Сервер обновления windows 7 по умолчанию

Обновлено: 15.01.2022
Опубликовано: 08.05.2020

Windows Server Update Services или WSUS предназначен для распространения обновлений внутри сети. Он позволит скачивать все пакеты для их установки на один сервер и распространять данные пакеты по локальной сети. Это ускорит процесс получения самих обновлений, а также даст администратору контроль над процессом их установки.

В данной инструкции мы рассмотрим пример установки и настройки WSUS на Windows Server 2012 R2.

Перед установкой

Рекомендуется выполнить следующие действия, прежде чем начать установку WSUS:

1. Задаем имя компьютера.
2. Настраиваем статический IP-адрес.
3. При необходимости, добавляем компьютер в домен.
4. Устанавливаем все обновления Windows.

Также нужно убедиться, что на сервере достаточно дискового пространства. Под WSUS нужно много места — в среднем, за 2 года использования, может быть израсходовано около 1 Тб. Хотя, это все условно и, во многом, зависит от количества программных продуктов, которые нужно обновлять и как часто выполнять чистку сервера от устаревших данных.

Установка роли

Установка WSUS устанавливается как роль Windows Server. Для начала запускаем Диспетчер серверов:

В правой части открытого окна нажимаем Управление — Добавить роли и компоненты:

На странице приветствия просто нажимаем Далее (также можно установить галочку Пропускать эту страницу по умолчанию):

На следующей странице оставляем переключатель в положении Установка ролей или компонентов:

Далее выбираем сервер из списка, на который будем ставить WSUS:

В окне «Выбор ролей сервера» ставим галочку Службы Windows Server Update Services — в открывшемся окне (если оно появится) нажимаем Добавить компоненты:

Среди компонентов оставляем все по умолчанию и нажимаем Далее:

Мастер запустит предварительную настройку служб обновления — нажимаем Далее:

Среди ролей службы можно оставить галочки, выставленные по умолчанию:

Прописываем путь, где WSUS будет хранить файлы обновлений:

* в нашем примере был прописан путь C:WSUS Updates. Обновления нужно хранить на разделе с достаточным объемом памяти.

Запустится настройка роли IIS — просто нажимаем Далее:

Среди служб ролей оставляем все галочки по умолчанию и нажимаем Далее:

В последнем окне проверяем сводную информацию о всех компонентах, которые будут установлены на сервер и нажимаем Установить:

Процесс установки занимаем несколько минут. После завершения можно закрыть окно:

Установка роли WSUS завершена.

Первый запуск и настройка WSUS

После установки наш сервер еще не готов к работе и требуется его первичная настройка. Она выполняется с помощью мастера.

В диспетчере сервера кликаем по Средства — Службы Windows Server Update Services:

При первом запуске запустится мастер завершения установки. В нем нужно подтвердить путь, по которому мы хотим хранить файлы обновлений. Кликаем по Выполнить:

… и ждем завершения настройки:

Откроется стартовое окно мастера настройки WSUS — идем далее:

На следующей странице нажимаем Далее (при желании, можно принять участие в улучшении качества продуктов Microsoft):

Далее настраиваем источник обновлений для нашего сервера. Это может быть центр обновлений Microsoft или другой наш WSUS, установленный ранее:

* в нашем примере установка будет выполняться из центра Microsoft. На данном этапе можно сделать сервер подчиненным, синхронизируя обновления с другим WSUS.

Если в нашей сети используется прокси-сервер, задаем настройки:

* в нашем примере прокси-сервер не используется.

Для первичной настройки WSUS должен проверить подключение к серверу обновлений. Также будет загружен список актуальных обновлений. Нажимаем Начать подключение:

… и дожидаемся окончания процесса:

Выбираем языки программных продуктов, для которых будут скачиваться обновления:

Внимательно проходим по списку программных продуктов Microsoft и выбираем те, которые есть в нашей сети, и для который мы хотим устанавливать обновления:

* не стоит выбирать все программные продукты, так как на сервере может не хватить дискового пространства.

Выбираем классы обновлений, которые мы будем устанавливать на компьютеры:

* стоит воздержаться от установки обновлений, которые могут нанести вред, например, драйверы устройств в корпоративной среде не должны постоянно обновляться — желательно, чтобы данный процесс контролировался администратором.

Настраиваем синхронизацию обновлений. Желательно, чтобы она выполнялась в автоматическом режиме:

Мы завершили первичную настройку WSUS. При желании, можно установить галочку Запустить первоначальную синхронизацию:

После откроется консоль управления WSUS.

Завершение настройки сервера обновлений

Наш сервис установлен, настроен и запущен. Осталось несколько штрихов.

Установка Microsoft Report Viewer

Для просмотра отчетов, необходим компонент, который не ставится с WSUS. Для его установки нужно сначала зайти в установку ролей и компонентов:

… и среди компонентов на соответствующей странице выбираем .NET Framework 3.5:

Продолжаем установку и завершаем ее.

Для загрузки Microsoft Report Viewer переходим на страницу https://www.microsoft.com/ru-ru/download/details.aspx?id=45496 и скачиваем установочный пакет:

После выполняем установку приложения и перезапускаем консоль WSUS — отчеты будут доступны для просмотра.

Донастройка WSUS

Мастер установки предлагает выполнить большую часть настроек, но для полноценной работы необходимо несколько штрихов.

1. Группы компьютеров

При подключении новых компьютеров к серверу, они должны распределиться по группам. Группы позволят применять разные обновления к разным клиентам.

В консоли управления WSUS переходим в Компьютеры — кликаем правой кнопкой мыши по Все компьютеры и выбираем Добавить группу компьютеров…:

Вводим название для группы и повторяем действия для создания новой группы. В итоге получаем несколько групп, например:

2. Автоматические утверждения

После получения сервером обновлений, они не будут устанавливаться, пока системный администратор их не утвердит для установки. Чтобы не заниматься данной работой в ручном режиме, создадим правила утверждения обновлений.

В консоли управления WSUS переходим в раздел Параметры — Автоматические утверждения:

Кликаем по Создать правило:

У нас есть возможность комбинировать условия, при которых будут работать наши правила. Например, для созданных ранее групп компьютеров можно создать такие правила:

• Для тестовой группы применять все обновления сразу после их выхода.
• Для рабочих станций и серверов сразу устанавливать критические обновления.
• Для рабочих станций и серверов применять обновления спустя 7 дней.
• Для серверов устанавливать обновления безопасности по прошествии 3-х дней.

3. Добавление компьютеров в группы

Ранее, нами были созданы группы компьютеров. После данные группы использовались для настройки автоматического утверждения обновлений. Для автоматизации работы сервера осталось определить, как клиентские компьютеры будут добавляться в группы.

В консоли WSUS переходим в Параметры — Компьютеры:

Если мы хотим автоматизировать добавление компьютеров в группы, необходимо установить переключатель в положение Использовать на компьютерах групповую политику или параметры реестра:

Настройка клиентов

И так, наш сервер готов к работе. Клиентские компьютеры могут быть настроены в автоматическом режиме с помощью групповой политики Active Directory или вручную в реестре. Рассмотрим оба варианта. Также стоит отметить, что, как правило, проблем совместимости нет — WSUS сервер на Windows Server 2012 без проблем принимает запросы как от Windows 7, так и Windows 10. Приведенные ниже примеры настроек являются универсальными.

Групповая политика (GPO)

Открываем инструмент настройки групповой политики, создаем новые политики для разных групп компьютеров — в нашем примере:

1. Для тестовой группы.
2. Для серверов.
3. Для рабочих станций.

Создаем GPO для соответствующих организационных юнитов. Открываем данные политики на редактирование и переходим по пути Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Центр обновления Windows. Стоит настроить следующие политики:

Название политики	Значение	Описание
Разрешить управлению электропитанием центра обновления Windows выводить систему из спящего режима для установки запланированных обновлений	Включить	Позволяет центру обновления выводить компьютер из спящего режима для установки обновлений.
Настройка автоматического обновления	Включить. Необходимо выбрать вариант установки, например, автоматическую. Также задаем день недели и время установки. Для серверов рекомендуется не устанавливать обновления автоматически, чтобы избежать перезагрузок.	Позволяет определить, что нужно делать с обновлениями, как именно их ставить и когда. Обратите внимание, что Microsoft большую часть обновлений выпускает во вторник — используйте эту информацию, чтобы задать наиболее оптимальное время установки.
Указать размещение службы обновлений Microsoft в интрасети	Включить. Указать адрес сервера в формате веб ссылки, например, http://WSUS-SRV:8530 *	Настройка говорит клиентам, на каком сервере искать обновления.
Разрешать пользователям, не являющимся администраторами получать уведомления об обновлениях	Включить	Позволяет предоставить информацию об устанавливаемых обновлениях всем пользователям.
Не выполнять автоматическую перезагрузку, если в системе работают пользователи	Включить	Позволит избежать ненужных перезагрузок компьютера во время работы пользователя.
Повторный запрос для перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 1440	Если перезагрузка была отложена, необходимо повторить запрос.
Задержка перезагрузки при запланированных установках	Включить и выставить значение в минутах, например, 30	Дает время перед перезагрузкой компьютера после установки обновлений.
Разрешить клиенту присоединяться к целевой группе	Включить и задать значение созданной в WSUS группе компьютеров: — Рабочие станции — Серверы — Тестовая группа	Позволяет добавить наши компьютеры в соответствующую группу WSUS.

* 8530 — сетевой порт, на котором по умолчанию слушает сервер WSUS. Уточнить его можно на стартовой странице консоли управления WSUS.

Ждем применения политик. Для ускорения процесса некоторые компьютеры можно перезагрузить вручную.

Настройка клиентов через реестр Windows

Как говорилось выше, мы можем вручную настроить компьютер на подключение к серверу обновлений WSUS.

Для этого запускаем редактор реестра и переходим по пути: HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdate. Нам необходимо создать следующие ключи:

• WUServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• WUStatusServer, REG_SZ — указывает имя сервера, например, http://WSUS-SRV:8530
• TargetGroupEnabled, REG_DWORD — значение 1
• TargetGroup, REG_DWORD — значение целевой группы, например, «Серверы».

Теперь переходим в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPolicesMicrosoftWindowsWindowsUpdateAU. Если он отсутствует, создаем вручную. После нужно создать ключи:

• AUOptions, REG_DWORD — значение 2
• AutoInstallMinorUpdates, REG_DWORD — значение 0
• NoAutoUpdate, REG_DWORD — значение 0
• ScheduledInstallDay, REG_DWORD — значение 0
• ScheduledInstallTime, REG_DWORD — значение 3
• UseWUServer, REG_DWORD — значение 1

После перезагружаем компьютер. Чтобы форсировать запрос к серверу обновлений, на клиенте выполняем команду:

wuauclt.exe /detectnow

Автоматическая чистка WSUS

Как говорилось ранее, сервер WSUS очень требователен к дисковому пространству. Поэтому удаление устаревшей информации является критически важным этапом его администрирования.

Саму чистку можно сделать в панели управления сервером обновления в разделе Параметры — Мастер очистки сервера.

Также можно воспользоваться командлетом в Powershell Invoke-WsusServerCleanup — целиком команда будет такой:

Get-WSUSServer | Invoke-WsusServerCleanup -CleanupObsoleteComputers -CleanupObsoleteUpdates -CleanupUnneededContentFiles -CompressUpdates -DeclineExpiredUpdates -DeclineSupersededUpdates

Для автоматизации чистки создаем скрипт с расширением .ps1 и создаем задачу в планировщике. Чистку стоит делать раз в неделю.

Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services
) — локальный сервер обновлений в вашей сети.

Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

• IIS 6 или выше,
• .NET Framework 2.0 или выше,
• Report Viewer Redistributable 2008
  ,
• SQL Server 2005 SP2 Express
  или выше.

WSUS может хранить обновления в собственной БД или использовать SQL-сервер, последнее более предпочтительно с точки зрения производительности. Если в вашей сети уже развернут SQL-сервер можно использовать его, иначе вполне подойдет бесплатный SQL Express.

Получить все необходимые компоненты можно на сайте Microsoft:

При скачивании обращаем внимание на разрядность, для 64-битной ОС скачиваем 64-битные версии продуктов.

Пока идет скачивание добавим роли сервера. Нам понадобятся Веб-сервер (IIS)
и Сервер приложений
(в предыдущих версиях Windows Server установите.NET Framework). Сервер приложений устанавливается со значениями по умолчанию, а в Веб-сервере необходимо добавить следующие опции:

• ASP.NET
• Windows — проверка подлинности
• Сжатие динамического содержимого
• Совместимость управления IIS6

Добавив необходимые роли, установим Report Viewer и SQL Server c параметрами по умолчанию. Все готово, можно устанавливать WSUS.

