Обновлено: 15.01.2022
Опубликовано: 08.05.2020
Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.
В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.
Подготовка сервера
Установка роли сервера обновлений
Постустановка и настройка WSUS с помощью мастера
Ручная настройка сервера
Установка Microsoft Report Viewer
Конфигурирование сервера
Настройка клиентов
Групповой политикой
Реестром
Автоматическая чистка
Перед установкой
Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:
- Задаем имя компьютера.
- Настраиваем статический IP-адрес.
- При необходимости, добавляем компьютер в домен.
- Устанавливаем все обновления Windows.
Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.
Установка роли
Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:
В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:
На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):
На следующей странице оставляем переключатель в положении Установка ролей или компонентов:
Далее выбираем сервер из списка, на который будем ставить WSUS:
В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:
Среди компонентов оставляем все по умолчанию и нажимаем Далее:
Мастер запустит предварительную настройку служб обновления — нажимаем Далее:
Среди ролей службы можно оставить галочки, выставленные по умолчанию:
Прописываем путь, где WSUS будет хранить файлы обновлений:
* в нашем примере был прописан путь C:WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.
Запустится настройка роли IIS — просто нажимаем Далее:
Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:
В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:
Процесс установки занимаем несколько минут. После завершения можно закрыть окно:
Установка роли WSUS завершена.
Первый запуск и настройка WSUS
После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.
В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:
При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:
… и ждем завершения настройки:
Откроется стартовое окно мастера настройки WSUS — идем далее:
На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):
Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:
* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.
Если в нашей сети используется прокси-сервер, задаем настройки:
* в нашем примере прокси-сервер не используется.
Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:
… и дожидаемся окончания процесса:
Выбираем языки программных продуктов, для которых будут скачиваться обновления:
Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:
* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.
Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:
* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.
Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:
Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:
После откроется консоль управления WSUS.
Завершение настройки сервера обновлений
Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.
Установка Microsoft Report Viewer
Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:
… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:
Продолжаем установку и завершаем ее.
Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:
После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.
Донастройка WSUS
Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.
1. Группы компьютеров
При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.
В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:
Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:
2. Автоматические утверждения
После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.
В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:
Кликаем по Создать правило:
У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:
- Для тестовой группы применять все обновления сразу после их выхода.
- Для рабочих станций и серверов сразу устанавливать критические обновления.
- Для рабочих станций и серверов применять обновления спустя 7 дней.
- Для серверов устанавливать обновления безопасности по прошествии 3-х дней.
3. Добавление компьютеров в группы
Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.
В консоли WSUS переходим в Параметры — Компьютеры:
Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:
Настройка клиентов
И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.
Групповая политика (GPO)
Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:
- Для тестовой группы.
- Для серверов.
- Для рабочих станций.
Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:
| Название политики | Значение | Описание |
|---|---|---|
| Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений | Включить | Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений. |
| Настройка автоматического обновления | Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок. |
Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки. |
| Указать размещение службы обновлений Microsoft в интрасети | Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 * |
Настройка говорит клиентам, на каком сервере искать обновления. |
| Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях | Включить | Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям. |
| Не выполнять автоматическую перезагрузку, если в системе работают пользователи | Включить | Позволит избежать ненужных перезагрузок компьютера во время работы пользователя. |
| Повторный запрос для перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 1440 | Если перезагрузка была отложена, необходимо повторить запрос. |
| Задержка перезагрузки при запланированных установках | Включить и выставить значение в минутах, например, 30 | Дает время перед перезагрузкой компьютера после установки обновлений. |
| Разрешить клиенту присоединяться к целевой группе | Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа |
Позволяет добавить наши компьютеры в соответствующую группу WSUS. |
* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.
Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.
Настройка клиентов через реестр Windows
Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.
Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdate. Нам необходимо создать следующие ключи:
- WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
- TargetGroupEnabled, REG_DWORD — значение 1
- TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».
Теперь переходим в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdateAU. Если он отсутствует, создаем вручную. После нужно создать ключи:
- AUOptions, REG_DWORD — значение 2
- AutoInstallMinorUpdates, REG_DWORD — значение 0
- NoAutoUpdate, REG_DWORD — значение 0
- ScheduledInstallDay, REG_DWORD — значение 0
- ScheduledInstallTime, REG_DWORD — значение 3
- UseWUServer, REG_DWORD — значение 1
После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:
wuauclt.exe /detectnow
Автоматическая чистка WSUS
Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.
Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.
Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:
Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates
Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.
WSUS (Windows Server Update Services) — служба обновлений для серверов компании Microsoft. Позволяет централизованно обновлять компьютеры и сервера, управлять параметрами обновления. Позволяет не только значительно экономить использованный трафик из-за централизованного обновления в сети, но и гибко управлять пакетами обновлений, которые будут применяться. Установка и настройка службы Windows Server Update Services на Windows server 2019 не сильно отличается от развертывания WSUS в операционной системе Windows server 2012, 2016.
Требования к установке WSUS (Windows Server Update Services)
Ввод сервера WSUS в домен
Установка роли сервера WSUS
Настройка WSUS
Установка дополнительных компонентов, необходимых для работы отчетов WSUS
Создание и настройка групповых политик для WSUS
Проверка применения групповой политики на компьютере пользователя
Требования к установке WSUS
-
Процессор: 1,4 ГГц x64;
-
Память: WSUS требует дополнительно 2 ГБ ОЗУ, более того, что требуется сервер и все другие службы, или программного обеспечения;
-
Доступное дисковое пространство: 10 ГБ (40 ГБ или больше, в зависимости от выбранных продуктов, для которых нужно получать обновления);
-
Сетевой адаптер: 100 Мбит/с или более.
Ввод сервера WSUS в домен
1. В строке поиска выполняем команду ncpa.cpl. В открывшемся окне выбираем сетевой интерфейс, правой клавишей мыши — «Свойства«.
2. Снимаем чекбокс с «IP версии 6 (TCP/IPv6)«, если не используем. Далее выбираем «IP версии 4 (TCP/IPv4)» — «Свойства«.
3. Задаем IP-адрес, Маска подсети, Основной шлюз, Предпочитаемый DNS-сервер.
4. Далее задаём имя серверу, для этого нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, в новом окне в поле «Имя компьютера» вписываем имя сервера, далее «ОК«. Далее необходимо перезагрузить компьютер.
5. После перезагрузки компьютера нажимаем правой клавишей мыши на «Этот компьютер«, в открывшемся окне — «Изменить параметры«. Далее нажимаем «Изменить«, выбираем «Является членом домена«, вписываем имя домена. Далее «ОК«.
6. Вводим имя и пароль учетной записи с правами на присоединение к домену.
7. При успешном вводе в домен сервера, появится сообщение «Добро пожаловать в домен…«. Далее необходимо перезагрузить компьютер.
Установка роли сервера WSUS
1. Нажимаем «Пуск«, далее «Диспетчер серверов«.
2. Далее нажимаем «Добавить роли и компоненты«.
3. Читаем, что необходимо проверить, что все условия перед установкой службы ролей и компонентов, выполнены. Нажимаем «Далее«.
4. Выбираем «Установка ролей или компонентов«, затем «Далее«.
5. Выбираем сервер из пула серверов, нажимаем «Далее«.
6. Ставим чекбокс напротив «Службы Windows Server Update Services«.
7. В открывшемся окне нажимаем «Добавить компоненты«, затем «Далее«.
8. В следующем окне «Далее«, дополнительных компонентов в данном случае не требуется.
9. Читаем на что обратить внимание, затем «Далее«.
.
10. Оставляем настройки по умолчанию, нажимаем «Далее«.
11. Выбираем расположение содержимого WSUS. Если обновления будут храниться локально, то в зависимости от продуктов, для которых нужно получать обновления, выбирается и размер места на диске (минимально 6 GB). Выбираем допустимый локальный путь (например, d:wsus), нажимаем «Далее«.
13. Читаем сообщение «Роль веб-сервера (IIS)«, нажимаем «Далее«.
14. В следующем окне оставляем настройки по умолчанию, нажимаем «Далее«.
15. Подтверждаем установку выбранных компонентов — «Установить«.
16. После установки «Службы Windows Server Update Services«, нажимаем «Закрыть«.
17. После установки WSUS, нажимаем на желтый треугольник в «Диспетчер серверов» и нажимаем «Запуск послеустановочных задач«. На этом установка WSUS закончена.
Настройка WSUS (Windows Server Update Services)
1. Открываем «Диспетчер серверов» — «Средства» — «Службы Windows Server Update Services«.
2. В открывшемcя мастере настройки WSUS читаем условия, необходимые для работы сервера WSUS, нажимаем «Далее«.
3. Снимаем чекбокс «Yes, I would like to join the Microsoft Update Improvement Program» (чекбокс можно оставить), затем «Далее«.
4. Указываем по умолчанию вышестоящий сервер, с которым вы хотите синхронизировать ваш сервер, нажимаем «Далее«.
5. Оставляем настройки по умолчанию, если вы не используете прокси-сервер для синхронизации. Нажимаем «Далее«.
6. Нажимаем «Начать подключение«. При этом будет скачана следующая информация:
- Имеющиеся типы обновлений;
- Продукты, которые можно обновить;
- Доступные языки.
После получения необходимой информации, нажимаем «Далее«.
7. Выбираем языки, для которых сервер будет скачивать обновления (для выбора языка устанавливаем чекбокс). Затем «Далее«.
8. В следующем окне выбираем продукты Microsoft для обновления. Выбираем только необходимое, так как размер скачиваемых обновлений будет значительный. Нажимаем «Далее«.
9. Выбираем классы обновлений, которые вы хотите скачивать. Обычно это:
- Upgrades;
- Критические обновления;
- Накопительные пакеты обновления;
- Обновления определений;
- Обновления системы безопасности.
Нажимаем «Далее«.
10 Оставляем чекбокс «Синхронизацию вручную«, после окончания всех настроек и проверки работы WSUS, устанавливаем «Автоматическая синхронизация» и удобное время для синхронизации (обычно синхронизация проходит ночью, например, 1.00). Затем «Далее«.
.
11. Устанавливаем чекбокс «Запустить первоначальную синхронизацию«, нажимаем «Далее«.
12. После того, как первоначальная синхронизация будет закончена, нажимаем «Готово«. На этом предварительная настройка WSUS закончена. Далее откроется оснастка Windows Server Update Services.
Установка дополнительных компонентов, необходимых для работы отчетов WSUS
13. Для того, чтобы была возможность смотреть отчеты, для WSUS в Windows server 2019 необходимо установить два компонента:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Почему нельзя включить данные компоненты при установке службы WSUS, непонятно. Из версии в версию, для отображения отчетов WSUS, необходимо устанавливать дополнительные компоненты.
14. После установки дополнительных компонентов, отчет об обновлениях будет отображаться.
15. Следующим шагом открываем в оснастке Windows Server Update Services «Параметры«, устанавливаем чекбокс «Использовать на компьютерах групповую политику или параметры реестра«. Нажимаем «ОК«.
16. Затем добавляем группы компьютеров, которые будут обновляться. Для этого нажимаем правой клавишей на «Все компьютеры» — «Добавить группу компьютеров«.
17. В новом окне задаём имя для новой группы, нажимаем «Добавить«.
18. В данном случае добавляем группы компьютеров:
- Servers;
- Computers;
- Test.
Создание и настройка групповых политик для WSUS
1. Открываем «Диспетчер серверов» — «Средства» — «Управление групповой политикой«.
2. Создаем групповую политику, для этого нажимаем правой клавишей мыши на «Объекты групповой политики» — «Создать«.
3. Задаём имя нового объекта групповой политики, нажимаем «ОК«. В данном случае создадим две групповые политики:
- WSUS-servers;
- WSUS-computers.
4. Далее изменяем вновь созданную политику, для чего нажимаем правой клавишей мыши на созданную политику — «Изменить«. Для WSUS-servers:
Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:
Настройка автоматического обновления:
Включено
Настройка автоматического обновления — 3 — авт. загрузка и уведом. об устан
Установка по расписанию — время: 01:00
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Servers
Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы
Изменяем:
Центр обновления Windows
автоматически
5. Для групповой политики WSUS-computers:
Переходим Конфигурация — Политики — Административные шаблоны — Центр обновления Windows. Изменяем:
Настройка автоматического обновления:
Включено
Настройка автоматического обновления — 4 — авт. загрузка и устан. по расписанию
Установка по расписанию — день: 3 — каждый вторник
Установка по расписанию — время: 12:00
Указать размещение службы обновлений Майкрософт в интрасети
Включено
Укажите службу обновлений в интрасети для поиска: http://srv3.sigro.ru:8530
Укажите сервер статистики в интрасети: http://srv3.sigro.ru:8530
Всегда автоматически перезагружаться в запланированное время
Отключено
Разрешать пользователям, не являющимся администраторами, получать уведомления об обновлениях
Включено
Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователи
Включено
Разрешить клиенту присоединение к целевой группе
Включено
Имя целевой группы для данного компьютера: Сomputers
Далее переходим Конфигурация компьютера — Политики — Конфигурация Windows — Параметры безопасности — Системные службы
Изменяем:
Центр обновления Windows
автоматически
6. Далее привязываем вновь созданные политики к соответствующим объектам домена. Для этого выбираем объект домена, правой клавишей мыши — «Связать существующий объект групповой политики«. Выбираем соответствующую групповую политику. Для немедленного применения групповых политик, открываем командную строку, выполняем команду: gpupdate / force.
Проверка применения групповой политики на компьютере пользователя
1. Для проверки применения групповой политики в строке поиска выполняем команду rsop.msc. Проверяем в окне «Результирующая политика» применение политики.
Посмотреть видео, как установить и настроить WSUS (Windows Server Update Services), создать и настроить GPO для WSUS, можно здесь:
Также читайте:
- Windows server 2019 — добавление и удаление компьютера в домене
- Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
- Windows server 2019 — установка и настройка Active Directory, DNS, DHCP
- Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
- Windows server 2019 — установка и настройка сервера печати, разворачивание МФУ с помощью GPO
- Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей
Службы обновления Windows Server ( WSUS ) — это программа, разработанная Microsoft, которая является эффективным инструментом для администраторов обновлений Windows.
