные к установке на соответствующие группы WSUS.

В следующей статье мы опишем особенности одобрения обновлений на сервере WSUS. Также рекомендуем ознакомиться со статьей о переносе одобренных обновлений между группами на WSUS сервере.

Как получать обновления windows 10 в обход домена?

На работе комп (win 10 corp/pro) введен в домен. Доменные настройки и обновления винды есть только для XP и win7. Соответственно win10 тоже настроился на локальный wsus, на котором для него ничего нет. Как можно (через реестр или как) указать системе обычные сервера обновлений через инет, а не локальные, не выводя из домена?
Переделать доменные настройки не предлагать 🙂

p.s. почему то просьба НЕ предлагать переделать настройки домена никого не волнует. я НЕ администратор данного домена, он находиться в другом городе и администрируется другими людьми (я лишь нахожусь в небольшом филиале и не имею к нему ни малейшего доступа). у нас официально не используется win 10 в работе и поэтому у нас и НЕ БУДЕТ в ближайшее время изменений в wsus. это не моя прихоть! я лишь сам интересуюсь десяткой и работаю на ней, так как сам по себе домен и большинство настроек он нормально принимает как и win 7

wsus, на котором для него ничего нет.

Сообщите об этом администратору WSUS. Необходимо включить соответствующую категорию обновлений для синхронизации.

Или скачивать их Каталог Центра обновления Майкрософт. Поскольку для Windows 10 выпускается одно кумулятивное обновление в месяц (редко, обновление безопасности, отдельно — но входящее в следующее кумулятивное) это не доставит больших хлопот.
Журнал обновлений Windows 10

А ведь сразу даже в голову не пришло:

указать системе обычные сервера обновлений через инет, а не локальные

Источник

Установка и настройка сервера обновлений WSUS

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

. и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

. и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/en-us/download/details.aspx?id=3841 и скачиваем установочный пакет:

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdate. Нам необходимо создать следующие ключи:

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdateAU. Если он отсутствует, создаем вручную. После нужно создать ключи:

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Источник

Настройка автоматического обновления компьютеров в рабочих группах

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления. Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

Далее в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU создаем ключи:

″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS. Если задано нулевое значение, то обновление производится с Microsoft Update;
″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена;
″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов;
″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений;
″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера;
″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

Источник

Настройка клиентов WSUS с помощью групповых политик

В одной из предыдущих статей мы подробно описали процедуру установки сервера WSUS на базе Windows Server 2012 R2 / 2016. После того, как вы настроили сервер, нужно настроить Windows-клиентов (сервера и рабочие станции) на использование сервера WSUS для получения обновлений, чтобы клиенты получали обновления с внутреннего сервера обновлений, а не с серверов Microsoft Update через Интернет. В этой статье мы рассмотрим процедуру настройки клиентов на использование сервера WSUS с помощью групповых политик домена Active Directory.

Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).

Предполагается, что в нашей сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers) и для рабочих станций (Workstations). Эти две группы нужно создать в консоли WSUS в секции All Computers.

В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).

Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика WSUS для серверов Windows

Начнем с описания серверной политики ServerWSUSPolicy.

В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Клиент WSUS должен просто скачать доступные обновления на диск, отобразить оповещение о наличии новых обновлений в системном трее и ожидать запуска установки администратором (ручной или удаленной с помощью модуля PSWindowsUpdate) для начала установки. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:

Политика установки обновлений WSUS для рабочих станций

Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).

В данной GPO (WorkstationWSUSPolicy) мы указываем:

В Windows 10 1607 и выше, несмотря на то, что вы указали им получать обновления с внутреннего WSUS, все еще могут пытаться обращаться к серверам Windows Update в интернете. Эта «фича» называется Dual Scan. Для отключения получения обновлений из интернета нужно дополнительно включать политику Do not allow update deferral policies to cause scans against Windows Update (ссылка).

Назначаем политики WSUS на OU Active Directory

Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU в домене AD максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и WKS (Workstations –компьютеры пользователей).

Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.

Точно таким же способом нужно назначить политику WorkstationWSUSPolicy на контейнер AD WKS, в котором находятся рабочие станции Windows.