Запустив инсталлятор, выбираем установку сервера и консоли администрирования, папку установки. В параметрах базы данных указываем наш SQL-сервер. Остальные настройки можно оставить по умолчанию.

Сразу после установки запустится мастер начальной настройки. Все опции довольно просты и понятны. В параметрах синхронизации указываем откуда наш сервер будет получать обновления: с сервера Microsoft или с другого WSUS сервера. Последний вариант следует использовать если вам требуется развернуть дополнительный сервер обновлений, например, для филиала. В этом случае подчиненный сервер будет получать только одобренные вами обновления.

На следующей закладке, при необходимости, указываем параметры прокси-сервера, и выполняем первичное подключение. Будет загружена информация от вышестоящего сервера: списки продуктов, типов обновлений и т.д.

При выборе продуктов не жадничайте, указывайте только то, что вам реально нужно, впоследствии вы всегда сможете изменить данный список.

На следующей странице укажите какие классы обновлений вы хотели бы получать, здесь все зависит от политики обновлений на вашем предприятии. Следует помнить, что обновления драйверов и пакеты новых функций крайне не рекомендуется разворачивать автоматически, без предварительного тестирования. Если у вас нет возможности этим заниматься, то указывать эти классы вам ни к чему.

Не забудьте также задать расписание для синхронизации с вышестоящим сервером. На этом первоначальная настройка закончена.

Открыв консоль (доступна в меню Администрирование), первым делом запустите ручную синхронизацию, чтобы скачать все имеющиеся на сегодняшний день обновления для выбранных продуктов. В зависимости от того, чего и сколько вы выбрали при настройке, а также скорости вашего подключения это может занять продолжительное время.

Пока идет синхронизация займемся настройкой клиентских ПК. Если у вас развернута Active Directory это можно сделать с помощью групповых политик. Откройте Управление групповой политикой
, выберите необходимый объект и щелкнув правой кнопкой мышки нажмите Изменить
. В открывшемся окне выберите Конфигурация компьютера — Политики — Административные шаблоны — Центр обновления Windows
. Нас интересует параметр Указать размещение службы обновлений Microsoft в интрасети
. Переводим его в положение Включено
и указываем путь к нашему WSUS серверу в виде http:\ИМЯ_СЕРВЕРА
.

Также советуем настроить опцию Настройка автоматического обновления
, которая полностью повторяет аналогичную настройку на клиентских ПК. Через некоторое время, необходимое для обновления групповых политик, компьютеры вашей сети начнут подключаться к серверу и получать обновления.

Если ваша сеть имеет одноранговую структуру, то вам придется настраивать каждый ПК в отдельности. Делается это через Редактор локальной групповой политики
(Пуск — Выполнить — gpedit.msc), сам процесс настройки полностью аналогичен вышеописанному.

Контролировать количество ПК и их статус вы можете в разделе Компьютеры
консоли администрирования.

Информации вполне достаточно, чтобы быстро оценить общую ситуацию и обратить внимание на проблемные места. Красные крестики указывают на то, что на данных ПК произошли ошибки в обновлении, с каждым таким случаем надо разбираться в отдельности. По каждому обновлению формируется детальный отчет, содержащий все необходимые для анализа проблемы данные.

Также рекомендуем разбить ПК на группы, для каждой группы можно назначить свою политику обновлений. Так в отдельную группу можно выделить сервера, для которых автоматически устанавливать только критические обновления безопасности.

Вот мы и подошли к еще одной важной настройке сервера — автоматическом одобрении. Клиентские ПК могут получать только одобренные обновления, но каждый раз делать все вручную нереально, поэтому часть обновлений можно одобрять автоматически. Откроем Параметры — Автоматические одобрения
и активируем уже имеющуюся там политику, которая позволяет автоматически устанавливать критические обновления и обновления безопасности.

Здесь вы можете создавать свои правила и назначать их любой группе ПК. Например мы создали правило: автоматически одобрять все обновления MS Office группы Рабочие станции.

Просмотреть все доступные обновления можно в разделе Обновления, здесь же можно одобрять их вручную. Мы рекомендуем завести один или несколько тестовых ПК (можно виртуальных) и тестировать на них обновления и пакеты новых функций и только после этого одобрять обновления для установки. Одобрить обновления можно как для всех ПК, так и для группы, в качестве примера мы одобрили установку пакета Silverlight для группы Рабочие станции.

В качестве обслуживания сервера стоит время от времени (где-то раз в месяц) проводить очистку сервера. Это позволит избежать черезмерного увеличения размеров базы за счет удаления невостребованных, уже не нужных и неодобренных вами обновлений.

На этой ноте мы и закончим наше повествование, материал данной статьи позволит вам быстро развернуть и сделать базовые настройки сервера обновлений. С задачей тонкой настройки вы должны без труда справиться самостоятельно.

• Теги:
  

Please enable JavaScript to view the

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения. Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений своих программных продуктов в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

Операционная система: Windows Server 2003 SP1 и выше.

Дополнительные роли сервера: IIS 6.0 и выше

Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.

Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.

Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить (рис. 2).

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо указать IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7).

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт»

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» (рис. 9)

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс – установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов. Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они не будут нужны и займут дисковое пространство.

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск – Администрирование – Управление групповой политикой
». Выбираем ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows
». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети
]. Копируете адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13)

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен» и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры
» при «Состояние: Любой» (рис. 15).

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe
, которая запускается через командную строку. Для проверки обновлений её необходимо запускать с ключом /detectnow
(wuauclt.exe /detectnow
). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений) необходимо запускать с ключом /reportnow
(wuauclt.exe /reportnow
).

Господа, удачных вам обновлений!

Васильев Денис

Для снижения трафика в территориально распределенных сетях больших компаний рекомендуется использовать сценарий установки сервера обновлений wsus
с поддержкой первичного и нескольких подчиненных серверов. Данный сценарий позволяет значительно снизить нагрузку на каналы передачи данных, использовать централизованную точку управления обновлениями и отчетами.

Архитектура решения

Имеется центральный офис и несколько территориально распределенных площадок связанных между собой виртуальными частными каналами (VPN). Site A является центральным сайтом, который осуществляет загрузку обновлений и раздачу подчиненным сайтам (Site B, Site C). Подчиненные сервера отправляют на центральный сайт всю информацию о состоянии своих клиентов. В качестве сервера базы данных будем использовать выделенный сервер MS SQL сервер.

Реализация

На территории центрального офиса развернем Windows Server 2012 R2
с ролью служба Windows Server Update Service
(WSUS), для этого в диспетчере серверов необходимо выбрать установку роли и компоненты
.

Тип установки: установка ролей или компонентов.

Выберем локальный сервер, на котором разворачиваем роль WSUS сервера.

Установим галку напротив службы Windows Server Update Service.

Добавим необходимые компоненты.

На этапе выбор компонентов необходимо отказаться
от установки внутренней базы данных Windows.

Удалим компоненты.

На скриншоте ниже, мы видим, что компонент внутренняя база данных Windows
не будет установлена. Нажимаем Далее.

На экране службы ролей предлагается на выбор две базы данных. Одна из них WID Database и База данных. WID Database не что иное, как Windows Internal Database
— один из вариантов SQL Server Express 2005, входящий в состав Windows Server 2008, а также поставляемый с некоторыми другими бесплатными продуктами Microsoft. Так как мы, согласно нашей архитектуре, планируем использовать внешнюю базу выберем База данных.

Укажем путь к папке в которой будем хранить скаченные обновления и патчи.

На этапе экземпляр БД
укажем адрес SQL сервера и нажмем клавишу проверка подключения.

Если проверка завершится удачно, о чем будет свидетельствовать сообщение Подключение к серверу успешно выполнено,
вы сможете продолжить Далее.

Дополнительных настроек или установки компонентов служба ролей Веб-сервер
не требует, поэтому просто нажмем Далее.

Насладимся процессом установки……

После чего нажмем кнопку Закрыть.

И перейдем к настройке
первичного сервера обновлений
. Для этого откроем средства, и из выпадающего списка выберем служба Windows Server Update Service.

Для завершения установки необходимо указать экземпляр базы данных и путь к каталогу обновлений.

После завершения послеустановочных задач откроется мастер настройки Windows Server Update Services.
Подробный процесс настройки описан в , нас же интересует настройка подчиненных серверов.

Настройка подчиненного сервера

Для подключения подчиненного сервера wsus к первичному серверу, необходимо запустить мастер настройки сервера и в мастере, в разделе выбор вышестоящего сервера
указать имя главного сервера. Согласно рекомендации Microsoft указать использовать SSL при синхронизации и отметить что данный сервер является репликой.

В результате этих настроек, дополнительные параметры мастера станут неактивными и все управление обновлениями, группами компьютеров перейдет на вышестоящий сервер. Проделаем аналогичную процедуру для остальных подчиненных серверов.

Запустите синхронизацию данных, по окончании которой на подчиненный сервер будут загружены все одобренные на вышестоящем сервер обновления
, а так же группы компьютеров.

Итог

В сценарии, когда вы используете вышестоящий сервер и несколько подчиненных серверов, все действия по одобрению обновлений, их отзыву, созданию групп компьютеров осуществляются на вышестоящем сервере, что в значительной мере сокращается затрачиваемое время на обслуживание WSUS серверов
. Так же вы получаете централизованное управление обновлениями и отчетами, так как подчиненные сервера отправляют все данные на вышестоящий сервер.

И/или программного обеспечения, установленного на дочерних терминалах, с относительно недавнего времени может выполняться при помощи специального инструмента, получившего сокращенное название в виде аббревиатуры WSUS. Что это такое? По сути, данное программное обеспечение представляет собой уникальный релиз, позволяющий отказаться от использования каждым компьютером, входящим в локальную сеть, самостоятельного интернет-канала для установки апдейтов. О том, как это все работает, и какие нужно установить настройки, далее и пойдет речь.

Windows Server Update Services: что это и зачем нужно?

Если говорить об этом сервисе простым языком, его можно описать как программное обеспечение для автоматического обновления ОС и ПО, устанавливаемое исключительно на сервер, к которому подключаются остальные пользовательские терминалы, объединенные в единую локальную или виртуальную сеть.

Поскольку обновления корпорация Microsoft для своих продуктов выпускает с завидной регулярностью, устанавливать их нужно на всех машинах в сети, что достаточно проблематично, если их более десятка. Чтобы не заниматься подобными вещами на каждом отдельно взятом терминале, можно использовать функцию WSUS Offline Update, когда основное обновление устанавливается только на сервер, а потом «раздается» на все остальные компьютеры.

Преимущества такого подхода очевидны, ведь снижается использование интернет-траффика (при скачивании сеть не нагружается) и экономится время на установку апдейтов, которая при правильной настройке программного обеспечения на центральном сервере будет производиться автоматически.

Требования к установке

Для службы WSUS настройка и использование невозможны без соблюдения ряда начальных условий. Тут следует обратить внимание на основные компоненты, которые потребуется изначально скачать и инсталлировать на сервер, если они отсутствуют.

В качестве приоритетов можно выделить следующие компоненты:

• ОС модификации Windows Server не ниже 2003 (хотя бы с первым сервис-паком);
• платформа.NET Framework версии не ниже 2.0;
• роли сервера IIS 6.0 или выше;
• Report Viewer от Microsoft модификации 2008;
• SQL Server версии 2005 со вторым сервис-паком;
• Management Console от Microsoft модификации 3.0.

Процесс инсталляции

Собственно, установка WSUS предполагает также резервирование свободного дискового пространства на сервере в размере порядка 100 Гб (расположение папки хранения обновлений указывается на первом шаге после запуска основного инсталлятора).

Параметры баз данных веб-сервера

В принципе, сам установщик по умолчанию предлагает установить внутренние базы данных, но для упрощения процесса можно использовать и имеющийся сервер баз данных.

В данном случае нужно будет самостоятельно прописать его сетевое имя, соответствующее идентификатору терминала в сети. Первые два варианта можно использовать либо для получения апдейтов с сервера Microsoft, либо с внутреннего сервера. Правда, есть еще и третий вариант — установка баз данных на удаленном терминале. Но такая схема применяется в основном только в тех случаях, когда нужно распределять апдейты по удаленным филиалам с дополнительного сервера обновлений.

Выбор порта

На следующем этапе установки WSUS настройка предполагает осуществить выбор порта. К этому нужно отнестись очень внимательно, поскольку ввод некорректных значений может привести только к тому, что вся схема работать не будет.

Обратите внимание, что по умолчанию к использованию предлагается 80-й порт. Можно, конечно, оставить и его, но лучше (и это подтверждается практикой) использовать порт под номером 8530 (8531). Но такой подход применим только в том случае, когда требуется ручная настройка прокси.