Содержание
- Что такое Windows Update
- Введение в службы обновления Windows Server
- Системные требования для WSUS
- Настройка лаборатории WSUS
- Порты/исключения брандмауэра WSUS
- Установка роли WSUS на Windows Server 2016
- Роли сервера — Windows Server Update Services
- Тип базы данных WSUS — службы ролей
- Расположение содержимого WSUS
- Конфигурируем IIS
- Настройка служб обновления Windows Server (WSUS)
- Выберите вышестоящий сервер WSUS
- Прокси сервер
- Выберите языки для обновлений
- Выберите продукты
- Выберите Обновить классификации
- Настройка расписания синхронизации WSUS
- Установка Microsoft Report Viewer
- Настройка WSUS
- Классификация обновлений
- Настройка групп компьютеров WSUS
- Настройка ПК на получение обновлений WSUS через GPO
- Политика установки обновлений WSUS для рабочих станций
- Назначаем политики WSUS на OU Active Directory
Что такое Windows Update
Давайте начнем с некоторых основ. Когда вы устанавливаете операционную систему или создаете образ машины, вы всегда следите за тем, чтобы на нее были установлены последние обновления. Не только операционная система, но и почти каждое программное обеспечение, которое мы используем, нуждается в постоянном обновлении.
Обновления Windows выпускаются для исправления ошибок, устранения проблем безопасности в ОС и добавления новых функций в операционную систему. Обновления Windows полагаются на службу Центра обновления Windows, которая по умолчанию настроена на автоматический запуск.
Служба Windows Update автоматически загружает и устанавливает рекомендуемые и важные обновления.
Обновления Microsoft можно разделить на следующие категории:
- Критические обновления
- Обновления безопасности
- Обновления определений
- Драйверы
- Накопительные пакеты обновлений
- Пакеты услуг
- Инструменты
- Пакеты функций
- Обновления
Если вы перешли с Windows 7 на Windows 10, вы заметите множество новых опций в Центре обновления Windows. Вы получаете несколько интересных опций, таких как приостановка обновлений на 7 дней, изменение активных часов для установки обновлений. В дополнение к этому есть много полезных опций в разделе «Дополнительные параметры».
Введение в службы обновления Windows Server
Службы Windows Server Update Services (WSUS) позволяют администраторам развертывать последние обновления продуктов Microsoft. WSUS — это роль сервера Windows Server, и при ее установке вы можете эффективно управлять обновлениями и развертывать их.
Одной из наиболее важных задач системных администраторов является постоянное обновление клиентских и серверных компьютеров с помощью последних исправлений программного обеспечения и обновлений безопасности. Без WSUS было бы очень сложно управлять развертыванием обновлений.
Если в вашей установке есть один сервер WSUS, обновления загружаются непосредственно из Центра обновления Майкрософт. Однако, если вы устанавливаете несколько серверов WSUS, вы можете настроить сервер WSUS для работы в качестве источника обновлений, который также известен как вышестоящий сервер.
Вместо того, чтобы позволять нескольким компьютерам загружать обновления непосредственно из Интернета, вы можете настроить сервер WSUS и указать клиентам загружать все обновления с сервера WSUS. При этом вы экономите пропускную способность интернета, а также ускоряете процесс обновления Windows.
Системные требования для WSUS
Минимум требования к оборудованию для WSUS
| Процессор | Процессор x64 1,4 ГГц (2 ГГц или выше повторно рекомендуется) |
| Память | Дополнительные 2 ГБ ОЗУ больше, чем требуется серверу |
| Доступное место на диске | 10 ГБ (рекомендуется 40 ГБ или больше) |
| Сетевой адаптер | 100 Мбит/с или больше |
В этом примере рассматривается процедура установки служб обновления Windows Server с использованием внутренней базы данных Windows (WID).
Настройка лаборатории WSUS
| Имя сервера | Операционная система | Роли | ip Адрес |
| server1.pentagon.loc | Server 2016 Standart | WSUS | 10.0.0.3 |
| dc1.pentagon.loc | Server 2016 Standart | AD,DNS | 10.0.0.1 |
Порты/исключения брандмауэра WSUS
При настройке сервера WSUS важно, чтобы сервер подключался к обновлению Microsoft для загрузки обновлений. Если между WSUS и Интернетом есть корпоративный брандмауэр, возможно, вам придется настроить этот брандмауэр, чтобы WSUS мог получать обновления.
Для получения обновлений из Центра обновления Майкрософт сервер WSUS использует порт 443 для протокола HTTPS. Вы должны разрешить доступ в Интернет из WSUS к следующему списку URL-адресов:
- http://windowsupdate.microsoft.com
- http://*.windowsupdate.microsoft.com
- https://*.windowsupdate.microsoft.com
- http://*.update.microsoft.com
- https://*.update.microsoft.com
- http://*.windowsupdate.com
- http://download.windowsupdate.com
- https://download.microsoft.com
- http://*.download.windowsupdate.com
- http://wustat.windows.com
- http://ntservicepack.microsoft.com
- http://go.microsoft.com
- http://dl.delivery.mp.microsoft.com
- https://dl.delivery.mp.microsoft.com
Установка роли WSUS на Windows Server 2016
Шаги по установке роли служб обновления Windows Server (WSUS) в Windows Server 2019 включают:
- Войдите на сервер Windows 2016, на котором вы планируете установить роль сервера WSUS, используя учетную запись, которая является членом группы локальных администраторов.
- В диспетчере серверов нажмите «Manage» и нажмите «Add Roles and Features » .
- На странице «Before you begin» нажмите « Next» .
- На странице выбора типа установки выберите вариант Role-based or feature-based installation . Нажмите «Next» .
На странице «Выбор сервера» проверьте имя сервера и нажмите « Next» .
Роли сервера — Windows Server Update Services
На странице «Роли сервера» выберите роль « Windows Server Update Services ». Вы должны увидеть поле Add Features, необходимые для служб Windows Server Update Services. Нажмите « Add Features» и нажмите «Next» .
На странице «Select features» оставьте параметры по умолчанию и нажмите « Next» .
На странице Службы обновления Windows Server нажмите кнопку Далее .
Тип базы данных WSUS — службы ролей
Необходимо выбрать службы ролей/тип базы данных для установки служб Windows Server Update. Выберите «WID Connectivity» и «WSUS Services» . Нажмите «Next» .
Расположение содержимого WSUS
Укажите расположение содержимого для хранения обновлений. Я бы рекомендовал хранить обновления на другом диске, а не на диске C:. Размер этой папки со временем может увеличиться, и вы не хотите, чтобы эта папка находилась на диске C:. Поэтому выберите либо отдельный диск, либо храните обновления на удаленном сервере.
Нажмите «Далее» .
Далее у вас будет настройка роли Web Server Role(IIS) , нажмите пару раз next
Окончательное подтверждение перед установкой WSUS. Проверьте настройки и нажмите « Install» .
После завершения установки WSUS щелкните Launch Post-Installation tasks после установки .
Либо сделайте это тут
Дождитесь окончания процесса
Конфигурируем IIS
При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists).
Queue Length = 2000 (up from default of 1000)
Idle Time-out (minutes) = 0 (down from the default of 20)
Ping Enabled = False (from default of True)
Private Memory Limit (KB) = 0 (unlimited, up from the default of 1843200 KB)
Regular Time Interval (minutes) = 0 (to prevent a recycle, and modified from the default of 1740)
Настройка служб обновления Windows Server (WSUS)
После установки WSUS вы можете настроить сервер WSUS с помощью мастера настройки сервера WSUS. Это одноразовая конфигурация, в которой вы настроите некоторые важные параметры WSUS.
Если вы не видите мастер настройки сервера WSUS или пропустили его по ошибке, не беспокойтесь. Вы можете запустить его, открыв WSUS Console > Options > WSUS Server Configuration wizard.
Примечание. Прежде чем приступить к настройке WSUS, несколько важных моментов.
- Убедитесь, что брандмауэр сервера разрешает клиентам доступ к серверу WSUS. Если у клиентов возникают проблемы с подключением к серверу WSUS, обновления не будут загружаться с сервера.
- WSUS загружает обновления с вышестоящего сервера, которым в нашем случае являются сервера обновления Microsoft. Поэтому убедитесь, что брандмауэр разрешает серверу WSUS подключаться к Центру обновления Майкрософт.
- Если в вашей настройке есть прокси-сервер, вы должны ввести учетные данные для прокси-сервера при настройке WSUS. Имейте их под рукой, поскольку они необходимы.
На странице «Перед началом» нажмите « Далее » .
Нажмите «Далее» .
Выберите вышестоящий сервер WSUS
Это важный раздел, в котором вы выбираете вышестоящий сервер. Вы получаете два варианта.
- Синхронизировать из Центра обновления Майкрософт — при выборе этого параметра обновления будут загружаться из Центра обновления Майкрософт.
- Синхронизировать с другого сервера служб обновления Windows Server — выберите этот параметр, если хотите, чтобы этот сервер WSUS загружал обновления с уже существующего сервера WSUS. Вы должны указать имя сервера и номер порта (8530) по умолчанию. Если вы выбираете вариант использования SSL во время синхронизации обновлений, убедитесь, что вышестоящий сервер WSUS также настроен на поддержку SSL.
Поскольку это будет мой единственный сервер WSUS, я выберу Synchronize from Microsoft Update . Нажмите «Далее» .
Прокси сервер
Укажите информацию о прокси-сервере, если он у вас есть. Если выбран этот параметр, убедитесь, что вы указали имя прокси-сервера и номер порта. В дополнение к этому укажите учетные данные для подключения к прокси-серверу. Если вы хотите включить базовую аутентификацию для пользователя, подключающегося к прокси-серверу, нажмите Разрешить базовую аутентификацию (пароль в открытом виде) .
Нажмите «Далее» .
На странице «Connect to upstream server» нажмите кнопку « Начать подключение » . Подключение может быть не быстрым, у меня оно было около часу, в любом случае дождитесь ответа , это будет либо ошибка либо даст возможность продолжить далее настроивать сервер
Выберите языки для обновлений
На странице «Выбор языков» у вас есть возможность выбрать языки из обновлений. Если вы выберете загрузку обновлений на всех языках, вы найдете обновления на всех языках в консоли WSUS.
Однако, если вы хотите получать обновления только для определенных языков, выберите Загружать обновления только на этих языках . Выберите языки, для которых вы хотите получать обновления.
Нажмите «Далее» .
Выберите продукты
На этой странице вы выбираете продукты, для которых хотите получать обновления. Продукт — это конкретная версия операционной системы или приложения.
Из списка продуктов вы можете выбрать отдельные продукты или семейства продуктов, для которых вы хотите, чтобы ваш сервер синхронизировал обновления. В этом случае в качестве продуктов я выбрал , все, но вы можете выбрать отдельно к примеру Windows Server 2016, windows 10, windows 7-8-9-xp-11
Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.
Нажмите «Далее» .
Выберите Обновить классификации
В начале поста я перечислил типы обновлений. На странице Choose Classifications выберите нужные классификации. Я выбрал критические обновления , обновления безопасности и накопительные пакеты обновлений .
Нажмите «Далее» .
Настройка расписания синхронизации WSUS
Вы должны решить, как вы хотите выполнять синхронизацию WSUS. На странице Set Sync Schedule (Установить расписание синхронизации) можно выбрать, выполнять ли синхронизацию вручную или автоматически.
Если вы выберете Синхронизировать вручную , вы должны вручную запустить процесс синхронизации из Консоли администрирования WSUS. Если выбран этот параметр, вам придется каждый раз выполнять синхронизацию вручную. Поэтому не выбирайте этот параметр, если вы настраиваете WSUS в рабочей среде.
Если вы выберете « Синхронизировать автоматически », сервер WSUS будет синхронизироваться через заданные промежутки времени. Вы можете установить время первой синхронизации. Затем установите количество синхронизаций в день. В раскрывающемся списке вы можете выбрать значение от 1 до 24.
Нажмите «Далее» .
Щелкните Начать первоначальную синхронизацию . Нажмите «Далее» .
Наконец, на последней странице нажмите « Готово » . На этом шаги по настройке WSUS завершены.
Установка Microsoft Report Viewer
Открываем консоль Windows Server Update Services, в разделе Reports выбираем любой из пунктов и видим сообщение что необходима установка Microsoft Report Viewer
Переходим по ссылке и скачиваем
Запускаем инсталляцию ReportViever и получаем следующее сообщение.
Установка Microsoft System CLR Types for SQL Server
Скачиваем и устанавливаем
после установки при нажатии на репорт ошибка осталась,закройте консоль WSUS и откройте заново.
Теперь при нажатии на любой из репортов должно открываться новое окно, для проверки открываем Update Status Summary
Настройка WSUS
Открываем раздел Options.
Здесь можно изменить те данные, которые вносились при первичной настройке WSUS, либо запустить настройку заново.
Открываем Update files and Languages и задаем скачивание обновлений после утверждения.
Тем самым с Microsoft не будут загружаться не нужные обновления и захламлять место на диске. Минус данного способа в том, что если пользователь ПК решил обновить свой Windows, а обновления еще не были утверждены и закачены на сервер, то это вызовет ошибку в обновлении на ПК пользователя.
Если галочка убрана, то все обновления нужные и не нужные после синхронизации с Microsoft будут загружаться на сервер.
Что следует понимать под не нужными обновлениями. Предположим вы не давно обновили версию Windows на Windows 10 и на всех компьютерах у вас версия 1909. Соответственно обновления для всех остальных версий вам не нужны.
Определить версию операционной системы Windows
В командной строке выполним systeminfo, получаем:
Windows 10 (2004) 19041.423
Windows 10 (1909) 18363.997
Windows 10 (1903) 18362.997
Windows 10 (1809) 10.0.17763
Windows 10 (1803) 10.0.17134
Windows 10 (1709) 10.0.16299
Windows 10 (1703) 10.0.15063
Windows 10 (1607) 10.0.14393
Windows 10 (1511) 10.0.10586
Windows 10 10.0.10240
Windows Server 2016 (Long-Term Servicing Channel) 1607 14393.0Классификация обновлений
На этом этапе мы разделим обновления по классификации.
Выбираем Updates и правой кнопкой, выбираем New Update View.
1. Устанавливаем галочки
2. Выбираем классификацию обновления
3. Выбираем продукт
4. Задаем имя.
В нашем примере мы создаем более мелкие классификации обновлений.