Осталось обновить групповые политики на клиентах для привязки клиента к серверу WSUS:

Все настройки системы обновлений Windows, которые мы задали групповыми политиками должны появится в реестре клиента в ветке HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate.

Данный reg файл можно использовать для переноса настроек WSUS на другие компьютеры, на которых не удается настроить параметры обновлений с помощью GPO (компьютеры в рабочей группе, изолированных сегментах, DMZ и т.д.)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
«WUServer»=»http://srv-wsus.winitpro.ru:8530»
«WUStatusServer»=»http://srv-wsus.winitpro.ru:8530»
«UpdateServiceUrlAlternate»=»»
«TargetGroupEnabled»=dword:00000001
«TargetGroup»=»Servers»
«ElevateNonAdmins»=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
«NoAutoUpdate»=dword:00000000 –
«AUOptions»=dword:00000003
«ScheduledInstallDay»=dword:00000000
«ScheduledInstallTime»=dword:00000003
«ScheduledInstallEveryWeek»=dword:00000001
«UseWUServer»=dword:00000001
«NoAutoRebootWithLoggedOnUsers»=dword:00000001

Также удобно контролировать применённые настройки WSUS на клиентах с помощью rsop.msc.

И через некоторое время (зависит от количества обновлений и пропускной способности канала до сервера WSUS) нужно проверить в трее наличие всплывающего оповещений о наличии новых обновлений. В консоли WSUS в соответствующих группах должны появиться клиенты (в табличном виде отображается имя клиента, IP, ОС, процент их «пропатченности» и дата последнего обновлений статуса). Т.к. мы политиками привязали компьютеры и серверы к различным группам WSUS, они будут получать только обновления, одобренные к установке на соответствующие группы WSUS.

Также иногда приходится принудительно перерегистрировать клиента на сервере WSUS:

wuauclt /detectnow /resetAuthorization

В особо сложных случаях можно попробовать починить службу wuauserv так. При возникновении ошибки 0x80244010 при получении обновлений на клиентах, попробуйте изменить частоту проверки обновлений на сервере WSUS с помощью политики Automatic Update detection frequency.

В следующей статье мы опишем особенности одобрения обновлений на сервере WSUS. Также рекомендуем ознакомиться со статьей о переносе одобренных обновлений между группами на WSUS сервере.

Источник

Обновлено: 15.01.2022
Опубликовано: 08.05.2020

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

1. Задаем имя компьютера.
2. Настраиваем статический IP-адрес.
3. При необходимости, добавляем компьютер в домен.
4. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

… и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

… и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

• Для тестовой группы применять все обновления сразу после их выхода.
• Для рабочих станций и серверов сразу устанавливать критические обновления.
• Для рабочих станций и серверов применять обновления спустя 7 дней.
• Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры — Компьютеры:

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

1. Для тестовой группы.
2. Для серверов.
3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdate. Нам необходимо создать следующие ключи:

• WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• TargetGroupEnabled, REG_DWORD — значение 1
• TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdateAU. Если он отсутствует, создаем вручную. После нужно создать ключи:

• AUOptions, REG_DWORD — значение 2
• AutoInstallMinorUpdates, REG_DWORD — значение 0
• NoAutoUpdate, REG_DWORD — значение 0
• ScheduledInstallDay, REG_DWORD — значение 0
• ScheduledInstallTime, REG_DWORD — значение 3
• UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

wuauclt.exe /detectnow

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Когда вы находитесь в сети, вы хотите иметь полный контроль над другими компьютерами Windows в сети и, следовательно, хотите настроить Обновления Windows таким образом, чтобы только вы могли получить доступ к настройкам. Люди могут отключить или задержать обновления Windows, которые могут быть против вашего желания. Если вы являетесь администратором, эта статья может помочь вам настроить системы Windows Server без использования редактора групповой политики, а скорее путем его настройки с помощью редактора реестра Windows.

Как настроить Центр обновления Windows на Windows Server

Основные ключи, относящиеся к Центру обновления Windows на Server 2003 и 2008 R2:

• HKEY_LOCAL_MACHINE Software Policies Microsoft Windows WindowsUpdate
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer,
• HKEY_LOCAL_MACHINE SYSTEM Управление интернет-коммуникациями Интернет-коммуникация
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies WindowsUpdate
• HKEY_LOCAL_MACHINE Software Policies Microsoft Windows WindowsUpdate AU

Вы должны использовать ключи в этих путях, чтобы настроить обновления Windows так, как вам нужно, чтобы пользователи могли или не могли иметь доступ к обновлениям Windows. В большинстве случаев вы хотели бы иметь единоличный контроль и захотели бы удалить доступ пользователей к обновлениям Windows. Ниже приведено несколько примеров того, как настроить обновление Windows на сервере.