Выбор обновлений

Следующий шаг в инсталляции WSUS — настройка параметров получения апдейтов с вышестоящего сервера. Иными словами, нужно указать, откуда именно будут загружаться обновления.

Тут есть два варианта: либо производить синхронизацию с сервером обновления Microsoft, либо с другим удаленным терминалом. Лучше использовать первый вариант.

Устанавливать можно любой из предложенного списка, но английский должен быть выбран в обязательном порядке, поскольку без этого корректная загрузка и распределение апдейтов не гарантируется.

Выбор продуктов

Теперь для WSUS Offline Update следует указать, какие именно программные продукты подлежат обновлению. Как считает большинство специалистов, при выборе желательно не жадничать и отметить максимально возможное количество пунктов в списке.

Но и увлекаться тоже не стоит. Лучше отметить только то, что действительно необходимо. Например, если ни на одной машине в сети версия «Офиса» 2003 не установлена, то и указывать ее обновление не стоит.

Обновление WSUS на следующем этапе предложит выбрать классы программного обеспечения, для которых апдейты будут загружать в первую очередь. Тут — на свой выбор. В принципе, можно не устанавливать галочки напротив установки обновлений драйверов, средств и новых функций. По завершении устанавливается время, когда выбранные обновления будут загружаться и инсталлироваться.

Настройки консоли

Теперь следует вызвать консоль и первым делом установить ручную синхронизацию, чтобы произошла загрузка всех имеющихся на данный момент апдейтов.

После этого придется заняться настройкой групп терминалов. Рекомендуется создать две категории компьютеров. В одной будут находиться серверы, в другой — обычные рабочие станции. Такая настройка позволит ограничить инсталляцию обновлений на серверы.

Поскольку все видимые в сети терминалы на данный момент находятся в категории неназначенных компьютеров, распределять их по соответствующим группам придется вручную.

На следующем этапе настройка WSUS предполагает создание специальных правил обновления, что делается в разделе автоматического одобрения. Для рабочих станций желательно установить правило автоматического одобрения, а для серверов нужно будет дополнительно отметить еще одну соответствующую строку. Кроме того, именно для серверов не рекомендуется выбирать абсолютно все обновления, поскольку это может привести к сбоям в работе.

Установка параметров обновления в групповых политиках

Когда предварительная настройка основных параметров завершена, следует выполнить еще несколько действий, связанных с разрешениями и одобрениями.

Для этого нужно использовать который проще всего вызвать через консоль «Выполнить» (Win + R) командой gpedit.msc, а не использовать «Панель управления» или раздел администрирования.

Здесь нужно через конфигурацию компьютера и политики добраться до административных шаблонов, где найти «Центр обновления». В нем нас интересует параметр, отвечающий за указание расположения службы обновления в интрасети. Вызывав двойным кликом меню редактирования, службы нужно включить и указать адрес сервера, который обычно выглядит как http://SERVER_NAME, где SERVER_NAME — имя сервера в сети. Можно не использовать такую комбинацию, а просто прописать IP сервера. По завершении настройки через некоторое время дочерние машины начнут получать пакеты апдейтов.

Возможные ошибки

Ошибки WSUS чаще всего связывают с тем, что для серверов включено слишком много ненужных обновлений, о чем было сказано выше.

Однако не менее распространенной проблемой является и тот момент, что обновления устанавливаются не на всех сетевых дочерних терминалах. В данном случае необходимо открыть раздел автоматических одобрений и установить для них именно тип групповых политик, который соответствует автоматической инсталляции критических апдейтов операционной системы и системы безопасности. Соответственно, можно создать и свое новое правило с указанием продуктов и параметров установки обновлений (можно использовать даже ручное одобрение).

Наконец, если не производить полный сброс настроек WSUS, после чего всю процедуру установки параметров придется производить заново, настоятельно рекомендуется хотя бы раз в месяц делать очистку сервера (для этого предусмотрена одноименная функция в виде «Мастера»). Такие шаги помогут удалить из системы невостребованные апдейты, а также существенно уменьшить размер самой базы данных (понятно ведь, что чем боле база, тем большее время требуется на обращение к ней, плюс — чрезмерная нагрузка на вычислительные способности сервера и распределение обновлений по сети).

В некоторых случаях может помочь установка политик не по умолчанию (Default Group Policy), а создание нового типа со всеми активированными параметрами из списка доступных с вводом сетевого адреса сервера (при задействованном порте 8530).

В случае когда используются так называемые мобильные рабочие места, аналогичные настройки можно произвести в разделе локальных политик безопасности, указав соответствующие параметры. Если все выполнено правильно, для группы терминалов Server будут инсталлироваться исключительно критические апдейты, а для компьютеров, входящих в группу Workgroup (или в категорию с другим именем), — абсолютно все обновления, которые были выбраны на начальном этапе настройки.

Вместо итога

Собственно, на этом рассмотрение вопроса о настройке службы автоматического апдейта WSUS можно и закончить. Чтобы все заработало и не вызывало беспокойства у системного администратора в дальнейшем, следует обратить внимание на начальные условия, связанные с установкой дополнительных компонентов. Как считается, серверную версию ОС лучше использовать не 2003, а 2008 R2 или выше, а также обратить внимание на платформу.NET Framework четвертой версии, а не 2.0). Кроме того, особо внимательно следует отнестись к настройкам прокси и выбору портов, поскольку порт 80 по умолчанию может и не работать. Наконец, одним из самых важных аспектов настройки является выбор групп терминалов и устанавливаемых на них обновлений. В остальном же, как правило, проблем быть не должно, хотя при загрузке тяжеловесных апдейтов большого размера при плохом качестве связи кратковременные сбои и ошибки распределения обновлений по сети наблюдаться все-таки могут. Кстати, и чистить сервер время от времени тоже нужно. Если автоматический инструмент по каким-то причинам положительного эффекта не возымеет, можно попытаться хотя бы удалить временные файлы вручную из директории SDTemp. По крайней мере, даже такой тривиальный шаг позволит сразу же снизить нагрузку не только на сам сервер, но и на дочерние терминалы, и на сеть в целом.

Итак, подразумевается что у Вас имеется установленный Wsus сервер, Групповые политики Active Directory (далее GPO) позволяют системным администраторам автоматически указать клиентов в различные группы WSUS сервера, избавляя от необходимости ручного перемещения компьютеров между группами в WSUS консоли. Такое назначение клиентов к различным группам основывается на основе меток на клиенте, такие метки задаются политикой или простой модификацией реестра. Данный тип соотнесения клиентов к группам WSUS называется Таргетинг на стороне клиента (client side targeting).

Обычно используются две различные политики обновления: для рабочих станций (workstations) и для серверов (Servers). Сначала указываем правило группировки клиентских компьютеров в WSUS консоли. По умолчанию в консоли компьютеры распределяются по группам вручную (server side targeting). Укажем, что клиенты распределяются в группы на основе client side targeting (групповых политик или параметров реестра). Для этого в WSUS консоли перейдите в раздел Options откройте параметр Computers и замените значение на Use Group Policy or registry setting on computers (Использовать групповые политики или значения в реестре, см скрин).

После этого начнем непосредственную настройку клиентов WSUS с помощью групповых политик (GPO). Откройте консоль управления групповыми политиками (Group Policy Management) и создайте две новые групповые политики: ServerWSUSPolicy и WorkstationWSUSPolicy.

Групповая политика установки обновлений WSUS для рабочих станций (WorkstationWSUSPolicy)

Логика политики интуитивно понятна, в нашем случаем мы планируем устанавливать обновления автоматически ночью после их получения. Клиенты после установки обновлений перезагружаются автоматически (предупреждая пользователя за 10 минут). Открываем консоль редактирования GPO (gpmc.msc), переходим в Настройки групповых политик: Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Windows
(Computer Configuration
-> Policies
-> Administrative templates
-> Windows Component
-> Windows Update
)

В политике указываем:

• Allow Automatic Updates immediate installation:
  Disabled
  — запрещаем немедленную установку обновлений при их получении
• Allow non-administrators to receive update notifications:
  Enabled
  — отображать пользователям предупреждение о появлении новых обновлений и разрешить их ручную установку
• Configure Automatic Updates:
  Enabled
  . Configure automatic updating:
  4 — Auto download and schedule the install.
  Scheduled install day:
  0 — Every day
  . Scheduled install time
  : 03:00
  – клиентский ПК скачивает новые обновления и планирует их автоматическую установку на 3:00 утра
• Target group name for this computer:
  Workstations
  – в консоли WSUS отнести клиентов к группе Workstations
• No auto-restart with logged on users for scheduled automatic updates installations:
  Disabled
  — система автоматически перезагрузится через 10 минут после окончания установки обновлений
• Specify Intranet Microsoft update service location: Enable. Set the intranet update service for detecting updates:
  http://wsus:8530
  , Set the intranet statistics server:
  http://wsus:8530
  –адрес корпоративного WSUS сервера

Если Вы указываете адрес http://wsus, убедитесь что данный адрес разрешается ДНС (ping wsus), если нет то добавите адрес в ДНС сервер.

Групповая политика установки обновлений WSUS для серверов (ServerWSUSPolicy
)

Напоминаем, что настройки групповых политик отвечающих за работу службы обновлений Windows находятся в разделе GPO: Computer Configuration
-> Policies
-> Administrative templates
-> Windows Component
-> Windows Update (Конфигурация компьютера -> Политика -> Административные шаблоны -> Компоненты Windows -> Центр обновления Window).

Данная политика предназначена для серверов, доступность которых нам нужна непрерывная, по крайней мере в рабочее время. Для этого мы запрещаем автоматическую установку обновлений на целевых серверах при их получении. Предпологается, что клиент WSUS сервера должен просто скачать доступные обновления, после чего отобразить оповещение и ожидать подтверждения системного администратора для начала его установки.Таким образом мы гарантируем, что боевые сервера не будут автоматически устанавливать обновления и перезагружаться без контроля администратора.

В политике указываем:

Совет
. Рекомендуем в обоих политиках настроить обновлений (wuauserv) на клиенте, чтобы быть уверенным что обновления дойдут до целевого сервера. Для этого в разделе Computer Configuration -> Policies-> Windows Setings -> Security Settings -> System Services (в русской локализации: Конфигурация компьютера -> Политики ->Параметры безопасности->Системные службы),
найдите службу Центр обновления Windows (wuauserv) и задайте для нее тип запуска «Автоматически».

Назначаем политику WSUS на OU (контейнер) в Active Directory

Далее назначим стандартным способом политику на имеющиеся у нас контейнеры, в нашем случае это два контейнера для рабочих станций (workstations
) и для серверов (Servers
). В данном примере мы рассматриваем самый простой вариант привязки политик WSUS к компьютерам. В реальных условиях можно распространить одну политику WSUS на всех доменах (GPO привязывается к корню домена) или разнести различных клиентов на разные контейнеры. Для больших и распределенных сетей стоит привязывать различные WSUS сервера к сайтам AD, или же назначать GPO на основании фильтров WMI, или скомбинировать перечисленные выше способы.

Чтобы привязать созданную политику к контейнеру запустите оснастку редактирования групповых политик (gpmc.msc
), нажмите правой кнопкой на контейнер -> Привязать существующий обьект групповой политики, и указать контейнер с серверами, в нашем примере сервера в контейнере Servers. Также это можно сделать перетащив групповую политику drag&drop в контейнер, автоматически создастся ссылка на политику (черная стрелка), что означает политика привязана к контейнеру. Далее нажмите на контейнере правой кнопкой и -> обновление групповой политики.

Для ускорения получения политики на клиенте можно выполнить команду: gpupdate /force
, данная команда инициирует немедленное применение групповой политики.

И через небольшой промежуток времени можно проверить клиентов на наличие всплывающего оповещений о наличии новых обновлений. В WSUS консоли в соответствующих группах должны появиться клиенты (в таблице отображается имя клиента, IP, ОС, процент их «обновленности» и дата последнего обновлений статуса).

Для управления Windows Server Update Services (WSUS) и службой Wuauclt имеется , самые распространенные из них:

/DetectNow — поиск обновлений

/ResetAuthorization — запрос на обновление авторизации

runas /user:admin «wuauclt /detectnow» — поиск обновлений под определенным пользователем

/ReportNow — сформировать отчет

Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter

Июл 6, 2018 21:24

Каждый администратор осознает важность своевременных обновлений, особенно если это касается критических обновлений безопасности. Однако с ростом сети и увеличением числа программных продуктов это становится весьма непростой задачей. Значит самое время развернуть WSUS (Windows Server Update Services) — локальный сервер обновлений в вашей сети.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Этим вы убьете сразу несколько зайцев: значительно уменьшите загрузку канала и потребляемый интернет трафик, а также получите в руки мощный инструмент для контроля и управления процессом обновлений. Отныне все локальные ПК будут обновляться с вашего сервера и устанавливать только выбранные вами обновления.