Если этот вариант Вам не нравится, Вы можете объединить в один
Update View все обновления, например, для Windows 10 или один тип обновлений для нескольких ОС.
Для Windows Defender выбираем Definition Updates.
Windows Defender проверяет наличие обновлений через клиента автоматического обновления.
Настройка групп компьютеров WSUS
Создавая группы компьютеров, вы можете сначала тестировать и нацеливать обновления на определенные компьютеры. Когда вы откроете консоль WSUS, вы найдете две группы компьютеров по умолчанию — « All Computers » и «Unassigned Computers» .
Вы можете создавать настраиваемые группы компьютеров для управления обновлениями в вашей организации. Согласно Microsoft, вы должны создать хотя бы одну группу компьютеров в консоли WSUS. Тестируйте обновления, прежде чем развертывать их на других компьютерах в вашей организации.
Чтобы создать новую группу компьютеров в консоли WSUS
В консоли администрирования WSUS в разделе «Службы обновления» разверните сервер WSUS. Разверните компьютеры, щелкните правой кнопкой мыши All Computers и выберите Add Computer Group .
В диалоговом окне «Добавить группу компьютеров» укажите имя новой группы и нажмите « Add» .
Созданим 2 группы — WorkStation , Servers
Данное условие не касается обновлений например для Windows Defender, которое можно установить на автоматическое обновление без утверждений, но об этом поговорим позже.
Распределение компьютеров по группам может происходить двумя разными способами. Можно заполнить вручную с помощью консоли администрирования WSUS или автоматически с использованием групповой политики. Во вкладке Options выбираем Computers и выбираем нужный способ распределения компьютеров.
В нашем случае установим через Group Policy. Все новые компьютеры будут появляться в каталоге Unassigned Computers откуда мы их будем разносить по нужным группам и применять к ним обновления. Опция Use group Policy or registry settings on computers — Это выбор через групповые политики.
Настройка ПК на получение обновлений WSUS через GPO
Групповые политики AD позволяют администратору автоматически назначить компьютеры в различные группы WSUS, избавляя его от необходимости ручного перемещения компьютеров между группами в консоли WSUS и поддержки этих групп в актуальном состоянии. Назначение клиентов к различным целевым группам WSUS основывается на метке в реестре на клиенте (метки задаются групповой политикой или прямым редактированием реестра). Такой тип соотнесения клиентов к группам WSUS называется client side targeting (Таргетинг на стороне клиента).
Предполагается, что в нашей сети будут использоваться две различные политики обновления — отдельная политика установки обновлений для серверов (Servers) и для рабочих станций (Workstations). Эти две группы нужно создать в консоли WSUS в секции All Computers.
Политика использования сервера обновлений WSUS клиентами во многом зависит от организационной структуры OU в Active Directory и правил установки обновлении в организации. Это всего лишь частный вариант, позволяющий понять базовые принципы использования политик AD для установки обновлений Windows.
В первую очередь необходимо указать правило группировки компьютеров в консоли WSUS (targeting). По умолчанию в консоли WSUS компьютеры распределяются администратором по группам вручную (server side targeting). Нас это не устраивает, поэтому укажем, что компьютеры распределяются в группы на основе client side targeting (по определенному ключу в реестре клиента). Для этого в консоли WSUS перейдите в раздел Options и откройте параметр Computers. Поменяйте значение на Use Group Policy or registry setting on computers (Использовать на компьютерах групповую политику или параметры реестра).
Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.
Теперь можно создать GPO для настройки клиентов WSUS. Откройте доменную консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.
Для запуска консоли групповых политик можно установить дополнительно пакет Grop Policy Management либо настроивать через контроллер домена и пакет модуля RSAT для работы с AD
Создадим две OU в AD , под компьютеры
После запускаем gpmc.msc — Group Policy Manager
Выдяляем OU Servers и создаем в нем груповую политику и именуем ее в ServerWSUSPolicy
Начнем с описания серверной политики ServerWSUSPolicy.
Настройки групповых политик, отвечающих за работу службы обновлений Windows, находятся в разделе GPO: Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update (Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows > Разрешить клиенту присоединится к целевой группе). По английски будет Enable client-side targeting
В нашей организации мы предполагаем использовать данную политику для установки обновлений WSUS на сервера Windows. Предполагается, что все попадающие под эту политику компьютеры будут отнесены к группе Servers в консоли WSUS. Кроме того, мы хотим запретить автоматическую установку обновлений на серверах при их получении. Это значит, что продуктивные сервера не будут автоматически устанавливать обновления и перезагружаться без подтверждения администратора (обычно эти работы выполняются системным администратором в рамках ежемесячных плановых регламентных работ). Для реализации такой схемы зададим следующие политики:
- Configure Automatic Updates (Настройка автоматического обновления): Enable. 3 – Auto download and notify for install (Автоматически загружать обновления и уведомлять об их готовности к установке) – клиент автоматически скачивает новые обновлений и оповещает об их появлении;
- Specify Intranet Microsoft update service location (Указать размещение службы обновлений Майкрософт в интрасети): Enable. Set the intranet update service for detecting updates (Укажите службу обновлений в интрасети для поиска обновлений): http://server1:8530, Set the intranet statistics server (Укажите сервер статистики в интрасети): http://server1:8530 – здесь нужно указать адрес вашего сервера WSUS и сервера статистики (обычно они совпадают);
- No auto-restart with logged on users for scheduled automatic updates installations (Не выполнять автоматическую перезагрузку при автоматической установке обновлений, если в системе работают пользователя): Enable – запретить автоматическую перезагрузку при наличии сессии пользователя;
- Enable client-side targeting (Разрешить клиенту присоединение к целевой группе): Enable. Target group name for this computer (Имя целевой группу для данного компьютера): Servers – в консоли WSUS отнести клиенты к группе Servers.
Включим в этой же политике принудительный запуск обновлений windows
Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).
Политика установки обновлений WSUS для рабочих станций
Выдяляем OU Workstation и создаем в нем груповую политику и именуем ее в WorkstationWSUSPolicy
Мы предполагаем, что обновления на клиентские рабочие станции, в отличии от серверной политики, будут устанавливаться автоматически ночью сразу после получения обновлений. Компьютеры после установки обновлений должны перезагружаться автоматически (предупреждая пользователя за 5 минут).
В данной GPO (WorkstationWSUSPolicy) мы указываем:
Computer Configuration -> Policies-> Administrative templates-> Windows Component-> Windows Update
- Allow Automatic Updates immediate installation (Разрешить немедленную установку автоматических обновлений): Disabled — запрет на немедленную установку обновлений при их получении;
- Allow non-administrators to receive update notifications (Разрешить пользователям, не являющимся администраторами, получать уведомления об обновлениях): Enabled — отображать не-администраторам предупреждение о появлении новых обновлений и разрешить их ручную установку;
- Configure Automatic Updates: Enabled. Configure automatic updating: 4 — Auto download and schedule the install. Scheduled install day: 0 — Every day. Scheduled install time: 05:00 – при получении новых обновлений клиент скачивает в локлаьный кэш и планирует их автоматическую установку на 5:00 утра;
- Enable client-side targeting: Workstation – в консоли WSUS отнести клиента к группе Workstation;
- No auto-restart with logged on users for scheduled automatic updates installations: Disabled — система автоматически перезагрузится через 5 минут после окончания установки обновлений;
- Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates: http://server1:8530, Set the intranet statistics server: http://server1:8530 –адрес корпоративного WSUS сервера.
- Do not allow update deferral policies to cause scans against Windows Update — Отключение обновления из интернета , если не доступен wsus
Включим в этой же политике принудительный запуск обновлений windows
Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services найдите службу Windows Update и задайте для нее автоматический запуск (Automatic).
Назначаем политики WSUS на OU Active Directory
Следующий шаг – назначить созданные политики на соответствующие контейнеры (OU) Active Directory. В нашем примере структура OU в домене AD максимально простая: имеются два контейнера – Servers (в нем содержаться все сервера организации, помимо контроллеров домена) и Workstation (Workstations –компьютеры пользователей).
Чтобы назначить политику на OU, щелкните в консоли управления групповыми политиками по нужному OU, выберите пункт меню Link as Existing GPO и выберите соответствующую политику.
Осталось обновить групповые политики на клиентах для привязки клиента к серверу WSUS:
gpupdate /force
и получить обновления на клиенте , после они появятся в списке
С помощью сервера обновлений Windows Server Update Services (WSUS) вы можете развернуть собственную централизованную систему обновления продуктов Microsoft (операционных систем Widows, Office, SQL Server, Exchange и т.д.) на компьютерах и серверах в локальной сети компании. В этой статье мы рассмотрим, как установить и настроить сервер обновлений WSUS в Windows Server 2019/2016/2012R2.
Содержание:
- Установка роли WSUS в Windows Server
- Начальная настройка сервера обновлений WSUS в Windows Server
- Установка консоли администрирования WSUS в Windows 10/11
- Оптимизация производительности WSUS
Как работает WSUS?
Сервер WSUS реализован в виде отдельной роли Windows Server. В общих словах сервис WSUS можно описать так:
- После установки сервер WSUS по расписанию синхронизируется с серверами обновлений Microsoft Update в Интернете и скачивает новые обновления для выбранных продуктов;
- Администратор WSUS выбирает, какие обновления нужно установить на рабочие станции и сервера компании и одобряет их установку;
- Клиенты WSUS в локальной сети скачивают и устанавливают обновления с вашего сервера обновлений согласно настроенным политикам.
Установка роли WSUS в Windows Server
Начиная с Windows Server 2008, сервис WSUS выделен в отдельную роль, которую можно установить через консоль управления сервером или с помощью PowerShell.
Если вы развертываете новый сервер WSUS, рекомендуется сразу устанавливать его на последнем релизе Windows Server 2022 (возможна установка на Windows Serve Core).
Чтобы установить WSUS, откройте консоль Server Manager и отметьте роль Windows Server Update Services (система автоматически выберет и предложит установить необходимые компоненты веб сервера IIS).
В следующем окне нужно выбрать, какие компоненты WSUS нужно установить. Обязательно отметьте опцию WSUS Services. Две следующие опции зависят от того, какую базу данных вы планируете использовать для WSUS.
Настройки сервера, метаданные обновлений, информация о клиентах WSUS хранятся в базе данных SQL Server. В качестве базы данных WSUS вы можете использовать:
- Windows Internal Database (WID) – встроенную базу данных Windows, опция WID Connectivity (это рекомендуемый и работоспособный вариант даже для больших инфраструктур);
- Отдельную базу Microsoft SQL Server, развернутую на локальном или удаленном сервере. Вы можете использовать редакции MS SQL Enterprise, Standard (требуют лицензирования) или бесплатную Express редакцию. Это опция SQL Server Connectivity.
Внутреннюю базу Windows (Windows Internal Database) рекомендуется использовать, если:
- У вас отсутствуют лицензии MS SQL Server;
- Вы не планируется использовать балансировку нагрузки на WSUS (NLB WSUS);
- При развертывании дочернего сервера WSUS (например, в филиалах). В этом случае на вторичных серверах рекомендуется использовать встроенную базу WSUS.
В бесплатной SQL Server Express Edition максимальный размер БД ограничен 10 Гб. Ограничение Windows Internal Database – 524 Гб. Например, в моей инфраструктуре размер базы данных WSUS на 3000 клиентов составил около 7Гб.
При установке роли WSUS и MS SQL Server на разных серверах есть ряд ограничений:
- SQL сервер с БД WSUS не может быть контроллером домена Active Directory;
- Сервер WSUS нельзя разворачивать на хосте с ролью Remote Desktop Services.
База WID по умолчанию называется SUSDB.mdf и хранится в каталоге windir%widdata. Эта база поддерживает только Windows аутентификацию (но не SQL). Инстанс внутренней (WID) базы данных для WSUS называется server_nameMicrosoft##WID.
Базу WID можно администрировать через SQL Server Management Studio (SSMS), если указать в строке подключения
\.pipeMICROSOFT##WIDtsqlquery
.
Если вы хотите хранить файлы обновлений локально на сервере WSUS, включите опцию Store updates in the following locations и укажите путь к каталогу. Это может быть папка на локальном диске (рекомендуется использовать отдельный физический или логический том), или сетевой каталог (UNC путь). Обновления скачиваются в указанный каталог только после их одобрения администратором WSUS.
Размер базы данных WSUS сильно зависит от количества продуктов и версий ОС Windows, которое вы планируете обновлять. В большой организации размер файлов обновлений на WSUS сервере может достигать сотни Гб.
Если у вас недостаточно места на дисках для хранения файлов обновлений, отключите эту опцию. В этом случае клиенты WSUS будут получать одобренный файлы обновлений из Интернета (вполне рабочий вариант для небольших сетей).
Также вы можете установить сервер WSUS с внутренней базой данный WID с помощью PowerShell командлета Install-WindowsFeature:
Install-WindowsFeature -Name UpdateServices, UpdateServices-WidDB, UpdateServices-Services, UpdateServices-RSAT, UpdateServices-API, UpdateServices-UI –IncludeManagementTools
Начальная настройка сервера обновлений WSUS в Windows Server
После окончания установки роли WSUS вам нужно выполнить его первоначальную настройку. Откройте Server Manager и выберите Post-Deployment Configuration -> Launch Post-Installation tasks.
Для управления WSUS из командной строки можно использовать консольную утилиту
WsusUtil.exe
. Например, чтобы указать путь к каталогу с файлами обновлений WSUS, выполните:
CD "C:Program FilesUpdate ServicesTools"
WsusUtil.exe PostInstall CONTENT_DIR=E:WSUS
Или, например, вы можете перенастроить ваш WSUS на внешнюю базу данных SQL Server:
wsusutil.exe postinstall SQL_INSTANCE_NAME="SQLSRV1SQLINSTANCEWSUS" CONTENT_DIR=E:WSUS_Content
Затем откройте консоль Windows Server Update Services. Запустится мастер первоначальной настройки сервера обновлений WSUS.
Укажите, будет ли сервер WSUS скачивать обновления с сайта Microsoft Update напрямую (Synchronize from Microsoft Update) или он должен получать их с вышестоящего WSUS сервера (Synchronize from another Windows Update Services server). Дочерние WSUS сервера обычно развертываются на удаленных площадках с большим количеством клиентов (300+) для снижения нагрузки на WAN канал.