Под следующим ключом вы можете найти запись DisableWindowsUpdateAccess , которая касается того, предоставлять ли пользователям доступ к обновлениям Windows в панели управления:

HKEY_LOCAL_MACHINE Software Policies Microsoft Windows WindowsUpdate

Значение 1 отключит доступ или, если вы хотите, чтобы пользователи получали доступ к функции обновления Windows, используйте 0 . Если вы используете 0, возможно, вы захотите повысить уровень пользователей, чтобы они могли устанавливать обновления на машину. В этом случае вам нужно изменить значение ElevateNonAdmins на 1.

Отключить ссылки Центра обновления Windows в Internet Explorer на Windows Server

Используя тот же метод реестра, вы можете отключить Internet Explorer от открытия функции Центра обновления Windows. Перейти к следующей клавише:

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer,

Здесь найдите NoWindowsUpdate Dword .

Чтобы отключить доступ к обновлениям Windows для людей в Internet Explorer, измените значение DWORD на 1 . Это предотвратит доступ пользователей даже к веб-сайту Центра обновления Windows.

Отключить доступ к интернет-коммуникациям служб Windows Server Update Services

Вы также можете использовать редактор реестра для управления WSUS. Чтобы отключить доступ к Центру обновления Windows в системах Windows Server, перейдите к следующему ключу:

HKEY_LOCAL_MACHINE SYSTEM Управление интернет-коммуникациями Интернет-коммуникация

Здесь найдите DisableWindowsUpdateAccess DWORD. Установите значение 1 , чтобы отключить доступ к Центру обновления Windows. Это отключит весь доступ к функциям Центра обновления Windows на компьютерах пользователей. Даже сайт Центра обновления Windows заблокирован, поэтому браузеры, включая Internet Explorer, не могут использовать его для обновления отдельных компьютеров, пока вы не захотите.

Ошибки при работе с реестром Windows могут привести к сбою системы. Пожалуйста, сделайте резервную копию реестра, прежде чем вносить изменения в систему.

Для получения дополнительной информации об использовании редактора реестра для настройки Центра обновления Windows на Windows Server посетите эту страницу Technet.

Как включить обновление Windows 10: способы и рекомендации

В Windows 10, как и в любой другой модификации, получение важных обновлений активировано по умолчанию, и после установки системы пользователю специально активировать или настраивать эти параметры не нужно. Но ситуации бывают разные. Предположим, пользователь случайно или намеренно отключил обновления Windows 10. Как включить их поиск и установку, чтобы апдейты инсталлировались автоматически или по расписанию? Для выполнения таких действий можно предложить несколько основных практически равнозначных между собой методик, которые пригодятся любому пользователю. А для их использования никакими особыми навыками работы с системными настройками обладать не нужно.

Как включить автоматическое обновление Windows 10: основные способы

Итак, в классическом варианте, как это было в системах рангом ниже, «Центр обновления» в Windows 10 отсутствует. Непонятно, почему, но разработчики решили убрать его из «Панели управления», переместив в меню параметров и полностью изменив внешний вид с сопутствующими настройками (хотя вернуть классический вид можно).

Сразу обратите внимание, что кнопок или гиперссылок для включения или выключения службы там нет. Иными словами, сам «Центр обновления» находится в активном режиме, а вот его отключение регламентируется разделами служб, групповых политик, реестром и командной строкой.

Таким образом, нетрудно сообразить, что включить обновление Windows 10 можно через активацию соответствующих опций в указанных разделах. Иногда при возникновении сбоев, когда уже ничего не помогает, можно воспользоваться специальными методиками, о которых будет сказано отдельно.

Выбор метода получения апдейтов

Если пользователь замечает, что апдейты давно не устанавливались, это еще не значит, что соответствующая служба отключена. Убедиться в этом можно совершенно просто, задав ручной поиск доступных апдейтов. Для этого необходимо через меню параметров войти в раздел обновления и безопасности, а затем использовать соответствующую кнопку в «Центре обновления».