Внимание! Данный материал предназначен для устаревших версий Windows Server, рекомендуем также ознакомиться с актуальной статьей: Windows Server 2012 — установка и настройка WSUS.

Приступим. Перед установкой WSUS следует подготовить сервер, мы будем использовать Windows Server 2008 R2, однако с небольшими поправками все сказанное будет справедливо для других версий Windows Server. Что нам понадобится:

• IIS 6 или выше,
• .NET Framework 2.0 или выше,
• Report Viewer Redistributable 2008,
• SQL Server 2005 SP2 Express или выше.

• Windows Server Update Services 3.0 SP2
• Microsoft Report Viewer 2008 SP1 Redistributable
• Microsoft SQL Server 2008 R2 Express

• ASP.NET
• Windows — проверка подлинности
• Сжатие динамического содержимого
• Совместимость управления IIS6

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Для обеспечения безопасности и поддержания актуального состояния операционной системы очень важно регулярно загружать и устанавливать последние обновления.  Обновление может выполняться как каждым клиентским компьютером с сайта Microsoft Update, так и централизованно, посредством использования сервера Windows Server Update Services (WSUS).

В корпоративной сети рекомендуется использование сервера WSUS, так как при этом достигается значительное снижение Интернет трафика и обеспечивается возможность централизованного управления процессом развертывания обновлений.

Наилучшим способом настройки автоматического обновления является использование групповых политик, однако это возможно только в случае, если в организации есть служба каталогов Active Directory. Если же AD в организации не развернута и компьютеры находятся в рабочих группах, то доменные групповые политики отпадают и настроить клиента на использование WSUS можно либо посредством локальной групповой политики, либо путем прямого внесения изменений в системный реестр компьютера.

Предварительная настройка

Сначала нам необходимо произвести некоторые настройки на сервере WSUS. Открываем консоль управления WSUS и в разделе «Computers» создаем новую группу, в которую будут входить наши компьютеры. Назовем ее Workgroup.

Создав группу идем на вкладку «Options» и там, в разделе «Computers» указываем серверу WSUS  размещать компьютеры в группах согласно групповым политикам или настройкам реестра. В противном случае все новые компьютеры автоматически попадают в группу Unassigned Computers.

Групповая политика

Теперь можно приступать к настройке клиента. Заходим на клиентский компьютер, нажимаем Win+R и набираем команду gpedit.msc. Открывается редактор локальной политики компьютера. За настройку обновлений отвечает раздел Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Центр обновления Windows.

Нам надо настроить следующие политики:

Указать размещение службы обновлений Microsoft в интрасети — задаем адрес или имя сервера обновлений, к которому будет выполняться подключение клиента, а также адрес сервера статистики. Можно указать один и тот же адрес для обеих задач.

Разрешить клиенту присоединение к целевой группе — указываем имя группы на сервере WSUS, к которой должен быть присоединен данный компьютер. В нашем случае это Workgroup.

Настройка автоматического обновления — здесь мы задаем режим загрузки и установки обновлений и расписание, по которому обновления будут устанавливаться. Если расписание не задано, то по умолчанию обновления будут устанавливаться ежедневно в 3 часа ночи.

Частота поиска автоматических обновлений — указываем частоту обращений к серверу для проверки на наличие обновлений. Теперь обращения к серверу WSUS будут происходить через заданный промежуток времени со случайным отклонением для проверки наличия разрешенных для установки обновлений.

Перенос запланированных автоматических установок обновлений — задаем время ожидания перед установкой обновлений в том случае, если плановая установка была пропущена по каким либо причинам.

Не выполнять автоматическую перезагрузку, если в системе работают пользователи — даем пользователю возможность выбора времени перезагрузки после установки обновлений. Если этот параметр не задан или отключен, то пользователю выдается уведомление и компьютер автоматически перезагружается через 5 минут.

Реестр

Теперь те же настройки произведем с помощью правки реестра.

Идем в раздел реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate. Если раздела нет — создаем его. В разделе создаем следующие ключи:

″WUServer″=http://192.168.0.1 — адрес сервера обновлений;
″WUStatusServer″=http://192.168.0.1 — адрес сервера статистики;
″TargetGroupEnabled″=dword:00000001 — размещать компьютер в целевой группе;
″TargetGroup″=″Workgroup″ — имя целевой группы для компьютера.

Далее в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU создаем ключи:

″NoAutoUpdate″=dword:00000000 — автоматическое обновление включено;
″AUOptions″=dword:00000004 — загружать и устанавливать обновления по расписанию;
″ScheduledInstallDay″=dword:00000001 — устанавливать обновления в 1-й день недели (воскресенье). Для ежедневного обновления нужно задать нулевое значение;
″ScheduledInstallTime″=dword:00000003 — устанавливать обновления в 03:00 часа;
″UseWUServer″=dword:00000001 — использовать для обновлений сервер WSUS.  Если задано нулевое значение, то обновление производится с Microsoft Update;
″DetectionFrequencyEnabled″=dword:00000001 — частота проверки обновлений включена;
″DetectionFrequency″=dword:00000012 — проверять наличие обновлений на сервере каждые 12 часов;
″RescheduleWaitTimeEnabled″=dword:00000001 — переносить пропущенную установку обновлений;
″RescheduleWaitTime″=dword:00000010 — запускать пропущенную установку обновлений через 10 минут после включения компьютера;
″NoAutoRebootWithLoggedOnUsers″=dword:00000001 — не перезагружать компьютер автоматически, если на нем работают пользователи.

Автоматизация настройки

Если настраивать предстоит не один компьютер, то процесс можно автоматизировать. Для этого открываем Блокнот, создаем reg-файл и добавляем в необходимые ключи реестра. В нашем случае получился вот такой файл:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdate]
″WUServer″=″http://192.168.0.1″
″WUStatusServer″=″http://192.168.0.1″
″TargetGroupEnabled″=dword:00000001
″TargetGroup″=″Workgroup″

[HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateAU]
″NoAutoUpdate″=dword:00000000
″AUOptions″=dword:00000004
″ScheduledInstallDay″=dword:00000001
″ScheduledInstallTime″=dword:00000003
″UseWUServer″=dword:00000001
″DetectionFrequencyEnabled″=dword:00000001
″DetectionFrequency″=dword:00000012
″RescheduleWaitTimeEnabled″=dword:00000001
″RescheduleWaitTime″=dword:00000010
″NoAutoRebootWithLoggedOnUsers″=dword:00000001

Теперь для настройки автоматического обновления будет достаточно перенести этот файл на целевой компьютер и выполнить его.

Возможные проблемы

Если после настройки компьютеры не появляются в консоли WSUS, это может быть связано с тем, что рабочие станции подготовлены с использованием неправильно подготовленных образов, т.е. без использования утилиты sysprep или аналогичных программ. В этом случае машина может иметь дублирующие значения SusClientID в реестре.

Для решения проблемы необходимо произвести на клиенте следующие действия:

• выполнить в консоли cmd команду net stop wuauserv, чтобы остановить службу автоматического обновления;
• запустить regedit и перейти в ветку реестра HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdate;
• удалить ключи PingID, AccountDomainSid, SusClientId, SusClientIDValidation (если есть);
• удалить всё содержимое папки %WinDir%SoftwareDistribution (неофициальная рекомендация);
• в консоли выполнить команду net start wuauserv, чтобы запустить службу автоматического обновления;
• в консоли выполнить команду wuauclt.exe /resetauthorization /detectnow и подождать, пока завершится регистрация рабочей станции на сервере WSUS (10-15 минут);
• если компьютер в консоли не появился, то выполнить команду wuauclt.exe /detectnow. Обычно одного повтора достаточно, но может потребоваться и больше;
• зайти в консоль управления WSUS и убедиться, что рабочая станция успешно зарегистрировалась.

title	description	ms.topic	ms.assetid	ms.author	author	manager	ms.date
Step 2 — Configure WSUS	Windows Server Update Services (WSUS) topic — Configure WSUS is step two in a four-step process for deploying WSUS.	article	d4adc568-1f23-49f3-9a54-12a7bec5f27c	jgerend	JasonGerend	mtillman	9/18/2020

Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

After you install the Windows Server Update Services (WSUS) server role on your server, you need to properly configure it. You also need to configure your client computers to receive their updates from the WSUS server.

This article walks you through the following procedures:

Task	Description
2.1. Configure network connections	Configure your firewall and proxy settings to allow the server to make the connections that it needs.
2.2. Configure WSUS by using the WSUS Configuration Wizard	Use the WSUS Configuration Wizard to perform the base WSUS configuration.
2.3. Secure WSUS with the Secure Sockets Layer protocol	Configure the Secure Sockets Layer (SSL) protocol to help protect WSUS.
2.4. Configure WSUS computer groups	Create computer groups in the WSUS Administration Console to manage updates in your organization.
2.5. Configure client computers to establish SSL connections with the WSUS server	Set up the client computers to establish secure connections to the WSUS server.
2.6. Configure client computers to receive updates from the WSUS server	Set up the client computers to receive their updates from the WSUS server.

2.1. Configure network connections

Before you start the configuration process, be sure that you know the answers to the following questions:

• Is the server’s firewall configured to allow clients to access the server?

• Can this computer connect to the upstream server (such as the server that’s designated to download updates from Microsoft Update)?

• Do you have the name of the proxy server and the user credentials for the proxy server, if you need them?

You can then start configuring the following WSUS network settings:

• Updates: Specify the way this server will get updates (from Microsoft Update or from another WSUS server).

• Proxy: If you identified that WSUS needs to use a proxy server to have internet access, you need to configure proxy settings in the WSUS server.

• Firewall: If you identified that WSUS is behind a corporate firewall, you’ll have to take additional steps at the edge device to allow WSUS traffic.

[!IMPORTANT]
If you only have one WSUS server, it must have internet access, because it needs to download updates from Microsoft. If you have multiple WSUS servers, only one server needs internet access. The others only need network access to the internet-connected WSUS server. Your client computers don’t need internet access; they only need network access to a WSUS server.

[!TIP]
If your network is «air gapped»—if it does not have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. This approach requires two WSUS servers. One WSUS server with internet access collects the updates from Microsoft. A second WSUS server on the protected network serves the updates to the client computers. Updates are exported from the first server onto removable media, carried across the air gap, and imported onto the second server. This is an advanced configuration that’s beyond the scope of this article.

2.1.1. Configure your firewall to allow your first WSUS server to connect to Microsoft domains on the internet

If a corporate firewall is between WSUS and the internet, you might have to configure that firewall to ensure that WSUS can get updates. To get updates from Microsoft Update, the WSUS server uses ports 80 and 443 for the HTTP and HTTPS protocols. Although most corporate firewalls allow this type of traffic, some companies restrict internet access from the servers because of security policies. If your company restricts access, you’ll need to configure your firewall to allow your WSUS server to access Microsoft domains.

Your first WSUS server must have outbound access to ports 80 and 443 on the following domains:

• http://windowsupdate.microsoft.com

• http://*.windowsupdate.microsoft.com

• https://*.windowsupdate.microsoft.com

• http://*.update.microsoft.com

• https://*.update.microsoft.com

• http://*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http://*.download.windowsupdate.com

• http://wustat.windows.com

• http://ntservicepack.microsoft.com

• http://go.microsoft.com

• http://dl.delivery.mp.microsoft.com

• https://dl.delivery.mp.microsoft.com

• http://*.delivery.mp.microsoft.com

• https://*.delivery.mp.microsoft.com

[!IMPORTANT]
You must configure your firewall to allow the first WSUS server to access any URL within these domains. The IP addresses associated with these domains are constantly changing, so don’t try to use IP address ranges instead.

For a scenario in which WSUS is failing to get updates because of firewall configurations, see article 885819 in the Microsoft Knowledge Base.

2.1.2. Configure the firewall to allow your other WSUS servers to connect to the first server

If you have multiple WSUS servers, you should configure the other WSUS servers to access the first («topmost») server. Your other WSUS servers will receive all their update information from the topmost server. This configuration allows you to manage your entire network by using the WSUS Administration Console on the topmost server.

Your other WSUS servers must have outbound access to the topmost server through two ports. By default, these are ports 8530 and 8531. You can change these ports, as described later in this article.

[!NOTE]
If the network connection between the WSUS servers is slow or expensive, you can configure one or more of the other WSUS servers to receive update payloads directly from Microsoft. In this case, only a small amount of data will be sent from those WSUS servers to the topmost server. For this configuration to work, the other WSUS servers must have access to the same internet domains as the topmost server.

[!NOTE]
If you have a large organization, you can use chains of connected WSUS servers, rather than having all your other WSUS servers connect directly to the topmost server. For example, you can have a second WSUS server that connects to the topmost server, and then have other WSUS servers connect to the second WSUS server.