Если в вашей сети используется прокси-сервер для доступа в Интернет, далее нужно указать адрес и порт прокси сервера, и логин/пароль для аутентификации.
Проверьте подключение к вышестоящему серверу обновлений (или Windows Update). Нажмите кнопку Start Connecting.
Выберите языки продуктов, для которых WSUS будет получать обновления. Мы укажем English и Russian (список языков может быть в дальнейшем изменен из консоли WSUS).
Затем выберите продукты, для которых WSUS должен скачивать обновления. Выберите только те продукты Microsoft, которые используются в Вашей корпоративной сети. Например, если вы уверены, что в вашей сети не осталось компьютеров с Windows 7 или Windows 8, не выбирайте эти опции.
Обязательно включите в классификации следующие общие разделы:
- Developer Tools, Runtimes, and Redistributable — для обновления библиотек Visual C++ Runtime
- Windows Dictionary Updates в категории Windows
- Windows Server Manager – Windows Server Update Services (WSUS) Dynamic Installer
На странице Classification Page, нужно указать типы обновлений, которые будут распространяться через WSUS. Рекомендуется обязательно указать: Critical Updates, Definition Updates, Security Packs, Service Packs, Update Rollups, Updates.
Обновления редакций (билдов) Windows 10 (21H2, 20H2, 1909 и т.д.) в консоли WSUS входят в класс Upgrades.
Настройте расписание синхронизации обновлений. В большинстве случаев рекомендуется использовать автоматическую ежедневную синхронизацию сервера WSUS с серверами обновлений Microsoft Update. Рекомендуется выполнять синхронизацию в ночные часы, чтобы не загружать канал Интернет в рабочее время.
Первоначальная синхронизация сервера WSUS с вышестоящим сервером обновлений может занять несколько дней (в зависимости от количества продуктов, которое вы выбрали ранее).
После окончания работы мастера запустится консоль WSUS.
Консоль WSUS состоит из нескольких разделов:
- Updates – обновления, доступные на сервере WSUS (здесь можно управлять одобрением обновлений и назначать их для установки)
- Computers – здесь можно создать группы клиентов WSUS (компьютеры и серверы)
- Downstream Servers – позволяет настроить, будете ли вы получать из обновления Windows Update или вышестоящего сервера WSUS
- Syncronizations –расписание синхронизации обновлений
- Reports – отчёты WSUS
- Options – настройка сервера WSUS
Клиенты теперь могут получать обновления, подключившись к WSUS серверу по порту 8530 (в Windows Server 2003 и 2008 по умолчанию использоваться 80 порт). Проверьте, что этот порт открыт на сервере обновлений:
Test-NetConnection -ComputerName wsussrv1 -Port 8530
Можно использовать защищенное SSL подключение по порту 8531. Для этого нужно привязать сертификат в IIS.
Если порт закрыт, создайте соответствующее правило в Windows Defender Firewall.
Установка консоли администрирования WSUS в Windows 10/11
Для администрирования сервера обновления WSUS используется консоль Windows Server Update Services (
wsus.msc
). Вы можете управлять серверов WSUS как с помощью локальной консоли, так и по сети с удаленного компьютера.
Консоль администрирования WSUS для десктопных компьютеров с Windows 10 или 11 входит в состав RSAT. Для установки компонента Rsat.WSUS.Tool, выполните следующую PowerShell команду:
Add-WindowsCapability -Online -Name Rsat.WSUS.Tools~~~~0.0.1.0
Если вы хотите установить консоль WSUS в Windows Server, выполните команду:
Install-WindowsFeature -Name UpdateServices-Ui
При установке WSUS в Windows Server создаются две дополнительные локальные группы. Вы можете использовать их для предоставления доступа пользователям к консоли управления WSUS.
- WSUS Administrators
- WSUS Reporters
Для просмотра отчетов по установленным обновлениям и клиентам на WSUS нужно установить:
- Microsoft System CLR Types для SQL Server 2012 (SQLSysClrTypes.msi);
- Microsoft Report Viewer 2012 Runtime (ReportViewer.msi).
Если компоненты не установлен, при формировании любого отчета WSUS появится ошибка:
The Microsoft Report Viewer 2012 Redistributable is required for this feature. Please close the console before installing this package.
Оптимизация производительности WSUS
В этом разделе опишем несколько советов, касающихся оптимизации производительности сервера обновлений WSUS в реальных условиях.
- Для нормальной работы WSUS на сервере обновлений нужно должно быть свободным минимум 4 Гб RAM и 2CPU;
- При большом количестве клиентов WSUS (более 1500) вы можете столкнутся с существенным снижением производительность пула IIS WsusPoll, который раздает обновления клиентам. Может появляться ошибка 0x80244022 на клиентах, или при запуске консоль WSUS падать с ошибкой Error: Unexpected Error + Event ID 7053 в Event Viewer (The WSUS administration console has encountered an unexpected error. This may be a transient error; try restarting the administration console. If this error persists).
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:
Import-Module WebAdministration
Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name queueLength -Value 2500
Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name cpu.resetInterval -Value "00.00:15:00"
Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name recycling.periodicRestart.privateMemory -Value 0
Set-ItemProperty -Path IIS:AppPoolsWsusPool -Name failure.loadBalancerCapabilities -Value "TcpLevel" - Включите автоматическое одобрения для обновлений антивируса Microsoft В противном случае WSUS станет существенно тормозить и потреблять всю доступную оперативную память.
Для решения проблемы нужно добавить RAM на сервер и оптимизировать настройки пула IIS в соответствии с рекомендациями в статье. Воспользуетесь такими командами:Антивирусные проверки могут негативно влиять на производительность WSUS. Во встроенном Microsoft Defender антивирусе в Windows Server рекомендуется исключить следующие папки из области проверки:
- WSUSWSUSContent;
- %windir%widdata;
- SoftwareDistributionDownload.
В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».
Автор: Денис Васильев
Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.
Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.
В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».
Установка WSUS
В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).
рис. 1
Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:
- Операционная система: Windows Server 2003 SP1 и выше.
- Дополнительные роли сервера: IIS 6.0 и выше
- Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
- Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).
Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).
рис. 2
Настройка сервера WSUS
Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»
В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).
рис. 3
При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).
рис . 4
В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.
рис. 5
В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).
рис. 6
В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7).
рис. 7
В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».
рис. 8
После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)
рис. 9
Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.
рис. 10
После всех настроек необходимо добавить компьютеры в службу WSUS.
Добавление компьютеров в службу WSUS
Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.
Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».
В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)
рис.11
В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).
рис. 12
Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).
рис. 13
В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).
рис. 14
Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».
В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.
Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).
рис. 15
Управление обновлениями
Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.
рис. 16
После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.
Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).
Господа, удачных вам обновлений
Данная статья предназначена для тех, кто искал подробное и понятное руководство о том, как установить и настроить роль Windows Server Update Services на Windows Server 2012 R2.
В этом руководстве мы будем рассматривать тот случай, когда у вас уже есть сервер с установленной на нем операционной системой Windows Server 2012 R2.
Подробно о том, как установить Windows Server 2012 R2, вы можете прочитать в моем руководстве “Установка Windows Server 2012 R2”.
Узнать о том, как установить Active Directory Domain Services на Windows Server 2012 R2, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2012 R2”.
Перед началом установки роли Windows Server Update Services необходимо присвоить серверу корректное имя в соответствии со стандартами вашей организации, а затем указать статический IP-адрес в настройках сетевого подключения. Кроме того сервер необходимо добавить в домен.
В моем руководстве “Базовая настройка Windows Server 2012 R2” вы можете прочитать о том, как произвести базовые настройки Windows Server 2012 R2 и добавить сервер в домен.
Обратите внимание, перед установкой обновлений на промышленные сервера необходимо протестировать установку обновлений на тестовых серверах.
Переходим на будущий сервер обновлений и заходим в систему под учетной записью с правами администратора.
Первым делом необходимо продумать, в какую папку будут загружаться обновления. Для хранения загруженных обновлений лучше всего использовать папку на отдельном локальном диске. Объем свободного места на выделенном диске должен быть не меньше 10 Gb.
Создадим новую папку для обновлений.
Переходим на дополнительный локальный диск и нажимаем правой кнопкой мыши на свободном месте, в открывшемся меню выбираем “New”, затем “Folder”.
Указываем имя для новой папки и нажимаем на кнопку “Enter”.
Новая папка для обновлений готова.
Теперь можно приступить к установке роли “Windows Server Update Services”.
Открываем “Server Manager”, нажимаем на кнопку “Manage” в правом верхнем углу экрана и выбираем “Add Roles and Features”.
Нажимаем на кнопку “Next”.
Выбираем тип установки “Role-based or feature-based installation” и нажимаем на кнопку “Next”.
Далее выбираем сервер, на который будет производиться установка роли.
Нажимаем на кнопку “Next”.
Выбираем роль “Windows Server Update Services”.
На следующем этапе “Мастер установки ролей” предупредит, что для установки роли “Windows Server Update Services” нужно установить несколько компонентов.
Нажимаем на кнопку “Add Features”.
Нажимаем на кнопку “Next”.
На этапе добавления компонентов оставляем все значения по умолчанию.
Нажимаем на кнопку “Next”.
Далее “Мастер установки ролей” предлагает ознакомиться с дополнительной информацией касательно роли “Windows Server Update Services”.
Нажимаем на кнопку “Next”.
Теперь необходимо выбрать, где служба обновлений будет хранить свои служебные данные. Для этого можно использовать SQL Server или хранить данные во внутренней базе данных Windows (WID — Windows Internal Database). WID не имеет ограничения на размер базы данных и не требует дополнительной лицензии для использования.
В данном руководстве для хранения данных будет использоваться Windows Internal Database.
Выбираем “WID Database” и “WSUS Services”.
Нажимаем на кнопку “Next”.
Указываем путь к ранее созданной папке, где планируется хранить загруженные обновления.
Нажимаем на кнопку “Next”.
На следующем этапе “Мастер установки ролей” предупредит, что для работы роли “Windows Server Update Services” будет дополнительно установлена роль веб-сервера “Internet Information Services”.
На этапе добавления компонентов оставляем все значения по умолчанию.
Нажимаем на кнопку “Next”.
Для того чтобы начать установку выбранной роли, нажимаем на кнопку “Install”.
Началась установка выбранной роли и необходимых для нее компонентов.
Установка роли “Windows Server Update Services” завершена.
Теперь нажимаем на кнопку “Launch Post-Installation tasks”, для того чтобы “Мастер установки ролей” запустил задачи по первичной настройке новой роли.
Начался процесс выполнения задач по первичной настройке новой роли.
Процесс выполнения задач по первичной настройке новой роли завершен.
Нажимаем на кнопку “Close”.
Теперь необходимо произвести базовую настройку роли Windows Server Update Services.
Возвращаемся в “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Windows Server Update Services”.
Нажимаем на кнопку “Next”.
Далее предлагается принять участие в программе по улучшению качества.
Снимаем галочку “Yes, I would like to join the Microsoft Update Improvement Program” и нажимаем на кнопку “Next”.
Теперь необходимо выбрать источник, откуда ваш сервер будет загружать обновления для дальнейшего распространения их в локальной сети. Для этого можно использовать сервера компании Microsoft или загружать обновления с другого сервера с ролью Windows Server Update Services в вашей локальной сети.
В данном руководстве сервер будет загружать обновления через Интернет с серверов компании Microsoft.
Выбираем “Synchronize from Microsoft Update” и нажимаем на кнопку “Next”.
Далее можно указать настройки для подключения к сети Интернет через прокси-сервер.
В данном руководстве прокси-сервер не используется.
Нажимаем на кнопку “Next”.
Теперь необходимо подключиться к источнику с обновлениями, чтобы получить сведения о доступных обновлениях.
Нажимаем на кнопку “Start Connecting”.
Процесс подключения к источнику с обновлениями завершен.
Нажимаем на кнопку “Next”.
Далее необходимо выбрать, для каких языков нужно загружать обновления.
Выбираем нужные языки и нажимаем на кнопку “Next”.
Теперь необходимо выбрать, для каких продуктов нужно загружать обновления.
В данном руководстве будут устанавливаться обновления для операционной системы Windows Server 2012 R2.
Выбираем, для каких продуктов планируется устанавливать обновления, и нажимаем на кнопку “Next”.
Далее необходимо выбрать нужные обновления по классификации.
Выбираем все классификации кроме “Drivers” и “Update Rollups”.
Обратите внимание, обновления, которые относятся к классификациям “Drivers” и “Update Rollups”, не рекомендуется устанавливать, используя сервер обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
Нажимаем на кнопку “Next”.
Теперь необходимо выбрать расписание, по которому ваш сервер будет загружать обновления для дальнейшего распространения их в локальной сети.
В данном руководстве сервер будет загружать обновления каждый день автоматически.
Выбираем “Synchronize automatically” и указываем удобное для вас время загрузки обновлений на ваш сервер.
Нажимаем на кнопку “Next”.
Теперь можно запустить процесс первоначальной синхронизации с серверами компании Microsoft.
Ставим галочку на пункте “Begin initial synchronization” и нажимаем на кнопку “Next”.
Далее буду даны рекомендации по дальнейшей настройке роли Windows Server Update Services.
Нажимаем на кнопку “Finish”.
Базовая настройка роли Windows Server Update Services произведена.
Теперь необходимо создать групповую политику, которая распространит информацию о вашем сервере обновлений на компьютеры для последующей загрузки обновлений с вашего сервера.
В данном руководстве будет рассматриваться единая групповая политика для серверов и рабочих станций.
Обратите внимание, в промышленной среде рекомендуется использовать индивидуальные групповые политики для каждого типа компьютеров.
Переходим на контроллер домена и заходим в систему под учетной записью с правами администратора домена.
Открываем “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Group Policy Management”.
Нажимаем правой кнопкой мыши на имя домена и выбираем “Create a GPO in this domain, and Link it here”.
Указываем имя для новой групповой политики и нажимаем на кнопку “OK”.
Далее нажимаем на новую политику правой кнопкой мыши и выбираем “Edit”.
В редакторе групповой политики переходим в раздел “Computer Configuration”, затем в подраздел “Policies”, далее находим раздел “Administrative Templates” и выбираем “Windows Components”, затем “Windows Update”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Enabling Windows Update Power Management to automatically wake up the system to install scheduled updates”.