Но, как оказывается, мало включить обновление Windows 10 таким способом. Тут есть еще некоторые интересные настройки. Так, например, можно указать период активности службы, когда системе будет разрешено устанавливать апдейты. Так же просто можно запланировать время окончания установки, а заодно активировать пункт отображения на экране уведомления о появлении доступных апдейтов.

В дополнительных параметрах можно задать получение обновлений для других программных продуктов Microsoft, а также активировать получение апдейтов из нескольких мест. Это работает по типу загрузки торрентов, когда с других компьютеров производится раздача на пользовательский терминал, так сказать, с недозагруженным контентом.

Соответственно, можно использовать и опции предупреждения о перезагрузке, что позволит избежать самопроизвольного рестарта после загрузки необходимых установочных файлов обновлений.

Как включить «Центр обновления» Windows 10 в разделе служб?

Теперь посмотрим на ситуацию, когда обновления действительно не скачиваются и не устанавливаются ни под каким предлогом по причине того, что служба апдейта находится в деактивированном состоянии.

Как включить «Центр обновления» Windows 10 в этом случае? Первым делом необходимо проверить его параметры в соответствующем разделе служб, доступ к которому можно получить путем ввода команды services.msc в консоли «Выполнить».

Здесь нужно найти саму службу «Центра обновления» и перейти к редактированию ее параметров двойным кликом или через меню ПКМ. В случае ее остановки сначала нажимается кнопка запуска, а затем в типе старта устанавливается значение «Автоматически» (аналогичный параметр с отложенным запуском лучше не использовать).

Использование групповых политик

Теперь посмотрим, как включить службу обновления Windows 10 в редакторе групповых политик. Раздел вызывается через меню «Выполнить» с использованием команды gpedit.msc.

В конфигурации с использованием административных шаблонов и компонентов Windows, опять же, необходимо найти «Центр обновления» и отредактировать параметры настройки автоматического апдейта. Для этого просто активируется строка «Включено», после чего следует сохранение опций нажатием кнопки ОК.

Активация обновлений через реестр

Включить обновление Windows 10 в реестре тоже можно. При этом изменение ключей в этом редакторе отменит установку опций в локальных политиках, поскольку сам реестр имеет в этом отношении более высокий приоритет (если после сделанных здесь изменений посмотреть на раздел политик, аналогичные параметры поменять будет невозможно).

Итак, редактор вызывается командой regedit, после чего осуществляется переход по ветке HKLM через папки SOFTWARE и Microsoft до раздела WindowsUpdate. Значение параметра AUOption справа нужно выставить на ноль вместо единицы. Если этот ключ отсутствует, его сначала нужно создать (DWORD 32 бита), после чего присвоить соответствующее имя и значение. При активации обновлений именно в реестре перезагрузка системы обязательна (в отличие от служб и политик).

Использование командной строки

Собственно, так же просто можно включить обновление Windows 10, используя для этого универсальный инструмент в виде командой консоли, которая вызывается сочетанием cmd.

Здесь необходимо последовательно ввести три команды:

• net start wuauserv;
• net start bits;
• net start dosvc.

Их выполнение активирует автоматическое получение апдейтов заново. Кстати, аналогичные команды остановки службы с повторным стартом иногда позволяют исправить множество проблем с самим «Центром обновления», если апдейты не загружаются или не инсталлируются в автоматическом режиме.

Вопросы установки свежих драйверов

Но и это еще не все. Как показывает практика, можно включить обновление Windows 10, которое будет автоматически устанавливать свежие версии драйверов для всех без исключения устройств, имеющихся в системе. Для этого, правда, будет использоваться собственная база данных системы, а не обращение к ресурсам производителей, как это делается в автоматизированных утилитах вроде Driver Booster.

Как в Windows 10 включить автоматическое обновление драйверов? Тоже просто. Достаточно войти в свойства системы через ПКМ на значке компьютера в «Проводнике», выбрав строку свойств, использовать дополнительные параметры, а на вкладке оборудования нажать кнопку опций установки устройств.