2.1.3. Configure your WSUS servers to use a proxy server, if needed

If the corporate network uses proxy servers, the proxy servers must support HTTP and HTTPS protocols. They also must use basic authentication or Windows authentication. You can meet these requirements by using one of the following configurations:

• A single proxy server that supports two protocol channels. In this case, set one channel to use HTTP and the other channel to use HTTPS.

  [!NOTE]
  You can set up one proxy server that handles both protocols for WSUS during the installation of WSUS server software.

• Two proxy servers, each of which supports a single protocol. In this case, one proxy server is configured to use HTTP, and the other proxy server is configured to use HTTPS.

To set up WSUS to use two proxy servers

1. Log on to the computer that will be the WSUS server by using an account that’s a member of the Local Administrators group.

2. Install the WSUS server role. During the WSUS Configuration Wizard, don’t specify a proxy server.

3. Open a command prompt (Cmd.exe) as an administrator:

   1. Go to Start.
   2. In Start Search, type Command prompt.
   3. At the top of the start menu, right-click Command prompt, and then select Run as administrator.
   4. If the User Account Control dialog box appears, enter the appropriate credentials (if requested), confirm that the action that it displays is what you want, and then select Continue.

4. In the command prompt window, go to the C:Program FilesUpdate ServicesTools folder. Enter the following command:

   wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

   In that command:

   • proxy_server is the name of the proxy server that supports HTTPS.

   • proxy_port is the port number of the proxy server.

5. Close the command prompt window.

To add a proxy server to the WSUS configuration

1. Open the WSUS Administration Console.

2. On the left pane, expand the server name, and then select Options.

3. On the Options pane, select Update Source and Update Server, and then select the Proxy Server tab.

4. Select the Use a proxy server when synchronizing checkbox.

5. In the Proxy server name text box, enter the name of the proxy server.

6. In the Proxy port number text box, enter the port number of the proxy server. The default port number is 80.

7. If the proxy server requires that you use a specific user account, select the Use user credentials to connect to the proxy server checkbox. Enter the required user name, domain, and password into the corresponding text boxes.

8. If the proxy server supports basic authentication, select the Allow basic authentication (password is sent in cleartext) checkbox.

9. Select OK.

To remove a proxy server from the WSUS configuration

1. Clear the Use a proxy server when synchronizing checkbox.

2. Select OK.

2.1.4. Configure your firewall to allow client computers to access a WSUS server

Your client computers will all connect to one of your WSUS servers. The client computer must have outbound access to two ports on the WSUS server. By default, these are ports 8530 and 8531.

2.2. Configure WSUS by using the WSUS Configuration Wizard

This procedure assumes that you’re using the WSUS Configuration Wizard, which appears the first time you start the WSUS Management Console. Later in this topic, you’ll learn how to perform these configurations by using the Options page.

To configure WSUS

1. On the left pane of Server Manager, select Dashboard > Tools > Windows Server Update Services.

   [!NOTE]
   If the Complete WSUS Installation dialog box appears, select Run. In the Complete WSUS Installation dialog box, select Close when the installation successfully finishes.

2. The WSUS Configuration Wizard opens. On the Before you Begin page, review the information, and then select Next.

3. Read the instructions on the Join the Microsoft Update Improvement Program page. Keep the default selection if you want to participate in the program, or clear the checkbox if you don’t. Then select Next.

4. On the Choose Upstream Server page, select one of the two options: Synchronize the updates with Microsoft Update or Synchronize from another Windows Server Update Services server.

   If you choose to synchronize from another WSUS server:

   • Specify the server name and the port on which this server will communicate with the upstream server.

   • To use SSL, select the Use SSL when synchronizing update information checkbox. The servers will use port 443 for synchronization. (Make sure that this server and the upstream server support SSL.)

   • If this is a replica server, select the This is a replica of the upstream server checkbox.

5. After you select the options for your deployment, select Next.

6. On the Specify Proxy Server page, select the Use a proxy server when synchronizing checkbox. Then enter the proxy server name and port number (port 80 by default) in the corresponding boxes.

   [!IMPORTANT]
   You must complete this step if you identified that WSUS needs a proxy server to have internet access.

7. If you want to connect to the proxy server by using specific user credentials, select the Use user credentials to connect to the proxy server checkbox. Then enter the user name, domain, and password of the user in the corresponding boxes.

   If you want to enable basic authentication for the user who is connecting to the proxy server, select the Allow basic authentication (password is sent in cleartext) checkbox.

8. Select Next.

9. On the Connect to Upstream Server page, select start Connecting.

10. When WSUS connects to the server, select Next.

11. On the Choose Languages page, you have the option to select the languages from which WSUS will receive updates: all languages or a subset of languages. Selecting a subset of languages will save disk space, but it’s important to choose all the languages that all the clients of this WSUS server need.

    If you choose to get updates only for specific languages, select Download updates only in these languages, and then select the languages for which you want updates. Otherwise, leave the default selection.

    [!WARNING]
    If you select the option Download updates only in these languages, and this server has a downstream WSUS server connected to it, this option will force the downstream server to also use only the selected languages.

12. After you select the language options for your deployment, select Next.

13. The Choose Products page allows you to specify the products for which you want updates. Select product categories, such as Windows, or specific products, such as Windows Server 2012. Selecting a product category selects all the products in that category.

14. After you select the product options for your deployment, select Next.

15. On the Choose Classifications page, select the update classifications that you want to get. Choose all the classifications or a subset of them, and then select Next.

16. The Set Sync Schedule page enables you to select whether to perform synchronization manually or automatically.

    • If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • If you select Synchronize automatically, the WSUS server will synchronize at set intervals.

    Set the time for First synchronization, and then specify the number of synchronizations per day that you want this server to perform. For example, if you specify four synchronizations per day, starting at 3:00 AM, synchronizations will occur at 3:00 AM, 9:00 AM, 3:00 PM, and 9:00 PM.

17. After you select the synchronization options for your deployment, select Next.

18. On the Finished page, you have the option to start the synchronization now by selecting the Begin initial synchronization checkbox.

    If you don’t select this option, you need to use the WSUS Management Console to perform the initial synchronization. Select Next if you want to read more about additional settings, or select Finish to conclude this wizard and finish the initial WSUS setup.

19. After you select Finish, the WSUS Administration Console appears. You’ll use this console to manage your WSUS network, as described later on.

2.3. Secure WSUS with the Secure Sockets Layer protocol

You should use the SSL protocol to help secure your WSUS network. WSUS can use SSL to authenticate connections and to encrypt and protect update information.

[!WARNING]
Securing WSUS by using the SSL protocol is important for the security of your network. If your WSUS server does not properly use SSL to secure its connections, an attacker might be able to modify crucial update information as it’s sent from one WSUS server to another, or from the WSUS server to the client computers. This will allow the attacker to install malicious software on client computers.

[!IMPORTANT]
Clients and downstream servers that are configured to use Transport Layer Security (TLS) or HTTPS must also be configured to use a fully qualified domain name (FQDN) for their upstream WSUS server.

2.3.1. Enable SSL/HTTPS on the WSUS server’s IIS service to use SSL/HTTPS

To begin the process, you must enable SSL support on the WSUS server’s IIS service. This effort involves creating an SSL certificate for the server.

The steps that are required to get an SSL certificate for the server are beyond the scope of this article and will depend on your network configuration. For more information and for instructions about how to install certificates and set up this environment, we suggest the following articles:

• Suite B PKI step-by-step guide

• Implementing and administering certificate templates

• Active Directory Certificate Services upgrade and migration guide

• Configure certificate autoenrollment

2.3.2. Configure the WSUS server’s IIS web server to use SSL for some connections

WSUS requires two ports for connections to other WSUS servers and to client computers. One port uses SSL/HTTPS to send update metadata (crucial information about the updates). By default, this is port 8531. A second port uses HTTP to send update payloads. By default, this is port 8530.

[!IMPORTANT]
You can’t configure the entire WSUS website to require SSL. WSUS is designed to encrypt update metadata only. This is the same way that Windows Update distributes updates.

To guard against an attacker tampering with the update payloads, all update payloads are signed through a specific set of trusted signing certificates. In addition, a cryptographic hash is computed for each update payload. The hash is sent to the client computer over the secure HTTPS metadata connection, along with the other metadata for the update. When an update is downloaded, the client software verifies the payload’s digital signature and hash. If the update has been changed, it’s not installed.

You should require SSL only for these IIS virtual roots:

• SimpleAuthWebService

• DSSAuthWebService

• ServerSyncWebService

• APIremoting30

• ClientWebService

You should not require SSL for these virtual roots:

• Content

• Inventory

• ReportingWebService

• SelfUpdate

The certificate of the certification authority (CA) must be imported into each WSUS server’s Trusted Root CA store for the local computer, or the Trusted Root CA store for WSUS if it exists.

For more information about how to use SSL certificates in IIS, see Require Secure Sockets Layer (IIS 7).

[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.

Normally, you should configure IIS to use port 8531 for HTTPS connections and port 8530 for HTTP connections. If you change these ports, you must use two adjacent port numbers. The port number used for HTTP connections must be exactly 1 less than the port number used for HTTPS connections.

You must reinitialize ClientServicingProxy if the server name, SSL configuration, or port number has changed.

2.3.3. Configure WSUS to use the SSL signing certificate for its client connections

1. Log on to the WSUS server by using an account that’s a member of the WSUS Administrators group or the Local Administrators group.

2. Go to Start, type CMD, right-click Command prompt, and then select Run as administrator.

3. Go to the %ProgramFiles%Update ServicesTools folder.

4. In the command prompt window, enter the following command:

   wsusutil configuressl _certificateName_

   In that command, certificateName is the DNS name of the WSUS server.

2.3.4. Secure the SQL Server connection, if needed

If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server is not secured through SSL. This creates a potential attack vector. To help protect this connection, consider the following recommendations:

• Move the WSUS database to the WSUS server.

• Move the remote database server and the WSUS server to a private network.

• Deploy Internet Protocol security (IPsec) to help secure network traffic. For more information about IPsec, see Creating and using IPsec policies.

2.3.5. Create a code-signing certificate for local publishing, if needed

In addition to distributing updates that Microsoft provides, WSUS supports local publishing. Local publishing allows you to create and distribute updates that you design yourself, with your own payloads and behaviors.

Enabling and configuring local publishing is beyond the scope of this article. For full details, see Local publishing.

[!IMPORTANT]
Local publishing is a complicated process and is often not needed. Before you decide to enable local publishing, you should carefully review the documentation and consider whether and how you’ll use this functionality.

2.4. Configure WSUS computer groups

Computer groups are an important part of using WSUS effectively. Computer groups permit you to test and target updates to specific computers. There are two default computer groups: All Computers and Unassigned Computers. By default, when each client computer first contacts the WSUS server, the server adds that client computer to both of these groups.

You can create as many custom computer groups as you need to manage updates in your organization. As a best practice, create at least one computer group to test updates before you deploy them to other computers in your organization.

2.4.1. Choose an approach for assigning client computers to computer groups

There are two approaches to assigning client computers to computer groups. The right approach for your organization will depend on how you typically manage your client computers.

• Server-side targeting: This is the default approach. In this approach, you assign client computers to computer groups by using the WSUS Administration Console.

  This approach gives you the flexibility to quickly move client computers from one group to another as circumstances change. But it means that new client computers must manually be moved from the Unassigned Computers group to the appropriate computer group.

• Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.

  This approach makes it easier to assign new client computers to the appropriate groups. You do so as part of configuring the client computer to receive updates from the WSUS server. But it means that client computers can’t be assigned to computer groups, or moved from one computer group to another, through the WSUS Administration Console. Instead, the client computers’ policies must be modified.

2.4.2. Enable client-side targeting, if appropriate

[!IMPORTANT]
Skip this step if you’ll use server-side targeting.

1. In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select options.

2. On the General tab on the Options pane, select Use Group Policy or registry settings on computers.

2.4.3. Create the desired computer groups

[!NOTE]
You must create computer groups by using the WSUS Administration Console, whether you use server-side targeting or client-side targeting to add client computers to the computer groups.

1. In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.

2. In the Add Computer Group dialog, for Name, specify the name of the new group. Then select Add.

2.5. Configure client computers to establish SSL connections with the WSUS server

Assuming that you’ve configured the WSUS server to help protect the client computers’ connections by using SSL, you must configure the client computers to trust those SSL connections.

The WSUS server’s SSL certificate must be imported into the client computers’ Trusted Root CA store, or into the client computers’ Automatic Update Service Trusted Root CA store if it exists.

[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.

The client computers must trust the certificate that you bind to the WSUS server. Depending on the type of certificate that’s used, you might have to set up a service to enable the client computers to trust the certificate that’s bound to the WSUS server.