Данная настройка позволяет выводить систему из режима сна для установки обновлений.
Выбираем “Enabled”.
Обратите внимание, если групповая политика рассчитана только для серверов, то эту настройку можно не применять.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Configure Automatic Updates”.
Данная настройка позволяет выбрать параметры установки обновлений и расписание, по которому они будут устанавливаться.
Выбираем “Enabled”.
В данном руководстве обновления будут автоматически загружаться и устанавливаться каждый день в четыре часа вечера на все компьютеры.
Обратите внимание, в промышленной среде для важных серверов не рекомендуется использовать автоматическую установку обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
В разделе “Configure automatic updating” выбираем “Auto download and schedule the install”.
В разделе “Scheduled install day” выбираем удобное расписание для установки обновлений”.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Specify intranet Microsoft update service location”.
Данная настройка позволяет указать адрес вашего сервера обновлений.
Выбираем “Enabled”.
В поле “Set the intranet update service for detecting updates” указываем адрес, по которому ваш сервер обновлений доступен в локальной сети по протоколу HTTP, и порт 8530.
В поле “Set the intranet statistics server” указываем адрес, по которому ваш сервер обновлений доступен в локальной сети по протоколу HTTP, и порт 8530.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Automatic Updates detection frequency”.
Данная настройка позволяет установить интервал проверки на наличие новых обновлений на вашем сервере обновлений.
Выбираем “Enabled”.
В данном руководстве проверка на наличие новых обновлений будет проводиться один раз в час.
В поле “Interval (hours)” указываем удобный интервал для установки обновлений.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Allow Automatic Updates immediate installation”.
Данная настройка позволяет немедленно начать установку обновлений, после того как они будут загружены и подготовлены к установке на целевых компьютерах.
Выбираем “Enabled”.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “Turn on recommended updates via Automatic Updates”.
Данная настройка позволяет устанавливать на компьютеры не только важные обновления, но и рекомендуемые.
Выбираем “Enabled”.
Нажимаем на кнопку “OK”.
Далее нажимаем два раза левой кнопкой мыши на пункт “No auto-restart with logged on users for scheduled automatic updates installation”.
Данная настройка позволяет запретить автоматическую перезагрузку компьютера, если на него вошел пользователь.
Выбираем “Enabled”.
Нажимаем на кнопку “OK”.
Теперь проверим применение групповой политики.
Для этого необходимо запустить обновление групповых политик на компьютере, который попадает под действие новой групповой политики и на который требуется установить обновления.
В данном руководстве в качестве компьютера, на который будут устанавливаться обновления, используется сервер на базе операционной системы Windows Server 2012 R2, который выполняет роль контроллера домена.
Нажимаем “Start”, указываем в строке поиска “cmd”, затем нажимаем правой кнопкой мыши на “Command Prompt” и выбираем “Run as administrator”.
Ускорим применение новой политики на сервер с помощью команды:
gpupdate /force
Обновления групповых политик успешно завершено.
Теперь проверим, что сервер получил необходимые настройки для загрузки обновлений с сервера, на котором установлена роль Windows Server Update Services.
Переходим в меню “Start” и нажимаем кнопку “Control Panel”.
Далее переходим в раздел “System and Security”.
Выбираем раздел “Windows Update”.
Если вы все сделали правильно, то в разделе “Windows Update” в пункте “You receive updates” должно отображаться “Managed by your system administrator”.
Теперь необходимо создать новую группу компьютеров, разрешить установку определенных обновлений на эту группу и добавить в эту группу компьютеры, на которые планируется устанавливать обновления.
Возвращаемся на сервер, на котором установлена роль Windows Server Update Services.
Заходим в систему под учетной записью с правами администратора.
Открываем “Server Manager”, нажимаем на кнопку “Tools” в правом верхнем углу экрана и выбираем “Windows Server Update Services”.
Переходим в раздел “Computers” и нажимаем правой кнопкой мыши на подраздел “All Computers”. В открывшемся меню выбираем “Add Computer Group”.
В данном руководстве будет использоваться группа “Servers”, куда будут добавляться сервера, на которые требуется установить обновления.
Указываем имя для новой группы компьютеров и нажимаем на кнопку “Add”.
Теперь в новую группу необходимо добавить компьютеры, на которые требуется установить обновления.
В данном руководстве в качестве компьютера, куда будут устанавливаться обновления, используется сервер, который выполняет роль контроллера домена.
Переходим в раздел “Computers”, затем в подраздел “Unassigned Computers”. В меню “Status” выбираем “Any” и нажимаем на кнопку “Refresh”.
В этом подразделе появляются все компьютеры, на которые распространилась информация о вашем сервере обновлений.
Нажимаем правой кнопкой мыши на компьютер, на который требуется установить обновления, и в открывшемся меню выбираем “Change Membership”.
Указываем группу компьютеров, в которую необходимо добавить компьютер и нажимаем на кнопку “OK”.
Переходим в раздел “Computers”, затем в подраздел “Servers”. В меню “Status” выбираем “Any” и нажимаем на кнопку “Refresh”.
Компьютер успешно добавлен в группу “Servers”.
Теперь необходимо разрешить установку обновлений на новую группу компьютеров.
В разделе “Updates” переходим в подраздел “All Updates” и в правой части экрана выбираем необходимые для установки обновления.
В данном руководстве будут разрешены все обновления для операционной системы Windows Server 2012 R2.
Выбираем обновления, которые необходимо разрешить для установки, и нажимаем на кнопку “Approve”.
Теперь нужно выбрать группу компьютеров, на которую нужно разрешить установку выбранных обновлений.
Выбираем “Servers”, и в открывшемся меню выбираем “Approved for Install”.
Все готово к разрешению на установку выбранных обновлений на группу “Servers”.
Нажимаем на кнопку “OK”.
Обновления успешно разрешены для установки на выбранную группу компьютеров.
Нажимаем на кнопку “Close”.
Теперь необходимо подождать, и через некоторое время на указанную группу компьютеров будут загружены и установлены только те обновления, которые были разрешены.
Теперь можно создать правило для автоматического разрешения новых обновлений.
Обратите внимание, в промышленной среде для важных серверов не рекомендуется использовать правила для автоматического разрешения обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
В разделе “Options” выбираем “Automatic Approvals”.
Нажимаем на кнопку “New Rule”.
В разделе “Step 1: Select properties” ставим галочку на пункте “When an update is in a specific classification”, чтобы указать для каких классификаций обновления будут разрешаться автоматически.
Затем ставим галочку на пункте “When an update is in a specific product”, чтобы указать для каких продуктов обновления будут разрешаться автоматически.
В разделе “Step 2: Edit the properties” выбираем “Any classification”.
Далее необходимо выбрать нужные обновления по классификации.
Выбираем все классификации кроме “Drivers” и “Update Rollups”.
Обратите внимание, обновления, которые относятся к классификациям “Drivers” и “Update Rollups”, не рекомендуется устанавливать, используя сервер обновлений, чтобы иметь возможность полностью контролировать процесс установки и, таким образом, минимизировать получение ошибок в ходе обновления.
Нажимаем на кнопку “OK”.
Теперь необходимо выбрать для каких продуктов нужно автоматически разрешать обновления.
В разделе “Step 2: Edit the properties” выбираем “Any product”.
В данном руководстве будут автоматически разрешаться обновления для операционной системы Windows Server 2012 R2.
Выбираем продукты, на которые планируется устанавливать обновления, и нажимаем на кнопку “OK”.
Теперь необходимо выбрать для какой группы компьютеров необходимо автоматически разрешать обновления.
В разделе “Step 2: Edit the properties” выбираем “All computers”.
В данном руководстве в качестве группы, на которую необходимо автоматически разрешать обновления, используется группа “Servers”.
Выбираем группу компьютеров, для которой необходимо автоматически разрешать обновления, и нажимаем на кнопку “OK”.
Теперь необходимо указать имя для нового правила.
В разделе “Step 3: Specify a name” указываем имя для нового правила и нажимаем на кнопку “OK”.
Создание правила для автоматического разрешения новых обновлений завершено.
Ставим галочку на новом правиле и нажимаем на кнопку “OK”.
Теперь проверим, установились ли обновления.
Через день возвращаемся на компьютер, на котором должны были установиться обновления.
В данном руководстве в качестве компьютера, на который устанавливались обновления, использовался контроллер домена.
Заходим в систему под учетной записью с правами администратора домена и переходим в меню “Start”.
Теперь переходим в раздел “System and Security”.
Выбираем раздел “Windows Update”.
Обновления успешно установились на сервер.
Чтобы завершить установку обновлений необходимо перезагрузить сервер.
Нажимаем на кнопку “Restart now”.
| title | description | ms.topic | ms.assetid | ms.author | author | manager | ms.date |
|---|---|---|---|---|---|---|---|
|
Step 2 — Configure WSUS |
Windows Server Update Services (WSUS) topic — Configure WSUS is step two in a four-step process for deploying WSUS. |
article |
d4adc568-1f23-49f3-9a54-12a7bec5f27c |
jgerend |
JasonGerend |
mtillman |
9/18/2020 |
Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
After you install the Windows Server Update Services (WSUS) server role on your server, you need to properly configure it. You also need to configure your client computers to receive their updates from the WSUS server.
This article walks you through the following procedures:
| Task | Description |
|---|---|
| 2.1. Configure network connections | Configure your firewall and proxy settings to allow the server to make the connections that it needs. |
| 2.2. Configure WSUS by using the WSUS Configuration Wizard | Use the WSUS Configuration Wizard to perform the base WSUS configuration. |
| 2.3. Secure WSUS with the Secure Sockets Layer protocol | Configure the Secure Sockets Layer (SSL) protocol to help protect WSUS. |
| 2.4. Configure WSUS computer groups | Create computer groups in the WSUS Administration Console to manage updates in your organization. |
| 2.5. Configure client computers to establish SSL connections with the WSUS server | Set up the client computers to establish secure connections to the WSUS server. |
| 2.6. Configure client computers to receive updates from the WSUS server | Set up the client computers to receive their updates from the WSUS server. |
2.1. Configure network connections
Before you start the configuration process, be sure that you know the answers to the following questions:
-
Is the server’s firewall configured to allow clients to access the server?
-
Can this computer connect to the upstream server (such as the server that’s designated to download updates from Microsoft Update)?
-
Do you have the name of the proxy server and the user credentials for the proxy server, if you need them?
You can then start configuring the following WSUS network settings:
-
Updates: Specify the way this server will get updates (from Microsoft Update or from another WSUS server).
-
Proxy: If you identified that WSUS needs to use a proxy server to have internet access, you need to configure proxy settings in the WSUS server.
-
Firewall: If you identified that WSUS is behind a corporate firewall, you’ll have to take additional steps at the edge device to allow WSUS traffic.
[!IMPORTANT]
If you only have one WSUS server, it must have internet access, because it needs to download updates from Microsoft. If you have multiple WSUS servers, only one server needs internet access. The others only need network access to the internet-connected WSUS server. Your client computers don’t need internet access; they only need network access to a WSUS server.
[!TIP]
If your network is «air gapped»—if it does not have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. This approach requires two WSUS servers. One WSUS server with internet access collects the updates from Microsoft. A second WSUS server on the protected network serves the updates to the client computers. Updates are exported from the first server onto removable media, carried across the air gap, and imported onto the second server. This is an advanced configuration that’s beyond the scope of this article.
2.1.1. Configure your firewall to allow your first WSUS server to connect to Microsoft domains on the internet
If a corporate firewall is between WSUS and the internet, you might have to configure that firewall to ensure that WSUS can get updates. To get updates from Microsoft Update, the WSUS server uses ports 80 and 443 for the HTTP and HTTPS protocols. Although most corporate firewalls allow this type of traffic, some companies restrict internet access from the servers because of security policies. If your company restricts access, you’ll need to configure your firewall to allow your WSUS server to access Microsoft domains.
Your first WSUS server must have outbound access to ports 80 and 443 on the following domains:
-
http://windowsupdate.microsoft.com
-
http://*.windowsupdate.microsoft.com
-
https://*.windowsupdate.microsoft.com
-
http://*.update.microsoft.com
-
https://*.update.microsoft.com
-
http://*.windowsupdate.com
-
http://download.windowsupdate.com
-
https://download.microsoft.com
-
http://*.download.windowsupdate.com
-
http://wustat.windows.com
-
http://ntservicepack.microsoft.com
-
http://go.microsoft.com
-
http://dl.delivery.mp.microsoft.com
-
https://dl.delivery.mp.microsoft.com
-
http://*.delivery.mp.microsoft.com
-
https://*.delivery.mp.microsoft.com
[!IMPORTANT]
You must configure your firewall to allow the first WSUS server to access any URL within these domains. The IP addresses associated with these domains are constantly changing, so don’t try to use IP address ranges instead.
For a scenario in which WSUS is failing to get updates because of firewall configurations, see article 885819 in the Microsoft Knowledge Base.
2.1.2. Configure the firewall to allow your other WSUS servers to connect to the first server
If you have multiple WSUS servers, you should configure the other WSUS servers to access the first («topmost») server. Your other WSUS servers will receive all their update information from the topmost server. This configuration allows you to manage your entire network by using the WSUS Administration Console on the topmost server.
Your other WSUS servers must have outbound access to the topmost server through two ports. By default, these are ports 8530 and 8531. You can change these ports, as described later in this article.
[!NOTE]
If the network connection between the WSUS servers is slow or expensive, you can configure one or more of the other WSUS servers to receive update payloads directly from Microsoft. In this case, only a small amount of data will be sent from those WSUS servers to the topmost server. For this configuration to work, the other WSUS servers must have access to the same internet domains as the topmost server.
[!NOTE]
If you have a large organization, you can use chains of connected WSUS servers, rather than having all your other WSUS servers connect directly to the topmost server. For example, you can have a second WSUS server that connects to the topmost server, and then have other WSUS servers connect to the second WSUS server.
2.1.3. Configure your WSUS servers to use a proxy server, if needed
If the corporate network uses proxy servers, the proxy servers must support HTTP and HTTPS protocols. They also must use basic authentication or Windows authentication. You can meet these requirements by using one of the following configurations:
-
A single proxy server that supports two protocol channels. In this case, set one channel to use HTTP and the other channel to use HTTPS.