В новом окне следует дать разрешение на автоматическую инсталляцию и отметить строки установки наиболее подходящих драйверов и автоматизированное получение информации и приложений от изготовителя оборудования.

Полная перезагрузка «Центра обновления»

Но и с самим «Центром обновления» может возникать достаточно много проблем, и обычным перезапуском соответствующей службы вышеуказанными методами устранить сбои бывает невозможно. В этом случае можно воспользоваться специальной утилитой от Microsoft, которая выложена для бесплатной загрузки прямо на официальном сайте.

После запуска программа сканирует систему на предмет наличия ошибок, связанных с функционированием указанной службы, и производит устранение проблем в автоматическом режиме.

Можно пойти и другим путем, используя полный перезапуск «Центра обновления» в ручном режиме. Откройте стандартный «Блокнот», введите текст, показанный на изображении выше, и сохраните файл с заданием расширения BAT, после чего активируйте файл двойным кликом. Если это эффекта не даст, запустите этот исполняемый компонент от имени администратора.

Дополнительные сведения

Отдельно следует обратить внимание на тот факт, что многие пользователи для отключения автоматизации поиска и установки апдейтов используют официальные или сторонние утилиты, блокирующие эти системные процессы (например, Show or hide updates, Win Updates Disabler и т. д.). Разблокировку можно произвести непосредственно в этих установленных приложениях. Однако оптимальным вариантом станет их полное удаление, после чего настройки системы будут восстановлены.

Если уж совсем ничего из вышеперечисленного не помогает, попробуйте сбросить настройки системы до исходного состояния, выбрав пункт восстановления из раздела «Система», доступ к которому можно получить через меню «Параметры». Впрочем, в большинстве случаев такие действия практически никогда не требуются.

Источник

Как включить обновления в Windows 10

Автор: rf-webmaestro · Опубликовано 31.01.2019 · Обновлено 18.08.2019

Центр обновления Windows 10 позволяет своевременно загружать update операционной системы с официальных серверов Microsoft. После установки ОС данная служба по умолчанию включена и работает в фоновом режиме. Однако вы можете ее самостоятельно отключить и не получать новые версии. Если вас не волнует загрузка компьютера процессами, связанными с отслеживанием и установкой системных файлов, тогда вы можете включить центр обновлений Windows 10 несколькими способами.

Все методы

Выполнить данную процедуру возможно только с помощью встроенного функционала операционной системы. Сторонний софт вам не понадобится. Для начала проверьте, работает ли центр обновления по умолчанию на вашем компьютере. Сделать это можно так:

1. Запустите «Диспетчер задач» с помощью комбинации Ctrl + Shift + Esc .

1. Откройте вкладку «Службы». Здесь найдите службу с именем «wuauserv».

Благодаря ей в операционной системе работает автообновление в фоновом режиме. Если у вас «wuauserv» отсутствует, то переходите к одному из методов включения:

• через групповую политику;
• через «Параметры Windows»;
• с помощью командной строки;
• через настройки реестра;
• через «Службы».

Рассмотрим каждый способ подробно.

Включение в локальной групповой политике

Восстановить работу данного сервиса в «десятке» можно следующим образом:

1. Откройте программу «Выполнить» посредством комбинации клавиш Win + R . Впишите команду «services.msc» и запустите выполнение кнопкой ОК.

1. Перед вами появится окно «Службы». В правом списке найдите строку «Центр обновления Windows» и с помощью ПКМ в меню выберите пункт «Свойства».

1. Во вкладке «Общее» найдите строку «Тип запуска» и в меню установите параметр «Автоматически», после чего примените изменения кнопкой «ОК».

Таким способом можно запустить ЦО в операционной системе Windows 10. Этот метод может помочь вам избавиться от ошибки с кодом 0x80070422.

«Параметры»

Теперь разберемся, как посмотреть наличие доступных обновлений вручную и запустить их скачивание/установку. Для этого понадобится функционал раздела «Параметры»:

1. Кликните ПКМ по значку «Пуск» на нижней панели и в меню выберите пункт «Параметры».

1. Откройте раздел «Обновление и безопасность».

1. Перейдите в подраздел «Центр обновления Windows» в левом столбике.

1. В данном окне вы можете провести все необходимые настройки ЦО и проверить наличие файлов для загрузки. Для проверки необходимо нажать на кнопку, отмеченную на скриншоте.