If you’re using local publishing, you should also configure the client computers to trust the WSUS server’s code-signing certificate. For instructions, see Local publishing.

2.6. Configure client computers to receive updates from the WSUS server

By default, your client computers receive updates from Windows Update. They must be configured to receive updates from the WSUS server instead.

[!IMPORTANT]
This article presents one set of steps for configuring client computers by using Group Policy. These steps are appropriate in many situations. But many other options are available for configuring update behavior on client computers, including using mobile device management. These options are documented in Manage additional Windows Update settings.

2.6.1. Choose the correct set of policies to edit

If you’ve set up Active Directory in your network, you can configure one or multiple computers simultaneously by including them in a Group Policy Object (GPO), and then configuring that GPO with WSUS settings.

We recommend that you create a new GPO that contains only WSUS settings. Link this WSUS GPO to an Active Directory container that’s appropriate for your environment.

In a simple environment, you might link a single WSUS GPO to the domain. In a more complex environment, you might link multiple WSUS GPOs to several organizational units (OUs). Linking GPOs to OUs will enable you to apply WSUS policy settings to different types of computers.

If you don’t use Active Directory in your network, you’ll configure each computer by using the Local Group Policy Editor.

2.6.2. Edit policies to configure the client computers

[!NOTE]
These instructions assume that you’re using the most recent versions of the policy editing tools. On older versions of the tools, the policies might be arranged differently.

1. Open the appropriate policy object:

   • If you’re using Active Directory, open the Group Policy Management Console, browse to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration and expand Policies.
   • If you’re not using Active Directory, open the Local Group Policy Editor. The local computer policy appears. Expand Computer Configuration.

2. In the object that you expanded in the previous step, expand Administrative Templates, expand Windows components, expand Windows Update, and select Manage end user experience.

3. On the details pane, double-click Configure Automatic Updates. The Configure Automatic Updates policy opens.

4. Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how Automatic Updates will download and install approved updates.

   We recommend using the Auto download and schedule the install setting. It ensures that the updates you approve in WSUS will be downloaded and installed in a timely fashion, without the need for user intervention.

5. If desired, edit other parts of the policy, as documented in Manage additional Windows Update settings.

   [!NOTE]
   The Install updates from other Microsoft products checkbox has no effect on client computers receiving updates from WSUS. The client computers will receive all updates approved for them on the WSUS server.

6. Select OK to close the Configure Automatic Updates policy.

7. Back in the Windows Update node of the tree, select Manage updates offered from Windows Server Update Service.

8. On the Manage updates offered from Windows Server Update Service details pane, double-click Specify intranet Microsoft update service location. The Specify intranet Microsoft update service location policy opens.

9. Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server text boxes.

   [!WARNING]
   Make sure to include the correct port in the URL. Assuming that you configured the server to use SSL as recommended, you should specify the port that’s configured for HTTPS. For example, if you chose to use port 8531 for HTTPS, and the server’s domain name is wsus.contoso.com, you should enter https://wsus.contoso.com:8531 in both text boxes.

10. Select OK to close the Specify intranet Microsoft update service location policy.

Configure client-side targeting, if appropriate

If you’ve chosen to use client-side targeting, you should now specify the appropriate computer group for the client computers you’re configuring.

[!NOTE]
These steps assume that you’ve just completed the steps for editing policies to configure the client computers.

1. On the Manage updates offered from Windows Server Update Service details pane, double-click Enable client-side targeting. The Enable client-side targeting policy opens.

2. Select Enabled, and then enter the name of the WSUS computer group to which you want to add the client computers in the Target group name for this computer box.

   If you’re running a current version of WSUS, you can add the client computers to multiple computer groups by entering the group names, separated by semicolons. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.

3. Select OK to close the Enable client-side targeting policy.

2.6.3. Let the client computer connect to the WSUS server

Client computers will not appear in the WSUS Administration Console until they connect to the WSUS server for the first time.

1. Wait for the policy changes to take effect on the client computer.

   If you used an Active Directory-based GPO to configure the client computers, it will take some time for the Group Policy Update mechanism to deliver the changes to a client computer. If you want to speed this up, you can open a command prompt window with elevated privileges and then enter the command gpupdate /force.

   If you used the Local Group Policy Editor to configure an individual client computer, the changes take effect immediately.

2. Restart the client computer. This step makes sure that the Windows Update software on the computer detects the policy changes.

3. Let the client computer scan for updates. This scan normally takes some time.

   You can speed up the process by using one of these options:

   • On Windows 10 or 11, use the Settings app’s Windows Update page to manually check for updates.
   • On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
   • On versions of Windows before Windows 10, open a command prompt window with elevated privileges and enter the command wuauclt /detectnow.

2.6.4 Verify the client computer’s successful connection to the WSUS server

If you’ve performed all the previous steps successfully, you’ll see the following results:

• The client computer successfully scans for updates. (It might or might not find any applicable updates to download and install.)

• Within about 20 minutes, the client computer appears in the list of computers displayed in the WSUS Administration Console, based on the type of targeting:

  • If you’re using server-side targeting, the client computer appears in the All Computers and Unassigned Computers computer groups.

  • If you’re using client-side targeting, the client computer appears in the All Computers computer group and in the computer group that you selected while configuring the client computer.

2.6.5. Set up the client computer’s server-side targeting, if appropriate

If you’re using server-side targeting, you should now add the new client computer to the appropriate computer groups.

1. In the WSUS Administration Console, find the new client computer. It should appear in the All Computers and Unassigned Computers computer groups in the WSUS server’s list of computers.

2. Right-click the client computer and select Change membership.

3. In the dialog, select the appropriate computer groups, and then select OK.

title	description	ms.topic	ms.assetid	ms.author	author	manager	ms.date
Step 2 — Configure WSUS	Windows Server Update Services (WSUS) topic — Configure WSUS is step two in a four-step process for deploying WSUS.	article	d4adc568-1f23-49f3-9a54-12a7bec5f27c	jgerend	JasonGerend	mtillman	9/18/2020

Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

After you install the Windows Server Update Services (WSUS) server role on your server, you need to properly configure it. You also need to configure your client computers to receive their updates from the WSUS server.

This article walks you through the following procedures:

Task	Description
2.1. Configure network connections	Configure your firewall and proxy settings to allow the server to make the connections that it needs.
2.2. Configure WSUS by using the WSUS Configuration Wizard	Use the WSUS Configuration Wizard to perform the base WSUS configuration.
2.3. Secure WSUS with the Secure Sockets Layer protocol	Configure the Secure Sockets Layer (SSL) protocol to help protect WSUS.
2.4. Configure WSUS computer groups	Create computer groups in the WSUS Administration Console to manage updates in your organization.
2.5. Configure client computers to establish SSL connections with the WSUS server	Set up the client computers to establish secure connections to the WSUS server.
2.6. Configure client computers to receive updates from the WSUS server	Set up the client computers to receive their updates from the WSUS server.

2.1. Configure network connections

Before you start the configuration process, be sure that you know the answers to the following questions:

• Is the server’s firewall configured to allow clients to access the server?

• Can this computer connect to the upstream server (such as the server that’s designated to download updates from Microsoft Update)?

• Do you have the name of the proxy server and the user credentials for the proxy server, if you need them?

You can then start configuring the following WSUS network settings:

• Updates: Specify the way this server will get updates (from Microsoft Update or from another WSUS server).

• Proxy: If you identified that WSUS needs to use a proxy server to have internet access, you need to configure proxy settings in the WSUS server.

• Firewall: If you identified that WSUS is behind a corporate firewall, you’ll have to take additional steps at the edge device to allow WSUS traffic.

[!IMPORTANT]
If you only have one WSUS server, it must have internet access, because it needs to download updates from Microsoft. If you have multiple WSUS servers, only one server needs internet access. The others only need network access to the internet-connected WSUS server. Your client computers don’t need internet access; they only need network access to a WSUS server.

[!TIP]
If your network is «air gapped»—if it does not have access to the internet at all—you can still use WSUS to provide updates to client computers on the network. This approach requires two WSUS servers. One WSUS server with internet access collects the updates from Microsoft. A second WSUS server on the protected network serves the updates to the client computers. Updates are exported from the first server onto removable media, carried across the air gap, and imported onto the second server. This is an advanced configuration that’s beyond the scope of this article.

2.1.1. Configure your firewall to allow your first WSUS server to connect to Microsoft domains on the internet

If a corporate firewall is between WSUS and the internet, you might have to configure that firewall to ensure that WSUS can get updates. To get updates from Microsoft Update, the WSUS server uses ports 80 and 443 for the HTTP and HTTPS protocols. Although most corporate firewalls allow this type of traffic, some companies restrict internet access from the servers because of security policies. If your company restricts access, you’ll need to configure your firewall to allow your WSUS server to access Microsoft domains.

Your first WSUS server must have outbound access to ports 80 and 443 on the following domains:

• http://windowsupdate.microsoft.com

• http://*.windowsupdate.microsoft.com

• https://*.windowsupdate.microsoft.com

• http://*.update.microsoft.com

• https://*.update.microsoft.com

• http://*.windowsupdate.com

• http://download.windowsupdate.com

• https://download.microsoft.com

• http://*.download.windowsupdate.com

• http://wustat.windows.com

• http://ntservicepack.microsoft.com

• http://go.microsoft.com

• http://dl.delivery.mp.microsoft.com

• https://dl.delivery.mp.microsoft.com

• http://*.delivery.mp.microsoft.com

• https://*.delivery.mp.microsoft.com

[!IMPORTANT]
You must configure your firewall to allow the first WSUS server to access any URL within these domains. The IP addresses associated with these domains are constantly changing, so don’t try to use IP address ranges instead.

For a scenario in which WSUS is failing to get updates because of firewall configurations, see article 885819 in the Microsoft Knowledge Base.

2.1.2. Configure the firewall to allow your other WSUS servers to connect to the first server

If you have multiple WSUS servers, you should configure the other WSUS servers to access the first («topmost») server. Your other WSUS servers will receive all their update information from the topmost server. This configuration allows you to manage your entire network by using the WSUS Administration Console on the topmost server.

Your other WSUS servers must have outbound access to the topmost server through two ports. By default, these are ports 8530 and 8531. You can change these ports, as described later in this article.

[!NOTE]
If the network connection between the WSUS servers is slow or expensive, you can configure one or more of the other WSUS servers to receive update payloads directly from Microsoft. In this case, only a small amount of data will be sent from those WSUS servers to the topmost server. For this configuration to work, the other WSUS servers must have access to the same internet domains as the topmost server.

[!NOTE]
If you have a large organization, you can use chains of connected WSUS servers, rather than having all your other WSUS servers connect directly to the topmost server. For example, you can have a second WSUS server that connects to the topmost server, and then have other WSUS servers connect to the second WSUS server.

2.1.3. Configure your WSUS servers to use a proxy server, if needed

If the corporate network uses proxy servers, the proxy servers must support HTTP and HTTPS protocols. They also must use basic authentication or Windows authentication. You can meet these requirements by using one of the following configurations:

• A single proxy server that supports two protocol channels. In this case, set one channel to use HTTP and the other channel to use HTTPS.

  [!NOTE]
  You can set up one proxy server that handles both protocols for WSUS during the installation of WSUS server software.

• Two proxy servers, each of which supports a single protocol. In this case, one proxy server is configured to use HTTP, and the other proxy server is configured to use HTTPS.

To set up WSUS to use two proxy servers

1. Log on to the computer that will be the WSUS server by using an account that’s a member of the Local Administrators group.

2. Install the WSUS server role. During the WSUS Configuration Wizard, don’t specify a proxy server.

3. Open a command prompt (Cmd.exe) as an administrator:

   1. Go to Start.
   2. In Start Search, type Command prompt.
   3. At the top of the start menu, right-click Command prompt, and then select Run as administrator.
   4. If the User Account Control dialog box appears, enter the appropriate credentials (if requested), confirm that the action that it displays is what you want, and then select Continue.

4. In the command prompt window, go to the C:Program FilesUpdate ServicesTools folder. Enter the following command:

   wsusutil ConfigureSSLproxy [<proxy_server proxy_port>] -enable

   In that command:

   • proxy_server is the name of the proxy server that supports HTTPS.

   • proxy_port is the port number of the proxy server.

5. Close the command prompt window.

To add a proxy server to the WSUS configuration

1. Open the WSUS Administration Console.

2. On the left pane, expand the server name, and then select Options.

3. On the Options pane, select Update Source and Update Server, and then select the Proxy Server tab.

4. Select the Use a proxy server when synchronizing checkbox.

5. In the Proxy server name text box, enter the name of the proxy server.

6. In the Proxy port number text box, enter the port number of the proxy server. The default port number is 80.

7. If the proxy server requires that you use a specific user account, select the Use user credentials to connect to the proxy server checkbox. Enter the required user name, domain, and password into the corresponding text boxes.