[!NOTE]
You can set up one proxy server that handles both protocols for WSUS during the installation of WSUS server software. -
Two proxy servers, each of which supports a single protocol. In this case, one proxy server is configured to use HTTP, and the other proxy server is configured to use HTTPS.
To set up WSUS to use two proxy servers
-
Log on to the computer that will be the WSUS server by using an account that’s a member of the Local Administrators group.
-
Install the WSUS server role. During the WSUS Configuration Wizard, don’t specify a proxy server.
-
Open a command prompt (Cmd.exe) as an administrator:
- Go to Start.
- In Start Search, type Command prompt.
- At the top of the start menu, right-click Command prompt, and then select Run as administrator.
- If the User Account Control dialog box appears, enter the appropriate credentials (if requested), confirm that the action that it displays is what you want, and then select Continue.
-
In the command prompt window, go to the C:Program FilesUpdate ServicesTools folder. Enter the following command:
wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enableIn that command:
-
proxy_server is the name of the proxy server that supports HTTPS.
-
proxy_port is the port number of the proxy server.
-
-
Close the command prompt window.
To add a proxy server to the WSUS configuration
-
Open the WSUS Administration Console.
-
On the left pane, expand the server name, and then select Options.
-
On the Options pane, select Update Source and Update Server, and then select the Proxy Server tab.
-
Select the Use a proxy server when synchronizing checkbox.
-
In the Proxy server name text box, enter the name of the proxy server.
-
In the Proxy port number text box, enter the port number of the proxy server. The default port number is 80.
-
If the proxy server requires that you use a specific user account, select the Use user credentials to connect to the proxy server checkbox. Enter the required user name, domain, and password into the corresponding text boxes.
-
If the proxy server supports basic authentication, select the Allow basic authentication (password is sent in cleartext) checkbox.
-
Select OK.
To remove a proxy server from the WSUS configuration
-
Clear the Use a proxy server when synchronizing checkbox.
-
Select OK.
2.1.4. Configure your firewall to allow client computers to access a WSUS server
Your client computers will all connect to one of your WSUS servers. The client computer must have outbound access to two ports on the WSUS server. By default, these are ports 8530 and 8531.
2.2. Configure WSUS by using the WSUS Configuration Wizard
This procedure assumes that you’re using the WSUS Configuration Wizard, which appears the first time you start the WSUS Management Console. Later in this topic, you’ll learn how to perform these configurations by using the Options page.
To configure WSUS
-
On the left pane of Server Manager, select Dashboard > Tools > Windows Server Update Services.
[!NOTE]
If the Complete WSUS Installation dialog box appears, select Run. In the Complete WSUS Installation dialog box, select Close when the installation successfully finishes. -
The WSUS Configuration Wizard opens. On the Before you Begin page, review the information, and then select Next.
-
Read the instructions on the Join the Microsoft Update Improvement Program page. Keep the default selection if you want to participate in the program, or clear the checkbox if you don’t. Then select Next.
-
On the Choose Upstream Server page, select one of the two options: Synchronize the updates with Microsoft Update or Synchronize from another Windows Server Update Services server.
If you choose to synchronize from another WSUS server:
-
Specify the server name and the port on which this server will communicate with the upstream server.
-
To use SSL, select the Use SSL when synchronizing update information checkbox. The servers will use port 443 for synchronization. (Make sure that this server and the upstream server support SSL.)
-
If this is a replica server, select the This is a replica of the upstream server checkbox.
-
-
After you select the options for your deployment, select Next.
-
On the Specify Proxy Server page, select the Use a proxy server when synchronizing checkbox. Then enter the proxy server name and port number (port 80 by default) in the corresponding boxes.
[!IMPORTANT]
You must complete this step if you identified that WSUS needs a proxy server to have internet access. -
If you want to connect to the proxy server by using specific user credentials, select the Use user credentials to connect to the proxy server checkbox. Then enter the user name, domain, and password of the user in the corresponding boxes.
If you want to enable basic authentication for the user who is connecting to the proxy server, select the Allow basic authentication (password is sent in cleartext) checkbox.
-
Select Next.
-
On the Connect to Upstream Server page, select start Connecting.
-
When WSUS connects to the server, select Next.
-
On the Choose Languages page, you have the option to select the languages from which WSUS will receive updates: all languages or a subset of languages. Selecting a subset of languages will save disk space, but it’s important to choose all the languages that all the clients of this WSUS server need.
If you choose to get updates only for specific languages, select Download updates only in these languages, and then select the languages for which you want updates. Otherwise, leave the default selection.
[!WARNING]
If you select the option Download updates only in these languages, and this server has a downstream WSUS server connected to it, this option will force the downstream server to also use only the selected languages. -
After you select the language options for your deployment, select Next.
-
The Choose Products page allows you to specify the products for which you want updates. Select product categories, such as Windows, or specific products, such as Windows Server 2012. Selecting a product category selects all the products in that category.
-
After you select the product options for your deployment, select Next.
-
On the Choose Classifications page, select the update classifications that you want to get. Choose all the classifications or a subset of them, and then select Next.
-
The Set Sync Schedule page enables you to select whether to perform synchronization manually or automatically.
-
If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.
-
If you select Synchronize automatically, the WSUS server will synchronize at set intervals.
Set the time for First synchronization, and then specify the number of synchronizations per day that you want this server to perform. For example, if you specify four synchronizations per day, starting at 3:00 AM, synchronizations will occur at 3:00 AM, 9:00 AM, 3:00 PM, and 9:00 PM.
-
-
After you select the synchronization options for your deployment, select Next.
-
On the Finished page, you have the option to start the synchronization now by selecting the Begin initial synchronization checkbox.
If you don’t select this option, you need to use the WSUS Management Console to perform the initial synchronization. Select Next if you want to read more about additional settings, or select Finish to conclude this wizard and finish the initial WSUS setup.
-
After you select Finish, the WSUS Administration Console appears. You’ll use this console to manage your WSUS network, as described later on.
2.3. Secure WSUS with the Secure Sockets Layer protocol
You should use the SSL protocol to help secure your WSUS network. WSUS can use SSL to authenticate connections and to encrypt and protect update information.
[!WARNING]
Securing WSUS by using the SSL protocol is important for the security of your network. If your WSUS server does not properly use SSL to secure its connections, an attacker might be able to modify crucial update information as it’s sent from one WSUS server to another, or from the WSUS server to the client computers. This will allow the attacker to install malicious software on client computers.
[!IMPORTANT]
Clients and downstream servers that are configured to use Transport Layer Security (TLS) or HTTPS must also be configured to use a fully qualified domain name (FQDN) for their upstream WSUS server.
2.3.1. Enable SSL/HTTPS on the WSUS server’s IIS service to use SSL/HTTPS
To begin the process, you must enable SSL support on the WSUS server’s IIS service. This effort involves creating an SSL certificate for the server.
The steps that are required to get an SSL certificate for the server are beyond the scope of this article and will depend on your network configuration. For more information and for instructions about how to install certificates and set up this environment, we suggest the following articles:
-
Suite B PKI step-by-step guide
-
Implementing and administering certificate templates
-
Active Directory Certificate Services upgrade and migration guide
-
Configure certificate autoenrollment
2.3.2. Configure the WSUS server’s IIS web server to use SSL for some connections
WSUS requires two ports for connections to other WSUS servers and to client computers. One port uses SSL/HTTPS to send update metadata (crucial information about the updates). By default, this is port 8531. A second port uses HTTP to send update payloads. By default, this is port 8530.
[!IMPORTANT]
You can’t configure the entire WSUS website to require SSL. WSUS is designed to encrypt update metadata only. This is the same way that Windows Update distributes updates.To guard against an attacker tampering with the update payloads, all update payloads are signed through a specific set of trusted signing certificates. In addition, a cryptographic hash is computed for each update payload. The hash is sent to the client computer over the secure HTTPS metadata connection, along with the other metadata for the update. When an update is downloaded, the client software verifies the payload’s digital signature and hash. If the update has been changed, it’s not installed.
You should require SSL only for these IIS virtual roots:
-
SimpleAuthWebService
-
DSSAuthWebService
-
ServerSyncWebService
-
APIremoting30
-
ClientWebService
You should not require SSL for these virtual roots:
-
Content
-
Inventory
-
ReportingWebService
-
SelfUpdate
The certificate of the certification authority (CA) must be imported into each WSUS server’s Trusted Root CA store for the local computer, or the Trusted Root CA store for WSUS if it exists.
For more information about how to use SSL certificates in IIS, see Require Secure Sockets Layer (IIS 7).
[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.
Normally, you should configure IIS to use port 8531 for HTTPS connections and port 8530 for HTTP connections. If you change these ports, you must use two adjacent port numbers. The port number used for HTTP connections must be exactly 1 less than the port number used for HTTPS connections.
You must reinitialize ClientServicingProxy if the server name, SSL configuration, or port number has changed.
2.3.3. Configure WSUS to use the SSL signing certificate for its client connections
-
Log on to the WSUS server by using an account that’s a member of the WSUS Administrators group or the Local Administrators group.
-
Go to Start, type CMD, right-click Command prompt, and then select Run as administrator.
-
Go to the %ProgramFiles%Update ServicesTools folder.
-
In the command prompt window, enter the following command:
wsusutil configuressl _certificateName_In that command, certificateName is the DNS name of the WSUS server.
2.3.4. Secure the SQL Server connection, if needed
If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server is not secured through SSL. This creates a potential attack vector. To help protect this connection, consider the following recommendations:
-
Move the WSUS database to the WSUS server.
-
Move the remote database server and the WSUS server to a private network.
-
Deploy Internet Protocol security (IPsec) to help secure network traffic. For more information about IPsec, see Creating and using IPsec policies.
2.3.5. Create a code-signing certificate for local publishing, if needed
In addition to distributing updates that Microsoft provides, WSUS supports local publishing. Local publishing allows you to create and distribute updates that you design yourself, with your own payloads and behaviors.
Enabling and configuring local publishing is beyond the scope of this article. For full details, see Local publishing.
[!IMPORTANT]
Local publishing is a complicated process and is often not needed. Before you decide to enable local publishing, you should carefully review the documentation and consider whether and how you’ll use this functionality.
2.4. Configure WSUS computer groups
Computer groups are an important part of using WSUS effectively. Computer groups permit you to test and target updates to specific computers. There are two default computer groups: All Computers and Unassigned Computers. By default, when each client computer first contacts the WSUS server, the server adds that client computer to both of these groups.
You can create as many custom computer groups as you need to manage updates in your organization. As a best practice, create at least one computer group to test updates before you deploy them to other computers in your organization.
2.4.1. Choose an approach for assigning client computers to computer groups
There are two approaches to assigning client computers to computer groups. The right approach for your organization will depend on how you typically manage your client computers.
-
Server-side targeting: This is the default approach. In this approach, you assign client computers to computer groups by using the WSUS Administration Console.
This approach gives you the flexibility to quickly move client computers from one group to another as circumstances change. But it means that new client computers must manually be moved from the Unassigned Computers group to the appropriate computer group.
-
Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.
This approach makes it easier to assign new client computers to the appropriate groups. You do so as part of configuring the client computer to receive updates from the WSUS server. But it means that client computers can’t be assigned to computer groups, or moved from one computer group to another, through the WSUS Administration Console. Instead, the client computers’ policies must be modified.
2.4.2. Enable client-side targeting, if appropriate
[!IMPORTANT]
Skip this step if you’ll use server-side targeting.
-
In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select options.
-
On the General tab on the Options pane, select Use Group Policy or registry settings on computers.
2.4.3. Create the desired computer groups
[!NOTE]
You must create computer groups by using the WSUS Administration Console, whether you use server-side targeting or client-side targeting to add client computers to the computer groups.
-
In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.
-
In the Add Computer Group dialog, for Name, specify the name of the new group. Then select Add.
2.5. Configure client computers to establish SSL connections with the WSUS server
Assuming that you’ve configured the WSUS server to help protect the client computers’ connections by using SSL, you must configure the client computers to trust those SSL connections.
The WSUS server’s SSL certificate must be imported into the client computers’ Trusted Root CA store, or into the client computers’ Automatic Update Service Trusted Root CA store if it exists.
[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.
The client computers must trust the certificate that you bind to the WSUS server. Depending on the type of certificate that’s used, you might have to set up a service to enable the client computers to trust the certificate that’s bound to the WSUS server.
If you’re using local publishing, you should also configure the client computers to trust the WSUS server’s code-signing certificate. For instructions, see Local publishing.
2.6. Configure client computers to receive updates from the WSUS server
By default, your client computers receive updates from Windows Update. They must be configured to receive updates from the WSUS server instead.
[!IMPORTANT]
This article presents one set of steps for configuring client computers by using Group Policy. These steps are appropriate in many situations. But many other options are available for configuring update behavior on client computers, including using mobile device management. These options are documented in Manage additional Windows Update settings.
2.6.1. Choose the correct set of policies to edit
If you’ve set up Active Directory in your network, you can configure one or multiple computers simultaneously by including them in a Group Policy Object (GPO), and then configuring that GPO with WSUS settings.
We recommend that you create a new GPO that contains only WSUS settings. Link this WSUS GPO to an Active Directory container that’s appropriate for your environment.
In a simple environment, you might link a single WSUS GPO to the domain. In a more complex environment, you might link multiple WSUS GPOs to several organizational units (OUs). Linking GPOs to OUs will enable you to apply WSUS policy settings to different types of computers.
If you don’t use Active Directory in your network, you’ll configure each computer by using the Local Group Policy Editor.
2.6.2. Edit policies to configure the client computers
[!NOTE]
These instructions assume that you’re using the most recent versions of the policy editing tools. On older versions of the tools, the policies might be arranged differently.
-
Open the appropriate policy object:
- If you’re using Active Directory, open the Group Policy Management Console, browse to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration and expand Policies.
- If you’re not using Active Directory, open the Local Group Policy Editor. The local computer policy appears. Expand Computer Configuration.
-
In the object that you expanded in the previous step, expand Administrative Templates, expand Windows components, expand Windows Update, and select Manage end user experience.
-
On the details pane, double-click Configure Automatic Updates. The Configure Automatic Updates policy opens.