1. Теперь средство просканирует наличие новых патчей Windows 10 и уведомит вас об этом. В разделе «Дополнительные параметры» переставьте параметр в положение «Откл.», как показано на скриншоте. Нажав на «Выберите, как и когда получать обновления», вы можете настроить способы доставки (с ПК в локальной сети, интернете и т. д.).

Если у вас возникает проблема в работе ЦО, то необходимо проверить настройки в редакторе групповой политики.

«Редактор локальной групповой политики»

Для запуска программы проделайте следующие шаги:

1. Зайдите в «Выполнить» с помощью Win + R . Напишите команду «gpedit.msc».

1. Откройте ветку «Центр обновления Windows», которая находится по пути «Конфигурация компьютера» — «Административные шаблоны» — «Компоненты Windows».

1. В правой части окна найдите строку «Настройка автоматического обновления» и нажмите по ней ПКМ. В меню перейдите в пункт «Изменить».

1. Установите настройку «Включено» (1). В разделе «Параметры» выберите настройки, согласно которым будет работать автоматическое обновление (расписание, установка, уведомления о доступных загрузках и т.д.). Примените изменения кнопкой «ОК».

Командная строка

С помощью командной строки Windows 10 можно отключить или включить «Центр обновлений». Через нее получится принудительно запустить службу «wuauserv».

1. Откройте командную строку с правами администратора. Впишите команду «net start wuauserv» и нажмите Enter .

1. Программа запустит службу, после чего вы увидите соответствующее сообщение. Процесс будет запускаться при каждом включении ПК, поэтому вам не придется повторять данную процедуру. Чтобы отключить ЦО Windows 10, необходимо ввести команду «net stop wuauserv».

1. Теперь осталось проверить, будет ли обновляться система.

Реестр

Также работать ЦО не будет, если не исправить значение параметра в реестре. Нужно сделать следующее:

1. В окне «Выполнить» ( Win + R ) вписать команду «regedit».

1. В редакторе реестра найти ветку HKLMSystemCurrentControlSetServiceswuauserv. Достаточно скопировать путь из данной инструкции и вставить его в строку поиска вверху окна.

1. В правой части окна будет находиться параметр «Start». Кликните ПКМ для выбора в меню пункта «Изменить».

1. В отключенном состоянии параметр будет иметь значение 4. Чтобы ЦО начал загружать обновления, установите значение 1.

На запуск данной службы не влияют никакие другие, поэтому неполадок и проблем с работоспособность возникнуть не должно. Также вы можете проверить ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionHotfix, в которой находится информация обо всех файлах обновления.

Сторонние программы

Что делать, если настроить автоматическое скачивание никак не получается? Запуск службы не помогает, а находить обходные пути у вас нет времени или знаний? Тогда попробуйте обновить операционную систему с помощью утилиты WSUS Offline Update. Загрузите ее с официального сайта разработчиков по ссылке. На главной странице нажмите на кнопку, отмеченную на скриншоте. Создатели гарантируют полную безопасность для пользователей и их личных данных на ПК. После скачивания проделайте следующую процедуру:

1. В папке программы откройте файл UpdateGenerator.exe.

1. Выберите версию вашей ОС: Windows 10 x32 или x64. Чтобы файлы начали загружаться, нажмите «Start».

1. По окончании загрузки вы увидите на экране журнал со списком всех скачанных файлов. Время загрузки и установки зависит от того, как давно вы не обновляли Windows Теперь необходимо перейти в папку «client» и открыть файл UpdateInstaller.exe.

1. В окне программы нажмите «Start» для начала установки.

Если WSUS Offline Update начнет зависать или перестанет искать файлы, попробуйте воспользоваться более ранней и стабильной версией программы.

Обновлять операционную систему подобным способом нужно всего один раз, поскольку после установки патча будет проведено устранение неполадок и запущен ЦО по умолчанию.

Если у вас возникло желание установить крайнюю версию Windows 10, то все описанные способы помогут вам в этом. Не забудьте подстроить параметры под себя, чтобы скачивание или перезагрузка с установкой по расписанию не застала вас врасплох.

Видео

Итак, для закрепления полученного материала давайте посмотрим видео, посвященное данной тематике.

Источник