8. If the proxy server supports basic authentication, select the Allow basic authentication (password is sent in cleartext) checkbox.

9. Select OK.

To remove a proxy server from the WSUS configuration

1. Clear the Use a proxy server when synchronizing checkbox.

2. Select OK.

2.1.4. Configure your firewall to allow client computers to access a WSUS server

Your client computers will all connect to one of your WSUS servers. The client computer must have outbound access to two ports on the WSUS server. By default, these are ports 8530 and 8531.

2.2. Configure WSUS by using the WSUS Configuration Wizard

This procedure assumes that you’re using the WSUS Configuration Wizard, which appears the first time you start the WSUS Management Console. Later in this topic, you’ll learn how to perform these configurations by using the Options page.

To configure WSUS

1. On the left pane of Server Manager, select Dashboard > Tools > Windows Server Update Services.

   [!NOTE]
   If the Complete WSUS Installation dialog box appears, select Run. In the Complete WSUS Installation dialog box, select Close when the installation successfully finishes.

2. The WSUS Configuration Wizard opens. On the Before you Begin page, review the information, and then select Next.

3. Read the instructions on the Join the Microsoft Update Improvement Program page. Keep the default selection if you want to participate in the program, or clear the checkbox if you don’t. Then select Next.

4. On the Choose Upstream Server page, select one of the two options: Synchronize the updates with Microsoft Update or Synchronize from another Windows Server Update Services server.

   If you choose to synchronize from another WSUS server:

   • Specify the server name and the port on which this server will communicate with the upstream server.

   • To use SSL, select the Use SSL when synchronizing update information checkbox. The servers will use port 443 for synchronization. (Make sure that this server and the upstream server support SSL.)

   • If this is a replica server, select the This is a replica of the upstream server checkbox.

5. After you select the options for your deployment, select Next.

6. On the Specify Proxy Server page, select the Use a proxy server when synchronizing checkbox. Then enter the proxy server name and port number (port 80 by default) in the corresponding boxes.

   [!IMPORTANT]
   You must complete this step if you identified that WSUS needs a proxy server to have internet access.

7. If you want to connect to the proxy server by using specific user credentials, select the Use user credentials to connect to the proxy server checkbox. Then enter the user name, domain, and password of the user in the corresponding boxes.

   If you want to enable basic authentication for the user who is connecting to the proxy server, select the Allow basic authentication (password is sent in cleartext) checkbox.

8. Select Next.

9. On the Connect to Upstream Server page, select start Connecting.

10. When WSUS connects to the server, select Next.

11. On the Choose Languages page, you have the option to select the languages from which WSUS will receive updates: all languages or a subset of languages. Selecting a subset of languages will save disk space, but it’s important to choose all the languages that all the clients of this WSUS server need.

    If you choose to get updates only for specific languages, select Download updates only in these languages, and then select the languages for which you want updates. Otherwise, leave the default selection.

    [!WARNING]
    If you select the option Download updates only in these languages, and this server has a downstream WSUS server connected to it, this option will force the downstream server to also use only the selected languages.

12. After you select the language options for your deployment, select Next.

13. The Choose Products page allows you to specify the products for which you want updates. Select product categories, such as Windows, or specific products, such as Windows Server 2012. Selecting a product category selects all the products in that category.

14. After you select the product options for your deployment, select Next.

15. On the Choose Classifications page, select the update classifications that you want to get. Choose all the classifications or a subset of them, and then select Next.

16. The Set Sync Schedule page enables you to select whether to perform synchronization manually or automatically.

    • If you select Synchronize manually, you must start the synchronization process from the WSUS Administration Console.

    • If you select Synchronize automatically, the WSUS server will synchronize at set intervals.

    Set the time for First synchronization, and then specify the number of synchronizations per day that you want this server to perform. For example, if you specify four synchronizations per day, starting at 3:00 AM, synchronizations will occur at 3:00 AM, 9:00 AM, 3:00 PM, and 9:00 PM.

17. After you select the synchronization options for your deployment, select Next.

18. On the Finished page, you have the option to start the synchronization now by selecting the Begin initial synchronization checkbox.

    If you don’t select this option, you need to use the WSUS Management Console to perform the initial synchronization. Select Next if you want to read more about additional settings, or select Finish to conclude this wizard and finish the initial WSUS setup.

19. After you select Finish, the WSUS Administration Console appears. You’ll use this console to manage your WSUS network, as described later on.

2.3. Secure WSUS with the Secure Sockets Layer protocol

You should use the SSL protocol to help secure your WSUS network. WSUS can use SSL to authenticate connections and to encrypt and protect update information.

[!WARNING]
Securing WSUS by using the SSL protocol is important for the security of your network. If your WSUS server does not properly use SSL to secure its connections, an attacker might be able to modify crucial update information as it’s sent from one WSUS server to another, or from the WSUS server to the client computers. This will allow the attacker to install malicious software on client computers.

[!IMPORTANT]
Clients and downstream servers that are configured to use Transport Layer Security (TLS) or HTTPS must also be configured to use a fully qualified domain name (FQDN) for their upstream WSUS server.

2.3.1. Enable SSL/HTTPS on the WSUS server’s IIS service to use SSL/HTTPS

To begin the process, you must enable SSL support on the WSUS server’s IIS service. This effort involves creating an SSL certificate for the server.

The steps that are required to get an SSL certificate for the server are beyond the scope of this article and will depend on your network configuration. For more information and for instructions about how to install certificates and set up this environment, we suggest the following articles:

• Suite B PKI step-by-step guide

• Implementing and administering certificate templates

• Active Directory Certificate Services upgrade and migration guide

• Configure certificate autoenrollment

2.3.2. Configure the WSUS server’s IIS web server to use SSL for some connections

WSUS requires two ports for connections to other WSUS servers and to client computers. One port uses SSL/HTTPS to send update metadata (crucial information about the updates). By default, this is port 8531. A second port uses HTTP to send update payloads. By default, this is port 8530.

[!IMPORTANT]
You can’t configure the entire WSUS website to require SSL. WSUS is designed to encrypt update metadata only. This is the same way that Windows Update distributes updates.

To guard against an attacker tampering with the update payloads, all update payloads are signed through a specific set of trusted signing certificates. In addition, a cryptographic hash is computed for each update payload. The hash is sent to the client computer over the secure HTTPS metadata connection, along with the other metadata for the update. When an update is downloaded, the client software verifies the payload’s digital signature and hash. If the update has been changed, it’s not installed.

You should require SSL only for these IIS virtual roots:

• SimpleAuthWebService

• DSSAuthWebService

• ServerSyncWebService

• APIremoting30

• ClientWebService

You should not require SSL for these virtual roots:

• Content

• Inventory

• ReportingWebService

• SelfUpdate

The certificate of the certification authority (CA) must be imported into each WSUS server’s Trusted Root CA store for the local computer, or the Trusted Root CA store for WSUS if it exists.

For more information about how to use SSL certificates in IIS, see Require Secure Sockets Layer (IIS 7).

[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.

Normally, you should configure IIS to use port 8531 for HTTPS connections and port 8530 for HTTP connections. If you change these ports, you must use two adjacent port numbers. The port number used for HTTP connections must be exactly 1 less than the port number used for HTTPS connections.

You must reinitialize ClientServicingProxy if the server name, SSL configuration, or port number has changed.

2.3.3. Configure WSUS to use the SSL signing certificate for its client connections

1. Log on to the WSUS server by using an account that’s a member of the WSUS Administrators group or the Local Administrators group.

2. Go to Start, type CMD, right-click Command prompt, and then select Run as administrator.

3. Go to the %ProgramFiles%Update ServicesTools folder.

4. In the command prompt window, enter the following command:

   wsusutil configuressl _certificateName_

   In that command, certificateName is the DNS name of the WSUS server.

2.3.4. Secure the SQL Server connection, if needed

If you use WSUS with a remote SQL Server database, the connection between the WSUS server and the database server is not secured through SSL. This creates a potential attack vector. To help protect this connection, consider the following recommendations:

• Move the WSUS database to the WSUS server.

• Move the remote database server and the WSUS server to a private network.

• Deploy Internet Protocol security (IPsec) to help secure network traffic. For more information about IPsec, see Creating and using IPsec policies.

2.3.5. Create a code-signing certificate for local publishing, if needed

In addition to distributing updates that Microsoft provides, WSUS supports local publishing. Local publishing allows you to create and distribute updates that you design yourself, with your own payloads and behaviors.

Enabling and configuring local publishing is beyond the scope of this article. For full details, see Local publishing.

[!IMPORTANT]
Local publishing is a complicated process and is often not needed. Before you decide to enable local publishing, you should carefully review the documentation and consider whether and how you’ll use this functionality.

2.4. Configure WSUS computer groups

Computer groups are an important part of using WSUS effectively. Computer groups permit you to test and target updates to specific computers. There are two default computer groups: All Computers and Unassigned Computers. By default, when each client computer first contacts the WSUS server, the server adds that client computer to both of these groups.

You can create as many custom computer groups as you need to manage updates in your organization. As a best practice, create at least one computer group to test updates before you deploy them to other computers in your organization.

2.4.1. Choose an approach for assigning client computers to computer groups

There are two approaches to assigning client computers to computer groups. The right approach for your organization will depend on how you typically manage your client computers.

• Server-side targeting: This is the default approach. In this approach, you assign client computers to computer groups by using the WSUS Administration Console.

  This approach gives you the flexibility to quickly move client computers from one group to another as circumstances change. But it means that new client computers must manually be moved from the Unassigned Computers group to the appropriate computer group.

• Client-side targeting: In this approach, you assign each client computer to computer groups by using policy settings set on the client computer itself.

  This approach makes it easier to assign new client computers to the appropriate groups. You do so as part of configuring the client computer to receive updates from the WSUS server. But it means that client computers can’t be assigned to computer groups, or moved from one computer group to another, through the WSUS Administration Console. Instead, the client computers’ policies must be modified.

2.4.2. Enable client-side targeting, if appropriate

[!IMPORTANT]
Skip this step if you’ll use server-side targeting.

1. In the WSUS Administration Console, under Update Services, expand the WSUS server, and then select options.

2. On the General tab on the Options pane, select Use Group Policy or registry settings on computers.

2.4.3. Create the desired computer groups

[!NOTE]
You must create computer groups by using the WSUS Administration Console, whether you use server-side targeting or client-side targeting to add client computers to the computer groups.

1. In the WSUS Administration Console, under Update Services, expand the WSUS server, expand Computers, right-click All computers, and then select Add Computer Group.

2. In the Add Computer Group dialog, for Name, specify the name of the new group. Then select Add.

2.5. Configure client computers to establish SSL connections with the WSUS server

Assuming that you’ve configured the WSUS server to help protect the client computers’ connections by using SSL, you must configure the client computers to trust those SSL connections.

The WSUS server’s SSL certificate must be imported into the client computers’ Trusted Root CA store, or into the client computers’ Automatic Update Service Trusted Root CA store if it exists.

[!IMPORTANT]
You must use the certificate store for the local computer. You can’t use a user’s certificate store.

The client computers must trust the certificate that you bind to the WSUS server. Depending on the type of certificate that’s used, you might have to set up a service to enable the client computers to trust the certificate that’s bound to the WSUS server.

If you’re using local publishing, you should also configure the client computers to trust the WSUS server’s code-signing certificate. For instructions, see Local publishing.

2.6. Configure client computers to receive updates from the WSUS server

By default, your client computers receive updates from Windows Update. They must be configured to receive updates from the WSUS server instead.

[!IMPORTANT]
This article presents one set of steps for configuring client computers by using Group Policy. These steps are appropriate in many situations. But many other options are available for configuring update behavior on client computers, including using mobile device management. These options are documented in Manage additional Windows Update settings.

2.6.1. Choose the correct set of policies to edit

If you’ve set up Active Directory in your network, you can configure one or multiple computers simultaneously by including them in a Group Policy Object (GPO), and then configuring that GPO with WSUS settings.

We recommend that you create a new GPO that contains only WSUS settings. Link this WSUS GPO to an Active Directory container that’s appropriate for your environment.

In a simple environment, you might link a single WSUS GPO to the domain. In a more complex environment, you might link multiple WSUS GPOs to several organizational units (OUs). Linking GPOs to OUs will enable you to apply WSUS policy settings to different types of computers.

If you don’t use Active Directory in your network, you’ll configure each computer by using the Local Group Policy Editor.

2.6.2. Edit policies to configure the client computers

[!NOTE]
These instructions assume that you’re using the most recent versions of the policy editing tools. On older versions of the tools, the policies might be arranged differently.