-
Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how Automatic Updates will download and install approved updates.
We recommend using the Auto download and schedule the install setting. It ensures that the updates you approve in WSUS will be downloaded and installed in a timely fashion, without the need for user intervention.
-
If desired, edit other parts of the policy, as documented in Manage additional Windows Update settings.
[!NOTE]
The Install updates from other Microsoft products checkbox has no effect on client computers receiving updates from WSUS. The client computers will receive all updates approved for them on the WSUS server. -
Select OK to close the Configure Automatic Updates policy.
-
Back in the Windows Update node of the tree, select Manage updates offered from Windows Server Update Service.
-
On the Manage updates offered from Windows Server Update Service details pane, double-click Specify intranet Microsoft update service location. The Specify intranet Microsoft update service location policy opens.
-
Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server text boxes.
[!WARNING]
Make sure to include the correct port in the URL. Assuming that you configured the server to use SSL as recommended, you should specify the port that’s configured for HTTPS. For example, if you chose to use port 8531 for HTTPS, and the server’s domain name is wsus.contoso.com, you should enter https://wsus.contoso.com:8531 in both text boxes. -
Select OK to close the Specify intranet Microsoft update service location policy.
Configure client-side targeting, if appropriate
If you’ve chosen to use client-side targeting, you should now specify the appropriate computer group for the client computers you’re configuring.
[!NOTE]
These steps assume that you’ve just completed the steps for editing policies to configure the client computers.
-
On the Manage updates offered from Windows Server Update Service details pane, double-click Enable client-side targeting. The Enable client-side targeting policy opens.
-
Select Enabled, and then enter the name of the WSUS computer group to which you want to add the client computers in the Target group name for this computer box.
If you’re running a current version of WSUS, you can add the client computers to multiple computer groups by entering the group names, separated by semicolons. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.
-
Select OK to close the Enable client-side targeting policy.
2.6.3. Let the client computer connect to the WSUS server
Client computers will not appear in the WSUS Administration Console until they connect to the WSUS server for the first time.
-
Wait for the policy changes to take effect on the client computer.
If you used an Active Directory-based GPO to configure the client computers, it will take some time for the Group Policy Update mechanism to deliver the changes to a client computer. If you want to speed this up, you can open a command prompt window with elevated privileges and then enter the command gpupdate /force.
If you used the Local Group Policy Editor to configure an individual client computer, the changes take effect immediately.
-
Restart the client computer. This step makes sure that the Windows Update software on the computer detects the policy changes.
-
Let the client computer scan for updates. This scan normally takes some time.
You can speed up the process by using one of these options:
- On Windows 10 or 11, use the Settings app’s Windows Update page to manually check for updates.
- On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
- On versions of Windows before Windows 10, open a command prompt window with elevated privileges and enter the command wuauclt /detectnow.
2.6.4 Verify the client computer’s successful connection to the WSUS server
If you’ve performed all the previous steps successfully, you’ll see the following results:
-
The client computer successfully scans for updates. (It might or might not find any applicable updates to download and install.)
-
Within about 20 minutes, the client computer appears in the list of computers displayed in the WSUS Administration Console, based on the type of targeting:
-
If you’re using server-side targeting, the client computer appears in the All Computers and Unassigned Computers computer groups.
-
If you’re using client-side targeting, the client computer appears in the All Computers computer group and in the computer group that you selected while configuring the client computer.
-
2.6.5. Set up the client computer’s server-side targeting, if appropriate
If you’re using server-side targeting, you should now add the new client computer to the appropriate computer groups.
-
In the WSUS Administration Console, find the new client computer. It should appear in the All Computers and Unassigned Computers computer groups in the WSUS server’s list of computers.
-
Right-click the client computer and select Change membership.
-
In the dialog, select the appropriate computer groups, and then select OK.
| title | description | ms.topic | ms.assetid | ms.author | author | manager | ms.date |
|---|---|---|---|---|---|---|---|
|
Step 2 — Configure WSUS |
Windows Server Update Services (WSUS) topic — Configure WSUS is step two in a four-step process for deploying WSUS. |
article |
d4adc568-1f23-49f3-9a54-12a7bec5f27c |
jgerend |
JasonGerend |
mtillman |
9/18/2020 |
Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
After you install the Windows Server Update Services (WSUS) server role on your server, you need to properly configure it. You also need to configure your client computers to receive their updates from the WSUS server.
This article walks you through the following procedures:
| Task | Description |
|---|---|
| 2.1. Configure network connections | Configure your firewall and proxy settings to allow the server to make the connections that it needs. |
| 2.2. Configure WSUS by using the WSUS Configuration Wizard | Use the WSUS Configuration Wizard to perform the base WSUS configuration. |
| 2.3. Secure WSUS with the Secure Sockets Layer protocol | Configure the Secure Sockets Layer (SSL) protocol to help protect WSUS. |
| 2.4. Configure WSUS computer groups | Create computer groups in the WSUS Administration Console to manage updates in your organization. |
| 2.5. Configure client computers to establish SSL connections with the WSUS server | Set up the client computers to establish secure connections to the WSUS server. |
| 2.6. Configure client computers to receive updates from the WSUS server | Set up the client computers to receive their updates from the WSUS server. |
2.1. Configure network connections
Before you start the configuration process, be sure that you know the answers to the following questions:
-
Is the server’s firewall configured to allow clients to access the server?
-
Can this computer connect to the upstream server (such as the server that’s designated to download updates from Microsoft Update)?
-
Do you have the name of the proxy server and the user credentials for the proxy server, if you need them?
You can then start configuring the following WSUS network settings:
-
Updates: Specify the way this server will get updates (from Microsoft Update or from another WSUS server).
-
Proxy: If you identified that WSUS needs to use a proxy server to have internet access, you need to configure proxy settings in the WSUS server.
-
Firewall: If you identified that WSUS is behind a corporate firewall, you’ll have to take additional steps at the edge device to allow WSUS traffic.
[!IMPORTANT]
If you only have one WSUS server, it must have internet access, because it needs to download updates from Microsoft. If you have multiple WSUS servers, only one server needs internet access. The others only need network access to the internet-connected WSUS server. Your client computers don’t need internet access; they only need network access to a WSUS server.
[!TIP]
If your network is «air gapped»—if it does not have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. This approach requires two WSUS servers. One WSUS server with internet access collects the updates from Microsoft. A second WSUS server on the protected network serves the updates to the client computers. Updates are exported from the first server onto removable media, carried across the air gap, and imported onto the second server. This is an advanced configuration that’s beyond the scope of this article.
2.1.1. Configure your firewall to allow your first WSUS server to connect to Microsoft domains on the internet
If a corporate firewall is between WSUS and the internet, you might have to configure that firewall to ensure that WSUS can get updates. To get updates from Microsoft Update, the WSUS server uses ports 80 and 443 for the HTTP and HTTPS protocols. Although most corporate firewalls allow this type of traffic, some companies restrict internet access from the servers because of security policies. If your company restricts access, you’ll need to configure your firewall to allow your WSUS server to access Microsoft domains.
Your first WSUS server must have outbound access to ports 80 and 443 on the following domains:
-
http://windowsupdate.microsoft.com
-
http://*.windowsupdate.microsoft.com
-
https://*.windowsupdate.microsoft.com
-
http://*.update.microsoft.com
-
https://*.update.microsoft.com
-
http://*.windowsupdate.com
-
http://download.windowsupdate.com
-
https://download.microsoft.com
-
http://*.download.windowsupdate.com
-
http://wustat.windows.com
-
http://ntservicepack.microsoft.com
-
http://go.microsoft.com
-
http://dl.delivery.mp.microsoft.com
-
https://dl.delivery.mp.microsoft.com
-
http://*.delivery.mp.microsoft.com
-
https://*.delivery.mp.microsoft.com
[!IMPORTANT]
You must configure your firewall to allow the first WSUS server to access any URL within these domains. The IP addresses associated with these domains are constantly changing, so don’t try to use IP address ranges instead.
For a scenario in which WSUS is failing to get updates because of firewall configurations, see article 885819 in the Microsoft Knowledge Base.
2.1.2. Configure the firewall to allow your other WSUS servers to connect to the first server
If you have multiple WSUS servers, you should configure the other WSUS servers to access the first («topmost») server. Your other WSUS servers will receive all their update information from the topmost server. This configuration allows you to manage your entire network by using the WSUS Administration Console on the topmost server.
Your other WSUS servers must have outbound access to the topmost server through two ports. By default, these are ports 8530 and 8531. You can change these ports, as described later in this article.
[!NOTE]
If the network connection between the WSUS servers is slow or expensive, you can configure one or more of the other WSUS servers to receive update payloads directly from Microsoft. In this case, only a small amount of data will be sent from those WSUS servers to the topmost server. For this configuration to work, the other WSUS servers must have access to the same internet domains as the topmost server.
[!NOTE]
If you have a large organization, you can use chains of connected WSUS servers, rather than having all your other WSUS servers connect directly to the topmost server. For example, you can have a second WSUS server that connects to the topmost server, and then have other WSUS servers connect to the second WSUS server.
2.1.3. Configure your WSUS servers to use a proxy server, if needed
If the corporate network uses proxy servers, the proxy servers must support HTTP and HTTPS protocols. They also must use basic authentication or Windows authentication. You can meet these requirements by using one of the following configurations:
-
A single proxy server that supports two protocol channels. In this case, set one channel to use HTTP and the other channel to use HTTPS.
[!NOTE]
You can set up one proxy server that handles both protocols for WSUS during the installation of WSUS server software. -
Two proxy servers, each of which supports a single protocol. In this case, one proxy server is configured to use HTTP, and the other proxy server is configured to use HTTPS.
To set up WSUS to use two proxy servers
-
Log on to the computer that will be the WSUS server by using an account that’s a member of the Local Administrators group.
-
Install the WSUS server role. During the WSUS Configuration Wizard, don’t specify a proxy server.
-
Open a command prompt (Cmd.exe) as an administrator:
- Go to Start.
- In Start Search, type Command prompt.
- At the top of the start menu, right-click Command prompt, and then select Run as administrator.
- If the User Account Control dialog box appears, enter the appropriate credentials (if requested), confirm that the action that it displays is what you want, and then select Continue.
-
In the command prompt window, go to the C:Program FilesUpdate ServicesTools folder. Enter the following command:
wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enableIn that command:
-
proxy_server is the name of the proxy server that supports HTTPS.
-
proxy_port is the port number of the proxy server.
-
-
Close the command prompt window.
To add a proxy server to the WSUS configuration
-
Open the WSUS Administration Console.
-
On the left pane, expand the server name, and then select Options.
-
On the Options pane, select Update Source and Update Server, and then select the Proxy Server tab.
-
Select the Use a proxy server when synchronizing checkbox.
-
In the Proxy server name text box, enter the name of the proxy server.
-
In the Proxy port number text box, enter the port number of the proxy server. The default port number is 80.
-
If the proxy server requires that you use a specific user account, select the Use user credentials to connect to the proxy server checkbox. Enter the required user name, domain, and password into the corresponding text boxes.
-
If the proxy server supports basic authentication, select the Allow basic authentication (password is sent in cleartext) checkbox.
-
Select OK.
To remove a proxy server from the WSUS configuration
-
Clear the Use a proxy server when synchronizing checkbox.
-
Select OK.
2.1.4. Configure your firewall to allow client computers to access a WSUS server
Your client computers will all connect to one of your WSUS servers. The client computer must have outbound access to two ports on the WSUS server. By default, these are ports 8530 and 8531.
2.2. Configure WSUS by using the WSUS Configuration Wizard
This procedure assumes that you’re using the WSUS Configuration Wizard, which appears the first time you start the WSUS Management Console. Later in this topic, you’ll learn how to perform these configurations by using the Options page.
To configure WSUS
-
On the left pane of Server Manager, select Dashboard > Tools > Windows Server Update Services.
[!NOTE]
If the Complete WSUS Installation dialog box appears, select Run. In the Complete WSUS Installation dialog box, select Close when the installation successfully finishes. -
The WSUS Configuration Wizard opens. On the Before you Begin page, review the information, and then select Next.
-
Read the instructions on the Join the Microsoft Update Improvement Program page. Keep the default selection if you want to participate in the program, or clear the checkbox if you don’t. Then select Next.
-
On the Choose Upstream Server page, select one of the two options: Synchronize the updates with Microsoft Update or Synchronize from another Windows Server Update Services server.
If you choose to synchronize from another WSUS server:
-
Specify the server name and the port on which this server will communicate with the upstream server.
-
To use SSL, select the Use SSL when synchronizing update information checkbox. The servers will use port 443 for synchronization. (Make sure that this server and the upstream server support SSL.)
-
If this is a replica server, select the This is a replica of the upstream server checkbox.
-
-
After you select the options for your deployment, select Next.
-
On the Specify Proxy Server page, select the Use a proxy server when synchronizing checkbox. Then enter the proxy server name and port number (port 80 by default) in the corresponding boxes.
[!IMPORTANT]
You must complete this step if you identified that WSUS needs a proxy server to have internet access. -
If you want to connect to the proxy server by using specific user credentials, select the Use user credentials to connect to the proxy server checkbox. Then enter the user name, domain, and password of the user in the corresponding boxes.
If you want to enable basic authentication for the user who is connecting to the proxy server, select the Allow basic authentication (password is sent in cleartext) checkbox.
-
Select Next.
-
On the Connect to Upstream Server page, select start Connecting.
-
When WSUS connects to the server, select Next.
-
On the Choose Languages page, you have the option to select the languages from which WSUS will receive updates: all languages or a subset of languages. Selecting a subset of languages will save disk space, but it’s important to choose all the languages that all the clients of this WSUS server need.
If you choose to get updates only for specific languages, select Download updates only in these languages, and then select the languages for which you want updates. Otherwise, leave the default selection.
[!WARNING]
If you select the option Download updates only in these languages, and this server has a downstream WSUS server connected to it, this option will force the downstream server to also use only the selected languages. -
After you select the language options for your deployment, select Next.
-
The Choose Products page allows you to specify the products for which you want updates. Select product categories, such as Windows, or specific products, such as Windows Server 2012. Selecting a product category selects all the products in that category.
-
After you select the product options for your deployment, select Next.
-
On the Choose Classifications page, select the update classifications that you want to get. Choose all the classifications or a subset of them, and then select Next.