1. Open the appropriate policy object:

   • If you’re using Active Directory, open the Group Policy Management Console, browse to the GPO on which you want to configure WSUS, and select Edit. Then expand Computer Configuration and expand Policies.
   • If you’re not using Active Directory, open the Local Group Policy Editor. The local computer policy appears. Expand Computer Configuration.

2. In the object that you expanded in the previous step, expand Administrative Templates, expand Windows components, expand Windows Update, and select Manage end user experience.

3. On the details pane, double-click Configure Automatic Updates. The Configure Automatic Updates policy opens.

4. Select Enabled, and then select the desired option under the Configure automatic updating setting to manage how Automatic Updates will download and install approved updates.

   We recommend using the Auto download and schedule the install setting. It ensures that the updates you approve in WSUS will be downloaded and installed in a timely fashion, without the need for user intervention.

5. If desired, edit other parts of the policy, as documented in Manage additional Windows Update settings.

   [!NOTE]
   The Install updates from other Microsoft products checkbox has no effect on client computers receiving updates from WSUS. The client computers will receive all updates approved for them on the WSUS server.

6. Select OK to close the Configure Automatic Updates policy.

7. Back in the Windows Update node of the tree, select Manage updates offered from Windows Server Update Service.

8. On the Manage updates offered from Windows Server Update Service details pane, double-click Specify intranet Microsoft update service location. The Specify intranet Microsoft update service location policy opens.

9. Select Enabled, and then enter the URL of the WSUS server in both the Set the intranet update service for detecting updates and Set the intranet statistics server text boxes.

   [!WARNING]
   Make sure to include the correct port in the URL. Assuming that you configured the server to use SSL as recommended, you should specify the port that’s configured for HTTPS. For example, if you chose to use port 8531 for HTTPS, and the server’s domain name is wsus.contoso.com, you should enter https://wsus.contoso.com:8531 in both text boxes.

10. Select OK to close the Specify intranet Microsoft update service location policy.

Configure client-side targeting, if appropriate

If you’ve chosen to use client-side targeting, you should now specify the appropriate computer group for the client computers you’re configuring.

[!NOTE]
These steps assume that you’ve just completed the steps for editing policies to configure the client computers.

1. On the Manage updates offered from Windows Server Update Service details pane, double-click Enable client-side targeting. The Enable client-side targeting policy opens.

2. Select Enabled, and then enter the name of the WSUS computer group to which you want to add the client computers in the Target group name for this computer box.

   If you’re running a current version of WSUS, you can add the client computers to multiple computer groups by entering the group names, separated by semicolons. For example, you can enter Accounting;Executive to add the client computers to both the Accounting and Executive computer groups.

3. Select OK to close the Enable client-side targeting policy.

2.6.3. Let the client computer connect to the WSUS server

Client computers will not appear in the WSUS Administration Console until they connect to the WSUS server for the first time.

1. Wait for the policy changes to take effect on the client computer.

   If you used an Active Directory-based GPO to configure the client computers, it will take some time for the Group Policy Update mechanism to deliver the changes to a client computer. If you want to speed this up, you can open a command prompt window with elevated privileges and then enter the command gpupdate /force.

   If you used the Local Group Policy Editor to configure an individual client computer, the changes take effect immediately.

2. Restart the client computer. This step makes sure that the Windows Update software on the computer detects the policy changes.

3. Let the client computer scan for updates. This scan normally takes some time.

   You can speed up the process by using one of these options:

   • On Windows 10 or 11, use the Settings app’s Windows Update page to manually check for updates.
   • On versions of Windows before Windows 10, use the Windows Update icon in Control Panel to manually check for updates.
   • On versions of Windows before Windows 10, open a command prompt window with elevated privileges and enter the command wuauclt /detectnow.

2.6.4 Verify the client computer’s successful connection to the WSUS server

If you’ve performed all the previous steps successfully, you’ll see the following results:

• The client computer successfully scans for updates. (It might or might not find any applicable updates to download and install.)

• Within about 20 minutes, the client computer appears in the list of computers displayed in the WSUS Administration Console, based on the type of targeting:

  • If you’re using server-side targeting, the client computer appears in the All Computers and Unassigned Computers computer groups.

  • If you’re using client-side targeting, the client computer appears in the All Computers computer group and in the computer group that you selected while configuring the client computer.

2.6.5. Set up the client computer’s server-side targeting, if appropriate

If you’re using server-side targeting, you should now add the new client computer to the appropriate computer groups.

1. In the WSUS Administration Console, find the new client computer. It should appear in the All Computers and Unassigned Computers computer groups in the WSUS server’s list of computers.

2. Right-click the client computer and select Change membership.

3. In the dialog, select the appropriate computer groups, and then select OK.

Автор: Денис Васильев

Установка обновлений и патчей является очень важной составной частью обеспечения безопасности. Для всех специалистов по информационной безопасности основной необходимостью является мониторинг, анализ и устранение уязвимостей программного обеспечения.  Компания Microsoft предоставляет бесплатную возможность использования сервиса обновлений  своих программных продуктов  в течение всего времени поддержки программного продукта. Необходимые обновления доступны через сеть интернет всем пользователям программных продуктов.

Применение обновлений к корпоративной среде требует дополнительных механизмов управления. Microsoft предлагает использовать в корпоративной среде мощный бесплатный продукт Windows Server Update Services (WSUS), который позволяет экономить трафик в сети Интернет, централизованно управлять обновлениями для серверов и рабочих станций.

В данной статье будет рассмотрен опыт установки и обслуживания WSUS в корпоративной среде, который позволит новичкам избежать ряда «подводных камней».

Установка WSUS

В рамках ОС Windows Server 2008 существует роль сервера Windows Server Update Services(рис. 1).

рис. 1

Для Windows Server 2003 следующие системные требования к установке WSUS 3.0 SP1:

• Операционная система: Windows Server 2003 SP1 и выше.
• Дополнительные роли сервера: IIS 6.0 и выше
• Дополнительные обновления ОС: Microsoft .NET Framework 2.0, Microsoft Management Console 3.0.
• Дополнительные программы: Microsoft Report Viewer, SQL Server 2005 SP1 (Служба WSUS способна установить внутреннюю службу Windows Internal Database).

Несмотря на то, что служба практически не требовательна к процессору и оперативной памяти, ей необходима изрядная доля дискового пространства. Желательно 40 Гб и более. В конечном итоге, размер занимаемого дискового пространства будет зависит от количества продуктов, которые необходимо обновлять, и количества требуемых обновлений в инфраструктуре.
Если при установке сервер не удовлетворяет системным требования, то появится окно предупреждения, в котором будет описано что необходимо установить   (рис. 2).

рис. 2

Настройка сервера WSUS

Для нормальной работы сервера необходимо указать ряд параметров, которые делаются с помощью  «Мастер настройки Windows Server Update Services»

В окне «Выбор вышестоящего сервера» необходимо указать пункт «Синхронизировать с Центром обновлений Майкрософт» (рис. 3).

рис. 3

При применении к корпоративной среде прокси-сервера в окне «Настройка прокси-сервера» необходимо  указать  IP адрес, номер порта и параметры аутентификации на прокси-сервере(рис. 4).

рис . 4

В окне «Выбор языков» необходимо выбрать пункт «Загружать обновления только на следующих языках» обязательно выбрать «Английский». Выбор остальных языков необходимо делать исходя из систем, установленных в компании, обычно  ещё добавляют «Русский» (рис. 5). Нет необходимости выбирать «Загружать обновления на всех языках, включая новые», так как это увеличит количество обновлений, хранящихся на дисковом пространстве.

рис. 5

В окне «Выбор продуктов» необходимо указать продукты, установленные в рамках корпоративной среды. ВНИМАНИЕ! Никогда не устанавливаете все продукты, так как это может привести к увеличению размера хранимых обновлений, при этом обновления не будут использоваться. Необходимо методично и последовательно выбрать только те продукты которые используются в рамках корпоративной среды (рис. 6).

рис. 6

В окне «Выбор классов» необходимо указать только те классы которые требуют обновлений. Так как указание лишних классов в значительной степени увеличивает размер хранимых обновлений (рис. 7). 

рис. 7

В окне «Настройка расписания синхронизации» необходимо выбрать время синхронизации (рис. 8). В рамках WSUS синхронизации не предполагает загрузку обновлений. В данном случае синхронизация будет производить только обновление информации с сервера Центра обновлений Майкрософт».

рис. 8

После первой синхронизации необходимо открыть консоль WSUS и выбрать «Параметры». В «Параметры» открыть пункт «Файлы и языки обновлений» ( рис. 9)

рис. 9

Во вкладке «Файлы обновлений» окна «Файлы и языки обновлений» необходимо указать каким образом будет осуществляться хранение файлов обновлений. Так как мы хотим уменьшить размер Интернет трафика, то необходимо выбрать «Хранить файлы обновлений локально на этом сервере» и ОБЯЗАТЕЛЬНО! выбираем пункты «загружать файлы обновлений на сервер только после одобрения обновления» и «Загружать файлы экспресс — установки» (рис. 10). Пункт «Загружать файлы обновлений на сервер только после одобрения обновления» необходим, так как по умолчанию сервер загрузить ВСЕ обновления, которые он посчитает необходимым для выбранных продуктов.   Однако так как с течением времени очень многие обновления аккумулируются в Service Pack, то вероятнее всего они  не будут нужны и займут дисковое пространство.

рис. 10

После всех настроек необходимо добавить компьютеры в службу WSUS.

Добавление компьютеров в службу WSUS

Если у Вас есть домен, то достаточно в его групповой политике прописать службу WSUS и выбрать правила обновления компьютеров.

Это делается следующим образом «Пуск  – Администрирование – Управление групповой политикой». Выбираем  ту политику, которая действует в домене (по умолчанию Default Group Policy). Кликаем правой кнопкой и выбираем «Изменить».

В окне «Редактор управления групповыми политиками» заходим «Конфигурация компьютера – Политики – Административные шаблоны – Компоненты Windows – Центр обновления Windows». Выбираем пункт «Указать размещение службы обновлений в Интрасети » (рис. 11)

рис.11

В окне «Свойства: Указать размещение службы обновлений в Интрасети» указываем параметр «Включен» и в строке «Укажите службу обновление в интрасети для поиска обновлений» прописываете строку вида: http:// [ip адрес или DNS имя сервера обновления в сети]. Копируете  адрес в окно «Укажите сервер статистики в интрасети» (рис. 12). В рамках редактора групповой политики есть подсказки в окне объяснений (рис. 12).

рис. 12

Также необходимо определить политику обновлений. Это делается через пункт «Настройка автоматических обновлений» (рис. 13).

рис. 13

В окне «Свойства: Настройка автоматических обновлений» указываем параметр «Включен»  и параметры «Настройка автоматического обновления», «Установка по расписанию – день», «Установка по расписанию – время». В окне «Объяснение» есть описание всех параметров  для серверов и желательно устанавливать параметр «2 –уведомления о загрузке и установке», что позволит администраторам выбирать время установки обновлений на сервера(рис. 14).

рис. 14

Если в рамках инфраструктуры присутствуют рабочие места которые не входят в состав домена (например мобильные рабочие места), но служба обновлений для этих рабочих мест необходима, то существует возможность указания этой службы в «Локальной политике безопасности».

В командной строке набираем gpedit.msc и проделываем те же операции, которые были  описаны выше для групповой политики в домене.

Через некоторое время компьютер появится в окне «Компьютеры – Все компьютеры – Не назначенные компьютеры» при «Состояние: Любой» (рис. 15).

рис. 15

Управление обновлениями

Для того чтобы увидеть и одобрить необходимые обновления нужно  в «Обновления – Все обновления» выбрать следующие пункты фильтра: «Одобрение: Неодобренные» и Состояние: Требуется» и нажать «Обновить»(рис. 16). ВНИМАНИЕ! для проверки необходимых обновлений всегда обращайте внимание, чтобы настройки фильтра стояли в положениях «Одобрение: Неодобренные» и Состояние: Требуется», иначе вы рискуете загрузить ненужные вам обновления, или не загрузить их вообще. В случае, если фильтр в настройках «Одобрение: Неодобренные» и Состояние: Требуется» показал пустое поле, то все необходимые обновления для компьютеров уже одобрены и находятся на сервере.

рис. 16

После одобрения на компьютере через какое-то время появятся обновления согласно правилам, настроенным в политике безопасности.

Достаточно часто существует необходимость принудительной проверки обновлений на сервере обновлений со стороны компьютера. Для этого существует программа wuauclt.exe, которая запускается через командную строку. Для проверки обновлений её  необходимо запускать с ключом /detectnow  (wuauclt.exe /detectnow). Для посылки отчета о состоянии (очень часто необходимо при первом подключении к серверу обновлений)  необходимо запускать с ключом /reportnow (wuauclt.exe /reportnow).

Господа, удачных вам обновлений