-
The Set Sync Schedule page enables you to select whether to perform synchronization manually or automatically.
-
If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.
-
If you select Synchronize automatically, the WSUS server will synchronize at set intervals.
Set the time for First synchronization, and then specify the number of synchronizations per day that you want this server to perform. For example, if you specify four synchronizations per day, starting at 3:00 AM, synchronizations will occur at 3:00 AM, 9:00 AM, 3:00 PM, and 9:00 PM.
-
-
After you select the synchronization options for your deployment, select Next.
-
On the Finished page, you have the option to start the synchronization now by selecting the Begin initial synchronization checkbox.
If you don’t select this option, you need to use the WSUS Management Console to perform the initial synchronization. Select Next if you want to read more about additional settings, or select Finish to conclude this wizard and finish the initial WSUS setup.
-
After you select Finish, the WSUS Administration Console appears. You’ll use this console to manage your WSUS network, as described later on.
2.3. Secure WSUS with the Secure Sockets Layer protocol
You should use the SSL protocol to help secure your WSUS network. WSUS can use SSL to authenticate connections and to encrypt and protect update information.
[!WARNING]
Securing WSUS by using the SSL protocol is important for the security of your network. If your WSUS server does not properly use SSL to secure its connections, an attacker might be able to modify crucial update information as it’s sent from one WSUS server to another, or from the WSUS server to the client computers. This will allow the attacker to install malicious software on client computers.
[!IMPORTANT]
Clients and downstream servers that are configured to use Transport Layer Security (TLS) or HTTPS must also be configured to use a fully qualified domain name (FQDN) for their upstream WSUS server.
2.3.1. Enable SSL/HTTPS on the WSUS server’s IIS service to use SSL/HTTPS
To begin the process, you must enable SSL support on the WSUS server’s IIS service. This effort involves creating an SSL certificate for the server.
The steps that are required to get an SSL certificate for the server are beyond the scope of this article and will depend on your network configuration. For more information and for instructions about how to install certificates and set up this environment, we suggest the following articles:
-
Suite B PKI step-by-step guide
-
Implementing and administering certificate templates
-
Active Directory Certificate Services upgrade and migration guide
-
Configure certificate autoenrollment
2.3.2. Configure the WSUS server’s IIS web server to use SSL for some connections
WSUS requires two ports for connections to other WSUS servers and to client computers. One port uses SSL/HTTPS to send update metadata (crucial information about the updates). By default, this is port 8531. A second port uses HTTP to send update payloads. By default, this is port 8530.
[!IMPORTANT]
You can’t configure the entire WSUS website to require SSL. WSUS is designed to encrypt update metadata only. This is the same way that Windows Update distributes updates.To guard against an attacker tampering with the update payloads, all update payloads are signed through a specific set of trusted signing certificates. In addition, a cryptographic hash is computed for each update payload. The hash is sent to the client computer over the secure HTTPS metadata connection, along with the other metadata for the update. When an update is downloaded, the client software verifies the payload’s digital signature and hash. If the update has been changed, it’s not installed.
You should require SSL only for these IIS virtual roots:
-
SimpleAuthWebService
-
DSSAuthWebService
-
ServerSyncWebService
-
APIremoting30
-
ClientWebService
You should not require SSL for these virtual roots:
-
Content
-
Inventory
-
ReportingWebService
-
SelfUpdate
The certificate of the certification authority (CA) must be imported into each WSUS server’s Trusted Root CA store for the local computer, or the Trusted Root CA store for WSUS if it exists.
For more information about how to use SSL certificates in IIS, see Require Secure Sockets Layer (IIS 7).
[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.
Normally, you should configure IIS to use port 8531 for HTTPS connections and port 8530 for HTTP connections. If you change these ports, you must use two adjacent port numbers. The port number used for HTTP connections must be exactly 1 less than the port number used for HTTPS connections.
You must reinitialize ClientServicingProxy if the server name, SSL configuration, or port number has changed.
2.3.3. Configure WSUS to use the SSL signing certificate for its client connections
-
Log on to the WSUS server by using an account that’s a member of the WSUS Administrators group or the Local Administrators group.
-
Go to Start, type CMD, right-click Command prompt, and then select Run as administrator.
-
Go to the %ProgramFiles%Update ServicesTools folder.
-
In the command prompt window, enter the following command:
wsusutil configuressl _certificateName_In that command, certificateName is the DNS name of the WSUS server.
2.3.4. Secure the SQL Server connection, if needed
If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server is not secured through SSL. This creates a potential attack vector. To help protect this connection, consider the following recommendations:
-
Move the WSUS database to the WSUS server.
-
Move the remote database server and the WSUS server to a private network.
-
Deploy Internet Protocol security (IPsec) to help secure network traffic. For more information about IPsec, see Creating and using IPsec policies.
2.3.5. Create a code-signing certificate for local publishing, if needed
In addition to distributing updates that Microsoft provides, WSUS supports local publishing. Local publishing allows you to create and distribute updates that you design yourself, with your own payloads and behaviors.
Enabling and configuring local publishing is beyond the scope of this article. For full details, see Local publishing.
[!IMPORTANT]
Local publishing is a complicated process and is often not needed. Before you decide to enable local publishing, you should carefully review the documentation and consider whether and how you’ll use this functionality.
2.4. Configure WSUS computer groups
Computer groups are an important part of using WSUS effectively. Computer groups permit you to test and target updates to specific computers. There are two default computer groups: All Computers and Unassigned Computers. By default, when each client computer first contacts the WSUS server, the server adds that client computer to both of these groups.
You can create as many custom computer groups as you need to manage updates in your organization. As a best practice, create at least one computer group to test updates before you deploy them to other computers in your organization.
2.4.1. Choose an approach for assigning client computers to computer groups
There are two approaches to assigning client computers to computer groups. The right approach for your organization will depend on how you typically manage your client computers.
-
Server-side targeting: This is the default approach. In this approach, you assign client computers to computer groups by using the WSUS Administration Console.
This approach gives you the flexibility to quickly move client computers from one group to another as circumstances change. But it means that new client computers must manually be moved from the Unassigned Computers group to the appropriate computer group.
-
Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.
This approach makes it easier to assign new client computers to the appropriate groups. You do so as part of configuring the client computer to receive updates from the WSUS server. But it means that client computers can’t be assigned to computer groups, or moved from one computer group to another, through the WSUS Administration Console. Instead, the client computers’ policies must be modified.
2.4.2. Enable client-side targeting, if appropriate
[!IMPORTANT]
Skip this step if you’ll use server-side targeting.
-
In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select options.
-
On the General tab on the Options pane, select Use Group Policy or registry settings on computers.
2.4.3. Create the desired computer groups
[!NOTE]
You must create computer groups by using the WSUS Administration Console, whether you use server-side targeting or client-side targeting to add client computers to the computer groups.
-
In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.
-
In the Add Computer Group dialog, for Name, specify the name of the new group. Then select Add.
2.5. Configure client computers to establish SSL connections with the WSUS server
Assuming that you’ve configured the WSUS server to help protect the client computers’ connections by using SSL, you must configure the client computers to trust those SSL connections.
The WSUS server’s SSL certificate must be imported into the client computers’ Trusted Root CA store, or into the client computers’ Automatic Update Service Trusted Root CA store if it exists.
[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.
The client computers must trust the certificate that you bind to the WSUS server. Depending on the type of certificate that’s used, you might have to set up a service to enable the client computers to trust the certificate that’s bound to the WSUS server.
If you’re using local publishing, you should also configure the client computers to trust the WSUS server’s code-signing certificate. For instructions, see Local publishing.
2.6. Configure client computers to receive updates from the WSUS server
By default, your client computers receive updates from Windows Update. They must be configured to receive updates from the WSUS server instead.
[!IMPORTANT]
This article presents one set of steps for configuring client computers by using Group Policy. These steps are appropriate in many situations. But many other options are available for configuring update behavior on client computers, including using mobile device management. These options are documented in Manage additional Windows Update settings.
2.6.1. Choose the correct set of policies to edit
If you’ve set up Active Directory in your network, you can configure one or multiple computers simultaneously by including them in a Group Policy Object (GPO), and then configuring that GPO with WSUS settings.
We recommend that you create a new GPO that contains only WSUS settings. Link this WSUS GPO to an Active Directory container that’s appropriate for your environment.
In a simple environment, you might link a single WSUS GPO to the domain. In a more complex environment, you might link multiple WSUS GPOs to several organizational units (OUs). Linking GPOs to OUs will enable you to apply WSUS policy settings to different types of computers.
If you don’t use Active Directory in your network, you’ll configure each computer by using the Local Group Policy Editor.
2.6.2. Edit policies to configure the client computers
[!NOTE]
These instructions assume that you’re using the most recent versions of the policy editing tools. On older versions of the tools, the policies might be arranged differently.
-
Open the appropriate policy object:
- If you’re using Active Directory, open the Group Policy Management Console, browse to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration and expand Policies.
- If you’re not using Active Directory, open the Local Group Policy Editor. The local computer policy appears. Expand Computer Configuration.
-
In the object that you expanded in the previous step, expand Administrative Templates, expand Windows components, expand Windows Update, and select Manage end user experience.
-
On the details pane, double-click Configure Automatic Updates. The Configure Automatic Updates policy opens.
-
Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how Automatic Updates will download and install approved updates.
We recommend using the Auto download and schedule the install setting. It ensures that the updates you approve in WSUS will be downloaded and installed in a timely fashion, without the need for user intervention.
-
If desired, edit other parts of the policy, as documented in Manage additional Windows Update settings.
[!NOTE]
The Install updates from other Microsoft products checkbox has no effect on client computers receiving updates from WSUS. The client computers will receive all updates approved for them on the WSUS server. -
Select OK to close the Configure Automatic Updates policy.
-
Back in the Windows Update node of the tree, select Manage updates offered from Windows Server Update Service.
-
On the Manage updates offered from Windows Server Update Service details pane, double-click Specify intranet Microsoft update service location. The Specify intranet Microsoft update service location policy opens.
-
Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server text boxes.
[!WARNING]
Make sure to include the correct port in the URL. Assuming that you configured the server to use SSL as recommended, you should specify the port that’s configured for HTTPS. For example, if you chose to use port 8531 for HTTPS, and the server’s domain name is wsus.contoso.com, you should enter https://wsus.contoso.com:8531 in both text boxes. -
Select OK to close the Specify intranet Microsoft update service location policy.
Configure client-side targeting, if appropriate
If you’ve chosen to use client-side targeting, you should now specify the appropriate computer group for the client computers you’re configuring.
[!NOTE]
These steps assume that you’ve just completed the steps for editing policies to configure the client computers.
-
On the Manage updates offered from Windows Server Update Service details pane, double-click Enable client-side targeting. The Enable client-side targeting policy opens.
-
Select Enabled, and then enter the name of the WSUS computer group to which you want to add the client computers in the Target group name for this computer box.
If you’re running a current version of WSUS, you can add the client computers to multiple computer groups by entering the group names, separated by semicolons. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.
-
Select OK to close the Enable client-side targeting policy.
2.6.3. Let the client computer connect to the WSUS server
Client computers will not appear in the WSUS Administration Console until they connect to the WSUS server for the first time.
-
Wait for the policy changes to take effect on the client computer.
If you used an Active Directory-based GPO to configure the client computers, it will take some time for the Group Policy Update mechanism to deliver the changes to a client computer. If you want to speed this up, you can open a command prompt window with elevated privileges and then enter the command gpupdate /force.
If you used the Local Group Policy Editor to configure an individual client computer, the changes take effect immediately.
-
Restart the client computer. This step makes sure that the Windows Update software on the computer detects the policy changes.
-
Let the client computer scan for updates. This scan normally takes some time.
You can speed up the process by using one of these options:
- On Windows 10 or 11, use the Settings app’s Windows Update page to manually check for updates.
- On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
- On versions of Windows before Windows 10, open a command prompt window with elevated privileges and enter the command wuauclt /detectnow.
2.6.4 Verify the client computer’s successful connection to the WSUS server
If you’ve performed all the previous steps successfully, you’ll see the following results:
-
The client computer successfully scans for updates. (It might or might not find any applicable updates to download and install.)
-
Within about 20 minutes, the client computer appears in the list of computers displayed in the WSUS Administration Console, based on the type of targeting:
-
If you’re using server-side targeting, the client computer appears in the All Computers and Unassigned Computers computer groups.
-
If you’re using client-side targeting, the client computer appears in the All Computers computer group and in the computer group that you selected while configuring the client computer.
-
2.6.5. Set up the client computer’s server-side targeting, if appropriate
If you’re using server-side targeting, you should now add the new client computer to the appropriate computer groups.
-
In the WSUS Administration Console, find the new client computer. It should appear in the All Computers and Unassigned Computers computer groups in the WSUS server’s list of computers.
-
Right-click the client computer and select Change membership.
-
In the dialog, select the appropriate computer groups, and then select OK.
Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services) — локальный сервер обновлений в вашей сети.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.
Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.
Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 — установка и настройка WSUS.
Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:
- IIS 6 или выше,
- .NET Framework 2.0 или выше,
- Report Viewer Redistributable 2008,
- SQL Server 2005 SP2 Express или выше.
WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.
Получить все необходимые компоненты можно на сайте Microsoft:
- Windows Server Update Services 3.0 SP2
- Microsoft Report Viewer 2008 SP1 Redistributable
- Microsoft SQL Server 2008 R2 Express
При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.
Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS) и Сервер приложений (в предыдущих версиях Windows Server установите .NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:
- ASP.NET
- Windows — проверка подлинности
- Сжатие динамического содержимого
- Совместимость управления IIS6
Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.
Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.
Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.
На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.
При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.
На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.
Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.
Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.
Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить. В открывшемся окне выберите Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети. Переводим его в положение Включено и указываем путь к нашему WSUS серверу в виде http:\ИМЯ_СЕРВЕРА.
Также советуем настроить опцию Настройка автоматического обновления, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.
Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики (Пуск — Выполнить — gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.
Контролировать количество ПК и их статус вы можете в разделе Компьютеры консоли администрирования.
Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.
Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.
Вот мы и подошли к еще одной важной настройке сервера — автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры — Автоматические одобрения и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.
Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.
Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.
В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.
На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.
Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.